All Rights Reserved © Alcatel-Lucent 2007 Alcatel-Lucent IP Networking Infrastructure Solutions Hauke Heinecke – Alcatel-Lucent PreSales Germany Security

Folie 1 All Rights Reserved © Alcatel-Lucent 2007 Alcatel-Lucent IP Networking Infrastructure Solutions Hauke Heinecke – Alcatel-Lucent PreSales Germany Security á la Alcatel im LAN und WLAN Umfeld An uns kommt keiner vorbei Folie 2 All Rights Reserved © Alcatel-Lucent 2007 2 | Presentation Title | Month 2007 Das IP-Backbone ist das Koppelfeld für moderne Kommunikationslösungen Dr Jörg Fischer 20102006 Folie 3 All Rights Reserved © Alcatel-Lucent 2007 3 | Presentation Title | Month 2007 Beispiel : Mobilität erfordert neue Sicherheits Architktur Wireless LAN WLAN dehnt das Corporate Netzwerk über die bisherigen Grenzen aus Users wechseln zwischen Public und Corporate network Umgehen dabei die Firewall Moderne Laptops sind Infektionsquelle Nummer 1 Problem wächst durch noch mehr Mobiliät, zB Bluetooth Gästen wird Zugriff auf Corporate Ressourcen gewährt Fremde Benutzer (Geräte oder User) benutzen das lokale Netz Sie benötigen eine Verbindung zu lokalen Datenquellen Internet FW/IDS/IPS WLAN coverage Mobile users Folie 4 All Rights Reserved © Alcatel-Lucent 2007 4 | Presentation Title | Month 2007 IP Networking Sicherheit ist keine Option…… … Sicherheit ist Pflicht Folie 5 All Rights Reserved © Alcatel-Lucent 2007 5 | Presentation Title | Month 2007 Agenda Device Security Security out of the Box Denial of Service Attacken Sicherheitskonzept – Die Kette ist so stark wie ihr schwächstes Glied Network Security SFlow Integriertes IDS / 3rd Party IDS-IPS Quarantine Manager Basic Security Learned Port Security DHCP Protection Spanning Tree Protection Advanced Security Access Control Lists Firewalling User Security Autosensing Authentication Portallösung Massive Verarbeitung Sicherheitsglas Starke Schlösser Sicherheitszapfen Autom Gartentor Einzäunung Gegensprechanlage Zugangskontrolle Getrennte Eingänge Einliegerwohnung Schlüssel für Eingangstür Foyer für Gäste Haustierklappe Key-Less Zugang für Kinder Videoüberwachung Glasbruchsensoren Bewegungsensoren Rauchmelder Aufschaltung Sicherheitsdienst Folie 6 All Rights Reserved © Alcatel-Lucent 2007 6 | Presentation Title | Month 2007 Agenda Device Security Security out of the Box Denial of Service Attacken Sicherheitskonzept – Die Kette ist so stark wie ihr schwächstes Glied Network Security SFlow Integriertes IDS / 3rd Party IDS-IPS Quarantine Manager Basic Security Learned Port Security DHCP Protection Spanning Tree Protection Advanced Security Access Control Lists Firewalling User Security Autosensing Authentication Portallösung Massive Verarbeitung Sicherheitsglas Starke Schlösser Sicherheitszapfen Autom Gartentor Einzäunung Gegensprechanlage Zugangskontrolle Getrennte Eingänge Einliegerwohnung Schlüssel für Eingangstür Foyer für Gäste Haustierklappe Key-Less Zugang für Kinder Videoüberwachung Glasbruchsensoren Bewegungsensoren Rauchmelder Aufschaltung Sicherheitsdienst Folie 7 All Rights Reserved © Alcatel-Lucent 2007 7 | Presentation Title | Month 2007 Device Security Gehärtete stählerne Infrastruktur Security by default Denial of Service Abwehr durch gehärtete Hardwarekomponenten (ASIC) DoS Schutz durch automatisches Radio Management (WLAN) Vulnerability Management Automatische Gegenwehr-Mechanismen Code und Konfiguration Integrität Verwendung verschiedener Sicherheitsprofile für Management Sicherer Zugriff zum Switch via SSH, HTTPS & SNMPv3 w/ SSL Automatische System Recovery Selbstheilende Komponenten Alfred Krupp Folie 8 All Rights Reserved © Alcatel-Lucent 2007 8 | Presentation Title | Month 2007 Agenda Device Security Security out of the Box Denial of Service Attacken Sicherheitskonzept – Die Kette ist so stark wie ihr schwächstes Glied Network Security SFlow Integriertes IDS / 3rd Party IDS-IPS Quarantine Manager Basic Security Learned Port Security DHCP Protection Spanning Tree Protection Advanced Security Access Control Lists Firewalling User Security Autosensing Authentication Portallösung Autom Gartentor Einzäunung Gegensprechanlage Zugangskontrolle Folie 9 All Rights Reserved © Alcatel-Lucent 2007 9 | Presentation Title | Month 2007 Basic Security – Schutz für ungebetenen Gästen Der Objektschutz beginnt bereits an der Gartenpforte Learned Port-Security kontrolliert den physischen Switchport und schützt vor Missbrauch Kontrolle eines jeden einzelnen Endgerätes/ Terminals (MAC) Kontrolle eine spez Bereichs von Endgeräten Kontrolle über die Anzahl von Endgeräten (MAC) –Schutz vor unauthorisierter Benutzung von Hubs, Switches oder Access Point an einen Switchport –Automatische Reaktion auf Regelverletzung –Alarmierung der Regelverletzung Spanning Tree Protection Edgeport –Empfangene BPDs auf einem Userport werden verworfen Spanning Tree Root Protection –Kontrolle über empfangene STP Pakete –Blocken von Paketen MAC-1 MAC-2MAC-3MAC-4 Switch Port Folie 10 All Rights Reserved © Alcatel-Lucent 2007 10 | Presentation Title | Month 2007 Basic Security – Schutz vor ungebetenen Gästen Schutz vor DHCP Vergiftung Ein unautorisierter DHCP-Server im Netzwerk kann zur Katastrophe führen Jeder Port erhält einen Vertrauens-Status –Ein DHCP Server darf angeschlossen sein –Kein DHCP Server darf angeschlossen sein Nur auf autorisierten Ports dürfen DHCP-Offer passieren DHCP-only-Ports Statische IP-Adresse Konfiguration kann im Netzwerk unerwünscht sein –DHCP-Only-Port zwingt den Client zum Nutzen des DHCP Service –Ohne DHCP Service keine Verbindung zum LAN OmniPCX Enterprise Folie 11 All Rights Reserved © Alcatel-Lucent 2007 11 | Presentation Title | Month 2007 Agenda Device Security Security out of the Box Denial of Service Attacken Sicherheitskonzept – Die Kette ist so stark wie ihr schwächstes Glied Network Security SFlow Integriertes IDS / 3rd Party IDS-IPS Quarantine Manager Basic Security Learned Port Security DHCP Protection Spanning Tree Protection Advanced Security Access Control Lists Firewalling User Security Autosensing Authentication Portallösung Getrennte Eingänge Einliegerwohnung Folie 12 All Rights Reserved © Alcatel-Lucent 2007 12 | Presentation Title | Month 2007 Layer1-Layer 4 ACLs / QoS policies Leistungsstarke Access Listen erkennen und steuern den Traffic in Wirespeed, Verschiedene Bedingungen Layer 7 - - Application aware Filtering Layer 4 - - Protocol ID or L4 Port ID Ex : UDP or Port 23 Layer 3 - - IP Srce/Dest address Ex : 192168101 Layer 2 - - MAC Srce/Dest address Ex: 0020DA34E2F8 Verschiedenen Aktionen Verbiete Priorisiere Steuere auf einen bestimmten Weg Verlangsame Beschleunige Best Effort IP, IPX,… Differentiated Traffic Guaranteed Traffic Sensitive traffic Real-time traffic Normal traffic Folie 13 All Rights Reserved © Alcatel-Lucent 2007 13 | Presentation Title | Month 2007 Agenda Device Security Security out of the Box Denial of Service Attacken Sicherheitskonzept – Die Kette ist so stark wie ihr schwächstes Glied Network Security SFlow Integriertes IDS / 3rd Party IDS-IPS Quarantine Manager Basic Security Learned Port Security DHCP Protection Spanning Tree Protection Advanced Security Access Control Lists Firewalling User Security Autosensing Authentication Portallösung Schlüssel für Eingangstür Foyer für Gäste Haustierklappe Key-Less Zugang für Kinder Folie 14 All Rights Reserved © Alcatel-Lucent 2007 14 | Presentation Title | Month 2007 Alcatel Access Guardian Sicherer Netzwerkzugang Access Authentifizierung der Benutzer Host Integrity Check für jedes Gerät Role-based Netzwerk Zugang Sicherheit auf Netzwerkebene Folie 15 All Rights Reserved © Alcatel-Lucent 2007 15 | Presentation Title | Month 2007 IEEE 8021x Auto-sensing Benutzer- Authentifizierung Universelle Authentifizierung in Abhängigkeit vom Endgerät Weil es mehr als einen PC im Netzwerk gibt Weil alle Geräte mobil sind Weil die Migration auf 8021x auf einen Schlag schwierig ist MAC 00:Ob:86:80:34:40 Captive Portal Folie 16 All Rights Reserved © Alcatel-Lucent 2007 16 | Presentation Title | Month 2007 Gäste Portal Anmeldung für Gäste und auch Mitarbeiter Alcatel Captive Portal ermöglicht interaktive Kommunikation mit der Infrastruktur Folie 17 All Rights Reserved © Alcatel-Lucent 2007 17 | Presentation Title | Month 2007 Agenda Device Security Security out of the Box Denial of Service Attacken Sicherheitskonzept – Die Kette ist so stark wie ihr schwächstes Glied Network Security SFlow Integriertes IDS / 3rd Party IDS-IPS Quarantine Manager Basic Security Learned Port Security DHCP Protection Spanning Tree Protection Advanced Security Access Control Lists Firewalling User Security Autosensing Authentication Portallösung Videoüberwachung Glasbruchsensoren Bewegungsensoren Rauchmelder Aufschaltung Sicherheitsdienst Folie 18 All Rights Reserved © Alcatel-Lucent 2007 18 | Presentation Title | Month 2007 Switching ASIC 1 in N sampling sFlow Übersicht packet headersrc/dst i/fsampling parmsforwardinguser IDURLi/f counters sFlow agent forwarding tables interface counters sFlow Datagram zB 128Bitrate pool src 8021p/Q dst 8021p/Q next hop src/dst mask AS path communities localPref MPLS src/dst Radius TACACS sFlow Collector & Analyser Switch/Router Folie 19 All Rights Reserved © Alcatel-Lucent 2007 19 | Presentation Title | Month 2007 Alcatel-Lucent Quarantine Manager Workgroup Switches Data Center Switch Kritische Ressourcen Endnutzer OmniVista Network Management System (SNMP based) 1 Infizierte station attackiert server (zB port scan) 2 IDP identifiziert die Attacke und den Ursprung 3 IDP informiert OmniVista über den Type und Ursprung der Attacke 5 Die Aktion ist aktiviert im Netzwerk Sequenz der Ereignisse 4 Ein Trap wird generiert und der Netzwerk-Administrator kann manuell eine Aktion starten oder automatisiert wird eine Aktion gestartet Automated Quarantine Manager !!! Attacke erkannt !!!, Sie können: Shut Down des Nutzerports Eine ACL kreieren Die fehlerhafte Station in ein Quarantäne VLAN schieben Folie 20 All Rights Reserved © Alcatel-Lucent 2007 20 | Presentation Title | Month 2007 Was ist neu ? Security Folie 21 All Rights Reserved © Alcatel-Lucent 2007 21 | Presentation Title | Month 2007 OmniAccess SafeGuard Product Line Network positioning LAN core Transparent deployment Data center OmniVista SafeGuard Manager Access layer GUI-based LAN tracking, incident reports, and policy setting Per-user and per- application controls OmniVista 2500 (Topology, traps, QM Syslog) High Availability redundancy supported OmniAccess 2400 SafeGuard OmniAccess 1000 SafeGuard Folie 22 All Rights Reserved © Alcatel-Lucent 2007 22 | Presentation Title | Month 2007 Corporate LAN Authenticate Host Integrity Check Audit Identity-Based Control Threat Control Only valid users get on the LAN Only compliant systems enter the LAN Control Access to Resource from Layer 2 - Layer 7 Track and monitor user activity up to Layer 7 Protect the LAN against zero-day worms OmniAccess Security Overlay Features Folie 23 All Rights Reserved © Alcatel-Lucent 2007 23 | Presentation Title | Month 2007 TCP / UDP ports Alcatel performs L7 decode to identify apps regardless of port number Enables detection of port-cloaking attacks Many apps use well-known ports Some apps negotiate dynamic port assignments Alcatel decodes these apps at Layer 7: » HTTP » FTP » DNS » AD-Kerberos » Radius » DHCP » SMB/CIFS » RTP » RTSP » MSRPC » SUNRPC » MS Media » H323 » SIP » Oracle = port-hopping apps 0 -10241025 - 65K Decoding Applications Folie 24 All Rights Reserved © Alcatel-Lucent 2007 24 | Presentation Title | Month 2007 Schmerzen Folie 25 All Rights Reserved © Alcatel-Lucent 2007 25 | Presentation Title | Month 2007 Folie 26 All Rights Reserved © Alcatel-Lucent 2007 26 | Presentation Title | Month 2007 Alcatel-Lucent hilft Folie 27 All Rights Reserved © Alcatel-Lucent 2007 27 | Presentation Title | Month 2007 Security Access Guardian or Alcatel-Lucents NAC Authentication – Know who is on your network Embedded auto-sensing Authentication for AOS(LAN) and AOS-W(WLAN) Mix 8021x, MAC, Web-based authentication and dynamic classification Multiple users, multiple methods on 1 port Authentication systems VitalAAA Radius authentication server, compatible with MS IAS Host integrity – Check if they are compliant Integrated Access Control on AOS and AOS-W NAC enforcement with 8021x (Vlan) and IP lockdown (DHCP) Clientless Host Integrity - Infoexpress (AOS) and Symantec (AOS-W) Partners: InfoExpress HIC, Symantec, Microsoft NAP Role-based access – Direct what they can access User Profiles granting access to appropriate resources (AOS) Per-user access privileges (AOS-W) Mapping users to resources at network level - OmniVista SV Network Access Per user control at the application level (L2 to L7) - OmniAccess SafeGuard Folie 28 All Rights Reserved © Alcatel-Lucent 2007 28 | Presentation Title | Month 2007 OmniAccess SafeGuard Product Line Network positioning LAN core Transparent deployment Data center OmniVista SafeGuard Manager Access layer GUI-based LAN tracking, incident reports, and policy setting Per-user and per- application controls OmniVista 2500 (Topology, traps, QM Syslog) High Availability redundancy supported OmniAccess 2400 SafeGuard OmniAccess 1000 SafeGuard Folie 29 All Rights Reserved © Alcatel-Lucent 2007 29 | Presentation Title | Month 2007 Corporate LAN Authenticate Host Integrity Check Audit Identity-Based Control Threat Control Only valid users get on the LAN Only compliant systems enter the LAN Control Access to Resource from Layer 2 - Layer 7 Track and monitor user activity up to Layer 7 Protect the LAN against zero-day worms OmniAccess Security Overlay Features Folie 30 All Rights Reserved © Alcatel-Lucent 2007 30 | Presentation Title | Month 2007 TCP / UDP ports Alcatel performs L7 decode to identify apps regardless of port number Enables detection of port-cloaking attacks Many apps use well-known ports Some apps negotiate dynamic port assignments Alcatel decodes these apps at Layer 7: » HTTP » FTP » DNS » AD-Kerberos » Radius » DHCP » SMB/CIFS » RTP » RTSP » MSRPC » SUNRPC » MS Media » H323 » SIP » Oracle = port-hopping apps 0 -10241025 - 65K Decoding Applications Folie 31 All Rights Reserved © Alcatel-Lucent 2007 31 | Presentation Title | Month 2007 Security Intrusion Containment with Quarantine Manager Intrusion Detection – See what they are doing AOS Embedded Sflow for monitoring and sampling, Etherbreaker for statistical traffic anomaly detection AOS-W built-in Firewall and IDS Firewall and VPN in Brick with basic IDS/IPS Inline User monitoring and Threat Blocking with OmniAccess SafeGuard Per-user and per-application based detection and blocking User tracking and compliance reporting Fortinet Applianc, Signature-based IPS Containment – Quarantine and remediate Enforcement or quarantine at the network edge with OmniVista Quarantine Manager (AOS, AOS-W) Flexible integration with 3 rd party detection devices (syslog, SNMP) Granular application quarantining and user activity logging with OmniAccess SafeGuard Folie 32 All Rights Reserved © Alcatel-Lucent 2007 32 | Presentation Title | Month 2007 Security portfolio Directions Products and partnerships LAN: OmniSwitch AOS protection, Sflow WLAN: OmniAccess Wireless built-in firewall and IPS Authentication Server: Radius, MS IAS, VitalAAA Radius Host Integrity: Symantec, MS NAP Unified Threat Management: Fortinet Firewall and VPN: Brick portfolio Inline Appliance: OmniAccess SafeGuard Quarantine Manager => Intrusion Containment Intrusion – Detection - Monitoring Containment - Remediation Access Guardian => Network Access Control Auto-sensing Authentication Host Integrity Check for security compliance Role based access Folie 33 All Rights Reserved © Alcatel-Lucent 2007 33 | Presentation Title | Month 2007 OmniSwitch 6850 / L OmniAccess 700 OmniAccess WLAN 7450/7750 OmniStack LS 6200 OmniSwitch 7000/9000 LAN CoreWAN/MANWLANLAN AggregationLAN Edge Secure Network Transformation LAN/WAN Networking Solutions OmniAccess 3500 Laptop Guardian Brick Firewall OmniAccess SafeGuard Durchgängige Netzwerk Services Durchgängige Netzwerk Services Durchgängiges Netzwerkmanagement – OmniVista / Vital Suite Durchgängiges Netzwerkmanagement – OmniVista / Vital Suite Genesis OmniPCX Enterprise OmniPCX Office Endgeräte WLAN LAN TDM Endgeräte WLAN LAN TDM OTUC Folie 34 All Rights Reserved © Alcatel-Lucent 2007 34 | Presentation Title | Month 2007 wwwalcatel-lucentcom