Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Hauke Heinecke – Alcatel-Lucent PreSales Germany

Veröffentlicht von:Isold Ebers Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Hauke Heinecke – Alcatel-Lucent PreSales Germany"—  Präsentation transkript:

1 Hauke Heinecke – Alcatel-Lucent PreSales Germany
Security á la Alcatel im LAN und WLAN Umfeld An uns kommt keiner vorbei Hauke Heinecke – Alcatel-Lucent PreSales Germany

2 für moderne Kommunikationslösungen“
“Das IP-Backbone ist das Koppelfeld für moderne Kommunikationslösungen“ Dr. Jörg Fischer We believe that we must ‘provide our customers with the industry’s best value in highly available, secure and easy to manage network solutions’. We recognize that the value of a network is greater to the enterprise when measured by its ability to be reliable, secure and easily managed. To deliver on our stated mission, we have developed the Alcatel Operating System - an OS - common to our switches whether in the core or wiring closet. This OS enables operation expense relief to our customers through the homogeneity of features and configurations, while supporting device and network based availability strategies. Our LAN switch product line that leverages a 10 year history of embedded security features, enabling synergies with existing 3rd party solutions… Security solutions that provide assurance the network will be able to react to and contain attacks - promoting productivity and reliability. Providing the strong foundation that is necessary for any business to grow and prosper. <click>

3 Beispiel : Mobilität erfordert neue Sicherheits Architktur
Wireless LAN WLAN dehnt das Corporate Netzwerk über die bisherigen Grenzen aus Users wechseln zwischen „Public“ und „Corporate network“ Umgehen dabei die Firewall Moderne Laptops sind Infektionsquelle Nummer 1. Problem wächst durch noch mehr Mobiliät, z.B. Bluetooth Gästen wird Zugriff auf Corporate Ressourcen gewährt Fremde Benutzer (Geräte oder User) benutzen das lokale Netz Sie benötigen eine Verbindung zu lokalen Datenquellen WLAN coverage FW/IDS/IPS Internet Mobile users

4 “Sicherheit ist keine Option…… ….. Sicherheit ist Pflicht
IP Networking “Sicherheit ist keine Option…… ….. Sicherheit ist Pflicht We believe that we must ‘provide our customers with the industry’s best value in highly available, secure and easy to manage network solutions’. We recognize that the value of a network is greater to the enterprise when measured by its ability to be reliable, secure and easily managed. To deliver on our stated mission, we have developed the Alcatel Operating System - an OS - common to our switches whether in the core or wiring closet. This OS enables operation expense relief to our customers through the homogeneity of features and configurations, while supporting device and network based availability strategies. Our LAN switch product line that leverages a 10 year history of embedded security features, enabling synergies with existing 3rd party solutions… Security solutions that provide assurance the network will be able to react to and contain attacks - promoting productivity and reliability. Providing the strong foundation that is necessary for any business to grow and prosper. <click>

5 Agenda Sicherheitskonzept – “Die Kette ist so stark wie ihr schwächstes Glied” Device Security Security out of the Box Denial of Service Attacken Schlüssel für Eingangstür Foyer für Gäste Haustierklappe Key-Less Zugang für Kinder Videoüberwachung Glasbruchsensoren Bewegungsensoren Rauchmelder Aufschaltung Sicherheitsdienst 5 Basic Security Learned Port Security DHCP Protection Spanning Tree Protection Advanced Security Access Control Lists Firewalling 1 4 User Security Autosensing Authentication Portallösung 3 2 Massive Verarbeitung Sicherheitsglas Starke Schlösser Sicherheitszapfen Getrennte Eingänge Einliegerwohnung Autom. Gartentor Einzäunung Gegensprechanlage Zugangskontrolle Network Security SFlow Integriertes IDS / 3rd Party IDS-IPS Quarantine Manager

6 Agenda Sicherheitskonzept – “Die Kette ist so stark wie ihr schwächstes Glied” Device Security Security out of the Box Denial of Service Attacken Schlüssel für Eingangstür Foyer für Gäste Haustierklappe Key-Less Zugang für Kinder Videoüberwachung Glasbruchsensoren Bewegungsensoren Rauchmelder Aufschaltung Sicherheitsdienst 5 Basic Security Learned Port Security DHCP Protection Spanning Tree Protection Advanced Security Access Control Lists Firewalling 1 4 User Security Autosensing Authentication Portallösung 3 2 Massive Verarbeitung Sicherheitsglas Starke Schlösser Sicherheitszapfen Getrennte Eingänge Einliegerwohnung Autom. Gartentor Einzäunung Gegensprechanlage Zugangskontrolle Network Security SFlow Integriertes IDS / 3rd Party IDS-IPS Quarantine Manager

7 Device Security Gehärtete „stählerne“ Infrastruktur
Security by default Denial of Service Abwehr durch gehärtete Hardwarekomponenten (ASIC) DoS Schutz durch automatisches Radio Management (WLAN) Vulnerability Management Automatische Gegenwehr-Mechanismen Code und Konfiguration Integrität Verwendung verschiedener Sicherheitsprofile für Management Sicherer Zugriff zum Switch via SSH, HTTPS & SNMPv3 w/ SSL Automatische System Recovery Selbstheilende Komponenten . Alfred Krupp

8 Agenda Sicherheitskonzept – “Die Kette ist so stark wie ihr schwächstes Glied” Device Security Security out of the Box Denial of Service Attacken Basic Security Learned Port Security DHCP Protection Spanning Tree Protection Advanced Security Access Control Lists Firewalling User Security Autosensing Authentication Portallösung 2 Autom. Gartentor Einzäunung Gegensprechanlage Zugangskontrolle Network Security SFlow Integriertes IDS / 3rd Party IDS-IPS Quarantine Manager

9 Basic Security – Schutz für ungebetenen Gästen
Der Objektschutz beginnt bereits an der Gartenpforte „Learned Port-Security“ kontrolliert den physischen Switchport und schützt vor Missbrauch. Kontrolle eines jeden einzelnen Endgerätes/ Terminals (MAC) Kontrolle eine spez. Bereichs von Endgeräten Kontrolle über die Anzahl von Endgeräten (MAC) Schutz vor unauthorisierter Benutzung von Hub’s, Switches oder Access Point an einen Switchport Automatische Reaktion auf Regelverletzung Alarmierung der Regelverletzung Spanning Tree Protection Edgeport Empfangene BPD’s auf einem Userport werden verworfen Spanning Tree Root Protection Kontrolle über empfangene STP Pakete Blocken von Paketen Switch Port MAC-1 MAC-2 MAC-3 MAC-4

10 Basic Security – Schutz vor ungebetenen Gästen
Schutz vor DHCP Vergiftung Ein unautorisierter DHCP-Server im Netzwerk kann zur Katastrophe führen Jeder Port erhält einen Vertrauens-Status Ein DHCP Server darf angeschlossen sein Kein DHCP Server darf angeschlossen sein Nur auf autorisierten Ports dürfen DHCP-Offer passieren DHCP-only-Ports Statische IP-Adresse Konfiguration kann im Netzwerk unerwünscht sein DHCP-Only-Port zwingt den Client zum Nutzen des DHCP Service Ohne DHCP Service keine Verbindung zum LAN OmniPCX Enterprise

11 Agenda Sicherheitskonzept – “Die Kette ist so stark wie ihr schwächstes Glied” Device Security Security out of the Box Denial of Service Attacken Basic Security Learned Port Security DHCP Protection Spanning Tree Protection Advanced Security Access Control Lists Firewalling User Security Autosensing Authentication Portallösung 3 Getrennte Eingänge Einliegerwohnung Network Security SFlow Integriertes IDS / 3rd Party IDS-IPS Quarantine Manager

12 Layer1-Layer 4 ACLs / QoS policies
Leistungsstarke Access Listen erkennen und steuern den Traffic in Wirespeed, Verschiedene Bedingungen Layer Application aware Filtering Layer Protocol ID or L4 Port ID. Ex : UDP or Port 23. Layer IP Srce/Dest address. Ex : Layer MAC Srce/Dest address. Ex: 0020DA34E2F8 Verschiedenen Aktionen Verbiete Priorisiere Steuere auf einen bestimmten Weg Verlangsame Beschleunige IP, IPX,… Best Effort Normal traffic Differentiated Traffic Sensitive traffic Guaranteed Traffic Real-time traffic

13 Agenda Sicherheitskonzept – “Die Kette ist so stark wie ihr schwächstes Glied” Device Security Security out of the Box Denial of Service Attacken Schlüssel für Eingangstür Foyer für Gäste Haustierklappe Key-Less Zugang für Kinder Basic Security Learned Port Security DHCP Protection Spanning Tree Protection Advanced Security Access Control Lists Firewalling 4 User Security Autosensing Authentication Portallösung Network Security SFlow Integriertes IDS / 3rd Party IDS-IPS Quarantine Manager

14 Alcatel Access Guardian
Sicherer Netzwerkzugang Access Authentifizierung der Benutzer Host Integrity Check für jedes Gerät Role-based Netzwerk Zugang Sicherheit auf Netzwerkebene

15 Auto-sensing Benutzer- Authentifizierung
IEEE 802.1x MAC 00:Ob:86:80:34:40 Captive Portal Universelle Authentifizierung in Abhängigkeit vom Endgerät Weil es mehr als einen PC im Netzwerk gibt Weil alle Geräte mobil sind Weil die Migration auf 802.1x auf einen Schlag schwierig ist

16 Anmeldung für Gäste und auch Mitarbeiter
Gäste Portal Anmeldung für Gäste und auch Mitarbeiter Alcatel Captive Portal ermöglicht interaktive Kommunikation mit der Infrastruktur

17 Agenda Sicherheitskonzept – “Die Kette ist so stark wie ihr schwächstes Glied” Device Security Security out of the Box Denial of Service Attacken Videoüberwachung Glasbruchsensoren Bewegungsensoren Rauchmelder Aufschaltung Sicherheitsdienst 5 Basic Security Learned Port Security DHCP Protection Spanning Tree Protection Advanced Security Access Control Lists Firewalling User Security Autosensing Authentication Portallösung Network Security SFlow Integriertes IDS / 3rd Party IDS-IPS Quarantine Manager

18 sFlow Collector & Analyser
sFlow Übersicht sFlow Datagram Switch/Router forwarding tables sFlow agent packet header src/dst i/f sampling parms forwarding user ID URL i/f counters z.B. 128Bit rate pool src 802.1p/Q dst 802.1p/Q next hop src/dst mask AS path communities localPref MPLS src/dst Radius TACACS interface counters Switching ASIC 1 in N sampling sFlow Collector & Analyser

19 Alcatel-Lucent Quarantine Manager
Sequenz der Ereignisse 1 Infizierte station attackiert server (z.B. port scan) 2 IDP identifiziert die Attacke und den Ursprung Automated Quarantine Manager !!! Attacke erkannt !!!, Sie können: Shut Down des Nutzerports Eine ACL kreieren Die fehlerhafte Station in ein Quarantäne VLAN schieben 3 IDP informiert OmniVista über den Type und Ursprung der Attacke OmniVista Network Management System (SNMP based) 4 Ein Trap wird generiert und der Netzwerk-Administrator kann manuell eine Aktion starten oder automatisiert wird eine Aktion gestartet 5 Die Aktion ist aktiviert im Netzwerk Angriffsverhinderung durch das Netzwerk Die Alcatel Quarantine Engine (AQE) sammelt Informationen von IDS/IPS Systemen und das Netzwerk dynamisch rekonfiguriert um so Angriffe anzuhalten. Wird ein Angriff festgestellt, lokalisiert die AQE den Angreifer und führt eine Reaktion des Netzwerks aus. Im Falle eines Virus- oder Wurmangriffs wird das infizierte Gerät in einem Alcatel Quarantäne-VLAN verbracht, das sich am Rande des Netzwerks befindet. Durch den Einsatz von Alcatels mobiler VLAN-Technologie, wird das infizierte Gerät auf die schwarze Liste gesetzt, auch wenn der Eindringling in eine andere Lokation umzieht. Die AQE erlaubt es IT-Managern die Quelle eines Angriffs am Rande des Netzwerks zu beheben bevor Kernressourcen des Unternehmens angegriffen werden. AQE arbeitet mit einer ganzen Reihe von Intrusion Detection und Intrusion Protection Systemen (IDS und IPS) zusammen. Es ist das erste Produkt das es IDS, IPS, Firewall und netzwerksicherheits Ebenen erlaubt als eine Einheit zu arbeiten an Stelle von unabhängigen Sicherhietsgeräten. Data Center Switch Kritische Ressourcen Workgroup Switches Endnutzer

20 Security Was ist neu ?

21 OmniAccess SafeGuard Product Line Network positioning
GUI-based LAN tracking, incident reports, and policy setting OmniVista 2500 (Topology, traps, QM Syslog) Data center OmniVista SafeGuard Manager OmniAccess 2400 SafeGuard LAN core High Availability redundancy supported Transparent deployment OmniAccess 1000 SafeGuard Access layer Per-user and per-application controls

22 OmniAccess Security Overlay Features
Audit Track and monitor user activity up to Layer 7 Threat Control Protect the LAN against zero-day worms Corporate LAN Identity-Based Control Control Access to Resource from Layer 2 - Layer 7 Host Integrity Check Only compliant systems enter the LAN Authenticate Only valid users get on the LAN

23 Decoding Applications
Alcatel decodes these apps at Layer 7: HTTP FTP DNS AD-Kerberos Radius DHCP SMB/CIFS RTP RTSP MSRPC SUNRPC MS Media H.323 SIP Oracle = port-hopping apps Many apps use well-known ports Some apps negotiate dynamic port assignments K TCP / UDP ports Alcatel performs L7 decode to identify apps regardless of port number Enables detection of port-cloaking attacks

24 Schmerzen

25

26 Alcatel-Lucent hilft

27 Security Access Guardian or “Alcatel-Lucent’s NAC”
Authentication – Know who is on your network Embedded auto-sensing Authentication for AOS(LAN) and AOS-W(WLAN) Mix 802.1x, MAC, Web-based authentication and dynamic classification Multiple users, multiple methods on 1 port Authentication systems VitalAAA Radius authentication server, compatible with MS IAS Host integrity – Check if they are compliant Integrated Access Control on AOS and AOS-W NAC enforcement with 802.1x (Vlan) and IP lockdown (DHCP) Clientless Host Integrity - Infoexpress (AOS) and Symantec (AOS-W) Partners: InfoExpress HIC, Symantec, Microsoft NAP Role-based access – Direct what they can access User Profiles granting access to appropriate resources (AOS) Per-user access privileges (AOS-W) Mapping users to resources at network level - OmniVista SV Network Access Per user control at the application level (L2 to L7) - OmniAccess SafeGuard

28 OmniAccess SafeGuard Product Line Network positioning
GUI-based LAN tracking, incident reports, and policy setting OmniVista 2500 (Topology, traps, QM Syslog) Data center OmniVista SafeGuard Manager OmniAccess 2400 SafeGuard LAN core High Availability redundancy supported Transparent deployment OmniAccess 1000 SafeGuard Access layer Per-user and per-application controls

29 OmniAccess Security Overlay Features
Audit Track and monitor user activity up to Layer 7 Threat Control Protect the LAN against zero-day worms Corporate LAN Identity-Based Control Control Access to Resource from Layer 2 - Layer 7 Host Integrity Check Only compliant systems enter the LAN Authenticate Only valid users get on the LAN

30 Decoding Applications
Alcatel decodes these apps at Layer 7: HTTP FTP DNS AD-Kerberos Radius DHCP SMB/CIFS RTP RTSP MSRPC SUNRPC MS Media H.323 SIP Oracle = port-hopping apps Many apps use well-known ports Some apps negotiate dynamic port assignments K TCP / UDP ports Alcatel performs L7 decode to identify apps regardless of port number Enables detection of port-cloaking attacks

31 Security Intrusion Containment with Quarantine Manager
Intrusion Detection – See what they are doing AOS Embedded Sflow for monitoring and sampling, Etherbreaker for statistical traffic anomaly detection AOS-W built-in Firewall and IDS Firewall and VPN in Brick with basic IDS/IPS Inline User monitoring and Threat Blocking with OmniAccess SafeGuard Per-user and per-application based detection and blocking User tracking and compliance reporting Fortinet Applianc, Signature-based IPS Containment – Quarantine and remediate Enforcement or quarantine at the network edge with OmniVista Quarantine Manager (AOS, AOS-W) Flexible integration with 3rd party detection devices (syslog, SNMP) Granular application quarantining and user activity logging with OmniAccess SafeGuard

32 Security portfolio Directions
Access Guardian => Network Access Control Auto-sensing Authentication Host Integrity Check for security compliance Role based access Quarantine Manager => Intrusion Containment Intrusion – Detection - Monitoring Containment - Remediation Products and partnerships LAN: OmniSwitch AOS protection, Sflow WLAN: OmniAccess Wireless built-in firewall and IPS Authentication Server: Radius, MS IAS, VitalAAA Radius Host Integrity: Symantec, MS NAP Unified Threat Management: Fortinet Firewall and VPN: Brick portfolio Inline Appliance: OmniAccess SafeGuard

33 Secure Network Transformation LAN/WAN Networking Solutions
WLAN LAN Edge LAN Aggregation LAN Core WAN/MAN Brick Firewall OmniAccess 3500 Laptop Guardian 7450/7750 OmniAccess SafeGuard OmniAccess 700 OmniStack LS 6200 OmniSwitch 6850 / L OmniSwitch 7000/9000 OmniAccess WLAN Durchgängige Netzwerk Services Durchgängiges Netzwerkmanagement – OmniVista / Vital Suite Das Alcatel-Lucent Produktportfolio erfüllt alle Anforderungen an moderne Kommunikation mit höchsten Sicherheitsansprüchen. Vom WLAN AccessPoint bis zum 10G Core-Switch unterstützen alle Systeme eine Vielzahl von Sicherheitsmechanismen, die zum grössten Teil unter dem Begriff “Access Guardian” zusammengefasst sind. Alles Systeme zeichnen sich durch hohe Verfügbarkeit und Zuverlässigkeit aus und werden von einer gemeinsamen Managementplattform verwaltet. Im folgenden wird kurz auf die wichtigsten Sicherheitsfeatures und Systeme im Wireless Umfeld eingegangen. OmniPCX Enterprise Endgeräte WLAN LAN TDM OTUC Genesis OmniPCX Office

34

Herunterladen ppt "Hauke Heinecke – Alcatel-Lucent PreSales Germany"

Ähnliche Präsentationen

Cadastre for the 21st Century – The German Way

Cadastre for the 21st Century – The German Way
Service Oriented Architectures for Remote Instrumentation

Service Oriented Architectures for Remote Instrumentation
Www.karo-it.com | info@karo-it.com Karo IT Neumarkt GmbH www.karo-it.com | info@karo-it.com Tel.: 09181 50946-0.

| Karo IT Neumarkt GmbH | Tel.:
E-Solutions mySchoeller.com for Felix Schoeller Imaging

E-Solutions mySchoeller.com for Felix Schoeller Imaging
SION Vacuum Circuit-Breakers 3AE5 and 3AE1

SION Vacuum Circuit-Breakers 3AE5 and 3AE1
Sichere Anbindung kleiner Netze ans Internet

Sichere Anbindung kleiner Netze ans Internet
DNS-Resolver-Mechanismus

DNS-Resolver-Mechanismus
PPTmaster_BRC_050128.pot 25.03.2017 Rexroth Inline compact I/O technology in your control cabinet SERCOS III Components Abteilung; Vor- und Nachname.

PPTmaster_BRC_ pot Rexroth Inline compact I/O technology in your control cabinet SERCOS III Components Abteilung; Vor- und Nachname.
IndraMotion MLC RoCo Electric Drives and Controls

IndraMotion MLC RoCo Electric Drives and Controls
Microsoft Referenzarchitekturen- Infrastruktur für Connected Systems

Microsoft Referenzarchitekturen- Infrastruktur für Connected Systems
Windows Vista Deployment

Windows Vista Deployment
Windows Vista für Entwickler

Windows Vista für Entwickler
Herzlich Willkommen zum Informations-Forum: SAP Interoperabilität

Herzlich Willkommen zum Informations-Forum: SAP Interoperabilität
Windows Server 2003 Daniel Wessels MSP Uni Bremen, MVP SPS.

Windows Server 2003 Daniel Wessels MSP Uni Bremen, MVP SPS.
Dr. M. Schlottke Common Description of Web Services Source: P. Gerbert, 2002 Web Services allow to establish B2B e-commerce on the fly Web Services allow.

Dr. M. Schlottke Common Description of Web Services Source: P. Gerbert, 2002 Web Services allow to establish B2B e-commerce on the fly Web Services allow.
Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, 37077 Göttingen Fon: 0551 201-1510 Fax: 0551 21119

Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, Göttingen Fon: Fax:
Wozu die Autokorrelationsfunktion?

Wozu die Autokorrelationsfunktion?
Link Layer. Physical Layer Link Layer Host Controller Interface L2CAP Attribute Protocol Attribute Profile PUIDRemote ControlProximityBatteryThermostatHeart.

Link Layer. Physical Layer Link Layer Host Controller Interface L2CAP Attribute Protocol Attribute Profile PUIDRemote ControlProximityBatteryThermostatHeart.
Sicherheit in drahtlosen Netzen

Sicherheit in drahtlosen Netzen
©2005 Check Point Software Technologies Ltd. Proprietary & Confidential Check Point Endpoint Security Lösung Total Access Protection.

©2005 Check Point Software Technologies Ltd. Proprietary & Confidential Check Point Endpoint Security Lösung Total Access Protection.

Ähnliche Präsentationen

Google-Anzeigen