Ateadagen 2006 Välkommen! Nya skyddsmekanismer för intern säkerhet Stephan Lagerholm, BM Säkerhet
Det platta nätet På medeltiden trodde man att jorden var platt. Columbus bevisade för en häpen omvärld att jorden var rund Från början trodde man också att Internet var platt. Inga brandväggar eller filtreringar behövdes mellan olika organisationer
Brandväggsinterfacens tid 1. Olika säkerhetszoner för olika nätverk –Insida, utsida, DMZ 2. Fler och fler ben, mer och mer prestanda –Insida, utsida, DMZ1, DMZ2, Partnernet, Extranet, Kundnet –VLAN teknologi för att slippa ha så många interface 3. Intern säkerhet, IPS
Maskarna föds
Varje port i korskopplingsskåpet behöver skyddas! Insidan och utsidan utsuddade. På grund av laptops. Skulle behöva en brandvägg/IPS med ett interface per klient! Kan vi använda switchen? Vad är utmaningen? Switch ofta L2 CPU kraften Administrativa problem, vem ansluter, hur skall vi filtrera? Leverantör, ofta är Switchtillverkarna inte speciellt bra på säkerhet/virus?
Varje port i korskopplingsskåpet behöver skyddas! Switch L2 –Går det att använda någonting annat än switchen för filterering? CPU –Går det att låna lite av klienternas datakraft? –Måste vi scanna all trafik som passerar? –Räcker det med att scanna när datorn kopplar in sig? Administration –Kan vi fixa en central policy där ingen konfiguration läggs i switchen? Leverantörsproblemet –Samarbete över ”gränserna” krävs. Svar på frågorna?
What Is Network Admission Control? Please enter username : device security network security Network Admission Control (NAC) är en lösning som använder befintlig infrastruktur för att säkerställa policygraranti på alla enheter som söker access till nätverket. identity NAC
Lösningen Network Admission Control = NAC Samlingsnamn för ett flertal olika tekniker från olika tillverkare för koncept med policygaranti. Vilken lösning skall man välja: –Switchtillverkarens? kräver ofta homogent nätverk. –Antivirustillverkarens? Svårare att låsa ute externa klienter. –Köpa burk och ställa brevid? Kan bli dyrt med många burkar. –Andra lösningar – DHCP?
Samarbete Systems Networks Denna typ av lösningar kräver samarbete mellan nätgruppen och säkerhets/antivirusgruppen.
Cisco NAC i praktiken AAA Server Vendor Servers Hosts Attempting Network Access Network Access Devices (NAD) Policy Server Decision Points Credentials EAP/UDP, EAP/802.1x RADIUS Credentials HTTPS Access Rights Notification Cisco Trust Agent 1 Comply? Enforcement a 3 5
Cisco Trust Agent 2.0 Supported on Windows 2000, XP, 2003 and Red Hat Linux Supports 2 transport layers –EAPoUDP - layer 3 –EAPo802.1x - layer 2 (Windows only) Includes OEM 802.1x supplicant from Meetinghouse Communications –Wired functionality only –Can be replaced by a retail version from either Funk or MDC for full feature support Gathers OS information including patch and hotfixes Support browser auto-launch Includes Customer Scripting Interface Backward compatible with CTA 1.0 posture plugins from NAC Program Participants Broker & Security Vendor Client Apps Cisco Security Agent Customer Apps Communication services: Layer 3: EAP/UDP Layer 2: EAP/802.1X Scripting Interface Posture Plugin API Cisco Trust Agent Over 50 Program Participants
Strategi Planera tidigt! –Klient eller klientlös? –Stopp direkt vid klient eller längre in i nätverket? –Proof Of Concept Implementera –”Logg only” att böra med HCAP -> Tillverkares Policyserver GAME -> Avsökning av klientlösa datorer.
Continually improve network admission control solution NAC Implementation Service Across Security Life Cycle Plan for a sound NAC architecture and design Build scalable, adaptable, easy-to-upgrade NAC solution Integrate NAC into the network infrastructure Assess network operations and infrastructure to determine NAC readiness Develop a NAC design detailing topology, device configurations, HW/SW upgrades, and management Provide onsite installation of a corporate-wide deployment Provide ongoing consultation to optimize NAC for reliability, efficiency and scalability
Anslutningsmatrisen
Scenario, Workgroup Alt 1, Switchen Alt 2, Bakomliggande utrustning Alt 3, DHCP
Scenario, Utgående Internet Internet
Scenario, Wireless Alt 1, Accesspunkten Alt 2, Bakomliggande utrustning
Scenario, Remote Access
Scenario, Datacenter Datacenter
NAC Program Participants SHIPPING DEVELOPING
Tack! Vill du veta mer? E-post: Telefonnummer: