Resumo Apresentação : Orador

Transcrição

1

2 Resumo Apresentação : Orador Formador Sénior ( ) CCSI - Certified Cisco System Instructor CCNA Security, Voice, Wireless CCDA, CCDP, CCNP, CCIP, CCSP IPS, NAC, Firewall, Wireless Specialist Coordenador da equipa de formadores nas áreas de sistemas e redes, consultor na área de formação e participação no desenho de soluções Cisco (wireless e segurança).

3 Resumo Apresentação : Orador Protecção da Infra-estrutura nas Empresas: 802.1X e NAC

4 Segurança e o Negócio De que forma uma segurança sem limites pode ajudar na protecção do negócio? Identificação e resposta rápida às ameaças emergentes de worms, spam, vírus e comunicações indesejadas Conformidade com as regulamentações governamentais para a protecção dos dados Disponibilidade, fiabilidade e eficiência da infra-estrutura e serviços críticos

5 Mecanismos de protecção no L2 IP Source Guard DAI DHCP Snooping Port Security VACL e PVLAN

6 Port Security MAC AA-AA-AA-AA-AA-AA MAC BB-BB-BB-BB-BB-BB Gi0/1 Port Authorized Port Unauthorized Interface GigabitEthernet0/1 switchport mode access switchport access vlan <> switchport port-security switchport port-security maximum 1 switchport port-security violation shutdown switchport port-security mac-address sticky

7 Ameaças no L2 MAC Spoofing MAC ZZ-ZZ-ZZ-ZZ-ZZ-ZZ MAC YY-YY-YY-YY-YY-YY MAC XX-XX-XX-XX-XX-XX Gi0/1 Gi0/3 MAC AA-AA-AA-AA-AA-AA Gi0/2 Broadcast SRC: AA-AA-AA-AA-AA-AA DST: CC-CC-CC-CC-CC-CC DATA Broadcast MAC CC-CC-CC-CC-CC-CC

8 Ameaças no L2 MAC Spoofing MAC CC-CC-CC-CC-CC-CC Gi0/1 Gi0/3 Gi0/2 MAC AA-AA-AA-AA-AA-AA SRC: AA-AA-AA-AA-AA-AA DST: CC-CC-CC-CC-CC-CC DATA MAC CC-CC-CC-CC-CC-CC

9 Identidade identity Quem é o utilizador? Está autorizado? Qual é o seu cargo/função? NAC device security network security Existe algum AV? Está activado? MS está com as actualizações em dia? Existe Politica de Segurança? Os equipamentos sem PS estão de quarentena? Existem correcções?

10 Arquitectura IEEE 802.1X 802.1X Authenticator - Switch - Router - AP Identity Store - AD - LDAP - NDS - ODBC SSC L2 L3 EAPoL RADIUS Supplicant - Desktop - Laptop - IP Phone Authentication Server - IAS - ACS - IETF Radius Server

11 Configuração 802.1X 802.1X SSC Port Unauthorized aaa new-model aaa authentication dot1x default group radius aaa authorization network default group radius radius-server host radius-server key cisco dot1x system-auth-control interface GigabitEthernet0/1 authentication port-control auto

12 Segurança inicial do 802.1X Antes da Autenticação? interface GigabitEthernet0/1 authentication port-control auto

13 Segurança inicial do 802.1X Depois da Autenticação interface GigabitEthernet0/1 authentication port-control auto

14 Segurança inicial do 802.1X Dispositivos sem supplicant? Sem EAPoL = Acesso Negado interface GigabitEthernet0/1 authentication port-control auto

15 Segurança inicial do 802.1X Vários MAC na mesma porta? Security Violation VM interface GigabitEthernet0/1 authentication port-control auto

16 Implementação do 802.1X Clientes sem suporte 802.1X e Convidados? Método menos seguro MAC Authentication Bypass (MAB) (config-if)# mac-auth-bypass Web Authentication (config)# aaa authorization auth-proxy default group radius (config)# ip admission name WEBAUTH proxy http (config)# fallback profile WEBPROXY (config-fallback-profile)# ip admission WEBAUTH (config-if)# dot1x fallback WEBPROXY (config)# ip http server Acesso limitado após ausência de resposta Guest VLAN (config-if)# authentication event no-response action authorize vlan <> Acesso via rede sem fios

17 Implementação do 802.1X Implicações do 802.1X timeout? max-reauth-req (default = 2) tx-period (default = 30 segundos) 802.1X timeout == (max-reauth-req + 1) * tx-period 90 segundos > default MSFT DHCP timeout 90 segundos > default PXE timeout Insatisfação do Cliente Solução: Tunning ou NAC Profiler

18 Implementação do 802.1X Quando a autenticação falha? Certificado expirado Credencial errada Auth-Fail-VLAN SSC 802.1X RADIUS interface GigabitEthernet0/1 authentication port-control auto authentication event fail action authorize vlan <>

19 Implementação do 802.1X Flex-auth: Next-method SSC 802.1X RADIUS interface GigabitEthernet0/1 authentication port-control auto authentication order 802.1x mac-auth-bypass mac-auth-bypass authentication event fail action next-method

20 Implementação do 802.1X Se o servidor de Radius estiver indisponível? SSC 802.1X RADIUS dot1x critical eapol dot1x critical recovery delay 100 radius-server host x.x.x.x radius-server dead-criteria 15 tries 3 interface GigabitEthernet0/1 dot1x critical dot1x critical vlan <> dot1x recovery action reinitialize

21 Implementação do 802.1X Default 802.1X Flex-auth MAB 802.1X timeout MAB fails MAB 802.1X MAB fails 802.1X timeout Guest VLAN Guest VLAN

22 Considerações sobre o 802.1X IP Telephony Supplicant Cisco Secure Services Client (SSC) Microsoft Windows Boot PXE Wake On LAN (WOL)

23 Arquitectura do NAC Cisco Trust Agent NAD NAC Profiler Policy Servers NAC Server NAC Manager AD SSC Audit ACS (AAA) AV

24 Arquitectura do NAC Antivírus reconhecidos pela Cisco: McAfee Symantec Trend F-Secure Computer Associates IBM Para mais informações, consultar a lista completa em, (precisa de credenciais CCO)

25 NAC L X IBNS (Identity-Based Networking Services) ACS (AAA) AV SSC 802.1X Radius EAP-Fast Tunnel Posture Credentials VLAN

26 Soluções Cisco Evolução SAFE Self-Defending TrustSec Equipamentos Catalyst 2960-S, 3560-X, 3750-X Cisco ISR G2 3900E Cisco AnyConnect

27 Próxima Geração - Arquitectura TrustSec

28 Próxima Geração - Arquitectura TrustSec

29 Porto Tel: Fax: Lisboa Tel: Fax: