1

Serviços de Rede baseados em Identidade (IBNS) e Controle de Admissão à Rede (NAC)

Italo BritoSystems Engineeribrito@cisco.com CCIE #16321

Routing/Switching

2

Agenda

• Introdução

• Operação do 802.1x

• 802.1x não se limita a autenticação

• Network Admission Control (NAC)

• Conclusão

3

Introdução

4

Identidade

5

Alguns conceitos importantes sobre Identidade

• Arquitetura AAA – Autenticação, Autorização e “Accounting”

• O processo de autenticação é usado para verificar uma identidade alegada.

• Um sistema de autenticação é tão forte quanto o método de verificação utilizado.

• Uma identidade só é útil como um “ponteiro”para uma política aplicável ao usuário e para “accounting” dos serviços utilizados.

• Autorização é o conceito de associar diferentes serviços aos usuários após a autenticação destes.

• Se todos os usuários tiverem os mesmos direitos então não precisaremos de autorização.

Você DEVE

ter no mínimo a altura “H” para

entrar

H

6

Identidade em todas as camadas?

• Camada Física— cadeados , crachá baseado em RFID

• Camada de Enlace — Arquitetura IEEE 802.1x

• Camada de Rede — “gateways”, “extended authentication” (x-auth), firewalls, método “lock and key” em roteadores

• Camada de Sessão —SSL, TLS

• Camada de Aplicação — Windows networking, Kerberos

Física

Enlace

Rede

Sessão

Aplicação

Gateways, X-Auth, Firewalls, Lock and Key

Cadeados, Crachá RFID

802.1x

SSL, TLS

Windows Networking (SMB), Kerberos

7

Pausa para Reflexão : Por que ter Segurança já no nível 2 ?

Quando falamos em Segurança de Redes normalmente fazemos uma associação imediata com a Internet, o que, por sua vez, nos remete a “IP” e, conseqüentemente, à camada 3 do modelo OSI.

APLICAÇÃO

APRESENTAÇÃO

SESSÃO

TRANSPORTE

REDE

ENLACE

FÍSICO

Devemos lembrar, no entanto, que uma corrente é tão forte quanto o seu elo mais fraco. Pensando justamente no modelo OSI, fica fácil perceber que se conseguirmos comprometer a Segurança no nível 2, os outros níveis naturalmente serão afetados.

!

7

6

5

4

3

2

1

8

802.1x : Visão simplificada

√Credenciais Válidas

Credenciais Inválidas

(ou Ausentes)

X

RedeCorporativa

Acesso negado

Usuário autorizado

Usuário externo não autorizado

Recursos Corporativos

Verificação de Identidade

Switch

* IBNS = Identity Based Networking Services = autenticação 802.1x + serviços adicionais sobre a plataforma 802.1x

9

O risco de não se ter Controle de Admissão

“Oi.”

Alice: “Oi.”

Chuck: “Oi. Sou do departamento de Vendas.”

Bob: “Oi. Sou um administrador.”

Permitido

Permitido Permitido

Permitido

Chuck: “Estou usando uma versão sem “patch” do Windows 2000 . Estou conectado via Gigabit Ethernet à Rede e minha máquina está carregada com o “worm de jour” (e este é bem interessante...) Boa sorte a todos !”

10

Network Admission Control – Visão Geral

Política de Admissão à Rede:IdentidadeWindows XP“Service Pack” 2CTA 2.0Anti-Vírus“Patch Management”

Chuck: Departamento de vendasWindows 2000Sem “Service Pack”Sem Anti-VírusSem “Patch Management”

Serviço de Remediação

Quarentena

Servidores de Verificação de

Status

Serviço de Diretório

11

Operação do Sistema IBNS + NAC

1. Quem é você ? 802.1x e servidor de controle de acesso autenticam o usuário.

2. Sua estação está adequada ? Usando Network Admission Control, a Rede e a máquina do usuário verificam se esta tem, por exemplo, a versão correta do AV e outras ferramentas de proteção.

3. Onde você pode ir? Baseado em autorização, o usuário é colocado na VLAN e grupo pertinentes.

4. Que nível de serviço você vai receber ? O usuário pode ser colocado em uma VPN

protegida por Firewall ou receber um determinado valor de QoS.

5. O que você está fazendo? Usando a identidade do usuário, podem-se gerenciar mais facilmente as

funções de “accounting” e localização.

12

Operação do 802.1X

13

Extensible Authentication Protocol (EAP)

• É um protocolo de transporte flexível usado para carregar informações arbitrárias de autenticação— o EAP não é o método de autenticação em si.

• O EAP provê um “framework” flexível para Segurança na camada de enlace

Protocolo de encapsulamento simples

Não depende do IP

Poucos requisitos em relação à camada de Enlace

Pode funcionar em qualquer camada de Enlace (PPP, 802, etc.)

Pode funcionar em meios com perdas

Originalmente especificado na RFC 2284, a qual se tornou obsoleta após a publicação da RFC 3748

14

O que o EAP faz ?

• Transporta informação de autenticação sob a forma de “payloads” EAP

• Estabelece e gerencia a conexão; encapsula vários tipos de mensagens de autenticação.

• Métodos EAP mais utilizados : EAP-TLS: usa certificados digitais x.509 v3 PKI e o mecanismo TLS para autenticação. (Certificados tanto no cliente como no servidor)

PEAP: Protected EAP tunnel mode EAP encapsulator; promove “tunelamento” de outros métodos EAP em uma sessão TLS criptografada.

EAP-FAST: projetado para não depender de certificados ; promove “tunelamento” de outros métodos EAP em uma sessão TLS criptografada.

802.1x HeaderEthernet Header

RADIUS

IP Header

EAP PayloadUDP

EAP Payload

Conversação EAP Resultante

Switchcliente

Servidor RADIUS

18

Uncontrolled port provides a path for extensible authentication protocol over LAN (EAPOL) and CDP traffic only

Segurança Implícita do 802.1x

O canal não controlado provê o caminho para transporte exclusivo do protocolo EAPOL (EAP over LAN)

Para cada porta física habilitada para 802.1x, o switch cria

dois canais virtuais de comunicação

O canal controlado só é aberto após a autorização da porta via 802.1x

Controlled

UncontrolledEAPOL EAPOLSwitch

20

Modelo 802.1x para controle de acesso por porta

Request for Service(Connectivity)

Backend AuthenticationSupport

Identity StoreIntegration

Authenticator• LAN Switch• WLAN Access Point

Identity Store/Management• Microsoft AD• LDAP• NDS• ODBC

Authentication Server• Microsoft IAS • ACS (Access Control Server)• Any IETF RADIUS server

Supplicant• Desktop/laptop• IP phone• WLAN Access Point• LAN Switch

IP NetworkL2 Access

26

802.1x não se limita a autenticação

28

802.1x Accounting : Auditoria e Localização (1)

29

802.1x Accounting : Auditoria e Localização (2)

30

802.1x com associação dinâmica de VLAN

• [64] Tunnel-type—“VLAN” (13)

• [65] Tunnel-medium-type—“802” (6)

• [81] Tunnel-private-group-ID—<VLAN name>

Marketing = VLAN 10

Attribute Value Pairs Usados—conforme padrão IETF

Engenharia = VLAN 20Grupo 1

Grupo 2

VLAN 10

VLAN 20

Política de Autorização

Servidor RADIUS

Associação de VLAN por grupo de usuários

31

802.1x com VLAN de visitante (“Guest VLAN”)

• “Timeout” padrão é de 30 segundos e 3 tentativas; “Timeout” total é de 90 segundos (valor padrão)

• Um cliente é colocado na VLAN de visitante por não responder aos frames EAPOL-Identity-Request enviados pelo switch (que podem ser vistos como “hellos” 802.1x)

• Inexistência ou não habilitação do suplicante

• Não há comunicação com o servidor RADIUS (decisão sobre a VLAN de visitante é local ao switch)

• Estações aptas a falar 802.1x e que podem responder ao switch via EAPOL, por definição, não podem ser direcionadas para a VLAN de visitante

Guest

32

Integração de 802.1x com “Wake on LAN”

Supplicant 802.1x Process1

√

2√

3

4 PC Must 802.1x Authenticate

• Tráfego de saída de uma porta (Rede ->> Cliente) é permitido

• Tráfego de entrada de uma porta continua sendo bloqueado enquanto o usuário não tiver sido autorizado.

• Sendo detectado tráfego na Rede, a porta volta para o estado normal e a estação tem que se autenticar.

WoL Frame Transmitted

PC Can Wakeup

PC Sends Traffic

33

802.1X : Reautenticação periódica

Portas que suportam 802.1x podem ser configuradas para exigir reautenticação periodicamente

Switch LAN(suporta 802.1x)

12

6

39

Switch LAN

(suporta 802.1x)

12

6

39Algumas máquinas foram autenticadas e estão utilizando a Rede

Período de reautenticação expira e todos os clientes são forçados a se reautenticar.

40

Network Admission Control

42

NAC proporciona maior Segurança

Qual é a melhor maneira de verificar/corrigir?

Pre-Configured ChecksCustomized ChecksSelf-Remediation or Auto-RemediationThird-Party Software

Windows, Mac, Linux ?Laptop, Desktop, PDA ?Impressora ? Telefone IP ? ... ?

Qual é o sistema?

EmpresaEmpregadoTerceirizadoVisitanteDesconhecido

A quem ele pertence?

VPNLANWLANWAN

Qual é o meio de acesso?

Anti-Virus, Anti-SpywarePersonal FirewallFerramentas de Patching

Quais são os softwares instalados?Eles estão habilitados?

43

Operação 802.1x e NAC

• Autenticação via 802.1x

• Um único túnel, múltiplas transações.

Validação de Identidade

Validação do “Status” (Verificação da adequação da Máquina aos requisitos mínimos da Política de Admissão à Rede)

• Aplicação de Políticas de Grupo (autorização)

RADIUS

Identidade + Status da MáquinaL2 (802.1x)

Cliente

Switch

Servidor RADIUS

45

Possíveis estados NAC (Status da Máquina)

• Healthy — a estação está de acordo com as políticas; sem restrições no acesso à Rede

• Checkup — a estação está de acordo com as políticas, porém existe uma atualização disponível; usado para remediar uma estação para o status “healthy” de uma maneira pró-ativa

• Transition — a verificação do status da estação está em andamento; a estação tem um acesso temporário até que seja feita a verificação do completa da estação; utilizado quanto a estação está sendo inicializada e todos os serviços ainda não foram iniciados e/ou os resultados de auditoria ainda não estão disponíveis

• Quarantine — a estação não está adequada; o acesso é restrito a uma rede de quarentena para que a estação seja remediada; a estação não é considerada uma ameaça mas é vulnerável a um ataque conhecido ou uma infecção

• Infected — a estação é uma ameaça aos outros dispositivos de rede; o acesso à Rede deve ser limitado ou totalmente negado

• Unknown — a status da estação não pode ser determinado; a estação pode ser colocada em quarentena até que possa ser identificado seu o status

53

Elementos definidores de uma solução NAC

IDENTIFICAR DEIDENTIFICAR DEFORMA SEGURAFORMA SEGURA A ESTAÇÃO E OA ESTAÇÃO E O

USUARIOUSUARIO

O QUESIGNIFICA…

SEM ISSO . . .

Identificar estações e usuários e criar associações entre eles

Crítico para associar as estações e os usuários às suas respectivas políticas. Previne “device spoofing”.

GERÊNCIA GERÊNCIA E E

CONFIGURAÇÃOCONFIGURAÇÃO

Políticas que são muito complexas ou muito difíceis de criar podem inviabilizar o projeto.

Criação de políticas granulares para mapear rapidamente grupos de usuários às suas políticas

QUARENTENA QUARENTENA E E

REMEDIAÇÃOREMEDIAÇÃO

Somente saber que uma estação não está adequada não é suficiente. Deve haver um responsável pela readequação .

Atua com base nos resultados da verificação do status da estação, isolando e remediando para que ela venha a ser considerada adequada.

GARANTIR UMA GARANTIR UMA POLÍTICA POLÍTICA

CONSISTENTECONSISTENTE

Um mecanismo de política descentralizada(ex: baseado na estação) pode levar a problemas de Segurança.

Verifica e reforça uma única política consistente em toda a rede

Uma solução NAC completa deve ter todas as quatro características. A ausência de uma das quatro

características limita significativamente a solução.

54

Cuidado com os “agentes inteligentes”...

Algumas implementações prometem “agentes inteligentes”

O suposto “Agente Inteligente” se traduz em : Ponto Único de falha

Propagação automática de worms: com um “agente inteligente”, um worm só precisa fazer uma coisa certa:

SHUT DOWN AGENT = NO MORE NAC

Numa implementação NAC o agente deve ser intencionalmente “burro” – verificar o que foi perguntado pelo ponto de acesso à Rede e gerar uma resposta pertinente.

Quando o “Agente Inteligente” é Neutralizado, o NAC falha

55

Avaliando supostas implementações de NAC

Atende as características da definição de NAC?

Suporte a Políticas?

Agente Inteligente ou Burro?

Aplicações (LAN,WAN, VPN,WLAN)?

Perímetro ou Gateway?

56

Padronização do NAC

• A Cisco está participando do processo de padronização do NAC

• Os drafts EAP-FAST (NAC-L2) e EAPoUDP (NAC-L3) estão publicados no IETF

• Cisco participou na reunião “Network Endpoint Assessment” (NEA) realizado no IETF em 2006

• Lista de discussão nea@ietf.org

• Mais informações :

www.cisco.com/go/nac

www.cisco.com/go/ibns

57

Conclusão

58*2005 FBI/CSI Report

Necessidade de Network Admission Control

• Vírus, worms, spyware, etc., continuam a ser um grande desafio no dia-a-dia das Empresas.* Virus são só um sintoma do problema maior : aplicativos complexos com inúmeras falhas de Segurança.

• Ameaças novas (principalmente baseadas em worms) tornam as soluções puramente reativas muito pouco eficazes.

• Apesar de a maioria dos usuários serem autenticados, não se verifica a adequação dos computadores deles (laptops, PCs, PDAs, etc.) à Política de Segurança

• É comum haver servidores e estações não adequados à Política de Segurança. É difícil detectá-los e contê-los.

• Produtos pontuais de Segurança (sem visão de Sistema e Política) não são muito efetivos em manter a disponibilidade da Rede

• Localizar, isolar e fazer “patching” de sistemas inefctados consome tempo e recursos.

“Endpoint systems are vulnerable and represent the most likely point of infection from which a virus or worm can spread rapidly and cause serious disruption and economic damage.” Burton Group

59

Em que abordagem você confia ?

Segurança como uma opção

Segurança como um aditivo

Integração extremamente complicada

Não é economicamente viável

Não pode focar na principal prioridade

Segurança como parte do sistema

Segurança Embutida na Rede

Colaboração inteligente entre os elementos

Visão de sistemas

Foco direto na principal prioridade

60

Obrigado !!!

61

Q and A

62

Demos

• NAC DEMO

63

Backup Slides

64

The Lingering Effect of Non-Compliant EndpointsExample: “Blaster”

• Fast spreading—128,000 systems infected in first three hours

• Worms linger on—need to put out ‘brush fires’

• CERT data on Blaster—two plus weeks of damage

Unique IP Addresses

Number of SystemsInfected by Blaster

August 2003

140,000

120,000

100,000

80,000

60,000

40,000

20,000

02726252423222120191817161514131211109

Aug. 11th 127,965

65

NAC Benefits

Dramatically Improves Security• Ensures endpoints (laptops, PCs, PDAs, servers, etc.)

conform to security policy

• Proactively protects against worms, viruses, spyware, and malware

• Focuses operations on prevention, not reaction

Extends Existing Investments• Broad integration with multi-vendor antivirus, security, and

management software

• Enhances investment in network infrastructure and vendor software

Increases Enterprise Resilience• Comprehensive admission control across all access

methods (LAN, WAN, wireless, VPN, etc.)

• Prevents noncompliant and rogue endpoints from impacting network availability

• Reduces OpEx related to identifying and repairing non-compliant, rogue, and infected systems