Kontrola dostępu do sieci lokalnych (LAN)

Kontrola dostępu do sieci lokalnych (LAN) Patryk Gęborys Konferencja ISSE/Secure 2007 Warszawa, 25-27 września 2007 roku

Spis rzeczy 2

Information Systems Security Association Międzynarodowa organizacja typu not-for-profit Zrzesza ponad 13 000 osób zawodowo zajmujących się bezpieczeństwem SI Obecna w 24 krajach Oferuje edukację, fora dyskusyjne i możliwość wymiany informacji i doświadczeń Pozwala swoim członkom na poszerzenie umiejętności, wiedzy i doświadczenia Aktywnie współpracuje z ISACA i ASIS w celu zapewnienia pełnej ochrony aktywów informacyjnych Więcej informacji: 3

Przejdźmy do rzeczy NAC 4

Po co to wszystko? Wymagania regulacyjne UODO Prawo Telekomunikacyjne Sarbanes-Oxley Act Basel II Wymagania biznesu Dostępność Mobilność Kooperacja Nowe zagrożenia Spyware Rootkity 5

Co to jest NAC? Dobre hasło marketingowe Gorący temat w bezpieczeństwie Czy ktoś wie na pewno? Zbiór komponentów i technologii mających zapewnić kontrolowany dostęp do zasobów sieci korporacyjnej wyłącznie uwierzytelnionym urządzeniom lub użytkownikom spełniającym założenia polityki bezpieczeństwa (na potrzeby tej prezentacji) 6

Krajobraz przed bitwą Trusted Computing Group/Trusted Network Connect od 2004 Otwarty i ładny, ale jak yeti Cisco/Network Admission Control od 2003 Tylko dla Cisco, ale jest i jakoś działa Microsoft/Network Access Protection od 2004 Longhorn i Vista IETF / IEEE drafts 7

CO W TRAWIE PISZCZY? 8

Trusted Network Connect model referencyjny Access Requestor (komputer+soft) Information Measurement Collectors Client Middleware Network Access Requestor Policy Enforcement Point (switch/firewall/vpn) Wymuszenie reguł Policy Decision Point (AAA) Network Access Connect Server Network Access Authority (uwierzytelnienie i reguły) Integrity Measurement Verifier (postawa) 9

Schemat TNC 10

Microsoft NAP Główne elementy zbliżone do TNC Małe sieci, RAS i środowiska oparte tylko na Microsoft Opiera się na DHCP lub 802.1x Koncepcja Health Certificate VPN potwierdzenie stanu L2TP uwierzytelnienie użytkownika Zdefiniowane API (System Health Agent, Network Access Protection Agent, Enforcement Clients) 11

Cisco NAC Architektura 1:1 jak dla TNC Cisco Trust Agent Network Access Requestor Trusted Network Connect Cisco Secure Access lub agenci firm trzecich Integrity Measurement Collector Cisco Access Control Server Network Access Authority Trusted Network Connect Server Policy server decision point Integrity Measurement Verifier 12

Mapowanie CNAC na TNC 13

Ciekawostki (CNAC) CTA Wbudowany suplikant 802.1x (ale tylko dla połączeń przewodowych ) Wsparcie dla VPN (EAPoUDP) bez uwierzytelnienia EAP-FAST (Cisco proprietary protocol) Wsparcie: M$, Linux, MacOS Zakres funkcjonalności zależy mocno od sprzętu 14

Alternatywy (?) czyste 802.1x DHCP ARP Poisoning Izolacja IPSEC 15

Wspólne problemy Elementy niezarządzalne Drukarki, stacje bez agentów, telefony IP, itp. Dostęp dla gości Wykrywanie nieautoryzowanych elementów sieciowych Maszyny wirtualne Remote Desktop Zdalne zarządzanie stacjami roboczymi (np. SMS) 16

WDROŻENIE 17

Pytania do zadania (1/3) Jakie zmiany w infrastrukturze będą wymagane? Jaki zakres funkcjonalności? Uwierzytelnienia Kontrola dostępu Integralność Jakie reguły? Goście Kwarantanna Czy dywersyfikować per użytkownik? Jak rozwiązanie radzi sobie z wykrywaniem obcych elementów? Czy działa w czasie rzeczywistym? 18

Pytania do zadania (2/3) Jak jest realizowana kwarantanna? Izolacja elementów Jak jest realizowane wymuszenie reguł? Czy da się obejść? Izolacja elementów (L3 vs. L2) Czy działa niezależnie od OS? Czy wymaga dedykowanego oprogramowania/sprzętu? Co z maszynami wirtualnymi? Jak jest realizowana weryfikacja zgodności? Czy da się obejść? Czy wymaga dodatkowego agenta? Jakie wspiera OSy? 19

Pytania do zadania (3/3) Jakie media dostępu są wspierane? LAN, WLAN, RAS Widoczność od strony użytkownika Dostęp / brak dostępu /gość Obsługa problemów Obsługa elementów niezarządzalnych Jakie są opcje i w jakich konfiguracjach? 20

Potencjalne wyzwania przy wdrożeniu Brak standaryzacji, ograniczona współpraca różnych dostawców Ograniczone wsparcie dla SO innych niż Windows Wymagane inwestycje w urządzenia (Cisco) lub Potencjalnie wymagane zmiany w architekturze sieci Rozłączne rozwiązania dla WLAN, LAN i RAS Wiele punktów definicji polityki bezpieczeństwa Wyjście poza pojedynczą jednostkę organizacyjną (nie tylko bezpieczeństwo IT) 21

PODSUMOWANIE 22

Kilka refleksji na koniec NAC będzie niezbędny Minimum: 802.1x (może na początek wystarczy) Wymagana standaryzacja IETF rozstrzygnie Wdrożenie nie będzie trywialne Reorganizacja sieci Zarządzanie grupami dostępu Komunikacja do użytkowników Wymaga ścisłej współpracy pomiędzy zespołami bezpieczeństwa, sieciowymi i wsparciem użytkowników końcowych (trudne do osiągnięcia?) 23

Polecane czytanki Trusted Computing Group http://www.trustedcomputinggroup.org Microsoft NAP http://www.microsoft.com/technet/network/nap/default. mspx Cisco NAC http://www.cisco.com/go/nac/ Bypassing NAC v2.0 Ofir Arkin https://www.blackhat.com/presentations/bh-dc- 07/Arkin/Presentation/bh-dc-07-Arkin-ppt-up.pdf Secure Access Portal http://www.secureaccesscentral.com 24

Pytania? E-mail: p.geborys@issa.org.pl