Transcription
Technologie Seminarreihe10. September 2009Mit High-Speed Switching in die e Steuerung, dezentrale KontrolleDirk Schneider, HP ProCurve Network Consultant, informiert Sie überdie wichtigsten Entwicklungen im Bereich geswitchter Netzwerke.Natürlich werden in diesem Rahmen auch die neuesten Produkte undEntwicklungen des Herstellers HP ProCurve vorgestelltAlle Seminarunterlagen finden Sie unter „www.bachert.de“ im Bereich Aktuelles/SeminareNetzwerksicherheit, Juni 2009 Seite 1
NetzwerksicherheitStändig steigende Bedeutung wachsende Vernetzung im IT- und Nicht-IT Bereich steigende Mobilitätsansprüche (ex- und interne Ressourcen) Flexibilisierung der Arbeitsprozesse über alleUnternehmensbereicheNetzwerksicherheit, Juni 2009 Seite 2
NetzwerksicherheitEin umfassender Schutz ist nur durch einenvielschichtigen Ansatz erreichbar.“Zwiebelmodell” network access controlZugriffskontrolle intrusion preventionEinbruchschutz und Meldesysteme identity and access managementIdentitäts- und Zugriffsmanagement vulnerability managementGefahren und RisikomanagementNetzwerksicherheit, Juni 2009 Seite 3
Netzwerksicherheit2007 hätten 80% der Schadensursachen in Netzwerkendurch den Einsatz verfügbarer Technologien verhindertwerden können: network access control, intrusion prevention, identity and access management, vulnerability management.”Netzwerksicherheit, Juni 2009 Seite 4
ProCurve SecurityProActiveDefenseZugriffskontrolleWer möchte wann,von wo auf ung undAbblockung vonverschiedenstenAttacken undAngriffen auf dasNetzwerk.RegulatoryComplianceAdaptive Edge ArchitectureNetzwerksicherheit, Juni 2009 Seite 5SichereInfrastrukturSichere Bereitstellung einergemanagtenNetzwerkinfrastruktur.
Adaptive Edge ArchitectureServers Die Zugangspunkte imNetzwerk bieten den optimalenAnsatz um Anomalien undGefahren zu erkennen.Sich abzeichnende Problemewerden am Ort der Entstehungbehoben/gelöst/bekämpft.Command from the center,control to the edge – theProCurve Adaptive ntsCOMMANDFROM THECENTERWirelessClientsPer-PortDistributed ProcessorsNetzwerksicherheit, Juni 2009 Seite 6
Adaptive EDGE Architecture Kontrolle im Edge-Bereich Der erste Zugangspunkt bietetdie optimale MöglichkeitProbleme zu heit 802.1XWeb authenticationMAC authenticationVirus ThrottlingACLsDHCP SnoopingARP protectionBPDU protection & filteringMAC lockout / lockdownSource port filteringMultiple Threat chesClientsInterconnectFabricWirelessAccess PointsWirelessClientsEdgeNetworkCommandfrom the CenterNetzwerksicherheit, Juni 2009 Seite 7EdgePortalInternet
IDM Identity Driven Manager IDM add-on for PCM dynamically applies security, access and performancesettings to network infrastructure devices Users receive appropriate access and rights wherever and whenever theyconnect based upon pre-configured access rights and policies Provides edge-enforced access control based on user, device, time, location, andclient system stateCan apply VLAN, ACL, QoS, and bandwidth limit settings on a per user basisManagement effort is reduced since policies are defined using PCM clientVLANs can be used for primary purpose of limiting communication betweenusers instead of controlling access to core resourcesBased onthese attributes:Set theseparameters:Rev. 6.413User IDVLANDevice IDTimeBandwidth limitNetzwerksicherheit, Juni 2009 Seite 8LocationQoSClient integritystatusACLs8
Using identity-driven access controls Identity-driven solution provides a means of enforcing per-user access rightsbased on: Who the user isWhere the access is occurringWhen the access is occurringWhat resources are allowedBusinessNetworkInternetwhen9:00whatGuest & EmployeeConference Roomwhere8:55Parking lotRev. 6.415LobbyNetzwerksicherheit, Juni 2009 Seite 9R&DLANwhoCampus9
IDM in operation1. User plugs in to network2. User is challenged forcredentials by switchEdge devicewith IDMfeature support4. Switch forwards credentials toRADIUS server resulting inrequest for identity /authentication from database 7. Userspecificresourcesare madeavailable3. User sends credentials(username/passwordor smartcard)6. If valid user, IDM checks Username / password Time of day Location System (MAC address) Client Integrity StatusIDM Agent is aware of transaction5. Databaseresponds withuser validityRADIUSserver- Query to third-partyAnd applies access profile- VLAN, QoS, Bandwidth,ACLsIDMAgentPer usernetworkparameterdatabaseIDM Agent adds“authorization”parameters to theRADIUS reply sentto the switchwhere the accessrights of the clientare enforcedEdge device must support MAC, Web, or 802.1X authenticationRev. 6.418Netzwerksicherheit, Juni 2009 Seite 1010
Network Access SecurityNetworkAdministratorConference RoomInternetZgriff nur auf dasInternetZugriff auf Interund IntranetZugriff nur antEmployeeEdgeSwitch1. Sets up role based accesspolicy groups & assignsrules and access profiles: Set rulesEnterprise TimeLAN Location Device ID Client integrity status To trigger each policyCorporateprofileServer ACL VLAN QoS BW limitAnti-Virus remediation2. Put users in appropriateServeraccess policy groupConference RoomNetzwerksicherheit, Juni 2009 Seite 11AccessPolicyServer
Network Access SecurityNetworkAdministratorConference RoomInternetZgriff nur auf dasInternetZugriff auf Interund IntranetZugriff auf Interund IntranetGuestEmployeeCompliantEmployeeEdgeSwitch1. Sets up role based accesspolicy groups & assignsrules and access profiles: Set rulesEnterprise TimeLAN Location Device ID Client integrity status To trigger each policyCorporateprofileServer ACL VLAN QoS BW limitAnti-Virus2. Put users in appropriateServeraccess policy groupConference RoomNetzwerksicherheit, Juni 2009 Seite 12AccessPolicyServer
Client Authentication Possibilities Am Edge-Switch stehen 3 Authentifizierungsmethoden zur Verfügung: IEEE 802.1XWeb AuthenticationMAC no clientsoftware required –sends MAC addressusing 802.1Xclient softwareNetzwerksicherheit, Juni 2009 Seite 13using webbrowser only
802.1X, Web and MAC authentication 802.1X standard based and widely-used no IP communication until authentication successful port based access control user based access control (up to 32 per port) Web-Authentication port communication is redirectedto the switch temporary IP address is assignedby the switch login screen is presented for the client MAC-Authentication the device MAC address is used as username/passwordNetzwerksicherheit, Juni 2009 Seite 14
ZugriffskontrolleIdentity Driven Manager (IDM) Allows easy creation and management of user policy groups for optimizingnetwork performance and increasing user productivityDynamically apply security, access and performance settings at port levelbased on policiesIDM adds network reports and logs based on users for auditSet Based on IDQoSClientIntegrityStatus15Netzwerksicherheit, Juni 2009 Seite 15
Adaptive Zugriffskontrolle mit IDMAuthenticationServerHTTP RequestWeb-AuthMAC henticationDirectoryRADIUSServerActive DirectoryLDAPIDM Agent802.1X AuthenticatorPolicy Enforcement Point (PEP)ProCurve Switchesand Access-PointsProCurveowned3rd PartySoftwarePCM / IDMServerNetwork MgmtServer16Netzwerksicherheit, Juni 2009 Seite 16
Adaptive Zugriffkontrolle mitIDM und ProCurve NAC 800Überprüfung der EndgeräteNetwork Access Controller 800Betriebssystemversion und Patch-Stand Stand der Anti-Virus und Anti-Spyware-SoftwareGeforderte oder verbotene Anwendungssoftware. EndpointIntegrity AgentUnd mehr .EI PolicyDefinitionsOn-demandEndpointIntegrity AgentAny 802.1XClientMAC AddressHTTP RequestAuthenticationDirectoryRADIUS ServerMAC-AuthWeb-AuthIDM Agent802.1X AuthenticatorActive DirectoryeDirectoryLDAPPCM / IDMServerPolicy Enforcement Point (PEP)ProCurve Switchesand Access-PointsProCurveownedNetwork MgmtServer17Netzwerksicherheit, Juni 2009 Seite 17
Access ControlEndpoint Integrity with ProCurve NAC 800 Authenticated systems protects the network from harmfulsystems and enforces systemsoftware requirements Endpoint integrity checks Antivirus, spyware, firewalls,peer-to-peer, allowed and prohibitedprograms and services OS versions, services packs, hotfixes Security settings for browsers andapplications18Netzwerksicherheit, Juni 2009 Seite 18
Endpoint Integrity Tests Operating systemsService PacksRogue WAP ConnectionWindows 2000 hotfixesWindows Server 2003 SP1 hotfixesWindows Server 2003 hotfixesWindows XP SP2 hotfixesWindows XP hotfixesWindows automatic updatesBrowser security policyIE internet security zoneIE local intranet security zoneIE restricted site security zoneIE trusted site security zoneIE versionSecurity settingsMS Excel macrosMS Outlook macrosMS Word macrosServices not allowedServices requiredWindows Bridge Network ConnectionWindows security policyWindows startup registry entries allowedPersonal firewallsAOL Security EditionBlack ICE FirewallComputer Associates EZ FirewallInternet Connection Firewall (PreXP SP2)McAfee Personal FirewallPanda Internet SecurityF-Secure Personal FirewallNorton Personal Firewall / InternetSecuritySygate Personal FirewallSymantec Client FirewallTiny Personal FirewallTrend Micro Personal FirewallZoneAlarm Personal FirewallSenforce Advanced FirewallWindows FirewallMS Office version checkMicrosoft Office XPMicrosoft Office 2003Microsoft Office 2000prohibited SoftwareAdministrator definedRequired softwareAdministrator definedP2P and instant messagingAltnetAOL instant line Connect ClientIceChat IRC clientICQ ProIRCXproKazaaKazaa Lite K CNexIRCNot Only TwoP2PNet.netPerfectNavsavIRC19Netzwerksicherheit, Juni 2009 Seite 19TrillianTurbo IRCVisual IRCXFireYahoo! Messenger
Endpoint Integrity ChecksAnti-virusNOD32 AntiVirusAVG AntiVirus Free EdComputer Associates eTrust AntiVirusComputer Associates eTrust EZ AntiVirusF-Secure AntiVirusKaspersky AntiVirus for FileServersKaspersky AntiVirus for WorkstationsMcAfee VirusScanMcAfee Managed VirusScanMcAfee Enterprise VirusScanMcAfee Internet Security Suite 8.0Norton Internet SecurityTrend Micro AntiVirusTrend Micro OfficeScan Corporate EditionSophos AntiVirusPanda Internet SecuritySymantec Corporate AntiVirusAnti-spywareAd-Aware SE PersonalAd-Aware PlusAd-Aware ProfessionalCounterSpyMcAfee AntiSpywarePest PatrolSpyware EliminatorWebroot Spy SweeperWindows DefenderNetzwerksicherheit, Juni 2009 Seite 20Spyware, Worms, viruses, and 2.HLLW.Doomjuice.B20W32.HLLW.LovgateW32 Sober.OW32.Sober.ZW32.Welchia.WormW32.Zotob.E
Gastzugänge im WLAN anlegenThe WebUser administrator can access only this window.1Manuallyset ausernameand passwordAutomaticallycreate ausername andpassword23421Rev 1.0Netzwerksicherheit, Juni 2009 Seite 2121
Zusammenfassung ProCurve bietet eine umfassende und handhabbare Zugangskontrolle um IhreNetzwerkinfrastruktur zu schützen: Eine erweiterbare und handhabbare Lösung. Flexibel für gegenwärtige und zukünftige Anforderungen. Schützt das Netzwerk vor gefährlichen oder infizierten Endgeräten. Erzwingt die Einhaltung der internen Unternehmenspolitik im Umgang mit der ITInfrastruktur.Vereinheitlichte Zugangskontrolle für LAN, WLAN und WAN.The ProCurve Access Control solution helps administrators deploy securednetwork access based on business policyMore Security with Less Complexity22Netzwerksicherheit, Juni 2009 Seite 22
Norton Personal Firewall / Internet Security Sygate Personal Firewall Symantec Client Firewall Tiny Personal Firewall Trend Micro Personal Firewall ZoneAlarm Personal Firewall Senforce Advanced Firewall Windows Firewall MS Office version check Micros
