All Rights Reserved © Alcatel-Lucent 2007 Alcatel-Lucent IP Networking Infrastructure Solutions...

All Rights Reserved © Alcatel-Lucent 2007Alcatel-Lucent IP Networking Infrastructure Solutions

Hauke Heinecke – Alcatel-Lucent PreSales Germany

Security á la Alcatel im LAN und WLAN UmfeldAn uns kommt keiner vorbei

2 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007

“Das IP-Backboneist das Koppelfeld

für moderne Kommunikationslösungen“

Dr. Jörg Fischer 20.10.2006


Beispiel : Mobilität erfordert neue Sicherheits Architktur

Wireless LAN WLAN dehnt das Corporate Netzwerk über die

bisherigen Grenzen aus

Users wechseln zwischen „Public“ und „Corporate network“

Umgehen dabei die Firewall

Moderne Laptops sind Infektionsquelle Nummer 1.

Problem wächst durch noch mehr Mobiliät, z.B.

Bluetooth

Gästen wird Zugriff auf Corporate Ressourcen gewährt

Fremde Benutzer (Geräte oder User) benutzen das

lokale Netz

Sie benötigen eine Verbindung zu lokalen

DatenquellenInternet

FW/IDS/IPS

WLAN coverage

Mobile users


IP Networking

“Sicherheit ist keine Option……

….. Sicherheit ist Pflicht


Agenda

Device Security Security out of the Box Denial of Service Attacken

Sicherheitskonzept – “Die Kette ist so stark wie ihr schwächstes Glied”

Network Security SFlow Integriertes IDS / 3rd Party IDS-IPS Quarantine Manager

Basic Security Learned Port Security DHCP Protection Spanning Tree Protection

Advanced Security Access Control Lists Firewalling

User Security Autosensing Authentication Portallösung

Massive VerarbeitungSicherheitsglasStarke SchlösserSicherheitszapfen

Autom. GartentorEinzäunungGegensprechanlageZugangskontrolle

Getrennte EingängeEinliegerwohnung

Schlüssel für EingangstürFoyer für GästeHaustierklappeKey-Less Zugang für Kinder

VideoüberwachungGlasbruchsensorenBewegungsensorenRauchmelderAufschaltung Sicherheitsdienst


Agenda







Massive VerarbeitungSicherheitsglasStarke SchlösserSicherheitszapfen






Device Security

Gehärtete „stählerne“ Infrastruktur

Security by default

Denial of Service Abwehr durch gehärtete Hardwarekomponenten (ASIC)

DoS Schutz durch automatisches Radio Management (WLAN)

Vulnerability Management

Automatische Gegenwehr-Mechanismen

Code und Konfiguration Integrität

Verwendung verschiedener Sicherheitsprofile für Management

Sicherer Zugriff zum Switch via SSH, HTTPS & SNMPv3 w/ SSL

Automatische System Recovery

Selbstheilende Komponenten

.Alfred Krupp


Agenda









Basic Security – Schutz für ungebetenen Gästen

Der Objektschutz beginnt bereits an der Gartenpforte

„Learned Port-Security“ kontrolliert den physischen

Switchport und schützt vor Missbrauch.

Kontrolle eines jeden einzelnen Endgerätes/ Terminals (MAC)

Kontrolle eine spez. Bereichs von Endgeräten

Kontrolle über die Anzahl von Endgeräten (MAC)

– Schutz vor unauthorisierter Benutzung von Hub’s, Switches oder Access Point an einen Switchport

– Automatische Reaktion auf Regelverletzung

– Alarmierung der Regelverletzung

Spanning Tree Protection

Edgeport

– Empfangene BPD’s auf einem Userport werden verworfen

Spanning Tree Root Protection

– Kontrolle über empfangene STP Pakete

– Blocken von PaketenMAC-1 MAC-2 MAC-3 MAC-4

SwitchPort


Basic Security – Schutz vor ungebetenen Gästen

Schutz vor DHCP Vergiftung

Ein unautorisierter DHCP-Server im Netzwerk kann zur

Katastrophe führen

Jeder Port erhält einen Vertrauens-Status

– Ein DHCP Server darf angeschlossen sein

– Kein DHCP Server darf angeschlossen sein

Nur auf autorisierten Ports dürfen DHCP-Offer passieren

DHCP-only-Ports

Statische IP-Adresse Konfiguration kann im Netzwerk unerwünscht sein

– DHCP-Only-Port zwingt den Client zum Nutzen des DHCP Service

– Ohne DHCP Service keine Verbindung zum LAN

OmniPCXEnterprise


Agenda









Layer1-Layer 4 ACLs / QoS policies

Leistungsstarke Access Listen erkennen und steuern den Traffic in Wirespeed,

Verschiedene Bedingungen Layer 7 - - Application aware Filtering Layer 4 - - Protocol ID or L4 Port ID. Ex : UDP or Port 23. Layer 3 - - IP Srce/Dest address. Ex : 192.168.10.1 Layer 2 - - MAC Srce/Dest address. Ex: 0020DA34E2F8

Verschiedenen Aktionen Verbiete Priorisiere Steuere auf einen bestimmten Weg Verlangsame Beschleunige

Best EffortIP, IPX,…

Differentiated Traffic

GuaranteedTraffic

Sensitive traffic

Real-timetraffic

Normaltraffic


Agenda









Alcatel Access Guardian

Sicherer Netzwerkzugang Access

Authentifizierung der Benutzer

Host Integrity Check für jedes Gerät

Role-based Netzwerk Zugang

Sicherheit auf Netzwerkebene


IEEE 802.1x

Auto-sensing Benutzer- Authentifizierung

Universelle Authentifizierung in Abhängigkeit vom Endgerät

Weil es mehr als einen PC im Netzwerk gibt

Weil alle Geräte mobil sind

Weil die Migration auf 802.1x auf einen Schlag schwierig ist

MAC 00:Ob:86:80:34:40

Captive Portal


Gäste Portal

Anmeldung für Gäste und auch Mitarbeiter

Alcatel Captive Portal ermöglicht interaktive Kommunikation mit der

Infrastruktur


Agenda









Switching ASIC

1 in N sampling

sFlow Übersicht

packet headersrc/dst

i/fsampling

parmsforwarding

user ID

URLi/f

counterssFlow agent

forwarding tables

interface counters

sFlow Datagram

z.B. 128Bit ratepool

src 802.1p/Qdst 802.1p/Qnext hopsrc/dst maskAS pathcommunitieslocalPrefMPLS

src/dstRadiusTACACS

sFlow Collector & Analyser

Switch/Router


Alcatel-Lucent Quarantine Manager

WorkgroupSwitches

Data CenterSwitch Kritische

RessourcenEndnutzer

OmniVistaNetwork Management

System(SNMP based)

1 Infizierte station attackiert server (z.B. port scan)

2 IDP identifiziert die Attacke und den Ursprung

3 IDP informiert OmniVista über den Type und Ursprung der Attacke

5 Die Aktion ist aktiviert im Netzwerk

Sequenz der Ereignisse

4 Ein Trap wird generiert und der Netzwerk-Administrator kann manuell eine Aktion starten oder automatisiert wird eine Aktion gestartet

AutomatedAutomated Quarantine ManagerQuarantine Manager

!!! Attacke erkannt !!!, Sie können:

• Shut Down des Nutzerports• Eine ACL kreieren• Die fehlerhafte Station in ein

Quarantäne VLAN schieben


Was ist neu ?

Security


OmniAccess SafeGuard Product Line

Network positioning

LAN core

Transparent deployment

Data center

OmniVista SafeGuard Manager

Access layer

GUI-based LAN tracking, incident reports, and policy setting

Per-user and per-application controls

OmniVista 2500(Topology, traps, QM Syslog)

High Availability redundancy supported

OmniAccess 2400 SafeGuard



Corporate

LAN

Authenticate

Host Integrity Check

Audit

Identity-Based Control

Threat Control

Only valid users get on the LAN

Only compliant systems enter the LAN

Control Access to Resource from Layer 2 - Layer 7

Track and monitor user activity up to Layer 7

Protect the LAN against zero-day worms

OmniAccess Security Overlay Features


TCP / UDP ports

Alcatel performs L7 decode to identify apps

regardless of port number

Enables detection of port-cloaking

attacks

Many apps use well-known ports

Some apps negotiate dynamic port assignments

Alcatel decodes these apps at Layer 7:

» HTTP » FTP » DNS » AD-Kerberos » Radius » DHCP » SMB/CIFS» RTP » RTSP » MSRPC» SUNRPC » MS Media » H.323 » SIP » Oracle

= port-hopping apps

0 -1024 1025 - 65K

Decoding Applications


Schmerzen


Alcatel-Lucent hilft


SecurityAccess Guardian or “Alcatel-Lucent’s NAC”

Authentication – Know who is on your network• Embedded auto-sensing Authentication for AOS(LAN) and AOS-

W(WLAN) Mix 802.1x, MAC, Web-based authentication and dynamic classification Multiple users, multiple methods on 1 port

• Authentication systems VitalAAA Radius authentication server, compatible with MS IAS

Host integrity – Check if they are compliant• Integrated Access Control on AOS and AOS-W

• NAC enforcement with 802.1x (Vlan) and IP lockdown (DHCP)

• Clientless Host Integrity - Infoexpress (AOS) and Symantec (AOS-W)

• Partners: InfoExpress HIC, Symantec, Microsoft NAP

Role-based access – Direct what they can access• User Profiles granting access to appropriate resources (AOS)

• Per-user access privileges (AOS-W)

• Mapping users to resources at network level - OmniVista SV Network Access

• Per user control at the application level (L2 to L7) - OmniAccess SafeGuard


OmniAccess SafeGuard Product LineNetwork positioning

LAN core

Transparent deployment

Data center

OmniVista SafeGuard Manager

Access layer

GUI-based LAN tracking, incident reports, and policy setting

Per-user and per-application controls

OmniVista 2500(Topology, traps, QM Syslog)

High Availability redundancy supported




Corporate

LAN

Authenticate

Host Integrity Check

Audit

Identity-Based Control

Threat Control

Only valid users get on the LAN

Only compliant systems enter the LAN

Control Access to Resource from Layer 2 - Layer 7

Track and monitor user activity up to Layer 7

Protect the LAN against zero-day worms

OmniAccess Security Overlay Features


TCP / UDP ports

Alcatel performs L7 decode to identify apps

regardless of port number

Enables detection of port-cloaking

attacks

Many apps use well-known ports

Some apps negotiate dynamic port assignments

Alcatel decodes these apps at Layer 7:

» HTTP » FTP » DNS » AD-Kerberos » Radius » DHCP » SMB/CIFS» RTP » RTSP » MSRPC» SUNRPC » MS Media » H.323 » SIP » Oracle

= port-hopping apps

0 -1024 1025 - 65K

Decoding Applications


SecurityIntrusion Containment with Quarantine Manager

Intrusion Detection – See what they are doing

• AOS Embedded Sflow for monitoring and sampling, Etherbreaker for statistical traffic anomaly detection

• AOS-W built-in Firewall and IDS

• Firewall and VPN in Brick with basic IDS/IPS

• Inline User monitoring and Threat Blocking with OmniAccess SafeGuard

Per-user and per-application based detection and blocking User tracking and compliance reporting

• Fortinet Applianc, Signature-based IPS

Containment – Quarantine and remediate

• Enforcement or quarantine at the network edge with OmniVista Quarantine Manager (AOS, AOS-W)

Flexible integration with 3rd party detection devices (syslog, SNMP)

• Granular application quarantining and user activity logging with OmniAccess SafeGuard


Security portfolio Directions

Products and partnerships

•LAN: OmniSwitch AOS protection, Sflow

•WLAN: OmniAccess Wireless built-in firewall and IPS

•Authentication Server: Radius, MS IAS, VitalAAA Radius

•Host Integrity: Symantec, MS NAP

•Unified Threat Management: Fortinet

•Firewall and VPN: Brick portfolio

•Inline Appliance: OmniAccess SafeGuard

Quarantine Manager => Intrusion Containment•Intrusion – Detection - Monitoring•Containment - Remediation

Access Guardian => Network Access Control•Auto-sensing Authentication•Host Integrity Check for security compliance•Role based access


OmniSwitch6850 / L

OmniAccess 700OmniAcces

sWLAN

7450/7750

OmniStackLS 6200

OmniSwitch7000/9000

LAN

CoreWAN/MANWLAN LAN Aggregation

LAN

Edge

Secure Network TransformationLAN/WAN Networking Solutions

OmniAccess 3500

Laptop Guardian

Brick Firewall

OmniAccess SafeGuard

Durchgängige Netzwerk ServicesDurchgängige Netzwerk Services

Durchgängiges Netzwerkmanagement – OmniVista / Durchgängiges Netzwerkmanagement – OmniVista / Vital SuiteVital Suite

GenesisGenesis

OmniPCX EnterpriseOmniPCX Enterprise

OmniPCX OfficeOmniPCX Office

EndgeräteWLANLANTDM

EndgeräteWLANLANTDM

OTUCOTUC


www.alcatel-lucent.com

All Rights Reserved © Alcatel-Lucent 2007 Alcatel-Lucent IP Networking Infrastructure Solutions...

Documents

Transcript of All Rights Reserved © Alcatel-Lucent 2007 Alcatel-Lucent IP Networking Infrastructure Solutions...