1 Network Admission Control Als beveiliging voor draadloze netwerken Jan van der Graaf Senior Consultant Security & Infrastructures

Presentatie over: "1 Network Admission Control Als beveiliging voor draadloze netwerken Jan van der Graaf Senior Consultant Security & Infrastructures"— Transcript van de presentatie:

1 1 Network Admission Control Als beveiliging voor draadloze netwerken Jan van der Graaf Senior Consultant Security & Infrastructures jan.vandergraaf@imtech.nl

2 2 Agenda ■ Uitdagingen in onderwijs ICT-infrastructuren ■ Self defening networks ■ 802.1x ■ Network Admission Control

3 3 Infrastructuren binnen onderwijs ■ Uitdagende infrastructuren  Vaak groot van afvang  Vele type eindgebruikers  Grote diversiteit aan Endpoints ■ Studiefaciliteiten  Online via het Internet  Klassikaal  Administratieve processen online toegankelijk voor studenten ■ Toegangsmogelijkheden  Wired  Wireless  Remote Access/Internet

4 4 Werkplekken binnen de infrastructuur ■ Vertrouwde Endpoints  Beheerde werkplekken  Werkplekbeveiliging goed geregeld ■ Onvertrouwde Endpoints  Inhuurkrachten, studenten laptop van medewerkers..  Vallen niet onder beheer van ICT afdeling  Werkplekken vaak niet of onvoldoende beveiligd

5 5 Beveiligingrisico's t.a.v. Endpoints ■ Viruses, worms, spyware, etc. continue to plague organizations –Viruses still #1 cause of financial loss* (downtime, recovery, productivity, etc.) ■ While most users are authenticated, their endpoint devices (laptops, PCs, PDAs, etc.) are not checked for security policy compliance ■ These unprotected endpoint devices are often responsible for spreading infection –Ensures devices accessing the network comply with policy (required security software installed, enabled, and current) is difficult and expensive “Endpoint systems are vulnerable and represent the most likely point of infection from which a virus or worm can spread rapidly and cause serious disruption and economic damage.” – Burton Group *2005 FBI/CSI Report

6 6 Beveiliging infrastructuren ■ Beveiligingsuitdagingen beheerders  Op welke wijze ga ik met beveiliging werkplekken om  Hoe controleer ik de verschillende toegangswegen  Pro-actief beveiligen in plaats van Reactief ■ Beveiligingsbeleid  Adequaat beveiligingsbeleid nodig  Tijd en geldverlies door beveiligingsincidenten

7 7 Imtech strategie netwerkbeveiliging ■ 802.1x + Network Admission Control (NAC)  Authenticatie en Autorisatie op basis van verschillende typen eindgebruikers  Zowel voor Wireless LAN, Wired LAN en Remote Access  Afdwingen werkplek compliancy voor Anti-Virus, Anti-Spyware en Windows Patch Management

8 8 802.1x

9 9 802.1x basisbeveiliging voor het (Wireless) LAN ■ 802.1x is een middel voor basisbeveiliging tegen  Aantasting exclusiviteit van informatie (vertrouwelijke informatie)  Aantasting beschikbaarheid van informatie (netwerkaanvallen) ■ 802.1x Functies  Authenticatie en Autorisatie voor Wireless netwerken  Authenticatie en Autorisatie voor Wired netwerken  Netwerkpoort beveiliging

10 10 802.1x basisbeveiliging voor het (Wireless) LAN ■ Authenticatie  Open standaard, werkt met alle AAA systemen  Diverse soorten (userid/password, smart cards..)  Integratie met Microsoft authenticatie (Active Directory) ■ Autorisatie  Poort enabling  Toewijzing tot gerechtigde delen van het netwerk (VLAN)  Wireless en Wired netwerken  Vereist goede VLAN structuur met onderlinge ACL’s

11 11 802.1x system flow

12 12 Voorbeeld 802.1x implementaties ■ Onderwijs  Beschikbaarheid van de netwerkomgeving  Scheiding studenten toepassingen en interne administratieve processen  Controle op netwerktoegang door derden (inhuur, consultants, leveranciers) Industrie  Traditioneel gescheiden productie en administratief LAN  Steeds meer behoefte aan beveiliging t.a.v. beschikbaarheid ■ Zakelijke dienstverlening  Ingezet als maatregel op basis van Afhankelijkheid en Kwetsbaarheid analyse  Exclusiviteit van informatie

13 13 Network Admission Control

14 14

15 15 Network Admissions Control (Cisco NAC) ■ Dient een tweeledig doel:  Network Admission Control (NAC): controleert toegang van endpoints (managed, unmanaged, rogue) tot het netwerk  Outbreak Prevention Services (OPS): adresseert virusuitbraak, een belangrijk onderdeel voor beheersing van netwerk virus/worm/spyware/patching life cycle. ■ NAC fasering:  NAC Phase 1 (Remote Access): juni 2004  NAC Phase 2 (LAN en Wireless): november 2005

16 16 Logische architectuur Cisco NAC

17 17 NAC Phase 2 componenten

18 18 NAC L2 802.1x: System Flow CTA-Capable Endpoints with NAC-Capable 802.1x Supplicants CTA Network Access Device (NAD) Network AAA Vendor Server 3 HCAP 5 6 8 7 1.802.1x connection setup between NAD and endpoint 2.NAD requests credentials from endpoint (EAPo802.1x) 1.This may include user, device, and/or posture 3.CTA, via NAC-capable supplicant, sends credentials to NAD (EAPo802.1x) 4.NAD sends credentials to AAA (EAPoRADIUS) 5.AAA can proxy portions of posture authentication to vendor server (HCAP) 1.User/device credentials sent to authentication databases (LDAP, Active Directory, etc) 6.AAA validates credentials, determines authorization rights 1.E.g. visitors given GUEST access, unhealthy devices given QUARANTINE access 7.AAA sends authorization policy to NAD (VLAN assignment) 1.Notification may be sent to applications on host also 8.Host assigned VLAN, may then gain IP access (or denied, restricted) 802.1x 1 EAPo802.1x 2 EAPoRADIUS 4

19 19 Cisco NAC requirements ■ Phase 2 Wired NAC  NAC compliant switch (Cisco 2950, 3550)  Cisco Trust Agent 2.0.0.30  Radius Server (Cisco ACS server 4.0)  Meetinghouse Secure Connect Cliënt  Policy Server for NAC ■ Wireless  NAC compliant Access Point (Cisco 1100, 1200)  Radius Server (Cisco ACS server 4.0)  Meetinghouse Secure Connect Cliënt  Cisco Trust Agent 2.0.0.30  Policy Server for NAC

20 20 Toekomst van Cisco NAC ■ Cisco Trust Agent  Geïntegreerd in Anti-Virus software en andere NAC compliant applicaties  Integratie met Windows Vista  Open Source ■ Concurrerende initiatieven  Microsoft Network Access Protection (NAP)  Juniper Trusted Computing Group’s Trusted Network Connect (TNC)

21 21 NAC Partner Programma ANTI VIRUSREMEDIATION CLIENT SECURITY

22 22 Voorbeeld NAC implementaties ■ Eerste NAC fase 2 implementatie Nederland bij st. Willibrordcollege ■ Doel implementatie:  Beveiliging LAN infrastructuur middels 802.1x  Implementatie Outbreak Prevention Strategie  Network Admission Control + Trend Micro Policy Server voor NAC  Implementatie Quarantine Netwerk voor geinfecteerde Endpoints; ■ Later Stadium:  NAC + Websense voor NAC = Anti-Spyware  NAC + LANdesk = Patch Management

23 23 Vragen ?