Bezpečný přístup v LAN IEEE 802.1X. Petr Hon

Podobné dokumenty
Autentizace uživatele připojeného přes 802.1X k přepínači Cisco Catalyst 2900/3550 pomocí služby RADIUS

Bezpečnost sítí

SPS Úvod Technologie Ethernetu

Autentizace, autorizace a accounting v prostředí IEEE 802.1X / RADIUS

Podpora a možnosti konfigurace VLAN GVRP a autentizace 802.1x na DSLAM Zyxel IES-1000

Dodávka nových switchů a jejich integrace do stávající IT infrastruktury inspektorátu SZPI v Praze

Úvod Bezpečnost v počítačových sítích Technologie Ethernetu

VLAN Membership Policy Server a protokol VQP Dynamické přiřazování do VLANů.

Brno. 30. května 2014

Z internetu do nemocnice bezpečně a snadno

Rychlý postup k nastavení VoIP gatewaye ASUS VP100

P-334U. Bezdrátový Wi-Fi router kompatibilní s normou a/g. Příručka k rychlé instalaci

Základy IOS, Přepínače: Spanning Tree

Hot Standby Router Protocol (zajištění vysoké spolehlivosti výchozí brány)

Možnosti Web-based autentizace na Cisco Catalyst 3560

1 Výchozí nastavení zařízení

Popis a ověření možností přepínacího modulu WIC- 4ESW pro směrovače Cisco

Autentizace na 3Com Switch 4200G pomocí IEEE standardu 802.1x s využitím RADIUS serveru Winradius 4.00

INTEGRACE IS DO STÁVAJÍCÍ HW A SW ARCHITEKTURY

software Manual Net Configuration Tool

Zřízení technologického centra ORP Dobruška

Zajištění rozvoje komunikační a systémové infrastruktury MPSV_I.

Č.j. MV /VZ-2014 V Praze 24. dubna 2015

Tabulka mandatorních požadavků stojanové rozvaděče pro servery s elektroinstalací Požadavek na funkcionalitu Minimální Odůvodnění

Jak funguje SH Síť. Ondřej Caletka

Bezpečnostní projekt Případová studie

Closed IPTV. Martin Jahoda Dedicated Micros. Copyright AD Group

SPARKLAN WX-7615A - návod k obsluze. Verze i4 Portfolio s.r.o.

... Default Gateway (Výchozí brána) DNS Address (DNS adresa) PPPoE User Name (Jméno uživatele) Password (Heslo) PPTP

Zabezpečení platformy SOA. Michal Opatřil Corinex Group

Rychlá instalační příručka TP-LINK TL-WR741ND

Konfigurace sítě s WLAN controllerem

Příloha č. 1 - položkový rozpočet

Semestrální práce do předmětu TPS (Technologie Počítačových Sítí).

Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy

a autentizovaná proxy

Ostrava. 16. dubna 2014

9. Sítě MS Windows. Distribuce Windows. Obchodní označení. Jednoduchý OS pro osobní počítače, pouze FAT, základní podpora peer to peer sítí,

Centralizace aplikací ve VZP

Technické aspekty zákona o kybernetické bezpečnosti

Technická specifikace předmětu zakázky

Vítáme Vás 1 COPYRIGHT 2011 ALCATEL-LUCENT. ALL RIGHTS RESERVED.

Hlas. Robert Elbl COPYRIGHT 2011 ALCATEL-LUCENT ENTERPRISE. ALL RIGHTS RESERVED.

Projekt VRF LITE. Jiří Otisk, Filip Frank

Město Litvínov se sídlem Městský úřad Litvínov, náměstí Míru 11, Litvínov odbor systémového řízení

Petr Vlk KPCS CZ. WUG Days října 2016

Instalační návod IP kamer

AleFIT MAB Keeper & Office Locator

Sítě IEEE (WiFi)

Server. Software serveru. Služby serveru

& GDPR & ŘÍZENÍ PŘÍSTUPU

Část l«rozbočovače, přepínače a přepínání

Skupina oborů: Elektrotechnika, telekomunikační a výpočetní technika (kód: 26)

Úloha sítě při zajištění kybernetické bezpečnosti

Katalog služeb a podmínky poskytování provozu

Mobilita a roaming v sítích národního výzkumu. Jan.Furman@CESNET.CZ

Průzkum a ověření možnosti ověřování DHCP klientů proti RADIUS serveru na platformě MikroTik

Příloha č.2 - Technická specifikace předmětu veřejné zakázky

Přední panel SP3364 SP3367

Počítačové sítě ZS 2005/2006 Návrh sítě zadání

DLNA- Průvodce instalací

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

Seminář pro správce univerzitních sí4

Název Popis Lhůta. dne Odmítnuté platby Zobrazení, tisk a export seznamu odmítnutých plateb. Informace připraveny k vyzvednutí z bankovního

SSL Secure Sockets Layer

3.6 Elektronizace odvětví: sociální služby, pojištění, dávky, sociálně- právní ochrana dětí

Použití internetového připojení v kamerovém systému. ADI-OLYMPO je obchodní značkou Honeywell, spol. s r.o. - Security Products o.z.

Detailní report nezávislého Network auditu pro FIRMA, s.r.o.

Správa přístupu PS3-1

Fiber To The Office. naturally connected. Nadčasová síťová infrastruktura pro moderní podnikové prostředí

Důvěřujte JEN PROVĚŘENÝM Personal Identity Verification

Open Source řešení pro Mission critical systémy. Software Defined Networks v praxi , Praha

OBSAH. Balení obsahuje: VYSVĚTLENÍ POJMŮ ZPROVOZNĚNÍ ZAŘÍZENÍ

Cisco IOS TCL skriptování využití SMTP knihovny

Koncept centrálního monitoringu a IP správy sítě

Příloha č. 6 smlouvy o dílo-požadavky na součinnost

Návod k obsluze CC&C WA-6212-V2

Michal Hroch Server Product Manager Microsoft Česká republika

NÁVOD KE SNADNÉ INSTALACI IP TELEFONU YEALINK W52P

Integrace formou virtualizace

NAS 323 NAS jako VPN Server

DEFEND LOCATOR FLEET MANAGER v1.8+

Specifikace předmětu zakázky

Image Base Deployment pomocí WDS. Ing. Bohuslav Frk

DOPLNĚK. Projekt Informační systém základních registrů je spolufinancován Evropskou unií z Evropského fondu pro regionální rozvoj.

Na síťovou infrastrukturu chytře

Tabulka mandatorních požadavk pro modulární p ístupový/agrega ní epína typ A (požadován 1 ks)

Bezpečná datová centra v praxi Josef Dvořák, ANECT a.s.

1. Aplikační architektura

ezkouška požadavky na IT

TECHNICKÉ PODMÍNKY. Článek 2. Podmínky pro službu MojeBanka, MojeBanka Business, MojePlatba,Expresní linka Plus a TF OnLine

Alcatel-Lucent VitalQIP DNS/DHCP & IP Management Software

Koncepce rozvoje ICT ve státní a veřejné správě. Koncepce rozvoje ICT ve státní a veřejné správě (materiál pro jednání tripartity)

Pravým tlačítkem na počítač /tento počítač/ a vybrat Spravovat

Ivo Němeček. Manager, Systems Engineering Cisco and/or its affiliates. All rights reserved. Cisco Public 1

Zakázka Vnitřní integrace úřadu v rámci PROJEKTU Rozvoj služeb egovernmentu ve správním obvodu ORP Rosice

Autentizace bezdrátových klientů jejich přiřazování do VLAN podle databáze FreeRADIUS

Advanced IT infrastructure control: do it better, safer, easier and cheaper. FlowMon ADS Moderní řešení detekce průniků a anomálií

Přepínaný Ethernet. Virtuální sítě.

Možnosti DHCP snoopingu, relayingu a podpora multicastingu na DSLAM Zyxel IES-1000

Transkript:

Bezpečný přístup v LAN IEEE 802.1X Petr Hon 1

Řízení přístupu do sítě pomocí prostředků 802.1X, vyuţití standardizovaných nástrojů s novými moţnostmi.jak postupovat a čemu se vyhnout, aby vznikla bezpečná a funkční síť? 2

Agenda Přehled technologie. Případová studie. Úskalí a doporučení. Závěr. 3

802.1X Přehled technologie Co je to 802.1X? Terminologie. Základy technologie 802.1X podklady pro architektonická rozhodnutí - část I. 4

802.1X Základní použité schéma 802.1X Supplicant SSC Layer 2 Autentikátor Layer 3 Autentikační Server AD EAP RADIUS Store- Dependent EAP over LAN (EAPoL) EAP over WLAN (EAPoW) 5

802.1X Terminologie IEEE 802.1X je standard vytvořený pracovní skupinou IEEE. Jedná se o framework navrţený pro zajištění autentizace zařízení přistupujících do sítě LAN resp. WLAN. Supplicat označení pro klienta, který zajišťuje autentizaci a bezpečnou komunikaci AAA: Autentizace - je proces ověření proklamované identity subjektu. Autorizace viz dále. Accounting sledování aktivity uţivatelů. 6

Proč je 802.1X důležitá v síti 1 Kdo jsi? 802.1X autentizuje uţivatele 2 Kam máš přístup? Na základě autentizace je uţivatel přiřazen do VLAN 3 Jakou máš úroveň přístupu? Uţivatel můţe být omezen pomocí ACL 4 Co jsi dělal? Uţivatelova identita můţe být pouţita pro tracking and accounting 7

Co je to autorizace? Autentizace je sloveso označující proces získávání souhlasu s provedením nějaké operace, povolení přístupu někam, k někomu nebo něčemu (nejen ve smyslu přístupu do konkrétních prostor nebo k nějaké osobě, ale také přístup k informacím, funkcím, programovým objektům a podobně). *zdroj Wikipedia I d Like to Withdraw 200.00 Please. Do You Have Identification? Yes, I Do. Here It Is. Thank You. Here are Your Euros. 8

802.1X Autorizace Autorizace co je povoleno v jednotlivých stavech. Pět stavů autorizace z pohledu průběhu autentizace: Pre-Authentication před autentizací Passed Authentication úspěšná autentizace Failed Authentication neúspěšná autentizace No Authentication (no client) ţádná autentizace, není k dispozici 802.1X klient No Authentication (AAA server dead) - ţádná autentizace, autentizační servery neposkytují sluţby. 9

Autorizace: Před autentizací. Default: Closed? Selectively Open Open switch(config-if)#authentication open switch(config-if)#ip access-group PRE-AUTH in switch(config-if)#authentication open 10

Autorizace: Úspěšná autentizace. Default: Open Alice Dynamic ACL Dynamic VLAN 11

Autorizace: Failed 802.1X Authentication. Default: Closed Priority, Methods Order Flex- Auth Timeout, Failed AAA Down? Next-method* Auth-Fail VLAN switch(config-if)#authentication event fail action next-method *Konečný výsledek autorizace je výsledkem poslední z dalších metod switch(config-if)#authentication event fail action authorize vlan 50 12

Autorizace: Není k dispozici 802.1X supplicant. Default: Closed Priority, Methods Order Flex- Auth Timeout, Failed AAA Down? Next-method* Guest VLAN switch(config-if)#mab *Výsledná autorizace je dána výsledkem další autentizační metody switch(config-if)#authentication event no-response action authorize vlan 51 13

802.1X EAP metoda EAP-MDP PEAP Autentizace jméno/heslo, uloţené na zařízení. Široce podporováno. Autentizace jméno/heslo z Windows. Obvykle vnitřní metoda autentizace MS-CHAPv2. EAP-TLS Nevyţaduje jméno/heslo, certifikát je nastaven tak, ţe je uloţen v počítači. Certifikát je nutné distribuovat a obnovovat. Nejbezpečnější metoda (pokud je zabezpečen certifikát v počítači). Další metody 14

802.1X Následné metody Poté co časovač 802.1X vyprší, port automaticky přejde na další metodu next-method, pokud je tato nakonfigurovaná. 802.1X & MAB 802.1X & Web Auth 802.1X, MAB, Web-Auth 802.1X 802.1X 802.1X 802.1X Timeout 802.1X Timeout 802.1X Timeout MAB Web-Auth MAB MAB fails Web Auth 15

Agenda Přehled technologie. Případová studie. Úskalí a doporučení. Závěr. 16

802.1X Definice prostředí Přehled prostředí: Zákazník - nadnárodní společnost. Síť tvořena jak LAN na centrále, tak L3 WAN síť propojující pobočky po celé ČR. Velmi malý tým realizující správu sítě, který je velmi vytíţen. Jedna z důleţitých motivací pro nasazení byly výsledky bezpečnostního auditu. Majoritní technologií jsou počítače PC s OS Windows XP a Windows 7. V síti je implementována IP telefonie Cisco a pouţit protokol DHCP. V síti je instalováno jedno ACS pro autentizaci přístupu na přepínač protokolem TACACS+. Autentizace pomocí MAC adresy je moţné pouţít tam, kde není k dispozici jiná, bezpečnější metoda. 17

802.1X Průběh projektu Průběh projektu Schůzka se zákazníkem - seznámení se s obchodními potřebami. Začíná proces transformace obchodních potřeb na technické řešení. Pouţitá metodika IBM Unified Method Framework. Definování user requirements, osvětlení dopadu jednotlivých rozhodnutí na implementaci a provoz. Konsolidace vstupů do projektu, dokumentace architektonických rozhodnutí, rizik a vytvoření návrhu řešení. Odsouhlasení a implementace. Pilotní provoz a podpora provozu. Následná podpora. 18

802.1X Požadavky na řešení Poţadavky na řešení co je poţadováno Základním poţadavkem bylo umoţnit přístup do sítě jen vlastním zařízením. Umoţnit vzdálenou správu před i po přihlášení uţivatele. Umoţnit funkci WoL. Minimální poţadavky na administraci. Nezměněná (nebo jen minimálně) dostupnost sluţeb po implementaci. Transparentní pro uţivatele. Bezpečný způsob s minimem nároků na investice. Pro vybrané porty v zasedacích místnostech je nutné hostům umoţnit připojení do Internetu. 19

802.1X Požadavky na řešení Poţadavky na řešení co není poţadováno a ani nebude. V síti se neuvaţuje o nasazení PXE boot. Není poţadována funkcionalita validace klienta před přístupem do sítě. Není poţadováno rychlé nasazení. Členění uţivatelů do skupin pro rozdílný přístup. Více neţ jeden počítač a jeden telefon na port. Nebude pouţita virtualizace mimo serverovny. 20

802.1X Alternativy Zvaţované moţnosti Pouţití VACL x bez ACL. Pouţití certifikátu x jméno heslo. Dynamické nastavování VLAN x statické v konfiguraci. MultiDomain x Multihost mod. MAB x portsecurity. Implementace velký třesk x po patrech budovy a skupinách poboček... 21

802.1X Případová studie Architektonická rozhodnutí I IEEE 802.1X nebude implementována v serverovnách. Není potřeba, v těchto prostorech je fyzicky omezený přístup. PC s Windows XP SP3 a Windows 7 budou autentizovány pomocí 802.1X, ostatní pomocí MAB. Autentizace PC certifikátem reflektuje poţadavek na transparentnost pro uţivatele, poţadavek na vzdálenou správu před přihlášením a minimální nároky na údrţbu pomocí Windows GP. Nasazeni postupné nasazení podle podlaţí v centrále resp. skupině poboček. Mezi jednotlivými kroky je ponechán týden na otestování. Pouţití defaultního High Security modu uţ při prvotní implementaci. 22

802.1X Případová studie Architektonická rozhodnutí II Bude pouţit nativní supplicant Windows XP a Windows 7. Zákazník preferuje nastavit konfiguraci pomocí prostředků Windows (Group Policy) pro 802.1X pomocí EAP-TLS. Pro WoL bude nastaven Unidirectional Controlled Port. ACS musí být s ohledem na kritičnost sluţby redundantní a musí být konfigurována critical VLAN a critical voice VLAN Reflektuje poţadavek na nesníţenou dostupnost. (authentication event server dead action authorize, authentication event server dead action authorize voice verze IOS 15.x) Nebude nasazen ACL - není třeba členit uţivatele do skupin a nebude pouţíván PXE boot. 23

802.1X Případová studie Architektonická rozhodnutí III Bude pouţit MDA pro telefony a PC. Tento poţadavek reflektuje doporučenou architekturu. Telefony budou autentizovány pomocí MAB, která bude jako druhá autentizační metoda. Pro sledování portu za telefonem bude pouţit CDPv2 24

Požadavek na jednu MAC adresu na port IP Telefon Multi-Domain Authentication (MDA) Host Mode IEEE 802.1X Jedno zařízení na port MDA Jedno zařízení v doméně na port Data Domain Voice Domain MDA nahradilo CDP Bypass Podpora pro Cisco & 3 rd Party telefony Telefony a PCs pouţívají 802.1X or MAB interface fastethernet 3/48 dot1x pae authenticator authentication port-control auto authentication host-mode multi-domain 25

MDA s MAC Authentication Bypass (MAB) 00.18.ba.c7.bc.ee Layer 2 Point-to-Point Layer 3 Link No Response No Response No Response EAP-Identity-Request EAP-Identity-Request EAP-Identity-Request Fallback to MAB Link up 0:00 0:01 0:05 0:10 0:20 0:30 0:00 0:01 0:05 0:10 0:20 0:30 0:00 0:01 0:05 0:10 0:20 0:30 Timeout Timeout Timeout Learn MAC Výhody Voice VLAN Enabled RADIUS-Access Request: 00.18.ba.c7.bc.ee RADIUS-Access Accept device-traffic-class=voice Voice VSA Při implementaci nutno zvážit Nepotřebuje klienta, není třeba dodávat autentizační údaje. Funguje pro všechny Cisco modely telefonů. Nefunguje bez AAA serveru. Je třeba vytvořit a udrţovat MAC databázi telefonů. Defaultní 802.1X timeout je 90 sekund. 26

MODE MODE SYST SYST RPS MASTR STAT DUPLX SPEED STACK RPS MASTR STAT DUPLX SPEED STACK 1X 2X 1X 2X 1 2 3 4 5 6 7 8 9 10 1 2 3 4 5 6 7 8 9 10 MODE SYST RPS MASTR STAT DUPLX SPEED STACK 1X 2X 11 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 15X 16X 17X 18X 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 1 2 3 4 5 6 7 8 9 10 15X 16X 17X 18X 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 15X 16X 17X 18X 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 27 31X 32X 31X 32X 33X 34X 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 33X 34X 43 44 45 46 47 48 43 47X 48X 44 45 46 47 48 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 31X 32X 33X 34X 47X 48X 43 44 45 46 47 48 Catalyst 3750 SERIES 47X 48X 1 3 2 4 Catalyst 3750 SERIES 1 3 2 4 Catalyst 3750 SERIES 1 3 2 4 SSC Proxy EAPoL-Logoff Session Cleared Proxy EAPoL-Logoff Funkční pouze pro 802.1X koncové zařízení Vyţaduje telefon s funkcionalitou Logoff-capable Inactivity Timer Session Cleared Inactivity Timer Konfigurace na přepínači Funkční pro MAB Zranitelné během timeout periody Moţnost nechtěného odpojení zařízení negenerující provoz CDP Link Down Session Cleared CDP 2 nd Port Status Funkční pro všechna řešení jak 802.1X, MAB, Web-Auth. Bez nutnosti konfigurace Kombinace telefon + přepínač Cisco on Cisco Value! 27

802.1X Případová studie Architektonická rozhodnutí IV V síti se uţ nebude pouţívat portsecurity, bude jednotně pouţíván MAB. VLAN nebude přiřazována z ACS. Reflektuje jak poţadavek na jednoduchou správu, tak omezuje problémy v případě výpadku ACS. Reflektuje omezení u XP (race conditions). Guest VLAN bude konfigurována jen na portech v zasedací místnosti provoz bude omezen ACL na centrálním přepínači pro guest VLAN na DHCP, DNS a proxy. 28

Non-802.1X Client Guest VLAN Client X EAP-Identity-Request D = 01.80.c2.00.00.03 1Upon link up X EAP-Identity-Request D = 01.80.c2.00.00.03 2 30-seconds EAP-Identity-Request X 3 30-seconds D = 01.80.c2.00.00.03 EAP-Success D = 01.80.c2.00.00.03 4 30-seconds Port Deployed into VLAN 51 802.1X Process interface GigabitE 3/13 authentication port-control auto authentication event no-response action authorize vlan 51 Jakýkoliv 802.1X-enabled switchport pošle EAPOL-Identity-Request rámec nezávisle na tom, zda zařízení má/nemá supplicant. Zařízení je přiřazeno do guest VLAN na základě absence odpovědí na EAP- Request-Identity rámce. Ţádná další akce není provedena. Je to obdobné, jako by administrátor vypnul 802.1X a přiřadil port do VLAN. 29

Agenda Přehled technologie. Případová studie. Úskalí a doporučení. Závěr. 30

802.1X Úskalí a doporučení Definujte všechny případy, kdy bude pouţita autentizace (certifikát, jméno heslo), na začátku projektu. Definujte kategorii ostatní, kterou autentizujeme pomocí MAB a definujte, ţe tento způsob autentizace je přijatelný s ohledem na bezpečnostní politiku. Udělejte o tom zápis. Dohodněte se na začátku jak bude probíhat konfigurace pracovních stanic, čí je to zodpovědnost a jak ji realizujete, jaké SW vybavení je pro tento účel k dispozici. Minimalizujte, pokud je to moţné, varianty OS. Čím méně, tím snazší troubleshooting. Nejvíce problémů je pramení z OS stanic, nikoliv z infrastruktury. 31

802.1X Úskalí a doporučení Pro první konfiguraci si vyţádejte čistou stanici. Minimalizovat, pokud je to moţné, varianty OS. Čím méně, tím snazší troubleshooting. Určité procento autentizací skončí u nativního klienta neúspěchem. Nasazení 802.1X na OS niţší neţ Windows XP SP3 je nutno velmi důkladně diskutovat. Je lépe se tomu vyhnout. Windows XP obsahují chybu, která způsobuje, ţe po neúspěšné autentizaci ji znovu zkusí aţ za defaultních 20 minut. Je třeba instalovat opravný balíček a změnit hodnotu v registru. U Windows 7 uţ je třeba jen nastavit potřebný parametr. 32

Agenda Přehled technologie. Případová studie. Úskalí a doporučení. Závěr. 33

802.1X Závěr Síť je v současnosti chráněná 802.1X, za dobu běhu nedošlo vlivem této technologie ke významnému výpadku. Úspěšná implementace otevírá moţnosti pro nasazení pokročilejších technologií např. ISE. 34

802.1X Diskuze Kontakt: petrhon@cz.ibm.com 35

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář