In diesem Seminar vermitteln IT-Spezialisten für NAC auf der Basis jahrelanger Projektpraxis das notwendige Rüstzeug für Planung, Implementierung und Betrieb einer NAC-Lösung. Damit ist dieses Seminar ein Muss für alle, die mit Aufgaben in Zusammenhang mit der Planung, Implementierung und dem Betrieb von Lösungen im Bereich Netzzugangskontrolle betraut sind. Zahlreiche Beispiele aus der Praxis und aus realen Netzen runden die Darstellung der Funktionsweise und der Protokolle für Network Access Control ab.
Bedrohungen im kabelbasierten LAN
- Für welche Inhalte steht die Abkürzung NAC?
- Warum sollte ich einen kabelgebundenen LAN-Zugang absichern?
- Welchen Gefährdungen ist das Netzwerk ausgesetzt ist, wenn jegliches Endgerät ungeprüft angebunden werden darf?
- Angriffsvarianten wie Spoofing, Man-in-the-Middle und Session Hijacking
- Risikominimierung durch NAC mittels Authentisierung und Autorisierung
Authentisierung: Ein Kurzüberblick über Techniken und Protokolle
- Grundlagen der Identitätsüberprüfung
- Passwortbasierte Authentisierung und ihre Grenzen
- Challenge-Response-Verfahren
- Schwache und starke Authentisierung
- Einfache oder gegenseitige Authentisierung
IEEE 802.1X
- Grundprinzip einer Netzzugangskontrolle
- IEEE 802.1X als der Standard zur Umsetzung von NAC
- Evolution und aktueller Stand von IEEE 802.1X
- Funktionsprinzip von IEEE 802.1X
- Komponenten, Schnittstellen, Protokolle und Funktionsweisen
- Das Extensible Authentication Protocol (EAP) als zentraler Baustein
- Erweiterungen und Grenzen von IEEE 802.1X
Authentisierungstechniken
- Funktionsweise von EAP
- Der Dschungel der EAP-Methoden
- Details zu den relevantesten EAP-Methoden
- Warum EAP-MD5 nur noch in Ausnahmefällen Verwendung finden sollte.
- Zertifikatsbasierte Authentisierung mit EAP-TLS – die Grundlagen
- Tunnelmethoden anhand von EAP-FAST und PEAP
- Maschinenauthentisierung und Benutzerauthentisierung: Einsatzszenarien und Fallstricke
- Starke Verknüpfung einer Maschinen- und Benutzerauthentisierung mittels T-EAP
- MAC-Address-Authentisierung im Detail beleuchtet
RADIUS – die Grundlagen
- Das Protokoll RADIUS im Überblick
- Grundlagenverständnis zu Funktionsweise und Aufbau von RADIUS
- Dynamik und Automatisierung durch dynamische VLAN-Zuweisung und/oder Access Control Lists (ACLs)
- Warum Diameter zwar alles besser macht als RADIUS, aber für NAC dennoch uninteressant ist.
- RADIUS-DTLS
Zertifikatsbasierte Authentisierung – EAP-TLS
- Detailbetrachtung von EAP-TLS
- TLS-Versionen und die Auswirkungen auf EAP-TLS
- Die Notwendigkeit und Rolle einer Public Key Infrastructure (PKI)
- Grundlagen zum Management von Zertifikaten für Endgeräte und NAC-Server
- Vor- und Nachteile von zertifikatsbasierter Authentisierung
Umsetzung Network Access Control
- Heterogene Client-Landschaften und deren Auswirkungen auf NAC
- Grundverständnis Zonierung / Segmentierung – Trennung von Nutzergruppen und mandantenfähige LANs mittels Autorisierung durch RADIUS
- Planung und Einführung von IEEE 802.1X, Vorgehensweise bei Umsetzung eines NAC-Projektes
- Projektbeispiele basierend auf unterschiedlichen NAC-Lösungen
- Alternativen zu IEEE802.1X – SNMP-basierte Netzzugangskontrolle mittels NAC-Appliances
- Die Evolution von NAC über den Standard IEEE 802.1X hinaus
Auswirkungen auf Endgeräte
- Anforderungskatalog – NAC-Tauglichkeit von Endgeräten
- Richtlinien für Endgerätenutzung
- Windows Supplicant im Detail
- Windows Supplicant Rollout – GPO vs Softwareverteilung
- Endgerätebetankung bei Verwendung von NAC – Wake-on-LAN und PXE-Boot
- Einschränkungen beim Einsatz von Virtualisierungslösungen in NAC-Umgebungen
- Kaskadierung von VoIP und Notebook / Desktop
- Anforderungen und Ist-Situation weiterer Endgeräte (z.B. Server, VoIP, Drucker und Multifunktionsgeräte, Desktop Switches, Access Points, etc.)
IEEE 802.1X Authenticator (Access Switches)
- Die wichtigsten Funktionen eines IEEE 802.1X-Authenticator (Access Switches)
- Authentisierungsreihenfolge, Default Policy, Host-Modi
- Timing
- Reauthentisierung
- Accounting
- RADIUS-failed Policy
IEEE-802.1AE – MACsec
- Funktionsweise von MACsec
- Integritätsprüfung und Abwehr von Spoofing-Angriffen
- Datenverschlüsselung zwischen Client und Switch
- Datenverschlüsselung zwischen 2 Switches zur Absicherung von Dark Fibre mittels MACsec
- Voraussetzungen und Limitierungen
NAC – Server
- Marktüberblick RADIUS-Server: Wie unterscheiden sich die Produkte?
- RADIUS-Server-Architekturen (Aufbau, Skalierung und Lizensierung)
- Loadbalancing von RADIUS
- RADIUS-Server-Konfiguration für NAC am Beispiel von FreeRADIUS, Microsoft NPS und Cisco ISE Aruba ClearPass sowie Extreme Control
- Directory Integration (LDAP und Active Directory)
- Monitoring der NAC-Lösung: Was muss der RADIUS-Server leisten und wie unterscheiden sich die Produkte?
- Welchen Mehrwert hat RADIUS-Accounting?
In diesem Seminar vermitteln IT-Spezialisten für NAC auf der Basis jahrelanger Projektpraxis das notwendige Rüstzeug für Planung, Implementierung und Betrieb einer NAC-Lösung. Damit ist dieses Semi ...
Mehr Informationen >>