802.1X w praktyce www.huawei.com PLNOG 2012 Conference, 5-6 March 2012, Warsaw Paweł Wachelka Product Manager Enterprise Routing & Switching Solutions Department Email: Pawel.Wachelka@huawei.com HUAWEI TECHNOLOGIES CO., LTD.
Agenda 1 Wprowadzenie 2 Proces przepływu pakietów 3 Atrybuty 4 Metody uwierzytelniania 5 Jak przyśpieszyć proces Click uwierzytelniania to add Title 6 Zagrożenia 7 Huawei - TSM/DSM HUAWEI TECHNOLOGIES CO., LTD. Page 2
Czym jest 802.1X? Standard IEEE dla kontroli dostępu do sieci PPP, 802.3, 802.5, 802.11 Określa sposób enkapsulacji EAP poprzez sieć LAN (EAPoL) Dostarcza metody uwierzytelniania dla stacji roboczych HUAWEI TECHNOLOGIES CO., LTD. Page 3
Dlaczego stosować 802.1X i jakie są ograniczenia? Zalety Otwarty standard Przejrzystość Bezpieczeństwo Elastyczność Uwierzytelnianie użytkownika i urządzenia Ograniczenia Zależne od suplikanta Opóźnienia Złożony proces implementacji w sieci LAN HUAWEI TECHNOLOGIES CO., LTD. Page 4
1 Wprowadzenie 2 Proces przepływu pakietów 3 Atrybuty 4 Metody uwierzytelniania 5 Jak przyśpieszyć proces Click uwierzytelniania to add Title 6 Zagrożenia 7 Huawei - TSM/DSM HUAWEI TECHNOLOGIES CO., LTD. Page 5
Podstawowe komponenty LAN EAPoL Urządzenie uwierzytelniające RADIUS Suplikant Serwer uwierzytelniający HUAWEI TECHNOLOGIES CO., LTD. Page 6
Jak to działa? DHCP HTTP FTP EAPoL x x Urządzenie uwierzytelniające LAN RADIUS Suplikant Serwer uwierzytelniający HUAWEI TECHNOLOGIES CO., LTD. Page 7
Wymiana pakietów EAPoL RADIUS Suplikant 1. EAPoL - Start 2. EAP-Request/Identity Urządzenie uwierzytelniające Serwer uwierzytelniający 3. EAP-Response/Identity 4.RADIUS Access-Request/ (EAP-Response/Identity) 6. EAP-Recuest/MD5-Challenge 7.EAP-Response/MD5-Challenge (challenged password) 10. EAP-Success 5.RADIUS Access-Challenge/ (EAP-Request/MD5-Challenge) 8.RADIUS Access-Request/ (EAP-Response/MD5-Challenge) 9.RADIUS Access-Accept/ (EAP-Success) 11. Radius Accounting-Request (Start) 12. Radius Accounting-Response HUAWEI TECHNOLOGIES CO., LTD. Page 8
1 Wprowadzenie 2 Proces przepływu pakietów 3 Atrybuty 4 Metody uwierzytelniania 5 Jak przyśpieszyć proces Click uwierzytelniania to add Title 6 Zagrożenia 7 Huawei - TSM/DSM HUAWEI TECHNOLOGIES CO., LTD. Page 9
Budowa pakietu RADIUS 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Code Identifier Length +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Authenticator +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Attributes... +-+-+-+-+-+-+-+-+-+-+-+-+- Code: 1 for Access-Request. 2 for Access-Accept. 3 for Access-Reject. 4 for Accounting-Request. 5 for Accounting-Response. 11 for Access-Challenge. HUAWEI TECHNOLOGIES CO., LTD. Page 10
Przykładowe atrybuty (Attribute Value Pairs) Access-Accept AVP Type Nazwa Przykład 64 Tunnel-Type VLAN 65 Tunnel-Medium-Type IEEE-802 81 Tunnel-Private-Group-ID 101 HUAWEI TECHNOLOGIES CO., LTD. Page 11
Przykładowe atrybuty (Attribute Value Pairs) Accounting-Request AVP Type Nazwa Przykład 40 Acct-Status-Type Start 44 Acct-Session-Id 00000999 1 User-name kowalski 87 NAS-Port-Id GigabitEthernet 0/0/1 8 Framed-IP-Address 10.12.14.123 30 Called-Station-Id 0025-9e80-2494 31 Calling-Station-Id 0025-9e70-2591 6 Service-Type Framed/Call-Check/Outbound 4 NAS-IP-Address 10.10.11.12 HUAWEI TECHNOLOGIES CO., LTD. Page 12
Przykładowe atrybuty (Attribute Value Pairs) Accounting-Request AVP Type Nazwa Przykład 40 Acct-Status-Type Stop/Interim-Update 44 Acct-Session-Id 00000999 46 Acct-Session-Time 3024 42 Acct-Input-Octets 12567432 43 Acct-Output-Octets 24543654 47 Acct-Input-Packets 123654 48 Acct-Output-Packets 234786 49 Acct-Terminate-Cause User Request/Lost Carrier/Admin Reboot HUAWEI TECHNOLOGIES CO., LTD. Page 13
1 Wprowadzenie 2 Proces przepływu pakietów 3 Atrybuty 4 Metody uwierzytelniania 5 Jak przyśpieszyć proces Click uwierzytelniania to add Title 6 Zagrożenia 7 Huawei - TSM/DSM HUAWEI TECHNOLOGIES CO., LTD. Page 14
Metody uwierzytelniania Challange-response EAP-MD5 EAP-MSCHAPv2 Kryptograficzne EAP-TLS Tunelowe EAP-PEAP EAP-TTLS PPP 802.3 802.5 802.11 PAP EAP CHAP MD5 TLS TTLS EAP PEAP 802.1X CHAP MS-CHAPv2 MS-CHAPv2 HUAWEI TECHNOLOGIES CO., LTD. Page 15
Dodatkowe sposoby uwierzytelniania MAC address authentication MAC address bypass WEB authentication Guest VLAN Critical VLAN Voice VLAN HUAWEI TECHNOLOGIES CO., LTD. Page 16
Metody uwierzytelniania komputera Single host authentication Multiple host authentication Multiple authentication Multiple domain authentication HUAWEI TECHNOLOGIES CO., LTD. Page 17
Metody uwierzytelniania suplikanta Uwierzytelnianie komputera Uwierzytelnianie użytkownika Uwierzytelnianie użytkownika lub komputera Uwierzytelnianie gościa HUAWEI TECHNOLOGIES CO., LTD. Page 18
Procesy uruchamiające suplikanta Systemy Windows Server 2003 i Windows XP: Usługa konfiguracji zerowej sieci bezprzewodowej (WZCSVC) Systemy Windows Server 2008 R2, Windows Server 2008, Windows 7 i Windows Vista: Usługa autokonfiguracji sieci WLAN (Wlansvc) Usługa automatycznej konfiguracji sieci przewodowej (dot3svc) HUAWEI TECHNOLOGIES CO., LTD. Page 19
1 Wprowadzenie 2 Proces przepływu pakietów 3 Atrybuty 4 Metody uwierzytelniania 5 Jak przyśpieszyć proces Click uwierzytelniania to add Title 6 Zagrożenia 7 Huawei - TSM/DSM HUAWEI TECHNOLOGIES CO., LTD. Page 20
Czasy client-timeout 30s tx-period 30s handshake-period 60s quiet-period 60s reauthenticate-period 3600s server-timeout 30s HUAWEI TECHNOLOGIES CO., LTD. Page 21
MAC address authentication/bypass EAPoL RADIUS Klient 00:01:02:AB:CD:EF x x x 1. EAP-Request/Identity 2. EAP-Request/Identity 3. EAP-Request/Identity 4. EAPoL Timeout Urządzenie uwierzytelniające dot1x timer tx-period: 30s dot1x retry: 2 Link up 30 sec 30 sec 30 sec Serwer uwierzytelniający 5. Learn MAC 6.RADIUS Access-Request (MAC address) 8. Port Enabled 7.RADIUS Access-Accept HUAWEI TECHNOLOGIES CO., LTD. Page 22
Guest VLAN EAPoL RADIUS Klient 00:01:02:AB:CD:EF x x x 1. EAP-Request/Identity 2. EAP-Request/Identity 3. EAP-Request/Identity 4. EAPoL Timeout Urządzenie uwierzytelniające dot1x timer tx-period: 30s dot1x retry: 2 Link up 30 sec 30 sec 30 sec Serwer uwierzytelniający 5. EAP-Success Guest VLAN enabled HUAWEI TECHNOLOGIES CO., LTD. Page 23
Critical VLAN Suplikant EAPoL RADIUS Urządzenie uwierzytelniające x Serwer uwierzytelniający 1. EAPoL - Start 2. EAP-Request/Identity 3. EAP-Response/Identity 4.RADIUS Access-Request/ (EAP-Response/Identity) x 5. EAP-Success Critical VLAN enabled HUAWEI TECHNOLOGIES CO., LTD. Page 24
1 Wprowadzenie 2 Proces przepływu pakietów 3 Atrybuty 4 Metody uwierzytelniania 5 Jak przyśpieszyć proces Click uwierzytelniania to add Title 6 Zagrożenia 7 Huawei - TSM/DSM HUAWEI TECHNOLOGIES CO., LTD. Page 25
Dlaczego potrzebujemy czegoś więcej niż 802.1X According to Computer Security Institute (CSI) in San Francisco, California, the USA, about 60% to 80% of network abuse events come from the intranet. Computer Economics lists 14 intranet security threats that should not be neglected. File Server Mail Server Web Server HUAWEI TECHNOLOGIES CO., LTD. Page 26
Dlaczego potrzebujemy czegoś więcej niż 802.1X Wynoszenie danych z firmy Nieprawidłowe zachowanie się stacji roboczych Unauthorized access Slow responding of the PC Intentional leakage Network or software anomalies Unintentional leakage Frequent system breakdown Używanie komputera do celów niezwiązanych z pracą Niechciane procesy w sieci Do things irrelevant to work at working hours Low network speed Access to resources irrelevant to work Online games Za dużo akcji do monitorowania Service interruption Abuse of network resources Service anomaly HUAWEI TECHNOLOGIES CO., LTD. Page 27
1 Wprowadzenie 2 Proces przepływu pakietów 3 Atrybuty 4 Metody uwierzytelniania 5 Jak przyśpieszyć proces Click uwierzytelniania to add Title 6 Zagrożenia 7 Huawei - TSM/DSM HUAWEI TECHNOLOGIES CO., LTD. Page 28
TSM (Terminal Security Management) - Koncepcja Policy ID authentication Compliance check Authorization access Monitoring Audit P: Customize a policy Recovery D: Check/Repair C: Audit the result Remote employees On-site employees A: Adjust a policy Sensitive information resources Core information resources Visitors External illegal users repair General information resources Preventing unauthorized users Isolating and repairing untrusted users Providing audit results of behavior Act monitoring Authorizing users' access range Check 策 略 PDCA Plan Do HUAWEI TECHNOLOGIES CO., LTD. Page 29
TSM - Różne możliwości implementacji Perfect NAC Technology SACG Host firewall 802.1X Enterprise network Post-authentication domain Access of a branch Service server 1 Service server 2 Isolated domain Internet Core Network Patch server Access of a partner SACG SACG2 SACG1 SM SC Access of a remote office Host firewall 802.1X Pre-authentication domain Remote access Local access SA for internal employees (permanent) SA for guests and partners (dissolvable) WEB authentication HUAWEI TECHNOLOGIES CO., LTD. Page 30
TSM - Sprawdzanie zgodności z wymogami Compliance check One-key automatic repair bezpieczeństwa Policy template for security check in the finance department Post-authentication domain The most diversified security check policies in the industry; terminals are forced to conform to them. Finance department Strictly AV software Patches and service packages Suspicious registries and processes Software blacklist and whitelist Use of illegitimate ports Enabling of insecure services If the security check fails, network access is forbidden. SM Protects the investment value of security products such as AV. Reduces spreading of malicious code, improves the availability of resources, and lowers the service interruption risks. Lowers the information leakage risks. Lowers the risks of terminals threatening the network Provides correct and real-time enterprise compliance information. Illegitimate file sharing Account security Generates records about illegitimate access Forced DHCP Simultaneous use of multiple NICs Tailored dynamic policy control based on roles User access binding Policy template for security check in the president office Post-authentication domain Customizes different security rules for user roles or departments Supports the evolution of the security management systems of enterprises. More extensive policies can be enabled gradually. President office AV software If the security check succeeds, network access is authorized. Loosely Patches HUAWEI TECHNOLOGIES CO., LTD. Page 31
DSM (Document Security Management) - Koncepcja 2. Security Approval User action approved. Keys and permissions stored in the DS. Prohibit external users who are not authorized to access the information Authentication failed DSM Sever Permissions cannot be downloaded External user 1 2 4 Distribute information to external users 3. Distribution Distribute files via the Internet, email attachment, ftp download etc. DSM Client 1. Information Protection User secure files Files rights information upload 3 DSM Recipient 4. Information Access Recipient authenticates Obtain keys and permissions temporarily Keys are stored if authorized offline view HUAWEI TECHNOLOGIES CO., LTD. Page 32