PLNOG 17 - Maciej Flak - Cisco Cloud Networking - czyli kompletna infrastrukt...
PLNOG 8: Paweł Wachelka - 802.1X w praktyce
1. HUAWEI TECHNOLOGIES CO., LTD.
www.huawei.com
PLNOG 2012 Conference, 5-6 March 2012, Warsaw
Huawei Enterprise A Better Way
802.1X w praktyce
Paweł Wachelka
Product Manager
Enterprise Routing & Switching Solutions Department
Email: Pawel.Wachelka@huawei.com
2. HUAWEI TECHNOLOGIES CO., LTD. Page 2
Huawei Enterprise A Better Way
Click to add Title1 Wprowadzenie
Click to add Title2 Proces przepływu pakietów
Click to add Title3 Atrybuty
Click to add Title5 Jak przyśpieszyć proces uwierzytelniania
Click to add Title4 Metody uwierzytelniania
Click to add Title6 Zagrożenia
Click to add Title7 Huawei - TSM/DSM
Agenda
3. HUAWEI TECHNOLOGIES CO., LTD. Page 3
Huawei Enterprise A Better Way
Standard IEEE dla kontroli dostępu do sieci
PPP, 802.3, 802.5, 802.11
Określa sposób enkapsulacji EAP poprzez sieć LAN (EAPoL)
Dostarcza metody uwierzytelniania dla stacji roboczych
Czym jest 802.1X?
4. HUAWEI TECHNOLOGIES CO., LTD. Page 4
Huawei Enterprise A Better Way
Zalety
Otwarty standard
Przejrzystość
Bezpieczeństwo
Elastyczność
Uwierzytelnianie użytkownika i urządzenia
Ograniczenia
Zależne od suplikanta
Opóźnienia
Złożony proces implementacji w sieci LAN
Dlaczego stosować 802.1X i jakie są ograniczenia?
5. HUAWEI TECHNOLOGIES CO., LTD. Page 5
Huawei Enterprise A Better Way
Click to add Title1 Wprowadzenie
Click to add Title2 Proces przepływu pakietów
Click to add Title3 Atrybuty
Click to add Title5 Jak przyśpieszyć proces uwierzytelniania
Click to add Title4 Metody uwierzytelniania
Click to add Title6 Zagrożenia
Click to add Title7 Huawei - TSM/DSM
6. HUAWEI TECHNOLOGIES CO., LTD. Page 6
Huawei Enterprise A Better Way
Podstawowe komponenty
Suplikant
Urządzenie
uwierzytelniające
Serwer
uwierzytelniający
LAN
EAPoL
RADIUS
7. HUAWEI TECHNOLOGIES CO., LTD. Page 7
Huawei Enterprise A Better Way
Jak to działa?
Suplikant
Urządzenie
uwierzytelniające
Serwer
uwierzytelniający
EAPoL
RADIUS
DHCP
HTTP
FTP
x
x
x
LAN
9. HUAWEI TECHNOLOGIES CO., LTD. Page 9
Huawei Enterprise A Better Way
Click to add Title1 Wprowadzenie
Click to add Title2 Proces przepływu pakietów
Click to add Title3 Atrybuty
Click to add Title5 Jak przyśpieszyć proces uwierzytelniania
Click to add Title4 Metody uwierzytelniania
Click to add Title6 Zagrożenia
Click to add Title7 Huawei - TSM/DSM
11. HUAWEI TECHNOLOGIES CO., LTD. Page 11
Huawei Enterprise A Better Way
Przykładowe atrybuty (Attribute Value Pairs)
Access-Accept
AVP Type Nazwa Przykład
64 Tunnel-Type VLAN
65 Tunnel-Medium-Type IEEE-802
81 Tunnel-Private-Group-ID 101
12. HUAWEI TECHNOLOGIES CO., LTD. Page 12
Huawei Enterprise A Better Way
Przykładowe atrybuty (Attribute Value Pairs)
Accounting-Request
AVP Type Nazwa Przykład
40 Acct-Status-Type Start
44 Acct-Session-Id 00000999
1 User-name kowalski
87 NAS-Port-Id GigabitEthernet 0/0/1
8 Framed-IP-Address 10.12.14.123
30 Called-Station-Id 0025-9e80-2494
31 Calling-Station-Id 0025-9e70-2591
6 Service-Type Framed/Call-Check/Outbound
4 NAS-IP-Address 10.10.11.12
13. HUAWEI TECHNOLOGIES CO., LTD. Page 13
Huawei Enterprise A Better Way
Przykładowe atrybuty (Attribute Value Pairs)
Accounting-Request
AVP Type Nazwa Przykład
40 Acct-Status-Type Stop/Interim-Update
44 Acct-Session-Id 00000999
46 Acct-Session-Time 3024
42 Acct-Input-Octets 12567432
43 Acct-Output-Octets 24543654
47 Acct-Input-Packets 123654
48 Acct-Output-Packets 234786
49 Acct-Terminate-Cause User Request/Lost Carrier/Admin Reboot
14. HUAWEI TECHNOLOGIES CO., LTD. Page 14
Huawei Enterprise A Better Way
Click to add Title1 Wprowadzenie
Click to add Title5 Jak przyśpieszyć proces uwierzytelniania
Click to add Title2 Proces przepływu pakietów
Click to add Title4 Metody uwierzytelniania
Click to add Title3 Atrybuty
Click to add Title6 Zagrożenia
Click to add Title7 Huawei - TSM/DSM
15. HUAWEI TECHNOLOGIES CO., LTD. Page 15
Huawei Enterprise A Better Way
Metody uwierzytelniania
Challange-response
EAP-MD5
EAP-MSCHAPv2
Kryptograficzne
EAP-TLS
Tunelowe
EAP-PEAP
EAP-TTLS PPP 802.3 802.5 802.11
802.1X
EAP
MD5 TLS TTLS MS-CHAPv2PEAP
PAP
EAP
CHAP
CHAP
MS-CHAPv2
16. HUAWEI TECHNOLOGIES CO., LTD. Page 16
Huawei Enterprise A Better Way
Dodatkowe sposoby uwierzytelniania
MAC address authentication
MAC address bypass
WEB authentication
Guest VLAN
Critical VLAN
Voice VLAN
17. HUAWEI TECHNOLOGIES CO., LTD. Page 17
Huawei Enterprise A Better Way
Metody uwierzytelniania komputera
Single host authentication
Multiple host authentication
Multiple authentication
Multiple domain authentication
18. HUAWEI TECHNOLOGIES CO., LTD. Page 18
Huawei Enterprise A Better Way
Metody uwierzytelniania suplikanta
Uwierzytelnianie komputera
Uwierzytelnianie użytkownika
Uwierzytelnianie użytkownika lub komputera
Uwierzytelnianie gościa
19. HUAWEI TECHNOLOGIES CO., LTD. Page 19
Huawei Enterprise A Better Way
Procesy uruchamiające suplikanta
Systemy Windows Server 2003 i Windows XP:
Usługa konfiguracji zerowej sieci bezprzewodowej (WZCSVC)
Systemy Windows Server 2008 R2, Windows Server 2008, Windows 7 i Windows Vista:
Usługa autokonfiguracji sieci WLAN (Wlansvc)
Usługa automatycznej konfiguracji sieci przewodowej (dot3svc)
20. HUAWEI TECHNOLOGIES CO., LTD. Page 20
Huawei Enterprise A Better Way
Click to add Title1 Wprowadzenie
Click to add Title5 Jak przyśpieszyć proces uwierzytelniania
Click to add Title2 Proces przepływu pakietów
Click to add Title4 Metody uwierzytelniania
Click to add Title3 Atrybuty
Click to add Title6 Zagrożenia
Click to add Title7 Huawei - TSM/DSM
22. HUAWEI TECHNOLOGIES CO., LTD. Page 22
Huawei Enterprise A Better Way
MAC address authentication/bypass
Klient
00:01:02:AB:CD:EF
Urządzenie
uwierzytelniające
dot1x timer tx-period: 30s
dot1x retry: 2
Serwer uwierzytelniający
EAPoL RADIUS
1. EAP-Request/Identity
2. EAP-Request/Identity
3. EAP-Request/Identity
Link up
30 sec
30 sec
30 sec
4. EAPoL Timeout
5. Learn MAC 6.RADIUS Access-Request
(MAC address)
7.RADIUS Access-Accept
8. Port Enabled
x
x
x
23. HUAWEI TECHNOLOGIES CO., LTD. Page 23
Huawei Enterprise A Better Way
Guest VLAN
Klient
00:01:02:AB:CD:EF
Urządzenie
uwierzytelniające
dot1x timer tx-period: 30s
dot1x retry: 2
Serwer uwierzytelniający
EAPoL RADIUS
1. EAP-Request/Identity
2. EAP-Request/Identity
3. EAP-Request/Identity
Link up
30 sec
30 sec
30 sec
4. EAPoL Timeout
5. EAP-Success
Guest VLAN
enabled
x
x
x
24. HUAWEI TECHNOLOGIES CO., LTD. Page 24
Huawei Enterprise A Better Way
Critical VLAN
Suplikant
Urządzenie
uwierzytelniające
Serwer uwierzytelniający
EAPoL RADIUS
1. EAPoL - Start
2. EAP-Request/Identity
3. EAP-Response/Identity 4.RADIUS Access-Request/
(EAP-Response/Identity)
x
x
5. EAP-Success
Critical VLAN
enabled
25. HUAWEI TECHNOLOGIES CO., LTD. Page 25
Huawei Enterprise A Better Way
Click to add Title1 Wprowadzenie
Click to add Title5 Jak przyśpieszyć proces uwierzytelniania
Click to add Title2 Proces przepływu pakietów
Click to add Title4 Metody uwierzytelniania
Click to add Title3 Atrybuty
Click to add Title6 Zagrożenia
Click to add Title7 Huawei - TSM/DSM
26. HUAWEI TECHNOLOGIES CO., LTD. Page 26
Huawei Enterprise A Better Way
Mail Server
File Server
Web Server
According to Computer Security Institute (CSI) in San Francisco,
California, the USA, about 60% to 80% of network abuse
events come from the intranet.
Computer Economics lists 14 intranet security
threats that should not be neglected.
Dlaczego potrzebujemy czegoś więcej niż 802.1X
27. HUAWEI TECHNOLOGIES CO., LTD. Page 27
Huawei Enterprise A Better Way
Używanie komputera do celów
niezwiązanych z pracą
Za dużo akcji do monitorowania
Access to resources irrelevant to work
Niechciane procesy w sieci
Low network speed
Unauthorized access
Wynoszenie danych z firmy Nieprawidłowe zachowanie się
stacji roboczych
Intentional leakage
Unintentional leakage
Slow responding of the PC
Network or software anomalies
Frequent system breakdown
Online games
Abuse of network resources
Do things irrelevant to work at working
hours
Service interruption
Service anomaly
Dlaczego potrzebujemy czegoś więcej niż 802.1X
28. HUAWEI TECHNOLOGIES CO., LTD. Page 28
Huawei Enterprise A Better Way
Click to add Title1 Wprowadzenie
Click to add Title5 Jak przyśpieszyć proces uwierzytelniania
Click to add Title2 Proces przepływu pakietów
Click to add Title4 Metody uwierzytelniania
Click to add Title3 Atrybuty
Click to add Title6 Zagrożenia
Click to add Title7 Huawei - TSM/DSM
29. HUAWEI TECHNOLOGIES CO., LTD. Page 29
Huawei Enterprise A Better Way
策略
PDCA
Plan
DoCheck
Act
Policy
ID
authentication
Monitoring Audit
Compliance
check
Authorization
access
Recovery
Preventing unauthorized
users
Isolating and repairing untrusted users
Authorizing users' access range
Providing audit results of behavior
monitoring
repair
Visitors
On-site
employees
Remote
employees
External illegal
users
Sensitive information resources
General information resources
Core information resources
P: Customize a policy
D: Check/Repair C: Audit the result
A: Adjust a policy
TSM (Terminal Security Management) - Koncepcja
30. HUAWEI TECHNOLOGIES CO., LTD. Page 30
Huawei Enterprise A Better Way
Perfect NAC Technology
Host firewallSACG 802.1X
Enterprise network
Local access
Access of a remote office
Access of a partner
Access of a branch
SC
SM
Patch server
Core Network
Service server 2Service server 1
Post-authentication domain
Pre-authentication domain
Isolated domain
SACG1
SACG2
SA for internal employees (permanent) SA for guests and partners (dissolvable)
Internet
802.1X
Host firewall
SACG
Remote access
WEB authentication
TSM - Różne możliwości implementacji
31. HUAWEI TECHNOLOGIES CO., LTD. Page 31
Huawei Enterprise A Better Way
Compliance check One-key automatic repair
AV software
If the security check fails, network access is
forbidden.
Post-authentication domain
Post-authentication domain
If the security check succeeds, network
access is authorized.
Finance department
President office
Generates records about illegitimate
access
Strictly
Loosely
SM
Policy template for security check in the finance
department
Policy template for security check in the president
office
The most diversified security check policies in the industry;
terminals are forced to conform to them.
Tailored dynamic policy control based on roles
• Customizes different security rules for user roles or departments
• Supports the evolution of the security management systems of
enterprises. More extensive policies can be enabled gradually.
• Protects the investment value of security products such as AV.
• Reduces spreading of malicious code, improves the availability of resources,
and lowers the service interruption risks.
• Lowers the information leakage risks.
• Lowers the risks of terminals threatening the network
• Provides correct and real-time enterprise compliance information.
AV software
Patches and service packages
Suspicious registries and processes
Software blacklist and whitelist
Use of illegitimate ports
Enabling of insecure services
Illegitimate file sharing
Account security
…
Forced DHCP
Simultaneous use of multiple NICs
User access binding
Patches
TSM - Sprawdzanie zgodności z wymogami
bezpieczeństwa
32. HUAWEI TECHNOLOGIES CO., LTD. Page 32
Huawei Enterprise A Better Way
Distribute information to
external users
1. Information Protection
User secure files
Files rights information
upload
1
2. Security Approval
User action approved.
Keys and permissions
stored in the DS.
2
3. Distribution
Distribute files via the Internet,
email attachment, ftp
download etc.
3
4. Information Access
Recipient authenticates
Obtain keys and permissions temporarily
Keys are stored if authorized offline view
4
Authentication failed
Permissions cannot be downloaded
Prohibit external users
who are not authorized
to access the information
DSM Sever
DSM Client
DSM Recipient
External user
DSM (Document Security Management) - Koncepcja