Master Thesis - Berner Fachhochschule

Сomentários

Transcrição

Master Thesis - Berner Fachhochschule
Master Thesis
Version 1.0
Master Thesis
Der Master Thesis Nr. 06-02.02
Klasse.Nr: MAS-06-02
Proof of Concept mit ForeScout CounterACT
C
O
S
E
un
g
S
C
Ei
fü
S
B U
O
R
C
T
I
O
E N
S
N
T
n
me
I
D
A N
R I
h
na
ss
Ma
T
E
O
e
tiv
ak
W
T
E
o
Pr
C
hr
un
vo g u
n nd
R
ic Du
ht r
lin ch
ie se
n tz
K
R
C
C
A
R
O
L
S
ng
tig
u
B
es
ei
&
n
ea
kt
io
R
g
e
oll run
ntr ie
ko alis
iffs ok
gr & l
Zu ng
u
nn
ke
Er
Diplomand
Betreuer
Experte
Ali Ajil
Rolf Lanz
Gerhard Hassenstein
Software-Schule Schweiz
Berner Fachhochschule
Nelkenweg 6
Wankdorffeldstr 102
Morgartenstrasse 2c
4665 Oftringen
CH-3014 Bern
CH-3014 Bern
Tel: 079 341 18 26
Tel.: 031 84 83 273
Tel.: 031 848 32 28
Autor des Dokuments
Ali Ajil
Dateiname
Master-Thesis-1.0.doc
Erstellt am
Seitenanzahl
93
© 2008 Ali Ajil Berner Fachhochschule
30.12.2008
Master-Thesis-1.0.doc
Historie der Dokumentversionen
Version
Datum
Autor
Änderungsgrund / Bemerkungen
0.1
30.12.2008
Ali Ajil
Ersterstellung
0.2
3.01.2009
Ali Ajil
Ergänzungen
0.3
9.01.2009
Ali Ajil
Ergänzungen
0.4
15.1.2009
Ali Ajil
Ergänzungen
0.5
18.1.2009
Ali Ajil
Ergänzungen
0.6
21.1.2009
Ali Ajil
Ergänzungen
0.7
29.1.2009
Ali Ajil
Ergänzungen
0.8
05.2.2009
Ali Ajil
Ergänzungen
0.9
12.2.2009
Ali Ajil
Ergänzungen
1.0
17.2.2009
Ali Ajil
Korrekturen
Seite 2 von 93
Master-Thesis-1.0.doc
Kurzzusammenfassung
Network Access Control ist heute eines der Top 3 Themen im Netzwerkumfeld; besonders für eine
Hochschule, wo die meisten Endgeräte nicht unter der Kontrolle der IT Verantwortlichen stehen. Die
Projektstudie behandelt das Thema „Network Access Control“, prüft die Funktionen des Produkts CounterACT der Firma ForeScout, wertet die gesammelten Daten aus und gibt Empfehlungen bezüglich des
Einsatzes des Produkts im Netzwerk der BFH und KMU Firmen ab.
Abstract
Network Access Control is today on of top 3 Subjects in the Network field. Specially for Universities,
where the most part of devices connecting to the Network are not managed. The proof of Concept
deals with the Subject „NETWORK ACCESS CONTROL, examines the functions of the Product CounterACT from ForeScout, evaluates the collected data and delivers recommendations concerning the employment of the product in the network of the BFH and Mid-sized companies..
Seite 3 von 93
Master-Thesis-1.0.doc
Management Summary (DE)
Die rapide Entwicklung der Informationstechnologie hat das Design der Netzwerke deutlich beeinflusst.
Die IT-Welt richtet sich immer mehr nach der Mobilität aus, sodass letztes Jahr die Anzahl der in einem
Unternehmen verwendeten mobilen Geräte diejenige der festen überstieg.
Das Streben nach Mobilität erfüllt durchaus seinen Zweck: Die Produktivität der Mitarbeiter steigt, da
diese – dank den Möglichkeiten der High-Speed-Verbindungen – ihre Arbeit beinahe überall erledigen
können.
Dieser positive Aspekt hat das Perimeter-Konzept des Firewalling grundlegend verändert, da die Grenzen zwischen den Netzwerkzonen zugunsten der Mobilität an Bedeutung und Erkennbarkeit verlieren.
Während in der Geschäftswelt neben den Mitarbeitern auch Gäste und Partner Zugang zum Internet
oder zu ihrem Heimnetzwerk haben müssen, sind es in einer Universität die Studenten, die den Zugriff
auf bestimmte Ressourcen brauchen.
Durch ihre Mobilität laufen diese Geräte jedoch Gefahr, infiziert zu werden, da sie Verbindungen zu
Netzwerken mit unterschiedlichen Sicherheitsrichtlinien herstellen. Im Fall der Studenten werden oft
persönliche Endgeräte verwendet, die bezüglich ihrer Sicherheit mit grosser Wahrscheinlichkeit nicht
up-to-date sind oder unauthorisierte Anwendungen installiert haben, welche den Netzwerkressourcen
und der –infrastruktur schaden könnten, indem sie einen Netzwerkausfall oder Datenverluste verursachen. Gewährt also ein Unternehmen oder eine Universität solchen Geräten Zugriff auf ihr Netzwerk,
geht es bzw. sie ein grosses Risiko ein.
Möchte ein Unternehmen trotz all der Risiken von den Vorteilen der Mobilität profitieren und den Arbeitnehmern Zugang zum Netzwerk bieten, muss es entsprechende Methoden implementieren, um sich
abzusichern. Methoden, die nur authorisierten und konformen Endgeräten erlauben, auf das Netzwerk
zuzugreifen und damit zu operieren.
Diese Methoden sind Teil der Network Access Control (NAC).
Die Ziele dieser Studie sind es:
•
die vorhandenen NAC-Lösungen zu untersuchen
•
eine dieser Lösungen – „CounterACT von Forescout“ – zu analysieren und zu prüfen, dass sie
sich für eine Implementierung in der BFH oder in einem beliebigen KMU eignet
•
„CounterACT“ mit der Lösung „Secure Networks™” von Enterasys zu vergleichen
•
Empfehlungen darüber zu machen, wie das NAC-System in das Netzwerk der BFH am Besten
installiert werden kann
Methodik
Zu Beginn des Projekts wurden Informationen über die verfügbaren NAC - Konzepte und –Lösungen
gesammelt, wobei auf die Lösung von ForeScout fokussiert wurde.
Danach wurde ein 3-phasiger Testprozess gestartet. In der ersten Phase wurden Erfahrungen über das
Setup und die Funktionen der CounterACT gesammelt und beurteilt. Daraus konnten entsprechende
Lehren gezogen und Verbesserungen vorgenommen werden, die in den folgenden Phasen eingesetzt
wurden.
Die zweite Phase bestand daraus, die Lösung in einer geschlossenen Testumgebung zu installieren und
Testrichtlinien zu entwerfen und entwickeln, die in der letzten Phase zum Einsatz kommen würden.
In der letzten Phase wurde die Lösung im produktiven Netzwerk der BFH installiert und dazu konfiguriert, im „Monitoring Mode“ zu arbeiten, um das Verhalten der Benutzer und Endgeräte kennenzulernen.
Seite 4 von 93
Master-Thesis-1.0.doc
Nach einer Woche wurde die Lösung in den Normalmodus umkonfiguriert, jedoch wurde ihre Aktivität
auf ein Subnetz beschränkt, um Störungen im produktiven Netzwerk zu vermeiden.
Zum Schluss wurden die entworfenen Richtlinien in einem Test-Subnetz getestet.
Nach der Auswertung der „CounterACT“ wurde, basierend auf spezifischen Kriterien, ein theoretischer
Vergleich mit der Lösung von Enterasys (Secure Networks™) durchgeführt.
Resultate
Es gibt viele Hersteller, die behaupten, sie hätten die beste NAC-Lösung, die in jeder Umgebung implementiert werden und Netzwerksicherheit garantieren könnte. Die Auswertung der Resultate hat jedoch
gezeigt, dass wir noch am Anfang des NAC - Zeitalters stehen und noch viel geleistet werden muss, um
zu einer Lösung zu gelangen, die wenigstens in den meisten Netzwerkumgebungen und –
infrastrukturen eingesetzt werden kann.
on
e v n.
oll eräte ung
r
ntr
ko d G isie
iffs un al
gr rn lok en
Zu utze g & fahr
e
n
n
Be nnu on G
v
ke
Er
R
ea
kt
i
vo on
n &
G Be
ef s
ah ei
re tig
n un
g
en
hm iffen
na
ss ngr
Ma n A
o
ve
kti ehr v
oa
Pr Abw
r
zu
R D Ei
ic ur fü
ht c h
lin hs ru
n
un ien etzu g u
d fü n n d
G rB g
er e vo
ät n n
e ut
ze
r
Die Lösung von Forescout ist sehr innovativ und kann in managed environments problemlos integriert
werden. Die Integration in non-managed environments setzt gut durchdachte Richtlinien vor, die eindringende Benutzer dazu zwingt, sich mit Kennwort und Benutzernamen einzuloggen oder einen Agent
zu installieren. Nur dadurch kann das volle Funktionalitätsspektrum von CounterACT garantiert werden.
Seite 5 von 93
Master-Thesis-1.0.doc
Management Summary (EN)
The rapid development of information technology has enormously affected the design of networks. ITWorld is changing very fast towards Mobility, so that the number of mobile devices locally used in an
enterprise has last year succeeded the number of desktops.
Mobility has increased the productivity of employees as they – thank the high speed connection possibilities- can connect from almost anywhere and do the job.
All these positive aspects have changed the perimeter concept of firewalling, because the boarders between network zones are vanishing by the need of taking the advantages of mobility. Besides the employees there are partners and guests who need access to the internet or to their home networks. In
the Universities there are the students who need access to special resources in the university network.
Because of the mobility nature of the devices there is a big possibility that these devices get infected
somewhere because they are connecting to networks with different grades of security policies. In the
case of university students the clients used are usually personal devices which means there is a big
possibility that these devices are not up-to-date in regards to security updates, fail to have anti-virus or
that they use unauthorized applications that could harm the network resources and the network infrastructure. All this could cause network outage or loss of data. By allowing such devices to connect to
their network an enterprise or a university takes a lot of risks.
If enterprises and universities want to benefit from the advantage of mobility and offer network access
to their employees, guests or students despite these risks they should implement methods to secure
their networks so that only authorized and compliant devices are allowed to access and operate on the
network.
These methods are called NETWORK ACCESS CONTROL (NAC).
The aims of this study were:
•
•
To study the available solutions of NAC.
To study and analyze the functions of one of these solutions called CounterACT from
ForeScout and examine its suitability as solution for the BFH or a mid-sized enterprise.
To compare CounterACT with Secure Networks™ from Enterasys.
To make recommendations how to implement the solution in the network of the BFH.
•
•
•
Methodics
The study started by collecting and studying information about the available network access control
concepts and solutions focusing on the solution from ForeScout.
After that a 3 phased testing process was started. In the first phase the setup and functions of CounterACT were experienced. In the following phases these experiences served to make corrections in regards to the implementation.
In the second phase the solution was installed in a closed test environment to develop and design test
policies that could be implemented in the final phase.
In the final phase, the solution was installed in the productive network of the BFH and configured to
work in monitor mode only to learn the behavior of users and devices. After one week operating in
monitor mode, the configuration was switched so the solution works in normal mode but responding
and taking action only in a test environment (a subnet that was created for this purpose) to avoid disruptions in the productive network.
Seite 6 von 93
Master-Thesis-1.0.doc
Lastly the designed policies were tested in the test subnet and the results were registered.
After the evaluation of CounterACT, a theoretical comparison was carried out with the solution from
Enterasys (Secure Networks™) according to specific comparison criteria.
Results
The evaluation of Network Access Solutions has indicated that the NAC age is at the beginning and
there is much work to do to reach a solution that can fit in most of the network environments and infrastructure although there are many vendors claiming to have the best solution that fits in any environment and provides security to networks.
l
ol
ntr ma
Co nor
ss ab ities
ce of
v
Ac tion acti
k
tec or
De netw
R
em
ed
ia
ti o
n
A
pp
ly
in
g
ct
ote s
pr
to ack
ns att
tio st
Ac gain
a
Po
lic
ie
s
The solution form ForeScout is very innovative and can be integrated seamlessly in managed environments. The integration in non-managed environments needs well-designed policies that enforce users
to provide their credentials or to install an agent so that the full functionality spectrum of CounterACT
can be guaranteed.
Seite 7 von 93
Master-Thesis-1.0.doc
Inhaltsverzeichnis
Historie der Dokumentversionen ..................................................................................................... 2
Kurzzusammenfassung .................................................................................................................. 3
Abstract........................................................................................................................................ 3
Management Summary (DE) .......................................................................................................... 4
Management Summary (EN) .......................................................................................................... 6
Inhaltsverzeichnis.......................................................................................................................... 8
1
Einleitung ............................................................................................................................ 10
1.1
Zweck und Ziel dieses Dokuments................................................................................. 10
1.2
Aufbau........................................................................................................................ 10
1.3
Referenz ..................................................................................................................... 11
2
Ausgangslage ...................................................................................................................... 12
2.1
Einleitung.................................................................................................................... 12
3
Netzwerk der Berner Fachhochschule(BFH) ............................................................................ 14
3.1
Struktur ...................................................................................................................... 14
3.2
Zugriff auf das Netzwerk .............................................................................................. 14
3.3
Lokale und zentrale Dienste.......................................................................................... 16
3.4
Routing in der BFH ...................................................................................................... 16
3.5
Sicherheitsrichtlinien der BFH........................................................................................ 18
3.5.1
Sicherheitszonen 3 & 5....................................................................................... 18
3.5.2
Identifizierung des Problems............................................................................... 19
3.5.3
Die Herausforderungen ...................................................................................... 19
3.6
Der Bedarf an Sicherheit und Sicherheitsrichtlinien ......................................................... 20
4
Einführung in Network Access Control (NAC) .......................................................................... 21
4.1
Einleitung.................................................................................................................... 21
4.2
Die Idee hinter NAC ..................................................................................................... 22
4.3
Gartner Framework...................................................................................................... 24
4.4
NAC – Architektur / Ansatz ........................................................................................... 25
4.5
Funktionen.................................................................................................................. 25
4.6
NAC Richtlinien (festlegen und durchsetzen) .................................................................. 27
4.6.1
Durchsetzung von Richtlinien (Policy Enforcement) ............................................... 28
4.7
Zusammenfassung....................................................................................................... 31
5
Evaluierung der NAC Lösung von ForeScout ........................................................................... 32
5.1
Einführung .................................................................................................................. 32
5.2
Phase 1 ...................................................................................................................... 33
5.2.1
Produktinformationen......................................................................................... 33
5.2.2
Testaufbau........................................................................................................ 34
5.2.3
Erkenntnisse...................................................................................................... 37
5.3
Phase 2 & 3 ................................................................................................................ 44
5.3.1
Einführung ........................................................................................................ 44
5.3.2
Richtlinien Design .............................................................................................. 44
5.3.3
Prüfen der Anforderungen der BFH an das NAC-System ........................................ 53
5.4
Evaluierung................................................................................................................. 71
5.4.1
Dokumentation .................................................................................................. 71
5.4.2
Setup................................................................................................................ 71
5.4.3
Management / Console Control Center................................................................. 72
Seite 8 von 93
Master-Thesis-1.0.doc
5.4.4
Updates ............................................................................................................ 74
5.4.5
Richtlinien ......................................................................................................... 74
5.4.6
Massnahmen / Actions ....................................................................................... 74
5.4.7
Remediation ...................................................................................................... 74
5.4.8
Benachrichtigungen ........................................................................................... 75
5.4.9
Updates / Backup / Wiederherstellung ................................................................. 75
5.4.10
Anforderungen vs. Können ................................................................................. 75
5.4.11
Vorteile ............................................................................................................. 75
5.4.12
Nachteile........................................................................................................... 76
5.5
Zusammenfassung....................................................................................................... 77
6
Vergleich ............................................................................................................................. 78
6.1
Vergleich mit Enterasys ................................................................................................ 78
6.1.1
Vergleichskriterien ............................................................................................. 78
6.1.2
Zusammenfassung ............................................................................................. 81
6.2
Vergleich mit Packetfence (Free Open Source) ............................................................... 81
7
Empfehlungen ..................................................................................................................... 82
7.1
Variante 1 : Verteilte Implementation ............................................................................ 82
7.2
Variante 2 : Zentrale Implementation ........................................................................... 86
8
Schlusswort ......................................................................................................................... 87
Anhang A Danksagung................................................................................................................. 88
Anhang B Glossar ........................................................................................................................ 89
Anhang C Referenzen .................................................................................................................. 93
Seite 9 von 93
4.7 Zusammenfassung
4.6.1 Durchsetzung von
Richtlinien
4.6 NAC Richtlinien (
festlegen und
durchsetzen)
4.5 Funktionen
4.4 NAC – Architektur /
Ansatz
4.3 Gartner Framework
4.2 Die Idee hinter NAC
4.1 Einleitung
2.1 Einleitung
Master Thesis
6.2 Vergleich mit Packetfence
8. Schlusswort
Proof of Concept mit ForeScout
CounterACT
6.1 Vergleich mit Enterasys
6. Vergleich
4. Einführung in
Network Access
Control (NAC)
2. Ausgangslage
7. Empfehlungen
7.2 Variante 2 : Zentrale
Implementation
7.1 Variante 1 : Verteilte
Implementation
5.5 Zusammenfassung
5.4 Evaluierung
3.1 Struktur
3.5.1 Sicherheitszonen
3.5.3 Die
Herausforderungen
3.5.2 Identifizierung des
Problems
3.4 Routing in der BFH
3.3 Lokale und zentrale
Dienste
3.2 Zugriff auf das
Netzwerk
3.6 Der Bedarf an Sicherheit und
Sicherheitsrichtlinien
3.5 Sicherheitsrichtlinien
der BFH
5.3 Phase 2 & 3
5.2 Phase 1
5.1 Einführung
5. Evaluierung
3. Netzwerk der
Berner
Fachhochschule(BF
H)
1. Einleitung
1.3 Referenz
1.2 Aufbau
1.1 Zweck und Ziel
dieses Dokuments
Master-Thesis-1.0.doc
1 Einleitung
1.1 Zweck und Ziel dieses Dokuments
Mit der vorliegenden „Master Thesis“ möchte ich die Funktionen des „Network Access Control“ Systems
CounterACT von Forescout überprüfen und beschreiben. Ich möchte überprüfen, ob sich das Produkt
für den Einsatz an der Berner Fachhochschule eignet und einen Umsetzungsvorschlag für eine BFHweite Installation erarbeiten.
1.2 Aufbau
Abbildung 1 Aufbau
Seite 10 von 93
Master-Thesis-1.0.doc
1.3 Referenz
[1] Pflichtenheft der Master Thesis “Proof of Concept mit ForeScout CounterACT” vom 14.11.2008, Ali
Ajil (Siehe Anhang).
Seite 11 von 93
Master-Thesis-1.0.doc
2 Ausgangslage
2.1 Einleitung
Netzwerksicherheit ist heutzutage eines der wichtigsten Themen in der IT-Welt und jedes Unternehmen
ist gezwungen, sich – unabhängig von seiner Grösse – mit dem Thema Sicherheit zu befassen. Von besonderer Bedeutung ist die „Network Access Control“, welche als „NAC“ abgekürzt wird. Die rapide
Entwicklung der IT-Branche bringt unter vielen positiven Errungenschaften auch eine Vielzahl an Gefahren mit sich, welche jeden Netzwerkadministratoren vor grosse Herausforderungen stellt. Die grosse
Bandbreite, die Mobilität und die Vernetzungsmöglichkeiten generierten nicht nur Gefahren externer,
sondern auch interner Herkunft, wobei letztere eindeutig schwieriger zu handhaben sind. Seit das Problem von der IT- Industrie erkannt wurde, arbeiten viele Firmen an Lösungen und sind auf einen gemeinsamen Nenner – „NAC“ – gekommen. Dieser Nenner gewann dann so sehr an Bedeutung, dass einer der Sicherheitsspezialisten die Aussage „everybody speaks NAC“ gemacht hat.
Mehr als 50 Hersteller behaupten, sie besässen irgendeine Form einer NAC-Lösung, was schnell zum
Verlust des Überblicks führt. Gemäss den Herstellern ist jetzt der richtige Zeitpunkt für die Implementierung einer NAC-Lösung. Der Vize-Präsident der Ganther Inc., John Pescatore, sagt: „There’s a lot of
overhype“. Diese übermässige Reklame bedeutet jedoch nicht, dass die Unternehmen NAC sofort berücksichtigen sollten. Ich denke, die Unternehmen sollten sich zuerst mit der Frage befassen, weshalb
eine Implementierung überhaupt sinnvoll wäre. Viele Firmen werden eine NAC-Lösung implementieren,
weil sie eine neue und moderne Technologie ist, andere sind aufgrund ihrer Verpflichtung gegenüber
einem Partner zur Erfüllung dieser „Voraussetzung“ (Compliance) gezwungen. Einen weiteren Grund
könnte die Malware darstellen, welche die meisten Firmen bekämpfen wollen. Ein wesentlicher Teil der
Unternehmen möchte den Zugriff auf die internen Ressourcen kontrollieren (wie in Hochschulen, wo ein
Grossteil der Benutzer (Studenten und Gastreferenten) an Fremdgeräten im Netzwerk der Schulen arbeitet).
Als Unternehmen und Institut hat die Berner Fachhochschule Interesse an NAC- Lösungen - einerseits
als Unternehmen, das durch die Vielzahl an Unmanaged Devices gefährdet ist und andererseits als
Hochschule zu Unterrichtszwecken. Aus diesen Gründen hat die BFH einige ausgewählte Produkte, welche in der letzten Zeit aufgrund ihres innovativen Ansatzes zu einem bedeutenden Ruf gelangt sind, als
Themen für Diplomarbeiten ausgeschrieben.
Die Firma bw digitronik, ein Pionier im Bereich der Informationssicherheit in der Schweiz und Vertreter der Firma ForeScout Technologies, einem Anbieter von (NAC)-Lösungen, hat sich bereit erklärt, ein
Testgerät zur Verfügung zu stellen, welches Studenten für ihre Diplomarbeit benutzen können.
Für mich war NAC eine der ersten Optionen bei der Suche nach einem geeigneten Thema für meine
MT. Dies aus dem Grund, dass ich durch meine Ausbildung in der BFH und meine Tätigkeit als Netzwerk
Consultant in der GIA ständig mit diesem Thema konfrontiert werde und somit persönlich betroffen bin.
Als die BFH dann genau dieses Thema als mögliches Subjekt für eine Master-Thesis publizierte, dauerte
es nicht lange, bis ich mich entschieden hatte.
Bei der intensiven Suche nach Material – allgemein über Network Access Control und speziell über die
Lösung von ForeScout – bin ich auf eine grosse Menge an Informationen gestossen, was wieder bewies, dass das Thema aktuell und von grosser Bedeutung ist.
Nach dem Studieren der Dokumente und der Manuals von CounterACT wurde die Testing- Phase gestartet. Diese wurde bewusst in drei Phasen aufgeteilt, damit die in der ersten Phase gesammelten Erfahrungen in der nächsten Phase verfeinert und sinnvoller eingesetzt werden können.
Es war geplant, die CounterACT Appliance im Netzwerk der BFH (letzte Phase) produktiv einzusetzen.
Diese Variante wurde schlussendlich jedoch durch eine „harmlosere“ Variante ersetzt, bei der das Netzwerk der BFH nur ge-monitort wurde. Für das Testing (Normalbetrieb) wurde ein separates Subnet erstellt, in dem die nötigen Testszenarien durchgeführt wurden.
Seite 12 von 93
Master-Thesis-1.0.doc
Das Problem war, dass im Test-Subnetz zu wenig Netzwerkverkehrvorhanden war, um alle Testszenarien sinnvoll durchzuführen. Auf das Resultat hat sich dies jedoch nicht ausgewirkt.
Die Applikation läuft auf einer Hardware Appliance und wird nur mit dieser lizenziert. Die Lösung wird
Out-of-Band im Netz installiert. Sie kann Clientless oder falls nötig mit einem Software Agent in EndSystemen eingesetzt werden.
Die Lösung von ForeScout ist sehr innovativ und stellt viele nützliche Funktionen zur Verfügung. Die
Lösung ist gleichzeitig ein IPS und kann schädliche Software und infizierte Komponenten schnell erkennen und entsprechend der Konfiguration entsprechend behandeln. Die Lösung kann Systeme auf Sicherheitslücken („security vulnerabilities“) und Compliance durch „Deep Inspection“ prüfen, und stellt
Möglichkeiten für eine „Remediation“ zur Verfügung. Diese Funktionen setzen administrative Rechte für
die Appliance vor, sowie geöffnete TCP/UDP Ports, welche normalerweise blockiert sind.
Das Enforcement-Konzept des Systems kann in zwei Typen unterteilt werden. Enforcement-Methoden,
welche durch die Infrastruktur ausgeführt werden (Wie Abschalten von Switch-Ports, Zuweisung von
VLAN’s oder Firewall Funktionen( Virtual Firewall)), verlangen, dass die Komponenten durch SNMP
Kommandos gesteuert werden können. Enforcement-Methoden, wo durch Ausführen von Befehlen in
die lokalen Systeme eingegriffen wird und Systembefragungen brauchen entweder den Agenten oder
administrative Rechte.
Das Produkt ist meiner Ansicht nach für eine "managed"-Umgebung sehr gut geeignet, für eine Umgebung mit vielen fremden Geräten ist die Implementation abhängig von den Sicherheitsrichtlinien der
Unternehmen. In einem Unternehmen, wo die Richtlinien vorschreiben, dass fremden Geräten nur dann
der Zugriff erteilt wird, wenn die Benutzer den Software Agent installieren oder das System die entsprechenden Credentials bekannt gibt, ist die Lösung auch sehr gut geeignet. Kann oder möchte das Unternehmen den Benutzer nicht zwingen, muss dieser auf wichtige Funktionen verzichten.
Seite 13 von 93
Master-Thesis-1.0.doc
3 Netzwerk der Berner Fachhochschule(BFH)
3.1 Struktur
Die Berner Fachhochschule ist, wie im Pflichtenheft erklärt, eine der Schweizer Hochschulen, welche ein
anspruchvolles Netzwerk besitzen. Die 12 Standorte und die vielen Departemente sind über ein komplexes und modernes Layer2-Glas Netzwerk verbunden (Die Departemente entweder über Kupfer oder
ADSL). Der Standort in der Morgartenstrasse repräsentiert das CORE des Netzwerks der BFH. Die
Komponenten des Cores bestehen aus Enterasys L2-L4 Switches, wobei die Infrastruktur in den
Standorten stark variiert und aus Komponenten verschiedener Hersteller besteht (mehrheitlich Cisco,
Enterasys und HP). Der Core des Netzwerks verbindet die Standorte der BFH über das Netzwerk der
SWITCH mit dem Internet. Hier stehen allen Mitarbeitern und Studenten der BFH Bandbreiten (Download) im Bereich von bald 1 Gbps zur Verfügung.
Abbildung 2: Gesamtübersicht
3.2 Zugriff auf das Netzwerk
Der Zugriff auf das Netzwerk kann auf LAN, WLAN und VPN basieren.
Der Zugriff auf das Netzwerk über WLAN ist für jeden Empfänger der WLAN Signal beschränkt möglich.
Hier sind bestimmte Maßnahmen vorgenommen worden, die die Verbreitung des Signals möglichst ausserhalb des Hochschulareals verhindern. Die unauthorisierten Benutzer, auch Gäste der BFH, landen im
Docking-LAN, das nur beschränkten Zugriff auf das Internet erlaubt (bestimmte Informationsseiten wie
www.sbb.ch).
Seite 14 von 93
Master-Thesis-1.0.doc
Auth. Benutzer
Netzwerk der BFH
Auth. Benutzer
VPN-GW
Switch
Ressourcen
Switch
Auth. Benutzer
SWICH
Auth. Benutzer
AP
Student
Student
Gast
Umgebung
Auth. Benutzer
Unauth.
Benutzer
Abbildung 3: Zugriffsmethoden
Die autorisierten Benutzer (Mitarbeiter, Dozenten) können mit Ihren Geräten (managed oder unmanaged) über das WLAN-Netzwerk direkt in das Client-VLAN gelangen.
Die Studenten erhalten mit Ihrem Eintritt in die Schule spezielle Credentials, die Ihnen während Ihres
Studiums den Zugriff auf spezielle Bereiche des Schulnetzwerks ermöglichen. Sie können mit Ihren eigenen unmanaged Endgeräten auf das Netzwerk der BFH über WLAN, LAN oder VPN (BFH-VPNClient) zugreifen. Die Studenten gelangen über das WLAN-Netzwerk (werden als Gäste behandelt) in
das Docking-LAN und können auf weitere Ressourcen der Schule zugreifen, indem sie eine VPNVerbindung zum VPN-Gateway der BFH herstellen oder sich gegenüber dem MPP Portal für den Zugriff
über WLAN authentifizieren.
Alle Clients müssen sich gegenüber dem MPP Portal für den Zugriff über WLAN authentifizieren. Ohne
Authentifizierung wird nur beschränkter Zugriff gewährt.
Eine weitere Möglichkeit für die Verbindung mit dem Schulnetzwerk kann auf lokalen Switch-ports basieren. Die Switch-ports sind statisch in verschiedenen VLAN’s konfiguriert. Benutzer VLAN’s verfügen
normalerweise über einen DHCP Server für die dynamische Adressierung.
Die persönlichen Endgeräte der Benutzer werden keinem Authentifizierungsprozess unterzogen. Der Authentifizierungsprozess prüft Benutzerangaben (Benutzername & Kennwort) nur beim Zugriff auf die
internen Ressourcen. Von der Hochschule sind keine speziellen Anforderungen bezüglich Status der
Endgeräte im Bezug auf AntiVirus, Desktop Firewalls oder Sicherheitsupdates definiert worden. Es gibt
auch keine Kontrolle der auf diesen Komponenten installierten Software. Der Zugriff auf das Internet
wird bei berechtigten Benutzern (Mitarbeiter, Dozenten und Studenten) nicht kontrolliert (Kein Proxy).
Downloads von Software, Gaming oder ähnlichem sind ohne Einschränkung zugelassen und nicht weiter
geregelt.
Seite 15 von 93
Master-Thesis-1.0.doc
3.3 Lokale und zentrale Dienste
Der Zugriff auf das Internet ist für alle
Standorte und Departemente der BFH (zentral über das CORE Netzwerk) durch das
Netzwerk des SWITCHES gewährleistet. Jeder grosse Standort stellt Benutzern lokale
und zentrale Dienste zur Verfügung. Die
zentralen Dienste inklusive Zugriff auf das
Internet werden zentral über das CORENetzwerk verwaltet. Die lokalen Dienste wie
File und Backups werden lokal verwaltet.
Der Netzwerkverkehr oder der Zugriff auf
die lokalen Dienste in den Standorten wird in
der Zentrale nicht überwacht.
Abbildung 4: lokale – zentrale Dienste
3.4 Routing in der BFH
Der Netzwerkverkehr in der BFH wird von den Standorten bis zum CORE-NETZWERK statisch geroutet.
Ab dem CORE-Netzwerk wird der Netzwerkverkehr zum Internet über OSPF dynamisch geroutet. Für
den Zugriff auf das Internet stehen zwei redundante Verbindungen zur Verfügung, die über die Infrastruktur der Universität Bern eine Verbindung mit dem schweizerischen Hochschulnetz SWITCH herstellen. SWITCH stellt den schweizer Akademien und Forschungsinstituten sehr stabile Hochgeschwindigkeitsverbindungen zur Verfügung. Abbildung 5 stellt das Routingschema in der BFH schematisch dar.
Seite 16 von 93
Master-Thesis-1.0.doc
Internet
SWITCH
Routing: Dynamisch
Default Route: Internet
UNI BERN
Routing: OSPF
Default Route: Switch-BE2
UNI BERN
Routing: OSPF
Default Route: Switch-BE1
BFH.A.240/28
Routing: OSPF
Default Route: Cerberus
BFH.A.240/28
Routing: OSPF
Default Route: Cerberus
BFH.B.240/28
Routing: OSPF
Default Route: X4
BFH.C.0/24
Routing: Directly Connected
Default Route: -
FW-Cluster
Routing: statisch
Default Route: UNI GW
BFH.D.0/24
Routing: statisch
Default Route: FW
Docking-LAN
Routing: statisch
Default Route: FW
CORE
Routing: statisch
Default Route:
FW
BFH.F.0/24
Routing: statisch
Default Route: CORE
Standort1
Grosse Standorte
Routing: statisch
Default Route: CORE
Standort1
Grosse Standorte
Routing: statisch
Default Route: CORE
Standort1
Kleine Standorte
Routing: statisch
Default Route: Dep1-GW
Departement1
Routing: statisch
Default Route: CORE
Standortx
Kleine Standorte
Routing: statisch
Default Route: Dep1-GW
Standort1
Kleine Standorte
Routing: statisch
Default Route: Depx-GW
Departementx
Routing: statisch
Default Route: CORE
Standort1
Kleine Standorte
Routing: statisch
Default Route: Depx-GW
Abbildung 5: Routingschema der BFH
Seite 17 von 93
Master-Thesis-1.0.doc
3.5 Sicherheitsrichtlinien der BFH
Die Sicherheitsrichtlinien der BFH sind im Dokument „Netzwerk und Security Konzept BFHNetzwerk“ vermerkt. Dieses Dokument beschreibt den Versuch, Sicherheitszonen für das BFH Netzwerk zu definieren. Das Konzept hat das Netzwerk der BFH in 8 Sicherheitszonen unterteilt, und beschreibt die Sicherheitsanforderungen jeder Zone. Im Folgenden werden die im Abschnitt
2.3 Zone 3: Public Access Zone und 2.5. Zone 5: Managed Clients beschriebenen Zonen näher analysiert.
3.5.1 Sicherheitszonen 3 & 5
Das Konzept beschreibt die Zone 3 wie folgt:
„Die Public Access Zone dient dem öffentlichen Zugriff auf Netzwerkdienste durch Gäste, Studenten und
Dozenten mit Rechnern, welche nicht durch die Informatikdienste administriert werden (Notebooks,
PDA's, usw.). In den Bereich dieser Zone gehören alle öffentlich zugänglichen Netzwerkstecker sowie
sämtliche WLAN Hot Spots der BFH. Die an Netzwerke dieser Zone angeschlossenen Geräte kriegen eine öffentliche IP-Adresse aus dem Bereich der Zone per DHCP und haben Zugriff auf DNS Server. Jeglicher weitere Zugriff auf andere Dienste oder Netzwerkzonen wird erst gewährt, wenn der Nutzer des
entsprechenden Geräts den Informatikdiensten der BFH bekannt ist, d.h. wenn er sich gegenüber der
BFH authentisiert. Abhängig von der Benutzergruppe wird danach dem Rechner des Benutzers Zugriff
auf definierte Dienste anderer Netzwerkzonen gewährt.“1
Wie der obigen Beschreibung entnommen werden kann, steht diese Zone für den öffentlichen Gebrauch
zur Verfügung. Theoretisch kann jeder, der sich im Areal der Schule oder im Empfangsbereich der
WLAN befindet, eine Verbindung mit dem Netzwerk herstellen (Die an Netzwerke dieser Zone ange-
schlossenen Geräte kriegen eine öffentliche IP-Adresse aus dem Bereich der Zone per DHCP und haben
Zugriff auf DNS Server).
Am Anfang der Beschreibung ist deutlich zu verstehen, dass die von den Benutzern verwendeten Endgeräte nicht von den Informatikdiensten administriert werden. Es sind keine speziellen Anforderungen
an die von den Benutzern verwendeten Endgeräte definiert (weder an Endpoint Sicherheit noch an erlaubte Applikationen).
Das Konzept beschreibt die Zone 5 folgendermassen:
„Die Managed Clients Zone beherbergt diejenigen Arbeitsplatzstationen, welche von den Informatikdiensten unterhalten werden. Diese Rechner werden komplett durch die Informatikdienste installiert
und gewartet. Es handelt sich um Desktop PC's von Mitarbeitern und Dozenten sowie um Schulungsraum PC's mit einem Standard Setup. Diese PC's haben Zugriff auf Serverdienste der Zone 6 und allenfalls 7 sowie auf Dienste der Zonen 1, 2 und 4 welche durch die Security Policy der BFH zugelassen
sind. Durch die Informatikdienste muss sichergestellt werden, dass die Netzwerkanschlüsse der Managed Clients Zone nicht durch fremde Rechner, Notebook's oder PDA's verwendet werden können (z.B.
durch den Einsatz von IEEE 802.1x Port Based Network Access Control).“ 2
Die Sicherheitszone 5 stellt deutlich Anforderungen an die Endgeräte, die über diese Zone Zugriff auf
die Netzwerkressourcen erhalten. Nur Managed Clients dürfen sich in dieser Zone befinden und es muss
sichergestellt werden, dass die Netzwerkanschlüsse der Managed Clients Zone nicht von fremden Rechner verwendet werden können.
1 Wenger, Hansjürg: „Netzwerk Security Konzept BFH-Netzwerk“, 2004
2 Wenger, Hansjürg: „Netzwerk Security Konzept BFH-Netzwerk“, 2004
Seite 18 von 93
Master-Thesis-1.0.doc
Da bis heute keine speziellen Massnahmen bezüglich Authentisierung & Autorisierung der Endgeräte ergriffen wurden (IEEE 802.1x wird nicht eingesetzt), muss man mit Risiken & Gefahren rechnen.
3.5.2 Identifizierung des Problems
Der Zugriff mit unmanaged Endgeräten auf ein Hochschulnetzwerk bringt diverse Gefahren mit sich. Die
unkontrollierten Endgeräte können:
•
mit Viren und Trojanern verseucht sein und damit die ganze Infrastruktur in Gefahr bringen.
•
mit Amateur- oder Profi-Methoden und Applikationen das Netzwerk belasten und die anderen Benutzer behindern.
•
in unerlaubte Bereiche vordringen (Administrationsbereich).
•
das Netzwerk scannen und wichtige Informationen über das Netzwerk sammeln.
•
bei Konfigurationsfehlern eines Switches ins Administrationsnetzwerk eindringen, auf vertrauliche Informationen zugreifen und sie sogar manipulieren.
•
mit der managed Client Zone verbinden und das Netzwerk gefährden oder auf wichtige Daten zugreifen oder sie manipulieren.
Solche Gefahren können verheerende Schäden anrichten. Eine Hochschule hat daher bestimmt Interesse daran, sich entsprechend zu schützen und ihre Informationen zu sichern.
Informationssicherheit bedeutet den Schutz von Daten (Studentendaten) und Informationssystemen
gegen unauthorisierten Zugriff, Benutzung, Manipulierung oder Zerstörung. Informationssicherheit ist
wichtig, weil ein Sicherheitsfehler für eine Hochschule den Verlust, die Verfälschung von Studentendaten und die Gefährdung der Ressourcen zur Folge haben kann. Dies kann grosse reputative und finanzielle Verluste verursachen.
In einer Hochschule könnten sind bestimmte Daten wie Studentennoten oder Diplomarbeiten und Forschungsdaten von besonderer Bedeutung. Wie wird also eine Hochschule dastehen, wenn die Studenten in die Notendatenbank eindringen und Daten manipulieren?
3.5.3 Die Herausforderungen
Die Herausforderungen für eine Hochschule sind:
•
Die Kontrolle einer hohen Anzahl von unmanaged Endgeräten von:
o
Studenten - die eigentlichen Kunden einer Hochschule - mit ihren Laptops, die kaum
vollständig gepatcht sind und kaum übe aktualisiertenr Antivirus oder Desktop-Firewall
verfügen.
o
Studenten, die berufsbegleitend studieren, Laptops von ihren Arbeitsgebern besitzen
und auf diesen nur eingeschränkte Rechte haben.
o
Studenten, die unerlaubte Aktivitäten durchführen.
o
Gastreferenten und Gästen mit ihren Laptops und PDA’s, die auf das Netzwerk zugreifen müssen.
Seite 19 von 93
Master-Thesis-1.0.doc
3.6 Der Bedarf an Sicherheit und Sicherheitsrichtlinien
In den vielen Gesprächen, die im Rahmen dieser Studie geführt wurden, wurde deutlich, dass der Bedarf an Sicherheit und Sicherheitsrichtlinien für die BFH unbestreitbar ist.
Dass die Netzwerkbereiche ineinander verschmelzen und dass die Grenzen zwischen den unterschiedlichen Netzwerkbereichen verschwinden, ist Tatsache. Darüber hinaus wird immer deutlicher, dass die Firewalls nicht mehr ausreichen, um die Sicherheit des Netzwerks zu gewährleisten.
Die oben beschriebenen Probleme und die daraus resultierenden Risiken & Gefahren müssen mit neuen
Methoden bekämpft werden.
Zuerst müssen klare Sicherheitsrichtlinien & Massnahmen bei Verstössen gegen diese Richtlinien definiert werden. Zweitens muss ein System eingesetzt werden, das diese Richtlinien und Massnahmen automatisch umsetzen kann.
In den nächsten Kapiteln geht es hauptsächlich darum, dieses Network Access Control System näher zu
beschreiben und auf die verfügbaren Lösungen einzugehen.
Seite 20 von 93
Master-Thesis-1.0.doc
4 Einführung in Network Access Control (NAC)
4.1 Einleitung
Was ist mit NAC gemeint, und wie ist dieser Bergriff so berühmt geworden, dass bei einmal googeln
mehr als eine Million Einträge darüber erscheinen? Viele sind wegen NAC verwirrt und haben allen
Grund dazu.
Wenn man die Entwicklung und das Wachstum der globalen Kommunikation über Netzwerke und die
vermehrte Benutzung mobiler Geräte in den lokalen Netzwerken der Unternehmen betrachtet, wird verständlich, weshalb NAC eine solche Bedeutung zukommt.
Zusammen mit der Entwicklung steigt auch das Angriffspotential, und dieses nicht nur von externen
Quellen sondern auch verstärkt von internen. Das Interesse an der Absicherung der internen Netzwerke
und am Schutz von internen Ressourcen nimmt daher deutlich zu.
Der Absicherung des Netzwerks mit dem traditionellen Perimeter-Security Konzept reicht nicht mehr
aus, da dieses Konzept einerseits nur vor Gefahren aus externen Quellen schützt, und andererseits täglich neue Angriffsmethoden erfunden und eingesetzt werden. Darüber hinaus haben die neuen Vernetzungstechnologien in vielen Firmen die Grenzen im Netzwerk abgeschafft. Der Mitarbeiter eines Unternehmens soll vom Geschäft und von zu Hause aus oder unterwegs die gleichen Möglichkeiten haben,
auf die internen Ressourcen zuzugreifen. Dieser stetige Zugang erhöht die Produktivität der Mitarbeiter,
weshalb er auch von den Unternehmensmanagern begrüsst wurde.
Neben all den möglichen Angriffen und Gefahren stellen die „Compliance-Requirements for Regulations“3 einen weiteren Grund für die Betrachtung der NAC-Thematik dar.
Abbildung 6: Unternehmensnetzwerk
3 Forescout
Seite 21 von 93
Master-Thesis-1.0.doc
Seit einigen Jahren erhalten Network Access Control Systeme zunehmend mehr Bedeutung. Diese Systeme sind einerseits in der Lage, den Zugriff auf das Netzwerk anhand vordefinierter Richtlinien zu kontrollieren und können anderseits mithilfe von IDS und IPS Systemen Gefahren erkennen und blockieren.
In diesem Kapitel wird auf die Grundlage von Network Access Control eingegangen.
4.2 Die Idee hinter NAC
NAC ist die Antwort auf die Frage „ Wie sollen die IT- Infrastrukturen geschützt werden?“
Die Idee von NAC ist eigentlich einfach:
Bei jedem Gerät, das versucht, eine Verbindung zum Netzwerk herzustellen, wird überprüft, ob es einem vordefinierten Schema von Richtlinien entspricht. Werden Verstösse gegen die Richtlinien festgestellt, soll dieses Gerät automatisch anhand vordefinierter Methoden korrigiert werden. Jedes Gerät
bleibt ständig unter Beobachtung, damit sicher gestellt werden kann, dass keine Verstösse gegen Richtlinien oder Gefahren für die Infrastruktur durch dieses Gerät entstehen. Dem Gerät und dem Benutzer
werden je nach Ihrer Rolle im Unternehmen die entsprechenden Berechtigungen erteilt.
Ist diese Aufgabe einfach zu bewältigen?
NEIN
Die Komplexität und die Heterogenität der Netzwerkinfrastrukturen in vielen Unternehmen und die Tatsache, dass viele Bereiche in der IT-Infrastruktur betroffen wären, stellen eine grosse Herausforderung
dar.
Ein NAC System:
•
muss in der Lage sein, mit verschiedenen Systemen verschiedener Hersteller kommunizieren zu können.
•
muss in der Lage sein, Client Systeme (managed & unmanaged) mit unterschiedlichen Betriebssystemen befragen zu können, um festzustellen, ob das System konform ist.
•
muss mit den Authentifizierungssystemen verschiedener Hersteller kommunizieren können,
um die Identitäten der Benutzer und der Endgeräte zu prüfen.
•
Muss in der Lage sein, mit Netzwerkkomponenten unterschiedlicher Hersteller und mit unterschiedlichen Konfigurationen umzugehen, um Admission Control Aufgaben durchzuführen.
•
muss mit eigenen Techniken und Methoden Anomalien und schadendes Verhalten eines
Systems erkennen und entsprechend behandeln können.
•
muss Daten Sammeln und auswerten können.
•
muss Alarmierungs- und Reporting Funktionen beinhalten.
All dies macht die Erfindung eines kompletten und effizienten NAC-Systems zu keiner einfachen Aufgabe.
In der Realität sind wir - gemäss mehreren Studien - in den Anfangsstadien der NAC- Industrie. Es gibt
viele Hersteller, die NAC- Lösungen offerieren, von denen die Hälfte Newcomer sind. Da kein Standard
Seite 22 von 93
Master-Thesis-1.0.doc
vorhanden ist, behauptet jeder Hersteller, er habe die komplette NAC Lösung, die Wahrheit ist jedoch,
dass jeder Hersteller die NAC-Thematik aus einem anderen Blickwinkel betrachtet. Daher gibt es viele
Lösungen, die sich deutlich unterscheiden.
Im folgenden Abschnitt wird auf ein NAC-Framework eingegangen, das häufig als „fast“ komplett bezeichnet und als Referenz betrachtet wird.
Seite 23 von 93
Master-Thesis-1.0.doc
4.3
Gartner Framework
Der „Gartner NAC Process“ beginnt mit der Definition der Sicherheitsrichtlinie. Die Sicherheitsrichtlinien definieren die Voraussetzungen, welche ein System erfüllen muss,
um Zugriff auf das Netzwerk zu erhalten.
Eine typische Richtlinie beinhaltet z.B, dass:
•
verbindende Systeme über ein bestimmtes Betriebssystem oder dass das Betriebsystem über die aktuellen Sicherheitsupdates verfügt
•
die Antivirus Software installiert sowie up-to-date ist und läuft
•
die Desktop Firewall installiert und aktiviert sowie richtig konfiguriert ist
•
dass auf dem System keine unerlaubte Software installiert ist.
Die obige Richtlinie definiert eine Referenz anhand derer verbindende Systeme geprüft
werden. Wichtig ist, dass – egal, wie die Systeme sich mit dem Netzwerk verbinden
(LAN, WAN, WLAN oder VPN) - diese Richtlinie immer durchgezogen wird.
Je nachdem, inwiefern das System der Richtlinie entspricht, wird der Zugriff erteilt oder
beschränkt. Systeme, welche die Bedingungen nicht erfüllen, werden entweder blockiert
oder in einem speziellen Bereich platziert (Quarantäne), damit sie die Möglichkeit bekommen, die fehlenden Voraussetzungen zu erfüllen (Installieren von fehlende Updates,
etc.). Dieser Vorgang wird „Remediation“ genannt. Damit ein NAC System wirksam und
effizient eingesetzt werden kann, muss diese Remediation automatisch erfolgen. Die
Benutzer werden während dieses Prozesses begleitet.
Nachdem einem System der Zugriff auf das Netzwerk erteilt wurde, wird es weiter beobachtet, damit sichergestellt werden kann, dass es konform bleibt und keine Bedrohungen entstehen können. Systeme, welche die Infrastruktur durch „anomalous behavior“
beschädigen könnten, sollen sofort blockiert oder in eine Quarantäne umpositioniert
werden, bis sie repariert sind.
Abbildung 7 Gartner Framework
Seite 24 von 93
Master-Thesis-1.0.doc
4.4
NAC – Architektur / Ansatz
Die zurzeit vorhandenen NAC- Lösungen können aufgrund ihres Ansatzes in die Kategorien „Infrastruktur“, „Appliance“ und „Client“ unterteilt werden. Sie unterscheiden sich hauptsächlich in der Handhabung der NAC-Funktionen „EndPoint baselining“ und „Enforcement“.
Gemäss Gartner ist der Ansatz Infrastruktur noch nicht reif. Die Lösung ist oft nicht kompatibel -oder
braucht gewisse Upgrades - mit den Infrastuktur-Komponenten anderer Hersteller, hat aber gute Chancen bei existierenden Kundeninstallationen. Vertreter dieses Ansatzes sind
Cisco Network Admission Control (CNAC)
Enterasys (Secure Networks TM)
Extreme (Sentriant)
Nortel (SNA)
HP (ProCurve 800)
Der Appliance Ansatz wird vertreten von
Cisco (Cisco Clean Access)
Consentry (LANShield)
ForeScout (CounterACT)
Mirage (Endpoint Control)
Nevis Networks (LANenforcer)
Und anderen
Die Appliance Lösungen unterscheiden sich bei der Implementierung zusätzlich zu den „Endpoint baselining“ und „Enforcement“ noch bei der Platzierung im Netz (in-band oder out-of-band) und bei der
Methode, mit der sie die End-Geräte kontaktieren (mit agent oder agentless). Gewisse Lösungen bieten
zusätsliche Funktionen wie IPS, Virus-Scanning, etc.
EndPoint Software ( EndPoint Protection), hauptsächlich vertreten von McAfee (Policy Enforcer),
Sophos (Sophos NAC) und Symantec (Symantec NAC), hat sehr gute Chancen, da sie ihre NAC- Lösungen als Erweiterung von bestehenden Lösungen anbieten. Da dieser Ansatz auf EndPoint Agent basiert, bilden diese Lösungen eine grosse Bedrohung für Appliance Lösungen die stark auf Endpoint
Agent bauen.
4.5
Funktionen
In einem typischen NAC System wird Folgendes durchgeführt:
1- Erkennung & Authentisierung: Egal, wie sich das Endgerät mit dem Netzwerk verbindet (normalerweise mit bestehenden Authentisierungsmethoden, die im Unternehmen bereits implementiert sind).
2- Prüfen des Zustands des Endgeräts: Sicherheitsupdates, Firewall, Antivirus. Gewisse Systeme
untersuchen Endgeräte auf Malware und schädigende Software.
3- Vergleichen der gesammelten Daten aus 2 mit den definierten Richtlinien: Die definierten
Richtlinien befinden sich auf einem Backend-Server oder auf einer Appliance.
4- Entscheidungen aufgrund des Resultats in 3 treffen: Welche Rechte erhalten Benutzer und
Endgerät im Bezug auf das Netzwerk?
Seite 25 von 93
Master-Thesis-1.0.doc
5- Entscheidungen an die Enforcement-Komponenten weitergeben: Erteilen, Blockieren oder
Beschränkung des Zugriffs.
6- Das Endgerät weiter beobachten (Post-Admission Checks): Verkehr aus dem Endgerät weiter beobachten. Weitere Systembefragungen durchführen, damit Verstösse gegen die Richtlinien in
Realtime erkannt werden können.
Abbildung 8: NAC Funktionen
Seite 26 von 93
Master-Thesis-1.0.doc
4.6 NAC Richtlinien (festlegen und durchsetzen)
Das Hauptziel bei einer Implementierung von NAC in einem Unternehmen ist es, sicherzustellen, dass
alle Komponenten, die an das Netzwerk angeschlossen sind oder eine Verbindung zum Netzwerk herstellen wollen, den Sicherheitsrichtlinien der Unternehmen entsprechen.
Obwohl jedes Unternehmen über verschiedene Sicherheitsrichtlinien verfügen, gibt es allgemein gültige
Richtlinien für alle Unternehmen. Dass auf dem System die aktuellsten Sicherheitsupdates installiert
sind , die Desktop-Firewall aktiviert und richtig konfiguriert ist oder, dass das System über eine AntiVirus Software mit den aktuellsten Updates verfügt, sind Voraussetzungen, die jedes Unternehmen zu
erfüllen hat.
Bei der Implementierung eines NAC Systems ist es die wichtigste Aufgabe eines Unternehmens, zu
bestimmen, welche Sicherheitsrichtlinien gelten und welche Massnahmen durchgesetzt werden, falls die
verbindende Komponente den Richtlinien nicht entspricht.
Es ist nicht die Aufgabe eines NAC-Systems, die Richtlinien zu definieren, sondern lediglich, sie anzuwenden und die durch diese Richtlinien definierten Massnahmen auszuführen. Das NAC-System muss
aber den Netzwerkadministratoren einfache Methoden für die Definition von unternehmenskonformen
Richtlinien offerieren.
In der folgenden Tabelle sind Parameter für eine mögliche Sicherheitslinie aufgelistet.
Tabelle 1: Parameter für die Erstellung von Richtlinien
Kategorie
Parameter
Benutzerverhalten
Verstösse gegen Richtlinien, Audit-Daten
Benutzerdaten
Username, Gruppe, Email Adresse, Abteilung, Authentisierungsstatus, etc
Installierte Applikationen
Applikationen und Versionen, File Informationen, Änderungsdaten.
Betriebssystem und Patchlevel
Aktive Prozesse, Offene Ports, OS-Fingerprint
Daten des Endgeräts
IP Adresse, MAC-Adresse, Hostname, Typ.
Access-Switch Informationen
Switch, Switch-Port, VLAN
Seite 27 von 93
Master-Thesis-1.0.doc
4.6.1 Durchsetzung von Richtlinien (Policy Enforcement)
Für die Durchsetzung von Richtlinien benutzen die aktuellen NAC-Lösungen eine der folgenden drei Methoden:
1- Eine Software auf dem
Endgerät (Client enforcement)
2- Eine Netzwerkkomponente
(Infrastructure
enforcement)
3- Eine Netzwerkkomponente (Appliance enforcement)
Abbildung 8: Enforcing Points
Client enforcement
Hier wird der Zugriff auf die Netzwerkressourcen durch einen Agenten (auf dem Client installierte Software) erteilt oder verweigert. Der Agent kommuniziert mit einem Richtlinien-Server, um sich über die
aktuellsten Richtlinien zu informieren.
Infrastructure enforcement
Dies ist momentan am stärksten verbreitete Methode. Sie wird im Netzwerk meist In-Line implementiert. Die Netzwerkkomponenten (Switch, Router, Firewall) kommunizieren mit den Endgeräten und mit
den Backend-Servern ( Policy-Server) via 80.2.1x oder proprietäre Protokolle. Nachdem das Endgerät
vom Policy-Server evaluiert wurde, empfängt die Netzwerkkomponente die Instruktionen vom PolicyServer bezüglich der Handhabung des Zugriffs des Endgeräts auf das Netzwerk (Öffnung, Schliessung
oder Umkonfigurierung eines Switch-Ports in ein anderes VLAN). Dieser Ansatz setzt vor, dass die
Netzwerkkomponenten die entsprechenden Protokolle unterstützen, was für gewisse Kunden mit veralteter Netzwerkinfrastruktur ein Hindernis darstellt.
Seite 28 von 93
Master-Thesis-1.0.doc
Appliance enforcement
Der „Appliance enforcement“-Ansatz ist die einfachste und in gewissen Situationen günstigste Methode
für eine NAC Implementation. Die Hersteller versprechen, dass ihre Lösungen in jede Netzwerkinfrastruktur passen. Manche können In-Line, andere Out-of-Band implementiert werden. Meistens werden
sie zwischen dem Access-Bereich und dem Core-Bereich (Distribution, falls vorhanden) platziert.
Gewisse Lösungen benötigen Informational Agents, andere nicht. Diese wenden ihre eigenen Methoden
an, um an die nötigen Informationen über das Endgerät zu gelangen.
Abbildung 9: NAC Ansätze
Seite 29 von 93
Master-Thesis-1.0.doc
Die folgende Tabelle vergleicht die NAC- Lösungen im Bezug auf Aufwand der Implementierung, Wirksamkeit, Gefahren, Voraussetzungen und Geeignete Einsatz Gebiete:
Client
Ansatz
Enforcing
Client
Aufwand
der
Implementierung hoch
Cient muss auf
allen zu überwachenden
Endgeräten installiert
werden.
Infrastruktur Ansatz
Appliance Ansatz
(InformationalClient)
Enforcing Client
(InformationalClient)
Clientless
Mittel
mittel
tief
Falls der Client fest
installiert und gepflegt
werden
muss.
Sehr gut bei In-Line
gut bei Out-of-Band
Single-Point of Fehler für alle Clients
bei In-Line
Sehr gut bei In-Line
gut bei Out-of-Band
Single-Point of Fehler für alle Clients
bei In-Line
hoch
Client muss auf allen
zu
überwachenden
Endgeräten installiert
Begründung
werden.
Sehr gut bei In-Line ,
Wirksamkeit
gut
sehr gut
gut bei Out-of-Band
Single-Point of Fehler
Single-Point of
Fehler für der Single-Point of Fehler für alle Clients bei InGefahren
Line
Client
für alle Clients
Clients müssen
auf allen EndClients müssen auf algeräten instalHomogene Umgebung len Endgeräten installiert sein.
Voraussetzungen Aktualisierte
( NAC System und liert sein.
für
Optimale Plolicies vom Netzwerkkomponenten, Aktualisierte
Policies
Impl.
vom Policy-Server
gleiche Hersteller)
Policy-Server
Geeignete
Ein- Managedsatz Gebiete
Umgebungen
Meistens Proprietäre.
Updaten oder ersetzen
von funktionierenden
Komponenten.
Managed-Umgebungen
Firewall,
DesktopFirewall erlaubt VerFirewall (auch client bindung. RPC Ports
DFirewall) erlaubt auf dem Client zugänglich.
Verbindungen.
Managed & Unmanaged
Umgebun- Managed & Unmanaged Umgebungen
Managed-Umgebungen gen
Tabelle 2: NAC- Lösungen
Ein Teil der Vertreter des Appliance-Ansatzes bieten mit ihre Lösungen mit weiteren Funktionen wie
„Network-Based virus-Scanning“ und IPS an.
Seite 30 von 93
Master-Thesis-1.0.doc
Verstöss gegen
Richtlinien
blokieren
4.7 Zusammenfassung
Abbildung 10: NAC-Prozess
NAC ist eine hervorragende Idee. Ein System, das die Infrastruktur und die Ressourcen automatisch vor
Gefahren und Missbräuchen schützt, ohne dass die Netzwerkadministratoren einen grossen Aufwand
betreiben müssen. Dies ist das Ziel jedes Unternehmens. NAC ist aber auch eine verwirrende Angelegenheit für diejenigen, die sich für Sicherheit interessieren, jedoch wegen der Vielzahl an Angeboten,
den verschiedenen Ansatzmöglichkeiten und den Versprechungen der Hersteller den Überblick verlieren.
Es ist zu erwarten, dass NAC in den kommenden Jahren noch mehr an Bedeutung gewinnen wird, weil
das Bedürfnis und die Bereitschaft für eine saubere Implementierung eines NETWORK ACCESS
CONTROL Systems vorhanden sind. Was man sich aber vor Augen halten muss, ist, dass NAC keine
Universallösung für jegliche Art von Sicherheitsproblemen ist. Es ist wichtig, zu verstehen, dass Sicherheit ein Prozess ist NAC lediglich einen Teil dieses Prozesses verkörpert. NAC ersetzt nicht Firewalls
oder Proxy Servers, sondern ergänzt diese. NAC stellt keine End-Point Sicherheit her, sondern prüft nur,
dass die Systeme korrekt konfiguriert sind. NAC Einführung in einem Unternehmen, ist ein umfangreiches Projekt, das sehr gute Vorbereitung und Zusammenarbeit zwischen verschiedenen Teams in einer
Unternehmen erfordert.
Seite 31 von 93
Master-Thesis-1.0.doc
5 Evaluierung der NAC Lösung von ForeScout
5.1 Einführung
ForeScout wurde im April 2000 gegründet, der Name ist komponiert aus 2 Teilen: Fore (Vorder) und
Scout (Pfadfinder), um hervorzuheben, dass die Firma sich für proaktive Technologien einsetzt. CounterACT ist eine Clientless Appliance Plattform, die „Network Access Control“ und “Intrusion Prevention
System” miteinander kombiniert.
Hardware
CounterACT wird in 5 Modellen offeriert:
Tabelle 3: Hardware
Modell
Spezifikation
Anzahl Supported Devices
CT-R
100 Mb/sec of bandwidth, 4 network ports
50
CT-100
100 Mb/sec of bandwidth, 6 network ports, 2 optional fiber
ports
250
CT-1000
1 Gb/sec of bandwidth, 6 network ports, up to 2 optional
fiber ports
1000
CT-2000
with 1 Gb/sec of bandwidth, 8 network ports, up to 4 optional fiber ports
2500
CT-4000
"multi-gigabits" of sustained throughput, 8 network ports,
up to 4 optional fiber ports
4000
Software
Das Betriebssystem der Appliance ist ein Linux Derivat (ForeScout Linux). Das ForeScout Linux und
die CounterACT sind als ISO Image verfügbar und stehen berechtigten Benutzern auf der Webseite
von ForeScout zur Verfügung4 .
Die in dieser Studie untersuchte Plattform ist ein CT-1000 mit der Software Version 6.3.1.
Für die Evaluation von Produkten ist es wichtig, im Vorfeld zu definieren, nach welchen Kriterien evaluiert wird. Es ist auch wichtig, zu wissen, in welchem Umfeld ein Produkt eingesetzt wird. Dies hilft beim
Design der Testumgebung und bei der Vorbereitung von Testszenarien.
In diesem Kapitel folgen eine Erläuterung der Methodik des Evaluierungsprozesses und eine ausführliche Beschreibung der ausgeführten Tests mit den erzielten Ergebnissen und den gewonnenen Erfahrungen.
Für das Testing wurde ein 3-Phasiger Prozess gewählt. Das Ziel der ausgewählten Methodik war es, die
in einer Phase gewonnenen Erfahrungen für die nächste Phase zu optimieren und zu verwenden.
4 Das ISO Image kann auf gewöhnlicher Hardware problemlos installiert werden. Der Hersteller unterstützt nur Installationen auf zertifizierten vom Hersteller
beschafften Appliances.
Seite 32 von 93
Master-Thesis-1.0.doc
5.2 Phase 1
Ziel dieser Phase war es,
•
das Setup des Systems kennenzulernen
•
die Anforderungen an die Infrastruktur zu erforschen
5.2.1 Produktinformationen
Folgende Information wurde der Produktdokumentation entnommen:
Das System CounterACT besteht aus folgenden Komponenten:
Die Appliance ist das eigentliche NAC System. Eine Appliance kann entweder als Einzelsystem installiert und über die Console gemanagt oder als „Enterprise Manager“ installiert werden und weitere Appliances steuern. Das Modell CT-R kann nur als Appliance installiert und mit einem „Enterprise Manager“ benutzt werden.
Der „Enterprise Manager” ist eine Appliance, die aber für das Management mehrerer Appliances
eingesetzt wird. In ihm werden die Informationen der einzelnen Appliances gesammelt und in der Console des Enterprise Managers dargestellt.
Die Console ist die Management-Applikation des Systems. Über die Console können die Funktionen
des NAC Systems konfiguriert und genutzt werden.
Funktionen & mögliche Standorte
Die Lösung bietet mehrere Funktionen an: IPS, Admission Control, Firewall. Um die Funktionen effektiv zu nutzen, spielt der Standort der Appliance eine wichtige Rolle. Die folgende Tabelle fasst die
Funktionen und die geeigneten Standorte für die Platzierung der Appliance im Netzwerk zusammen.
Tabelle 4: Funktionen/Standorte
Funktion
Standort
IPS
Zwischen dem internen Netzwerk und allen
anderen Netzwerken.
Hinter VPN-Gateways und Remote Access
Servern.
Admission Control
Innerhalb von „Broadcast Domains“.
Firewall (Virtual)
Zwischen “segments”/VLANs.
Seite 33 von 93
Master-Thesis-1.0.doc
Reporting & Logging
Die CounterACT Lösung besitzt weitere Tools für die Generierung von Berichten über Systeme, die Verletzung von Richtlinien, entdeckte Malware und weitere.
Console Control Center
Die Appliance oder der „Enterprise Manager“ werden über die Console Applikation gemanagt. Das Herz
der Console ist das „Console Control Center CCC“. Über das „CCC“ können alle anderen Module
und Management Tools der Appliance erreicht werden. Im „CCC“ erscheinen die gesammelten Informationen über die Endsysteme im Netzwerk.
5.2.2 Testaufbau
Damit die Ziele dieser Phase erreicht werden können, wurde folgendes Setup verwendet.
Internet
193.5.86.86
193.5.86.64/26
Testumgebung
Phase1
193.5.86.124
193.5.86.193
Winddows2008 Server
AD: nac.demonet.ch
Response
193.5.86.192/26
Core
Distribution
Access
Monitoring
MNGT
CounterACT
Abbildung 11 : Phase 1
Netzwerkverbindungen
Eine typische Implementierung einer CounterACT erfordert drei Netzwerkverbindungen:
Management: Für das Management der Appliance über die Console Applikation.
Seite 34 von 93
Master-Thesis-1.0.doc
Monitoring : In der Regel eine Verbindung zu einem Distribution Switch. Das Interface des Switches
muss als Mirror Port konfiguriert werden (der Netzwerkverkehr vom Access Switch aus wird zu diesem
Port gespiegelt. Somit kann die Appliance den ganzen Netzwerkverkehr von und zu den Access Switches beobachten.
Response: Über diese Verbindung wird die Appliance Response-Pakete ins Netzwerk senden (z.B „http
redirection“ oder „Firewall blocking“).
Ablauf des Tests
1) Die Testumgebung wurde gemäss den Empfehlungen der Hersteller aufgebaut. Wie in der Abbildung 11 ersichtlich, wurden die Endgeräte an einen Access Switch angeschlossen und dieser
über einen Distribution Switch mit dem Core Switch verbunden. Die Ressourcen in diesem Test
beschränken sich auf eine AD2008 Domäne für die Authentisierung und einem Zugang zum Internet über das Demonet Testnetzwerk in der BFH.
2) Die Appliance wurde an drei Stellen ans Netzwerk angeschlossen: Management - Core, Response – Distribution, Monitoring – Distribution. Das Interface des Distribution Switches wurde als
“Monitor” Port konfiguriert. Der von und zu allen anderen Interfaces des Distribution Switches
ausgehender und eingehender Netzwerkverkehr wurde zum „Monitor“ Port gespiegelt. Somit
kann die Appliance den Netzwerkverkehr von und zu den Endgeräten überwachen. Die Netzwerkverbindungen der Appliance sind sehr wichtig für einen wirksamen Einsatz der Appliance.
3) Beim Einschalten der Appliance gelangt man in ein vereinfachtes Setup-Menu, das bestimmte
Informationen verlangt (Name, Management IP-Adresse, Domäne, Login-Informationen), die
für die Verbindung mit der Appliance über die Console Applikation und die Komplettierung der
Konfiguration benötigt werden.5
4) Nachdem die Appliance über ihre Management IP Adresse im Netzwerk erreichbar geworden
ist, kann man die Console Applikation der Appliance herunterladen (https://managementip/install) und installieren. Von nun an kann die Appliance über die Console Applikation gemanagt werden.
Abbildung 12: Login
5) Nach dem Login gelangt man in das Console Control Center. Über Menu-Item Options werden die weiteren Setup Informationen eingegeben.
5 Das Setup der Appliance ist in den Manuals sehr gut beschrieben.
Seite 35 von 93
Master-Thesis-1.0.doc
Abbildung 13: Console Control Center
6) Hier können alle weiteren Einstellungen vorgenommen werden, die
für die Funktionen der Appliance
wichtig sind.
Abbildung 14:Options
Seite 36 von 93
Master-Thesis-1.0.doc
5.2.3 Erkenntnisse
Das Setup der Appliance ist sehr einfach und übersichtlich gestaltet. Mit wenigen Eingriffen kann man
das Basis System herstellen.
Über das Console Control Center kann die Appliance vollständig gemanagt werden.
Funktionen:
NAC Policy Compliance: Das System kann anhand bestimmter Kriterien Endgeräte auf Einhaltung der konfigurierten Richtlinien prüfen und den definierten Massnahmen entsprechend
einsetzen.
Die Parameter, welche als Kriterien für eine bestimmte Richtlinie benutzt werden, können aus
verschiedenen Kategorien ausgewählt werden:
Endgerät: Hardware wie MAC Adresse, NIC Hersteller, …
Betriebssystem: Windows, Linux und Macintosh (Operating System, Process Running, File Size, Linux Logged-in User)
Applikation: auf dem System installierte Applikationen, File Informationen, …
Infrastruktur: LDAP ( Benutzer Informationen), Switch(Ports und VLAN Informationen), SNMP
(Informationen über Netzwerkkomponenten), ...
Events: Arp Spoofing, Admission, Authentication Login, Malicious Event, ...
Änderungen: DNS-Name Change, Files created/deleted, File Size/Version Change, …
Komplexe Kombinationen verschiedener Parameter können als Kriterien benutzt werden.
Die Massnahmen bzw. Actions, welche bei einer Übereinstimmung mit einem Kriterium eingesetzt werden, variieren von Klassifizierung und Benachrichtigung bis zur Verweigerung des
Zugriffs und Blockierung oder Beendung des Prozesses.
Tabelle 5: Conditions & Actions
Kriterien
Action & Massnahme
Seite 37 von 93
Master-Thesis-1.0.doc
Es bestehen auch Möglichkeiten, um ein
Endgerät richtlinienkonform zu machen
(Remediation). Die Remediation beinhaltet u.a. das Starten oder Stoppen
von Applikationen und Updates von Systemen (entweder automatisch oder via
selfRemediation bei Windows Systemen).
Bei der „selfRemediation“ wird dem Benutzer eine Liste der fehlenden Updates
mit den entsprechenden Anleitungen
präsentiert. Im Übrigen kann über den
Remediation-Prozess ein USB Massenspeichergerät deaktiviert werden.
Abbildung 15: Remediation
IPS (Threat Protection)6 : Das System besitzt ein eigenes IPS System und nutzt die von ForeScout patentierte Lösung (Active Response) für die Bekämpfung von Worms und selbstverbreitender Malware. Die Appliance entdeckt malicious Hosts, die versuchen, andere Systeme
im Netzwerk zu infizieren. Mit einer selbstentwickelten Methode kann die Appliance solche „malicious Hosts“ davon abhalten, andere Systeme zu infizieren. Die Appliance erkennt die „malicious Hosts“ durch Scan-Zeichen und identifiziert die Scan-Techniken. Die Appliance reagiert auf
solche Tätigkeiten mit dem Versand von markierten Informationen zum Host über virtuelle Ressourcen im Netzwerk. Wenn der „malicious Host“ diese Informationen benutzt, wird er sofort
von der Appliance erkannt und entsprechend behandelt. Es stehen drei Möglichkeiten für die
Behandlung von „malicious Hosts“ zur Verfügung.
Monitor: Bei dieser Methode wird der Host lediglich überwacht. Er darf weiterhin mit dem
Netzwerk kommunizieren, seine Tätigkeiten werden jedoch registriert.
Port-Block: Für eine bestimmte Periode wird die Kommunikation mit dem bedrohten Service
blockiert.
Host-Block: Für eine bestimmte Periode wird die Kommunikation mit dem Netzwerk blockiert.
Alle erwähnten Behandlungsmethoden können an den Typ der Attacke angepasst werden.
Service Attack: Es besteht auch die Möglichkeit, den attackierten Service zu blockieren. Wenn
die Appliance feststellt, dass ein Service von anderen Hosts bedroht wird, wird dieser Service
auf allen Hosts gemäss Konfiguration überwacht oder blockiert werden. Bestimmte Services, die
normalerweise von vielen Hosts im Netzwerk kontaktiert werden, werden ignoriert (TCP ports
68, 80, 113, 443, 1080 UDP ports 68, 113, 1080, 33434-33524).
6 CounterACT kann keine Hosts, die in der gleichen Zelle (Cell) positioniert sind, davon abhalten, sich gegenseitig zu infizieren.
Seite 38 von 93
Master-Thesis-1.0.doc
Bemerkung:
Bei der Konfiguration der IPS besteht die Möglichkeit, Ausnahmen und Massnahmen (Actions)
manuell zu definieren, wie z.B Hosts manuell blockieren. In IPS muss auch definiert werden,
welcher Bereich des Netzwerks mit „Active Response Range“ geschützt werden soll.
Malicious Hosts Aktivitäten können als Parameter für die Erstellung von NAC Policy benutzt
werden.
Virtual Firewall: Das CounterACT System verfügt über einen Mechanismus für den Schutz
oder die Blockade von Hosts oder Netzwerksegmenten. Diesen Mechanismus nennt ForeScout
Virtual Firewall. Die Virtual Firewall funktioniert auf der Basis von TCP Resets. Das bedeutet,
dass nur der TCP Verkehr zwischen unterschiedlichen VLAN’s oder zwischen Hosts im gleichen
VLAN aber auf unterschiedlichen Switches mit dieser Firewall kontrolliert werden kann.
Abbildung 16: Virtual Firewall / UDP
Die Virtual Firewall Funktion kann als Massnahme “Action” bei der Verletzung einer Richtlinie
eingesetzt werden.
Begrenzung: Die IPS und die Virtual Firewall Funktion sind nicht fähig, ein verseuchtes Endgerät
davon abzuhalten, andere Systeme im gleichen VLAN auf dem gleichen Switch zu infizieren.
Dese Funktionen können somit die Verbreitung von Infektionen auf Hosts in der gleichen Zelle
nicht stoppen.
Wirksam
Access
Nicht
Wirksam
Response
VLAN Violet
Core
VLAN Blau
Distribution
Access
Monitoring
MNGT
CounterACT
Abbildung 17: Wirksamkeit IPS/Virtual FW
Seite 39 von 93
Master-Thesis-1.0.doc
Tools:
Vulnerability Management:7 Dieses Tool ermöglicht es, Systeme nach fehlenden Sicherheitsupdates von Microsoft & Macintosh Betriebssystemen, Applikationen und offenen Services
zu scannen. Die Scan Resultate können als Parameter für NAC-Richtlinien verwendet und die
Remediation Prozesse somit automatisiert werden.
Abbildung 18:Vulnerability Management
7 Vulnerability Management erfordert „deep Inspection“ und Befragung von Hosts. Da CounterACT eine Out-of-Band Lösung ist und nicht im Datenpfad steht,
müssen gewisse Voraussetzungen erfüllt werden, damit es eingesetzt werden kann.
Seite 40 von 93
Master-Thesis-1.0.doc
Informationen, Reports & Asset Portal: Das System liefert ausführliche Informationen über
die entdeckten Systeme. Im „Information Panel“ des CCC erscheinen Endgerätinformationen,
die eingesetzten Richtlinien und die geplanten und ausgeführten Massnahmen mit den erzielten
Resultaten. Im „Details Panel“ können sehr detaillierte Informationen über die im Information
Panel erscheinenden Hosts abgerufen werden. Diese beinhalten u.a. alle während einer bestimmten Periode registrierten Daten und alle verdächtigen Verbindungen, welche der Host aufzubauen versucht hat (inkl. Zielsysteme und verwendete Techniken).
Abbildung 19: Details Panel
Das System beinhaltet auch Möglichkeiten für die Generierung von verschiedenen, anpassbaren
Berichten mithilfe bestehender Vorlagen.
Abbildung 20: Berichtvorlagen
Das System bietet ausführliche Informationen über Systeme und Benutzer über sein „Assets
Portal“ an. Zusätzlich zu den Netzwerk- und Systeminformationen enthält es Informationen
Seite 41 von 93
Master-Thesis-1.0.doc
über Richtlinienverstösse, verdächtige Aktivitäten, eingesetzte Massnahmen und offene Services.
Plugins: Die CounterACT Lösung ist modular eingebaut. Die Hauptfunktionen des Systems
können ohne die Installation der Plugins nicht ausgeführt werden. Mit dem Setup des Systems
wird ein Plugins-Bundle (LDAP, Switch, DNS-Client, Property-Scanners und Reports) installiert,
das für die Erfüllung der Hauptfunktionen nötig ist. Weitere Plugins können (von autorisierten
Kunden) über das Webportal der Hersteller heruntergeladen und installiert werden. Updates für
die installierten Plugins können über eine eingebaute Funktion installiert werden. Es stehen viele Plugins zur Verfügung. Im Folgenden eine Liste über die im Moment vorhandenen Plugins8.
Tabelle 6: Plugins
Plugin Name
PCI (payment card industry)
VPN Concentrator
802.1x
Wireless
EEyeRetina
SMS
Syslog
Host Property Scanner
Plugin Name
Macintosh/Linux Property Scanner
LDAP
Switch
Firewall-1 SAM
Firewall-1 ELA
Netscrean
Cisco Pix Firewall
Router
Qualys
Weitere Informationen über die Funktionen der einzelnen Plugins findet man auf dem Webportal der Hersteller unter folgendem Link:
http://www.forescout.com/support/index.php?url=counteract&section=plugins&version=6.3.2-300
8 Plugins sind von der Version abhängig.
Seite 42 von 93
Master-Thesis-1.0.doc
Voraussetzungen:
Damit die verfügbaren Funktionen und Tools wirksam eingesetzt werden können, stellt das System gewisse Anforderungen an die Infrastruktur und an die zu kontrollierenden Endgeräte.
Voraussetzungen an die Infrastruktur:
1- Die Appliance muss an einem Ort installiert werden, wo sie einen grossen Teil des Netzwerkverkehrs überwachen kann. Die Monitor- und Response- Interfaces der Appliance sollten am
Besten an einem Distribution Switch angeschlossen werden. Falls das Netzwerk in VLAN’s unterteilt ist, müssen die Switch Interfaces, an denen die Monitor und Response Interfaces angeschlossen sind, als .1Q Trunks konfiguriert werden. Der Netzwerkanschluss, an dem das Monitor Interface angeschlossen ist, muss als Mirror Port konfiguriert werden.
2- Die Netzwerkkomponenten müssen SNMP-fähig sein. Die Appliance benötigt Read/Write Zugriff
auf die Netzwerkkomponenten, damit Switch-Port-Block, VLAN Zuweisung, Quarantäne oder Firewalling Massnahmen (Actions) ausgeführt werden können.
3- Die Appliance braucht Administratorrecht (Admin Account), damit Vunerability Management
Scans und NAC-Richtlinien auf Endgeräten ausgeführt werden können.
Voraussetzungen an Endgeräte (Vulnerability Management, Prozesshandling):
1- Bei Endgeräten mit Windows Betriebssystem müssen Ports 137/UDP und 139/445 TCP offen
sein, damit eine Systembefragung stattfinden kann. Desktop Firewalls müssen entsprechend
angepasst werden.
2-
Fremde Endgeräte müssen der Appliance entweder die lokalen Credentials bekannt geben oder
einen Agent (SecureConnector) installieren, damit Systembefragung und Prozesshandling zusätzlich zu den Anforderungen an die Desktop-Firewall stattfinden können.
3- Bei VISTA Endgeräten muss die UAC Funktion deaktiviert werden.
Weitere Voraussetzungen sind im Handbuch des CounterACTs zu entnehmen9.
9 CounterACT-6.3.1-Console-User-Manual
Seite 43 von 93
Master-Thesis-1.0.doc
5.3 Phase 2 & 3
5.3.1 Einführung
Testphasen 2 und 3 werden hier zusammengefasst, da der produktive Einsatz im Netzwerk der BFH
nicht erwünscht war. Stattdessen wurde ein Testnetzwerk (VLAN 238) in der Infrastruktur der BFH erstellt, wo scharfe Tests erlaubt waren. Ein Teil des Netzwerks der BFH (VLAN 232) wird ebenfalls überwacht, es werden aber keine scharfen Tests in diesem Bereich ausgeführt werden.
Ziel dieser Phase ist es, die Funktionen und Tools der CounterACT zu testen und herauszufinden, welche Funktionen für die BFH relevant sein könnten und ob sie die Bedürfnisse der BFH abdecken können.
Die Vorbereitungen für die Installation im Netzwerk der BFH wurden vorgenommen. Dabei wurde das
VLAN 238 (WANK-NAC) auf dem Core erstellt und die Verbindungen zwischen dem Distribution Switch,
der Appliance und der Testumgebung wurden realisiert. Für die Authentisierung von Benutzern wurde
eine AD2008 Domäne in der Testumgebung erstellt. Für die Dienste Email-Relay, LDAP-Abfragen und
Internet Access wurden die Ressourcen der BFH benutzt.
Die Appliance wurde mit den neuen Informationen neu aufgesetzt, sodass der Überwachungsbereich
die VLANs 232, 236 und 238 abdeckt. Als Response-Bereich wurde nur VLAN 238 definiert.
Testaufbau
MATRI
1
SERIES
2
3
4
5
6
E7
7
AC ON
I
O
POWER
FAN
LINE:
100 - 125V~ 12A
200 - 240V~6A
50 / 60Hz
Abbildung 21: Phase 2-3
5.3.2 Richtlinien Design
Die Testszenarien wurden so geplant, dass die wesentlichen Funktionen des NAC Systems untersucht
werden konnten. Obwohl die Unternehmen unterschiedliche Richtlinien haben, sind gewisse Richtlinien
bei allen Unternehmen vorhanden. Im folgenden Teil des Berichts werden diese allgemein benötigten
Richtlinien definiert und es wird überprüft, ob sie mit der CounterACT Lösung ungesetzt werden können.
Seite 44 von 93
Master-Thesis-1.0.doc
CounterACT stellt für diesen Zweck
eine Reihe von bereits konfigurierten Vorlagen zur Verfügung, die direkt verwendet oder den Unternehmensrichtlinien entsprechend angepasst werden können. Wie in nebenstehender Abbildung ersichtlich,
decken diese Vorlagen folgende Bereiche ab:
•
Klassifizierung der Komponenten
•
Gästezugriff
•
Compliance
Macintosh)
•
infizierte und
Endgeräte
(Windows
&
verdächtige
Abbildung 22: Richtlinienvorlagen
Die Vorlagen beinhalten Richtlinien Definitionen mit nur einer harmlosen Massnahme (Zuweisung zu einer bestimmten Gruppe), die bei der Verletzung der Richtlinie eingesetzt wird. Scharfe Massnahmen
sind keine definiert worden, weil sich die Unternehmen diesbezüglich unterscheiden.
Richtlinie 1 : Klassifizierung der Komponenten
In jedem Unternehmen besteht der Bedarf für „Assets Management“. Die Vorlage „Asset Classsification“
klassifiziert die (im Monitoring-Bereich der Appliance) entdeckten Systeme anhand ihrer Nmap-NetworkFunktion. Die Vorlage ist anpassbar und kann verschiedene Kriterien als „condition“ beinhalten (siehe
Tabelle 5: Conditions & Actions). Hier ist es eine sinnvolle Massnahme, die Komponenten gemäss definierter Kriterien vordefinierten Gruppen zuzuordnen. Es besteht die Möglichkeit, neue „Asset“ Richtlinien sowie Sub-Rules (= unter-Richtlinien) für die feinere Klassifizierung und die Implementation der
Massnahmen zu definieren.
Richtlinie 2: Gäste
Wie beim „Assets Management“ besteht in jedem Unternehmen der Bedarf, Zugriff von Gästen auf das
Unternehmensnetzwerk zu kontrollieren. Die Richtlinienvorlage „Guests“ ist nach dem Konzept „alle anderen sind Gäste“ zusammengestellt. Die Richtlinie definiert Gäste als diejenigen, welche:
-
keine Domäne-Member sind.
-
sich während einer bestimmten Periode
i. nicht mit einem Authentifizierungsserver oder dem CounterACT http Login authentifiziert haben.
ii. nicht in eine bekannte NetBIOS Domäne eingeloggt haben.
Seite 45 von 93
Master-Thesis-1.0.doc
Falls die Situation eines Systems mit allen oben beschriebenen Kriterien übereinstimmt, wird dieses als
Gast behandelt. Die Massnahmen, welche in dieser Richtlinie definiert sind, werden durchgesetzt. Eine
angebrachte Massnahme wäre:
-
Zuweisung zu einer bestimmten Gruppe (Gäste).
-
Den Switch-Port einem vordefinierten VLAN zuweisen (Gäste-VLAN).
Ab hier hat das Gastsystem nur entsprechend der Definition des Gäste-VLAN’s Zugriff.
Die Definition der Richtlinie kann an die Sicherheitsrichtlinien jedes Unternehmens angepasst werden.
Entspricht die Situation eines Systems den oben beschriebenen Kriterien nicht, dann ist es ein „Corporate bzw. Unternehmenssystem“. Die entsprechenden Massnahmen werden eingesetzt.
Das Design der Guest-Richtlinie behandelt jedes System vor der Identifizierung als Gastsystem und
startet die Richtlinie „Guest“. Wenn das System der Definition der „Guest“-Richtlinie nicht entspricht, gilt
es als Unternehmenssystem. Das Design bietet bessere Sicherheitsmöglichkeiten.
Abbildung 22: Richtlinie „Gäste“
Seite 46 von 93
Master-Thesis-1.0.doc
Richtlinie 3: Richtlinienkonformität (Windows Compliance)
Die Richtlinienvorlage für Konformität bzw.
Compliance deckt die Bedürfnisse in vielen Unternehmen ab und bietet Möglichkeiten für eine
Voll- oder Teilimplementation. Eine Vollimplementation (Full Compliance) bedeutet, dass Endsysteme gegen die Teilrichtlinien geprüft werden.
Trifft eine Teilrichtlinie zu, werden die anderen
Teilrichtlinien nicht bearbeitet, bis die Massnahme für die zutreffende Teilrichtlinie eingesetzt
wurde (Abbildung 23). Die Teilrichtlinien sind editierbar und können entsprechend den Unternehmensrichtlinien angepasst werden. Im Folgenden
wird die Implementation der Teilrichtlinien näher
beschrieben.
Abbildung 23: Compliance
Abbildung 24: Bearbeitung der Teilrichtlinien
Seite 47 von 93
Master-Thesis-1.0.doc
Richtlinie 3.1 : Personal Firewall Compliance
Die Richtlinienvorlage prüft, ob eine Personal-Firewall Applikation auf einem Endgerät nicht aktiv ist. Die Prüfung
basiert auf einer vordefinierten Liste. Die Konfiguration
erlaubt es, mehrere Applikationen auszuwählen. Das System kann auch neue Personal-Firewall Applikationen automatisch prüfen. Wird festgestellt, dass eine PersonalFirewall nicht aktiv ist, werden vordefinierte Massnahmen
eingesetzt, die sich jedoch auf die Zuweisung des Endgeräts zu einer anderen Gruppe und die Benachrichtigung
des Benutzers beschränken. Die Benachrichtigung kann
ebenfalls vom Administrator gestaltet werden.
Abbildung 25: Richtlinie Personal Firewall
Richtlinie 3.2 : AntiVirus Compliance
Die Richtlinienvorlage für AntiVirus untersucht das Endgerät entweder nach einer bestimmten AntiVirus
Applikation oder mehreren AntiVirus Programmen aus einer Liste. Die Liste beinhaltet eine Reihe von
bekannten AntiVirus Programmen. Die Richtlinie prüft, ob ein AntiVirus „nicht installiert“, „nicht aktiv“
oder „nicht aktuell“ ist. Die 3 Varianten sind separat konfiguriert, jede Teilrichtlinie kann über passende
Massnahmen verfügen.
AntiVirus not installed: Für diese Richtlinie bestehen u.a. die Möglichkeiten, den Benutzer via
Mail oder http zu benachrichtigen oder ihn zu einem Remediation Portal zu begleiten und ihm
die Chance zu geben, ein AntiVirus Programm herunterzuladen und zu installieren.
AntiVirus not running/ not updated: Hier stehen zusätzlich passende Massnahmen wie
Starten des AntiVirus Programms oder - falls es nicht aktuell ist - seines Update Programms.
Richtlinie 3.3 : Windows updates required
Das System besitzt eine aktuelle Liste der von Windows verfügbaren Sicherheitsupdates und Fixes und
ihrer Download Links. Die Liste wird automatisch über das Update Programm der CounterACT aktualisiert. Hier stehen verschiedene Möglichkeiten als Massnahmen zur Verfügung:
Self-Remediation: Bei der Feststellung eines fehlenden Sicherheitsupdates oder einer „Vulne-
rability“ wird der Benutzer benachrichtigt (http- Hijacking, Email). Der Benutzer bekommt mit
der Benachrichtigung eine Liste des fehlenden Updates und wird bei der Installation begleitet.
Nach der Installation des fehlenden Updates wird das Endgerät neu untersucht, um festzustellen, ob weitere Updates fehlen. Ist dies nicht der Fall und bestehen keine anderen Richtlinienverstösse, wird dem Benutzer der Zugriff wieder gewährt.
Seite 48 von 93
Master-Thesis-1.0.doc
Start Windows Update:
Bei dieser Variante kann der Update Prozess automatisch gestartet werden. Das Update kann
entweder über den Microsoft Update Server oder
über einen internen WSUS Server bereitgestellt
werden. Es stehen weitere Möglichkeiten in Bezug
auf die Art des Updates zur Verfügung:
•
Updates herunterladen und den Benutzer zur
Installation auffordern
•
Vollautomatisch herunterladen und installieren
Falls nach der Installation ein Neustart des Endgeräts nötig ist, gibt es zwei Möglichkeiten:
•
Benutzer auffordern, das Endgerät neu zu
starten
•
Benutzer benachrichtigen, dass das Endgerät
in 5 Minuten neu gestartet wird (nach der Installation)
Abbildung 26: Start Windows Update
Richtlinie 3.4: Peer-2-Peer installed
Die Richtlinie untersucht Endgeräte nach installierten P-2-P Applikationen. Das System besitzt eine Liste
der aktuellen P-2-P Applikationen und kann anhand der Konfiguration nach jeder in der Liste vorhandenen Applikation oder nach bestimmten Applikationen suchen. Es besteht auch die Möglichkeit, neue P2-P Applikationen zu entdecken.
Die Richtlinie gilt als verletzt, wenn eine der definierten P-2-P Applikationen installiert ist. Die Massnahmen bei einer Verletzung variieren stark. In der folgenden Tabelle werden mögliche aufgezeigt:
Tabelle 7: Peer-2-Peer
Bei Verstoss gegen die P-2-P Richtlinie
Implementation
1
Benutzer auffordern, die Applikation zu entfernen
http, Email
2
Zusätzlich zu (1) den Prozess der Applikation stoppen
Remediate\ Kill Peer-2-Peer Prozess
3
Zusätzlich zu (1) Applikation deinstallieren
Mit SMS Plugin oder ein präpariertes Script ausführen
Zusätzlich zu (1) Netzwerkverkehr vom u/o zum Endgerät blo- Virtual Firewall aktivieren
4 ckieren
Switch-Port schliessen
oder
5 Zusätzlich zu (1) das Endgerät in ein anderes VLAN umplatzie- VLAN Zuweisung
ren, damit der produktive Netzwerkverkehr nicht behindert
wird. 10
10 Das VLAN, wo die Endgeräte platziert werden, ist entweder durch Netzwerk QS Mechanismen in seiner Bandbreite beschränkt oder hat einen separaten Zugang zum Internet.
Seite 49 von 93
Master-Thesis-1.0.doc
Richtlinie 3.5 : IM Installed (Instant Messaging).
Diese Richtlinie ist ähnlich aufgebaut wie die P-2-P Richtlinie. Dieselben Massnahmen können angewendet werden.
Richtlinie 3.6 : USB Connected Hosts
Die Richtlinie sucht nach installierten USB Geräten
bestimmter Hersteller oder Typen und reagiert entsprechend. Bei Unternehmen, wo die Verwendung
von externen Speichergeräten nicht erlaubt ist, kann
durch diese Richtlinie eine Deaktivierung solcher Geräte erzwungen werden. Von dieser Richtlinie betroffen sind USB Geräte, welche Speichermedien haben wie USB Sticks und Kameras. USB-Geräte wie Modems, die keinen Speicher haben, werden nicht behandelt. Alle Massnahmen (wie bei allen Richtlinienvorlagen), ausser dem Hinzufügen des Endgeräts zu
einer Gruppe, sind deaktiviert. Bei der Aktivierung
der Massnahme (Disable USB Devices), bleiben diese
„disabled“, auch wenn der Benutzer das USB-Gerät
entfernt und wieder einsteckt. Nur durch eine Deaktivierung der Massnahmen kann das USB-Gerät wieder
verwendet werden.
Das Deaktivieren von USB Devices benötigt eine Installation des SecureConnectors auf dem Endgerät
Abbildung 27: USB Connected Host
Bemerkung: Die Richtlinien 3.1 – 3.6 sind für Windowssysteme gültig.
Richtlinie 4 : Macintosh Update
Die Richtlinienvorlage Macintosh Update ist von der Zielsetzung her der Richtlinie „Windows Update Required“ ähnlich.
Richtlinie 5 : Malicious Hosts
Die Richtlinienvorlage „Malicious Hosts“ benutzt die Daten aus dem IPS System als Kriterien für die Behandlung von verdächtigen Aktivitäten. Das System besitzt eine Liste sämtlicher Scanmethoden, Anomalien und weiterer Angriffsmethoden und verwendet „Active Response Technology11“, um diese Angriffe zu erkennen.
11 „Active Response Technology” ist von Forescout patentiert.
Seite 50 von 93
Master-Thesis-1.0.doc
Malicious Hosts werden in erster Linie vom
Intrusion Prevention System der CounterACT behandelt. Das IPS System bietet wie
bereits beschrieben Massnahmen wie
Host-Monitoring, Host-Blocking oder Sevice-Blocking an. Diese Richtlinienvorlage
ermöglicht es, weitere Massnahmen gegen
Malicious Hosts einzusetzen.
Die Vorlage verwendet alle dem System
bekannten „malicious events“ als Kriterien
für die Richtlinie. Als Action wird die Addierung das Malicious Host
Abbildung 28: Malicious-Host-Actions
zu einer vordefinierten Gruppe vorgeschlagen. Der Administrator kann die Richtlinie
den
Unternehmenssicherheitsrichtlinien
entsprechend anpassen. Eine angemessene Massnahme könnte es sein, den Benutzer via Email oder http zu benachrichtigen
und ihn darüber zu informieren, welche
Massnahme vorgenommen wird. Darüber
hinaus wird er aufgefordert, den Administrator des Netzwerks schnellstmöglich zu
kontaktieren.
Abbildung 29: Malicious Events
Die oben beschriebenen Richtlinienvorlagen sind vom System vordefiniert und vorbereitet als Vereinfachung der Implementierung des NAC Systems. Die Vorlagen sind von den Kriterien her generisch eingerichtet und passen zu jedem Unternehmen. Die ausgewählten Massnahmen sind harmlos, damit der
Administrator selber entscheiden kann, welche Massnahmen (den Sicherheitsrichtlinien der Unternehmen entsprechend) eingesetzt werden sollen.
Zusätzlich zu den beschriebenen Richtlinienvorlagen gibt es die Möglichkeit, massgeschneiderte Richtlinien zu definieren. Es können komplexe Verknüpfungen zwischen Informationen aus verschiedenen
Quellen als Kriterien verwendet werden.
Die Endgeräte werden systematisch gegen die Richtlinien geprüft. Für jede Richtlinie gibt es drei Varianten für den Zeitpunkt einer Überprüfung.
•
Manuell
•
Zeitplan: Dauernd in bestimmten Zeitabständen (M, S, T) oder nach einem definierten Zeitplan eines Events.
Seite 51 von 93
Master-Thesis-1.0.doc
•
Zugriff: Wenn ein Endsystem eine Verbindung zum Netzwerk aufzubauen versucht oder verlangt. Eine Überprüfung kann entweder bei jedem Verbindungs- oder Zugriffsversuch stattfinden oder nur bei einer bestimmten Zugriffsart (z.B. DHCP Request, Switch-Port Change, Login,
etc).
Die manuelle Methode kann nur allein implementiert werden, die Methoden Zeitplan und Zugriff können
kombiniert werden.
Es bestehen weitere Möglichkeiten für die Definition von
Richtlinien. Es können HauptRichtlinien definiert werden,
welche aus Teilrichtlinien bestehen. Die Teilrichtlinien
können individuelle Kriterien
und Massnahmen enthalten.
Somit können komplexe, verschachtelte Richtlinien gebildet werden.
Abbildung 30: Sub-Rules
Seite 52 von 93
Master-Thesis-1.0.doc
5.3.3 Prüfen der Anforderungen der BFH an das NAC-System
Es liegt in der Natur einer Hochschule, dass die meisten der benutzten Endgeräte den Netzwerkadministratoren fremd sind. Die Endgeräte der Studenten, der Gastreferenten und die privaten Endgeräte
der Dozenten sind die eigentliche Gefahr, die behandelt werden muss. Dass der Administrator keine
Kontrolle über die Endgeräte hat, stellt für die BFH (und jede andere Schule) ein grosses Hindernis dar.
Die Gefahren aus Endgeräten, die bereits unter Kontrolle sind (Endgeräte der Mitarbeiter, offizielle Endgeräte der Dozenten, etc.), müssen natürlich auch in den Griff bekommen werden. Da jedoch diese
Endgeräte bereits unter Kontrolle sind, ist die Durchsetzung von Richtlinien und Massnahmen einfacher.
Aus diesen Gründen werden die Anforderungen an die NAC Systeme bezüglich der externen und der internen Endgeräte isoliert diskutiert. Die Anforderungen an das System in Bezug auf Management und
Reporting werden am Ende des Kapitels beschrieben.
Im nächsten Abschnitt werden die Anforderungen an das NAC System bezüglich der externen Endgeräte mithilfe der passenden Testsszenarien geprüft.
Testaufbau und Testbedingungen
Die Prüfung der Anforderungen wurde in der folgenden Testumgebung mit den in der Abbildung ersichtlichen Einstellungen durchgeführt.
MORG
WWW
BFH-Core
UniBERN
Mail
LDAP
SWITCH
DNS DHCP-232
GRZE-BFH-Infrastruktur
MATRI
LAB-Test-VLAN 238
(Testkomponenten)
SERIES
1
2
3
4
5
AD:nac.demonet.ch
2008 Server
DHCP-238
E7
6
7
PC5
PC5
VISTA
Trunk/Response
Trunk(VLANs 232,236,238)
AC ON
I
O
POWER
FAN
HUB
BFHH001
BFHH002
PC4
LINE:
100 - 125V~ 12A
200 - 240V~ 6A
50 / 60Hz
GRZEDistribution
PC1XP2
Trunk/Monitor
PC2
XP2
PC3
ubuntu
PC4
XP3
CounterACT
Abbildung 31: Testeinstellungen
Anforderung 1
Das System soll den Zugriff von „Unmanaged“-Systemen auf bestimmte Netzwerkressourcen erkennen
und verhindern können.
Erklärung: Die Switch-Ports in der BFH sind statisch in verschiedenen VLAN’s konfiguriert. Bei einer falschen Konfiguration können sich (theoretisch) „Unmanaged“ Systeme von Studenten oder Gästen in einem VLAN befinden, ohne dass sie dazu berechtigt sind (z.B Administrations-VLAN).
Test 1
In der Testumgebung steht die Domäne nac.demonet.ch für die Authentifizierung der Benutzer und als
DHCP-Server zur Verfügung (Abbildung 31).
- PC1 ist lokal in einer Arbeitsgruppe konfiguriert und momentan ausgeschaltet.
Seite 53 von 93
Master-Thesis-1.0.doc
Richtlinie
Resultat
Beurteilung
-
Der Switch-Port am PC1 auf Switch BFHH001 ist statisch im VLAN 232 konfiguriert.
Die Richtlinie Gast ist so konfiguriert, dass „non-Corporate“ Endgeräte der Gruppe Gast
zugewiesen und in VLAN 238 platziert werden.
PC1 wurde eingeschaltet, nach wenigen Sekunden ist PC1 eine IP-Adresse im VLAN 238
zugewiesen worden. In der CCC erscheint PC1 in der Gruppe Gast.
Anforderung erfüllt.
Anforderung 2
Das System soll beim Zugriff von „Unmanaged“-Sytemen bekannter Benutzer (Benutzer wie z.B. Studenten, welche Identitäten bei der BFH besitzen) diese anhand ihrer BFH-Credentials erkennen und korrekt zuordnen. D.h, dass das Endgerät des Benutzers, nachdem der Benutzer sich gegen ein Authentifizierungssystem korrekt authentifiziert hat, vom NAC-System als „authentifiziertes Endgerät“ erkannt
wird.
Test 2.1
Die Appliance wurde neu installiert. Für die Appliance wurde kein Benutzer mit administrativen Rechten
erstellt, es wurden auch keine Angaben über Domain Administrator oder Active Directory gemacht. Lediglich Name der Domäne und des Authentifizierungsservers sind konfiguriert (was die Authentifizierung von Benutzern anbelangt), damit es überhaupt möglich ist, eine Guest-Policy zu erstellen.
Ziel dieses Teils ist es, zu prüfen, ob die Appliance erfolgreiche Anmeldungen in der Domäne entdeckt
und anhand der Erkennung dieser die Endgeräte der Benutzer korrekt zuordnet.
Richtlinie
Die Richtlinie Gäste wurde wie folgt konfiguriert:
Domäne Mitglieder und Endgeräte von authentifizierten Benutzern sollen der Gruppe „Corporate“, alle
anderen der Gruppe „Gäste“ zugewiesen werden.
PC1 & PC2 wurden mit lokaler Arbeitsgruppe konfiguriert, PC1 & PC2 wurden gestartet.
Resultat
PC1 und PC2 wurden der Gruppe Gäste zugewiesen. In der Detailansicht der Console steht:
Abbildung 32: Authentifizierung
Seite 54 von 93
Master-Thesis-1.0.doc
Test2.1.1
Von PC1 & PC2 wurde ein Freigegebenes Verzeichnis mit folgendem Befehl verbunden:
\\IPADDRESS
IPADDRESS ist die IP Adresse des Zielsystems.
Nachdem „username“ & „password“ vom berechtigten Benutzer eingegeben wurden, wechselte der Standort der beiden PCs in der CounterACT Console von der Gruppe „Gäste“ zur Gruppe
„Corporate“.
Abbildung 33: Anmeldung
Abbildung 34: Zugriff auf Share
In der Detailansicht der Console steht, dass die Authentifizierung über Microsoft-DS (TCP 445) entdeckt
wurde. Währenddessen wurde Wireshark auf dem AD-Domain Controller gestartet, um die Kommunikation zwischen der Appliance und dem Domain Controller zu beobachten. Es wurden keine Pakete empfangen, die von der Appliance an den Domain Controller gerichtet sind.
Abbildung 35: Authentifizierung mit Microsoft-DS
Die CounterACT hat die erfolgreiche Anmeldung am Authentifizierungsserver erkannt, weshalb die zwei
PCs der Gruppe Corporate zugewiesen wurden. Die Zuweisung erfolgte lediglich aufgrund der Erkennung, dass die Benutzer erfolgreich authentifiziert wurden. Der Benutzername wurde nicht erkannt,
deshalb fehlen jegliche Informationen, die das NAC-System aus dem LDAP aufgrund des Benutzernamen herauslesen kann.
Test 2.2
Die gleichen Tests wurden wiederholt: Einmal mit dem Agent von CounterACT („SecureConnector“), der
auf den beiden PCs installiert wurde und einmal wurde der Benutzer aufgefordert, seine lokalen Credentials anzugeben (http-Login).
Resultat
In Bezug auf die Benutzerinformationen aus dem LDAP wurde das gleiche Resultat erzielt, es sind aber
mehr Informationen über den lokalen Benutzer und die lokal konfigurierte Domäne oder Arbeitsgruppe
sowie hostrelevante Informationen vorhanden.
Abbildung 36: fehlende LDAP Informationen
Seite 55 von 93
Master-Thesis-1.0.doc
Test 2.3
In diesem Test wurde die Richtlinie „Gäste“ wie folgt angepasst:
-
Fremden Endgeräten, die an das Netzwerk angeschlossen und von CounterACT bemerkt wurden, erscheint eine http Login Seite, auf der sie:
Sich an der Domäne BFH anmelden können, und, falls sie keine passenden Credentials
haben, den „Gäste“ Zugang wählen können. Es wurde eine weitere Möglichkeit für spezielle Benutzer eingerichtet, indem ein „ Secret“ definiert wurde. Gibt der Benutzer dieses ein, wird er als „Authentifizierter Benutzer“ behandelt.
Abbildung 37: Anmeldung an der Domäne BFH
Resultat
Nach einer erfolgreichen Anmeldung
an der Domäne BFH mit einem Studenten Account wurden alle relevante LDAP Informationen der Benutzer
in der Console angezeigt.
Der Benutzer wurde erkannt, nachdem er der CounterACT seine Credentials präsentiert hat.
Als Grund für die Erkennung der Authentifizierung steht, dass der Benutzer sich an der AD Domäne mit
Microsoft-DS (TCP 445) angemeldet
hat.
Um herauszufinden, woher CounterACT die Informationen hat, wurde
der gleiche Test in einer eigenen
Testumgebung wiederholt. Auf dem
AD Server wurden Einträge im „Event
viewer“ der AD-Server gefunden,
welche zeigen, dass die CounterACT
die vom Benutzer angegeben Authentifizierungsdaten benutzt hat,
um sich an der Domäne anzumelden.
Die CounterACT hat hier also für den
Client eine Proxy-Rolle gespielt.
Seite 56 von 93
Master-Thesis-1.0.doc
Die Einträge im Event Viewer der AD Server zeigen, dass nacuser1 einen Anmeldungsversuch gemacht
hat.
Abbildung 38: Event Viewer AD auf Server
Bei der Untersuchung der Einträge und Source IP Adresse der Anfrage stellt sich heraus, dass diese von
der Appliance gemacht wurde.
IP Adresse des Client: 192.168.254.23 / User nacuser1
IP Adresse der Appliance 192.168.254.102
Tabelle 8: "Event Viewer" Einträge auf dem AD-Server
Event Type: Success Audit
Event Source: Security
Event Category: Logon/Logoff
Event ID:552
Date: 13.02.2009
Time: 02:07:30
User: NT AUTHORITY\SYSTEM
Computer:BFHT010
Description:
Logon attempt using explicit credentials:
Logged on user:
User Name: BFHT010$
Domain: BFHNAC
Logon ID: (0x0,0x3E7)
Logon GUID: User whose credentials were used:
Target User Name: nacuser1
Target Domain: BFHNAC
Target Logon GUID: Target Server Name: localhost
Target Server Info: localhost
Caller Process ID: 432
Source Network Address: 192.168.254.102
Source Port: 35881
Event Type: Success Audit
Event Source: Security
Event Category:Logon/Logoff
Event ID: 540
Date: 13.02.2009
Time: 02:07:30
User: BFHNAC\nacuser1
Computer: BFHT010
Description:
Successful Network Logon:
User Name:
nacuser1
Domain: BFHNAC
Logon ID: (0x0,0x1589DB)
Logon Type: 3
Logon Process: Advapi
Authentication Package: Negotiate
Workstation Name: BFHT010
Logon GUID: Caller User Name: BFHT010$
Caller Domain: BFHNAC
Caller Logon ID: (0x0,0x3E7)
Caller Process ID: 432
Transited Services: Source Network Address: 192.168.254.102
Source Port: 35881
Die Variante mit den Administrativen Rechten für die Appliance wurde hier nicht getestet, da sie für diese Anforderung nicht relevant ist. Die CounterACT benutzt die Administrativen Rechte, um sich bei Domänenmitgliedern einzuloggen und gründliche Systembefragungen durchzuführen. Da die Endgeräte in
dieser Anforderung keine Domänemitglieder sind, ist dieser Test nicht relevant.
Beurteilung
Das NAC-System kann, ohne Benutzerangaben zu kennen, eine erfolgreiche Domänen Anmeldung
erkennen und aufgrund dieser das Endgerät als „authentifiziert“ klassifizieren. Die Klassifizierung erfolgt
hier aber global, authentifizierte Endgeräte (Corporate) werden also nicht weiter unterteilt. Es fehlen
Seite 57 von 93
Master-Thesis-1.0.doc
nämlich die nötigen Benutzerinformationen, die für eine detaillierte Aufteilung nötig sind (AD- Benutzername, AD- Gruppenname und weitere LDAP Informationen).
Wenn das NAC-System die Benutzerangaben kennt (wie in Test 2.3), werden alle nötigen Informationen
für eine granulare und detaillierte Aufteilung vorhanden sein. Aufgrund dieser Informationen können
Richtlinien und Massnahmen definiert werden.
Anforderung nur bedingt erfüllt.
Anforderung 3
Das System soll Endgeräte mit nicht aktivierten Desktop Firewalls erkennen, klassifizieren und Möglichkeiten zur Verfügung stellen können, den Benutzer rechtzeitig zu informieren.
Test 3.1
Richtlinie
-
PC1 hat Windows Firewall installiert, jedoch deaktiviert.
Die Richtlinie „Personal Firewall Compliance“ ist so konfiguriert, dass Benutzer von
Endgeräten mit deaktivierter Desktop Firewall der Gruppe „Personal FW Inactive“ zugewiesen werden. Der Benutzer wird über http über die Inaktivität seiner Firewall und
die damit verbundenen Gefahren informiert. Die Richtlinie soll versuchen, den Internet
Browser zu starten und das Browsing im Internet zu verhindern, bis der Benutzer die
Nachricht bestätigt hat.
Resultat
Es wurde nicht erkannt, dass die FW deaktiviert ist
Lösung
-
Die Appliance benötigt administrative Berechtigung, um den Status des FirewallProzesses zu erkennen. Die Richtlinie Gast muss in diesem Fall vorschreiben, dass Gäste
entweder
den Agent SecureConnector installieren oder
ihre Credentials über eine Login Seite (http Hijacking) angeben müssen, damit die Appliance diese für eine „Deep Inspection“ verwenden kann. Die Variante mit dem SecureConnector ist stabiler und kommt beim Benutzer besser an. V.a. wenn er darüber informiert wird, dass der Executable (Einstellung der Appliance) nach dem Logout automatisch deinstalliert wird. Beide Methoden dienen zur Erkennung des Firewall-Status
und der erfolgreichen Informierung des Benutzers. Die Login-Methode erfordert Anpassungen der Konfigurationen der Endgeräte.
Abbildung 39: SecureConnector
Abbildung 40: Login Credentials
Seite 58 von 93
Master-Thesis-1.0.doc
Abbildung 41: Benachrichtigung des Benutzers
Beurteilung
Anforderung teilweise erfüllt.
Anforderung 4
Das System soll out-of-date Systeme (Systeme mit fehlenden Sicherheitsupdates) erkennen, klassifizieren und Sanierungsmöglichkeiten (Remediation) anbieten können.
Test 3.1
Richtlinie
Resultat
PC1-PC5 gehören nicht zu der Domäne nac.demonet.ch (Annahme: Laptops von Studenten und Gästen).
Die Richtlinie Out-of-Date ist so konfiguriert, dass Endgeräte mit fehlenden Sicherheitsupdates (Gemäss der Liste der CounterACT) der Gruppe Gast zugewiesen werden. Danach soll die Massnahme Self-Remediation12 gestartet werden.
Keines der 5 Systeme wurde als Out-of-Date erkannt.
Mögliche Ursache: Der Host Property-Scanner (das Tool für die Erkennung von Vulnerabilities) setzt für
die Erkennung administrative Berechtigungen und mehrere Konfigurationsänderungen auf dem HostSystem vor. Da diese Voraussetzung bei fremden Komponenten schwierig zu realisieren ist, wurden
keine weiteren Versuche durchgeführt.
Lösung
Test 3.2
Die Lösung muss hier über die Richtlinie Gast implementiert werden, sodass fremde
Endgeräte gezwungen werden, den Agent SecureConnector zu installieren.
Test 3.1 wurde wiederholt, nachdem die Richtlinie Gast so angepasst wurde, dass
fremde Endgeräte aufgefordert werden, den SecureConnector zu installieren. Der Agent
„SecureConnector“ ist ein excutable und kann innert ca. 30 Sec heruntergeladen und
installiert werden.
Die Richtlinie Out-of-Date ist wie im Test 3.1 konfiguriert.
12 Self-Remediation: Dem Benutzer wird eine Liste der fehlenden Sicherheitsupdates präsentiert und er wird aufgefordert, diese Updates zu installieren. Nach
der Installation soll ein System-Recheck stattfinden.
Seite 59 von 93
Master-Thesis-1.0.doc
Resultat
2 Systeme wurden als Out-of-Date erkannt. Bei den betroffenen Systemen wurde der Benutzer via http
auf eine Seite mit den fehlenden Updates geleitet und aufgefordert, diese Updates zu installieren. Nach
der Installation soll der Benutzer den Button „Recheck My Computer“ anklicken, damit CounterACT
überprüfen kann, ob die Installation erfolgreich war und der Benutzer weiterarbeiten kann.
Abbildung 42: Richtlinie Out-of-Date
Test 3.3
Test 3.2 wurde mit den gleichen Bedingungen wie im Test 3.3 wiederholt. Geändert wurden jedoch die
Massnahmen. Hier wurde die Massnahme „Start Windows Updates“ ausgewählt. Diese Massnahme startet das Update Programm von Windows, lädt die erforderlichen Updates vom MS-Update Server herunter, installiert sie und informiert den Benutzer 5 min vor dem Herunterfahren des Rechners (Falls ein
Neustart des Rechners erforderlich ist).
Resultat
PC1 & PC5 wurden als Out-of-Date erkannt. Damit die automatische Installation von Updates ausgeführt werden kann, müssen die bereits erwähnten Voraussetzungen (Seiten 43-44) - insbesondere die
Deaktivierung des UAC Prozesses auf VISTA - beachtet werden. Das NAC System hat den Prozess „wua“
(Windowsupdate) auf beiden Systemen gestartet. Nach gewisser Zeit und einem „Recheck“ der Endgeräte gegen die Richtlinie „Out-of-Date“ verschwand der Eintrag von PC5. PC1 brauchte mehr Zeit, weil
viele Updates noch fehlten.
Seite 60 von 93
Master-Thesis-1.0.doc
Das Programm „Eventvwr“ von Windows auf PC1 besitzt
den Eintragsdienst „Automatisches Update“ und befindet
sich im Status „ausgeführt“.
In der Console der CounterACT steht, dass die Massnahme erfolgreich ausgeführt wurde.
Abbildung 43: Event Viewer Eintrag
Beurteilung
Das bedeutet aber nicht, dass der Update-Prozess abgeschlossen wurde. Dies geschieht erst, wenn der Eintrag
des Endgerätes nicht mehr in der Richtlinie erscheint.
Anforderung mehrheitlich erfüllt.
Anforderung 5
Das System soll infizierte Systeme oder Malicious Hosts erkennen, klassifizieren und verhindern können,
dass diese Systeme andere Systeme infizieren oder beschädigen.
Test 4.1
-
Auf PC1 wurde die von ForeScout zur Verfügung gestellte Applikation “ForeScout
WormScan“ installiert. WormScan ist ein Worm Simulator und kann Worms und MailWorms simulieren.
Der SecureConnector wurde von allen PC’s entfernt.
Der Wurm Simulator auf PC1 simuliert den Wurm Slapper und attackiert Hosts in VLANs
232 und 238.
Richtlinie
In dieser Testphase wurden keine Richtlinien in Bezug auf Malicious Hosts definiert, damit die Funktion
von IPS geprüft wird.
IPS wurde so konfiguriert, dass es:
i. verdächtige Aktivitäten von Hosts erkennt und klassifiziert
ii. den Host, von dem diese Aktivitäten ausgehen, blockiert
Es sind noch weitere Optionen als Massnahmen vorhanden13. Diese werden in diesem Test nicht geprüft.
13 Seihe S. 39: IPS (Threat Protection)
Seite 61 von 93
Master-Thesis-1.0.doc
Resultat
PC1 wurde vom IPS System als Malicious Host erkannt. Die konfigurierte Massnahme wurde ausgeführt, der Host und jeder TCP Verkehr zwischen Host
und Netzwerk wird blockiert14.
Abbildung 44: Malicious Host
In Abbildung 37 sind die Events
des Wurms mit Angaben über
die angegriffenen Hosts und den
betroffenen Dienst ersichtlich.
Genaue Zeitangaben und die
Massnahme sind ebenfalls ersichtlich.
Abbildung 45: Wurm-Events
Weitere detaillierte Informationen
über die Anzahl der Pakete, die
der Host zu jedem angegriffenen
Host schickt, und den Inhalt jedes Pakets sind in Abbildung 38
ersichtlich.
Abbildung 46: Event-Details
14 Hier gibt es gewisse Beschränkungen, die später in diesem Kapitel beschrieben werden.
Seite 62 von 93
Master-Thesis-1.0.doc
In der folgenden Tabelle wird die Wirksamkeit der Massnahme „Host-Block“ in verschiedenen Anwendungsfällen zusammengefasst. Die Informationen beziehen sich auf die Abbildung 31.
Ausgangslage: PC1 & PC4 sind als Malicious Host vom NAC System erkannt worden, die Massnahme
„Host-Block“ wurde auf diesen Hosts ausgeführt.
Erwartete Resultat: Jeglicher TCP15 Verkehr, der von PC1 & PC4 ausgeht, wird blockiert.
Prüfungsmethode: Auf PC1, PC2, PC3, PC4 und PC5 wurde die Applikation „NetOP“16 installiert, auf
PC 1-5 wurden die Rollen „Guest“ und „Host“ aktiviert. Diese Applikation ermöglicht es, über TCP oder
UDP Protokolle Verbindungen zwischen Guest-Systemen und dem NetOP-Host herzustellen. Im letzten
Anwendungsfall wurden die Hosts PC4 & PC5 über einen HUB mit dem Switch verbunden.
Tabelle 9: Auswertung Wirksamkeit der Massnahme „Host-Block“
Anwendungsfall
Beschreibung
Resultat
TCP
UDP
ICMP
Kommunikation
schen PC1-PC2
zwi-
PC1 & PC2 befinden sich in unterschiedlichen VLAN’s
auf dem gleichen Switch
√
X
X
Kommunikation
schen PC1-PC3
Kommunikation
schen PC1-PC4
zwi-
PC1 & PC3 befinden sich im gleichen VLAN auf unterschiedlichen Switches
PC1 & PC4 befinden sich in unterschiedlichen VLAN’s
auf unterschiedlichen Switches
√
X
X
√
X
X
Kommunikation
schen PC4-PC5
zwi-
PC4 & PC5 befinden sich im gleichen VLAN auf dem
gleichen Switch
X
X
X
Kommunikation
schen PC4-PC5
zwi-
PC4 & PC5 sind über einen HUB mit dem Switch verbunden.
X
X
X
zwi-
√: Host-Block erfolgreich
- x: Host-Block erfolglos
15 CounterACT blockiert infizierten Host im TCP Dialog. CounterACT Handbuch Kapitel 9: Malicious Hosts – Basic Concepts
16 NetOP ist eine Remote-Support Software, NetOP-Host akzeptiert Verbindungen mit NetOP-Guest Systemen. Verschiedene Methoden können angewendet
werden (TCP, UDP).
Seite 63 von 93
Master-Thesis-1.0.doc
Die Tests beweisen, dass das IPS System infizierte Systeme in der gleichen Zelle nicht davor bewahren
kann, sich gegenseitig zu infizieren. Die Methode, die die Appliance hier verwendet, ist TCP SessionReset. Die Appliance antwortet auf jede ausgehende TCP Session mit einem RST. Darum sind die UDP
Sessions und ICMP Pakete nicht betroffen.
TCP Resets von der Appliance
zum Malicious Host.
Abbildung 47: TCP RESETS
Lösung: Das IPS System allein genügt nicht, um die Aktivitäten der infizierten Hosts zu stoppen. Dazu
müssen zusätzlich zum IPS System Richtlinien und Massnahmen definiert werden (z.B. Switch-Port
Block).
Richtlinie Malicious-Hosts
Wie oben erwähnt, kann der IP-Verkehr der Malicious Hosts über eine Richtlinie vollkommen blockiert
werden. Das folgende Beispiel zeigt eine mögliche Lösung. Das Design der Richtlinie sieht wie folgt aus:
1)
Die Massnahme gegen Malicious Host ist „Port Block“ (s. S. 39).
Das System darf mit dem Netzwerk über nicht betroffene Services
kommunizieren. Das IPS System soll den Administrator und den
Benutzer über die Situation informieren (Die Nachricht vom IPS
System an den Benutzer erfolgt über Net Send). Die Massnahme
„Port Block“ verschärft sich nach einer gewissen Anzahl „Port
Blocks“ zu einem „Host Block“.
Abbildung 48: Makicious Hosts-Port Block
Seite 64 von 93
Master-Thesis-1.0.doc
2)
Eine Message über http senden und den
Benutzer darüber informieren, dass sein
Host eine verdächtige Tätigkeit ausübt, die
dem System und dem Netzwerk schaden
könnte. Die Nachricht erklärt dem Benutzer, dass sein Host vom Netzwerk getrennt
wird, nachdem er diese Nachricht gelesen
hat, und dass er so schnell wie möglich
das IT-Team kontaktieren soll.
3)
Der Malicious Host soll einer
Gruppe (Malicious Hosts) zugewiesen werden.
und
Der Switch-Port, an dem der
Malicious Host angeschlossen ist, soll 2 Minuten nach
der Ausübung der verdächtigen Handlung des Hosts geschlossen werden.
Resultat:
Der Host wurde auf „Port-Block“ gesetzt, der Benutzer hat eine Nachricht erhalten und der Switch-Port
wurde nach dem Lesen der Nachricht für 15 Min auf „Shutdown“ gesetzt. Die Systeme werden alle 30
Min. gegen die Richtlinie geprüft. Falls der Host sich im Netzwerk immer noch verdächtig verhält, wird
die Massnahme wieder aktiviert. Hier können zusätzliche oder alternative Massnahmen wie Anti-Virus
starten oder Updaten ergriffen werden. Für solche Massnahmen muss der SecureConnector auf dem
Host aktiv sein.
Beurteilung
Anforderung gut erfüllt.
Anforderung 6
Das System soll in der Lage sein, Endgeräte zu erkennen,
- die keinen Antivirus installiert haben
- auf denen Antivirus installiert, jedoch nicht aktiv ist
- deren Antivirus nicht aktuell ist
Um diese Anforderung zu prüfen, wurden ähnliche Tests wie bei Anforderung 2 (Personal Firewall)
durchgeführt.
Hier wurden Endgeräte mit fehlender, inaktiver oder nicht aktueller Antivirus Software nicht erkannt.
Seite 65 von 93
Master-Thesis-1.0.doc
Lösung
Die Lösung muss hier wie bei Anforderung 2 über die Richtlinie Gast implementiert werden. Nach der
Installation des SecureConnectors war es möglich, die Anforderung zu erfüllen. Folgende Tests waren
erfolgreich:
Tabelle 10: AntiVirus
Richtlinie
Anti-Virus-old
Anti-Virus not Running
Anti-Virus not installed
Beurteilung
Massnahme
Update AntiVirus
Start AntiVirus
Nachrichten (Benutzer auffordern, AntiVirus zu installieren + Empfehlung)
Resultat
OK
OK
OK
Anforderung teilweise erfüllt.
Anforderung 7
Das System soll in der Lage sein, die Benutzung von bestimmten Applikationen im Netzwerk der BFH
erkennen zu können. Es soll sie klassifizieren und den Endgeräten, welche diese Applikationen gestartet
haben, dynamisch eine beschränkte Bandbreite zuweisen.
Test 7.1
PC1-PC5 gehören nicht zur Domäne nac.demonet.ch (Annahme: Laptops von Studenten und Gästen).
Auf PC1 ist WinXP-SP2 installiert, auf PC5 ist Windows VISTA installiert. Auf beiden PC’s ist eine Peer-2Peer Applikation (Emule) und eine Instant Messaging Applikation (MSN) installiert. Die beiden Applikationen Emule und MSN werden gestartet. Auf PC1 wird zusätzlich die Seite http://www.youtube.com geöffnet und aktiv benutzt (Öffnen von Video Files).
Richtlinie
Das NAC System stellt keine Möglichkeit zur Verfügung, um eine Richtlinie zu erstellen, welche den Inhalt des http Verkehrs als Kriterien nimmt. Diese Teilanforderung kann nicht getestet werden.
Das NAC System von CounterACT bietet keine direkte Möglichkeit, eine dynamische Bandbereitenlimitierung als Massnahme zu definieren. Das System bietet jedoch andere Möglichkeiten, um das Ziel zu erreichen. Im Folgenden werden diese Möglichkeiten anhand eines Beispiels erläutert.
Die Richtlinien „P-2-P installed“ und „IM installed“ sind wie folgt konfiguriert:
-
Endgeräte mit installierten P-2-P und IM Applikationen sollten:
ider Gruppe „P-2-P installed“ bzw „IM installed“ zugewiesen
werden
iieine Nachricht erhalten
iiiim VLAN „238“17 platziert werden
Resultat
Hier wurden Endgeräte mit installierten P-2-P und IM nicht erkannt.
17 Annahme: Die Konfiguration der Netzwerkinfrastruktur des VLAN’s 238 weist VLAN 238 eine beschränkte Bandbreite zu.
Seite 66 von 93
Master-Thesis-1.0.doc
Lösung
Die Lösung muss hier wie bei Anforderung 2 über die Richtlinie Gast implementiert werden. Nach der
Installation des SecureConnectors war es möglich, die Anforderung zu erfüllen.
Beurteilung
Anforderung teilweise erfüllt.
Im nächsten Abschnitt werden die Anforderungen an das NAC System bezüglich der internen Endgeräte
geprüft.
Die internen Endgeräte in der BFH werden von der IT-Abteilung installiert und gepflegt. Das NAC System ist für die Kontrolle der fremden Endgeräte im Netzwerk der BFH gedacht. Damit aber die volle
Funktionalität des NAC Systems getestet werden kann, wurden die Anforderungen 2 bis 6 in Bezug auf
die internen Endgeräte geprüft. Die Differenzierung ist hier wichtig, weil die Anforderungen des NACSystems an die internen Endgeräte in einem Unternehmen einfacher erfüllt werden können als diejenigen an die externen Endgeräte. Dabei wird angenommen, dass die internen Komponenten bereits unter
der Kontrolle der Administratoren sind und das NAC System die nötigen Berechtigungen erhalten
kann18.
Tests
Die Tests für die Prüfung der Anforderungen wurden auf den gleichen PCs (1 bis 5) in der Testumgebung (Abbildung 31) durchgeführt, nachdem die Endgeräte in die Domäne nac.demonet.ch aufgenommen und alle Voraussetzungen (Seite 43) erfüllt worden waren.
Für die Prüfung der Anforderungen wurden die Richtlinienvorlagen „Asset Classification“, „ Corporate
Windows Full Compliance“ und „Malicious Hosts“ angewendet.
Richtlinienbeschreibung
Die Richtlinie „Asset Classification“ erkennt die Endgeräte anhand bestimmter Eigenschaften wie Nmap,
Vendor, OS Daten und weist sie den entsprechenden Gruppen zu. So werden Windows Endgeräte z.B in
der Gruppe „Windows“ zusammengefasst. Für die Gruppeneinteilung können jedoch auch andere Daten
wie Benutzerdaten oder die Gruppenzugehörigkeit (z.B Dozenten, Administratoren, IT, Administration)
verwendet werden.
18 Das NAC-System setzt administrative Berechtigungen vor, damit die „Clientless“ Eigenschaft des Systems benutzt werden kann.
Seite 67 von 93
Master-Thesis-1.0.doc
Die Richtlinie „ Corporate Windows Full Compliance“ fasst eine Reihe von Teilrichtlinien zusammen, die
in der Abbildung 40 ersichtlich sind.
Abbildung 49: Corporate Compliance
Den Teilrichtlinien werden individuelle Massnahmen hinzugefügt. Wird eine Richtlinie verletzt, wird die
entsprechende Massnahme eingesetzt. Die weiteren Teilrichtlinien werden jedoch erst dann geprüft,
wenn die Verletzung der vorherigen Teilrichtlinien behoben wurde. Ein Endgerät gilt als „compliant“
(=konform), wenn alle Teilrichtlinien erfüllt sind.
Die Richtlinie „Malicious Hosts“ ist dieselbe, die im ersten Teil dieses Kapitels beschrieben wurde. Diese
wurde wie folgt angepasst:
Endgeräten, die als Malicious Host erkannt werden, wird ein separates VLAN zugewiesen (interne Malicious Hosts).
Dem Administrator wird eine Email mit Informationen über das betroffene Endgerät und den
betroffenen Benutzer gesendet.
Dem Benutzer wird eine Email mit Hinweisen
über die Gefahren und einem Link zu einem
vorbereiteten Remediation Portal gesendet. Der
Benutzer wird darüber informiert, dass sein
Endgerät in einer Quarantäne platziert wird, bis
die Sanierung erledigt ist.
Das Endgerät wird im vorbereiteten Quarantäne-VLAN platziert.
Abbildung 50: interne Malicious Hosts
Seite 68 von 93
Master-Thesis-1.0.doc
Testvorgehen
Die Tests wurden in zwei Schritten durchgeführt:
1- Ohne Agent (Clientless). Die Appliance hat aber einen Benutzer Account in der Domäne
nac.demonet.ch.
2- Mit dem Agent (SecureConnector)
In der Testumgebung wurden nur Windows XP-SP2 und Windows VISTA getestet.
Zusammenfassen der Resultate
Die Tests waren mehrheitlich erfolgreich. Folgend die Zusammenfassung der Tests ohne Agent.
1- Asset Classifikation
Die Richtlinie Asset Classification
wurde vollständig erfüllt. Die Komponenten wurden aufgrund ihrer
Funktion in Gruppen aufgeteilt. Es
gibt noch viele Kriterien für die Klassifizierung der Komponenten wie Infos aus dem AD, SNMP, MAC Adressen Nmap Scans, etc.
Abbildung 51: Asset Classifikation
Anforderung erfüllt.
2- Corporate Windows Full Compliance
Bei den Windows XP Endgeräten wurde die Richtlinie erfüllt, die Verstösse wurden erkannt und die
Massnahmen ausgeführt.
Bei VISTA wurden die Verstösse gegen die Richtlinien erkannt, die Massnahmen konnten aber nur
teilweise ausgeführt werden. Die Massnahmen, welche einen Prozess auf dem Endgerät starten
oder stoppen, konnten nicht ausgeführt werden.
Abbildung 52: VISTA
Seite 69 von 93
Master-Thesis-1.0.doc
Bei VISTA Systemen konnte
das automatische Starten des
Update Prozesses auch nicht
durchgeführt werden, weil das
System die erforderlichen Informationen nicht ermitteln
konnte.
Abbildung 53: Failed Windows Update
Anforderung mehrheitlich erfüllt.
3-„interne Malicious Hosts“
Diese Richtlinie erfordert keine Voraussetzungen an die Konfiguration des Endgeräts. Die vorgesehen
Massnahmen konnten ausgeführt werden.
Anforderung erfüllt.
Die gleichen Tests wurden mit installiertem Agent auf den Endgeräten wiederholt. Die Resultate waren
auch auf VISTA Systemen erfolgreich.
Erkenntnisse
Die Tests ohne Agent waren nicht immer erfolgreich. Die vielen Voraussetzungen für den effizienten
Einsatz der CounterACT in einem Netzwerk machen diese Variante weniger interessant als die zweite.
Die Installation des Agents ist sehr einfach und dauert weniger als 30 s (Download und Installation).
Dazu ist für das Ausführen von Massnahmen auf VISTA und für die Erfüllung von anderen Anforderungen, die hier nicht gestestet wurden (wie das Deaktivieren von USB Massenpeichergeräten) der Agent
nötig.
Seite 70 von 93
Master-Thesis-1.0.doc
5.4 Evaluierung
5.4.1 Dokumentation
Die Dokumentationen und Hilfsmittel für das Produkt sind sehr detailliert und hilfreich. Die Manuals sowie die Hilfe über das Web-Portal des Herstellers sind gut aufbereitet und Berechtigten einfach zugänglich.
Abbildung 54: ForeScout Info Portal
5.4.2 Setup
Die Appliance Applikation läuft auf Linux19. Das Bedienung des Setup Programms der Appliance ist sehr
intuitiv und ermöglicht es, in wenigen Schritten die Basis Konfiguration der Appliance zu erledigen. Die
weiteren Konfigurationen können über die Console Applikationen erfolgen, welche kompakt ist und den
Zugang zu allen weiteren Modulen ermöglicht. Die nötigen Informationen für die Installation sind in den
Manuals gut beschrieben. Die Applikation ist modular aufgebaut und kann mit verschieden Plugins erweitert werden. Die Plugins stehen ohne weitere Kosten (im Support Vertrag verzeichnet) zur Verfügung und können mit den entsprechenden Berechtigungen heruntergeladen werden. Die Installation
von neuen Plugins ist ebenfalls einfach.
19
Das Betriebssystem mit der Applikation ist als ISO Image vorhanden. Das Image kann für Testzwecke
auf einer Server- oder PC-Plattform installiert werden. Die Applikation wird vom Hersteller jedoch nur
auf der Appliance-Plattform unterstützt.
Seite 71 von 93
Master-Thesis-1.0.doc
5.4.3 Management / Console Control Center
Die Appliance wird über die Console Applikation, eine Software, gemanagt, die von der Appliance nach
dem Basis-Setup über http://IP-Adresse /install heruntergeladen und installiert werden kann. Die Appliance kann auch über SSH gemanagt werden. In diesem Fall steht eine sehr gut vorbereitete Umgebung für die Administation der Appliance zur Verfügung. Das Management Programm nennt ForeScout
Console Control Center.
Abbildung 55: Console Control Center
Die für den Betrieb des
Systems relevanten Einstellungen sind in der
Console über den Menüeintrag „Options“ zu erreichen. Dieses Menü ist
ebenfalls
übersichtlich
strukturiert und ermöglicht den Zugriff auf ein
integriertes Hilfe-Portal,
welches das ganze Benutzer-Manual erfasst.
Zusätzlich stehen verlinkte
Hilfsdokumente
zur Verfügung, die mit
jedem Update aktualisiert werden.
Abbildung 56: Options
Seite 72 von 93
Master-Thesis-1.0.doc
Das Console Control Center bietet eine Gesamtübersicht über alle Aufgaben, die CounterACT erledigen
kann. Über die Console sind die entdeckten Endgeräte und die dazugehörigen Informationen in Bezug
auf Richtlinienkonformität, verdächtige Aktivitäten etc. ersichtlich. Über die Console werden auch die
Richtlinien definiert. Die von der Appliance gesammelten Informationen werden im „Information Panel“
und im „Details Panel“ in Real-Time angezeigt, der Operator sieht die von der Appliance bemerkten
Veränderungen sofort, wenn sie erfolgen.
Abbildung 57: Console Control Center
Über die Console können auch die
verdächtigen Endgeräte mit ausführlichen Informationen über die
angreifenden sowie angegriffenen
Systeme beobachtet werden. Alle
möglichen Informationen bis zum
Inhalt der einzelnen Pakete, die
von den verdächtigen Endgeräten
gesendet wurden.
Abbildung 58: Detailinformationen über Malicious Hosts
Seite 73 von 93
Master-Thesis-1.0.doc
Die Console bietet Templates für die Erstellung von „Reports“ über die Endgeräte und alle relevanten
Informationen an, welche angepasst und zeitlich festgelegt werden können. Ein Asset Portal steht
ebenfalls zur Verfügung, in dem alle hostrelevanten Informationen (Inventarliste) ersichtlich sind.
Das Management des Systems kann zum Teil über SSH erfolgen. Die CounterACT verfügt über eine Managementumgebung (FSTOOL), die für die Erledigung von vielen Aufgaben gut geeignet ist.
5.4.4 Updates
Updates für die Applikation und die Plugins sind auf dem Hersteller Web-Portal verfügbar. Der Zugang
zu den Updates ist für Kunden mit den entsprechenden Kundendaten zugänglich (Username + Kennwort). Das NAC-System ist auch mit einem automatischen Update Programm ausgerüstet, welches den
Administrator der Appliance über die Console darüber informiert, dass neue Updates vorhanden sind.
5.4.5 Richtlinien
Die Erstellung von Richtlinien ist mit den verfügbaren Vorlagen relativ einfach und gut programmiert.
Die Vorlagen können angepasst, es können aber auch eigene Richtlinien erstellt werden. Die Verschachtelung von Richtlinien erlaubt es, komplexe Richtlinien mit verschiedenen Massnahmen zu erstellen. Für
die Erstellung von Richtlinien gibt es unzählige Kriterien mit vielen möglichen Kompilationen. Die Kriterien basieren auf Informationen über das Endgerät oder über andere Systeme, die in einer Beziehung
zu diesem Endgerät stehen. Es können sogar Veränderungen von File Systemen (Dateien) des Endgeräts oder eines anderen Systems im Netzwerk oder die Ergebnisse von Scripts, die auf einem System
laufen, als Kriterien verwendet werden.
5.4.6 Massnahmen / Actions
Die definierbaren Massnahmen für die Erfüllung oder Verletzung einer Richtlinie gehen von Benachrichtigen der Benutzer und des Administrators über Stoppen und Starten von Prozessen bis zur Trennung
des Hosts vom Netzwerk (Switch-Port-Block). Die Massnahmen sind abhängig von den installierten Plugins. Mit der Installation von z.B PIX Firewall Plugin werden Massnahmen zur Verfügung stehen, welche
über die PIX Firewall ausgeführt werden.
Die Massnahmen und Actions können individuell nach verschiedenen Schemen implementiert werden.
So können Massnahmen anhand von Zeitangaben, Patternangaben oder bezüglich der Dauer des Richtlinienverstosses angepasst werden.
5.4.7 Remediation
Der Remediation-Prozess in einem NAC System ist ein Teil
verfügbarer Massnahmen, mithilfe dessen Benutzern von
nicht richtlinienkonformen Systemen die Möglichkeit gegeben
wird, das System wieder den Richtlinien anzupassen. Zusätzlich zu den Self-Remediation Methoden besteht auch die
Möglichkeit, automatisierte Massnahmen ausführen zu lassen.
Der Administrator kann die entsprechenden Massnahmen
manuell ausführen.
Abbildung 59: Remediation
Seite 74 von 93
Master-Thesis-1.0.doc
5.4.8 Benachrichtigungen
Die Benachrichtigung des Benutzers kann auf unterschiedliche Weise erfolgen. Die verfügbaren Methoden sind „Net Send, http Hijacking und Email“. Die Möglichkeiten können gleichzeitig benutzt werden.
Die Verwendung der Methoden ist einfach. Die bestehenden Vorlagen können mit firmenspezifischem
Logo oder Text angepasst werden.
5.4.9 Updates / Backup / Wiederherstellung
Die Konfiguration des Systems kann mit der Backupapplikation oder über das Betriebssystem (über ein
Script) auf einem FTP Server vorgenommen werden. Das Backup kann automatisch nach einem Zeitschema programmiert werden. Die Wiederherstellung einer gesicherten Version ist möglich und kann
beim Aufsetzen der Appliance oder über die Management Umgebung (FSTOOL) über SSH gemacht
werden.
5.4.10 Anforderungen vs. Können
Das NAC System CouterACT bietet viele Möglichkeiten, um ein Unternehmensnetzwerk gegen Gefahren
interner Herkunft zu schützen. Damit aber diese Möglichkeiten optimal eingesetzt werden können, hat
das System auch viele Anforderungen an die Infrastruktur und an die Endgeräte.
So ist z.B. das Erkennen von Domänebenutzern (wie Studenten), welche fremde Endgeräte benutzen,
erst möglich, wenn die Benutzer sich über CounterACT20 an der Domäne anmelden.
Die gründliche Befragung und das Ausführen von Massnahmen auf fremden Endgeräten setzen vor,
dass der SecureConnector installiert ist oder der Benutzer seine lokalen Credentials bekannt gibt(http
login auf localhost).
Damit gründliche Befragungen und Massnahmen auf in der Domäne integrierten Endgeräten durchgeführt bzw. vollzogen werden können, muss entweder die Appliance einen Admin-Account erhalten, der
für die Anmeldung an den Endgeräten benutzt werden kann, oder der SecureConnector auf allen internen Endgeräten installiert werden.
Darüber hinaus muss die Konfiguration der Firewall auf den Endgeräten so angepasst werden, dass sie
den Zugriff via bestimmte TCP Ports erlaubt21. Es müssen auch spezielle Dienste (wie NetBIOS over
TCP) aktiviert werden, falls die Installation des Agent (SecureConnector) nicht erwünscht ist, damit Befehle auf den Endgeräten ausgeführt werden können.
Damit das volle Funktionsspektrum der CounterACT ausgenutzt werden kann, müssen die Voraussetzungen, welche auf Seite 42 erklärt sind, erfüllt werden.
5.4.11 Vorteile
Das System ist eine Out-of-Band Lösung. Dadurch besteht keine Gefahr, dass ein „Single-Point-ofFailure“ eintrifft und die Installation erfolgt ohne Netzwerkunterbruch.
Das System ist kompakt und besitzt zusätzlich zur NAC- Funktion sehr nützliche Funktionen wie z.B. die
„virtual Firewall“.
Das System verfügt über ein integriertes „Intrusion Prevention System“, welches die wirksame Erkennung von Gefahren gewährleistet.
Die Erstellung von Richtlinien und die Bedienung des Systems können schnell erlernt werden. Die Massnahmen werden schnell und wirksam ausgeführt. Das System besitzt sehr gute Möglichkeiten für die
Sanierung von nicht richtlinienkonformen Endgeräten.
20
CounterACT spielt eine Proxy-Rolle
21
Siehe Voraussetzungen S. 42
Seite 75 von 93
Master-Thesis-1.0.doc
Die Implementation kann schnell erledigt werden. Die Integration in bestehenden Infrastrukturen stellt
auch in heterogenen Netzen kein Hindernis dar.
Mehrere Client Betriebssysteme können mit dem NAC-System kontrolliert werden. So können Windows
wie auch Macintosh und Linux Systeme auf Richtlinien geprüft werden. Der SecureConnector Agent ist
für diese Systeme ebenfalls vorhanden. Die Installation des Agents auf Client Plattformen braucht keine
administrativen Rechte.
Die Appliance entdeckt alle Endgeräte im Netzwerk und überwacht sie während des Versuchs, eine Verbindung mit dem Netzwerk herzustellen und nach dem erfolgreichen Abschluss desjenigen (Post Connect Assesment).
Das System kann auch nur im Monitoring Mode betrieben werden. So ist es möglich, das Verhalten des
Netzes zu beobachten und Gefahren zu entdecken, ohne Massnahmen auszuführen.
Die Appliance bietet sehr gute Reporting- und Informationsportal-Möglichkeiten.
5.4.12 Nachteile
Das IPS System und die „Virtual Firewall“ der CounterACT funktionieren auf TCP Basis. Die Kommunikation des infizierten Hosts über UDP oder ICMP kann mit dem IPS und der Virtual Firewall allein nicht
verhindert werden. Damit dies möglich ist, müssen schärfere Massnahmen wie z.B. „Switch-Port-Block“
oder die Installation eines Firewall- oder Router-Plugins implantiert werden. Diese funktionieren nur auf
bestimmten Plattformen (Firewall: Cisco PIX , Firewall 1 und Netscreen—Router: Cisco).
Die Kommunikation zwischen infizierten Hosts in der gleichen Zelle (Cell) kann nicht verhindert werden.
Die Möglichkeiten bezüglich des Umfangs der gründlichen Befragung (Deep Inspektion), des Systemstatus und der Ausführung von Massnahmen ist abhängig von der Betriebsart und ob ein Endgerät ein Mitglied der Domäne ist oder nicht. So braucht CounterACT für die „Deep Inspection“ von domäneintegrierten Endgeräten ohne SecureConnector administrative Loginberechtigungen und muss Anpassungen
der Desktop-Firewall vornehmen, welche nicht bei jedem Unternehmen auf Akzeptanz stossen. Für
Nicht-Domäne-Mitglieder ist die Installation des SecureConnectors oder die Bekanntgabe von lokalen
Credentials erforderlich.
Bei der Verwendung des SecureConnectors auf fremden Endgeräten und der Domainanmeldung via
http hat der SecureConnector Vorrang. Da der Secure Connector die lokalen Daten des Endgeräts übermittelt, funktioniert die Benutzererkennung nicht richtig. Dadurch können keine Massnahmen implementiert werden, welche auf Kriterien wie z.B AD oder LDAP Gruppenzugehörigkeit basieren.
Die Anzahl der möglichen Bezugsquellen der Kriterien für die Erstellung von Richtlinien sowie die verfügbaren Massnahmen, die direkt auf Endgeräten ausgeführt werden, ist bei Windows Systemen viel
höher als bei Macintosh- und Linuxsystemen.
Die Plugins sind für ausgesuchte Netzwerk-Plattformen bestimmt - so gibt es das Router-Plugin nur für
einige Cisco Router-Plattformen und das Switch-Plugin für eine Reihe von Herstellern.
Seite 76 von 93
Master-Thesis-1.0.doc
5.5 Zusammenfassung
Die Evaluierung des NAC-Systems ForeScout zeigte, dass das System in „managed“ Umgebungen auch in heterogenen - sehr gut einsetzbar ist. Die Implementation kann mit angemessenem Aufwand
erledigt werden. Dies bedeutet aber nicht, dass die Implementation eines NAC-Systems auch in einem
Unternehmen einfach ist. Es ist auf jeden Fall nötig, dass das Unternehmen zuerst entscheidet, für welche Zweck sie das NAC-System CounterACT implementieren möchte. Die Antwort auf diese Frage kann
nämlich entscheiden, wie die Lösung implementiert werden soll. Eine Implementierung, welche lediglich
die Gastkontrolle gewährleisten soll, unterscheidet sich von einer für die Kontrolle der in der Domäne
integrierten Endgeräte. Ferner haben die Tests gezeigt, dass nicht jede Anforderung erfüllbar ist und
dass die Erfüllung von gewissen Anforderungen Sicherheitseinbussen bedeuten kann. Das System taugt
für viele Anforderungen und kann ins Netzwerk der BFH für die Kontrolle von fremden Endgeräten von
Studenten mit zusätzlicher Konfiguration (http Login) gut eingesetzt werden. Die IPS Funktionalität der
CounterACT ist effizient und kann mit der Verwendung von bestimmten Massnahmen das Netzwerk der
BFH gegen verdächtige Aktivitäten fremder Endgeräte schützen. Im Allgemeinen ist die Lösung kompakt, bietet eine Vielzahl an Möglichkeiten und kann schnell implementiert werden.
Seite 77 von 93
Master-Thesis-1.0.doc
6 Vergleich
Der Vergleich zweier Systeme ist erst sinnvoll, wenn sie der gleichen Kategorie zuzuordnen sind. In diesem Kapitel sollen die NAC Lösung „CounterACT“ von ForeScout und die NAC Lösung von Enterasys22
miteinander verglichen werden. Da die zwei Lösungen sich im Ansatz sowie in der Architektur unterscheiden, ist ein Vergleich nicht so einfach. Zu diesem Zweck werden bestimmte Kriteriengruppen formuliert, auf denen der Vergleich basiert.
Am Ende dieses Kapitels wird die CounterACT zusätzlich eine mit einem Open Source NAC-System verglichen, welches ähnliche Eigenschaften wie die CounterACT hat.
6.1 Vergleich mit Enterasys
6.1.1 Vergleichskriterien
Zuerst werden allgemeine Kriterien wie Ansatz, Integrierbarkeit etc. ausgesucht, mit denen erste Versuchsanläufe durchgeführt werden. Dann wird der Vergleich mit Rücksicht auf die von der BFH definierten Anforderungen gemacht.
1- Ansatz / Architektur
Die Lösung von Enterasys ist eine Infrastruktur Lösung, bei der statt einem einzigen System die ganze
Netzwerkinfrastruktur die NAC Funktion erfüllt. Für ein „pre-connect Assessment“ (gemäss der Dokumentation von Secure Networks) sind neben den Switches selbst die Netsight Komponenten Console,
Policy Manager und Trusted Access Manager zusammen mit dem Trusted Access Gateway notwendig.
Die untersuchte Lösung von Enterasys war eine In-Line oder In-Band Lösung, was bedeutet, dass die
Lösung zu einem „single point-of-failure“ werden kann.
Im Gegensatz dazu ist CounterACT eine Appliance und theoretisch in jeder geswitchten23 Umgebung integrierbar. Sie wird out-of-band implementiert und wirkt bei der Authentifizierung transparent für domäneintegrierte Endgeräte, was einen weit geringeren Einfluss auf das Netzwerk (z.B. Netzwerkunterbruch bei Ausfall der Appliance) zur Folge hat als bei der In-Band Lösung von Enterasys.
2- Preise
Da sich die beiden Lösungen bezüglich der oben erwähnten Faktoren unterscheiden, ist ein Preisvergleich nicht möglich.
3- Agent
Die beiden Lösungen können den Anforderungen entsprechend mit oder ohne Agent implementiert werden.
4- Richtlinien & Massnahmen
Gemäss der Studie von Roger Beyeler und Philippe Schmid über die Lösung von Enterasys ist die Erstellung von Richtlinien und Massnahmen einfach und durchgehend verständlich. Meiner Ansicht nach ist
diese jedoch bei CounterACT übersichtlicher und schneller erlernbar. Bei Enterasys ist hingegegen die
Palette an Kriterien und Massnahmen grösser und die Definitionen von Richtlinien feiner. So ist es z.B.
bei Enterasys möglich, dynamische Bandbreitenlimitierung als Massnahme zu verwenden, was mit der
aktuellen Version von CounterACT nicht möglich ist24. Auf der anderen Seite finden sich bei CounterACT
22 Das Vergleich mit Enterasys stützt sich auf die Studie „Port- und Sicherheitsüberwachung im BFH-Netzwerk“ von Roger Beyeler, Philippe Schmid.
23 Nicht alle Infrastruktur Hersteller werden von der Lösung unterstützt.
24 Es gibt einen Umweg bei der Erstellung eines VLANs, dem nur eine begrenzte Bandbreite zum Internet zukommt. Die Bandbreitenlimitierung gilt aber nicht
pro Host und ist nicht dynamisch.
Seite 78 von 93
Master-Thesis-1.0.doc
Massnahmen wie z.B. das Deaktivieren von USB Massenpeichergeräten, welche bei der Lösung von Enterasys nicht vorhanden sind.
5- Effizienz
Da die Lösung von Enterasys auf der Infrastruktur basiert, ist die Effizienz in Netzen, die aus Enterasys
Komponenten aufgebaut sind, gross. In den heterogenen kann diese nicht eingeschätzt werden, den
Dokumentationen über Enterasys zufolge soll sie jedoch ebenso gross sein. Die Effizienz zeigt sich im
sogenannten „Private Port“, der sicherstellt, dass die Kommunikation zwischen infizierten Hosts in der
gleichen Zelle verhindert wird, um einer gegenseitigen Infektion vorzubeugen. Eine derartige Massnahme ist in anderen Lösungen kaum zu finden. Andere einmalige Eigenschaften sind die „Multi-User Authentication“ und die „Multi-Method Authentication“. Die Effizienz bezüglich Enforcement-Methoden,
welche auf dem Endgerät selbst angewendet werden, kann nicht eingeschätzt werden, da die Studie
„Port- und Sicherheitsüberwachung im BFH-Netzwerk“ auf dieses Thema nicht eingegangen ist.
Die CounterACT Lösung als Out-of-Band Lösung funktioniert effizient bei den unterstützten Netzwerkplattformen. Es können Massnahmen ausgeführt werden, die einen Switch-Port auf „shutdown“ setzen
oder einem anderen VLAN zuordnen. Es können auch Massnahmen ausgeführt werden, welche dynamische Firewall-Rules auf bestimmten FW-Plattformen implementieren. Die CounterACT kann mit der
Verwendung von SecureConnector – oder mit den nötigen Berechtigungen – auf den Endgeräten z.B.
installierte Applikationen detektieren oder Prozesse starten bzw. stoppen.
6- Integrierbarkeit
Enterasys NAC Lösungen können in Umgebungen, wo Enterasys Komponenten bereits im Einsatz sind,
sehr gut integriert werden. In anderen Umgebungen ist fragwürdig, ob eine Integration effizient ist.
Die CounterACT Lösung kann in bestehenden Umgebungen nahtlos integriert werden.
7- Reporting
Die beiden Lösungen besitzen sehr gute Reporting Möglichkeiten.
8- Management & Komplexität
Das Management der Enterasys Lösung ist schwieriger als dasjenige der CounterACT, da die CounterACT eine kompakte Lösung ist und keinen Server für das Management benötigt. Die Lösung von Enterasys ist um einiges komplexer.
Seite 79 von 93
Master-Thesis-1.0.doc
Der Vergleich der zwei Lösungen aufgrund der Anforderungen, die in Kapitel 5 besprochen wurden,
wird in der folgenden Tabelle zusammengefasst.
Nr.
1
2
3
4
5
6
7
8
9
CounterACT
Secure Networks
Beschreibung der Anforderung
(ForeScout)
(Enterasys)
Das System soll den Zugriff von „Unmanaged“ Systemen auf bestimmte Netzwerkressourcen erkennen und verhindern können.
Das System soll beim Zugriff von „Unmanaged“ Sytemen bekannter Benutzer (Benutzer
wie z.B. Studenten, welche Identitäten bei
der BFH besitzen) diese anhand ihrer BFHCredentials erkennen und korrekt zuordnen
können. D.h., dass der Benutzer, nachdem
er sich gegen ein Authentifizierungssystem
korrekt authentifiziert hat, vom NAC-System
als „authentifizierter Benutzer“ erkannt wird.
Das System soll Endgeräte mit nicht aktivierten Desktop Firewalls erkennen, klassifizieren
und Möglichkeiten zur Verfügung stellen
können, den Benutzer rechtzeitig zu informieren.
Das System soll out-of-date Systeme (Systeme mit fehlenden Sicherheitsupdates) erkennen, klassifizieren und Sanierungsmöglichkeiten (Remediation) anbieten können.
Das System soll infizierte Systeme oder Malicious Hosts erkennen, klassifizieren und verhindern können, dass diese Systeme andere
Systeme infizieren oder beschädigen.
Das System soll in der Lage sein, Endgeräte
zu erkennen,
die keinen Antivirus installiert haben
auf denen Antivirus installiert, jedoch
nicht aktiv ist
deren Antivirus nicht aktuell ist
Das System soll in der Lage sein, die Benutzung von bestimmten Applikationen im
Netzwerk der BFH erkennen zu können. Es
soll sie klassifizieren und den Endgeräten,
welche diese Applikationen gestartet haben,
dynamisch eine beschränkte Bandbreite zuweisen.
Das System soll in der Lage sein die entdeckten Domänen-Endgeräte anhand definierter
Kriterien klassifizieren können.
erfüllt
kann erfüllt werden
bedingt erfüllt
kann bedingt erfüllt
werden
Die Endgeräte sollten gegen die Richtlinie
Corporate Windows Full Compliance geprüft
werden. Die definierten Massnahmen sollen
automatisch ausgeführt werden können.
erfüllt
Bemerkungen,
Bedingungen
CACT: mit http Login über
CounterACT.
Enterasys: mit syslog aus
dem AD-Server
erfüllt
kann erfüllt werden
CACT: Mit Agent oder
Admin-Recht.
erfüllt
kann
den.
erfüllt
wer-
CACT: Mit Agent oder
Admin-Recht.
erfüllt
kann
den.
erfüllt
wer-
erfüllt
kann
den.
erfüllt
wer-
CACT: Mit Agent oder
Admin-Recht.
bedingt erfüllt
kann
den.
erfüllt
wer-
CACT: Mit einen Umweg bei
Erstellung eines VLAn’s die
beschränkte Bandbreite benutzt.
kann
den.
erfüllt
wer-
CACT: Mit Agent oder Admin-Recht.
erfüllt
Seite 80 von 93
Master-Thesis-1.0.doc
6.1.2 Zusammenfassung
Die beiden Lösungen können die Anforderungen mehrheitlich erfüllen. Sie unterscheiden sich jedoch
bezüglich des Konzepts und ihres Vorgehens bei der Erfüllung der einzelnen Anforderungen. Es gibt Funktionen, welche die eine Lösung effizienter erfüllt als die andere. Abschliessend lässt sich sagen, dass
es kein System gibt, welches alle Anforderungen erfüllen kann und in jeder beliebigen Umgebung gleichermassen effizient ist.
Die Lösung von Enterasys ist bei bestehenden Enterasys Kunden oder bei Kunden, welche ihre Infrastruktur komplett neu aufbauen möchten, sehr gut implementierbar. Für Kunden, die bereits über eine
Infrastruktur verfügen, die nicht „NAC ready“ ist, und eine schnelle und kompakte Lösung suchen, ist
die Lösung von CounterACT sehr gut geeignet.
6.2 Vergleich mit Packetfence (Free Open Source)
Das Network Access Control System Packetfence ist eine frei verfügbare Application, die gemäss dem
Herausgeber in grossen heterogenen Netzwerken implementiert wurde. Das System verfügt über folgende Eigenschaften:
-
Erkennen von Endgeräten, infizierten Systemen und verdächtigem Verhalten (Viren, Würmer,
Netzwerkscans etc.) im Netzwerk
-
Isolation von verdächtigen Endgeräten
-
Enforcement-Methoden wie VLAN Zuordnung.
-
Remediation
-
Vulnerability Scans
Diese Eigenschaften entsprechen theoretisch in etwa denjenigen der CounterACT. Es ist aber fast unmöglich, das System nur aufgrund der Aussagen des Herausgebers zu vergleichen. Daher ist es empfehlenswert, das System in einer weiteren Studie zu untersuchen.
Seite 81 von 93
Master-Thesis-1.0.doc
7 Empfehlungen
Im Allgemeinen muss man das Implementieren eines „Network Access Control“ Systems gründlich planen und die entsprechenden Ressourcen reservieren. Im Weiteren müssen die beteiligten Abteilungen
oder Verantwortungsbereiche eng zusammenarbeiten, damit das System effizient eingesetzt werden
kann. So muss der „Security Officer“ die Initiative ergreifen und die Geschäftsleitung von der Notwendigkeit des Projekts überzeugen, damit auch die entsprechenden Mittel zur Verfügung gestellt werden
können. Danach muss der „Security-Officer“ in Zusammenarbeit mit dem „Security Team“ die Sicherheitsrichtlinien definieren und wiederum von der Geschäftsleitung absegnen lassen. Das Netzwerk-,
Server- und Client-Team müssen zusätzlich zum Security-Team involviert werden, weil ein NAC System
Anforderungen an das Netzwerk, Server und Client-Systeme stellt.
Empfehlenswert ist zusätzlich eine Pilotphase, damit Fehler rechtzeitig erkannt und korrigiert werden
können.
In diesem Kapitel werden die Einsatzmöglichkeiten der CounterACT im Netzwerk der BFH unter Berücksichtigung der vorhandenen Informationen über die Netzwerkinfrastruktur dargelegt.
Wie in Kapitel 3 beschrieben, ist das Netzwerk der BFH ein komplexes, heterogenes und über mehrere
Standorte verteiltes Netzwerk. Diese Eigenschaft stellt für jedes Network Access Control System eine
grosse Herausforderung dar. Die in diesem Kapitel beschriebenen Empfehlungen wurden mit folgenden
Annahmen gemacht.
Die BFH braucht ein NAC System, um
-
sich vor den Gefahren zu schützen, welche von infizierten fremden Endgeräten ausgehen
-
den Zugriff auf die Netzwerkressourcen aufgrund von Benutzerdaten zu kontrollieren,
sodass z.B fremde Endgeräte von Studenten und Mitarbeitern nach dem Anmeldungsprozess an der Domäne BFH als authentifiziert erkannt und entsprechend ihrer Gruppenzugehörigkeit dem richtigen VLAN zugeordnet werden
Das Assessment und der Remediation Prozess für fremde Endgeräte steht nicht in Vordergrund, kann
jedoch für interne angewendet werden.
7.1 Variante 1 : Verteilte Implementation
CounterACT ist eine Out-of-Band Lösung, was bedeutet, dass die Appliance nicht im Datenpfad steht
und somit der gesamte Netzwerkverkehr, der überwacht werden soll, zur Appliance gespiegelt werden
muss. Dies, damit die Appliance bemerkt, wenn ein Endgerät versucht, eine Verbindung zum Netzwerk
herzustellen und verdächtiges Verhalten von Endgeräten rechtzeitig entdeckt.
Damit CounterACT effizient eingesetzt werden kann, muss sie im Netzwerk so platziert werden, dass sie
den gesamten Verkehr in jedem Standort überwachen kann. Am Besten wird das Monitoring Interface
der Appliance an einen Switch-Port eines Distribution-Switches angeschlossen wird, der als Mirror Port
(Überwachung des Verkehrs von und zu den Access Switches) und 802.1q Trunk (Bemerkung von VLAN
Tags) konfiguriert ist.
Das Response Interface soll ebenfalls als Trunk konfiguriert werden.
Seite 82 von 93
Master-Thesis-1.0.doc
Abbildung 60: Verteilte Implementation
Bei dieser Variante wird in den Standorten je nach Standortgrösse (Anzahl gleichzeitig aktiver Endgeräte) das entsprechende CounterACT Modell verwendet. Somit kann die Kontrolle über alle Endgeräte pro
Standort gewährleistet werden. Die kleinen Standorte, welche keine entsprechende Switching Infrastruktur besitzen, können mit der Appliance im Core-Netz der BFH in Bern überwacht werden (hier
muss man den Verkehr von diesen Standorten zur Appliance über einen Switch ins Core-Netzwerk spiegeln)
Die installierten Appliances in den Standorten können zentral über einem Enterprise Manager konfiguriert und gesteuert werden. Eine Variante wäre die Installation einer Appliance als Enterprise Manager
im Core-Netzwerk der BFH in Bern zusätzlich zur aktiven Appliance.
In der Tabelle 8 sind die Richtpreise für Schulen. Die jährlichen Supportgebühren belaufen sich auf ca.
36 % des Einkaufspreises.
Seite 83 von 93
Master-Thesis-1.0.doc
Tabelle 11: CounterACT Modelle & Preise
Modell
Spezifikation
Anzahl gleichzeitig
aktiver Endgeräte
Preis
CT-R
100 Mb/sec of bandwidth, 4 network ports
50
CHF 3000
CT-100
100 Mb/sec of bandwidth, 6 network ports, 2 optional
fiber ports
250
CHF 8400
CT-1000
1 Gb/sec of bandwidth, 6 network ports, up to 2 optional fiber ports
1000
CHF 17400
CT-2000
with 1 Gb/sec of bandwidth, 8 network ports, up to 4
optional fiber ports
2500
CHF 29400
CT-4000
"multi-gigabits" of sustained throughput, 8 network
ports, up to 4 optional fiber ports
4000
CHF 42000
Enterprise
Manager
Management von Appliances
CHF 12000
Abbildung 61: Bild der Gesamtlösung - Variante 1
Seite 84 von 93
Master-Thesis-1.0.doc
Konfigurationsempfehlungen
Für einen effizienten Einsatz der Lösung wird die folgende Konfiguration empfohlen:
•
Damit die Richtlinien bei fremden Endgeräten von Domänenbenutzern wirksam sind, müssen
sich diese über die Appliance an der Domäne anmelden. Das bedeutet, dass alle fremden Endgeräte (von Gästen, Studenten und Mitarbeitern) - auch wenn sie sich über das MPP Portal angemeldet haben - mit einem http-Login Fenster konfrontiert werden, sobald sie sich mit dem
Netzwerk verbinden. Hier muss noch geprüft werden ob es möglich ist, eine Schnittstelle zwischen dem MPP Portal und der CounterACT zu verwenden, sodass bei einer Anmeldung eines
Benutzers am MPP Portal die CounterACT die Anmeldedaten umgehend erhält. Diese dienen ihr
dann zur Benutzererkennung. Die CounterACT kann zwar Authentifizierungen gegen http-Server
erkennen, es ist aber nicht sicher, ob auch die Benutzerdaten für die CounterACT ersichtlich
sind.
•
Damit der Assessment Prozess für die internen Endgeräte effizient und ohne Anpassungen an
die Sicherheitseinstellungen der Endgeräte abläuft, sollte der Agent (SecureConnector) benutzt
werden. Dieser kann problemlos installiert oder auch via Software Management Programme
verteilt werden. Mit dem SecureConnector können die Massnahmen schneller ausgeführt werden. Darüber hinaus stehen mehr Assessment Möglichkeiten zur Verfügung als bei der normalen Methode (z.B. das Deaktivieren von USB Massenspeichergeräten).
Seite 85 von 93
Master-Thesis-1.0.doc
7.2 Variante 2 : Zentrale Implementation25
Variante 2 soll nur berücksichtigt werden, wenn die finanziellen Mittel für die Variante 1 nicht ausreichen.
In dieser Variante soll die leistungsfähigste Appliance (CT-4000) zentral im Core-Netz der BFH in Bern
eingesetzt werden. Damit die Appliance den ganzen Verkehr im gesamten Netzwerk der BFH überwachen kann, muss hier speziell vorgegangen werden. So muss der gesamte Verkehr in diesem Standort
zu einem Mirror-Port gespiegelt werden. Alle Mirror-Ports der Standorte werden über Glasleitungen mit
einem Switch im Core-Netz der BFH verbunden (hier können auch andere Mirroring Methoden verwendet werden). An diesem Switch muss man einen oder mehrere Mirror-Ports26 konfigurieren, damit die
Monitoring Ports der Appliance an diesen angeschlossen werden können. Die Response soll hier als IPLayer27 konfiguriert werden, in diesem Szenario kann man sich die Response-Ports der Appliance ersparen. Die Appliance kann ihre Management IP Addresse verwenden, um Befehle bzw. Actions ins Netzwerk zu senden.
Die Konfigurationsempfehlungen für Variante 1 gelten auch für diese Variante.
Abbildung 62: Variante 2
25 Diese Variante soll nur dem akademischen Zweck dienen, da die Idee, den ganzen Verkehr von allen Standorten zum Core-Netz in Bern zu spiegeln, unpraktisch zu sein scheint.
26 In der Appliance kann man mehrere „Channels“ konfigurieren, jeder „Channel“ besteht aus einem Monitoring- und einem Response-Port. Bei einer Implementation in Netzen mit mehreren VLAN’s müssen die Switch-Ports, an denen diese Monitoring und Response-Ports angeschlossen sind, als Trunks konfiguriert
werden.
27 Diese Option ist in ihrer Funktion beschränkt. Siehe Installationsmanual der CounterACT.
Seite 86 von 93
Master-Thesis-1.0.doc
8 Schlusswort
Vorerst ist festzuhalten, dass mir das ausgewählte Thema zwar vom Konzept her nicht unbekannt war,
ich mich jedoch gründlich mit der Implementation beschäftigen musste. „Network Access Control“ ist an
sich ein neu aufkommendes und aktuelles Thema, was die Orientierung in diesem Gebiet erschwert.
Mir schien es zu Beginn der Arbeit wichtig, die theoretischen Grundlagen des Themas zu studieren, damit ich eine Baseline oder Referenz setzen und dann auf die vorhandenen Lösungen eingehen konnte.
Da das Thema aktuell ist, habe ich viele Artikel im Internet gefunden, welche es behandeln, leider jedoch keine konkreten Studien oder Untersuchungen. Die meisten Artikel waren „Whitepapers“ oder
„Success Stories“, die von den Herstellern der aktuellen Produkte publiziert wurden. Ich musste zuerst
also diese Informationen einordnen und diejenigen aussortieren, welche für meine Arbeit relevant sind.
Erst dann konnte ich richtig mit der Arbeit beginnen. Schlag auf Schlag ging es weiter und als ich mit
den praktischen Tests begann, merkte ich, wie umfangreich das Thema ist. An Freude hat es mir während der Arbeit jedoch nicht gemangelt.
Rückblickend bin ich mit dem Verlauf der Master-Thesis zufrieden, sie ermöglichte mir den Einstieg in
ein interessantes und sehr aktuelles Gebiet, welches in den nächsten Jahren noch mehr an Bedeutung
gewinnen wird. Nun, am Ende dieser Arbeit, merke ich, dass es immer noch offene Fragen gibt. Ich
weiss jedoch, dass ich die Arbeit mit meinem heutigen Wissensstand anders angehen würde. Es ist heute noch nicht möglich, alle Fragen zu beantworten, einerseits, weil das Gebiet neu ist und anderseits,
weil nicht alle möglichen Szenarien getestet werden konnten.
Seite 87 von 93
Master-Thesis-1.0.doc
Anhang A Danksagung
An dieser Stelle möchte ich mich bei denjenigen Personen bedanken, welche zum erfolgreichen Abschluss dieser Arbeit beigetragen haben.
Der Dank gebührt:
•
Herrn Rolf Lanz für seine wertvolle Begleitung und konstruktiven Vorschläge.
•
meinem Arbeitsgeber, der Firma GIA Informatik AG für die Ermöglichung der Teilnahme am
MAS-Studium.
•
der Firma bwdigitronik für die Bereitstellung der notwendigen Testgeräte und ihre technische
Unterstützung.
•
meiner Familie, insbesondere meinem Sohn Ahmed, für ihre Unterstützung während des Studiums.
Seite 88 von 93
Master-Thesis-1.0.doc
Anhang B Glossar
802.1x Eine generelle Methode für die Authentifizierung und Autorisierung.
Der IEEE Standard 802.1x bietet die Möglichkeit, den Zugang zum Datennetz (egal ob kabelgebunden
oder per WLAN) zu kontrollieren: bevor ein Benutzer über einen Rechner Zugang zum Datennetz bekommt, muß er sich am Netzwerk authentisieren. Der Authentisierung kann dabei benutzer- oder maschinenbezogen erfolgen.
802.1q Trunking Protocol
IEEE 802.1Q ist eine durch das IEEE genormte Priorisierungs- und VLAN-Technologie, die, im Unterschied zu den älteren portbasierten VLANs, paketbasierte tagged VLANs implementiert. Der Ausdruck
„Tagged“ leitet sich vom engl. Ausdruck material tags ab, das sind Warenanhänger mit denen Waren
markiert werden. Es handelt sich also bei tagged VLANs um Netzwerke, die Netzwerkpakete verwenden, welche eine spezielle VLAN-Markierung tragen. (vergleiche VLAN)
Action
Bei CounterACT die Tätigkeiten, welche auf Endgeräten aufgeführt werden können (entweder manuell
oder aufgrund einer bestimmten Richtlinie.
ActiveResponse
Eine von ForeScout patentierte Technologie für die Abwehr von Angriffen, welche von Menschen,
selbstverbreitender Malware oder Wurms ausgehen.
AD Active Directory
Der Verzeichnisdienst von Microsoft Windows 2000/Windows Server 2003 heißt Active Directory (AD).
Ab der aktuellen Version Windows Server 2008 wird die Kernkomponente als Active Directory Domain
Services (ADDS) bezeichnet. Bei einem Verzeichnis (englisch: directory) handelt es sich um eine Zuordnungsliste wie zum Beispiel bei einem Telefonbuch, das Telefonnummern den jeweiligen Anschlüssen
(Besitzern) zuordnet.
BFH Berner Fachhochschule
Die Berner Fachhochschule wurde am 1. Oktober 1997 gegründet. Die Schule, die in 12 grosse und viele kleine Standorte unterteilt ist, hat ca. 5’000 Studierende und ihren Hauptsitz in Bern.
Channel
Paare aus zwei Netzwerkanschlüssen bei CounterACT. Die eine Interface wird für „Traffic-Monitoring“
benutzt und die zweite für die Ausführung von Tätigkeiten in einem Netzwerksegment.
Cell : Ein Cell=Zelle ist eine Gruppe Hosts, die durch ein einzelnes Appliance überwacht und geschützt
werden z.B. Host in ein VLAN auf das gleiche Switch oder Host auf ein HUB.
DHCP Dynamic Host Configuration Protocol
ist ein Protokoll, dass die dynamische Konfiguration von IP-Adressen und damit zusammen hängende
Informationen bietet. Es unterstützt die Beibehaltung der Verwendung von begrenzt vorhandenen IPAdressen durch zentralisierte Verwaltung der Adresszuordnung.
DNS Domain Name Service
Abkürzung für "Domain Name Service" - ordnet Internet-Namen und IP-Adressen einander zu
Enterprise Manager
Eine CounterACT Komponente, welche für das Management von mehreren CounterACT Appliances benutzt werden kann.
VA Scan Vulnerability Assesment
Seite 89 von 93
Master-Thesis-1.0.doc
Scan Methoden für die Prüfung von Endgeräten auf Verwundbarkeit oder Sicherheitslücken.
Firewall policy
Eine CounterACT Richtlinie, die es ermöglich, Sicherheitszonen zu kreieren. Die Firewall von CounterACT
ist virtuell.
Fstool
Das Command-Line Tool von CounterACT. Ermöglicht dem Administrator das Ausführen von erweiterten Befehlen auf der Appliance (Betriebssystem Ebene)
Hijack
Blockade des Web-Traffic. Generiert bei Benutzern (manuell oder aufgrund einer bestimmten Richtlinie), um dem Benutzer bestimmte Informationen zu liefern oder um den Web-Traffic zu blockieren, bis
der Benutzer die vorausgesetzten Bedingungen erfüllt hat.
Horizontal UDP/TCP scan
Scan ausgeführt auf einem bestimmten Dienst (TCP/UDP Port) auf mehreren Hosts.
Host block
Eine Tätigkeit, die vom IPS Modul der CounterACT Appliance auf einem Host manuell oder aufgrund einer Richtlinie ausgeführt wird. Host block verhindert die Kommunikation zwischen dem blockierten Host
und der Netzwerkumgebung.
IDS Intrusion Detection Systems.
Systeme, die zusätzlich zu einem Firewall eingesetzt werden, um Netze vor Angriffen und Eindringlingen zu schützen.
In-band (In-Line)
NAC Appliances die im Datenpfad stehen werden als In-Band oder In-Line Lösungen bezeichnet.
IP assignment range
Das Netzwerksegment die von der Appliance untersucht wird.
IPS Intrusion Prevention System
Es werden Intrusion Detection Systeme (kurz: IDS) bezeichnet, die über die reine Generierung von
Ereignissen (Events) hinaus Funktionen bereitstellen, die einen entdeckten Angriff verhindern können.
IP layer
Eine Methode von CounterACT, um Actions in Zielnetzwerken auszuführen (Core-Switch Installation).
IPS policy
Eine Richtlinie, die anordnet, wie die CounterACT Appliance mit attackierenden infizierenden Endgeräten umgehen soll.
Irresolvable host
Endgeräte die von der Appliance nicht korrekt untersucht werden können.
Kerberos
Ist ein Authentifizierungsdienst, das für offene und unsichere Computernetze entwickelt wurde.
Kerberos bietet sichere und einheitliche Authentifizierung in einem ungesicherten TCP/IP-Netzwerk
auf sicheren Hostrechnern. Die Authentifizierung übernimmt eine vertrauenswürdige dritte Partei.
Kerberos-Snooping
Während des Kerberos-Authentisierungsvorgangs werden Daten mitgelesen, wodurch ein IP-to-IDMapping möglich wird.
Seite 90 von 93
Master-Thesis-1.0.doc
LDAP Lightweight Directory Access Protocol
Ist ein Anwendungsprotokoll. Es erlaubt die Abfrage und die Modifikation von Informationen eines
Verzeichnisdienstes (eine im Netzwerk verteilte hierarchische Datenbank) über das TCP/IP-Netzwerk.
Listen only mode
Betriebsmodus von CounterACT, bei dem die Appliance den Netzwerkverkehr nur überwacht. In diesem Modus werden keine Tätigkeiten (Actions) von der Appliance her ausgeführt.
Malicious host
Ein Endgerät aus welchem Eindringen Ereignis detektiert wurde z.B Wurm.
Management Interface
Das Interface, über welches die Appliance administriert wird. Das Interface wird auch als source Interface für Abfragen, „Deep-Inspection“ und „Hijacking“ benutzt.
Marks
Verstärkte, virtuelle Ressourceninformation, welche an schädliche Endpunkte gesendet wird und Teil
der ActiveResponse Technologie ist. Falls z.B. CounterACT eine verdächtige Anfrage für einen Netzwerkservice erhält, antwortet sie durch die Erstellung und Rücksendung von Marks.
MPP Multi Provider Portal
Wireless-Authentisierung der BFH via Webinterface.
Monitor interface
Das Interface, über welches die CounterACT Appliance den Netzwerkverkehr überwacht. Normalerweise
wird der Netzwerkverkehr zu einem Switch-Port gespiegelt, an diesem Switch-port wird das Monitor Interface angeschlossen.
Monitor mode
Ein Betriebsmodus im IPS Teil der Appliance, in dem, Endgeräte aus welchen Eindringen Ereignis detektiert wurde nur überwacht werden (nicht blockiert)
Nmap
Nmap ist ein Portscanner, mit dem sich Hosts auf offene Ports und den darauf lauschenden Diensten
prüfen lassen.
P2P Peer-to-Peer
Plugins
Funktionalitätsverbesserungsmodule, die zusätzlich installiert werden können damit die Endgerätbefragungen und einsetzen von Massnamen implementiert werden können.
In einem Peer-to-Peer-Netz sind alle Computer gleichberechtigt und können sowohl Dienste in Anspruch
nehmen als auch Dienste zur Verfügung stellen. Die Computer können als Arbeitsstationen genutzt
werden, aber auch Aufgaben im Netz übernehmen
RADIUS Remote Authentication Dial In User Service
Ist ein Client-Server-Protokoll, das zur Authentifizierung, Autorisierung und zum Accounting (Triple-ASystem) von Benutzern bei Einwahlverbindungen in ein Computernetzwerk dient. RADIUS ist der Defacto-Standard bei der zentralen Authentifizierung von Einwahlverbindungen über Modem, ISDN, VPN,
WLAN (IEEE 802.1X) und DSL.
SecureConnector
Lightweight small-footprint excutable. Wird als Agent eingesetzt, wenn die Appliance das Endgerät nicht
befragen kann. SecureConnector öffnet eine gesicherte Verbindung, damit die CounterACT das Endgerät managen kann.
SNMP Simple Network Management Protocol
Seite 91 von 93
Master-Thesis-1.0.doc
Ist ein Netzwerkprotokoll, das von der IETF entwickelt wurde, um Netzwerkelemente (z. B. Router, Server, Switches, Computer usw.) von einer zentralen Station aus überwachen und steuern zu können. Das
Protokoll regelt hierbei die Kommunikation zwischen den überwachten Geräten und der Überwachungsstation.
Sub-policy
Eine NAC Konstrukt, das es erlaubt, verschachtelte Richtlinien zu kreieren. Sub-policies werden sequentiell bearbeitet, bis ein Treffer gefunden wird. Die Massnahme für den gefundenen Treffer wird ausgeführt.
SWITCH Schweizerisches Universitäten- und Hochschulnetzwerk
UAC User Account Control
VA Scan
Vulnerability Scanner bzw. Verwundbarkeitsprüfer sind Computerprogramme, die Zielsysteme auf bekannte Sicherheitslücken hin untersuchen.
Vacant Port VLAN
Ein VLAN auf dem Switch, welchem frei Switch-ports zugewiesen werden. Die Methode, die verwendet
wird, um Endgeräte zu untersuchen, bevor diese (pre-connect inspectionsie) Zugriff zum Produktionsnetzwerk erhalten
Virtual site
Eine spezielle virtuelle Umgebung, kreiert mit der Technologie von ActiveResponse. Die virtuelle Umgebung ist ähnlich aufgebaut wie die reale und ist für den Angreifer erkennbar.
VLAN Virtual LAN
Ist ein virtuelles lokales Netz innerhalb eines physischen Switches oder innerhalb eines gesamten Netzes.
VPN Virtual Private Network
Ist eine Netzwerktechnologie, die zum Transport privater Daten ein öffentliches Netz (zum Beispiel das
Internet) nutzt.
WLAN Wireless LAN
Ein „drahtloses“, lokales Funknetz, wobei meistens ein Standard der IEEE-802.11-Familie gemeint ist.
Worm Slowdown Mechanism
Eine Eingenschaft der ActiveResponse Technologie, um die Verbreitung von Wurms und schädlicher
selbstverbreitender Software zu bremsen.
Zero-Day-Attack
Eine Zero-Day Attacke ist ein Angriff auf ein Computersystem, der eine Vulnerability ausnützt, zu der es
noch kein Patch gibt, respektive die noch gar nicht bekannt ist.
Seite 92 von 93
Master-Thesis-1.0.doc
Anhang C Referenzen
[1] Aufgabestellung Master Thesis
[2] Götz Schmidt „ Methode und Techniken der Organisation “
[3] Chris Rupp & die Sophisten Requirementsengineering und Management
[4] NAC Enforcement and the Role of the Client / Infonetics Research
[5] Enterasys_sicherheitsarchitekturen für industrial ethernet
[6] Gartner MarketScope for Network Access Control
[7] Roger Beyeler, Philippe Schmid „Bachelor-Thesis Port- und Sicherheitsüberwachung im BFHNetzwerk“
[8] Netzwerk - Dokumentation der BFH
[9] Network Access Control NAC –Architekturen im Vergleich / Enterasys
[10] Network Access Control NAC – Die Grundzüge einer neuen Technologie / Enterasys
[11] Secure Networks™ / Enterysys / Whitepaper
[12] CounterACT / ForeScout / Whitepapers
[13] CounterACT / ForeScout / Product manuals
[14] Standardizing Network Access Control: TNC and Microsoft NAP to Interoperate
[15] NAC-Positionierung / Dror-John Röcher
[16] Network Access Control / Präsentation / André Clerc
[17] WWW
Seite 93 von 93

Documentos relacionados