All Rights Reserved © Alcatel-Lucent 2007 Alcatel-Lucent IP Networking Infrastructure Solutions...

download All Rights Reserved © Alcatel-Lucent 2007 Alcatel-Lucent IP Networking Infrastructure Solutions Hauke Heinecke – Alcatel-Lucent PreSales Germany Security

If you can't read please download the document

  • date post

    05-Apr-2015
  • Category

    Documents

  • view

    116
  • download

    11

Embed Size (px)

Transcript of All Rights Reserved © Alcatel-Lucent 2007 Alcatel-Lucent IP Networking Infrastructure Solutions...

  • Folie 1
  • All Rights Reserved Alcatel-Lucent 2007 Alcatel-Lucent IP Networking Infrastructure Solutions Hauke Heinecke Alcatel-Lucent PreSales Germany Security la Alcatel im LAN und WLAN Umfeld An uns kommt keiner vorbei
  • Folie 2
  • All Rights Reserved Alcatel-Lucent 2007 2 | Presentation Title | Month 2007 Das IP-Backbone ist das Koppelfeld fr moderne Kommunikationslsungen Dr. Jrg Fischer 20.10.2006
  • Folie 3
  • All Rights Reserved Alcatel-Lucent 2007 3 | Presentation Title | Month 2007 Beispiel : Mobilitt erfordert neue Sicherheits Architktur Wireless LAN WLAN dehnt das Corporate Netzwerk ber die bisherigen Grenzen aus Users wechseln zwischen Public und Corporate network Umgehen dabei die Firewall Moderne Laptops sind Infektionsquelle Nummer 1. Problem wchst durch noch mehr Mobilit, z.B. Bluetooth Gsten wird Zugriff auf Corporate Ressourcen gewhrt Fremde Benutzer (Gerte oder User) benutzen das lokale Netz Sie bentigen eine Verbindung zu lokalen Datenquellen Internet FW/IDS/IPS WLAN coverage Mobile users
  • Folie 4
  • All Rights Reserved Alcatel-Lucent 2007 4 | Presentation Title | Month 2007 IP Networking Sicherheit ist keine Option .. Sicherheit ist Pflicht
  • Folie 5
  • All Rights Reserved Alcatel-Lucent 2007 5 | Presentation Title | Month 2007 Agenda Device Security Security out of the Box Denial of Service Attacken Sicherheitskonzept Die Kette ist so stark wie ihr schwchstes Glied Network Security SFlow Integriertes IDS / 3rd Party IDS-IPS Quarantine Manager Basic Security Learned Port Security DHCP Protection Spanning Tree Protection Advanced Security Access Control Lists Firewalling User Security Autosensing Authentication Portallsung Massive Verarbeitung Sicherheitsglas Starke Schlsser Sicherheitszapfen Autom. Gartentor Einzunung Gegensprechanlage Zugangskontrolle Getrennte Eingnge Einliegerwohnung Schlssel fr Eingangstr Foyer fr Gste Haustierklappe Key-Less Zugang fr Kinder Videoberwachung Glasbruchsensoren Bewegungsensoren Rauchmelder Aufschaltung Sicherheitsdienst
  • Folie 6
  • All Rights Reserved Alcatel-Lucent 2007 6 | Presentation Title | Month 2007 Agenda Device Security Security out of the Box Denial of Service Attacken Sicherheitskonzept Die Kette ist so stark wie ihr schwchstes Glied Network Security SFlow Integriertes IDS / 3rd Party IDS-IPS Quarantine Manager Basic Security Learned Port Security DHCP Protection Spanning Tree Protection Advanced Security Access Control Lists Firewalling User Security Autosensing Authentication Portallsung Massive Verarbeitung Sicherheitsglas Starke Schlsser Sicherheitszapfen Autom. Gartentor Einzunung Gegensprechanlage Zugangskontrolle Getrennte Eingnge Einliegerwohnung Schlssel fr Eingangstr Foyer fr Gste Haustierklappe Key-Less Zugang fr Kinder Videoberwachung Glasbruchsensoren Bewegungsensoren Rauchmelder Aufschaltung Sicherheitsdienst
  • Folie 7
  • All Rights Reserved Alcatel-Lucent 2007 7 | Presentation Title | Month 2007 Device Security Gehrtete sthlerne Infrastruktur Security by default Denial of Service Abwehr durch gehrtete Hardwarekomponenten (ASIC) DoS Schutz durch automatisches Radio Management (WLAN) Vulnerability Management Automatische Gegenwehr-Mechanismen Code und Konfiguration Integritt Verwendung verschiedener Sicherheitsprofile fr Management Sicherer Zugriff zum Switch via SSH, HTTPS & SNMPv3 w/ SSL Automatische System Recovery Selbstheilende Komponenten. Alfred Krupp
  • Folie 8
  • All Rights Reserved Alcatel-Lucent 2007 8 | Presentation Title | Month 2007 Agenda Device Security Security out of the Box Denial of Service Attacken Sicherheitskonzept Die Kette ist so stark wie ihr schwchstes Glied Network Security SFlow Integriertes IDS / 3rd Party IDS-IPS Quarantine Manager Basic Security Learned Port Security DHCP Protection Spanning Tree Protection Advanced Security Access Control Lists Firewalling User Security Autosensing Authentication Portallsung Autom. Gartentor Einzunung Gegensprechanlage Zugangskontrolle
  • Folie 9
  • All Rights Reserved Alcatel-Lucent 2007 9 | Presentation Title | Month 2007 Basic Security Schutz fr ungebetenen Gsten Der Objektschutz beginnt bereits an der Gartenpforte Learned Port-Security kontrolliert den physischen Switchport und schtzt vor Missbrauch. Kontrolle eines jeden einzelnen Endgertes/ Terminals (MAC) Kontrolle eine spez. Bereichs von Endgerten Kontrolle ber die Anzahl von Endgerten (MAC) Schutz vor unauthorisierter Benutzung von Hubs, Switches oder Access Point an einen Switchport Automatische Reaktion auf Regelverletzung Alarmierung der Regelverletzung Spanning Tree Protection Edgeport Empfangene BPDs auf einem Userport werden verworfen Spanning Tree Root Protection Kontrolle ber empfangene STP Pakete Blocken von Paketen MAC-1 MAC-2MAC-3MAC-4 Switch Port
  • Folie 10
  • All Rights Reserved Alcatel-Lucent 2007 10 | Presentation Title | Month 2007 Basic Security Schutz vor ungebetenen Gsten Schutz vor DHCP Vergiftung Ein unautorisierter DHCP-Server im Netzwerk kann zur Katastrophe fhren Jeder Port erhlt einen Vertrauens-Status Ein DHCP Server darf angeschlossen sein Kein DHCP Server darf angeschlossen sein Nur auf autorisierten Ports drfen DHCP-Offer passieren DHCP-only-Ports Statische IP-Adresse Konfiguration kann im Netzwerk unerwnscht sein DHCP-Only-Port zwingt den Client zum Nutzen des DHCP Service Ohne DHCP Service keine Verbindung zum LAN OmniPCX Enterprise
  • Folie 11
  • All Rights Reserved Alcatel-Lucent 2007 11 | Presentation Title | Month 2007 Agenda Device Security Security out of the Box Denial of Service Attacken Sicherheitskonzept Die Kette ist so stark wie ihr schwchstes Glied Network Security SFlow Integriertes IDS / 3rd Party IDS-IPS Quarantine Manager Basic Security Learned Port Security DHCP Protection Spanning Tree Protection Advanced Security Access Control Lists Firewalling User Security Autosensing Authentication Portallsung Getrennte Eingnge Einliegerwohnung
  • Folie 12
  • All Rights Reserved Alcatel-Lucent 2007 12 | Presentation Title | Month 2007 Layer1-Layer 4 ACLs / QoS policies Leistungsstarke Access Listen erkennen und steuern den Traffic in Wirespeed, Verschiedene Bedingungen Layer 7 - - Application aware Filtering Layer 4 - - Protocol ID or L4 Port ID. Ex : UDP or Port 23. Layer 3 - - IP Srce/Dest address. Ex : 192.168.10.1 Layer 2 - - MAC Srce/Dest address. Ex: 0020DA34E2F8 Verschiedenen Aktionen Verbiete Priorisiere Steuere auf einen bestimmten Weg Verlangsame Beschleunige Best Effort IP, IPX, Differentiated Traffic Guaranteed Traffic Sensitive traffic Real-time traffic Normal traffic
  • Folie 13
  • All Rights Reserved Alcatel-Lucent 2007 13 | Presentation Title | Month 2007 Agenda Device Security Security out of the Box Denial of Service Attacken Sicherheitskonzept Die Kette ist so stark wie ihr schwchstes Glied Network Security SFlow Integriertes IDS / 3rd Party IDS-IPS Quarantine Manager Basic Security Learned Port Security DHCP Protection Spanning Tree Protection Advanced Security Access Control Lists Firewalling User Security Autosensing Authentication Portallsung Schlssel fr Eingangstr Foyer fr Gste Haustierklappe Key-Less Zugang fr Kinder
  • Folie 14
  • All Rights Reserved Alcatel-Lucent 2007 14 | Presentation Title | Month 2007 Alcatel Access Guardian Sicherer Netzwerkzugang Access Authentifizierung der Benutzer Host Integrity Check fr jedes Gert Role-based Netzwerk Zugang Sicherheit auf Netzwerkebene
  • Folie 15
  • All Rights Reserved Alcatel-Lucent 2007 15 | Presentation Title | Month 2007 IEEE 802.1x Auto-sensing Benutzer- Authentifizierung Universelle Authentifizierung in Abhngigkeit vom Endgert Weil es mehr als einen PC im Netzwerk gibt Weil alle Gerte mobil sind Weil die Migration auf 802.1x auf einen Schlag schwierig ist MAC 00:Ob:86:80:34:40 Captive Portal
  • Folie 16
  • All Rights Reserved Alcatel-Lucent 2007 16 | Presentation Title | Month 2007 Gste Portal Anmeldung fr Gste und auch Mitarbeiter Alcatel Captive Portal ermglicht interaktive Kommunikation mit der Infrastruktur
  • Folie 17
  • All Rights Reserved Alcatel-Lucent 2007 17 | Presentation Title | Month 2007 Agenda Device Security Security out of the Box Denial of Service Attacken Sicherheitskonzept Die Kette ist so stark wie ihr schwchstes Glied Network Security SFlow Integriertes IDS / 3rd Party IDS-IPS Quarantine Manager Basic Security Learned Port Security DHCP Protection Spanning Tree Protection Advanced Security Access Control Lists Firewalling User Security Autosensing Authentication Portallsung Videoberwachung Glasbruchsensoren Bewegungsensoren Rauchmelder Aufschaltung Sicherheitsdienst
  • Folie 18
  • All Rights Reserved Alcatel-Lucent 2007 18 | Presentation Title | Month 2007 Switching ASIC 1 in N sampling sFlow bersicht packet headersrc/dst i/fsampling parmsforwardinguser IDURLi/f counters sFlow agent forwarding tables interface counters sFlow Datagram z.B. 128Bitrate pool src 802.1p/Q dst 802.1p/Q next hop src/dst mask AS path communities localPref MPLS src/dst Radius TACACS sFlow Collector & Analyser Switch/Router
  • Folie 19
  • All Rights Reserved Alcatel-Lucent 2007 19 | Presentation Title | Month 2007 Alcatel-Lucent Quarantine Manager Workgroup Switches Data Center Switch Kritische Ressourcen Endnutzer OmniVista Network Management System (SNMP based) 1 Infizierte station attackiert server (z.B. port scan) 2 IDP identifiziert die Attacke und den Ursprung 3 IDP informiert OmniVista ber den Type und Ur