Sichere Netzwerke mit NAC

Strategien, Technologien und Best Practices für die Netzzugangskontrolle

Lernen Sie Network Access Control (NAC, Netzzugangskontrolle) und den Standard IEEE 802.1X kennen und regulieren Sie Zugriffsversuche auf Ihr LAN gemäß Ihren Konditionen.

Motivation

• Für welche Inhalte steht die Abkürzung NAC?

• Warum sollte ich einen kabelgebundenen LAN-Zugang absichern?

• Welchen Gefährdungen ist das Netz ausgesetzt, wenn jegliches Endgerät ungeprüft angebunden werden darf?

• Angriffsvarianten im L2-Access wie ARP-Spoofing, ARP-Poisoning, DHCP-Starvation, MAC-Spoofing/-Flooding, Man-in-the-Middle oder Session Hijacking

• Risikominimierung durch NAC mittels Authentisierung und Autorisierung

Authentisierung: Kurzüberblick

• Grundlagen der Identitätsüberprüfung

• Passwortbasierte Authentisierung und ihre Grenzen

• Challenge-Response-Verfahren

• Schwache und starke Authentisierung

• Einfache und gegenseitige Authentisierung

Einführung in IEEE 802.1X

• Grundprinzip einer Netzzugangskontrolle

• IEEE 802.1X als der Standard zur Umsetzung von NAC

• Funktionsweise von IEEE 802.1X

• Komponenten, Schnittstellen, Protokolle und Funktionsweisen

• Extensible Authentication Protocol (EAP) als zentraler Baustein

• Erweiterungen und Grenzen von IEEE 802.1X

Authentisierungstechniken

• Funktionsweise von EAP

• Im Dschungel der EAP-Methoden

• Details zu den relevantesten EAP-Methoden

• Warum EAP-MD5 nur noch in Ausnahmefällen Verwendung finden sollte

• Grundlagen zur zertifikatsbasierten Authentisierung mit EAP-TLS

• Tunnelmethoden anhand von EAP-FAST und PEAP

• Maschinen- vs. Benutzer-Authentisierung: Einsatzszenarien und Fallstricke

• MAC-Adress-Authentisierung im Detail beleuchtet

RADIUS – die Grundlagen

• Das Protokoll RADIUS im Überblick

• Grundlagenverständnis zu Funktionsweise und Aufbau von RADIUS

• Dynamik und Automatisierung durch dynamische VLAN-Zuweisung und Access Control Lists (ACLs)

• Admin Access: Zugang über RADIUS oder TACACS+

• Sicherheit von RADIUS

Zertifikatsbasierte Authentisierung – EAP-TLS

• Detailbetrachtung von EAP-TLS

• Schwachstellen in Bezug auf TLS und die Auswirkungen auf EAP-TLS

• Die Notwendigkeit und Rolle einer Zertifikatsverwaltung und Public Key Infrastructure (PKI)

• Grundlagen zum Management von Zertifikaten für Endgeräte und NAC-Server

Umsetzung Network Access Control

• NAC-Umsetzungsziele

• Heterogene Client-Landschaften und deren Auswirkungen auf NAC

• Grundverständnis Zonierung und Segmentierung – Trennung von Nutzergruppen und mandantenfähige LANs mittels Autorisierung durch RADIUS

• Planung und Einführung von IEEE 802.1X, Vorgehensweise bei der Umsetzung eines NAC-Projektes

• Projektbeispiele basierend auf unterschiedlichen NAC-Lösungen

• Alternativen zu IEEE802.1X – SNMP-basierte Netzzugangskontrolle mittels NAC-Appliances

• Die Evolution von NAC über den Standard IEEE 802.1X hinaus

Auswirkungen auf Endgeräte

• Anforderungskatalog – Generelle Wünsche an Endgeräte

• Richtlinien für Endgerätenutzung

• Windows-Office-Clients als Standard-Supplicant

• Endgerätebetankung bei Verwendung von NAC – GPO, Wake-on-LAN und PXE-Boot

• Einschränkungen beim Einsatz von Virtualisierungslösungen in NAC-Umgebungen

• Kaskadierung von VoIP und Notebook / Desktop

• Anforderungen und Ist-Situation weiterer Endgeräte (z.B. Server, VoIP, Drucker und Multifunktionsgeräte, Desktop Switches, Access-Points etc.)

IEEE 802.1X Authenticator (Access Switches)

• Die wichtigsten Funktionen eines IEEE 802.1X Authenticator (Access Switches)

• Authentisierungsreihenfolge, Default Policy, Host-Modi

• Timing

• Reauthentisierung

• Accounting

• RADIUS-failed Policy

IEEE-802.1AE – MACsec

• Funktionsweise von MACsec, d.h. IEEE 802.1AE

• Integritätsprüfung und Abwehr von Spoofing-Angriffen

• Datenverschlüsselung zwischen Client und Switch

• Datenverschlüsselung zwischen zwei Switches zur Absicherung von Dark Fibre mittels MACsec

• Voraussetzungen und Limitierungen

NAC – Server

• Marktüberblick NAC-Server: Wie unterscheiden sich die Produkte?

• NAC-Server-Design: Aufbau, Skalierung und Lizensierung

• Loadbalancing bei RADIUS

• Konfiguration von NAC-Servern an etablierten Beispielen – Akamai Packetfence, Aruba ClearPass, Belden macmon, Cisco ISE, Extreme Control und Microsoft NPS

• Directory Integration: LDAP, Active Directory und SQL

• Monitoring der NAC-Lösung: Was muss der NAC-Server leisten und wie unterscheiden sich die Produkte?

• Welchen Mehrwert hat RADIUS-Accounting?

Lernziele

• welchen Bedrohungen Ihr LAN durch den nicht regulierten Zugriff von Endgeräten und Fremdgeräten ausgesetzt ist,

• wie Sie Ihr Netz durch Einführung einer Netzzugangskontrolle absichern,

• wie Sie Ihr Netz dynamischer und effizienter gestalten,

• wie Sie Ihre Netzzonen automatisiert zuweisen können,

• wie Sie Ihr Netz an aktuelle Sicherheitsanforderungen – BSI / KRITIS / BAFIN / DORA / ISO 27001 – anpassen,

• welche Möglichkeiten es zur Netzzugangskontrolle, zur Trennung von Benutzergruppen und zum Aufbau mandantenfähiger LANs gibt,

• die Konzepte kennen, die für eine portbasierte Netzzugangskontrolle zum LAN relevant sind,

• wie der Standard IEEE 802.1X arbeitet,

• welche Rolle EAP dabei spielt,

• welche Details bei einer zertifikatsbasierten Authentisierungsmethode, z.B. EAP-TLS, zu berücksichtigen sind,

• welche Rolle der RADIUS-Server dabei spielt,

• welche Vor- und Nachteile verschiedene RADIUS-Server haben,

• welche Unterschiede der etablierten Lösungen zu berücksichtigen sind,

• wie die Herausforderungen durch verschiedene Endgeräte in Bezug auf NAC aussehen und wie man diese meistern kann,

• welche Funktionen ein Access Switch unterstützen sollte und wie die verschiedenen IEEE-802.1X-Funktionen sich gegenseitig beeinflussen,

• wie eine Infrastruktur für IEEE 802.1X in der Praxis umgesetzt werden kann und welche Probleme dabei gelöst werden müssen,

• wo aktuell die Limitierungen von IEEE 802.1X liegen, wie Sie diesen begegnen können und welche Rolle IEEE 802.1AE (MACsec) dabei spielt und

• wie weitergehende Dienste zur Prüfung der Endgeräte-Compliance verbunden mit einer entsprechenden Autorisierung realisiert werden können.

Zielgruppen

• Betreiber

• Administratoren

• Projektleiter

• Planer

• Entscheider

Dieses Seminar richtet sich an Administratoren, Projektleiter und Sicherheitsbeauftrage aus den Bereichen LAN und Informationssicherheit. Grundkenntnisse in Netzwerken und TCP/IP sind erforderlich