Self Defending Networks – Was steckt dahinter? DFN ... · 02/03/2007 · Social engineering DNS...
Transcript of Self Defending Networks – Was steckt dahinter? DFN ... · 02/03/2007 · Social engineering DNS...
Februar 2007
Self Defending Networks – Was steckt dahinter?
DFN Betriebstagung 27.2.2007
Micha Kuhlgatz
2 March 2007Dimension Data2
Werbespot von Cisco
2 March 2007Dimension Data3
Cisco Self-Defending Network – Die Theorie:
Jedes Element kannein Verteidigungspunkt
sein und die Sicherheitsrichtlinien
durchsetzen
IntegratedProaktive
Sicherheitstechnologien, die automatisiert
Bedrohungen verhindern
AdaptiveZusammenarbeit
zwischen den Dienstenund Geräten innerhalb
des Netzwerks um Angriffe abzuwehren
Collaborative
Eine Architektur, die das Netzwerk dazu benutzt, Sicherheitsbedrohungen zu identifizieren, darauf zu reagieren und sich anzupassen.
2 March 2007Dimension Data4
Die Eigenschaften eines Self-Defending Networks:
Network Availability - Verfügbarkeit des Netzes auch unter Angriffen
Ubiquitous Access - Sicherer Zugang von überall her
Admission Control – Authentisierung von Benutzern, Geräten und deren Status
Application Intelligence – Kontrolle von Applikationen innerhalb des Netzwerks
Day-Zero Protection - Schützen der Engeräten vor neuen Bedrohungen
Infection Containment – Identifizierung und Eindämmung von Ausbrüchen
VerwaltungVerwaltungLehreLehreForschungForschung
2 March 2007Dimension Data5
Wovor schützen?
“Worldwide economic damage inflicted by overt and covertdigital attacks, malware, phishing scams, DDoS attacks and
spam ranged between $470 and $578bn in 2005”mi2g Intelligence
Mail borne virusesSelf replicating wormsSpywarePhishingScript kiddies / hackersProfessional hackersExtortion/denial of serviceTheft of confidential dataInappropriate use of IT resourcesUnauthorised access to resourcesInsider theft/information leakageLegal complianceData/web server corruptionSpamCyber-terrorismPeer-to-peer (P2P) exploitsInstant messaging (IM) exploitsWireless and mobile device attacksSocial engineeringDNS attacksIdentity theftBot Nets
Security Landscape – 1 of 11
Mail borne virusesSelf replicating worms
PhishingScript kiddies / hackersProfessional hackersExtortion/denial of serviceTheft of confidential dataInappropriate use of IT resourcesUnauthorised access to resourcesInsider theft/information leakageLegal complianceData/web server corruptionSpamCyber-terrorismPeer-to-peer (P2P) exploitsInstant messaging (IM) exploitsWireless and mobile device attacksSocial engineeringDNS attacksIdentity theftBot Nets
Mail borne virusesSelf replicating worms
Extortion/denial of serviceTheft of confidential data
Unauthorised access to resources
Bot Nets
2 March 2007Dimension Data6
Wie schützen? – Teil 1
Switches, AccessPoints
• IEEE 802.1x – AAA auf Portbasis• Segmentation mit VLANs• Quarantäne Netze, Zugangskontrolle (Network Admission Control)
Router
• ISR 2 mit IPS- und Firewall-Funktionen• Dynamische Access Listen
Firewall
• Erweiterte Paket- und Inhaltsinspektion• Wirespeed Firewalls für Coreswitche
2 March 2007Dimension Data7
Wie schützen? – Teil 2
IPS, netzwerk- und hostbasiert
• IPS Funktionen im IOS, Cisco IPS und IDS Module für Firewalls (PIX/ASA) und Switche
• Cisco Security Agent für host basiertes IDS/IPS
Management
• Incident Correlation und Response (Cisco Mars)• AAA mit Cisco ACS• Managementsolution für LANs und Securitydevices (Cisco Works, Cisco
Security Management)
Sonstiges
• Middleware für Clientassessment (Cisco Trust Agent)• Einsatz von NAC für Guest Access und Campus Lösungen• Einbindung von anderen Herstellern
2 March 2007Dimension Data8
Wie kann ein SDN funktionieren -„Wurm gefangen, isoliert, gelöscht“?
PC hatte CSA + NAC;
• CSA erkennt den Wurm und isoliert den PC über CTA vom Netz in Quarantänezone; durch AV mit neuem AV-Pattern wird der Wurm entfernt
ASA mit CSC-Modul
• erkennt schadhaften Code bereits im Transfer; Datei wird gereinigt und dann an Nutzer ausgeliefert
Wurm bricht aus und versucht sich zu verbreiten;
• IPS im Netz erkennt den Ausbruch und unterbindet die Kommunikation• Router, Firewalls, Intrusion Prevention Systeme, Server, Desktops melden
Logs an die MARS; MARS findet den verseuchten PC und − isoliert diesen dadurch, dass der Port an dem der PC angeschlossen ist in
ein Quarantäne-Netz geschaltet oder deaktiviert wird− aktiviert zusätzlich Firewall-Regeln auf ASA-Firewalls, IOS-Firewalls.
2 March 2007Dimension Data9
Kann ich ein Self Defending Network heute aufbauen?
Ja:
• Ganzheitlichen Sicherheitsansatz verfolgen• Security nicht mehr als separates “Silo” betrachten• Nutzung der “eingebauten” Securityfunktionen der Netzwerkkomponenten
Nein:
• Das gesamte Framework erfordert ein komplexes Zusammenspiel einer mehr oder weniger homogenen Ciscolösung
Also:
• Schutz des Netzes an den Zugangspunkten (Switch, WLAN, am inneren Perimeter)
• Einzelne Bausteine heute einsetzen− Network Admission Control (NAC Appliance)− IPS (IPS Routerfunktionen und Cisco Security Agent (CSA)− Cisco Monitoring and Analysis System (MARS)
2 March 2007Dimension Data10
Bewerten:
• Identifizieren von Schwachstellenauf den Geräten
Durchsetzen:
• Beheben der Schwachstellen vordem Zugang zum Netzwerk
Cisco Clean Access (NAC Appliance)
BEWERTEN
ERKENNEN
DURCHSETZEN
Vor dem Zugang eines Benutzers zum Netzwerk, egal ob WLAN oder über einen Netzwerkanschluß:
Erkennen:
• Benutzer, Geräte und Rollen(Mitarbeiter, Student, Gast)
2 March 2007Dimension Data11
Cisco Clean Access (NAC Appliance)
Zentrale Netzwerkzugangskontrolle
• Vor Zugang zum Netzwerk wird das Endgerät überprüft• Ist es ein eigener Rechner,• Patchlevel, • aktueller Antivirenschutz
• Fremdrechner können in ein eingeschränktes Gastnetz geschaltet werden
Integriertes Self-Service Portal (webbasiert)
Schrittweise Einführung möglich
• Im ersten Schritt Schutz von frei zugänglichen Netzwerkanschlüssen• Im zweiten Schritt Ausbau auf alle Enduser-Switche
Leichte Erweiterungen für WLAN- und VPN-Nutzer möglich
Realisierung einer Out-of-Band oder In-Band Lösung
2 March 2007Dimension Data12
Cisco Monitoring and Analysis and Response System
CS-MARS transformiert Netzwerk- und Sicherheits-Rohdaten in nutzbareInformationen, die zur Einleitung von Gegenmaßnahmen und zur Einhaltung der Unternehmenssicherheitsrichtlinie genutzt werden können
Netzwerkintelligente Korrelation
Validierung von Vorfällen
Angriffsvisualisierung
Automatisierte Analyse
Wirksame Abwehr
Compliance Management
Hoch performant
Niedrige Gesamtkosten
2 March 2007Dimension Data13
Fazit:
Mehr Einblick und Kontrolle im Netzwerk
• Erkennen von Verursachern von “Anomalien”• Umgehend (auch automatisiert) reagieren zu können• Verrringerung von Betriebsaufwand
Nutzung der vorhandenen Sicherheitsfunktionen im Netzwerk
• Einrichtung von verschiedene Sicherheitszonen• Automatische Zuordnung von Endgeräten in diese Zonen• Durchsetzung von Richtlinien in heterogenen Umgebungen (z.B. aktueller
Virenschutz, Patchlevel)
Demo Lab: Nutzung von Bausteinen, die funktionieren
• Livedemonstration von den verschiedenen Szenarien• Realisierung eines Gastzugangs• Auch: NAC Framework mit McAfee EPO, Qualys Guard Scanner