1 Network Admission Control Als beveiliging voor draadloze netwerken Jan van der Graaf Senior Consultant Security & Infrastructures

Slides:



Advertisements
Verwante presentaties
802.1x op het SURFnet kantoor
Advertisements

ICT-beschikbaarheid Business Continuity.
Eén missie één partner Stappenplan naar geïntegreerde ICT-oplossingen
Organisatie en sourcing van de DLWO Jacco Jasperse Informatie- en procesmanager Manager Dienst Informatievoorziening en Automatisering.
Mobile Device Management (MDM)
Easy Bis Bestuursdienst Informatie Systeem Van agendapunt tot besluit Met automatische internet publicatie.
Het. Het Nieuwe Werken De optimale werkplek.
Dé complete online werkplek met de kracht van Office 365
De GigaPort GPRS-pilot Klaas Wierenga SURFnet Innovatiemanagement
EduRoam en beveiliging
Olivier van Noort Product Solutions Manager Windows Client 4 februari 2010.
11 Infrastructuur Optimalisatie: Waarom een op voorzieningen gebaseerd platform de betere keuze is.
Hoogwaardig internet voor hoger onderwijs en onderzoek Utrecht, 29 maart 2006 nieuwe technische ontwikkelingen m.b.t. eduroam eduroam voorwaarts! Paul.
27 januari 2011.
Installeren, configureren en onderhouden
The vision at work Batteries included Ervaringen van een ISV op hosting avontuur Sven Middelkoop Corporate ICT Manager Exact Holding N.V.
Confidential 1 Trends in ICT J. Bruijning KPN Research 8 juni 2001.
Geheugen, distributie en netwerken Netwerken: de basis voor distributie van gegevens en taken (processen) –bestaan zo’n 40 jaar, zeer snelle ontwikkeling.
Breedband in het OV: architectuur 11 Mei 2005 GVB, Amsterdam.
Eduroam BELnet bezoek, 18 juli 2005
SURFnet en IEEE 802.1X Amsterdam, 8&9 Mei 2003.
Hoogwaardig internet voor hoger onderwijs en onderzoek Federatieve netwerk toegang: eduroam Federatiedagen, Utrecht, 29 Maart 2006
Hoogwaardig internet voor hoger onderwijs en onderzoek eduroam BELNET, Brussel, 29 September 2005
SURFnet en draadloze technologie SURFnet Relatiedagen, 8 December 2004
SURFnet introductie, 1 juni 2005
CvDUR/COMIT WLAN en samenwerking CvDUR/COMIT
EduRoam SEC seminar, 22 februari 2005
Hoogwaardig internet voor hoger onderwijs en onderzoek Utrecht, 27 oktober 2005 Wireless LAN beveiliging Paul Dekkers.
De eerste schreden op de weg naar Identity Management
M A K E Y O U R N E T W O R K S M A R T E R July, Middag programma.
Windows Applicaties Bouwen met Visual Studio.NET Sijmen Koffeman Development Consultant Microsoft.
MCSA traject Leerjaar 4 H /10 Agenda Samenvatting H1.
Hoe integreer ik Lync in mijn Telecommunicatieomgeving?
© Copyright Dragon1 - Alle rechten voorbehouden.
What’s in the cloud for testing de mogelijkheden voor het testvak 12 mei 2010.
Uitleg local heroes over wijzigingen werkplek en lokale werkplekken.
/ MAXIMAAL DRIE WOORDEN 0 For internal use GETRONICS / KPN acquisitie en samenwerking Roelof Mulder BUSINESS UNIT DIRECTOR GETRONICS ICS 6 APRIL 2010.
Minisymposium Labs on Line afsluiting project e-Xperimenteren+ 1 december 2006.
Govroam Presentatie tijdens DSA-bijeenkomst over Public WiFi 3 juni 2014, door Paul Francissen.
OPTIGUARD OBSERVER. Eigenschappen en vereisten Eigenschappen Grafische en akoestisch alarmen Alarmen zichtbaar op kaarten van winkels en winkelcentra.
Deltion College Engels B2 Schrijven [Edu/005] thema: Writing a hand-out can-do: kan een begrijpelijke samenvatting schrijven © Anne Beeker Alle rechten.
APP Platform Rivium, 5 maart 2013 Rik Vietsch.
Criteria for Invasive management Acute Coronary Syndromes (ACS) in patients presenting without persistent ST-segment elevation Eduard van den.
Introductie INFBIT01DT Schooljaar
Enterprise Service Bus IBK3ESB01
Informatiseringscentrum Marijke Vandecappelle Tormo van Schuppen 5 december 2012 UvA IDM in 15 minuten.
In het hoger onderwijs Identity Management. partner in IGI Group Peter Jurg.
De compliance functie en beloningsbeleid VCO, 6 maart 2012 Janet Visbeen
Name : Jean-Paul in ‘t Zandt Title : Service Solution Sales Professional Premier Microsoft BV Maximize the Value of your IT Investments. Microsoft Services.
SSO demo Peter Mesker. Imprivata OneSign Platform A Converged Identity and Access Management platform that enforces secure and compliant employee access.
Hoeveel aandacht besteed jij aan security testing? 1 Security is always excessive until it's not enough.
WirelessCity Ontdek de mogelijkheden van HP Wireless
WiFi instellingen woensdag 1 maart 2017.
Key Process Indicator Sonja de Bruin
WIFI IN DE GEZONDHEIDSZORG
Samenwerken & lobby Harde lessen & hoe nu verder.
WirelessEnterprise Ontdek de mogelijkheden van HP Wireless
Innovatie met IBM Cloud Orchestrator.
Microsoft SharePoint Server 2013
WirelessEducation Ontdek de mogelijkheden van HP Wireless
Microsoft vs de rest “Wat biedt het Microsoft Cloudplatform en hoe kan dit bijdragen aan veilig, snel en schaalbaar werken binnen elke organisatie.” Thomas.
The Hybrid Workspace Gino van Essen Technical Consultant.
Faciliteiten voor toegang tot het EURnet voor mobiele werkstations
UT Gert Meijerink Service Departement for Information Technology, Library and Education (ITBE) DFN 2004.
… een poging tot verheldering …
Pieter Vogelaar Sales Manager Networks
M5 Datacommunicatie Transportlaag
A National Strategy for Public Libraries in the Netherlands
Jannes Huisman Senior coach
Microsoft Operations Management Suite (MOMS)
Transcript van de presentatie:

1 Network Admission Control Als beveiliging voor draadloze netwerken Jan van der Graaf Senior Consultant Security & Infrastructures

2 Agenda ■ Uitdagingen in onderwijs ICT-infrastructuren ■ Self defening networks ■ 802.1x ■ Network Admission Control

3 Infrastructuren binnen onderwijs ■ Uitdagende infrastructuren  Vaak groot van afvang  Vele type eindgebruikers  Grote diversiteit aan Endpoints ■ Studiefaciliteiten  Online via het Internet  Klassikaal  Administratieve processen online toegankelijk voor studenten ■ Toegangsmogelijkheden  Wired  Wireless  Remote Access/Internet

4 Werkplekken binnen de infrastructuur ■ Vertrouwde Endpoints  Beheerde werkplekken  Werkplekbeveiliging goed geregeld ■ Onvertrouwde Endpoints  Inhuurkrachten, studenten laptop van medewerkers..  Vallen niet onder beheer van ICT afdeling  Werkplekken vaak niet of onvoldoende beveiligd

5 Beveiligingrisico's t.a.v. Endpoints ■ Viruses, worms, spyware, etc. continue to plague organizations –Viruses still #1 cause of financial loss* (downtime, recovery, productivity, etc.) ■ While most users are authenticated, their endpoint devices (laptops, PCs, PDAs, etc.) are not checked for security policy compliance ■ These unprotected endpoint devices are often responsible for spreading infection –Ensures devices accessing the network comply with policy (required security software installed, enabled, and current) is difficult and expensive “Endpoint systems are vulnerable and represent the most likely point of infection from which a virus or worm can spread rapidly and cause serious disruption and economic damage.” – Burton Group *2005 FBI/CSI Report

6 Beveiliging infrastructuren ■ Beveiligingsuitdagingen beheerders  Op welke wijze ga ik met beveiliging werkplekken om  Hoe controleer ik de verschillende toegangswegen  Pro-actief beveiligen in plaats van Reactief ■ Beveiligingsbeleid  Adequaat beveiligingsbeleid nodig  Tijd en geldverlies door beveiligingsincidenten

7 Imtech strategie netwerkbeveiliging ■ 802.1x + Network Admission Control (NAC)  Authenticatie en Autorisatie op basis van verschillende typen eindgebruikers  Zowel voor Wireless LAN, Wired LAN en Remote Access  Afdwingen werkplek compliancy voor Anti-Virus, Anti-Spyware en Windows Patch Management

x

x basisbeveiliging voor het (Wireless) LAN ■ 802.1x is een middel voor basisbeveiliging tegen  Aantasting exclusiviteit van informatie (vertrouwelijke informatie)  Aantasting beschikbaarheid van informatie (netwerkaanvallen) ■ 802.1x Functies  Authenticatie en Autorisatie voor Wireless netwerken  Authenticatie en Autorisatie voor Wired netwerken  Netwerkpoort beveiliging

x basisbeveiliging voor het (Wireless) LAN ■ Authenticatie  Open standaard, werkt met alle AAA systemen  Diverse soorten (userid/password, smart cards..)  Integratie met Microsoft authenticatie (Active Directory) ■ Autorisatie  Poort enabling  Toewijzing tot gerechtigde delen van het netwerk (VLAN)  Wireless en Wired netwerken  Vereist goede VLAN structuur met onderlinge ACL’s

x system flow

12 Voorbeeld 802.1x implementaties ■ Onderwijs  Beschikbaarheid van de netwerkomgeving  Scheiding studenten toepassingen en interne administratieve processen  Controle op netwerktoegang door derden (inhuur, consultants, leveranciers) Industrie  Traditioneel gescheiden productie en administratief LAN  Steeds meer behoefte aan beveiliging t.a.v. beschikbaarheid ■ Zakelijke dienstverlening  Ingezet als maatregel op basis van Afhankelijkheid en Kwetsbaarheid analyse  Exclusiviteit van informatie

13 Network Admission Control

14

15 Network Admissions Control (Cisco NAC) ■ Dient een tweeledig doel:  Network Admission Control (NAC): controleert toegang van endpoints (managed, unmanaged, rogue) tot het netwerk  Outbreak Prevention Services (OPS): adresseert virusuitbraak, een belangrijk onderdeel voor beheersing van netwerk virus/worm/spyware/patching life cycle. ■ NAC fasering:  NAC Phase 1 (Remote Access): juni 2004  NAC Phase 2 (LAN en Wireless): november 2005

16 Logische architectuur Cisco NAC

17 NAC Phase 2 componenten

18 NAC L x: System Flow CTA-Capable Endpoints with NAC-Capable 802.1x Supplicants CTA Network Access Device (NAD) Network AAA Vendor Server 3 HCAP x connection setup between NAD and endpoint 2.NAD requests credentials from endpoint (EAPo802.1x) 1.This may include user, device, and/or posture 3.CTA, via NAC-capable supplicant, sends credentials to NAD (EAPo802.1x) 4.NAD sends credentials to AAA (EAPoRADIUS) 5.AAA can proxy portions of posture authentication to vendor server (HCAP) 1.User/device credentials sent to authentication databases (LDAP, Active Directory, etc) 6.AAA validates credentials, determines authorization rights 1.E.g. visitors given GUEST access, unhealthy devices given QUARANTINE access 7.AAA sends authorization policy to NAD (VLAN assignment) 1.Notification may be sent to applications on host also 8.Host assigned VLAN, may then gain IP access (or denied, restricted) 802.1x 1 EAPo802.1x 2 EAPoRADIUS 4

19 Cisco NAC requirements ■ Phase 2 Wired NAC  NAC compliant switch (Cisco 2950, 3550)  Cisco Trust Agent  Radius Server (Cisco ACS server 4.0)  Meetinghouse Secure Connect Cliënt  Policy Server for NAC ■ Wireless  NAC compliant Access Point (Cisco 1100, 1200)  Radius Server (Cisco ACS server 4.0)  Meetinghouse Secure Connect Cliënt  Cisco Trust Agent  Policy Server for NAC

20 Toekomst van Cisco NAC ■ Cisco Trust Agent  Geïntegreerd in Anti-Virus software en andere NAC compliant applicaties  Integratie met Windows Vista  Open Source ■ Concurrerende initiatieven  Microsoft Network Access Protection (NAP)  Juniper Trusted Computing Group’s Trusted Network Connect (TNC)

21 NAC Partner Programma ANTI VIRUSREMEDIATION CLIENT SECURITY

22 Voorbeeld NAC implementaties ■ Eerste NAC fase 2 implementatie Nederland bij st. Willibrordcollege ■ Doel implementatie:  Beveiliging LAN infrastructuur middels 802.1x  Implementatie Outbreak Prevention Strategie  Network Admission Control + Trend Micro Policy Server voor NAC  Implementatie Quarantine Netwerk voor geinfecteerde Endpoints; ■ Later Stadium:  NAC + Websense voor NAC = Anti-Spyware  NAC + LANdesk = Patch Management

23 Vragen ?