PLNOG 8: Paweł Wachelka - 802.1X w praktyce

HUAWEI TECHNOLOGIES CO., LTD.
www.huawei.com
PLNOG 2012 Conference, 5-6 March 2012, Warsaw
Huawei Enterprise A Better Way
802.1X w praktyce
Paweł Wachelka
Product Manager
Enterprise Routing & Switching Solutions Department
Email: Pawel.Wachelka@huawei.com

HUAWEI TECHNOLOGIES CO., LTD. Page 2
Click to add Title1 Wprowadzenie
Click to add Title2 Proces przepływu pakietów
Click to add Title3 Atrybuty
Click to add Title5 Jak przyśpieszyć proces uwierzytelniania
Click to add Title4 Metody uwierzytelniania
Click to add Title6 Zagrożenia
Click to add Title7 Huawei - TSM/DSM
Agenda

Standard IEEE dla kontroli dostępu do sieci
PPP, 802.3, 802.5, 802.11
Określa sposób enkapsulacji EAP poprzez sieć LAN (EAPoL)
Dostarcza metody uwierzytelniania dla stacji roboczych
Czym jest 802.1X?

Zalety
Otwarty standard
Przejrzystość
Bezpieczeństwo
Elastyczność
Uwierzytelnianie użytkownika i urządzenia
Ograniczenia
Zależne od suplikanta
Opóźnienia
Złożony proces implementacji w sieci LAN
Dlaczego stosować 802.1X i jakie są ograniczenia?

Podstawowe komponenty
Suplikant
Urządzenie
uwierzytelniające
Serwer
uwierzytelniający
LAN
EAPoL
RADIUS

Jak to działa?
Suplikant
Urządzenie
uwierzytelniające
Serwer
uwierzytelniający
EAPoL
RADIUS
DHCP
HTTP
FTP
x
x
x
LAN

Wymiana pakietów
Suplikant
Urządzenie
uwierzytelniające
Serwer uwierzytelniający
EAPoL RADIUS
1. EAPoL - Start
2. EAP-Request/Identity
3. EAP-Response/Identity 4.RADIUS Access-Request/
(EAP-Response/Identity)
5.RADIUS Access-Challenge/
(EAP-Request/MD5-Challenge)
6. EAP-Recuest/MD5-Challenge
7.EAP-Response/MD5-Challenge
(challenged password) 8.RADIUS Access-Request/
(EAP-Response/MD5-Challenge)
10. EAP-Success
9.RADIUS Access-Accept/
(EAP-Success)
11. Radius Accounting-Request
(Start)
12. Radius Accounting-Response

Budowa pakietu RADIUS
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Code | Identifier | Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
| Authenticator |
| |
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Attributes ...
+-+-+-+-+-+-+-+-+-+-+-+-+-
Code:
1 for Access-Request.
2 for Access-Accept.
3 for Access-Reject.
4 for Accounting-Request.
5 for Accounting-Response.
11 for Access-Challenge.

Przykładowe atrybuty (Attribute Value Pairs)
Access-Accept
AVP Type Nazwa Przykład
64 Tunnel-Type VLAN
65 Tunnel-Medium-Type IEEE-802
81 Tunnel-Private-Group-ID 101

Accounting-Request
40 Acct-Status-Type Start
44 Acct-Session-Id 00000999
1 User-name kowalski
87 NAS-Port-Id GigabitEthernet 0/0/1
8 Framed-IP-Address 10.12.14.123
30 Called-Station-Id 0025-9e80-2494
31 Calling-Station-Id 0025-9e70-2591
6 Service-Type Framed/Call-Check/Outbound
4 NAS-IP-Address 10.10.11.12

Accounting-Request
40 Acct-Status-Type Stop/Interim-Update
44 Acct-Session-Id 00000999
46 Acct-Session-Time 3024
42 Acct-Input-Octets 12567432
43 Acct-Output-Octets 24543654
47 Acct-Input-Packets 123654
48 Acct-Output-Packets 234786
49 Acct-Terminate-Cause User Request/Lost Carrier/Admin Reboot

Metody uwierzytelniania
Challange-response
EAP-MD5
EAP-MSCHAPv2
Kryptograficzne
EAP-TLS
Tunelowe
EAP-PEAP
EAP-TTLS PPP 802.3 802.5 802.11
802.1X
EAP
MD5 TLS TTLS MS-CHAPv2PEAP
PAP
EAP
CHAP
CHAP
MS-CHAPv2

Dodatkowe sposoby uwierzytelniania
MAC address authentication
MAC address bypass
WEB authentication
Guest VLAN
Critical VLAN
Voice VLAN

Metody uwierzytelniania komputera
Single host authentication
Multiple host authentication
Multiple authentication
Multiple domain authentication

Metody uwierzytelniania suplikanta
Uwierzytelnianie komputera
Uwierzytelnianie użytkownika
Uwierzytelnianie użytkownika lub komputera
Uwierzytelnianie gościa

Procesy uruchamiające suplikanta
Systemy Windows Server 2003 i Windows XP:
Usługa konfiguracji zerowej sieci bezprzewodowej (WZCSVC)
Systemy Windows Server 2008 R2, Windows Server 2008, Windows 7 i Windows Vista:
Usługa autokonfiguracji sieci WLAN (Wlansvc)
Usługa automatycznej konfiguracji sieci przewodowej (dot3svc)

Czasy
client-timeout – 30s
tx-period – 30s
handshake-period – 60s
quiet-period – 60s
reauthenticate-period – 3600s
server-timeout – 30s

MAC address authentication/bypass
Klient
00:01:02:AB:CD:EF
Urządzenie
uwierzytelniające
dot1x timer tx-period: 30s
dot1x retry: 2
EAPoL RADIUS
Link up
30 sec
30 sec
30 sec
4. EAPoL Timeout
5. Learn MAC 6.RADIUS Access-Request
(MAC address)
7.RADIUS Access-Accept
8. Port Enabled
x
x
x

Guest VLAN
Klient
00:01:02:AB:CD:EF
Urządzenie
uwierzytelniające
dot1x timer tx-period: 30s
dot1x retry: 2
EAPoL RADIUS
Link up
30 sec
30 sec
30 sec
4. EAPoL Timeout
5. EAP-Success
Guest VLAN
enabled
x
x
x

Critical VLAN
Suplikant
Urządzenie
uwierzytelniające
EAPoL RADIUS
1. EAPoL - Start
3. EAP-Response/Identity 4.RADIUS Access-Request/
(EAP-Response/Identity)
x
x
5. EAP-Success
Critical VLAN
enabled

Mail Server
File Server
Web Server
According to Computer Security Institute (CSI) in San Francisco,
California, the USA, about 60% to 80% of network abuse
events come from the intranet.
Computer Economics lists 14 intranet security
threats that should not be neglected.
Dlaczego potrzebujemy czegoś więcej niż 802.1X

Używanie komputera do celów
niezwiązanych z pracą
Za dużo akcji do monitorowania
 Access to resources irrelevant to work
Niechciane procesy w sieci
 Low network speed
 Unauthorized access
Wynoszenie danych z firmy Nieprawidłowe zachowanie się
stacji roboczych
 Intentional leakage
 Unintentional leakage
 Slow responding of the PC
 Network or software anomalies
 Frequent system breakdown
Online games
 Abuse of network resources
 Do things irrelevant to work at working
hours
 Service interruption
 Service anomaly
Dlaczego potrzebujemy czegoś więcej niż 802.1X

策略
PDCA
Plan
DoCheck
Act
Policy
ID
authentication
Monitoring Audit
Compliance
check
Authorization
access
Recovery
Preventing unauthorized
users
Isolating and repairing untrusted users
Authorizing users' access range
Providing audit results of behavior
monitoring
repair
Visitors
On-site
employees
Remote
employees
External illegal
users
Sensitive information resources
General information resources
Core information resources
P: Customize a policy
D: Check/Repair C: Audit the result
A: Adjust a policy
TSM (Terminal Security Management) - Koncepcja

Perfect NAC Technology
Host firewallSACG 802.1X
Enterprise network
Local access
Access of a remote office
Access of a partner
Access of a branch
SC
SM
Patch server
Core Network
Service server 2Service server 1
Post-authentication domain
Pre-authentication domain
Isolated domain
SACG1
SACG2
SA for internal employees (permanent) SA for guests and partners (dissolvable)
Internet
802.1X
Host firewall
SACG
Remote access
WEB authentication
TSM - Różne możliwości implementacji

Compliance check One-key automatic repair
AV software
If the security check fails, network access is
forbidden.
If the security check succeeds, network
access is authorized.
Finance department
President office
Generates records about illegitimate
access
Strictly
Loosely
SM
Policy template for security check in the finance
department
Policy template for security check in the president
office
The most diversified security check policies in the industry;
terminals are forced to conform to them.
Tailored dynamic policy control based on roles
• Customizes different security rules for user roles or departments
• Supports the evolution of the security management systems of
enterprises. More extensive policies can be enabled gradually.
• Protects the investment value of security products such as AV.
• Reduces spreading of malicious code, improves the availability of resources,
and lowers the service interruption risks.
• Lowers the information leakage risks.
• Lowers the risks of terminals threatening the network
• Provides correct and real-time enterprise compliance information.
AV software
Patches and service packages
Suspicious registries and processes
Software blacklist and whitelist
Use of illegitimate ports
Enabling of insecure services
Illegitimate file sharing
Account security
…
Forced DHCP
Simultaneous use of multiple NICs
User access binding
Patches
TSM - Sprawdzanie zgodności z wymogami
bezpieczeństwa

Distribute information to
external users
1. Information Protection
User secure files
Files rights information
upload
1
2. Security Approval
 User action approved.
 Keys and permissions
stored in the DS.
2
3. Distribution
Distribute files via the Internet,
email attachment, ftp
download etc.
3
4. Information Access
Recipient authenticates
Obtain keys and permissions temporarily
 Keys are stored if authorized offline view
4
Authentication failed
Permissions cannot be downloaded
Prohibit external users
who are not authorized
to access the information
DSM Sever
DSM Client
DSM Recipient
External user
DSM (Document Security Management) - Koncepcja

PLNOG 8: Paweł Wachelka - 802.1X w praktyce

Recommended

Recommended

More Related Content

Similar to PLNOG 8: Paweł Wachelka - 802.1X w praktyce

Similar to PLNOG 8: Paweł Wachelka - 802.1X w praktyce (14)

PLNOG 8: Paweł Wachelka - 802.1X w praktyce