A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Serviços de Rede baseados em Identidade (IBNS) e Controle de Admissão à Rede (NAC) Italo Brito Systems Engineer ibrito@cisco.com CCIE #16321 Routing/Switching.

PublicouMarina Rodas Alterado mais de 10 anos atrás

Apresentações semelhantes

Apresentação em tema: "Serviços de Rede baseados em Identidade (IBNS) e Controle de Admissão à Rede (NAC) Italo Brito Systems Engineer ibrito@cisco.com CCIE #16321 Routing/Switching."— Transcrição da apresentação:

1 Serviços de Rede baseados em Identidade (IBNS) e Controle de Admissão à Rede (NAC)
Italo Brito Systems Engineer CCIE #16321 Routing/Switching

2 Agenda Introdução Operação do 802.1x
802.1x não se limita a autenticação Network Admission Control (NAC) Conclusão

3 Introdução

4 Identidade

5 Alguns conceitos importantes sobre Identidade
Você DEVE ter no mínimo a altura “H” para entrar H Arquitetura AAA – Autenticação, Autorização e “Accounting” O processo de autenticação é usado para verificar uma identidade alegada. Um sistema de autenticação é tão forte quanto o método de verificação utilizado. Uma identidade só é útil como um “ponteiro”para uma política aplicável ao usuário e para “accounting” dos serviços utilizados. Autorização é o conceito de associar diferentes serviços aos usuários após a autenticação destes. Se todos os usuários tiverem os mesmos direitos então não precisaremos de autorização.

6 Identidade em todas as camadas?
Windows Networking (SMB), Kerberos Aplicação SSL, TLS Sessão Gateways, X-Auth, Firewalls, Lock and Key Rede 802.1x Enlace Cadeados, Crachá RFID Física Camada Física— cadeados , crachá baseado em RFID Camada de Enlace — Arquitetura IEEE 802.1x Camada de Rede — “gateways”, “extended authentication” (x-auth), firewalls, método “lock and key” em roteadores Camada de Sessão —SSL, TLS Camada de Aplicação — Windows networking, Kerberos

7 Pausa para Reflexão : Por que ter Segurança já no nível 2 ?
APLICAÇÃO 7 Quando falamos em Segurança de Redes normalmente fazemos uma associação imediata com a Internet, o que, por sua vez, nos remete a “IP” e, conseqüentemente, à camada 3 do modelo OSI. APRESENTAÇÃO 6 SESSÃO 5 TRANSPORTE 4 REDE 3 Devemos lembrar, no entanto, que uma corrente é tão forte quanto o seu elo mais fraco. Pensando justamente no modelo OSI, fica fácil perceber que se conseguirmos comprometer a Segurança no nível 2, os outros níveis naturalmente serão afetados. ENLACE ! 2 FÍSICO 1

8 Verificação de Identidade
802.1x : Visão simplificada Verificação de Identidade Usuário autorizado Credenciais Válidas Rede Corporativa Switch X Acesso negado With 8021x, you can set up two different DHCP pools, you can assign address in 10 address to devices that can authenticate properly, and for a device that doesn’t offer the right credentials, you can assign them to a 192 address dynamically and use that IP address to determine who gets in the tunnel, and who does not; you have the ability to differentiate and allocate multiple DHCP pools When the teleworker starts up or connects the PC on the home LAN, the PC usually first requests its network identity (IP address) and other needed information from a DHCP server; for PCs enabled for 802.1X, the first request is an Extensible Authentication Protocol over LAN (EAPOL) request; when the VPN device (such as a Cisco 83x router) sees this request, it challenges the PC, which responds with the appropriate credentials (userid and password for example); the router checks with the AAA server across the VPN to authenticate the user’s credentials via RADIUS; if the teleworker logs in successfully, the PC is provided a network identity and other information via DHCP which allow access to the enterprise via the VPN; if a PC is not 802.1X capable, or the user does not log in successfully, the PC will be provided a network identity that only allows Internet access The following are VPN access control using 802.1X authentication feature advantages: User is prompted upon PC start up or plug-in to the LAN; web access to a protected site to initiate challenge is not required (as in Authentication Proxy) The IP phone can be automatically allowed through the VPN; CDP is used for IP phone discovery A separate address range for spouse-and-child PCs allows for standardized addressing and access control, and a smaller enterprise addressable subnet for each teleworker home The teleworker can still communicate with non-enterprise PCs, print servers, and the like, if permitted—allowing for sharing between all home workstations Multiple authentication types are supported, including two-way authentication and the use of certificates, as permitted in the 802.1X standard; EAP-MD5, PEAP, and EAP-TLS are among the supported authentication methods PCs with static IP addresses in the enterprise addressable subnet cannot access the VPN until 802.1X authentication occurs; this reduces rogue access Any wireless PC (teleworker, spouse, child, or rogue) by default cannot gain enterprise access; this reduces rogue access Credenciais Inválidas (ou Ausentes) Recursos Corporativos Usuário externo não autorizado * IBNS = Identity Based Networking Services = autenticação 802.1x + serviços adicionais sobre a plataforma 802.1x

9 O risco de não se ter Controle de Admissão
Chuck: “Estou usando uma versão sem “patch” do Windows Estou conectado via Gigabit Ethernet à Rede e minha máquina está carregada com o “worm de jour” (e este é bem interessante...) Boa sorte a todos !” Chuck: “Oi. Sou do departamento de Vendas.” “Oi.” Permitido Permitido unrestricted access identity vs posture Permitido Permitido Bob: “Oi. Sou um administrador.” Alice: “Oi.”

10 Network Admission Control – Visão Geral
Política de Admissão à Rede: Identidade Windows XP “Service Pack” 2 CTA 2.0 Anti-Vírus “Patch Management” Chuck: Departamento de vendas Windows 2000 Sem “Service Pack” Sem Anti-Vírus Sem “Patch Management” Quarentena Serviço de Diretório Serviço de Remediação network services with defined policy Servidores de Verificação de Status

11 Operação do Sistema IBNS + NAC
1. Quem é você ? 802.1x e servidor de controle de acesso autenticam o usuário. 2. Sua estação está adequada ? Usando Network Admission Control, a Rede e a máquina do usuário verificam se esta tem, por exemplo, a versão correta do AV e outras ferramentas de proteção. 3. Onde você pode ir? Baseado em autorização, o usuário é colocado na VLAN e grupo pertinentes. Que nível de serviço você vai receber ? O usuário pode ser colocado em uma VPN protegida por Firewall ou receber um determinado valor de QoS. 5. O que você está fazendo? Usando a identidade do usuário, podem-se gerenciar mais facilmente as funções de “accounting” e localização.

12 Operação do 802.1X

13 Extensible Authentication Protocol (EAP)
É um protocolo de transporte flexível usado para carregar informações arbitrárias de autenticação— o EAP não é o método de autenticação em si. O EAP provê um “framework” flexível para Segurança na camada de enlace Protocolo de encapsulamento simples Não depende do IP Poucos requisitos em relação à camada de Enlace Pode funcionar em qualquer camada de Enlace (PPP, 802, etc.) Pode funcionar em meios com perdas Originalmente especificado na RFC 2284, a qual se tornou obsoleta após a publicação da RFC 3748 Rose out of need to reduce complexity of relationships between systems and increasing need for more elaborate and secure authentication methods

14 O que o EAP faz ? Transporta informação de autenticação sob a forma de “payloads” EAP Estabelece e gerencia a conexão; encapsula vários tipos de mensagens de autenticação. Métodos EAP mais utilizados : EAP-TLS: usa certificados digitais x.509 v3 PKI e o mecanismo TLS para autenticação. (Certificados tanto no cliente como no servidor) PEAP: Protected EAP tunnel mode EAP encapsulator; promove “tunelamento” de outros métodos EAP em uma sessão TLS criptografada. EAP-FAST: projetado para não depender de certificados ; promove “tunelamento” de outros métodos EAP em uma sessão TLS criptografada. A switch or access point becomes a conduit for relaying EAP received in 802.1x packets to an authentication server by using RADIUS to carry EAP information EAP messages can be encapsulated in the packets of other protocols, such as 802.1x or RADIUS OTHER EAP TYPES Challenge-response-based EAP-MD5: uses MD5-based challenge-response for authentication LEAP: uses username/password authentication EAP-MSCHAPv2: uses username/password MSCHAPv2 challenge-response authentication EAP-GTC: generic token and OTP authentication EAP Payload EAP Payload RADIUS Servidor RADIUS 802.1x Header UDP cliente Ethernet Header IP Header Switch Conversação EAP Resultante

15 Formato do Frame EAPOL (EAP over LAN)
DST MAC SRC MAC Type Data FCS Protocol Version 1 Byte Packet Type Packet Length 2 Byte Packet Body N Byte Tipo de Pacote Descrição do Pacote EAP Packet (0) Enviado pelo Suplicante e pelo Switch. Contém informação MD5 ou TLS necessária para completar o processo de autenticação. EAPOL Start (1) Enviado pelo Suplicante no início do processo de autenticação EAPOL Logoff (2) Enviado pelo Suplicante para terminar a sessão 802.1x EAPOL Key (3) Enviado pelo Switch ao Suplicante (contém chave usada durante a autenticação TLS)

16 Como o RADIUS é usado ? RADIUS age como o transporte para o EAP, entre o autenticador (switch) e o servidor de autenticação (servidor RADIUS) RFC trata do suporte do RADIUS ao protocolo EAP entre autenticador e servidor de autenticação RADIUS também é usado para passar informações de política (autorização) ao autenticador, após a identificação do usuário, sob a forma de pares AV (“attribute-value pairs”) RFC 3580 – define forma de uso do protocolo RADIUS por parte dos autenticadores 802.1x RADIUS Header EAP Payload UDP Header IP Header IP Header UDP Header RADIUS Header EAP Payload AV Pairs

17 Terminologia IEEE Termos do IEEE Termos usuais Supplicant Client
Authenticator Network Access Device Authentication Server AAA/RADIUS Server * IBNS = Identity Based Networking Services = autenticação 802.1x + serviços adicionais sobre a plataforma 802.1x

18 Segurança Implícita do 802.1x
Para cada porta física habilitada para 802.1x, o switch cria dois canais virtuais de comunicação O canal controlado só é aberto após a autorização da porta via 802.1x Controlled Uncontrolled For each dot1x-enabled port, the switch will create two virtual ports through which traffic will flow; one port is for control traffic and the other is for data; by default, the port that carries the data is disabled; only the port for carrying the control (EAPOL) traffic is opened, but this will not carry data traffic if authentication has not been completed EAPOL EAPOL Switch Uncontrolled port provides a path for extensible authentication protocol over LAN (EAPOL) and CDP traffic only O canal não controlado provê o caminho para transporte exclusivo do protocolo EAPOL (EAP over LAN)

19 Entendendo o 802.1x Trocas de Mensagens EAP
A autenticação 802.1x é iniciada quando o link muda de “down” para “up”. Tanto o Switch como o Cliente (Supplicant) podem iniciar a autenticação. O protocolo EAP over LAN (EAPOL) transporta frames EAP entre o Suplicante e o Autenticador. O protocolo EAPOL é encapsulado em um Frame Ethernet conforme ilustração abaixo : O endereço MAC de destino é sempre C DST MAC SRC MAC TYPE DATA FCS Protocol version 1 byte Packet Type 1 byte Packet Length 2 byte Packet Body N byte

20 Modelo 802.1x para controle de acesso por porta
Authenticator LAN Switch WLAN Access Point Identity Store/Management Microsoft AD LDAP NDS ODBC L2 Access IP Network Request for Service (Connectivity) Backend Authentication Support Identity Store Integration Supplicant Desktop/laptop IP phone WLAN Access Point LAN Switch Authentication Server Microsoft IAS ACS (Access Control Server) Any IETF RADIUS server

21 Detalhamento dos fluxos 802.1x
802.1x, STP Port Unauthorized EAPOL-Start EAP-Identity-Request EAP-Identity-Response 802.1x

22 Detalhamento dos fluxos 802.1x
802.1x, STP Port Unauthorized EAPOL-Start EAP-Identity-Request EAP—Method Dependent EAP-Identity-Response EAP-Auth Exchange Auth Exchange w/AAA Server EAP-Success/Failure Authentication Successful/Rejected 802.1x RADIUS

23 Detalhamento dos fluxos 802.1x
802.1x, STP Port Unauthorized EAPOL-Start EAP-Identity-Request EAP—Method Dependent EAP-Identity-Response EAP-Auth Exchange Auth Exchange w/AAA Server EAP-Success/Failure Authentication Successful/Rejected Port Authorized Policy Instructions 802.1x RADIUS

24 Detalhamento dos fluxos 802.1x
802.1x, STP Port Unauthorized EAPOL-Start EAP-Identity-Request EAP—Method Dependent EAP-Identity-Response EAP-Auth Exchange Auth Exchange w/AAA Server EAP-Success/Failure Authentication Successful/Rejected Port Authorized Port Authorized Policy Instructions Port Unauthorized EAPOL-Logoff 802.1x RADIUS

25 Detalhamento dos fluxos 802.1x
802.1x, STP Port Unauthorized EAPOL-Start EAP-Identity-Request EAP—Method Dependent EAP-Identity-Response EAP-Auth Exchange Auth Exchange w/AAA Server Packet Type Packet Description EAP Packet (0) Both the Supplicant and the Authenticator Send this Packet. It’s Used During Authentication and Contains MD5 or TLS Information Required to Complete the Authentication Process EAPOL Start (1) Send by Supplicant When It Starts Authentication Process EAPOL Logoff (2) Send by Supplicant When It Wants to Terminate the 802.1x Session EAPOL Key (3) Send by Switch to the Supplicant and Contains a Key Used During TLS Authentication EAP-Success/Failure Authentication Successful/Rejected Port Authorized Policy Instructions Port Unauthorized EAPOL-Logoff Actual Authentication Conversation Is Between Client and Auth Server Using EAP; the Switch Is an EAP Conduit, but Aware of What’s Going on 802.1x RADIUS

26 802.1x não se limita a autenticação

27 RADIUS Accounting na arquitetura 802.1X
ATRIBUTO NOME OFICIAL SIGNIFICADO Attribute[1] User Name Nome do usuário Attribute[4] NAS IP Address IP do switch Attribute[5] NAS Port Porta do switch Attribute[8] Framed IP Address IP do usuário Attribute[25] Class Vinculação ao grupo Attribute[30] Called Station ID MAC da porta do switch Attribute[31] Calling Station ID MAC do usuário Attribute[40] Acct Status Type Start/stop Attribute[42] Acct Input Octets Bytes transmitidos Attribute[43] Acct Output Octets Bytes recebidos Attribute[44] Acct Session ID Identificador da sessão Attribute[61] NAS Port Type Tipo de porta do switch O switch envia uma mensagem de accounting do tipo “start” para o servidor RADIUS após a autenticação da sessão 802.1x O switch envia uma mensagem de accounting do tipo “stop” para o servidor RADIUS após o término da sessão 802.1x (mensagem EAP-Logoff do switch ou desconexão da porta física) Um pacote RADIUS-Accounting é transportado sobre a porta UDP 1813 e é seguido por um pacote “RADIUS-Accounting Response”, conforme definições das RFCs 2139 e 2866. As informações de sessão são carregadas via “RADIUS Attribute Value Pairs” Nota Importante : O Switch deve estar preparado para enviar os atributos de accounting ao servidor RADIUS.

28 802.1x Accounting : Auditoria e Localização (1)

29 802.1x Accounting : Auditoria e Localização (2)

30 802.1x com associação dinâmica de VLAN
Attribute Value Pairs Usados—conforme padrão IETF [64] Tunnel-type—“VLAN” (13) [65] Tunnel-medium-type—“802” (6) [81] Tunnel-private-group-ID—<VLAN name> Marketing = VLAN 10 Servidor RADIUS Engenharia = VLAN 20 Política de Autorização Grupo 1 VLAN 10 Grupo 2 VLAN 20 Associação de VLAN por grupo de usuários

31 802.1x com VLAN de visitante (“Guest VLAN”)
“Timeout” padrão é de 30 segundos e 3 tentativas; “Timeout” total é de 90 segundos (valor padrão) Um cliente é colocado na VLAN de visitante por não responder aos frames EAPOL-Identity-Request enviados pelo switch (que podem ser vistos como “hellos” 802.1x) Inexistência ou não habilitação do suplicante Não há comunicação com o servidor RADIUS (decisão sobre a VLAN de visitante é local ao switch) Estações aptas a falar 802.1x e que podem responder ao switch via EAPOL, por definição, não podem ser direcionadas para a VLAN de visitante Guest

32 Integração de 802.1x com “Wake on LAN”
Supplicant 802.1x Process 1 WoL Frame Transmitted 3 PC Sends Traffic 4 PC Must 802.1x Authenticate 2 PC Can Wakeup Tráfego de saída de uma porta (Rede ->> Cliente) é permitido Tráfego de entrada de uma porta continua sendo bloqueado enquanto o usuário não tiver sido autorizado. Sendo detectado tráfego na Rede, a porta volta para o estado normal e a estação tem que se autenticar.

33 802.1X : Reautenticação periódica
Portas que suportam 802.1x podem ser configuradas para exigir reautenticação periodicamente Switch LAN (suporta 802.1x) Switch LAN (suporta 802.1x) 12 12 Algumas máquinas foram autenticadas e estão utilizando a Rede Período de reautenticação expira e todos os clientes são forçados a se reautenticar. 9 3 9 3 6 6

34 802.1x : Desafios específicos de ambientes Microsoft

35 Processo de “boot”do Windows : visão geral
Pressupõe-se Conectividade à Rede Power Up Load NDIS Drivers DHCP Setup Secure Channel to DC Update GPOs Apply Computer GPOs Present GINA (Ctrl-Alt-Del) Login A espera pela autenticação de usuário via 802.1x contraria o pressuposto de conectividade da Microsoft

36 “Machine Authentication” no Windows
Suposição de conectividade à Rede Power Up Load NDIS drivers 802.1x Authenticate as Computer DHCP Setup Secure Channel to DC Update GPOs Apply Computer GPOs Present GINA (Ctrl-Alt-Del) Login Foi concebido para compatibilizar a plataforma 802.1x com as características de boot do Windows

37 “Machine Authentication” e 802.1x
Access-Accept Access-Accept EAP-TLS Authentication EAP-TLS Authentication Servidor RADIUS Computer Identity Computer Identity Identity Req. Switch Domain Controller Cliente Authenticate to Domain Controller Request Group Policy Updates Group Policy Updates “Machine Authentication” é suportada com EAP-TLS, PEAP-MSCHAPv2 e EAP-FAST

38 Machine Authentication e User Authentication
Boot da estação Interface física é ativada (não autenticada) Início da autenticação 802.1x Máquina envia sua credencial Certificado de Máquina no EAP-TLS Chave compartilhada Windows AD no PEAP-MS-CHAPv2 Prefixo de nome de máquina (host/) para machine authentication EAP-FAST Machine Authentication Se o usuário faz login na máquina, esta envia uma mensagem EAPOL-start para avisar o switch sobre a nova autenticação em andamento. Em seguida é feita a autenticação de usuário usando a credencial pertinente (de acordo com o método EAP utilizado) Please note, those are two independent authentications So an adminstrator can not prevent users from accessing the network with a unregistered machine The new ACS features allows to bring those two authentication in dependenc User Authentication Nota: Os dois processos de autenticação são, por definição, independentes.

39 802.1x e Machine Access Restriction
A proposta é criar um vínculo entre a autenticação de usuário e a autenticação de máquina (uma autenticação de usuário só pode ser aceita após uma autenticação de máquina correta) Possível para EAP-FAST, PEAP/MS-CHAPv2 e EAP-TLS A autenticação de máquina foi originalmente concebida para compatibilizar a plataforma 802.1x com as características de boot do Windows e não como um item de Segurança. Usando o conceito de Machine Access Restriction a autenticação de usuário só será aceita se o endereço MAC da estação usada pelo usuário, tiver sido usado previamente numa autenticação de máquina. Ganhou-se uma nova característica de Segurança !

40 Network Admission Control

41 Arquitetura NAC Framework
(Computadores Gerenciados e não Gerenciados) Rede Decisão e Remediação Servidor de Autenticação Servidor de Diretório LAN Servidor de Validação de Status Servidor de Auditoria WAN Subject vs. Enforcement vs. Decision LAN vs WAN vs Remote Servidor de Patching Servidor de Relatórios Remoto

42 NAC proporciona maior Segurança
Windows, Mac, Linux ? Laptop, Desktop, PDA ? Impressora ? Telefone IP ? ... ? Qual é o sistema? Empresa Empregado Terceirizado Visitante Desconhecido A quem ele pertence? VPN LAN WLAN WAN Qual é o meio de acesso? Anti-Virus, Anti-Spyware Personal Firewall Ferramentas de Patching Quais são os softwares instalados? Eles estão habilitados? Qual é a melhor maneira de verificar/corrigir? Pre-Configured Checks Customized Checks Self-Remediation or Auto-Remediation Third-Party Software

43 Identidade + Status da Máquina
Operação 802.1x e NAC Servidor RADIUS Cliente Switch L2 (802.1x) RADIUS Identidade + Status da Máquina Autenticação via 802.1x Um único túnel, múltiplas transações. Validação de Identidade Validação do “Status” (Verificação da adequação da Máquina aos requisitos mínimos da Política de Admissão à Rede) Aplicação de Políticas de Grupo (autorização)

44 Fluxo de Admissão NAC Máquina solicitando acesso à Rede
Network Access Devices (NADs) ServidorRADIUS Servidores de Políticas de Acesso/Admissão Identity 4a 1 Traffic Triggers Challenge Servidor de Diretório LDAP, OTP 3 Credentials Compliant? 5 Credentials 2 Posture 4b Posture Validation Server (PVS) EAP HCAP Walk through the NAC flow Point out CTA Audit server may or may not be required Step through the flow. Anti-Virus is an example but it could be any type of posture information. RADIUS Status 9 Notification 8 Enforcement 7 Authorization 6 Audit 4c Cisco Trust Agent (CTA) Servidor de Auditoria (AS) GAME: HTTPS Key: Opcional Obrigatório

45 Possíveis estados NAC (Status da Máquina)
Healthy — a estação está de acordo com as políticas; sem restrições no acesso à Rede Checkup — a estação está de acordo com as políticas, porém existe uma atualização disponível; usado para remediar uma estação para o status “healthy” de uma maneira pró-ativa Transition — a verificação do status da estação está em andamento; a estação tem um acesso temporário até que seja feita a verificação do completa da estação; utilizado quanto a estação está sendo inicializada e todos os serviços ainda não foram iniciados e/ou os resultados de auditoria ainda não estão disponíveis Quarantine — a estação não está adequada; o acesso é restrito a uma rede de quarentena para que a estação seja remediada; a estação não é considerada uma ameaça mas é vulnerável a um ataque conhecido ou uma infecção Infected — a estação é uma ameaça aos outros dispositivos de rede; o acesso à Rede deve ser limitado ou totalmente negado Unknown — a status da estação não pode ser determinado; a estação pode ser colocada em quarentena até que possa ser identificado seu o status Thomas

46 Método EAP-FAST “Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling” (EAP-FAST) é um método EAP baseado em TLS (RFC3748) O estabelecimento do túnel se baseia no “Protected Access Credential” (PAC) que pode ser aprovisionado e gerenciado dinamicamente pelo EAP-FAST através de um servidor AAA PAC é uma credencial única compartilhada para autenticar mutuamente o cliente e o servidor PAC é associado a um user-ID e um authority-ID específico Por enquanto é o único método que suporta 802.1x + NAC (Identidade + validação de Status simultaneamente) 2 – 3 times performance on WAPs PAC is a certificate signed by ACS Similar to IPSec

47 NAC-L2-802.1x: Identidade e Status
Key: [26/9/1] cisco-av-pair [27] Session-Timeout [29] Termination-Action [64] Tunnel-type [65] Tunnel-Medium-Type [81] Tunnel-Private-Group-ID NAC-L x: Identidade e Status ACSv4.0 .100 NAD VLAN 7 /24 Vendor Server .140 CTA 2.0 LITE Supplicant /24 VLAN100 int VLAN7=.254 .254 EAPo802.1x EAPOL-Start EAPoRADIUS EAP Identity-Request EAP Identity-Response RADIUS Access-Request EAP-Req. (EAPFAST) RADIUS / EAPFAST-Start [026/9/1] = Quarantine [27] = 30 [29] = RADIUS_Request (1) [64] = VLAN [65] = 802 [81] = quarantine Client + Server Hello/ cipher spec. Client + Server Hello/ cipher spec. EAP / ID Auth+PA Posture RADIUS / ID AUth+PA Posture EAP/ APT+SPT+UserNotif RADIUS / APT+SPT+UserNotif EAP-Success RADIUS Access-Accept w/ necessary attributes Port opens / Dynamic VLAN assignment Dynamic VLAN based on authorization restricts traffic to specific network segment

48 NAC-L2-802.1x: Processo de reautenticação
Reauth timer sets to “From AAA Server” ACSv4.0 .100 NAD CTA 2.0 Lite Supplicant DHCP (.100) VLAN 7 /24 Vendor Server .140 /24 VLAN100 int VLAN7=.254 .254 EAPo802.1x EAP-Success RADIUS Access-Accept w/ necessary attributes [26/9/1] Posture-Token=Quarantine [27] = 30 [29] = RADIUS_Request (1) [64] = VLAN [65] = 802 [81] = quarantine EAPoRADIUS Overwrite NAD Default Reauth Timer and reset Session Timeout = 30 802.1x Re-authentication 1. RADIUS Attribute [29] is not sent via Access-Accept or set to Default 802.1x SM initialized  Line Protocol down  EAPoL-start (AUTHENTICATED  DISCONNECTED  CONNECTING  AUTHENTICATING AUTHENTICATED) 2. RADIUS Attribute [29] is sent via Access-Accept and set to RADIUS-Request SM = AUTHENTICATED  CONNECTING  AUTHENTICATING  AUTHENTICATED

49 NAC-L2-802.1x: Quarentena (Atribuição Dinâmica de VLAN)
Reauth timer sets to “From AAA Server” ACSv4.0 .100 NAD CTA 2.0 Lite Supplicant DHCP (.100) VLAN 7 /24 Vendor Server .140 /24 VLAN100 int VLAN7=.254 .254 EAPo802.1x EAP-Success RADIUS Access-Accept w/ necessary attributes EAPoRADIUS [26/9/1] Posture-Token=Quarantine [27] = 30 [29] = RADIUS_Request (1) [64] = VLAN [65] = 802 [81] = quarantine If um nome de VLAN existe localmente no switch, then “overwrite” a VLAN da porta CatOS/IOS: show vlan VLAN Name Status Ports 1 default active Fa0/11 10 client active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10 11 quarantine active 12 temp active 13 Guests active 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup

50 Resultado da validação de Identidade e Status (1)
RADIUS Servidor de Diretório RADIUS Attribute Component: Users [26/9/1] = Healthy [27] = 28800 [29] = RADIUS_Request (1) [64] = VLAN [65] = 802 [81] = users Servidor de Antivírus Thomas Healthy Quarantine Unknown Users Contractors Guests Utilities

51 Resultado da validação de Identidade e Status (2)
RADIUS Servidor de Diretório RADIUS Attribute Component: Quarantine [26/9/1] = Quarantine [27] = 30 [29] = RADIUS_Request (1) [64] = VLAN [65] = 802 [81] = quarantine Servidor de Antivírus Thomas Healthy Quarantine Unknown Users Contractors Guests Utilities

52 Resultado da validação de Identidade e Status (3)
RADIUS Servidor de Diretório RADIUS Attribute Component: Guests [26/9/1] = Unknown [27] = 3600 [29] = RADIUS_Request (1) [64] = VLAN [65] = 802 [81] = guests Servidor de Antivírus Thomas Healthy Quarantine Unknown Users Contractors Guests Utilities

53 Elementos definidores de uma solução NAC
IDENTIFICAR DE FORMA SEGURA A ESTAÇÃO E O USUARIO GARANTIR UMA POLÍTICA CONSISTENTE QUARENTENA E REMEDIAÇÃO GERÊNCIA E CONFIGURAÇÃO O QUE SIGNIFICA… Identificar estações e usuários e criar associações entre eles Verifica e reforça uma única política consistente em toda a rede Atua com base nos resultados da verificação do status da estação, isolando e remediando para que ela venha a ser considerada adequada. Criação de políticas granulares para mapear rapidamente grupos de usuários às suas políticas SEM ISSO . . . Crítico para associar as estações e os usuários às suas respectivas políticas. Previne “device spoofing”. Um mecanismo de política descentralizada (ex: baseado na estação) pode levar a problemas de Segurança. Somente saber que uma estação não está adequada não é suficiente. Deve haver um responsável pela readequação . Políticas que são muito complexas ou muito difíceis de criar podem inviabilizar o projeto. Uma solução NAC completa deve ter todas as quatro características. A ausência de uma das quatro características limita significativamente a solução.

54 Cuidado com os “agentes inteligentes”...
Algumas implementações prometem “agentes inteligentes” O suposto “Agente Inteligente” se traduz em : Ponto Único de falha Propagação automática de worms: com um “agente inteligente”, um worm só precisa fazer uma coisa certa: SHUT DOWN AGENT = NO MORE NAC Numa implementação NAC o agente deve ser intencionalmente “burro” – verificar o que foi perguntado pelo ponto de acesso à Rede e gerar uma resposta pertinente. Quando o “Agente Inteligente” é Neutralizado, o NAC falha

55 Avaliando supostas implementações de NAC
Atende as características da definição de NAC? Suporte a Políticas? Agente Inteligente ou Burro? Aplicações (LAN,WAN, VPN,WLAN)? Perímetro ou Gateway?

56 Padronização do NAC A Cisco está participando do processo de padronização do NAC Os drafts EAP-FAST (NAC-L2) e EAPoUDP (NAC-L3) estão publicados no IETF Cisco participou na reunião “Network Endpoint Assessment” (NEA) realizado no IETF em 2006 Lista de discussão Mais informações :

57 Conclusão

58 Necessidade de Network Admission Control
Vírus, worms, spyware, etc., continuam a ser um grande desafio no dia-a-dia das Empresas.* Virus são só um sintoma do problema maior : aplicativos complexos com inúmeras falhas de Segurança. Ameaças novas (principalmente baseadas em worms) tornam as soluções puramente reativas muito pouco eficazes. Apesar de a maioria dos usuários serem autenticados, não se verifica a adequação dos computadores deles (laptops, PCs, PDAs, etc.) à Política de Segurança É comum haver servidores e estações não adequados à Política de Segurança. É difícil detectá-los e contê-los. Produtos pontuais de Segurança (sem visão de Sistema e Política) não são muito efetivos em manter a disponibilidade da Rede Localizar, isolar e fazer “patching” de sistemas inefctados consome tempo e recursos. “Endpoint systems are vulnerable and represent the most likely point of infection from which a virus or worm can spread rapidly and cause serious disruption and economic damage.” Burton Group *2005 FBI/CSI Report

59 Em que abordagem você confia ?
Segurança como uma opção Segurança como um aditivo Integração extremamente complicada Não é economicamente viável Não pode focar na principal prioridade Segurança como parte do sistema Segurança Embutida na Rede Colaboração inteligente entre os elementos Visão de sistemas Foco direto na principal prioridade Security is not an "add-on" nor an option it is part of the "intelligent information network DNA". Like security is built into cars these days, it is integrated to allow you to focus on what you have bought a car for and not on securing the car…. Imagine you would need to look for an airbag vendor, an ABS supplier and think how to integrate these components… Yes, that would be a nightmare and many unsecured cars would be driven on our streets hence putting at higher risk all drivers. We don't want to offer network nor security that way, it must be integrated and part of a comprehensive system! create explicit trust between the secured endpoints and the secured infrastructure build a systems-based infrastructure with pervasive security all throughout all network's layers to offer a less complex and more secure environment to optimize business apps and processes

60 Obrigado !!!

61 Q and A

62 Demos NAC DEMO 62

63 Backup Slides

64 The Lingering Effect of Non-Compliant Endpoints Example: “Blaster”
Number of Systems Infected by Blaster Fast spreading—128,000 systems infected in first three hours Worms linger on—need to put out ‘brush fires’ CERT data on Blaster—two plus weeks of damage Unique IP Addresses 140,000 120,000 100,000 80,000 60,000 40,000 20,000 Aug. 11th 127,965 Why care about the security posture of endpoint systems? This is an example of Blaster but we could substitute almost any worm, virus, trojan, etc. When Blaster first hit, there was a huge number of infections because so many organizations weren’t prepared. As word got out defining how to control and stop the infections and the number of new infections quickly dissipated. But, as the graphic shows, over the following days and weeks, companies were continually infected. The primary reason was because systems infected with the worm connected to the network and began a new cycle of infection. Could be from systems connecting to the internal LAN, connecting via wireless or VPN OR even guest users. 27 26 25 24 23 22 21 20 19 18 17 16 15 14 13 12 11 10 9 August 2003

65 NAC Benefits Dramatically Improves Security
Ensures endpoints (laptops, PCs, PDAs, servers, etc.) conform to security policy Proactively protects against worms, viruses, spyware, and malware Focuses operations on prevention, not reaction Extends Existing Investments Broad integration with multi-vendor antivirus, security, and management software Enhances investment in network infrastructure and vendor software Increases Enterprise Resilience Comprehensive admission control across all access methods (LAN, WAN, wireless, VPN, etc.) Prevents noncompliant and rogue endpoints from impacting network availability Reduces OpEx related to identifying and repairing non-compliant, rogue, and infected systems

Carregar ppt "Serviços de Rede baseados em Identidade (IBNS) e Controle de Admissão à Rede (NAC) Italo Brito Systems Engineer ibrito@cisco.com CCIE #16321 Routing/Switching."

Apresentações semelhantes

INFORMAÇÕES COMPLEMENTARES

INFORMAÇÕES COMPLEMENTARES
O Modelo de Jesus para Crescimento e Serviço

O Modelo de Jesus para Crescimento e Serviço
Microsoft® ISA Server 2006 Visão Geral

Microsoft® ISA Server 2006 Visão Geral
Vamos contar D U De 10 até 69 Professor Vaz Nunes 1999 (Ovar-Portugal). Nenhuns direitos reservados, excepto para fins comerciais. Por favor, não coloque.

Vamos contar D U De 10 até 69 Professor Vaz Nunes 1999 (Ovar-Portugal). Nenhuns direitos reservados, excepto para fins comerciais. Por favor, não coloque.
Operadores e Funções do LINGO

Operadores e Funções do LINGO
Exercício do Tangram Tangram é um quebra-cabeças chinês no qual, usando 7 peças deve-se construir formas geométricas.

Exercício do Tangram Tangram é um quebra-cabeças chinês no qual, usando 7 peças deve-se construir formas geométricas.
Curso Técnico de Informática

Curso Técnico de Informática
Curso de ADMINISTRAÇÃO

Curso de ADMINISTRAÇÃO
INTERNET MÓVEL O deslocamento dentro de uma área de abrangência pequena, restrita a uma única rede como, por exemplo, o campus de uma universidade, é chamado.

INTERNET MÓVEL O deslocamento dentro de uma área de abrangência pequena, restrita a uma única rede como, por exemplo, o campus de uma universidade, é chamado.
EXPRESSÕES ARITMÉTICAS

EXPRESSÕES ARITMÉTICAS
Interação Cliente Servidor

Interação Cliente Servidor
Endereçamento de hardware e identificação de quadros

Endereçamento de hardware e identificação de quadros
DNS Introdução.

DNS Introdução.
Simple Network Management Protocol (SNMP)

Simple Network Management Protocol (SNMP)
Aula 4 Nomes, Vinculações, Tipos e Escopos

Aula 4 Nomes, Vinculações, Tipos e Escopos
GERENCIAMENTO DE REDES

GERENCIAMENTO DE REDES
HellermannTyton Brasil Sistema de Gerenciamento Integrado HellermannTyton Brasil Sistema de Gerenciamento Integrado Alexandre Martins Consultor de Negócios.

HellermannTyton Brasil Sistema de Gerenciamento Integrado HellermannTyton Brasil Sistema de Gerenciamento Integrado Alexandre Martins Consultor de Negócios.
VPN (Virtual Private Network)‏

VPN (Virtual Private Network)‏
Visão Geral de Equipamentos de Rede

Visão Geral de Equipamentos de Rede
Classes e objetos Modelagem

Classes e objetos Modelagem

Apresentações semelhantes

Anúncios Google