Solution Guide 2008
Inhaltsverzeichnis                                                                     Seite I



Inhaltsverzeichnis
Vorwo...
Seite II                                                               Inhaltsverzeichnis

     Policy Enforcement in der ...
Inhaltsverzeichnis                                                            Seite III

     IPv6...........................
Seite IV                                                            Inhaltsverzeichnis

     G-Serie.........................
Vorwort                                                           Seite 1

Vorwort
Sehr geehrte Leserin,
sehr geehrter Les...
Seite 2                                              Vorwort




          Enterasys Networks – Solution Guide 2008
Hinweis für alle Leser                                           Seite 3

Hinweis für alle Leser
Das Lösungsportfolio von ...
Seite 4                                    Hinweis für alle Leser




          Enterasys Networks – Solution Guide 2008
Wir über uns                                                         Seite 5

Wir über uns
Kurzprofil
Enterasys Networks i...
Seite 6                                                        Wir über un

Was die Analysten sagen…

“Enterasys has the m...
Wir über uns                                                           Seite 7

Weitere Informationen

Unser Management Te...
Seite 8                                                 Secure Networks™

Secure Networks™
Secure Networks™ ist die Strate...
Secure Networks™                                                   Seite 9

Im Folgenden sind einige der Kernziele der Sec...
Seite 10                                               Secure Networks™

Access Control
Secure Networks™ bietet mit seinem...
Secure Networks™                                                Seite 11

Authentisierung als Maßnahme
zum Schutz des Netz...
Seite 12                                             Secure Networks™

Eine solch heterogene Endgerätelandschaft stellt fü...
Secure Networks™                                                 Seite 13

Authentisierungsmethoden –
Der technische Ansat...
Seite 14                                                   Secure Networks™


In der Praxis ist es also möglich, das Model...
Secure Networks™                                                  Seite 15


Funktionsweise von MD5
Wegen der unsicheren M...
Seite 16                                              Secure Networks™

Die automatische Umleitung eines beliebigen HTTP-A...
Secure Networks™                                                 Seite 17

Aus dieser Konzeption ratifizierte die IEEE im ...
Seite 18                                                Secure Networks™

Dabei ist zu berücksichtigen, dass die bei der 8...
Secure Networks™                                                Seite 19

MACSec IEEE 802.1ae
Der MACSec Standard, der am ...
Seite 20                                               Secure Networks™

Policy Enforcement
Die eindeutige Authentisierung...
Secure Networks™                                                  Seite 21

Diese Aussage eines namhaften Herstellers von ...
Seite 22                                                    Secure Networks™

Diese Services setzen sich nun aus einzelnen...
Secure Networks™                                                            Seite 23

Mit diesen Maßnahmen ist es nun mögl...
Seite 24                                                Secure Networks™

(Multi-) User Authentication and Policy
(MUA+P) ...
Secure Networks™                                                 Seite 25

Die folgende Grafik verdeutlicht das Konzept de...
Seite 26                                                Secure Networks™

Für die oft große Zahl sporadischer Besucher ist...
Secure Networks™                                                Seite 27

RFC 3580 und Distribution Layer Security
Die Ein...
Seite 28                                              Secure Networks™

In dem abgebildeten Beispiel agiert der Distributi...
Secure Networks™                                                   Seite 29

Das Port Protection oder Private VLAN Feature...
Seite 30                                                Secure Networks™

einen wichtigen Faktor für die transparente Dars...
Secure Networks™                                                 Seite 31

Das Aktivieren der Authentisierungsfunktion auf...
Seite 32                                                Secure Networks™

Detect and Locate
Secure Networks™ von Enterasys...
Secure Networks™                                                 Seite 33

   2) Kompromittierung des Zielsystems
       N...
Seite 34                                                Secure Networks™

Obwohl die Angriffe, die über diese Frameworks d...
Secure Networks™                                                  Seite 35

Denial of Service
Denial of Service Attacken g...
Seite 36                                                Secure Networks™

Interpreter). Kommt es zu einem Fehler oder eine...
Secure Networks™                                                   Seite 37

        Anomaly Detection
    ●
            D...
Seite 38                                                Secure Networks™

folgen. Gut lässt sich dies anhand von Buffer Ov...
Secure Networks™                                               Seite 39

Hostbasierte Erkennung versus netzwerkba­
sierte ...
Seite 40                                              Secure Networks™

Host Intrusion Detection / Prevention (HIDS/
HIPS)...
Secure Networks™                                                   Seite 41

Prüfung der Systemintegrität
Die Systemintegr...
Seite 42                                               Secure Networks™

bliothek (Library) zu linken. Dadurch muss sich d...
Secure Networks™                                                Seite 43

werden kann, der vor einer Vielzahl verschiedene...
Seite 44                                              Secure Networks™




            Dynamic Response in Multivendor Net...
Secure Networks™                                                Seite 45

System Information and Event Management
Unter SI...
Seite 46                                                Secure Networks™

Die Technologie
Technologisch wird die eben besc...
Secure Networks™                                                 Seite 47

Was bringt Enterasys Security Management ...
  ...
Seite 48                                               Secure Networks™

Die Enterasys DSCC ist dabei ferner in der Lage, ...
Secure Networks™                                                Seite 49

ches, Policy, MAC Adresse, Authentifizierungsmet...
Seite 50                                               Secure Networks™

Interne Erweiterungsmöglichkeiten und Schnittstel...
Secure Networks™                                                Seite 51

Schritt 2:




                          DSCC-Qi...
Seite 52                                               Secure Networks™

Respond and Remediate
Unter Dynamic Reponse verst...
Secure Networks™                                                    Seite 53

des Users keine Agentsoftware installiert is...
Seite 54                                                Secure Networks™

Proactive Prevention / NAC
Mit proactive Prevent...
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Solution Guide
Nächste SlideShare
Wird geladen in …5
×

Solution Guide

6.064 Aufrufe

Veröffentlicht am

Veröffentlicht in: Technologie
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
6.064
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
5
Aktionen
Geteilt
0
Downloads
39
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Solution Guide

  1. 1. Solution Guide 2008
  2. 2. Inhaltsverzeichnis Seite I Inhaltsverzeichnis Vorwort...............................................................................1 Hinweis für alle Leser..........................................................3 Wir über uns........................................................................5 Kurzprofil..................................................................................5 Secure Networks™....................................................................5 Was die Analysten sagen…........................................................6 Weitere Informationen..............................................................7 Secure Networks™...............................................................8 Access Control.........................................................................10 Authentisierung als Maßnahme zum Schutz des Netzwerk-Ökosystems..............................11 Authentisierungsmethoden – Der technische Ansatz.....................................................13 Policy Enforcement..................................................................20 RFC 3580 - Der kleinste gemeinsame Nenner?...................20 Policys – Regeln am Rand der Zivilisation..........................20 (Multi-) User Authentication and Policy (MUA+P) im Detail. .24 Sichere Gastfreundschaft mit Default Policys......................25 RFC 3580 und Distribution Layer Security..........................27 Port Protection...............................................................28 Enterasys Networks – Solution Guide 2008
  3. 3. Seite II Inhaltsverzeichnis Policy Enforcement in der Praxis.......................................29 Detect and Locate....................................................................32 Angriffe.........................................................................32 IDS Erkennungstechnologien...........................................36 Hostbasierte Erkennung versus netzwerkbasierte Erkennung............................................39 Host Intrusion Detection / Prevention (HIDS/HIPS).............40 Network IDS/IPS............................................................42 IDS versus IPS versus DIRS.............................................43 System Information and Event Management......................45 Respond and Remediate..........................................................52 Proactive Prevention / NAC.....................................................54 Definition von NAC.........................................................54 Der Prozess NAC.............................................................55 Lösungsansätze..............................................................56 Enterasys NAC...............................................................59 Standard based Convergence and Availability..............................................................................66 Quality of Service im Netzwerk.........................................66 Wireless LAN..................................................................76 Power over Ethernet.......................................................84 Standard Based Availability.....................................................86 Redundanz....................................................................86 Enterasys Networks – Solution Guide 2008
  4. 4. Inhaltsverzeichnis Seite III IPv6..............................................................................96 MPLS...........................................................................101 Simple Network Management Protocol.............................105 Produktportfolio..............................................................106 Advanced Security Applications.............................................107 Dragon® Security Command Console...............................108 Dragon® Intrusion Defense.............................................113 Network Access Control.................................................119 Centralized Visibility and Control...........................................123 NetSight® Console.........................................................125 NetSight® Policy Manager...............................................127 Policy Control Console...................................................130 NetSight® Automated Security Manager...........................130 NetSight® Inventory Manager.........................................132 NetSight® - Komponenten im Überblick...........................133 NetSight® Lizenzierung..................................................136 Security Enabled Infrastructure.............................................137 Matrix® X-Serie............................................................138 Matrix® N-Serie............................................................146 SecureStack™ Familie...................................................167 D-Serie.......................................................................180 Enterasys Networks – Solution Guide 2008
  5. 5. Seite IV Inhaltsverzeichnis G-Serie.......................................................................185 I-Serie........................................................................190 Übersicht Secure Networks™/HW Kapazität......................195 Lizenzübersicht............................................................197 MGBICs, XENPAKs und XFPs...........................................198 Enterasys VDSL Optionen..............................................210 X-Pedition Security Router.............................................212 Literaturhinweise.............................................................218 Downloads............................................................................218 Enterasys GTAC.....................................................................219 Enterasys Knowledgebase.....................................................219 Enterasys Webguide..............................................................219 Impressum......................................................................221 Enterasys Networks – Solution Guide 2008
  6. 6. Vorwort Seite 1 Vorwort Sehr geehrte Leserin, sehr geehrter Leser, wieder einmal halten Sie die neuste Ausgabe des Enterasys Solution Guide in Ihren Händen. Seit einigen Jahren ist der Solution Guide bei unseren Kunden als umfangreiches, informatives Nachschlagewerk beliebt, das so­ wohl über Entwicklungen auf dem Netzwerkmarkt und neue Technologien, als auch über die neuen Strategien, Lösungen und Produkte von Enterasys Networks berichtet. Das Lösungsportfolio wurde zum Thema Enterasys NAC und Dragon ® Se­ curity Suite überarbeitet, hier wurden insbesondere die Integrationsmög­ lichkeiten der einzelnen Produkte untereinander beschrieben. Das Kapitel Produktportfolio zeigt einen Überblick über das gesamte Ange­ bot von Enterasys Networks. Neu hinzugekommen ist der Nachfolger des Matrix® E1 mit der G-Serie als modularem System sowie die D-Serie als Miniswitch. Des Weiteren wird das neue Enterasys NAC Portfolio mit Inline und Out-of-Band Komponenten sowie dem neuen, integrierten Enterasys Assessment vorgestellt. Ebenso sind die Enterasys VDSL-Komponenten als Long-Reach Ethernet-Extender hinzugekommen. Das Thema Lizenzierung wurde für NetSight® und Dragon® in ein eigenes Kapitel ausgegliedert, um einen Überblick über die unterschiedlichen Vari­ anten und Möglichkeiten zu geben. Wir wünschen Ihnen ein informatives Lesevergnügen. Ihr Enterasys Team Enterasys Networks Germany GmbH Solmsstr. 83 60486 Frankfurt Tel. +49 (0)69/47 860-0 Fax +49 (0)69/47 860-109 Enterasys Networks – Solution Guide 2008
  7. 7. Seite 2 Vorwort Enterasys Networks – Solution Guide 2008
  8. 8. Hinweis für alle Leser Seite 3 Hinweis für alle Leser Das Lösungsportfolio von Enterasys Networks wird kontinuierlich weiter entwickelt, deshalb kann es jederzeit zu Änderungen des bestehenden Lö­ sungsportfolio kommen. Die aktuellen Informationen der Lösungen finden Sie auf der Enterasys Networks Homepage unter http://www.enterasys.com oder http://www.enterasys.com/de/. Wir freuen uns auf ein persönliches Gespräch mit Ihnen und stehen Ihnen in unseren Niederlassungen jederzeit gerne zur Verfügung: Frankfurt /Main +49 (0)69 47860-0 Berlin +49 (0)30 39979 5 Leipzig +49 (0)341 528 5350 Wien +43 (0)1 994 60 66 05 Zürich +41 (0)44 308 39 43 Einen vollständigen Überblick über Deutschland und die europäischen Län­ der sowie deren Kontakte finden Sie unter: http://www.enterasys.com/corporate/locations/ Informationsstand: 30.04.08 Enterasys Networks – Solution Guide 2008
  9. 9. Seite 4 Hinweis für alle Leser Enterasys Networks – Solution Guide 2008
  10. 10. Wir über uns Seite 5 Wir über uns Kurzprofil Enterasys Networks ist ein globaler Anbieter von Secure Networks™ für Unternehmenskunden. Die innovativen Netzwerkinfrastrukturlösungen von Enterasys tragen den Anforderungen von Unternehmen nach Sicherheit, Leistungs- und Anpassungsfähigkeit Rechnung. Darüber hinaus bietet Enterasys umfangreiche Service und Support-Leistungen an. Das Produkt­ angebot reicht von Multilayer Switchen, Routern, Wireless LANs und Virtual Private Networks über Netzwerk Management Lösungen bis hin zu Intrusion Detection und Intrusion Prevention Systemen. Enterasys ist einer der Pioniere bei der Entwicklung von Netzwerklösungen und besitzt mehr als 600 Patente. Alle Lösungen sind standardbasiert und haben ein Ziel: Ihre Investitionen in entscheidende Geschäftsvorteile um­ zusetzen. Die Enterasys Lösungen eignen sich für alle Netzwerke unab­ hängig von Hersteller und Technologie. Über 20 Jahre Erfahrung und über 26.000 weltweite Kunden bilden das Fundament für den gemeinsamen Erfolg. Die Philosophie von Enterasys richtet sich nach dem Motto „There is nothing more important than our customer“, in dem unsere Kunden im Mittelpunkt stehen. Enterasys hat seinen Hauptsitz in Andover, USA, und betreut den globalen Kundenstamm über Niederlassungen in mehr als 30 Ländern. Das Unter­ nehmen beschäftigt weltweit mehr als 700 Mitarbeiter. Weitere Informa­ tionen zu Enterasys Secure Networks™ und den Produkten für Festnetze und drahtlose Netzwerke finden Sie unter www.enterasys.com. Secure Networks™ Sichere Netzwerke sind die Grundlage für eine flexible Infrastruktur und ein Servicemodell – Benutzer, Systeme, Applikationen, Event Manage­ ment, automatisierte Kontrolle und die Möglichkeit aktiv auf Ereignisse antworten zu können. Eine flexible Infrastruktur stellt einen authentifizier­ ten Zugang an allen Punkten zur Verfügung, an denen ein Zugriff auf Res­ sourcen erfolgt und verringert mit einer dynamischen Authorisierung die Angriffsfläche für Denial of Service Attacken. Zusätzlich sichert eine flexi­ ble und zuverlässige Infrastruktur die Verfügbarkeit von Applikationen und sichert für geschäftskritische Anwendungen die entsprechenden Bandbrei­ ten. Enterasys Networks – Solution Guide 2008
  11. 11. Seite 6 Wir über un Was die Analysten sagen… “Enterasys has the most tightly integrated security capabilities of any LAN switch vendor, including strong support for all IP telephony offerings” Gartner, Magic Quadrant for Global Campus LAN (März 2008) „Enterasys Secure Networks for Virtual Data Centers assures the connecti­ vity and compliance of virtualized computing and storage while reducing equipment, energy and cooling costs in data centers“ Gartner, Magic Quadrant for Global Campus LAN (März 2008) “At a product level, Enterasys was the initial innovator in embedded network security. Enterasys coined the quot;secure networksquot; approach and delivered key aspects of embedded network security before the rest of the market.” Gartner, Magic Quadrant for Global Campus LAN (Oct 2006) „The networking background of Enterasys is evident in that the Dragon IDS/IPS product line has an overall small rack space footprint, making the products well-suited for deployments such as MSSP/carrier/ISP where de­ tection is valued over blocking.“ Gartner, Magic Quadrant for Network IPS Appliances (Feb 2008) “Longtime IDS vendor Enterasys has moved to producing in-line IPS pro­ ducts. Its first customers are primarily managed security system provider (MSSP) customers who report a high degree of satisfaction with Enter­ asys' support with the IDS products and are converting over as customer demand shifts.” Gartner, Magic Quadrant for IPS (2006) “DSCC accurately detected more known attacks, as well as network an­ omalies than did Cisco Security MARS. Thus DSCC provides a level of protection of business assets exceeding that offered by Cisco…both products demonstrate that they can process flow and security network event data, though DSCC was able to correlate events into a single offen­ se. Ultimately, poor event correlation and anomaly detection in MARS could lead to missed threats.” Tolly Group White Paper (Jan 2007) Enterasys Networks – Solution Guide 2008
  12. 12. Wir über uns Seite 7 Weitere Informationen Unser Management Team Mike Fabiaschi President and Chief Executive Officer Chris Crowell Chief Technology Officer Gérard Vivier Vice President EMEA Edward Semerjibashian Vice President CEE/Russia & APAC Pressekontakt Enterasys Networks Markus Nispel Director Solution Architecture Solmsstraße 83 60486 Frankfurt Telefon: +49 69 47860 0 Fax: +49 69 47860 109 Enterasys Networks – Solution Guide 2008
  13. 13. Seite 8 Secure Networks™ Secure Networks™ Secure Networks™ ist die Strategie, die Enterasys seit Jahren erfolgreich verfolgt. Von Gartner oftmals als Technologieführer definiert, hat Entera­ sys mit der Einführung von 802.1x ein neues Zeitalter für die Sicherheit in Netzwerken eingeläutet. Secure Networks™ Komponenten Enterasys bildet die fünf wesentlichen Punkte einer holistischen IT Infra­ struktur mit eigenen Produkten ab. So wird sichergestellt, dass lediglich authentifzierte User Zugriff auf das Netzwerk erhalten. Das Sicherheitsle­ vel und das Zugriffsniveau der User wird dabei in Abhängigkeit zum Si­ cherheitslevel des benutzten Gerätes gesetzt. Angriffe, die von authentifi­ zierten oder nicht authentifzierten Usern auf Ressourcen im Netzwerk durchgeführt werden, können durch die verschiedenen Angriffserken­ nungstechnologien erkannt, verifiziert und verhindert werden. Ferner ist es möglich, nachdem der Angriff erfolgreich verhindert wurde, den Angrei­ fer aus dem Netzwerk zu verbannen oder ihm neue Zugriffsrechte zuzu­ weisen. Durch die Abbildung verschiedenster Technologien wird ein Maxi­ mum an Sicherheit erreicht, so dass auch Angriffe auf sehr komplexe und neue Technologien (wie Voice over IP) erkannt und verhindert werden können. Enterasys Networks – Solution Guide 2008
  14. 14. Secure Networks™ Seite 9 Im Folgenden sind einige der Kernziele der Secure Networks™ Strategie aufgeführt: Präventive Angriffsverhinderung ● Reaktionen auf Angriffe auf Userbasis (nicht nur auf Gerätebasis) ● Das Absichern von Netzwerken unterschiedlicher Hersteller ● Bereitstellen von Compliance Hilfsmitteln ● Die nachfolgenden Abschnitte zeigen die Grundzüge der 5 Säulen der Secure Networks™ Strategie auf und erklären, welchen Beiträge die ver­ schiedenen Komponenten aus diesen Bereichen zur Abbildung einer ganz­ heitlichen Security Infrastruktur leisten. Enterasys Networks – Solution Guide 2008
  15. 15. Seite 10 Secure Networks™ Access Control Secure Networks™ bietet mit seinem breiten Spektrum verschiedenster Funktionalitäten technische Lösungselemente für all diese Fragen. In der Praxis gilt es nun diese Elemente in ein durchgängiges Konzept zu integrieren und Schritte für die Implementierung und den Betrieb festzule­ gen. Die Frage nach der Realisierbarkeit der ermittelten Schutzmaßnahmen geht über Features und Algorithmen weit hinaus. Nicht alles was technisch möglich ist, stellt sich im Endeffekt auch als praktikabel heraus. Sicherheit und freie Kommunikation stehen sich auf den ersten Blick dia­ metral gegenüber. Eine Sicherheitspolicy, welche dem Anwender unzu­ mutbare Prozeduren auferlegt (mehrfache Anmeldung, geringe Flexiblität), hemmt die Produktivität des Unternehmens und wird sich kur­ zerhand selbst aushebeln. Befürchtungen, Netzwerksicherheit sei aufwändig, unangemessen kompli­ ziert und stelle selbst eine Gefahr für den kontinuierlichen Betrieb einer IT-Infrastruktur dar, muss hierbei durch geeignete Ansätze begegnet werden. Es hat sich gezeigt, dass sich der zusätzliche, administrative Aufwand einer sicherheitsbasierten Netzwerklösung nur kompensieren lässt, wenn gleichzeitig Werkzeuge zur Verfügung stehen, welche die Transparenz und ein möglichst einfach zu handhabendes Management garantieren. Im Gegensatz zur Administration einzelner Netzwerkkomponenten, bieten datenbankbasierte Managementsysteme die notwendige Unterstützung, um auf Basis von Templates und Policys eine flächendeckende Anpassung des Netzes an sich ändernde Anforderungen rationell vorzunehmen. Enterasys Networks – Solution Guide 2008
  16. 16. Secure Networks™ Seite 11 Authentisierung als Maßnahme zum Schutz des Netzwerk-Ökosystems Das Netzwerk eines Unternehmens entwickelt sich zunehmend zu der uni­ versellen Plattform für Kommunikation und Geschäftsprozesse und damit zum unternehmenskritischen Faktor. Nach Aussage von Analysten ist durch die fortlaufende Einbindung von mobilen Endgeräten, Sprachdiensten, Facility Management sowie der stei­ genden Integration industrieller Produktionsanlagen mit einer Verdopp­ lung der Endgeräte zu rechnen. Lediglich ein Teil dieser Endgeräteplattformen (PCs, Workstations und Notebooks) lässt sich mit geeigneten Sicherheitsmechanismen wie Perso­ nal Firewalls, Virenscannern und einem gehärteten Betriebssystem aus­ statten. Monolithische Komponenten, wie z.B. IP-Telefone, Webcams und Indus­ triesteuerungen liegen ebenso außerhalb des administrativen Zugriffs, wie die Notebooks externer Mitarbeiter und Studenten. Medizinische Komponenten, Analysegeräte und bildgebende Systeme (Röntgen und MRT) unterliegen eigenen Sicherheitsrichtlinien. Die Modifi­ kation des Betriebssystems durch geeignete Sicherheitsupdates erfordert in der Regel eine Neukalibrierung und Rezertifizierung des Systems und lässt sich somit in der Praxis kaum zeitnah ausführen. Enterasys Networks – Solution Guide 2008
  17. 17. Seite 12 Secure Networks™ Eine solch heterogene Endgerätelandschaft stellt für den Betreiber eines Unternehmensnetzwerkes also einen Risikofaktor dar, welcher in zuneh­ menden Maße außerhalb einer verlässlichen Kontrolle liegt. Die Sicherheitsbetrachtung eines Netzwerkes fokussierte bisher externe Verbindungen wie WAN und Internet als Hauptrisikofaktor. Das Absichern dieser Übergabepunkte mittels Firewall, Virenschutz und Contentfiltering gehört mittlerweile zum üblichen Standard. Von einem ganzheitlichen Ansatz ausgehend ist nun in Betracht zu ziehen, welchen Risiken interner Angriffe das Ökosystem Netzwerk ausgesetzt ist. Die Antwort liegt in intelligenten Komponenten und Lösungen, welche das Netzwerk in seiner Rolle als unternehmenskritischen Produktionsfaktor schützen. Enterasys Networks – Solution Guide 2008
  18. 18. Secure Networks™ Seite 13 Authentisierungsmethoden – Der technische Ansatz Die Access Control definiert sich in der Zugangskontrolle für Endgeräte zum Netzwerk. Dabei können die Endgeräte unterschiedlicher Natur sein. Ein von einem Anwender bedientes Endgerät bietet die Möglichkeit, unab­ hängig vom Betriebssystem des Endgeräts, den Anwender interaktiv zu authentifizieren. Viele Switche und die meisten Betriebssysteme für Perso­ nal Computer und Workstations unterstützen heutzutage den Authentisie­ rungsstandard IEEE 802.1x. Der ganzheitliche Lösungsansatz erfordert jedoch die lückenlose Erken­ nung von Endgeräten im Netz. Dies ist nur möglich, wenn alternative Au­ thentisierungsmethoden auch zur Verfügung stehen. Dieser Ansatz soll hier detailliert beleuchtet werden. IEEE 802.1x im Detail IEEE 802.1x liefert ein komplettes Authentication Framework, das port- basierende Zugriffskontrolle ermöglicht. Dieses Modell sieht dabei verschiedene Abstrahierungen vor: Supplicant ist das Endgerät, welches einen Netzwerkzugang an­ ● fordert. Authenticator ist das Gerät, welches den Supplicant authentifi­ ● ziert und den Netzwerkzugang versperrt oder frei gibt. Authentication Server ist das Gerät, welches den Backend-Au­ ● thentication-Dienst (z.B. RADIUS) bereitstellt. Dabei nutzt 802.1x bestehende Protokolle, wie EAP und RADIUS, die emp­ fohlen aber nicht vorgeschrieben sind. Unterstützt wird 802.1x für Ether­ net, Token Ring und IEEE 802.11. Eine Fülle von Authentifizierungsmechanismen wie Zertifikate, Smart Cards, One-Time Passwörter oder biometrische Verfahren sind ebenfalls vorgesehen. Diese Flexibilität wird durch die Nutzung des Extensible Au­ thentication Protocol (EAP) erreicht. Primär getrieben durch die Anforderung Wireless LANs mit einem sicheren Zugangs- und Verschlüsselungsmechanismus (802.11i und WiFi WPA) zu versehen, hat sich 802.1x im WLAN durchgesetzt findet aber zusehends auch Beachtung innerhalb herkömmlicher Ethernet-Netzwerke. Weiterhin erlaubt die Nutzung von EAP in der von Microsoft favorisierten Variante für RAS VPN (Remote Access Virtual Private Networks) innerhalb von IPSec/L2TP (IPSecurity, Layer 2 Tunneling Protocol) eine einheitliche Authentifizierung eines Nutzers über LAN, WLAN und WAN Infrastrukturen. Enterasys Networks – Solution Guide 2008
  19. 19. Seite 14 Secure Networks™ In der Praxis ist es also möglich, das Modell der Network Access Control unter Nutzung bestehender Authentisierungsinstanzen flächendeckend und benutzerfreundlich zur Verfügung zu stellen. Die eigentliche Authentisierung er­ folgt durch die Weiterleitung der EAP Pakete mittels EAP-RADIUS (RFC 2869) an einen RADIUS Server. Dieser kann wiederum je nach Hersteller Schnittstellen zu Verzeichnisdiensten wie Active Directory ADS von Microsoft oder Novell´s NDS über LDAP oder XML sowie Plug-ins für Secure ID Card Integration haben. Je nach Anforderung und Anwendung kann eine Vielzahl von EAP Protokol­ len zur Anwendung kommen. Folgende Tabelle soll eine kurze Übersicht geben: Client Server Dynamisches Authentisierung Keymanagement MD5 Klartextübertragung von Userda­ Nein Nein ten. Nur selten genutzt PEAP Einbindung von MS-CHAPv2 Ja Ja EAP-TLS Zertifikatsbasierendes Verfahren, Ja Ja benötigt PKI EAP-TTLS Aufbau eines verschlüsselten, au­ thentisierten Tunnels zwischen Ja Ja Sender und Empfänger. Enterasys Networks – Solution Guide 2008
  20. 20. Secure Networks™ Seite 15 Funktionsweise von MD5 Wegen der unsicheren Methode Authentisierungsdaten unverschlüsselt zu übertragen wird die unsprünglichste Methode MD5 heute nur noch in Aus­ nahmefällen genutzt. Funktionsweise von EAP-TLS EAP-TLS wurde in RFC 2716 spezifiziert und bietet eine starke kryptogra­ phische Authentisierung des Clients gegenüber dem Netzwerk. Das ge­ schieht, indem sich beide Seiten, also der Client und der Anmeldeserver, kryptographische Zertifikate vorzeigen, um ihre Identität zu beglaubigen. Diese Methode erfordert die Bereitstellung einer PKI (Public Key Infra­ structure), welche mit dem Directory in Verbindung steht. Die entsprechenden Zertifikate müssen auf dem Client verfügbar gemacht werden. Gespeichert auf einer so genannten Smart Card stellen sie ge­ meinsam mit einer mehrstelligen PIN-Nummer die optimale Sicherheitslö­ sung dar. Funktionsweise von EAP-TTLS EAP-TTLS wurde unter anderem von den Firmen Funk Software und Certi­ com aus TLS entwickelt. Die getunnelte Funktionsweise ist mit einem SSL verschlüsselten Webserver vergleichbar. Im Gegensatz zu EAP-TLS braucht nur der Anmeldeserver ein eindeutiges, digitales Zertifikat, wel­ ches der Client beim Verbindungsaufbau überprüft. Funktionsweise von PEAP Hierbei handelt es sich um die gebräuchlichere Microsoftvariante , die im Grunde die schon vorhandenen Merkmale von EAP-TTLS aufweist. Auch hier benötigt der Authentisierungsserver ein Zertifikat, auch hier wird zu­ erst die Verschlüsselung aufgebaut, bevor eine Identifizierung mit User­ name / Passwort stattfindet. Web-Authentication Endgeräte externer Mitarbeiter (Gäste, Servicepersonal, Studenten) ent­ ziehen sich dem administrativen Eingriff des Administrators. In diesem Szenario ist es also nicht praktikabel, die für die Authentisierung notwen­ dige Konfiguration vorzunehmen. Eine webbasierte Anmeldung, wie sie mittlerweile z.B. innerhalb öffentli­ cher WLAN HotSpots üblich ist, ist ohne Konfigurationsaufwand möglich und stellt somit eine akzeptable Alternative dar. Enterasys Networks – Solution Guide 2008
  21. 21. Seite 16 Secure Networks™ Die automatische Umleitung eines beliebigen HTTP-Aufrufes durch den Browser des Endgeräts präsentiert dem Benutzer eine Webseite mit inte­ grierter Authentisierungsabfrage. MAC-Authentication Endgeräte ohne standardbasierte Authentisierungsfunktionen, wie Dru­ cker, IP-Telefone und Industrieanlagen stellen eine weitere Herausforde­ rung dar. MAC adressbasierte Authentisierungsmethoden sowie die automatische Endgeräteklassifizierung durch Protokolle wie CEP und LLDP-MED sind grundsätzlich als schwächere Sicherheitsbarriere anzusehen, da sie sich mit verhältnismäßig einfachen Mitteln kompromittieren lassen. Dieses Manko erfordert eine dediziertere Endgerätekontrolle, welche über eine binäre Zugriffsentscheidung hinaus geht. Die im Weiteren erläuterte Kombination von Authentisierung und Access Policys ermöglicht den Zu­ griff in eingeschränkter Form. Daraus resultiert, dass der Versuch, sich z.B. mittels einer MAC Adresse eines Druckers Zugang auf das Netz zu verschaffen, lediglich die Kommu­ nikation mit dem zugewiesenen Printserver herstellt. Diese Einschränkung reduziert den Erfolg eines solchen Angriffs auf ein Minimum. Phone Detection (CEP) Die Telefonerkennung (Phone Detection) sorgt dafür, dass ein an das Netzwerk angeschlossenes IP-Phone als Solches erkannt wird. Im Netz­ werk werden dann automatisch passende Parameter für Quality of Service gesetzt. Zum Beispiel kann nach der Erkennung eines IP-Phones dessen Datenverkehr via 802.1p getagged und damit höher priorisiert werden als anderer Datenverkehr. Die Telefonerkennung kann dabei durch den LLDP-Standard oder spezielle Protokollnachrichten, wie zum Beispiel Enterasys CDP, erfolgen. Ansonsten können auch beliebige andere Protokolle, wie Cisco Discovery Protocol 2.0 oder das Snooping aller Pakete mit Ziel UDP Port 4060 wie bei Siemens, verwendet werden. Link Layer Discovery Protocol (LLDP, IEEE802.1AB) Der gegenseitige Austausch von Identität und Eigenschaften zwischen den Netzwerkkomponenten optimiert deren Zusammenspiel und ermöglicht darüber hinaus auch die Visualisierung von Layer 2 Verbindungen in grafi­ schen Netzwerkmanagmenttools. Die bisher verwendeten Discovery Protokolle (CDP, EDP) waren jedoch proprietärer Natur und boten damit eine eingeschränkte Interoperabilität. Enterasys Networks – Solution Guide 2008
  22. 22. Secure Networks™ Seite 17 Aus dieser Konzeption ratifizierte die IEEE im Jahre 2005 unter der Be­ zeichnung 802.1ab das herstellerunabhängige Link Layer Discovery Proto­ koll. Eine durchgängige Unterstützung von LLDP durch die Netzwerkkomponen­ ten ermöglicht die Rekonstruktion der kompletten Layer 2 Netzwerktopo­ logie sowie das Erkennen neuer Netzwerkkomponenten. Bei der Entwicklung von LLDP wurde auf eine einfache Erweiterbarkeit des Standards Wert gelegt. Ein Beispiel hierfür ist das Link Layer Discovery Protocol-Media Endpoint Discover oder LLDP-MED. Mit LLDP-MED wird es möglich Netzwerkeinstellungen von Endgeräten wie VLAN Priorität oder Diffserv-Werte automatisch zu erkennen. Dies erleichtert die Integration besonderer Endgerätetypen wie z.B. IP- Telefonen. LLDP Informationen stellen darüber hinaus auch eine Entscheidungsgrund­ lage für die automatische Zuordnung von Secure Networks™ Policys dar. Multi-User-Authentication Als Mitautor der IEEE Standards und somit Wegbereiter sicherer LANs hat Enterasys Networks schon frühzeitig damit begonnen auch bestehende Produkte nachträglich mit den erforderlichen Funktionen zu versehen. Diese Strategie reicht zurück bis zur zweiten Generation von Cabletron SmartSwitch Komponenten aus dem Jahr 1998, welche über die notwendi­ gen Authentisierungsmöglichkeiten verfügen. In gewachsenen, heterogenen Netzwerken ist damit zu rechnen, dass nicht alle Accesskomponenten über Authentisierungsfeatures verfügen. Die Matrix® N-Serie löst dieses Problem durch eine integrierte Multi-User- Authentication, welche es ermöglicht auf den Uplinks bis zu 256 Benutzer individuell zu authentisieren. Bestehende Lösungen, aber auch neue Fiber-to-the-Office Konzepte, bei welchen simple Kanalswitche im Accessbereich eingesetzt werden, lassen sich somit flächendeckend realisieren. Enterasys Networks – Solution Guide 2008
  23. 23. Seite 18 Secure Networks™ Dabei ist zu berücksichtigen, dass die bei der 802.1x Anmeldung verwen­ deten EAPoL Pakete von diesen „simplen“ Accessswitchen weitergeleitet werden müssen. Dies wird auch als EAP-Passthrough bezeichnet und ist bei allen Enterasys SecureStacks™ verfügbar. Bei älteren Komponenten muss sichergestellt sein, dass dies auch möglich ist; manchmal muss hier­ für Spanningtree ausgeschaltet oder ähnliche Konfigurationsänderungen vorgenommen werden. Multi-Method Authentication Mit der Matrix® N-Serie ist Enterasys Networks nicht nur in der Lage meh­ rere User gleichzeitig auf einem Port zu authentifizieren und jedem eine eigene Policy zu zu weisen, es ist auch möglich verschiedene Authentifizie­ rungsmethoden gleichzeitig auf dem Port zu betreiben. Normalerweise geht man davon aus, dass jedes Gerät sich nur einmal au­ thentifiziert; also der User an seinem PC über 802.1x, der Gast mit sei­ nem Laptop über PWA, der Drucker basierend auf MAC Authentication. Aber was passiert, wenn der PC auch über MAC Authentication authentifi­ ziert ist und sich die entsprechenden Profile auch noch widersprechen? Ab­ gesehen davon, dass dann das Security Design und die Policys überarbei­ tet werden sollten, hat Enterasys Networks dieses Problem im Griff. Die Authentifizierung läuft über so genannte Authentication Sessions. Hat ein User jetzt mehrere Authentication Sessions offen, so wird nur eine wirklich genutzt. Bis zu drei Sessions gleichzeitig sind möglich, denn ein User kann über 802.1x, PWA oder MAC Authentication angemeldet sein. Die Authentifizierungsmethoden werden nach Prioritätsregeln angewandt. Die Default-Prioritäten sehen folgendermaßen aus: 1. IEEE 802.1x 2. Port Web Authentication 3. MAC Authentication 4. CEP (Convergent Endpoint Detection) Kommen wir auf unser Beispiel zurück: Ein User hat sich über 802.1x au­ thentifiziert, aber basierend auf seiner MAC Adresse lief auch MAC Authen­ tication im Hintergrund, da beide Methoden auf dem Port aktiviert sind. Da die 802.1x Session höhere Priorität hat als die MAC Session, wird diese angewandt und die entsprechende Rolle dem User zugewiesen. Enterasys Networks – Solution Guide 2008
  24. 24. Secure Networks™ Seite 19 MACSec IEEE 802.1ae Der MACSec Standard, der am 8. Juni 2006 verabschiedet wurde, dient in der verbindungslosen 802 Welt zur Sicherung der Integrität jedes übertra­ genen Datenpaketes, zur Sicherung der Authentizität und zur Abwehr von „Lauschangriffen“ auf die transportierten Daten. Der Standard dient hier­ bei zur „Hop by Hop“ Verschlüsselung, Authentifizierung und Integritäts­ prüfung. Er wird zwischen Endsystemen und dem nächsten Switch bzw. auch alternativ (aber wohl selten) zwischen Switchen zum Einsatz kom­ men können. Das dazu notwendige Schlüsselmanagement nach 802.1af ist jedoch noch im Draft (eine Erweiterung des 802.1x), so dass hier noch etwas Geduld notwendig ist. Die Hersteller von MAC Phy´s versprechen sich natürlich hiervon mehr Ge­ schäft, da komplexere Chips inklusive Verschlüsselung teurer werden kön­ nen. Jedoch geht man davon aus, dass eine breite Anwendung erst statt­ findet, wenn die Preise zu bestehenden MAC Phy´s vergleichbar sind. Die potentiellen Anwendungsbereiche reichen von der sicheren Trennung von Kunden in der gleichen Layer 2 Domain eines Service Providers (Ethernet First Mile etc.) über die Sicherung von MAN Netzen zwischen Unternehmungen hin zur erweiterten Sicherung von heutigen 802.1x Un­ ternehmensinstallationen mit Verschlüsselung und Integritätswahrung von Endgerät zum Switch (wie es heute auch schon in der Wireless LAN 802.11 Welt vorhanden ist) und der Sicherheit, dass man nur Verbindun­ gen zu Geräten erstellt, die einem gewissen Trust-Level entsprechen. Enterasys Networks – Solution Guide 2008
  25. 25. Seite 20 Secure Networks™ Policy Enforcement Die eindeutige Authentisierung eines Gerätes / Benutzers stellt einen wichtigen Teil der Access Control dar. Auf dieser Basis müssen nun Regelwerke zugewiesen werden, welche den Zugang mit allen Rechten und Einschränkungen kontrollieren. Denn bereits die unterschiedlichen Authentisierungsmöglichkeiten zeigen auf, welche differenzierte Vertrauensstellung hier abzubilden ist. RFC 3580 - Der kleinste gemeinsame Nenner? Die nähere Betrachtung zeigt, dass die verbreitete Methode aus dem Authentisierungsergebnis eine VLAN-Zuweisung (RFC 3580) abzuleiten, zahlreiche Unzulänglichkeiten birgt. Allein die Notwendigkeit einen Campus mit weitverzweigten Layer 2 Seg­ menten zu überziehen widerspricht dem allgemeinen Trend hin zu gerou­ teten Segmenten. Eine Usergruppen-/ VLAN-Assoziierung generiert in der Praxis mindestens eine umfangreiche Gruppe von Standardusern, vor welchen zwar der Netz­ werkkern durch entsprechende Accesslisten geschützt wird, die jedoch un­ tereinander frei und hemmungslos kommunizieren können. Ist eines dieser Endsysteme durch Schadsoftware kompromittiert, so ist die gesamte Gruppe einer Verbreitung ausgesetzt. Daher wäre es wünschenswert, bereits am ersten Access Port zu entschei­ den, welche Informationen überhaupt in das Ökosystem Netzwerk einge­ speist werden dürfen. Policys – Regeln am Rand der Zivilisation Diese Idee führt tief in die Historie des Enterasys-Vorläufers Cabletron Systems. Bereits mit der zweiten Generation der SmartSwitch-Familie wurde in den späten 90er Jahren die dezidierte Frameklassifizierung eta­ bliert. Die Idee, einen Layer 2 Switch zu einer Layer 2/3/4 Analyse zu be­ wegen, war zu jener Zeit aus Priorisierungsanforderungen mit Blick auf zeitkritische Applikationen wie Voice und Video heraus geboren. Später wurde klar, dass die Unterscheidung verschiedener Protokolle am Access Port die erste Grundlage darstellt, um unerwünschte Dienste und Protokolle einfach zu verwerfen. Die Idee einer skalierbaren, verteilten Sicherheitsarchitektur eines Netzwerkes hatte etwas Faszinierendes. „Das Konzept von Zugriffsregeln im Accessbereich hat lediglich akademi­ schen Wert. In der Praxis ist diese Aufgabe zu komplex, um administriert zu werden...“ Enterasys Networks – Solution Guide 2008
  26. 26. Secure Networks™ Seite 21 Diese Aussage eines namhaften Herstellers von Netzwerkkomponenten bringt es auf den Punkt. Das Pflegen verteilter Zugriffsinformationen mit Bordmitteln ist eine Aufgabe, vor welcher jeder Administrator zurück­ schrecken wird. Doch bereits im Jahre 2001 stellte Enterasys Networks mit dem NetSight ® Policy Manager ein Werkzeug vor, mit welchem das Erstellen und Verbrei­ ten komplexer Regelwerke zu einem Baukastenspiel wird. Der Schlüssel liegt in einer dreistufigen Hierarchie: Policys - Hierarchisches Regelwerkzeug Die oberste Ebene definiert sich zunächst aus der Rolle, welche ein Benut­ zer in der Struktur des Unternehmens selbst spielt. Da sich diese Rolle be­ reits in den Regelwerken des Usermanagements einer zentralen Betriebs­ systemplattform abzeichnet, liegt es nahe, bereits bei der Authentisierung auf diese Informationen zuzugreifen. Unterhalb dieser Ebene sind die Services definiert, welche bereits im Gro­ ben beschreiben, was der Benutzer tun darf – und was nicht. Enterasys Networks – Solution Guide 2008
  27. 27. Seite 22 Secure Networks™ Diese Services setzen sich nun aus einzelnen Regeln zusammen, welche den Datenverkehr zunächst nach Kriterien der Layer 2, 3 und 4 klassifizie­ ren. Trifft die Regel zu, so wird eine zugewiesene Aktion ausgeführt: Access Control – zulassen oder verwerfen • Tagging des Frames mit einer definierten VLAN ID • Redefinition von Quality of Service Parametern • Rate Limiting (Port, Applikations-Flow, Protokoll, • Nutzer - IP oder MAC) Mittels des Policy Managers ist es nun möglich ein solches Konstrukt aus Rollen und Regeln zusammenzustellen und per SNMP auf allen Netzwerk­ komponenten bekannt zu machen. Die flächendeckende Bereitstellung von Zugriffsinformationen im Access-/Distributionbereich ist ein Garant für Skalierbarkeit einer solchen Lösung. Granularität der Secure Networks™ Policys Wie in der Grafik dargestellt, liegt die Stärke von Policy Enforcement bei Secure Networks™ in der Kombination aus Authentisierung, Klassifizierung und Kontrolle. Enterasys Networks – Solution Guide 2008
  28. 28. Secure Networks™ Seite 23 Mit diesen Maßnahmen ist es nun möglich einem breiten Spektrum von Bedrohungen zu begegnen, von denen einige hier beispielhaft aufgezeigt werden sollen: Risiko Lösung Illegitime DHCP-Server tauchen immer Eine Deny Regel auf SourcePort TCP69 wieder in LANs auf und stören den Be­ verhindert dies. trieb durch Zuweisung eigener IP- Adresse. Portscanner versuchen das Netz aus­ Das Blockieren des ICMP Protokolls für zuspähen. Standardbenutzer unterbindet Scan- Versuche. Rogue Access Points schaffen offene Auch ein AP muss sich via 802.1x au­ WLAN-Zugänge. thentisieren bevor er am Netzverkehr teilnimmt. Priorisierte Protokolle sind anfällig für Die Kombination aus Priorisierung und Packet Flooding. Rate Limiting schützt das Netz. Nicht alle IT-Komponenten lassen einen Layer 4-Regeln filtern Dienste wie Tel­ Schutz der Managementports zu. net und SSH aus, sofern der Benutzer keine Administratorenrolle spielt. Würmer verbreiten sich exzessiv in lo­ Für zahlreiche Attacken bietet der Policy kalen Netzen. Manager vorgefertigte Filterregeln an. Enterasys Networks – Solution Guide 2008
  29. 29. Seite 24 Secure Networks™ (Multi-) User Authentication and Policy (MUA+P) im Detail Die bisher aufgezeigte Kommunikationskette für den Authentisierungspro­ zess wird nun also um die Managementfunktion erweitert, mit deren Hilfe Rollen und Regeln verteilt werden. Kombination von Access Control und Policy Enforcement Nun gibt das zentrale Verzeichnis neben der positiven Authentisierungsbe­ stätigung auch die Gruppenmitgliedschaften des Benutzers an den RADIUS-Server zurück. Mittels eines kleinen Filterwerks ermittelt dieser die relevante Gruppe, deren Name dem Switch nun als Schlüssel dient, um dem Port die entsprechende Policy zu zu weisen. Die Authentisierungsmethode wird also lediglich um eine Filter-ID erwei­ tert, alle weiteren Funktionen führt die verteilte Netzwerkarchitektur selbsttätig aus. Das an sich sehr schlanke Standard-RADIUS Protokoll bie­ tet damit die Grundlage für eine hoch skalierbare Gesamtlösung. Im Kontext heterogener Netze, in welchen nicht alle Accesskomponenten den Einsatz von Policys unterstützen, ist es, wie bereits beschrieben, not­ wendig mehrere Benutzer an einem Port des nachgeschalteten Distribu­ tionlayers zu authentisieren. Die Flexiblität der Matrix ® N-Serie Switche erlaubt nun eine Kopplung der benutzerabhängigen Policy an die jeweils involvierte MAC Adresse. Enterasys Networks – Solution Guide 2008
  30. 30. Secure Networks™ Seite 25 Die folgende Grafik verdeutlicht das Konzept der so genannten Distributi­ on Layer Security. Diese Technik erlaubt die Integration unterschiedlicher Benutzer (bis zu 256) • unterschiedlicher Authentisierungsmethoden (802.1x, MAC, • PWA, CEP) unterschiedlicher Regelwerke (Policys) • am selben Uplinkport. Multiuser Authentifizierung Sichere Gastfreundschaft mit Default Policys Gäste spielen eine wachsende Rolle in Netzen, deren Mobilitätsanforderun­ gen kontinuierlich ausgebaut werden. Schüler und Studenten, Besucher, Wartungstechniker oder einfach Mitar­ beiter fremder Firmen, die manchmal über lange Zeiträume im Unterneh­ men präsent sind – sie alle haben den Anspruch, an den Ressourcen der IT-Infrastruktur teilzuhaben. Ein Horrorszenario für jeden Administrator! Der Balanceakt, einerseits diesem Bedarf nachzukommen ohne anderer­ seits die Sicherheitsrichtlinien des Unternehmens zu kompromittieren, stellt eine echte Herausforderung dar. Ein Teil der genannten Personengruppen lässt sich organisatorisch regis­ trieren und technisch mittels Webauthentication und einer restriktiven Po­ licy in das Sicherheitskonzept integrieren. Enterasys Networks – Solution Guide 2008
  31. 31. Seite 26 Secure Networks™ Für die oft große Zahl sporadischer Besucher ist dieser Aufwand unange­ messen hoch. Eine einfache Lösung muss her, die ohne Eingriff des Admi­ nistrators funktioniert. Den Schlüssel hierzu stellt die Default Policy dar. Sie erlaubt einem nichtauthentisierten Benutzer den minimalen Zugriff auf die Netzwerkin­ frastruktur. Eine solche „soziale Grundversorgung“ definiert sich beispiels­ weise über den Zugriff auf VPN-, HTTP-, DHCP- und DNS-Services sowie dem Zugang zum Webproxy des Unternehmens. Ein Rate Limiting begrenzt die nutzbare Bandbreite und verhindert exzes­ siven Gebrauch. Der Gast erhält also an jedem freigegeben Port Basisdienste, ist jedoch von den internen Ressourcen der IT-Infrastuktur eindeutig ausgeschlos­ sen. Aber auch andere Szenarien lassen sich über Default Policys abbilden. Softwareverteilung findet regulär außerhalb der Bürozeiten statt. Eine angepasste Default Policy stellt den Zugriff eines Updateservers auf das Endgerät auch dann sicher, wenn der Benutzer nicht angemeldet ist. Fazit: Default Policys schaffen die nötige Flexibilität in einem sicheren Netzwerk, um Nischenszenarien zu ermöglichen ohne die Security durch manuelle Schaffung von Ausnahmen und Lücken zu kompromittieren. Enterasys Networks – Solution Guide 2008
  32. 32. Secure Networks™ Seite 27 RFC 3580 und Distribution Layer Security Die Einführung flächendeckender Netzwerk Security in heterogenen Net­ zen stellt den Administrator, wie bereits beschrieben, vor eine Reihe spannender Herausforderungen. Gerade im Bereich der Low-Cost Switche hat sich das Prinzip der User/ VLAN-Zuordnung gemäß Standard RFC 3580 weitgehend etabliert. Daher soll dieses Thema nochmals eingehender mit Fokus auf eine Secure Networks™ Integration beleuchtet werden. RFC 3580 ist eine Methode, welche der Authentisierungsantwort des RADIUS-Servers eine VLAN-ID beifügt, anhand welcher der Switch dem Userport ein entsprechendes VLAN zuweist. In diesem Abschnitt soll beleuchtet werden, wie sich derartige Komponen­ ten in eine policybasierte Lösung integrieren lassen. Enhanced Policy mit RFC 3580 Enterasys Networks – Solution Guide 2008
  33. 33. Seite 28 Secure Networks™ In dem abgebildeten Beispiel agiert der Distribution Layer Switch vom Typ Matrix® N-Serie N7 nicht als Authentisierungsinstanz, sondern weist den eingehenden Frames anhand der VLAN-ID eine entsprechende Policy zu. Damit reduziert sich das Risiko unkontrollierter Client-zu-Client Kom­ munikation auf den Bereich des VLANs innerhalb des einzelnen Access Switchs. Auch das VLAN-to-Role Mapping lässt sich an zentraler Stelle im Policy Manager konfigurieren und flächendeckend an alle Switches kommunizier­ en. VLAN Mapping im NetSight® Policy Manager Port Protection Im Gegensatz zum Policy Enforcement direkt am Access Port verbleibt bei allen Szenarien der Distributed Layer Security ein Restrisiko, da die Access Control erst in der nachgelagerten Instanz ausgeführt wird. Um diese Lücke zu schließen, haben die Entwickler von Enterasys die Funktionalität des Cabletron ELS10-27MDU (Multiple Dwelling Unit) den neuen Anforderungen angepasst und in das Portfolio der SecureStack™ Reihe integriert. Enterasys Networks – Solution Guide 2008
  34. 34. Secure Networks™ Seite 29 Das Port Protection oder Private VLAN Feature, welches Datenaustausch nur in Richtung definierter (Uplink-) Ports zulässt, leitet die gesamte Kom­ munikation des Switchs direkt in die Distribution Zone und das Regelwerk der Policys. Diese Schutzmaßnahme bewahrt die Enduser vor unkontrol­ liertem Verkehr innerhalb des Switchs/VLANs. Policy Enforcement in der Praxis Die Konfrontation mit einer Flut von Begriffen wie MUA+P, RFC 3580 und Distribution Layer Security impliziert die Vorstellung einer Netzwerkarchi­ tektur, welche aufgrund ihrer Komplexität einfach nicht mehr zu handha­ ben scheint. Es bietet sich daher an, die Migration eines LANs hin zu einem sicheren Netzwerk in abgestuften Phasen durchzuführen, welche szenarienbedingt variieren können. Hier ein Beispiel für die Vorgehensweise: Step 1 – Assessment Eine Bestandsaufnahme stellt den Grundstock für weitere Betrachtungen dar. Daher sollten einige Punkte im Vorfeld festgelegt werden. Welche Komponenten sind im Netz aktiv, welche Featuresets ste­ • hen zur Verfügung? Welche Verkehrsbeziehungen sind zwischen Endgeräten und Ser­ • vern etabliert? Welche Dienste werden genutzt? Welche sollten fallweise restriktiv • behandelt werden? Welche Authentisierungsmethoden können/müssen eingesetzt • werden? Was unterstützen die Betriebssystemplattformen der Endgeräte? Step 2 - Management Die Einrichtung des Netzwerkmanagements verdient ein besonderes Au­ genmerk. Die Auswertung von SNMP-Traps und Syslogmeldungen stellt Enterasys Networks – Solution Guide 2008
  35. 35. Seite 30 Secure Networks™ einen wichtigen Faktor für die transparente Darstellung des Betriebszu­ standes eines Netzwerks dar. Nach der Einführung redundanter Maßnahmen manifestieren sich einzelne Ausfälle nicht mehr in Form von Betriebsstörungen. Umso wichtiger ist es, diese Teilausfälle zu erkennen, um die Gesamtverfügbarkeit der Infra­ struktur erhalten zu können. Die steigende Integration intelligenter Funktionen in die Netzwerkkompo­ nenten erfordert ein Maß an Kontrolle, welches über einfaches Portmana­ gement hinaus geht. Die NetSight® Console ist in der Lage sowohl Meldungen aktiver Kompo­ nenten intelligent auszuwerten als auch Managementaufgaben flächende­ ckend und geräteübergreifend durchzuführen. Das ermöglicht dem Administrator wiederkehrende Routineaufgaben ener­ giesparend zu absolvieren und Funktionsstörungen jederzeit gezielt zu lo­ kalisieren. Die Integration des Policy Managers in die NetSight® Installation ist der erste praktische Schritt zu einem sicheren Netzwerk. Step 3 – Static Policys Es gibt verschiedene Rahmenbedingungen, welche die flächendeckende Einführung von Authentisierungsmethoden verzögern. Daher bietet es sich als Vorstufe an einen statischen Schutz zu etablieren, welcher ohne jede Authentisierung auskommt. Zu diesem Zweck werden einige wenige Policys definiert, welche den Access Ports als Default Role zugewiesen werden. Der Nachteil dieser statischen Lösung liegt in einer geringen Flexibilität. Jeder Umzug von Endgeräten erfordert eine Prüfung der dem Port zuge­ wiesenen Policy. Die Möglichkeit, unter Einsatz des Policy Managers auf einfache Weise eine Access Port Security zu etablieren, birgt – gerade in kleinen und mittleren Netzen – jede Menge Charme und ist als Zwischenstufe einer Migration durchaus betrachtenswert. Step 4 - Authentisierung Dieser Schritt erfordert einen Blick über den Netzwerktellerrand hinaus. Die Integration des RADIUS-Dienstes in Verbindung mit der zentralen Be­ nutzerverwaltung ist möglicherweise bereits im Rahmen einer VPN- oder WLAN Lösung vollzogen worden. Nun gilt es im RADIUS-Server ein Filterwerk zu etablieren, welches die Gruppenzugehörigkeit eines Users auf Betriebssystemebene auf einen ent­ sprechenden Policystring (Filter ID) destilliert. Dem folgt die Authorisie­ rung der Accessswitche als registrierte RADIUS-Clients. Enterasys Networks – Solution Guide 2008
  36. 36. Secure Networks™ Seite 31 Das Aktivieren der Authentisierungsfunktion auf den Switchen stellt einen wesentlichen Schritt in der Migration dar. Der Zugang zum Netz ist nun nicht mehr von der reinen LAN-Connectivity bestimmt, sondern hängt von zahlreichen Faktoren ab: Endgerätekonfiguration, Switcheinstellung, RADIUS, Directory. Um das einwandfreie Zusammenspiel dieser Kommunikationskette risiko­ frei sicherzustellen, hat sich die Durchführung einer Pilotphase bewährt. In dieser Phase ist jedem Port zunächst eine liberale Default Policy zuge­ ordnet, welche den Benutzer in seinem Tun nicht einschränkt. Ein authentisierter User erhält eine neue Rolle, welche die gleichen Frei­ heiten einräumt. Während dieser Pilotphase kann der Administrator risikofrei prüfen, ob die Authentisierungsmechanismen auch unter Volllast greifen. Ist diese Prü­ fung abgeschlossen, können die vorbereiteten Policys scharfgeschaltet werden. Step 5 – Nächste Schritte Die Integration von Authentisierungsmaßnahmen und Regelwerken im Accessbereich stellt einen großen Schritt hin zu flächendeckender Netz­ werksecurity dar. Doch das Secure Networks™ Portfolio hat weit mehr zu bieten. Die Fähigkeit, Protokolle und Dienste auf den Layern 2, 3 und 4 flächende­ ckend zu kontrollieren, schafft eine solide Basis an Präventivmaßnahmen. Der nächste Schritt, Missbrauch und Attacken innerhalb des Contents oder aufgrund von anomalem Verhalten zu erkennen und darauf zu reagieren, ist in den nachfolgenden Kapiteln „Detect and Locate“ dokumentiert. Neben der Sicherheitsüberprüfung des Benutzers stellt sich auch die Frage nach dem Vertrauensstatus des Endgeräts. Im Kapitel „Proactive Pre­ vention“ werden Techniken beleuchtet, die es ermöglichen, die wachsen­ de Zahl von PCs, Laptops, Telefonen und embedded Devices in ein erwei­ tertes Sicherheitskonzept einzubinden. Rückblickend auf zahlreiche Secure Networks™ Migrationen hat sich die Vorgehensweise bewährt, vor Ort einen auf die Bedürfnisse des Kunden abgestimmten Workshop durchzuführen, in welchem Grundlagen vermit­ telt werden, einzelne Schritte festgelegt und Konfigurationen vorab er­ stellt werden können. Enterasys Networks bietet für alle Schritte, angefangen von der Erstellung eines Pflichtenheftes, der Planung, der Implementierung und Einweisung, professionelle Unterstützung an. Enterasys Networks – Solution Guide 2008
  37. 37. Seite 32 Secure Networks™ Detect and Locate Secure Networks™ von Enterasys schützt die Unternehmenswerte durch einen ganzheitlichen Ansatz. Die Grundvorrausetzung hierfür ist, dass das Netzwerk in der Lage ist, Angriffe und Gefahren auf Ressourcen im Netz­ werk zu erkennen und den Angreifer zu identifizieren. Bevor jedoch Angriffen auf die IT Infrastruktur begegnet werden kann, muss verstanden werden, wie diese Attacken durchgeführt werden und welche Charakteristiken zur Erkennung genutzt werden können. Angriffe Grundsätzlich kann dabei zwischen den folgenden Angreifertypen unter­ schieden werden: Automatisierte Angriffe (Viren, Würmer, Trojaner) ● Toolbasierte Angriffe ● Gezielte, intelligente, per Hand durchgeführte Angriffe ● Automatisierte Angriffe Schafft es eine Sicherheitslücke in die Nachrichten, kann man davon aus­ gehen, dass ein Virus oder ein Wurm diese Sicherheitslücke nutzt, um IT Systeme flächendeckend zu kompromittieren. Sind diese Sicherheits­ lücken bis dato noch unbekannt oder existiert kein Patch dazu, spricht man häufig von Day Zero Attacken. Die eigentliche Herleitung dieses Begriffs, der eigentlich Zero-Day Angriff/ Exploit lautet, kommt jedoch von der kurzen Zeitspanne zwischen dem Entdecken einer Sicherheitslücke und dem Verfügbarsein eines funktionie­ renden Angriffs (zumeist eines Exploits). Unabhängig davon, ob die Si­ cherheitslücke bekannt ist und ebenfalls unabhängig davon, ob ein Patch für diese Sicherheitslücke exisitert, folgt das Schädlingsprogramm, das eine Sicherheitslücke automatisiert ausnutzen will, zumeist einem be­ stimmten Schema: 1) Netzwerkdiscovery und Zielidentifizierung (optional) Bevor ein (vernünftig programmierter) Wurm oder Virus seinen bösartigen Code an ein Zielsystem sendet, überprüft er, ob das Zielsystem überhaupt angreifbar ist. Die Palette der Möglichkei­ ten, um diese Informationen zu erlangen, reicht vom stupiden Banner Grabbing bis zum intelligten TCP Fingerprint. Enterasys Networks – Solution Guide 2008
  38. 38. Secure Networks™ Seite 33 2) Kompromittierung des Zielsystems Nachdem das Ziel feststeht, wird der schadhafte Code übermittelt. Dies stellt den eigentlichen Angriff dar. Da der durchgeführte An­ griff auf eine Vielzahl unterschiedlicher Systeme auf unter Um­ ständen unterschiedlichen Plattformen durchgeführt werden soll, ist der Angriff an sich meistens sehr stupide und einfach zu erken­ nen. 3) Weiterverbreitung Ist das Zielsystem kompromittiert, versucht das Schadprogramm sich weiter im Netzwerk zu verbreiten. Automatisierte Angriffe können sowohl von Systemen, die mit anomalie­ basierten Erkennungstechnologien arbeiten, als auch von signaturbasier­ ten Systemen erkannt werden. Toolbasierte Angriffe Vor einigen Jahren setzte die Durchführung von stack- oder heapbasierten Angriffe noch Programmierkenntnisse in C und Assembler voraus. Heutzu­ tage gibt es eine Vielzahl von zum Teil freien Frameworks, die das Ausfüh­ ren eines Schadprogramms per Knopfdruck ermöglichen. Diese Frameworks laden bestimmte Angriffsmodule und bieten dem An­ greifer die Möglichkeit, die dynamsichen Parameter eines Angriffs per GUI zu definieren. Dadurch werden die Hürden zum erfolgreichen Durchführen eines Angriffs enorm gesenkt. Zumeist erstellen diese Frameworks einen Exploit, der sich in die folgen­ den Unterteile aufgliedern lässt: 1) Socket Aufbau Bevor der Angriffscode übermittelt werden kann, muss eine Netz­ werkverbindung zum Zielsystem aufgebaut werden. 2) Shell Code / Angriffscode Nachdem die Verbindung zum Zielsystem initialisiert worden ist, wird der Angriffscode über den Socket verschickt. Da die Rück­ sprungadresse und das Offset nicht bekannt sind, werden sehr viele verschiedene Rücksprungadressen durchprobiert. Da bei die­ sen toolgesteuerten Angriffen oftmals auch die verschiedenen Speichergrößen unbekannt sind, werden sehr viele NOPs über das Netzwerk versendet – daraus resultiert ein großer Speicherbedarf für das NOP-Sledge. 3) Informationsaufbereitung Sobald der Angriffscode übermittelt wurde, werden die daraus re­ sultierenden Informationen (zum Beispiel der Inhalt bestimmter Dateien des Zielsystems) für den User aufbereitet. Enterasys Networks – Solution Guide 2008
  39. 39. Seite 34 Secure Networks™ Obwohl die Angriffe, die über diese Frameworks durchgeführt werden, ge­ zielt sind und sich somit von den automatisierten Angriffen unterscheiden, müssen die Angriffsschemata dennoch sehr offen gehalten werden. Nur so kann eine sehr hohe Erfolgsquote garantiert werden. Diese Angriffe sind unter anderem durch folgende Merkmale auffällig: Große NOP Bereiche ● Oftmaliges Übermitteln des Angriffscodes (da diese die Rück­ ● sprungadresse enthält) Auffällige Offsets ● Standard Shell Code ● Unsauberes Beenden des angegriffenen Programms (kein exit(0) ● innerhalb des Shell Codes) Diese Angriffe lassen sich am besten durch signaturbasierte Systeme er­ kennen. Gezielte Angriffe Ein gezielter Angriff zeichnet sich dadurch aus, dass der eigentliche An­ griffscode sehr schlank und sauber geschrieben ist und dass die Verbin­ dungen und die Codesprünge sauber geschlossen werden. Die Rücksprungadresse wird oftmals durch einen ersten Vorabangriff ge­ schätzt, so dass der Angriffscode nicht zu oft über den Socket geschickt werden muss. Je nach zu überschreibendem Puffer kann ein gezielter Angriff mit einem Shell Code von 179 Bytes bis 380 Bytes Gesamtlänge liegen (je nach NOP-Slegde). Angriffe der neuen Generation (wie Cross Site Scripting) sind zumeist sehr gezielt und können innerhalb eines Paketes erfolgreich übermittelt wer­ den. Aufgrund der verschiedenen Evasionsmöglichkeiten, die sich dem An­ greifer bieten, um seinen Angriff zu verschleiern, stellen diese fokusierten Attacken die größte Herausforderung an präventive Sicherheitssysteme dar. Gezielte Angriffe lassen sich am besten durch die Kombination von signa­ turbasierten Systemen und System Information Management Systemen erkennen. Zur besseren Veranschaulichung wie Angriffe funktionieren, wie sie er­ kannt und verhindert werden können, folgend die Beschreibung dreier be­ kannter und weitverbreiteter Angriffsmuster. Enterasys Networks – Solution Guide 2008
  40. 40. Secure Networks™ Seite 35 Denial of Service Denial of Service Attacken gelten oftmals als stupide Attacken von Angrei­ fern, die nicht in der Lage sind, ein System zu kompromittieren und es deshalb einfach „nur“ ausschalten wollen. In Wahrheit sind Denial of Ser­ vice Attacken jedoch oftmals „Vorboten“ eines stack- oder heapbasierten Angriffs (Buffer Overflow Attacke zur Übernahme des Dienstes) oder die­ nen dazu, die Netzwerkdienste, die ein ausgeschalteter Service offeriert hat, zu übernehmen. Beliebte Angriffsziele sind DHCP Server, die zumeist über Broadcasts an­ gesprochen werden und oftmals keinerlei Authentifizierung unterliegen. Schafft es ein Angreifer, einen DHCP Server auszuschalten, kann er seinen Dienst übernehmen und in die Netzwerkkonfiguration von Endsystemen eingreifen. Dies kann Einfluss auf die Access Control Listen im Netzwerk und auf Update-Verhalten haben (bestimmte Sicherheitsgatewaysysteme installieren Updates über NFS mounts, die sie vom DHCP Server erhalten). Buffer Overflow Angriffe, die mit dem Überschreiben von Puffern zusammenhängen, sind für die meisten erfolgreichen Angriffe verantwortlich. Die Tendenz geht je­ doch von pufferbezogenen Angriffen weg und hin zu Cross Site Scripting- bezogenen Angriffen. Im Folgenden sind einige Gründe hierfür aufgeführt: Sichere Frameworks für Applikationserstellung und Code Access ● Security Stack Schutz von Betriebssystemen ● Stack Schutzmechanismen für Compiler ● Um zu verstehen, wie diese Angriffe funktionieren und zu erkennen, warum diese stetig an Bedeutung verlieren, ist es wichtig den Programmablauf auf dem „Stack“ und dem „Heap“ zu verstehen. Dies würde jedoch den Rahmen dieses Kapitels sprengen. Cross Site Scripting (XSS) Cross Site Scripting Attacken gewinnen stetig an Bedeutung. Sie können zu massiven Problemen führen (bis hin zur Kompromittierung des kom­ pletten Systems), sind extrem einfach für einen Angreifer zu finden und auszunutzen und oftmals sehr schwer zu erkennen und zu verhindern. XSS Angriffe sind zumeist im HTTP, XML und SOAP Bereich beheimatet und basieren auf der Dynamik der Programmiersprache mit der bestimmte Dienste, die die genannten Protokolle nutzen, geschrieben sind. Um zu verstehen, wie Cross Site Scripting Attacken funktionieren, muss der Unterschied zwischen Hochsprachen und Skriptsprachen verdeutlicht werden. Vereinfacht gesagt wird ein Skript zeilenweise ausgeführt (vom Enterasys Networks – Solution Guide 2008
  41. 41. Seite 36 Secure Networks™ Interpreter). Kommt es zu einem Fehler oder einer falschen Anweisung endet das Skript in einer bestimmten Zeile. Ein in einer Hochsprache (z.B. C) geschriebenes Programm wird vor Beginn der ersten Ausführung kom­ piliert – grobe Fehler werden also schon bei der Erstellung des Programms erkannt. Ferner ist es bei Skriptsprachen möglich, Codes während der Laufzeit einzubinden. Durch Fehler innerhalb des dynamischen Codes ist der Angreifer in der Lage, den eigenen Code in die Webapplikation einzuschleusen (Skript Code oder Datenbanksteuerungsbefehle). Dies kann er zum Beispiel durch das Manipulieren bestimmter URL Variablen erreichen, die zur Laufzeit Teil des ausführenden Codes werden. Eine genauere, intensive Betrachtung der verschiedenen Angriffsmuster wird im Enterasys Networks Pre-Sales-Training vermittelt. Dort werden neben den hier genannten Angriffsschemata auch man-in-the-middle Atta­ cken und Protokollangriffe detailliert behandelt. IDS Erkennungstechnologien Intrusion Detection und Prevention Systeme sind in der Lage die beschrie­ benen Angriffsschemata zu erkennen und entsprechend zu reagieren. Wie bereits einleitend beschrieben, gibt es für die verschiedenen Angriffe ver­ schiedene Erkennungstechnologien. Vorab kann also festgehalten werden, dass der bestmögliche Schutz nur dann gegeben ist, wenn das eingesetzte IDS alle verfügbaren Erkennungstechnologien vereint und somit in der Lage ist, die jeweils beste Technologie zur Erkennung und Prävention ein­ zusetzen. Grundsätzlich kann unter folgenden Erkennungstechnologien unterschie­ den werden: Behavior Based Anomaly Detection ● Die Analyse von Verkehrsbeziehungen mittels Daten aus den  Netzwerkkomponenten, zum Beispiel via Netflow, Sflow, RMON mit dedizierten Probes oder auch mittels komponenten­ spezifischer Traps Bei hostbasierten Systemen ist hierunter meist die Analyse  der System Calls zu verstehen, um „ungültige“ Calls später heraus zu filtern oder die Analyse von CPU Last und Memory pro Applikation etc. Enterasys Networks – Solution Guide 2008
  42. 42. Secure Networks™ Seite 37 Anomaly Detection ● Die Paketanalyse auf bestimmte Muster hin (bestimmte TCP  Flag Kombinationen gesetzt, etc.) Bei Host Sensoren kann man hierunter die Überwachung von  Files auf dem System verstehen („Logfiles werden nie kleiner“ oder „/etc/passwd“ wird normalerweise nicht geändert) Protocol based – Protocol Conformance Analysis und Decoding ● Die Decodierung von Protokollen und Überprüfung der Konfor­  mität im Hinblick auf Standards Signature based – Pattern Matching ● Die Analyse des Paketinhaltes in Hinblick auf verdächtige  Kombinationen (Verwendung von bekannten Exploits, Aufruf von ungültigen URLs, etc.) Bei Host Sensoren versteht man darunter zum Beispiel die  Analyse von Logdateien Eine Behavior Based Anomaly Detection basiert darauf typische Verhal­ tensmuster im Netzwerk, wie zum Beispiel die mittlere Anzahl von Flows pro Host oder den durchschnittlichen Durchsatz zu messen und bei star­ ken Abweichungen von diesen Werten Alarm zu schlagen. Wichtig hierbei ist, dass es sich dabei nicht nur um das Setzen und Messen von Schwell­ werten handelt, sondern um komplexe Algorithmen, die in der Lage sind, Systemverhalten zu erkennen, zu analysieren und normales Verhalten in bestimmten Grenzen vorher zu sagen. Bei der Anomaly Detection und der protokollbasierten Analyse werden quot;unmöglichequot; Datenpakete wie falsch zusammengebaute TCP-Pakete oder fragmentierte IP-Pakete mit nicht definierten Offsets erkannt. Außerdem werden die Sessions der einzelnen Verbindungen wieder zusammenge­ setzt und diese nach Auffälligkeiten analysiert und Abweichungen von de­ finierten Netzwerkpolicys (zum Beispiel, dass Mitarbeiter keine Peer-to- Peer Programme wie Napster, Kazaa, etc. verwenden sollten) erkannt. Eine signaturbasierte Lösung kann extrem präzisen Aufschluss über den Angriff geben, da die gesamte Paketfolge (je nach Produkt) abgespeichert wird: Damit ist auch eine schnelle Bewertung möglich, ob der Angriff er­ folgreich war. Dafür verwendet das IDS eine Datenbank, in der alle bekannten Signatu­ ren von Angriffen und Hackertechniken gespeichert sind (dabei handelt es sich um Binärabbilder bestimmter, typischer Fragmente der durch An­ griffstools oder Viren erzeugten Datenpakete). Diese werden mit dem Da­ tenteil der Pakete verglichen und so erkannt. Mit signaturbasierten Systemen ist die Erkennung völlig unbekannter An­ griffe jedoch schwierig zu realisieren. Dies gelingt in den Fällen sehr gut, in denen bestimmte (verschiedene) Angriffe einem bestimmten Muster Enterasys Networks – Solution Guide 2008
  43. 43. Seite 38 Secure Networks™ folgen. Gut lässt sich dies anhand von Buffer Overflow Angriffen verifizie­ ren, die sich durch das Senden von Shell Code und NOP-Sledges auszeich­ nen. Zusammenfassend kann festgehalten werden, dass Intrusion Detection und Prevention Systeme Datenpakete aufnehmen, Dateninhalte lesen und bestimmte Technologien anwenden, um festzustellen, ob ein Paket oder ein Kommunikationsfluss integer ist oder ob es sich um einen Angriff han­ delt. Zur Verifizierung eines erfolgreichen Angriffs verwendet das IDS nicht nur das Angriffspaket oder die Angriffspakete. Es bezieht in seine „Überlegung“ auch die Antworten des angegriffenen Systems ein. Enterasys Networks – Solution Guide 2008
  44. 44. Secure Networks™ Seite 39 Hostbasierte Erkennung versus netzwerkba­ sierte Erkennung Angriffserkennung kann, wie bereits beschrieben, auf dem Hostsystem oder im Netzwerk stattfinden. Bevor auf die verschiedenen Technologien im Detail eingegangen wird, werden im Folgenden einige Vor- und Nach­ teile der verschieden Systeme aufgeführt. Vorteile hostbasierter Erkennung: Netzwerkstream wurde bereits vom TCP Stack des Betriebssys­ ● tems zusammengesetzt Verschlüsselungsproblematiken sind nicht vorhanden ● Komplettes Systemverhalten kann in die Bewertung eines Angriffs ● einbezogen werden Nachteile hostbasierter Erkennung: Großer Verwaltungsaufwand: Muss auf jedem Host installiert wer­ ● den Verschiedene Betriebssysteme benötigen verschiedene Clients ● Betriebssystemänderungen können hostbasierte Erkennung beein­ ● flussen Vorteile netzwerkbasierter Erkennung: Änderungen am Betriebssystem des Ziels haben keinen Einfluss ● auf die netzwerkbasierte Erkennung Geringerer Verwaltungsaufwand: Ein netzwerkbasiertes System ● kann eine Vielzahl von Hosts überwachen Nachteile netzwerkbasierter Erkennung: Verschlüsselter Datenverkehr kann zu Problemen bei der Angriffs­ ● erkennung führen Single Point of Failure ● Lokale Angriffe werden nicht erkannt ● Enterasys Networks – Solution Guide 2008
  45. 45. Seite 40 Secure Networks™ Host Intrusion Detection / Prevention (HIDS/ HIPS) Host Intrusion Detection / Prevention Systeme haben einen komplett an­ deren Aufbau als netzwerkbasierte Systeme. Diese Systeme haben drei Hauptansatzpunkte: Kernel Schutz (System Call Hooking) ● Überwachung von Konfigurationsdateien und/oder der Registrie­ ● rung Prüfung der Systemintegrität ● Kernel Schutz Obwohl dies dem Benutzer oftmals verborgen bleibt, sind Betriebssysteme in zwei Bereiche aufgeteilt. Das Userland, in dem sich Applikationen, Be­ nutzer, Programme und Prozesse befinden und der Kernelspace, in dem das Betriebssystem und die Betriebssystemroutinen beheimatet sind. Ver­ einfacht könnte man sagen, dass die Schnittstelle zwischen Betriebssys­ tem (das die Dateien und die Hardware exklusiv verwaltet) und dem User­ land die System Calls sind. Diese Calls werden von Applikationen und Pro­ grammen genutzt, um Zugriff auf Betriebssystemressourcen zu erhalten. Ein HIDS / HIPS setzt sich jetzt als überwachende Instanz zwischen das Betriebssystem (den Kernelspace) und der Welt der Applikationen und überwacht, ob die ankommenden Anfragen valid sind oder ob es sich um Angriffe handelt. Diese Überwachung kann sich durch mehrere Leistungs­ merkmale bemerkbar machen: Verhindern des Ausführens von Code auf dem Stack ● Überschreiben von System Calls (Linux – LKM) ● Überwachung von Konfigurationsdateien und Registrie­ rung Ein weiterer wichtiger Bestandteil eines HIDS / HIPS ist die Überwachung von Systemkonfigurationsdateien und Systemregistern (Windows) bzw. Kernelkonfigurationen (Linux). So kann das HIDS sichergehen, dass wichtige Systemapplikationen (Fire­ wall, Antivirenscanner, etc.) auf dem aktuellen Stand sind und noch lau­ fen. Auch Trojaner und andere Schadprogramme lassen sich dadurch sehr gut identifizieren. Enterasys Networks – Solution Guide 2008
  46. 46. Secure Networks™ Seite 41 Prüfung der Systemintegrität Die Systemintegrität ist eine sehr wichtige Aufgabe von Host Intrusion De­ tection / Prevention Systemen. Dadurch kann sichergestellt werden, dass wichtige Systemprogramme bzw. der Code wichtiger Systemprogramme nicht manipuliert wurde. Das HIDS / HIPS bildet hierzu zu einem Zeit­ punkt, an dem das zu überwachende Systemtool noch integer ist, eine SHA-1 oder MD5 Checksumme des Binärcodes und agiert sobald sich die­ se Checksumme ändern. System Integrität – Kernel Schutz Enterasys Networks bietet für viele unterschiedliche Betriebssysteme Hostsensoren an, die didaktisch sehr einfach über den Dragon ® EMS zu verwalten sind. Damit können die in diesem Kapitel beschriebenen Featu­ res einfach und sicher realisiert werden. Enterasys Host Intrusion Prevention Systeme beschränken sich dabei je­ doch nicht nur auf den hier beschriebenen Betriebssystem- und Syste­ mapplikationsschutz. Für einige businessrelevante Gebiete (wie Webserver [Internet Information Server und Apache]) gibt es eigene Application In­ trusion Prevention Systeme, die für einen idealen Schutz der entsprechen­ den Applikation sorgen. Erweiterungsmöglichkeiten des HIDS Im Bereich Host Intrusion Detection bietet Enterasys ein SDK (Software Development Kit) an, das von Kunden, Partnern oder vom Enterasys Pro­ fessional Services Team genutzt werden kann, um zusätzliche Leistungs­ merkmale in die Produkte zu integrieren. Der Entwickler kann dabei auf die gesamte Bandbreite der integrierten Leistungsmerkmale zurückgreifen und somit neue Features schnell und sicher integrieren. Das Design ist dabei so realisiert, dass es Entwicklern möglich ist, zusätz­ liche Features über eine Programmiersprache ihrer Wahl (z.B. C oder C#) zu realisieren und diese dann gegen eine von Enterasys bereitgestellte Bi­ Enterasys Networks – Solution Guide 2008
  47. 47. Seite 42 Secure Networks™ bliothek (Library) zu linken. Dadurch muss sich der Entwickler nicht um die Kommunikation des neu erstellten Features mit der Enterasys Enter­ prise Management Suite beschäftigen oder mit sicherheitsbezogenen The­ men wie Authentifizierung und Verschlüsselung – er kann sich voll und ganz auf die Realisierung des neuen Features konzentrieren. Enterasys stellt in diesem Zusammenhang umfangreiche Beispielprogram­ me, Beispielerweiterungen und Hilfsdokumente zur Verfügung, so dass es dem Administrator oder dem Entwickler schnell möglich ist, sich in die Thematik einzulesen und effizient zu entwickeln. Durch die neu geschaffene dot net Schnittstelle ist es nun auch möglich, alle betriebssystembezogenen Sicherheitsmerkmale, die Microsoft in ihre Produkte integriert, innerhalb der Dragon® Defense Suite zu nutzen. Network IDS/IPS Netzwerkbasierte Intrusion Detection und Prevention Systeme unterschei­ den sich in allen wesentlichen Punkten von hostbasierten Systemen. Ihr interner Aufbau kann folgendermaßen beschrieben werden: Ereigniskomponente: ● Sensoren oder der eigene Netzwerkstack nehmen Raw-Daten aus dem Netzwerk auf und starten das so genannte Preprocessing, das dabei hilft, die Daten in ein einheitliches Format zu bringen (dies hat den Vorteil, dass man dadurch in der Lage ist, Signaturen in einem einheitlichen Format zu erstellen). Danach werden diese vereinheitlichten Daten an die Analysekomponente weitergege­ ben. Analysekomponente: ● An dieser Stelle werden die Daten, die von der Ereigniskomponen­ te gesammelt wurden, analysiert. Bei signaturbasierten Systemen wird der Paketinhalt gegen die verschiedenen Paketinhalte der Si­ gnaturen kreiert. Sobald eine Signatur anschlägt, wird ein Alarm ausgelöst. Dieser Alarm kann lediglich ein Logfile oder Datenbank­ eintrag sein. Sollte es sich bei dem entsprechenden Deployment um eine DIRS (Dynamic Intrusion Repsonse System) Installation handeln, kann über ein Alarmtool auch eine Aktion (Ändern der Port Policy) gestartet werden. Monitor und Darstellungskomponente: ● Nachdem die Daten intern in einem bestimmten Format vorliegen (Angriffsart, Angreifer, Ziel, Zeitinformationen, etc.) werden die Daten an dieser Stelle verständlich (zumeist grafisch) für den An­ wender / Administrator aufbereitet. Zusammenfassend kann gesagt werden, dass durch die Kombination netz­ werk- und hostbasierter Erkennung ein sehr hoher Schutzfaktor erreicht Enterasys Networks – Solution Guide 2008
  48. 48. Secure Networks™ Seite 43 werden kann, der vor einer Vielzahl verschiedener Angriffsszenarien schützt. IDS versus IPS versus DIRS Nachdem nun definiert wurde, wie präventive Sicherheitssysteme Angriffe erkennen können, werden die Aktionen, die aus diesen Informationen ge­ troffen werden können, diskutiert. Detection Die Erkennung von Angriffen ist die Grundlage jeglicher präventiver Si­ cherheitstechnologie (ob inline oder outline). Sollte keine proaktive Si­ cherheitsimplementierung gewünscht sein, so kann man durch die Daten, die in diesem Schritt gesammelt wurden, forensische Nachforschungen betreiben, Angriffe zurückverfolgen, Beweise auswerten, Systemverhalten überwachen und dokumentieren, Statistiken über die Sicherheitsentwick­ lungen erstellen und Datenquellen / Ressourcen für Security Information and Event Management Systeme bereitstellen, die daraus SoX-konforme Reports erstellen können. Prevention Aktive Angriffsverhinderung geschieht zumeist inline. Die Geräte (NIPS) werden also direkt in den Kommunikationsfluss integriert und entschei­ den, ob ein Paket weitergeleitet werden soll oder nicht. Intrusion Prevention ist ein sehr gutes Werkzeug, um das Netzwerk und die darin befindlichen Komponenten aktiv vor Angriffen zu schützen. Der Angreifer selbst bleibt davon jedoch unberührt und hat weiterhin Zugriff auf die Ressourcen des Netzwerks. Seine Pakete werden lediglich dann verworfen, wenn es sich dabei um schadhafte Pakete handelt. Dynamic Response Distributed IPS basiert auf Intrusion Detection und führt – basierend auf den Ergebnissen des Intrusion Detection Systems – Aktionen im Netzwerk durch. Je nach vorhandener Netzwerkinfrastruktur kann dies durch das Ändern einer Portpolicy oder durch das Verbannen eines Users aus einem bestimmten VLAN in ein Anderes geschehen. Distributed IPS reagiert da­ bei auf bestimmte Ergebnisse. Wird ein Angriff durch das Versenden eines einzelnen Paketes erfolgreich durchgeführt, wird das DIRS diesen Angriff nicht verhindern. Es werden jedoch Aktionen gegen den Angreifer gefah­ ren, die verhindern, dass dieser weiterhin Schaden im Netzwerk anrichtet. Auch hier kann zusammenfassend festgehalten werden, dass das größte Schutzpotential durch die Kombination der verschiedenen Technologien realisiert werden kann. Enterasys Networks – Solution Guide 2008
  49. 49. Seite 44 Secure Networks™ Dynamic Response in Multivendor Networks Enterasys Networks ist der führende Anbieter von Distributed IPS Syste­ men. Durch eine extrem hohe Anzahl unterstützter Devices von Fremdher­ stellern ist es möglich, nahezu jede Netzwerkinfrastruktur durch den Ein­ satz des Dragon® IDS in Kombination mit dem Automated Security Mana­ ger über DIRS abzusichern. Enterasys Networks – Solution Guide 2008
  50. 50. Secure Networks™ Seite 45 System Information and Event Management Unter SIEM (System Information and Event Management) oder SIM (Sys­ tem Information Management) versteht man die hohe Kunst, alle vorhan­ denen Daten aufzunehmen, zu korrelieren und daraus einen Rückschluss auf eine bestimmtes Ereignis zu treffen. Einsatzmöglichkeiten für Dragon® Zur besseren Veranschaulichung kann die IST Situation und die SOLL Si­ tuation (bezogen auf Security Information Management) vieler Unterneh­ men herangezogen werden: Ist Situation: Eine Vielzahl von unterschiedlichen Systemen offeriert Dienste im Netzwerk. Die entstehenden Logmessages werden in unter­ schiedlichen Formaten auf unterschiedlichen Systemen gehalten und kön­ nen sensible, wichtige Informationen enthalten. Soll Situation: Eine Vielzahl von bestehenden Systemen offeriert Dienste im Netzwerk. Die entstehenden, unterschiedlich formatierten Logmessa­ ges werden zentral ausgewertet. Die wichtigsten Daten werden in einem High Level Approach dem entsprechenden Mitarbeiter aufbereitet. Aus verschiedenen Quellen werden in Realtime sinnvolle Schlüsse gezogen (Korrelation). Im Vordergrund steht die Information und nicht die Lognachricht. Enterasys Networks – Solution Guide 2008
  51. 51. Seite 46 Secure Networks™ Die Technologie Technologisch wird die eben beschriebene SOLL Situation dadurch er­ reicht, dass alle Events (ein Event ist eine einzelne Nachricht eines Sys­ tems innerhalb der IT Infrastruktur; dies kann eine Lognachricht eines Syslog Servers sein, ein Alarm eines Intrusion Detection Systems oder ein Flow Record eines Layer 2 / Layer 3 Systems) in einer Datenbank gespei­ chert und korreliert werden. Aus dieser Korrelation wird ein neuer Übere­ vent generiert – der so genannte Offense. Ein Offense ist ein Alarm, der aus verschiedenen Events generiert wurde. Je mehr Events zu einem Of­ fense zusammengefasst werden, desto höher ist die Data Reduction Rate. Das SIEM kann dabei Lognachrichten oder auch Flow Daten von Netzwerk­ geräten aufnehmen und diese in Relation zueinander setzen. Durch die ganzheitliche Strategie von Secure Networks™ ist es im Umkehrschluss wiederum möglich, Aktionen basierend auf den Offenses im Netzwerk zu starten. Man könnte SIEM Systeme als technische, virtuelle CIOs im Netzwerk be­ zeichnen, die alle erdenklichen Informationen aufnehmen und den Board of Directors (den Administratoren) dann Anweisungen erteilen. Die Dragon® Security Command Console (das SIEM von Enterasys) ist in der Lage, die vorhandenen Offenses einfach und klar strukturiert darzu­ stellen. Da das System auch für sehr große Infrastrukturen ausgelegt ist, ist es mandantenfähig. Jeder Benutzer kann dabei selbst definieren, wel­ che Informationen er zu Beginn seiner Session sehen möchte. Die DSCC ist dabei wie eine Art Zwiebel aufgebaut. An der obersten Schicht befindet sich das Ergebnis, das Endresultat, der gezogene Schluss basierend auf verschiedenen korrelierten Events (Offense). Der Anwender ist jedoch in der Lage sich bis zur Kerninformation vor zu arbeiten, in dem er (im übertragenen Sinne) Schale für Schale von der Zwiebel entfernt. Was bringt Enterasys Security Management ... ... für die Finanzorganisation? Kosten werden eingespart ● Aufgaben können Mitarbeitern sinnvoll zugewiesen oder automati­ ● siert übernommen werden Die Kosten für die Analyse bzw. Aufbereitung der Daten sinkt si­ ● gnifikant Erhöhung des Return on Invests bei Software und Hardware ● Enterasys Networks – Solution Guide 2008
  52. 52. Secure Networks™ Seite 47 Was bringt Enterasys Security Management ... ... für das operative Geschäft? Verbesserte Antwortzeiten bei Attacken ● Attacken, Hardware- und Softwarefehler werden besser erkannt. ● Dadurch können bestimmte Fehlersituationen besser zugeordnet und Aktionen besser koordiniert und geplant werden. Verbesserte, einfachere Übersicht über Securityevents ● Signifikate Erhöhung der proaktiven und präventiven Sicherheit ● Auswirkungen bestimmter Aktionen können besser bewertet wer­ ● den; Auswirkungen besser berechnet werden. Was bringt Enterasys Security Management ... ... für das Business an sich? Erhöhung der Stabilität der IT Infrastruktur und damit bessere ● Verfügbarkeit der Geschäftsprozesse Legal Compliance ● Befolgung aller Regularien ● Minimierung der Auswirkungen für Unbeteiligte ● Risiken werden minimiert. Risiken werden überhaupt erkannt! ● Enterasys bietet mit der Dragon® Security Command Console das führen­ de System, um die eben dargestellten Leistungsmerkmale effizient abzu­ bilden Korrelationsmöglichkeiten mit DSCC Enterasys Networks – Solution Guide 2008
  53. 53. Seite 48 Secure Networks™ Die Enterasys DSCC ist dabei ferner in der Lage, Ergebnisse von Vulnera­ bility Assessment Systemen (Sicherheitslücken-Scannern) in die Offense Bewertung einzubeziehen. Ein intelligentes Framework macht Erweiterun­ gen möglich, die eine enorm hohe Skalierung auch bei extrem großen Netzwerken und extrem hohen Datenaufkommen garantiert. DSCC Übersicht Enterasys bietet ferner durch die Kombination der hier aufgezeigten Sys­ teme (HIDS, NIDS, SIEM, NAC, etc.) die Möglichkeit auf vielfältige Gefah­ ren mit der entsprechenden Aktion zu reagieren. Gefahren können dabei auch proaktiv aus dem Netzwerk fern gehalten werden. Ein wichtiger Be­ standteil dieser Secure Network™ Strategie ist es, dass dabei, wie bereits in diesem Kapitel über System Information und Event Management zu er­ fahren, eine Vielzahl von Fremdherstellern einbezogen werden können. Schnittstellen zu externen Systemen Eines der Ziele, die die Dragon® Security Command Console verfolgt, ist, dem Administrator bei verifizierten, schwerwiegenden Problemstellungen (Security Incident, Angriff, abfallende Verfügbarkeit eines Dienstes, aus­ gefallener Server, etc.) darzustellen, um was es sich bei diesem Vorfall genau handelt, wie kritisch dieser ist, was dadurch beeinflusst wird und wer (welche Identität) dieses Problem verursacht hat. Dabei offeriert die DSCC dem Administrator nicht nur die IP Adresse des Initiators, sondern auch weiterführende identitybezogene Informationen (Username, Usergruppe, Switchport, Switch IP Adresse, Name des Swit­ Enterasys Networks – Solution Guide 2008
  54. 54. Secure Networks™ Seite 49 ches, Policy, MAC Adresse, Authentifizierungsmethode und ob der Benut­ zer „nur“ wired oder wireless online ist oder mehrere Verbindungsmöglich­ keiten nutzt (z.B. wired und wireless und zusätzlich VPN). Asset-Informationen in der DSCC Der Administrator hat nun die Möglichkeit die integrierten Enterasys Schnittstellen zu nutzen, um einen bestimmten Benutzer eine neue Policy zu zu weisen oder eine MAC Adresse für eine bestimmte Zeit vom Netz­ werk zu nehmen. Gefahrenquellen mit der DSCC direkt aus dem Netzwerk entfernen Dabei kann die Lösung spielend erweitert werden, so dass zum Beispiel externe Skripte aufgerufen werden, die als Parameter die IP Adresse eines Angreifers übergeben bekommen. Die Erweiterungsmöglichkeiten, die sich dadurch ergeben, erweitern das Spektrum, innerhalb dessen die Lösung ihren Mehrwert aufzeigen kann, enorm. Enterasys Networks – Solution Guide 2008
  55. 55. Seite 50 Secure Networks™ Interne Erweiterungsmöglichkeiten und Schnittstellen Ein Security Information und Event Management System wie die Dragon® Security Command Console lebt davon, Events und Flows von verschie­ densten Systemen unterschiedlicher Hersteller zu lesen und diese Events zu nutzen, um sie durch das Korrelieren mit anderen Events von anderen Herstellern zu einer vernünftigen Aussage zu formen (Offense). Oftmals ist es so, dass in komplexen Kundenumgebungen exotische Applikationen nicht bekannter und kaum verbreiteter Hersteller implementiert wurden oder dass Kunden ihre eigenen Applikationen entworfen haben, die per default von den gängigen SIEM Lösungen nicht unterstützt werden. Da diese Quellen sehr wertvolle Daten enthalten können, die einen spür­ baren Mehrwert während des Korrelationsprozesses darstellen könnten, bietet die Dragon® Security Command Console einen sehr einfachen und effektiven Weg an nicht bekannte Logfile Formate zu lesen und in die Kor­ relation aufzunehmen. Dabei muss der Administrator lediglich ein generisches / universales Devi­ ce anlegen und definieren, wie die Events von diesem System interpretiert werden sollen, welches Protokoll zur Datenübertragung genutzt wird und was die Events von diesem System zu bedeuten haben. Die folgenden Screenshots zeigen, wie dieser Prozess mit Hilfe der Konfigurationsober­ fläche innerhalb weniger Minuten realisiert werden kann. Schritt 1: DSCC - Sensordevices Anlegen eines neuen generischen Devices, damit Logfiles von diesem Sys­ tem aufgenommen werden und entsprechend der Mustererkennung, die man selbst anpassen kann, gelesen und ausgewertet werden. Enterasys Networks – Solution Guide 2008
  56. 56. Secure Networks™ Seite 51 Schritt 2: DSCC-QidMapping Zuordnen des Events, so dass die DSCC „weiß“, in welche Kausalkette die­ ser Event gehört und wie dieser Event innerhalb des Korrelationsverlaufs zu behandeln ist. Enterasys Networks – Solution Guide 2008
  57. 57. Seite 52 Secure Networks™ Respond and Remediate Unter Dynamic Reponse versteht man die Möglichkeit für das Netzwerk, autonom auf auftretende Probleme zu reagieren. Dazu werden mehrere Komponenten kombiniert. Intrusion Detection Systeme erkennen auftre­ tenden Missbrauch oder Sicherheitslücken und können mit Hilfe von Re­ sponsemechanismen direkt – als IPS oder in der Secure Networks™ Archi­ tektur - mit dem ASM ins Geschehen eingreifen. Die Remediation ermöglicht es, dem so in die Quarantäne versetzten Mit­ arbeiter mitzuteilen, dass und warum er in der Quarantäne ist. Damit wird es auch möglich, eine Anleitung zur Selbsthilfe zu geben und somit das Helpdesk zu entlasten. Dynamic Response (wie bereits unter Detect and Locate beschrieben) kann aber auch auf anderem Wege erreicht werden. So unterstützt zum Beispiel die Matrix® N-Serie das so genannte Flow Setup Throttling. Man kann (vor allem auf den Userports) pro Port Schwellwerte definieren, wel­ che die maximale Anzahl von Flows in einer gewissen Zeiteinheit definie­ ren. Überschreitet der Rechner eines Users diesen Threshold, so ist das normalerweise nie auf regulären Traffic zurückzuführen, sondern ein si­ cheres Anzeichen für einen Virus oder eine sonstige Attacke. Je nach Kon­ figuration schickt der Switch dann eine Nachricht an die Managementstati­ on oder aber der entsprechende Port wird sofort deaktiviert (und auch hier wird eine Nachricht an die Managementstation geschickt). Zum besseren Verständnis kann an dieser Stelle ein klassisches und weit verbreitetes Szenario genutzt werden. Das hier beschriebene Beispiel wird durch den Einsatz der folgenden Enterasys Networks Lösungen möglich: Enterasys NAC ● NetSight® Console ● Automated Security Manager ● Dragon® IDS ● Ein User authentifiziert sich in seinem Büro über 802.1x am Netzwerk. Be­ vor er jedoch Zugriff auf die Ressourcen im Netzwerk erhält, wird eine Si­ cherheitsüberprüfung seines Endsystems realisiert. Dort wird festgestellt, dass der User die in der Firmenpolicy vorgeschriebene Antivirensoftware deaktiviert hat. Der User erhält daraufhin lediglich Zugriff auf eine von Enterasys Networks bereitgestellte Webseite, die ihm eine genaue Be­ schreibung des Fehlers offeriert. Der User wird auf dieser Webseite dar­ aufhin gewiesen, dass er die Antivirensoftware wieder aktivieren muss, um Zugriff auf das Netzwerk zu erhalten. Versucht der User interne oder externe Webseiten aufzurufen, so wird er bei jedem Versuch wieder auf die von Enterasys Networks gelieferte Webseite umgeleitet. Nachdem der User die Software wieder aktiviert hat, kann er über einfa­ ches Klicken eines Buttons auf der Webseite erneut Zugriff auf das Netz­ werk verlangen. Wichtig zu erwähnen ist hierbei, dass auf dem Endsystem Enterasys Networks – Solution Guide 2008
  58. 58. Secure Networks™ Seite 53 des Users keine Agentsoftware installiert ist. Die Einwahl erfolgte über Network Credentials des Sicherheitslückenscanners. Das Netzwerk und die beteiligten Systeme haben festgestellt, dass der User seine Antivirensoftware wieder aktiviert hat und weisen ihm seine Rolle im Netzwerk zu. Nach einiger Zeit startet der User einen Angriff auf einen internen Webserver. Diese Attacke wird vom Dragon® Intrusion De­ tection System erkannt. Durch die automatische Abstimmung des Dragon® IDS und des Automated Security Managers wird die Rolle des Users geän­ dert und sein Port in Quarantäne gesetzt. Der User erhält nun lediglich Zu­ griff auf die von Enterasys Networks offerierte Webseite, die ihm mitteilt, dass das Netzwerk den Angriff erkannt hat und sein System aus dem Netzwerk entfernt wurde. Assisted Remediation mit ToS-Rewrite Eine Möglichkeit diese Remediation technisch zu realisieren besteht darin, alle Pakete eines Endsystems, das sich in Quarantäne befindet bzw. per DIRS vom Netz getrennt wurde, mit einem definierten DSCP (bzw. IP Pre­ cedence) Wert zu markieren. Assisted Remediation mit Hilfe von ToS-Rewrite So markierte Pakete werden dann im Netzwerk mit Hilfe einer Policy Route von den Routern zu einem Remediation Webserver geroutet. Auf diesem läuft ein modifizierter Proxy, der in der Lage ist die Pakete an Zieladressen anderer Webserver entgegen zu nehmen und mit einer Remediation Web­ seite zu antworten. Dies setzt natürlich voraus, dass DHCP (falls verwen­ det) und DNS wie üblich gehandhabt werden oder der Remediation Server ebenfalls auf diese antwortet. Enterasys Networks – Solution Guide 2008
  59. 59. Seite 54 Secure Networks™ Proactive Prevention / NAC Mit proactive Prevention oder auch Network Access Control steht wieder einmal eine Technologie am Anfang des “Gartner Hype Cycles“ (http://www.gartner.com/pages/story.php.id.8795.s.8.jsp). Sowohl aus Sicht der Hersteller als auch aus Sicht der Kunden bietet NAC eine Reihe von Vorteilen und Möglichkeiten. Sie stellt aber auch eine Her­ ausforderung insbesondere an die Struktur und Organisation desjenigen Unternehmens, das eine entsprechende NAC Lösung einsetzen möchte. Definition von NAC Im Allgemeinen kann man NAC als eine benutzerfokussierte Technologie beschreiben, die ein genutztes Endgerät authorisiert und Zugriff auf Res­ sourcen gewährt auf der Basis der Authentisierung der Identität des ent­ sprechenden Benutzers (oder/und Geräts) sowie auf dem Status des Ge­ räts in Hinblick auf sicherheitsrelevante Parameter und Einstellungen - die Compliance mit entsprechenden Unternehmensvorgaben. Diese Parameter werden im so genannten Pre-Connect Assessment ermittelt, dass heißt vor Anschluss an die Infrastruktur. Es sollte aber auch dann im laufenden Betrieb eine Überprüfung erfolgen, welche dann als Post-Connect Assess­ ment bezeichnet wird. Teilweise wird auf den einen oder anderen Baustein im Rahmen einer Implementierung auch verzichtet – je nach Kundenan­ forderung. Ein Prozess zur Wiederherstellung der Compliance, der so ge­ nannten Remediation, ist hier ebenfalls enthalten. Die gilt für alle Endge­ räte und Nutzer am Netz, dass heißt eigene Mitarbeiter, Partner, Gäste, Kunden und sonstige Geräte wie Drucker, Videokameras, etc. NAC ist aber auch nicht das Allheilmittel gegen beliebige Sicherheitspro­ bleme. Insbesondere falsches Nutzerverhalten und Angriffe auf Applikati­ onsebene können mittels NAC kaum erkannt werden, es sei denn, man setzt intensiv auch Post-Connect Assessment Techniken ein. (http://media.godashboard.com/CMP/Excerpt_nwcanl06_nac.pdf) Enterasys Networks – Solution Guide 2008

×