Sichere Netzwerke mit NAC: Strategien, Technologien und Best Practices für die Netzzugangskontrolle

Bedrohungen im kabelbasierten LAN

• Für welche Inhalte steht die Abkürzung NAC?
• Warum sollte ich einen kabelgebundenen LAN-Zugang absichern?
• Welchen Gefährdungen ist das Netzwerk ausgesetzt ist, wenn jegliches Endgerät ungeprüft angebunden werden darf?
• Angriffsvarianten wie Spoofing, Man-in-the-Middle und Session Hijacking
• Risikominimierung durch NAC mittels Authentisierung und Autorisierung

Authentisierung: Ein Kurzüberblick über Techniken und Protokolle

• Grundlagen der Identitätsüberprüfung
• Passwortbasierte Authentisierung und ihre Grenzen
• Challenge-Response-Verfahren
• Schwache und starke Authentisierung
• Einfache oder gegenseitige Authentisierung

IEEE 802.1X

• Grundprinzip einer Netzzugangskontrolle
• IEEE 802.1X als der Standard zur Umsetzung von NAC
• Evolution und aktueller Stand von IEEE 802.1X
• Funktionsprinzip von IEEE 802.1X
• Komponenten, Schnittstellen, Protokolle und Funktionsweisen
• Das Extensible Authentication Protocol (EAP) als zentraler Baustein
• Erweiterungen und Grenzen von IEEE 802.1X

Authentisierungstechniken

• Funktionsweise von EAP
• Der Dschungel der EAP-Methoden
• Details zu den relevantesten EAP-Methoden
• Warum EAP-MD5 nur noch in Ausnahmefällen Verwendung finden sollte.
• Zertifikatsbasierte Authentisierung mit EAP-TLS – die Grundlagen
• Tunnelmethoden anhand von EAP-FAST und PEAP
• Maschinenauthentisierung und Benutzerauthentisierung: Einsatzszenarien und Fallstricke
• Starke Verknüpfung einer Maschinen- und Benutzerauthentisierung mittels T-EAP
• MAC-Address-Authentisierung im Detail beleuchtet

RADIUS – die Grundlagen

• Das Protokoll RADIUS im Überblick
• Grundlagenverständnis zu Funktionsweise und Aufbau von RADIUS
• Dynamik und Automatisierung durch dynamische VLAN-Zuweisung und/oder Access Control Lists (ACLs)
• Warum Diameter zwar alles besser macht als RADIUS, aber für NAC dennoch uninteressant ist.
• RADIUS-DTLS

Zertifikatsbasierte Authentisierung – EAP-TLS

• Detailbetrachtung von EAP-TLS
• TLS-Versionen und die Auswirkungen auf EAP-TLS
• Die Notwendigkeit und Rolle einer Public Key Infrastructure (PKI)
• Grundlagen zum Management von Zertifikaten für Endgeräte und NAC-Server
• Vor- und Nachteile von zertifikatsbasierter Authentisierung

Umsetzung Network Access Control

• Heterogene Client-Landschaften und deren Auswirkungen auf NAC
• Grundverständnis Zonierung / Segmentierung – Trennung von Nutzergruppen und mandantenfähige LANs mittels Autorisierung durch RADIUS
• Planung und Einführung von IEEE 802.1X, Vorgehensweise bei Umsetzung eines NAC-Projektes
• Projektbeispiele basierend auf unterschiedlichen NAC-Lösungen
• Alternativen zu IEEE802.1X – SNMP-basierte Netzzugangskontrolle mittels NAC-Appliances
• Die Evolution von NAC über den Standard IEEE 802.1X hinaus

Auswirkungen auf Endgeräte

• Anforderungskatalog – NAC-Tauglichkeit von Endgeräten
• Richtlinien für Endgerätenutzung
• Windows Supplicant im Detail
• Windows Supplicant Rollout – GPO vs Softwareverteilung
• Endgerätebetankung bei Verwendung von NAC – Wake-on-LAN und PXE-Boot
• Einschränkungen beim Einsatz von Virtualisierungslösungen in NAC-Umgebungen
• Kaskadierung von VoIP und Notebook / Desktop
• Anforderungen und Ist-Situation weiterer Endgeräte (z.B. Server, VoIP, Drucker und Multifunktionsgeräte, Desktop Switches, Access Points, etc.)

IEEE 802.1X Authenticator (Access Switches)

• Die wichtigsten Funktionen eines IEEE 802.1X-Authenticator (Access Switches)
• Authentisierungsreihenfolge, Default Policy, Host-Modi
• Timing
• Reauthentisierung
• Accounting
• RADIUS-failed Policy

IEEE-802.1AE – MACsec

• Funktionsweise von MACsec
• Integritätsprüfung und Abwehr von Spoofing-Angriffen
• Datenverschlüsselung zwischen Client und Switch
• Datenverschlüsselung zwischen 2 Switches zur Absicherung von Dark Fibre mittels MACsec
• Voraussetzungen und Limitierungen

NAC – Server

• Marktüberblick RADIUS-Server: Wie unterscheiden sich die Produkte?
• RADIUS-Server-Architekturen (Aufbau, Skalierung und Lizensierung)
• Loadbalancing von RADIUS
• RADIUS-Server-Konfiguration für NAC am Beispiel von FreeRADIUS, Microsoft NPS und Cisco ISE Aruba ClearPass sowie Extreme Control
• Directory Integration (LDAP und Active Directory)
• Monitoring der NAC-Lösung: Was muss der RADIUS-Server leisten und wie unterscheiden sich die Produkte?
• Welchen Mehrwert hat RADIUS-Accounting?

In diesem Seminar lernen Sie

• welchen Bedrohungen Ihr LAN durch den nicht regulierten Zugriff von Endgeräten und Fremdgeräten ausgesetzt ist,
• wie Sie Ihr Netzwerk durch Einführung einer Netzzugangskontrolle absichern,
• wie Sie Ihr Netzwerk dynamischer und effizienter gestalten,
• wie Sie Ihre Netzwerkzonen automatisiert zuweisen können,
• wie Sie Ihr Netzwerk an aktuelle Sicherheitsanforderungen (BSI / KRITIS / BAFIN / ISO 27001/ BASEL 2-3) anpassen,
• welche Möglichkeiten es zur Zugangskontrolle, zur Trennung von Benutzergruppen und zum Aufbau mandantenfähiger LANs gibt,
• die Konzepte kennen, die für eine portbasierte Zugangskontrolle zum LAN relevant sind,
• wie der Standard IEEE 802.1X arbeitet,
• welche Rolle EAP dabei spielt,
• welche Details bei einer zertifikatsbasierten Authentisierungsmethode (EAP-TLS) zu berücksichtigen sind,
• welche Rolle der RADIUS-Server dabei spielt,
• welche Vor- und Nachteile verschiedene RADIUS-Server haben,
• welche Unterschiede der etablierten Lösungen wie Aruba Clearpass, Cisco ISE, Extreme Control, FreeRadius zu berücksichtigen sind,
• wie die Herausforderungen durch verschiedene Endgeräte in Bezug auf NAC aussehen und wie man diese meistern kann,
• welche Funktionen ein Access Switch unterstützen sollte und wie die verschiedenen IEEE 802.1X–Funktionen sich gegenseitig beeinflussen,
• wie eine Infrastruktur für IEEE 802.1X in der Praxis umgesetzt werden kann und welche Probleme dabei gelöst werden müssen,
• wo aktuell die Limitierungen von IEEE 802.1X liegen, wie Sie diesen begegnen können und welche Rolle IEEE 802.1AE (MACsec) dabei spielt und
• wie weitergehende Dienste zur Prüfung der Endgeräte-Compliance verbunden mit einer entsprechenden Autorisierung realisiert werden können.

• Netzadministratoren 
• Verantwortliche für Netz- und IT-Sicherheit 
• Planer und Betreiber von Netz- und Security-Lösungen 
• Projektleiter für Netz und IT-Sicherheit 

Dieses Seminar richtet sich an Administratoren und Projektleiter aus den Bereichen LAN und Informationssicherheit. Grundkenntnisse in Netzwerken und TCP/IP sind erforderlich.