1 Network Admission Control Als beveiliging voor draadloze netwerken Jan van der Graaf Senior Consultant Security & Infrastructures
2 Agenda ■ Uitdagingen in onderwijs ICT-infrastructuren ■ Self defening networks ■ 802.1x ■ Network Admission Control
3 Infrastructuren binnen onderwijs ■ Uitdagende infrastructuren Vaak groot van afvang Vele type eindgebruikers Grote diversiteit aan Endpoints ■ Studiefaciliteiten Online via het Internet Klassikaal Administratieve processen online toegankelijk voor studenten ■ Toegangsmogelijkheden Wired Wireless Remote Access/Internet
4 Werkplekken binnen de infrastructuur ■ Vertrouwde Endpoints Beheerde werkplekken Werkplekbeveiliging goed geregeld ■ Onvertrouwde Endpoints Inhuurkrachten, studenten laptop van medewerkers.. Vallen niet onder beheer van ICT afdeling Werkplekken vaak niet of onvoldoende beveiligd
5 Beveiligingrisico's t.a.v. Endpoints ■ Viruses, worms, spyware, etc. continue to plague organizations –Viruses still #1 cause of financial loss* (downtime, recovery, productivity, etc.) ■ While most users are authenticated, their endpoint devices (laptops, PCs, PDAs, etc.) are not checked for security policy compliance ■ These unprotected endpoint devices are often responsible for spreading infection –Ensures devices accessing the network comply with policy (required security software installed, enabled, and current) is difficult and expensive “Endpoint systems are vulnerable and represent the most likely point of infection from which a virus or worm can spread rapidly and cause serious disruption and economic damage.” – Burton Group *2005 FBI/CSI Report
6 Beveiliging infrastructuren ■ Beveiligingsuitdagingen beheerders Op welke wijze ga ik met beveiliging werkplekken om Hoe controleer ik de verschillende toegangswegen Pro-actief beveiligen in plaats van Reactief ■ Beveiligingsbeleid Adequaat beveiligingsbeleid nodig Tijd en geldverlies door beveiligingsincidenten
7 Imtech strategie netwerkbeveiliging ■ 802.1x + Network Admission Control (NAC) Authenticatie en Autorisatie op basis van verschillende typen eindgebruikers Zowel voor Wireless LAN, Wired LAN en Remote Access Afdwingen werkplek compliancy voor Anti-Virus, Anti-Spyware en Windows Patch Management
x
x basisbeveiliging voor het (Wireless) LAN ■ 802.1x is een middel voor basisbeveiliging tegen Aantasting exclusiviteit van informatie (vertrouwelijke informatie) Aantasting beschikbaarheid van informatie (netwerkaanvallen) ■ 802.1x Functies Authenticatie en Autorisatie voor Wireless netwerken Authenticatie en Autorisatie voor Wired netwerken Netwerkpoort beveiliging
x basisbeveiliging voor het (Wireless) LAN ■ Authenticatie Open standaard, werkt met alle AAA systemen Diverse soorten (userid/password, smart cards..) Integratie met Microsoft authenticatie (Active Directory) ■ Autorisatie Poort enabling Toewijzing tot gerechtigde delen van het netwerk (VLAN) Wireless en Wired netwerken Vereist goede VLAN structuur met onderlinge ACL’s
x system flow
12 Voorbeeld 802.1x implementaties ■ Onderwijs Beschikbaarheid van de netwerkomgeving Scheiding studenten toepassingen en interne administratieve processen Controle op netwerktoegang door derden (inhuur, consultants, leveranciers) Industrie Traditioneel gescheiden productie en administratief LAN Steeds meer behoefte aan beveiliging t.a.v. beschikbaarheid ■ Zakelijke dienstverlening Ingezet als maatregel op basis van Afhankelijkheid en Kwetsbaarheid analyse Exclusiviteit van informatie
13 Network Admission Control
14
15 Network Admissions Control (Cisco NAC) ■ Dient een tweeledig doel: Network Admission Control (NAC): controleert toegang van endpoints (managed, unmanaged, rogue) tot het netwerk Outbreak Prevention Services (OPS): adresseert virusuitbraak, een belangrijk onderdeel voor beheersing van netwerk virus/worm/spyware/patching life cycle. ■ NAC fasering: NAC Phase 1 (Remote Access): juni 2004 NAC Phase 2 (LAN en Wireless): november 2005
16 Logische architectuur Cisco NAC
17 NAC Phase 2 componenten
18 NAC L x: System Flow CTA-Capable Endpoints with NAC-Capable 802.1x Supplicants CTA Network Access Device (NAD) Network AAA Vendor Server 3 HCAP x connection setup between NAD and endpoint 2.NAD requests credentials from endpoint (EAPo802.1x) 1.This may include user, device, and/or posture 3.CTA, via NAC-capable supplicant, sends credentials to NAD (EAPo802.1x) 4.NAD sends credentials to AAA (EAPoRADIUS) 5.AAA can proxy portions of posture authentication to vendor server (HCAP) 1.User/device credentials sent to authentication databases (LDAP, Active Directory, etc) 6.AAA validates credentials, determines authorization rights 1.E.g. visitors given GUEST access, unhealthy devices given QUARANTINE access 7.AAA sends authorization policy to NAD (VLAN assignment) 1.Notification may be sent to applications on host also 8.Host assigned VLAN, may then gain IP access (or denied, restricted) 802.1x 1 EAPo802.1x 2 EAPoRADIUS 4
19 Cisco NAC requirements ■ Phase 2 Wired NAC NAC compliant switch (Cisco 2950, 3550) Cisco Trust Agent Radius Server (Cisco ACS server 4.0) Meetinghouse Secure Connect Cliënt Policy Server for NAC ■ Wireless NAC compliant Access Point (Cisco 1100, 1200) Radius Server (Cisco ACS server 4.0) Meetinghouse Secure Connect Cliënt Cisco Trust Agent Policy Server for NAC
20 Toekomst van Cisco NAC ■ Cisco Trust Agent Geïntegreerd in Anti-Virus software en andere NAC compliant applicaties Integratie met Windows Vista Open Source ■ Concurrerende initiatieven Microsoft Network Access Protection (NAP) Juniper Trusted Computing Group’s Trusted Network Connect (TNC)
21 NAC Partner Programma ANTI VIRUSREMEDIATION CLIENT SECURITY
22 Voorbeeld NAC implementaties ■ Eerste NAC fase 2 implementatie Nederland bij st. Willibrordcollege ■ Doel implementatie: Beveiliging LAN infrastructuur middels 802.1x Implementatie Outbreak Prevention Strategie Network Admission Control + Trend Micro Policy Server voor NAC Implementatie Quarantine Netwerk voor geinfecteerde Endpoints; ■ Later Stadium: NAC + Websense voor NAC = Anti-Spyware NAC + LANdesk = Patch Management
23 Vragen ?