400 likes | 507 Views
Serviços de Rede baseados em Identidade (IBNS) e Controle de Admissão à Rede (NAC). Italo Brito Systems Engineer ibrito@cisco.com. CCIE #16321 Routing/Switching. Agenda. Introdução Operação do 802.1x 802.1x não se limita a autenticação Network Admission Control (NAC) Conclusão.
E N D
Serviços de Rede baseados em Identidade (IBNS) e Controle de Admissão à Rede (NAC) Italo Brito Systems Engineer ibrito@cisco.com CCIE #16321 Routing/Switching
Agenda • Introdução • Operação do 802.1x • 802.1x não se limita a autenticação • Network Admission Control (NAC) • Conclusão
Alguns conceitos importantes sobre Identidade Você DEVE ter no mínimo a altura “H” para entrar • Arquitetura AAA – Autenticação, Autorização e “Accounting” • O processo de autenticação é usado para verificar uma identidade alegada. • Um sistema de autenticação é tão forte quanto o método de verificação utilizado. • Uma identidade só é útil como um “ponteiro”para uma política aplicável ao usuário e para “accounting” dos serviços utilizados. • Autorização é o conceito de associar diferentes serviços aos usuários após a autenticação destes. • Se todos os usuários tiverem os mesmos direitos então não precisaremos de autorização. H
Identidade em todas as camadas? Windows Networking (SMB), Kerberos Aplicação SSL, TLS Sessão Gateways, X-Auth, Firewalls, Lock and Key Rede 802.1x • Camada Física— cadeados , crachá baseado em RFID • Camada de Enlace — Arquitetura IEEE 802.1x • Camada de Rede — “gateways”, “extended authentication” (x-auth), firewalls, método “lock and key” em roteadores • Camada de Sessão —SSL, TLS • Camada de Aplicação — Windows networking, Kerberos Enlace Cadeados, Crachá RFID Física
Pausa para Reflexão : Por que ter Segurança já no nível 2 ? APLICAÇÃO 7 Quando falamos em Segurança de Redes normalmente fazemos uma associação imediata com a Internet, o que, por sua vez, nos remete a “IP” e, conseqüentemente, à camada 3 do modelo OSI. APRESENTAÇÃO 6 SESSÃO 5 TRANSPORTE 4 REDE Devemos lembrar, no entanto, que uma corrente é tão forte quanto o seu elo mais fraco. Pensando justamente no modelo OSI, fica fácil perceber que se conseguirmos comprometer a Segurança no nível 2, os outros níveis naturalmente serão afetados. 3 ENLACE ! 2 FÍSICO 1
RedeCorporativa Credenciais Válidas Switch Acesso negado Credenciais Inválidas (ou Ausentes) 802.1x : Visão simplificada Verificação de Identidade Usuário autorizado √ X Recursos Corporativos Usuário externo não autorizado * IBNS = Identity Based Networking Services = autenticação 802.1x + serviços adicionais sobre a plataforma 802.1x
O risco de não se ter Controle de Admissão Chuck: “Estou usando uma versão sem “patch” do Windows 2000 . Estou conectado via Gigabit Ethernet à Rede e minha máquina está carregada com o “worm de jour” (e este é bem interessante...) Boa sorte a todos !” Chuck: “Oi. Sou do departamento de Vendas.” “Oi.” Permitido Permitido Bob: “Oi. Sou um administrador.” Permitido Permitido Alice: “Oi.”
Network Admission Control – Visão Geral Política de Admissão à Rede: Identidade Windows XP “Service Pack” 2 CTA 2.0 Anti-Vírus “Patch Management” Chuck: Departamento de vendas Windows 2000 Sem “Service Pack” Sem Anti-Vírus Sem “Patch Management” Quarentena Serviço de Diretório Serviço de Remediação Servidores de Verificação de Status
1. Quem é você ? 802.1x e servidor de controle de acesso autenticam o usuário. 2. Sua estação está adequada ? Usando Network Admission Control, a Rede e a máquina do usuário verificam se esta tem, por exemplo, a versão correta do AV e outras ferramentas de proteção. 3. Onde você pode ir? Baseado em autorização, o usuário é colocado na VLAN e grupo pertinentes. • Que nível de serviço você vai receber ? • O usuário pode ser colocado em uma VPN protegida por Firewall ou receber um determinado valor de QoS. 5. O que você está fazendo?Usando a identidade do usuário, podem-se gerenciar mais facilmente as funções de “accounting” e localização. Operação do Sistema IBNS + NAC
Extensible Authentication Protocol (EAP) • É um protocolo detransporte flexível usado para carregar informações arbitrárias de autenticação— o EAP não é o método de autenticação em si. • O EAP provê um “framework” flexível para Segurança na camada de enlace • Protocolo de encapsulamento simples • Não depende do IP • Poucos requisitos em relação à camada de Enlace • Pode funcionar em qualquer camada de Enlace (PPP, 802, etc.) • Pode funcionar em meios com perdas • Originalmente especificado na RFC 2284, a qual se tornou obsoleta após a publicação da RFC 3748
O que o EAP faz ? • Transporta informação de autenticação sob a forma de “payloads” EAP • Estabelece e gerencia a conexão; encapsula vários tipos de mensagens de autenticação. • Métodos EAP mais utilizados : • EAP-TLS: usa certificados digitais x.509 v3 PKI e o mecanismo TLS para autenticação. (Certificados tanto no cliente como no servidor) • PEAP: Protected EAP tunnel mode EAP encapsulator; promove “tunelamento” de outros métodos EAP em uma sessão TLS criptografada. • EAP-FAST: projetado para não depender de certificados ; promove “tunelamento” de outros métodos EAP em uma sessão TLS criptografada. EAP Payload RADIUS EAP Payload Servidor RADIUS UDP 802.1x Header cliente Ethernet Header IP Header Switch Conversação EAP Resultante
Segurança Implícita do 802.1x Para cada porta física habilitada para 802.1x, o switch cria dois canais virtuais de comunicação O canal controlado só é aberto após a autorização da porta via 802.1x Controlled Uncontrolled EAPOL EAPOL Switch Uncontrolled port provides a path for extensible authentication protocol over LAN (EAPOL) andCDP trafficonly O canal não controlado provê o caminho para transporte exclusivo do protocolo EAPOL (EAP over LAN)
Modelo 802.1x para controle de acesso por porta • Identity Store/Management • Microsoft AD • LDAP • NDS • ODBC • Authenticator • LAN Switch • WLAN Access Point • Supplicant • Desktop/laptop • IP phone • WLAN Access Point • LAN Switch • Authentication Server • Microsoft IAS • ACS (Access Control Server) • Any IETF RADIUS server L2 Access IP Network Request for Service(Connectivity) Backend AuthenticationSupport Identity StoreIntegration
802.1x com associação dinâmica de VLAN Attribute Value Pairs Usados—conforme padrão IETF • [64] Tunnel-type—“VLAN” (13) • [65] Tunnel-medium-type—“802” (6) • [81] Tunnel-private-group-ID—<VLAN name> Marketing = VLAN 10 Servidor RADIUS Engenharia = VLAN 20 Política de Autorização Grupo 1 VLAN 10 VLAN 20 Grupo 2 Associação de VLAN por grupo de usuários
Guest 802.1x com VLAN de visitante (“Guest VLAN”) • “Timeout” padrão é de 30 segundos e 3 tentativas; “Timeout” total é de 90 segundos (valor padrão) • Um cliente é colocado na VLAN de visitante por não responder aos frames EAPOL-Identity-Request enviados pelo switch (que podem ser vistos como “hellos” 802.1x) • Inexistência ou não habilitação do suplicante • Não há comunicação com o servidor RADIUS (decisão sobre a VLAN de visitante é local ao switch) • Estações aptas a falar 802.1x e que podem responder ao switch via EAPOL, por definição, não podem ser direcionadas para a VLAN de visitante
Integração de 802.1x com “Wake on LAN” Supplicant 802.1x Process 1 √ WoL Frame Transmitted 3 PC Sends Traffic 4 PC Must 802.1x Authenticate √ 2 PC Can Wakeup • Tráfego de saída de uma porta (Rede ->> Cliente) é permitido • Tráfego de entrada de uma porta continua sendo bloqueado enquanto o usuário não tiver sido autorizado. • Sendo detectado tráfego na Rede, a porta volta para o estado normal e a estação tem que se autenticar.
802.1X : Reautenticação periódica Portas que suportam 802.1x podem ser configuradas para exigir reautenticação periodicamente SwitchLAN (suporta 802.1x) Switch LAN (suporta 802.1x) 12 12 Algumas máquinas foram autenticadas e estão utilizando a Rede Período de reautenticação expira e todos os clientes são forçados a se reautenticar. 9 3 9 3 6 6
Windows, Mac, Linux ? Laptop, Desktop, PDA ? Impressora ? Telefone IP ? ... ? Qual é o sistema? Empresa Empregado Terceirizado Visitante Desconhecido A quem ele pertence? Qual é o meio de acesso? VPN LAN WLAN WAN Anti-Virus, Anti-Spyware Personal Firewall Ferramentas de Patching Quais são os softwares instalados? Eles estão habilitados? Pre-Configured Checks Customized Checks Self-Remediation or Auto-Remediation Third-Party Software Qual é a melhor maneira de verificar/corrigir? NAC proporciona maior Segurança
Operação 802.1x e NAC Servidor RADIUS Cliente Switch RADIUS L2 (802.1x) Identidade + Status da Máquina • Autenticação via 802.1x • Um único túnel, múltiplas transações. • Validação de Identidade • Validação do “Status” (Verificação da adequação da Máquina aos requisitos mínimos da Política de Admissão à Rede) • Aplicação de Políticas de Grupo (autorização)
Possíveis estados NAC (Status da Máquina) • Healthy — a estação está de acordo com as políticas; sem restrições no acesso à Rede • Checkup — a estação está de acordo com as políticas, porém existe uma atualização disponível; usado para remediar uma estação para o status “healthy” de uma maneira pró-ativa • Transition — a verificação do status da estação está em andamento; a estação tem um acesso temporário até que seja feita a verificação do completa da estação; utilizado quanto a estação está sendo inicializada e todos os serviços ainda não foram iniciados e/ou os resultados de auditoria ainda não estão disponíveis • Quarantine — a estação não está adequada; o acesso é restrito a uma rede de quarentena para que a estação seja remediada; a estação não é considerada uma ameaça mas é vulnerável a um ataque conhecido ou uma infecção • Infected — a estação é uma ameaça aos outros dispositivos de rede; o acesso à Rede deve ser limitado ou totalmente negado • Unknown — a status da estação não pode ser determinado; a estação pode ser colocada em quarentena até que possa ser identificado seu o status
GARANTIR UMA POLÍTICA CONSISTENTE QUARENTENA E REMEDIAÇÃO GERÊNCIA E CONFIGURAÇÃO IDENTIFICAR DE FORMA SEGURA A ESTAÇÃO E O USUARIO Elementos definidores de uma solução NAC Identificar estações e usuários e criar associações entre eles Verifica e reforça uma única política consistente em toda a rede Atua com base nos resultados da verificação do status da estação, isolando e remediando para que ela venha a ser considerada adequada. Criação de políticas granulares para mapear rapidamente grupos de usuários às suas políticas O QUE SIGNIFICA… SEM ISSO . . . Um mecanismo de política descentralizada (ex: baseado na estação) pode levar a problemas de Segurança. Crítico para associar as estações e os usuários às suas respectivas políticas. Previne “device spoofing”. Somente saber que uma estação não está adequada não é suficiente. Deve haver um responsável pela readequação . Políticas que são muito complexas ou muito difíceis de criar podem inviabilizar o projeto. Uma solução NAC completa deve ter todas as quatro características. A ausência de uma das quatro características limita significativamente a solução.
Quando o “Agente Inteligente” é Neutralizado, o NAC falha Cuidado com os “agentes inteligentes”... Algumas implementações prometem “agentes inteligentes” O suposto “Agente Inteligente” se traduz em : Ponto Único de falha Propagação automática de worms: com um “agente inteligente”, um worm só precisa fazer uma coisa certa: SHUT DOWN AGENT = NO MORE NAC Numa implementação NAC o agente deve ser intencionalmente “burro” – verificar o que foi perguntado pelo ponto de acesso à Rede e gerar uma resposta pertinente.
Padronização do NAC • A Cisco está participando do processo de padronização do NAC • Os drafts EAP-FAST (NAC-L2) e EAPoUDP (NAC-L3) estão publicados no IETF • Cisco participou na reunião “Network Endpoint Assessment” (NEA) realizado no IETF em 2006 • Lista de discussão nea@ietf.org • Mais informações : www.cisco.com/go/nac www.cisco.com/go/ibns
Necessidade de Network Admission Control • Vírus, worms, spyware, etc., continuam a ser um grande desafio no dia-a-dia das Empresas.* Virus são só um sintoma do problema maior : aplicativos complexos com inúmeras falhas de Segurança. • Ameaças novas (principalmente baseadas em worms) tornam as soluções puramente reativas muito pouco eficazes. • Apesar de a maioria dos usuários serem autenticados, não se verifica a adequação dos computadores deles (laptops, PCs, PDAs, etc.) à Política de Segurança • É comum haver servidores e estações não adequados à Política de Segurança. É difícil detectá-los e contê-los. • Produtos pontuais de Segurança (sem visão de Sistema e Política) não são muito efetivos em manter a disponibilidade da Rede • Localizar, isolar e fazer “patching” de sistemas inefctados consome tempo e recursos. “Endpoint systems are vulnerableand represent the most likely point of infection from which a virus or worm can spread rapidly and cause serious disruption and economic damage.” Burton Group *2005 FBI/CSI Report
Em que abordagem você confia ? • Segurança como parte do sistema • Segurança Embutida na Rede • Colaboração inteligente entre os elementos • Visão de sistemas • Foco direto na principal prioridade • Segurança como uma opção • Segurança como um aditivo • Integração extremamente complicada • Não é economicamente viável • Não pode focar na principal prioridade
Demos • NAC DEMO 62
9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 The Lingering Effect of Non-Compliant EndpointsExample: “Blaster” • Fast spreading—128,000 systems infected in first three hours • Worms linger on—need to put out ‘brush fires’ • CERT data on Blaster—two plus weeks of damage Number of SystemsInfected by Blaster Unique IP Addresses 140,000 120,000 100,000 80,000 60,000 40,000 20,000 0 Aug. 11th 127,965 August 2003
NAC Benefits Dramatically Improves Security • Ensures endpoints (laptops, PCs, PDAs, servers, etc.) conform to security policy • Proactively protects against worms, viruses, spyware, and malware • Focuses operations on prevention, not reaction Extends Existing Investments • Broad integration with multi-vendor antivirus, security, and management software • Enhances investment in network infrastructure and vendor software Increases Enterprise Resilience • Comprehensive admission control across all access methods (LAN, WAN, wireless, VPN, etc.) • Prevents noncompliant and rogue endpoints from impacting network availability • Reduces OpEx related to identifying and repairing non-compliant, rogue, and infected systems