Februar 2007

Self Defending Networks – Was steckt dahinter?

DFN Betriebstagung 27.2.2007

Micha Kuhlgatz

2 March 2007Dimension Data2

Werbespot von Cisco

2 March 2007Dimension Data3

Cisco Self-Defending Network – Die Theorie:

Jedes Element kannein Verteidigungspunkt

sein und die Sicherheitsrichtlinien

durchsetzen

IntegratedProaktive

Sicherheitstechnologien, die automatisiert

Bedrohungen verhindern

AdaptiveZusammenarbeit

zwischen den Dienstenund Geräten innerhalb

des Netzwerks um Angriffe abzuwehren

Collaborative

Eine Architektur, die das Netzwerk dazu benutzt, Sicherheitsbedrohungen zu identifizieren, darauf zu reagieren und sich anzupassen.

2 March 2007Dimension Data4

Die Eigenschaften eines Self-Defending Networks:

Network Availability - Verfügbarkeit des Netzes auch unter Angriffen

Ubiquitous Access - Sicherer Zugang von überall her

Admission Control – Authentisierung von Benutzern, Geräten und deren Status

Application Intelligence – Kontrolle von Applikationen innerhalb des Netzwerks

Day-Zero Protection - Schützen der Engeräten vor neuen Bedrohungen

Infection Containment – Identifizierung und Eindämmung von Ausbrüchen

VerwaltungVerwaltungLehreLehreForschungForschung

2 March 2007Dimension Data5

Wovor schützen?

“Worldwide economic damage inflicted by overt and covertdigital attacks, malware, phishing scams, DDoS attacks and

spam ranged between $470 and $578bn in 2005”mi2g Intelligence

Mail borne virusesSelf replicating wormsSpywarePhishingScript kiddies / hackersProfessional hackersExtortion/denial of serviceTheft of confidential dataInappropriate use of IT resourcesUnauthorised access to resourcesInsider theft/information leakageLegal complianceData/web server corruptionSpamCyber-terrorismPeer-to-peer (P2P) exploitsInstant messaging (IM) exploitsWireless and mobile device attacksSocial engineeringDNS attacksIdentity theftBot Nets

Security Landscape – 1 of 11

Mail borne virusesSelf replicating worms

PhishingScript kiddies / hackersProfessional hackersExtortion/denial of serviceTheft of confidential dataInappropriate use of IT resourcesUnauthorised access to resourcesInsider theft/information leakageLegal complianceData/web server corruptionSpamCyber-terrorismPeer-to-peer (P2P) exploitsInstant messaging (IM) exploitsWireless and mobile device attacksSocial engineeringDNS attacksIdentity theftBot Nets

Mail borne virusesSelf replicating worms

Extortion/denial of serviceTheft of confidential data

Unauthorised access to resources

Bot Nets

2 March 2007Dimension Data6

Wie schützen? – Teil 1

Switches, AccessPoints

• IEEE 802.1x – AAA auf Portbasis• Segmentation mit VLANs• Quarantäne Netze, Zugangskontrolle (Network Admission Control)

Router

• ISR 2 mit IPS- und Firewall-Funktionen• Dynamische Access Listen

Firewall

• Erweiterte Paket- und Inhaltsinspektion• Wirespeed Firewalls für Coreswitche

2 March 2007Dimension Data7

Wie schützen? – Teil 2

IPS, netzwerk- und hostbasiert

• IPS Funktionen im IOS, Cisco IPS und IDS Module für Firewalls (PIX/ASA) und Switche

• Cisco Security Agent für host basiertes IDS/IPS

Management

• Incident Correlation und Response (Cisco Mars)• AAA mit Cisco ACS• Managementsolution für LANs und Securitydevices (Cisco Works, Cisco

Security Management)

Sonstiges

• Middleware für Clientassessment (Cisco Trust Agent)• Einsatz von NAC für Guest Access und Campus Lösungen• Einbindung von anderen Herstellern

2 March 2007Dimension Data8

Wie kann ein SDN funktionieren -„Wurm gefangen, isoliert, gelöscht“?

PC hatte CSA + NAC;

• CSA erkennt den Wurm und isoliert den PC über CTA vom Netz in Quarantänezone; durch AV mit neuem AV-Pattern wird der Wurm entfernt

ASA mit CSC-Modul

• erkennt schadhaften Code bereits im Transfer; Datei wird gereinigt und dann an Nutzer ausgeliefert

Wurm bricht aus und versucht sich zu verbreiten;

• IPS im Netz erkennt den Ausbruch und unterbindet die Kommunikation• Router, Firewalls, Intrusion Prevention Systeme, Server, Desktops melden

Logs an die MARS; MARS findet den verseuchten PC und − isoliert diesen dadurch, dass der Port an dem der PC angeschlossen ist in

ein Quarantäne-Netz geschaltet oder deaktiviert wird− aktiviert zusätzlich Firewall-Regeln auf ASA-Firewalls, IOS-Firewalls.

2 March 2007Dimension Data9

Kann ich ein Self Defending Network heute aufbauen?

Ja:

• Ganzheitlichen Sicherheitsansatz verfolgen• Security nicht mehr als separates “Silo” betrachten• Nutzung der “eingebauten” Securityfunktionen der Netzwerkkomponenten

Nein:

• Das gesamte Framework erfordert ein komplexes Zusammenspiel einer mehr oder weniger homogenen Ciscolösung

Also:

• Schutz des Netzes an den Zugangspunkten (Switch, WLAN, am inneren Perimeter)

• Einzelne Bausteine heute einsetzen− Network Admission Control (NAC Appliance)− IPS (IPS Routerfunktionen und Cisco Security Agent (CSA)− Cisco Monitoring and Analysis System (MARS)

2 March 2007Dimension Data10

Bewerten:

• Identifizieren von Schwachstellenauf den Geräten

Durchsetzen:

• Beheben der Schwachstellen vordem Zugang zum Netzwerk

Cisco Clean Access (NAC Appliance)

BEWERTEN

ERKENNEN

DURCHSETZEN

Vor dem Zugang eines Benutzers zum Netzwerk, egal ob WLAN oder über einen Netzwerkanschluß:

Erkennen:

• Benutzer, Geräte und Rollen(Mitarbeiter, Student, Gast)

2 March 2007Dimension Data11

Cisco Clean Access (NAC Appliance)

Zentrale Netzwerkzugangskontrolle

• Vor Zugang zum Netzwerk wird das Endgerät überprüft• Ist es ein eigener Rechner,• Patchlevel, • aktueller Antivirenschutz

• Fremdrechner können in ein eingeschränktes Gastnetz geschaltet werden

Integriertes Self-Service Portal (webbasiert)

Schrittweise Einführung möglich

• Im ersten Schritt Schutz von frei zugänglichen Netzwerkanschlüssen• Im zweiten Schritt Ausbau auf alle Enduser-Switche

Leichte Erweiterungen für WLAN- und VPN-Nutzer möglich

Realisierung einer Out-of-Band oder In-Band Lösung

2 March 2007Dimension Data12

Cisco Monitoring and Analysis and Response System

CS-MARS transformiert Netzwerk- und Sicherheits-Rohdaten in nutzbareInformationen, die zur Einleitung von Gegenmaßnahmen und zur Einhaltung der Unternehmenssicherheitsrichtlinie genutzt werden können

Netzwerkintelligente Korrelation

Validierung von Vorfällen

Angriffsvisualisierung

Automatisierte Analyse

Wirksame Abwehr

Compliance Management

Hoch performant

Niedrige Gesamtkosten

2 March 2007Dimension Data13

Fazit:

Mehr Einblick und Kontrolle im Netzwerk

• Erkennen von Verursachern von “Anomalien”• Umgehend (auch automatisiert) reagieren zu können• Verrringerung von Betriebsaufwand

Nutzung der vorhandenen Sicherheitsfunktionen im Netzwerk

• Einrichtung von verschiedene Sicherheitszonen• Automatische Zuordnung von Endgeräten in diese Zonen• Durchsetzung von Richtlinien in heterogenen Umgebungen (z.B. aktueller

Virenschutz, Patchlevel)

Demo Lab: Nutzung von Bausteinen, die funktionieren

• Livedemonstration von den verschiedenen Szenarien• Realisierung eines Gastzugangs• Auch: NAC Framework mit McAfee EPO, Qualys Guard Scanner

2 March 2007Dimension Data14

Vielen Dank!

Micha.Kuhlgatz@eu.didata.com