All Rights Reserved © Alcatel-Lucent 2007 Alcatel-Lucent IP Networking Infrastructure Solutions...

Click here to load reader

  • date post

    05-Apr-2015
  • Category

    Documents

  • view

    116
  • download

    11

Embed Size (px)

Transcript of All Rights Reserved © Alcatel-Lucent 2007 Alcatel-Lucent IP Networking Infrastructure Solutions...

  • Folie 1
  • All Rights Reserved Alcatel-Lucent 2007 Alcatel-Lucent IP Networking Infrastructure Solutions Hauke Heinecke Alcatel-Lucent PreSales Germany Security la Alcatel im LAN und WLAN Umfeld An uns kommt keiner vorbei
  • Folie 2
  • All Rights Reserved Alcatel-Lucent 2007 2 | Presentation Title | Month 2007 Das IP-Backbone ist das Koppelfeld fr moderne Kommunikationslsungen Dr. Jrg Fischer 20.10.2006
  • Folie 3
  • All Rights Reserved Alcatel-Lucent 2007 3 | Presentation Title | Month 2007 Beispiel : Mobilitt erfordert neue Sicherheits Architktur Wireless LAN WLAN dehnt das Corporate Netzwerk ber die bisherigen Grenzen aus Users wechseln zwischen Public und Corporate network Umgehen dabei die Firewall Moderne Laptops sind Infektionsquelle Nummer 1. Problem wchst durch noch mehr Mobilit, z.B. Bluetooth Gsten wird Zugriff auf Corporate Ressourcen gewhrt Fremde Benutzer (Gerte oder User) benutzen das lokale Netz Sie bentigen eine Verbindung zu lokalen Datenquellen Internet FW/IDS/IPS WLAN coverage Mobile users
  • Folie 4
  • All Rights Reserved Alcatel-Lucent 2007 4 | Presentation Title | Month 2007 IP Networking Sicherheit ist keine Option .. Sicherheit ist Pflicht
  • Folie 5
  • All Rights Reserved Alcatel-Lucent 2007 5 | Presentation Title | Month 2007 Agenda Device Security Security out of the Box Denial of Service Attacken Sicherheitskonzept Die Kette ist so stark wie ihr schwchstes Glied Network Security SFlow Integriertes IDS / 3rd Party IDS-IPS Quarantine Manager Basic Security Learned Port Security DHCP Protection Spanning Tree Protection Advanced Security Access Control Lists Firewalling User Security Autosensing Authentication Portallsung Massive Verarbeitung Sicherheitsglas Starke Schlsser Sicherheitszapfen Autom. Gartentor Einzunung Gegensprechanlage Zugangskontrolle Getrennte Eingnge Einliegerwohnung Schlssel fr Eingangstr Foyer fr Gste Haustierklappe Key-Less Zugang fr Kinder Videoberwachung Glasbruchsensoren Bewegungsensoren Rauchmelder Aufschaltung Sicherheitsdienst
  • Folie 6
  • All Rights Reserved Alcatel-Lucent 2007 6 | Presentation Title | Month 2007 Agenda Device Security Security out of the Box Denial of Service Attacken Sicherheitskonzept Die Kette ist so stark wie ihr schwchstes Glied Network Security SFlow Integriertes IDS / 3rd Party IDS-IPS Quarantine Manager Basic Security Learned Port Security DHCP Protection Spanning Tree Protection Advanced Security Access Control Lists Firewalling User Security Autosensing Authentication Portallsung Massive Verarbeitung Sicherheitsglas Starke Schlsser Sicherheitszapfen Autom. Gartentor Einzunung Gegensprechanlage Zugangskontrolle Getrennte Eingnge Einliegerwohnung Schlssel fr Eingangstr Foyer fr Gste Haustierklappe Key-Less Zugang fr Kinder Videoberwachung Glasbruchsensoren Bewegungsensoren Rauchmelder Aufschaltung Sicherheitsdienst
  • Folie 7
  • All Rights Reserved Alcatel-Lucent 2007 7 | Presentation Title | Month 2007 Device Security Gehrtete sthlerne Infrastruktur Security by default Denial of Service Abwehr durch gehrtete Hardwarekomponenten (ASIC) DoS Schutz durch automatisches Radio Management (WLAN) Vulnerability Management Automatische Gegenwehr-Mechanismen Code und Konfiguration Integritt Verwendung verschiedener Sicherheitsprofile fr Management Sicherer Zugriff zum Switch via SSH, HTTPS & SNMPv3 w/ SSL Automatische System Recovery Selbstheilende Komponenten. Alfred Krupp
  • Folie 8
  • All Rights Reserved Alcatel-Lucent 2007 8 | Presentation Title | Month 2007 Agenda Device Security Security out of the Box Denial of Service Attacken Sicherheitskonzept Die Kette ist so stark wie ihr schwchstes Glied Network Security SFlow Integriertes IDS / 3rd Party IDS-IPS Quarantine Manager Basic Security Learned Port Security DHCP Protection Spanning Tree Protection Advanced Security Access Control Lists Firewalling User Security Autosensing Authentication Portallsung Autom. Gartentor Einzunung Gegensprechanlage Zugangskontrolle
  • Folie 9
  • All Rights Reserved Alcatel-Lucent 2007 9 | Presentation Title | Month 2007 Basic Security Schutz fr ungebetenen Gsten Der Objektschutz beginnt bereits an der Gartenpforte Learned Port-Security kontrolliert den physischen Switchport und schtzt vor Missbrauch. Kontrolle eines jeden einzelnen Endgertes/ Terminals (MAC) Kontrolle eine spez. Bereichs von Endgerten Kontrolle ber die Anzahl von Endgerten (MAC) Schutz vor unauthorisierter Benutzung von Hubs, Switches oder Access Point an einen Switchport Automatische Reaktion auf Regelverletzung Alarmierung der Regelverletzung Spanning Tree Protection Edgeport Empfangene BPDs auf einem Userport werden verworfen Spanning Tree Root Protection Kontrolle ber empfangene STP Pakete Blocken von Paketen MAC-1 MAC-2MAC-3MAC-4 Switch Port
  • Folie 10
  • All Rights Reserved Alcatel-Lucent 2007 10 | Presentation Title | Month 2007 Basic Security Schutz vor ungebetenen Gsten Schutz vor DHCP Vergiftung Ein unautorisierter DHCP-Server im Netzwerk kann zur Katastrophe fhren Jeder Port erhlt einen Vertrauens-Status Ein DHCP Server darf angeschlossen sein Kein DHCP Server darf angeschlossen sein Nur auf autorisierten Ports drfen DHCP-Offer passieren DHCP-only-Ports Statische IP-Adresse Konfiguration kann im Netzwerk unerwnscht sein DHCP-Only-Port zwingt den Client zum Nutzen des DHCP Service Ohne DHCP Service keine Verbindung zum LAN OmniPCX Enterprise
  • Folie 11
  • All Rights Reserved Alcatel-Lucent 2007 11 | Presentation Title | Month 2007 Agenda Device Security Security out of the Box Denial of Service Attacken Sicherheitskonzept Die Kette ist so stark wie ihr schwchstes Glied Network Security SFlow Integriertes IDS / 3rd Party IDS-IPS Quarantine Manager Basic Security Learned Port Security DHCP Protection Spanning Tree Protection Advanced Security Access Control Lists Firewalling User Security Autosensing Authentication Portallsung Getrennte Eingnge Einliegerwohnung
  • Folie 12
  • All Rights Reserved Alcatel-Lucent 2007 12 | Presentation Title | Month 2007 Layer1-Layer 4 ACLs / QoS policies Leistungsstarke Access Listen erkennen und steuern den Traffic in Wirespeed, Verschiedene Bedingungen Layer 7 - - Application aware Filtering Layer 4 - - Protocol ID or L4 Port ID. Ex : UDP or Port 23. Layer 3 - - IP Srce/Dest address. Ex : 192.168.10.1 Layer 2 - - MAC Srce/Dest address. Ex: 0020DA34E2F8 Verschiedenen Aktionen Verbiete Priorisiere Steuere auf einen bestimmten Weg Verlangsame Beschleunige Best Effort IP, IPX, Differentiated Traffic Guaranteed Traffic Sensitive traffic Real-time traffic Normal traffic
  • Folie 13
  • All Rights Reserved Alcatel-Lucent 2007 13 | Presentation Title | Month 2007 Agenda Device Security Security out of the Box Denial of Service Attacken Sicherheitskonzept Die Kette ist so stark wie ihr schwchstes Glied Network Security SFlow Integriertes IDS / 3rd Party IDS-IPS Quarantine Manager Basic Security Learned Port Security DHCP Protection Spanning Tree Protection Advanced Security Access Control Lists Firewalling User Security Autosensing Authentication Portallsung Schlssel fr Eingangstr Foyer fr Gste Haustierklappe Key-Less Zugang fr Kinder
  • Folie 14
  • All Rights Reserved Alcatel-Lucent 2007 14 | Presentation Title | Month 2007 Alcatel Access Guardian Sicherer Netzwerkzugang Access Authentifizierung der Benutzer Host Integrity Check fr jedes Gert Role-based Netzwerk Zugang Sicherheit auf Netzwerkebene
  • Folie 15
  • All Rights Reserved Alcatel-Lucent 2007 15 | Presentation Title | Month 2007 IEEE 802.1x Auto-sensing Benutzer- Authentifizierung Universelle Authentifizierung in Abhngigkeit vom Endgert Weil es mehr als einen PC im Netzwerk gibt Weil alle Gerte mobil sind Weil die Migration auf 802.1x auf einen Schlag schwierig ist MAC 00:Ob:86:80:34:40 Captive Portal
  • Folie 16
  • All Rights Reserved Alcatel-Lucent 2007 16 | Presentation Title | Month 2007 Gste Portal Anmeldung fr Gste und auch Mitarbeiter Alcatel Captive Portal ermglicht interaktive Kommunikation mit der Infrastruktur
  • Folie 17
  • All Rights Reserved Alcatel-Lucent 2007 17 | Presentation Title | Month 2007 Agenda Device Security Security out of the Box Denial of Service Attacken Sicherheitskonzept Die Kette ist so stark wie ihr schwchstes Glied Network Security SFlow Integriertes IDS / 3rd Party IDS-IPS Quarantine Manager Basic Security Learned Port Security DHCP Protection Spanning Tree Protection Advanced Security Access Control Lists Firewalling User Security Autosensing Authentication Portallsung Videoberwachung Glasbruchsensoren Bewegungsensoren Rauchmelder Aufschaltung Sicherheitsdienst
  • Folie 18
  • All Rights Reserved Alcatel-Lucent 2007 18 | Presentation Title | Month 2007 Switching ASIC 1 in N sampling sFlow bersicht packet headersrc/dst i/fsampling parmsforwardinguser IDURLi/f counters sFlow agent forwarding tables interface counters sFlow Datagram z.B. 128Bitrate pool src 802.1p/Q dst 802.1p/Q next hop src/dst mask AS path communities localPref MPLS src/dst Radius TACACS sFlow Collector & Analyser Switch/Router
  • Folie 19
  • All Rights Reserved Alcatel-Lucent 2007 19 | Presentation Title | Month 2007 Alcatel-Lucent Quarantine Manager Workgroup Switches Data Center Switch Kritische Ressourcen Endnutzer OmniVista Network Management System (SNMP based) 1 Infizierte station attackiert server (z.B. port scan) 2 IDP identifiziert die Attacke und den Ursprung 3 IDP informiert OmniVista ber den Type und Ursprung der Attacke 5 Die Aktion ist aktiviert im Netzwerk Sequenz der Ereignisse 4 Ein Trap wird generiert und der Netzwerk-Administrator kann manuell eine Aktion starten oder automatisiert wird eine Aktion gestartet Automated Quarantine Manager !!! Attacke erkannt !!!, Sie knnen: Shut Down des Nutzerports Eine ACL kreieren Die fehlerhafte Station in ein Quarantne VLAN schieben
  • Folie 20
  • All Rights Reserved Alcatel-Lucent 2007 20 | Presentation Title | Month 2007 Was ist neu ? Security
  • Folie 21
  • All Rights Reserved Alcatel-Lucent 2007 21 | Presentation Title | Month 2007 OmniAccess SafeGuard Product Line Network positioning LAN core Transparent deployment Data center OmniVista SafeGuard Manager Access layer GUI-based LAN tracking, incident reports, and policy setting Per-user and per- application controls OmniVista 2500 (Topology, traps, QM Syslog) High Availability redundancy supported OmniAccess 2400 SafeGuard OmniAccess 1000 SafeGuard
  • Folie 22
  • All Rights Reserved Alcatel-Lucent 2007 22 | Presentation Title | Month 2007 Corporate LAN Authenticate Host Integrity Check Audit Identity-Based Control Threat Control Only valid users get on the LAN Only compliant systems enter the LAN Control Access to Resource from Layer 2 - Layer 7 Track and monitor user activity up to Layer 7 Protect the LAN against zero-day worms OmniAccess Security Overlay Features
  • Folie 23
  • All Rights Reserved Alcatel-Lucent 2007 23 | Presentation Title | Month 2007 TCP / UDP ports Alcatel performs L7 decode to identify apps regardless of port number Enables detection of port-cloaking attacks Many apps use well-known ports Some apps negotiate dynamic port assignments Alcatel decodes these apps at Layer 7: HTTP FTP DNS AD-Kerberos Radius DHCP SMB/CIFS RTP RTSP MSRPC SUNRPC MS Media H.323 SIP Oracle = port-hopping apps 0 -10241025 - 65K Decoding Applications
  • Folie 24
  • All Rights Reserved Alcatel-Lucent 2007 24 | Presentation Title | Month 2007 Schmerzen
  • Folie 25
  • All Rights Reserved Alcatel-Lucent 2007 25 | Presentation Title | Month 2007
  • Folie 26
  • All Rights Reserved Alcatel-Lucent 2007 26 | Presentation Title | Month 2007 Alcatel-Lucent hilft
  • Folie 27
  • All Rights Reserved Alcatel-Lucent 2007 27 | Presentation Title | Month 2007 Security Access Guardian or Alcatel-Lucents NAC Authentication Know who is on your network Embedded auto-sensing Authentication for AOS(LAN) and AOS-W(WLAN) Mix 802.1x, MAC, Web-based authentication and dynamic classification Multiple users, multiple methods on 1 port Authentication systems VitalAAA Radius authentication server, compatible with MS IAS Host integrity Check if they are compliant Integrated Access Control on AOS and AOS-W NAC enforcement with 802.1x (Vlan) and IP lockdown (DHCP) Clientless Host Integrity - Infoexpress (AOS) and Symantec (AOS-W) Partners: InfoExpress HIC, Symantec, Microsoft NAP Role-based access Direct what they can access User Profiles granting access to appropriate resources (AOS) Per-user access privileges (AOS-W) Mapping users to resources at network level - OmniVista SV Network Access Per user control at the application level (L2 to L7) - OmniAccess SafeGuard
  • Folie 28
  • All Rights Reserved Alcatel-Lucent 2007 28 | Presentation Title | Month 2007 OmniAccess SafeGuard Product Line Network positioning LAN core Transparent deployment Data center OmniVista SafeGuard Manager Access layer GUI-based LAN tracking, incident reports, and policy setting Per-user and per- application controls OmniVista 2500 (Topology, traps, QM Syslog) High Availability redundancy supported OmniAccess 2400 SafeGuard OmniAccess 1000 SafeGuard
  • Folie 29
  • All Rights Reserved Alcatel-Lucent 2007 29 | Presentation Title | Month 2007 Corporate LAN Authenticate Host Integrity Check Audit Identity-Based Control Threat Control Only valid users get on the LAN Only compliant systems enter the LAN Control Access to Resource from Layer 2 - Layer 7 Track and monitor user activity up to Layer 7 Protect the LAN against zero-day worms OmniAccess Security Overlay Features
  • Folie 30
  • All Rights Reserved Alcatel-Lucent 2007 30 | Presentation Title | Month 2007 TCP / UDP ports Alcatel performs L7 decode to identify apps regardless of port number Enables detection of port-cloaking attacks Many apps use well-known ports Some apps negotiate dynamic port assignments Alcatel decodes these apps at Layer 7: HTTP FTP DNS AD-Kerberos Radius DHCP SMB/CIFS RTP RTSP MSRPC SUNRPC MS Media H.323 SIP Oracle = port-hopping apps 0 -10241025 - 65K Decoding Applications
  • Folie 31
  • All Rights Reserved Alcatel-Lucent 2007 31 | Presentation Title | Month 2007 Security Intrusion Containment with Quarantine Manager Intrusion Detection See what they are doing AOS Embedded Sflow for monitoring and sampling, Etherbreaker for statistical traffic anomaly detection AOS-W built-in Firewall and IDS Firewall and VPN in Brick with basic IDS/IPS Inline User monitoring and Threat Blocking with OmniAccess SafeGuard Per-user and per-application based detection and blocking User tracking and compliance reporting Fortinet Applianc, Signature-based IPS Containment Quarantine and remediate Enforcement or quarantine at the network edge with OmniVista Quarantine Manager (AOS, AOS-W) Flexible integration with 3 rd party detection devices (syslog, SNMP) Granular application quarantining and user activity logging with OmniAccess SafeGuard
  • Folie 32
  • All Rights Reserved Alcatel-Lucent 2007 32 | Presentation Title | Month 2007 Security portfolio Directions Products and partnerships LAN: OmniSwitch AOS protection, Sflow WLAN: OmniAccess Wireless built-in firewall and IPS Authentication Server: Radius, MS IAS, VitalAAA Radius Host Integrity: Symantec, MS NAP Unified Threat Management: Fortinet Firewall and VPN: Brick portfolio Inline Appliance: OmniAccess SafeGuard Quarantine Manager => Intrusion Containment Intrusion Detection - Monitoring Containment - Remediation Access Guardian => Network Access Control Auto-sensing Authentication Host Integrity Check for security compliance Role based access
  • Folie 33
  • All Rights Reserved Alcatel-Lucent 2007 33 | Presentation Title | Month 2007 OmniSwitch 6850 / L OmniAccess 700 OmniAccess WLAN 7450/7750 OmniStack LS 6200 OmniSwitch 7000/9000 LAN CoreWAN/MANWLANLAN AggregationLAN Edge Secure Network Transformation LAN/WAN Networking Solutions OmniAccess 3500 Laptop Guardian Brick Firewall OmniAccess SafeGuard Durchgngige Netzwerk Services Durchgngige Netzwerk Services Durchgngiges Netzwerkmanagement OmniVista / Vital Suite Durchgngiges Netzwerkmanagement OmniVista / Vital Suite Genesis OmniPCX Enterprise OmniPCX Office Endgerte WLAN LAN TDM Endgerte WLAN LAN TDM OTUC
  • Folie 34
  • All Rights Reserved Alcatel-Lucent 2007 34 | Presentation Title | Month 2007 www.alcatel-lucent.com