Hauke Heinecke – Alcatel-Lucent PreSales Germany Security á la Alcatel im LAN und WLAN Umfeld An uns kommt keiner vorbei Hauke Heinecke – Alcatel-Lucent PreSales Germany

für moderne Kommunikationslösungen“ “Das IP-Backbone ist das Koppelfeld für moderne Kommunikationslösungen“ Dr. Jörg Fischer 20.10.2006 We believe that we must ‘provide our customers with the industry’s best value in highly available, secure and easy to manage network solutions’. We recognize that the value of a network is greater to the enterprise when measured by its ability to be reliable, secure and easily managed. To deliver on our stated mission, we have developed the Alcatel Operating System - an OS - common to our switches whether in the core or wiring closet. This OS enables operation expense relief to our customers through the homogeneity of features and configurations, while supporting device and network based availability strategies. Our LAN switch product line that leverages a 10 year history of embedded security features, enabling synergies with existing 3rd party solutions… Security solutions that provide assurance the network will be able to react to and contain attacks - promoting productivity and reliability. Providing the strong foundation that is necessary for any business to grow and prosper. <click>

Beispiel : Mobilität erfordert neue Sicherheits Architktur Wireless LAN WLAN dehnt das Corporate Netzwerk über die bisherigen Grenzen aus Users wechseln zwischen „Public“ und „Corporate network“ Umgehen dabei die Firewall Moderne Laptops sind Infektionsquelle Nummer 1. Problem wächst durch noch mehr Mobiliät, z.B. Bluetooth Gästen wird Zugriff auf Corporate Ressourcen gewährt Fremde Benutzer (Geräte oder User) benutzen das lokale Netz Sie benötigen eine Verbindung zu lokalen Datenquellen WLAN coverage FW/IDS/IPS Internet Mobile users

“Sicherheit ist keine Option…… ….. Sicherheit ist Pflicht IP Networking “Sicherheit ist keine Option…… ….. Sicherheit ist Pflicht We believe that we must ‘provide our customers with the industry’s best value in highly available, secure and easy to manage network solutions’. We recognize that the value of a network is greater to the enterprise when measured by its ability to be reliable, secure and easily managed. To deliver on our stated mission, we have developed the Alcatel Operating System - an OS - common to our switches whether in the core or wiring closet. This OS enables operation expense relief to our customers through the homogeneity of features and configurations, while supporting device and network based availability strategies. Our LAN switch product line that leverages a 10 year history of embedded security features, enabling synergies with existing 3rd party solutions… Security solutions that provide assurance the network will be able to react to and contain attacks - promoting productivity and reliability. Providing the strong foundation that is necessary for any business to grow and prosper. <click>

Agenda Sicherheitskonzept – “Die Kette ist so stark wie ihr schwächstes Glied” Device Security Security out of the Box Denial of Service Attacken Schlüssel für Eingangstür Foyer für Gäste Haustierklappe Key-Less Zugang für Kinder Videoüberwachung Glasbruchsensoren Bewegungsensoren Rauchmelder Aufschaltung Sicherheitsdienst 5 Basic Security Learned Port Security DHCP Protection Spanning Tree Protection Advanced Security Access Control Lists Firewalling 1 4 User Security Autosensing Authentication Portallösung 3 2 Massive Verarbeitung Sicherheitsglas Starke Schlösser Sicherheitszapfen Getrennte Eingänge Einliegerwohnung Autom. Gartentor Einzäunung Gegensprechanlage Zugangskontrolle Network Security SFlow Integriertes IDS / 3rd Party IDS-IPS Quarantine Manager

Agenda Sicherheitskonzept – “Die Kette ist so stark wie ihr schwächstes Glied” Device Security Security out of the Box Denial of Service Attacken Schlüssel für Eingangstür Foyer für Gäste Haustierklappe Key-Less Zugang für Kinder Videoüberwachung Glasbruchsensoren Bewegungsensoren Rauchmelder Aufschaltung Sicherheitsdienst 5 Basic Security Learned Port Security DHCP Protection Spanning Tree Protection Advanced Security Access Control Lists Firewalling 1 4 User Security Autosensing Authentication Portallösung 3 2 Massive Verarbeitung Sicherheitsglas Starke Schlösser Sicherheitszapfen Getrennte Eingänge Einliegerwohnung Autom. Gartentor Einzäunung Gegensprechanlage Zugangskontrolle Network Security SFlow Integriertes IDS / 3rd Party IDS-IPS Quarantine Manager

Device Security Gehärtete „stählerne“ Infrastruktur Security by default Denial of Service Abwehr durch gehärtete Hardwarekomponenten (ASIC) DoS Schutz durch automatisches Radio Management (WLAN) Vulnerability Management Automatische Gegenwehr-Mechanismen Code und Konfiguration Integrität Verwendung verschiedener Sicherheitsprofile für Management Sicherer Zugriff zum Switch via SSH, HTTPS & SNMPv3 w/ SSL Automatische System Recovery Selbstheilende Komponenten . Alfred Krupp

Agenda Sicherheitskonzept – “Die Kette ist so stark wie ihr schwächstes Glied” Device Security Security out of the Box Denial of Service Attacken Basic Security Learned Port Security DHCP Protection Spanning Tree Protection Advanced Security Access Control Lists Firewalling User Security Autosensing Authentication Portallösung 2 Autom. Gartentor Einzäunung Gegensprechanlage Zugangskontrolle Network Security SFlow Integriertes IDS / 3rd Party IDS-IPS Quarantine Manager

Basic Security – Schutz für ungebetenen Gästen Der Objektschutz beginnt bereits an der Gartenpforte „Learned Port-Security“ kontrolliert den physischen Switchport und schützt vor Missbrauch. Kontrolle eines jeden einzelnen Endgerätes/ Terminals (MAC) Kontrolle eine spez. Bereichs von Endgeräten Kontrolle über die Anzahl von Endgeräten (MAC) Schutz vor unauthorisierter Benutzung von Hub’s, Switches oder Access Point an einen Switchport Automatische Reaktion auf Regelverletzung Alarmierung der Regelverletzung Spanning Tree Protection Edgeport Empfangene BPD’s auf einem Userport werden verworfen Spanning Tree Root Protection Kontrolle über empfangene STP Pakete Blocken von Paketen Switch Port MAC-1 MAC-2 MAC-3 MAC-4

Basic Security – Schutz vor ungebetenen Gästen Schutz vor DHCP Vergiftung Ein unautorisierter DHCP-Server im Netzwerk kann zur Katastrophe führen Jeder Port erhält einen Vertrauens-Status Ein DHCP Server darf angeschlossen sein Kein DHCP Server darf angeschlossen sein Nur auf autorisierten Ports dürfen DHCP-Offer passieren DHCP-only-Ports Statische IP-Adresse Konfiguration kann im Netzwerk unerwünscht sein DHCP-Only-Port zwingt den Client zum Nutzen des DHCP Service Ohne DHCP Service keine Verbindung zum LAN OmniPCX Enterprise

Agenda Sicherheitskonzept – “Die Kette ist so stark wie ihr schwächstes Glied” Device Security Security out of the Box Denial of Service Attacken Basic Security Learned Port Security DHCP Protection Spanning Tree Protection Advanced Security Access Control Lists Firewalling User Security Autosensing Authentication Portallösung 3 Getrennte Eingänge Einliegerwohnung Network Security SFlow Integriertes IDS / 3rd Party IDS-IPS Quarantine Manager

Layer1-Layer 4 ACLs / QoS policies Leistungsstarke Access Listen erkennen und steuern den Traffic in Wirespeed, Verschiedene Bedingungen Layer 7 - - Application aware Filtering Layer 4 - - Protocol ID or L4 Port ID. Ex : UDP or Port 23. Layer 3 - - IP Srce/Dest address. Ex : 192.168.10.1 Layer 2 - - MAC Srce/Dest address. Ex: 0020DA34E2F8 Verschiedenen Aktionen Verbiete Priorisiere Steuere auf einen bestimmten Weg Verlangsame Beschleunige IP, IPX,… Best Effort Normal traffic Differentiated Traffic Sensitive traffic Guaranteed Traffic Real-time traffic

Agenda Sicherheitskonzept – “Die Kette ist so stark wie ihr schwächstes Glied” Device Security Security out of the Box Denial of Service Attacken Schlüssel für Eingangstür Foyer für Gäste Haustierklappe Key-Less Zugang für Kinder Basic Security Learned Port Security DHCP Protection Spanning Tree Protection Advanced Security Access Control Lists Firewalling 4 User Security Autosensing Authentication Portallösung Network Security SFlow Integriertes IDS / 3rd Party IDS-IPS Quarantine Manager

Alcatel Access Guardian Sicherer Netzwerkzugang Access Authentifizierung der Benutzer Host Integrity Check für jedes Gerät Role-based Netzwerk Zugang Sicherheit auf Netzwerkebene

Auto-sensing Benutzer- Authentifizierung IEEE 802.1x MAC 00:Ob:86:80:34:40 Captive Portal Universelle Authentifizierung in Abhängigkeit vom Endgerät Weil es mehr als einen PC im Netzwerk gibt Weil alle Geräte mobil sind Weil die Migration auf 802.1x auf einen Schlag schwierig ist

Anmeldung für Gäste und auch Mitarbeiter Gäste Portal Anmeldung für Gäste und auch Mitarbeiter Alcatel Captive Portal ermöglicht interaktive Kommunikation mit der Infrastruktur

Agenda Sicherheitskonzept – “Die Kette ist so stark wie ihr schwächstes Glied” Device Security Security out of the Box Denial of Service Attacken Videoüberwachung Glasbruchsensoren Bewegungsensoren Rauchmelder Aufschaltung Sicherheitsdienst 5 Basic Security Learned Port Security DHCP Protection Spanning Tree Protection Advanced Security Access Control Lists Firewalling User Security Autosensing Authentication Portallösung Network Security SFlow Integriertes IDS / 3rd Party IDS-IPS Quarantine Manager

sFlow Collector & Analyser sFlow Übersicht sFlow Datagram Switch/Router forwarding tables sFlow agent packet header src/dst i/f sampling parms forwarding user ID URL i/f counters z.B. 128Bit rate pool src 802.1p/Q dst 802.1p/Q next hop src/dst mask AS path communities localPref MPLS src/dst Radius TACACS interface counters Switching ASIC 1 in N sampling sFlow Collector & Analyser

Alcatel-Lucent Quarantine Manager Sequenz der Ereignisse 1 Infizierte station attackiert server (z.B. port scan) 2 IDP identifiziert die Attacke und den Ursprung Automated Quarantine Manager !!! Attacke erkannt !!!, Sie können: Shut Down des Nutzerports Eine ACL kreieren Die fehlerhafte Station in ein Quarantäne VLAN schieben 3 IDP informiert OmniVista über den Type und Ursprung der Attacke OmniVista Network Management System (SNMP based) 4 Ein Trap wird generiert und der Netzwerk-Administrator kann manuell eine Aktion starten oder automatisiert wird eine Aktion gestartet 5 Die Aktion ist aktiviert im Netzwerk Angriffsverhinderung durch das Netzwerk Die Alcatel Quarantine Engine (AQE) sammelt Informationen von IDS/IPS Systemen und das Netzwerk dynamisch rekonfiguriert um so Angriffe anzuhalten. Wird ein Angriff festgestellt, lokalisiert die AQE den Angreifer und führt eine Reaktion des Netzwerks aus. Im Falle eines Virus- oder Wurmangriffs wird das infizierte Gerät in einem Alcatel Quarantäne-VLAN verbracht, das sich am Rande des Netzwerks befindet. Durch den Einsatz von Alcatels mobiler VLAN-Technologie, wird das infizierte Gerät auf die schwarze Liste gesetzt, auch wenn der Eindringling in eine andere Lokation umzieht. Die AQE erlaubt es IT-Managern die Quelle eines Angriffs am Rande des Netzwerks zu beheben bevor Kernressourcen des Unternehmens angegriffen werden. AQE arbeitet mit einer ganzen Reihe von Intrusion Detection und Intrusion Protection Systemen (IDS und IPS) zusammen. Es ist das erste Produkt das es IDS, IPS, Firewall und netzwerksicherheits Ebenen erlaubt als eine Einheit zu arbeiten an Stelle von unabhängigen Sicherhietsgeräten. Data Center Switch Kritische Ressourcen Workgroup Switches Endnutzer

Security Was ist neu ?

OmniAccess SafeGuard Product Line Network positioning GUI-based LAN tracking, incident reports, and policy setting OmniVista 2500 (Topology, traps, QM Syslog) Data center OmniVista SafeGuard Manager OmniAccess 2400 SafeGuard LAN core High Availability redundancy supported Transparent deployment OmniAccess 1000 SafeGuard Access layer Per-user and per-application controls

OmniAccess Security Overlay Features Audit Track and monitor user activity up to Layer 7 Threat Control Protect the LAN against zero-day worms Corporate LAN Identity-Based Control Control Access to Resource from Layer 2 - Layer 7 Host Integrity Check Only compliant systems enter the LAN Authenticate Only valid users get on the LAN

Decoding Applications Alcatel decodes these apps at Layer 7: HTTP FTP DNS AD-Kerberos Radius DHCP SMB/CIFS RTP RTSP MSRPC SUNRPC MS Media H.323 SIP Oracle = port-hopping apps Many apps use well-known ports Some apps negotiate dynamic port assignments 0 -1024 1025 - 65K TCP / UDP ports Alcatel performs L7 decode to identify apps regardless of port number Enables detection of port-cloaking attacks

Schmerzen

Alcatel-Lucent hilft

Security Access Guardian or “Alcatel-Lucent’s NAC” Authentication – Know who is on your network Embedded auto-sensing Authentication for AOS(LAN) and AOS-W(WLAN) Mix 802.1x, MAC, Web-based authentication and dynamic classification Multiple users, multiple methods on 1 port Authentication systems VitalAAA Radius authentication server, compatible with MS IAS Host integrity – Check if they are compliant Integrated Access Control on AOS and AOS-W NAC enforcement with 802.1x (Vlan) and IP lockdown (DHCP) Clientless Host Integrity - Infoexpress (AOS) and Symantec (AOS-W) Partners: InfoExpress HIC, Symantec, Microsoft NAP Role-based access – Direct what they can access User Profiles granting access to appropriate resources (AOS) Per-user access privileges (AOS-W) Mapping users to resources at network level - OmniVista SV Network Access Per user control at the application level (L2 to L7) - OmniAccess SafeGuard

OmniAccess SafeGuard Product Line Network positioning GUI-based LAN tracking, incident reports, and policy setting OmniVista 2500 (Topology, traps, QM Syslog) Data center OmniVista SafeGuard Manager OmniAccess 2400 SafeGuard LAN core High Availability redundancy supported Transparent deployment OmniAccess 1000 SafeGuard Access layer Per-user and per-application controls

OmniAccess Security Overlay Features Audit Track and monitor user activity up to Layer 7 Threat Control Protect the LAN against zero-day worms Corporate LAN Identity-Based Control Control Access to Resource from Layer 2 - Layer 7 Host Integrity Check Only compliant systems enter the LAN Authenticate Only valid users get on the LAN

Decoding Applications Alcatel decodes these apps at Layer 7: HTTP FTP DNS AD-Kerberos Radius DHCP SMB/CIFS RTP RTSP MSRPC SUNRPC MS Media H.323 SIP Oracle = port-hopping apps Many apps use well-known ports Some apps negotiate dynamic port assignments 0 -1024 1025 - 65K TCP / UDP ports Alcatel performs L7 decode to identify apps regardless of port number Enables detection of port-cloaking attacks

Security Intrusion Containment with Quarantine Manager Intrusion Detection – See what they are doing AOS Embedded Sflow for monitoring and sampling, Etherbreaker for statistical traffic anomaly detection AOS-W built-in Firewall and IDS Firewall and VPN in Brick with basic IDS/IPS Inline User monitoring and Threat Blocking with OmniAccess SafeGuard Per-user and per-application based detection and blocking User tracking and compliance reporting Fortinet Applianc, Signature-based IPS Containment – Quarantine and remediate Enforcement or quarantine at the network edge with OmniVista Quarantine Manager (AOS, AOS-W) Flexible integration with 3rd party detection devices (syslog, SNMP) Granular application quarantining and user activity logging with OmniAccess SafeGuard

Security portfolio Directions Access Guardian => Network Access Control Auto-sensing Authentication Host Integrity Check for security compliance Role based access Quarantine Manager => Intrusion Containment Intrusion – Detection - Monitoring Containment - Remediation Products and partnerships LAN: OmniSwitch AOS protection, Sflow WLAN: OmniAccess Wireless built-in firewall and IPS Authentication Server: Radius, MS IAS, VitalAAA Radius Host Integrity: Symantec, MS NAP Unified Threat Management: Fortinet Firewall and VPN: Brick portfolio Inline Appliance: OmniAccess SafeGuard

Secure Network Transformation LAN/WAN Networking Solutions WLAN LAN Edge LAN Aggregation LAN Core WAN/MAN Brick Firewall OmniAccess 3500 Laptop Guardian 7450/7750 OmniAccess SafeGuard OmniAccess 700 OmniStack LS 6200 OmniSwitch 6850 / L OmniSwitch 7000/9000 OmniAccess WLAN Durchgängige Netzwerk Services Durchgängiges Netzwerkmanagement – OmniVista / Vital Suite Das Alcatel-Lucent Produktportfolio erfüllt alle Anforderungen an moderne Kommunikation mit höchsten Sicherheitsansprüchen. Vom WLAN AccessPoint bis zum 10G Core-Switch unterstützen alle Systeme eine Vielzahl von Sicherheitsmechanismen, die zum grössten Teil unter dem Begriff “Access Guardian” zusammengefasst sind. Alles Systeme zeichnen sich durch hohe Verfügbarkeit und Zuverlässigkeit aus und werden von einer gemeinsamen Managementplattform verwaltet. Im folgenden wird kurz auf die wichtigsten Sicherheitsfeatures und Systeme im Wireless Umfeld eingegangen. OmniPCX Enterprise Endgeräte WLAN LAN TDM OTUC Genesis OmniPCX Office

www.alcatel-lucent.com