Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

All Rights Reserved © Alcatel-Lucent 2007 Alcatel-Lucent IP Networking Infrastructure Solutions Hauke Heinecke – Alcatel-Lucent PreSales Germany Security.

Ähnliche Präsentationen


Präsentation zum Thema: "All Rights Reserved © Alcatel-Lucent 2007 Alcatel-Lucent IP Networking Infrastructure Solutions Hauke Heinecke – Alcatel-Lucent PreSales Germany Security."—  Präsentation transkript:

1 All Rights Reserved © Alcatel-Lucent 2007 Alcatel-Lucent IP Networking Infrastructure Solutions Hauke Heinecke – Alcatel-Lucent PreSales Germany Security á la Alcatel im LAN und WLAN Umfeld An uns kommt keiner vorbei

2 All Rights Reserved © Alcatel-Lucent | Presentation Title | Month 2007 Das IP-Backbone ist das Koppelfeld für moderne Kommunikationslösungen Dr. Jörg Fischer

3 All Rights Reserved © Alcatel-Lucent | Presentation Title | Month 2007 Beispiel : Mobilität erfordert neue Sicherheits Architktur Wireless LAN WLAN dehnt das Corporate Netzwerk über die bisherigen Grenzen aus Users wechseln zwischen Public und Corporate network Umgehen dabei die Firewall Moderne Laptops sind Infektionsquelle Nummer 1. Problem wächst durch noch mehr Mobiliät, z.B. Bluetooth Gästen wird Zugriff auf Corporate Ressourcen gewährt Fremde Benutzer (Geräte oder User) benutzen das lokale Netz Sie benötigen eine Verbindung zu lokalen Datenquellen Internet FW/IDS/IPS WLAN coverage Mobile users

4 All Rights Reserved © Alcatel-Lucent | Presentation Title | Month 2007 IP Networking Sicherheit ist keine Option…… ….. Sicherheit ist Pflicht

5 All Rights Reserved © Alcatel-Lucent | Presentation Title | Month 2007 Agenda Device Security Security out of the Box Denial of Service Attacken Sicherheitskonzept – Die Kette ist so stark wie ihr schwächstes Glied Network Security SFlow Integriertes IDS / 3rd Party IDS-IPS Quarantine Manager Basic Security Learned Port Security DHCP Protection Spanning Tree Protection Advanced Security Access Control Lists Firewalling User Security Autosensing Authentication Portallösung Massive Verarbeitung Sicherheitsglas Starke Schlösser Sicherheitszapfen Autom. Gartentor Einzäunung Gegensprechanlage Zugangskontrolle Getrennte Eingänge Einliegerwohnung Schlüssel für Eingangstür Foyer für Gäste Haustierklappe Key-Less Zugang für Kinder Videoüberwachung Glasbruchsensoren Bewegungsensoren Rauchmelder Aufschaltung Sicherheitsdienst

6 All Rights Reserved © Alcatel-Lucent | Presentation Title | Month 2007 Agenda Device Security Security out of the Box Denial of Service Attacken Sicherheitskonzept – Die Kette ist so stark wie ihr schwächstes Glied Network Security SFlow Integriertes IDS / 3rd Party IDS-IPS Quarantine Manager Basic Security Learned Port Security DHCP Protection Spanning Tree Protection Advanced Security Access Control Lists Firewalling User Security Autosensing Authentication Portallösung Massive Verarbeitung Sicherheitsglas Starke Schlösser Sicherheitszapfen Autom. Gartentor Einzäunung Gegensprechanlage Zugangskontrolle Getrennte Eingänge Einliegerwohnung Schlüssel für Eingangstür Foyer für Gäste Haustierklappe Key-Less Zugang für Kinder Videoüberwachung Glasbruchsensoren Bewegungsensoren Rauchmelder Aufschaltung Sicherheitsdienst

7 All Rights Reserved © Alcatel-Lucent | Presentation Title | Month 2007 Device Security Gehärtete stählerne Infrastruktur Security by default Denial of Service Abwehr durch gehärtete Hardwarekomponenten (ASIC) DoS Schutz durch automatisches Radio Management (WLAN) Vulnerability Management Automatische Gegenwehr-Mechanismen Code und Konfiguration Integrität Verwendung verschiedener Sicherheitsprofile für Management Sicherer Zugriff zum Switch via SSH, HTTPS & SNMPv3 w/ SSL Automatische System Recovery Selbstheilende Komponenten. Alfred Krupp

8 All Rights Reserved © Alcatel-Lucent | Presentation Title | Month 2007 Agenda Device Security Security out of the Box Denial of Service Attacken Sicherheitskonzept – Die Kette ist so stark wie ihr schwächstes Glied Network Security SFlow Integriertes IDS / 3rd Party IDS-IPS Quarantine Manager Basic Security Learned Port Security DHCP Protection Spanning Tree Protection Advanced Security Access Control Lists Firewalling User Security Autosensing Authentication Portallösung Autom. Gartentor Einzäunung Gegensprechanlage Zugangskontrolle

9 All Rights Reserved © Alcatel-Lucent | Presentation Title | Month 2007 Basic Security – Schutz für ungebetenen Gästen Der Objektschutz beginnt bereits an der Gartenpforte Learned Port-Security kontrolliert den physischen Switchport und schützt vor Missbrauch. Kontrolle eines jeden einzelnen Endgerätes/ Terminals (MAC) Kontrolle eine spez. Bereichs von Endgeräten Kontrolle über die Anzahl von Endgeräten (MAC) –Schutz vor unauthorisierter Benutzung von Hubs, Switches oder Access Point an einen Switchport –Automatische Reaktion auf Regelverletzung –Alarmierung der Regelverletzung Spanning Tree Protection Edgeport –Empfangene BPDs auf einem Userport werden verworfen Spanning Tree Root Protection –Kontrolle über empfangene STP Pakete –Blocken von Paketen MAC-1 MAC-2MAC-3MAC-4 Switch Port

10 All Rights Reserved © Alcatel-Lucent | Presentation Title | Month 2007 Basic Security – Schutz vor ungebetenen Gästen Schutz vor DHCP Vergiftung Ein unautorisierter DHCP-Server im Netzwerk kann zur Katastrophe führen Jeder Port erhält einen Vertrauens-Status –Ein DHCP Server darf angeschlossen sein –Kein DHCP Server darf angeschlossen sein Nur auf autorisierten Ports dürfen DHCP-Offer passieren DHCP-only-Ports Statische IP-Adresse Konfiguration kann im Netzwerk unerwünscht sein –DHCP-Only-Port zwingt den Client zum Nutzen des DHCP Service –Ohne DHCP Service keine Verbindung zum LAN OmniPCX Enterprise

11 All Rights Reserved © Alcatel-Lucent | Presentation Title | Month 2007 Agenda Device Security Security out of the Box Denial of Service Attacken Sicherheitskonzept – Die Kette ist so stark wie ihr schwächstes Glied Network Security SFlow Integriertes IDS / 3rd Party IDS-IPS Quarantine Manager Basic Security Learned Port Security DHCP Protection Spanning Tree Protection Advanced Security Access Control Lists Firewalling User Security Autosensing Authentication Portallösung Getrennte Eingänge Einliegerwohnung

12 All Rights Reserved © Alcatel-Lucent | Presentation Title | Month 2007 Layer1-Layer 4 ACLs / QoS policies Leistungsstarke Access Listen erkennen und steuern den Traffic in Wirespeed, Verschiedene Bedingungen Layer Application aware Filtering Layer Protocol ID or L4 Port ID. Ex : UDP or Port 23. Layer IP Srce/Dest address. Ex : Layer MAC Srce/Dest address. Ex: 0020DA34E2F8 Verschiedenen Aktionen Verbiete Priorisiere Steuere auf einen bestimmten Weg Verlangsame Beschleunige Best Effort IP, IPX,… Differentiated Traffic Guaranteed Traffic Sensitive traffic Real-time traffic Normal traffic

13 All Rights Reserved © Alcatel-Lucent | Presentation Title | Month 2007 Agenda Device Security Security out of the Box Denial of Service Attacken Sicherheitskonzept – Die Kette ist so stark wie ihr schwächstes Glied Network Security SFlow Integriertes IDS / 3rd Party IDS-IPS Quarantine Manager Basic Security Learned Port Security DHCP Protection Spanning Tree Protection Advanced Security Access Control Lists Firewalling User Security Autosensing Authentication Portallösung Schlüssel für Eingangstür Foyer für Gäste Haustierklappe Key-Less Zugang für Kinder

14 All Rights Reserved © Alcatel-Lucent | Presentation Title | Month 2007 Alcatel Access Guardian Sicherer Netzwerkzugang Access Authentifizierung der Benutzer Host Integrity Check für jedes Gerät Role-based Netzwerk Zugang Sicherheit auf Netzwerkebene

15 All Rights Reserved © Alcatel-Lucent | Presentation Title | Month 2007 IEEE 802.1x Auto-sensing Benutzer- Authentifizierung Universelle Authentifizierung in Abhängigkeit vom Endgerät Weil es mehr als einen PC im Netzwerk gibt Weil alle Geräte mobil sind Weil die Migration auf 802.1x auf einen Schlag schwierig ist MAC 00:Ob:86:80:34:40 Captive Portal

16 All Rights Reserved © Alcatel-Lucent | Presentation Title | Month 2007 Gäste Portal Anmeldung für Gäste und auch Mitarbeiter Alcatel Captive Portal ermöglicht interaktive Kommunikation mit der Infrastruktur

17 All Rights Reserved © Alcatel-Lucent | Presentation Title | Month 2007 Agenda Device Security Security out of the Box Denial of Service Attacken Sicherheitskonzept – Die Kette ist so stark wie ihr schwächstes Glied Network Security SFlow Integriertes IDS / 3rd Party IDS-IPS Quarantine Manager Basic Security Learned Port Security DHCP Protection Spanning Tree Protection Advanced Security Access Control Lists Firewalling User Security Autosensing Authentication Portallösung Videoüberwachung Glasbruchsensoren Bewegungsensoren Rauchmelder Aufschaltung Sicherheitsdienst

18 All Rights Reserved © Alcatel-Lucent | Presentation Title | Month 2007 Switching ASIC 1 in N sampling sFlow Übersicht packet headersrc/dst i/fsampling parmsforwardinguser IDURLi/f counters sFlow agent forwarding tables interface counters sFlow Datagram z.B. 128Bitrate pool src 802.1p/Q dst 802.1p/Q next hop src/dst mask AS path communities localPref MPLS src/dst Radius TACACS sFlow Collector & Analyser Switch/Router

19 All Rights Reserved © Alcatel-Lucent | Presentation Title | Month 2007 Alcatel-Lucent Quarantine Manager Workgroup Switches Data Center Switch Kritische Ressourcen Endnutzer OmniVista Network Management System (SNMP based) 1 Infizierte station attackiert server (z.B. port scan) 2 IDP identifiziert die Attacke und den Ursprung 3 IDP informiert OmniVista über den Type und Ursprung der Attacke 5 Die Aktion ist aktiviert im Netzwerk Sequenz der Ereignisse 4 Ein Trap wird generiert und der Netzwerk-Administrator kann manuell eine Aktion starten oder automatisiert wird eine Aktion gestartet Automated Quarantine Manager !!! Attacke erkannt !!!, Sie können: Shut Down des Nutzerports Eine ACL kreieren Die fehlerhafte Station in ein Quarantäne VLAN schieben

20 All Rights Reserved © Alcatel-Lucent | Presentation Title | Month 2007 Was ist neu ? Security

21 All Rights Reserved © Alcatel-Lucent | Presentation Title | Month 2007 OmniAccess SafeGuard Product Line Network positioning LAN core Transparent deployment Data center OmniVista SafeGuard Manager Access layer GUI-based LAN tracking, incident reports, and policy setting Per-user and per- application controls OmniVista 2500 (Topology, traps, QM Syslog) High Availability redundancy supported OmniAccess 2400 SafeGuard OmniAccess 1000 SafeGuard

22 All Rights Reserved © Alcatel-Lucent | Presentation Title | Month 2007 Corporate LAN Authenticate Host Integrity Check Audit Identity-Based Control Threat Control Only valid users get on the LAN Only compliant systems enter the LAN Control Access to Resource from Layer 2 - Layer 7 Track and monitor user activity up to Layer 7 Protect the LAN against zero-day worms OmniAccess Security Overlay Features

23 All Rights Reserved © Alcatel-Lucent | Presentation Title | Month 2007 TCP / UDP ports Alcatel performs L7 decode to identify apps regardless of port number Enables detection of port-cloaking attacks Many apps use well-known ports Some apps negotiate dynamic port assignments Alcatel decodes these apps at Layer 7: » HTTP » FTP » DNS » AD-Kerberos » Radius » DHCP » SMB/CIFS » RTP » RTSP » MSRPC » SUNRPC » MS Media » H.323 » SIP » Oracle = port-hopping apps K Decoding Applications

24 All Rights Reserved © Alcatel-Lucent | Presentation Title | Month 2007 Schmerzen

25 All Rights Reserved © Alcatel-Lucent | Presentation Title | Month 2007

26 All Rights Reserved © Alcatel-Lucent | Presentation Title | Month 2007 Alcatel-Lucent hilft

27 All Rights Reserved © Alcatel-Lucent | Presentation Title | Month 2007 Security Access Guardian or Alcatel-Lucents NAC Authentication – Know who is on your network Embedded auto-sensing Authentication for AOS(LAN) and AOS-W(WLAN) Mix 802.1x, MAC, Web-based authentication and dynamic classification Multiple users, multiple methods on 1 port Authentication systems VitalAAA Radius authentication server, compatible with MS IAS Host integrity – Check if they are compliant Integrated Access Control on AOS and AOS-W NAC enforcement with 802.1x (Vlan) and IP lockdown (DHCP) Clientless Host Integrity - Infoexpress (AOS) and Symantec (AOS-W) Partners: InfoExpress HIC, Symantec, Microsoft NAP Role-based access – Direct what they can access User Profiles granting access to appropriate resources (AOS) Per-user access privileges (AOS-W) Mapping users to resources at network level - OmniVista SV Network Access Per user control at the application level (L2 to L7) - OmniAccess SafeGuard

28 All Rights Reserved © Alcatel-Lucent | Presentation Title | Month 2007 OmniAccess SafeGuard Product Line Network positioning LAN core Transparent deployment Data center OmniVista SafeGuard Manager Access layer GUI-based LAN tracking, incident reports, and policy setting Per-user and per- application controls OmniVista 2500 (Topology, traps, QM Syslog) High Availability redundancy supported OmniAccess 2400 SafeGuard OmniAccess 1000 SafeGuard

29 All Rights Reserved © Alcatel-Lucent | Presentation Title | Month 2007 Corporate LAN Authenticate Host Integrity Check Audit Identity-Based Control Threat Control Only valid users get on the LAN Only compliant systems enter the LAN Control Access to Resource from Layer 2 - Layer 7 Track and monitor user activity up to Layer 7 Protect the LAN against zero-day worms OmniAccess Security Overlay Features

30 All Rights Reserved © Alcatel-Lucent | Presentation Title | Month 2007 TCP / UDP ports Alcatel performs L7 decode to identify apps regardless of port number Enables detection of port-cloaking attacks Many apps use well-known ports Some apps negotiate dynamic port assignments Alcatel decodes these apps at Layer 7: » HTTP » FTP » DNS » AD-Kerberos » Radius » DHCP » SMB/CIFS » RTP » RTSP » MSRPC » SUNRPC » MS Media » H.323 » SIP » Oracle = port-hopping apps K Decoding Applications

31 All Rights Reserved © Alcatel-Lucent | Presentation Title | Month 2007 Security Intrusion Containment with Quarantine Manager Intrusion Detection – See what they are doing AOS Embedded Sflow for monitoring and sampling, Etherbreaker for statistical traffic anomaly detection AOS-W built-in Firewall and IDS Firewall and VPN in Brick with basic IDS/IPS Inline User monitoring and Threat Blocking with OmniAccess SafeGuard Per-user and per-application based detection and blocking User tracking and compliance reporting Fortinet Applianc, Signature-based IPS Containment – Quarantine and remediate Enforcement or quarantine at the network edge with OmniVista Quarantine Manager (AOS, AOS-W) Flexible integration with 3 rd party detection devices (syslog, SNMP) Granular application quarantining and user activity logging with OmniAccess SafeGuard

32 All Rights Reserved © Alcatel-Lucent | Presentation Title | Month 2007 Security portfolio Directions Products and partnerships LAN: OmniSwitch AOS protection, Sflow WLAN: OmniAccess Wireless built-in firewall and IPS Authentication Server: Radius, MS IAS, VitalAAA Radius Host Integrity: Symantec, MS NAP Unified Threat Management: Fortinet Firewall and VPN: Brick portfolio Inline Appliance: OmniAccess SafeGuard Quarantine Manager => Intrusion Containment Intrusion – Detection - Monitoring Containment - Remediation Access Guardian => Network Access Control Auto-sensing Authentication Host Integrity Check for security compliance Role based access

33 All Rights Reserved © Alcatel-Lucent | Presentation Title | Month 2007 OmniSwitch 6850 / L OmniAccess 700 OmniAccess WLAN 7450/7750 OmniStack LS 6200 OmniSwitch 7000/9000 LAN CoreWAN/MANWLANLAN AggregationLAN Edge Secure Network Transformation LAN/WAN Networking Solutions OmniAccess 3500 Laptop Guardian Brick Firewall OmniAccess SafeGuard Durchgängige Netzwerk Services Durchgängige Netzwerk Services Durchgängiges Netzwerkmanagement – OmniVista / Vital Suite Durchgängiges Netzwerkmanagement – OmniVista / Vital Suite Genesis OmniPCX Enterprise OmniPCX Office Endgeräte WLAN LAN TDM Endgeräte WLAN LAN TDM OTUC

34 All Rights Reserved © Alcatel-Lucent | Presentation Title | Month 2007


Herunterladen ppt "All Rights Reserved © Alcatel-Lucent 2007 Alcatel-Lucent IP Networking Infrastructure Solutions Hauke Heinecke – Alcatel-Lucent PreSales Germany Security."

Ähnliche Präsentationen


Google-Anzeigen