Solution Guide

Inhaltsverzeichnis Seite I

Inhaltsverzeichnis
Vorwort...............................................................................1

Hinweis für alle Leser..........................................................3

Wir über uns........................................................................5

Kurzprofil..................................................................................5

Secure Networks™....................................................................5

Was die Analysten sagen…........................................................6

Weitere Informationen..............................................................7

Secure Networks™...............................................................8

Access Control.........................................................................10

Authentisierung als Maßnahme
zum Schutz des Netzwerk-Ökosystems..............................11

Authentisierungsmethoden –
Der technische Ansatz.....................................................13

Policy Enforcement..................................................................20

RFC 3580 - Der kleinste gemeinsame Nenner?...................20

Policys – Regeln am Rand der Zivilisation..........................20

(Multi-) User Authentication and Policy (MUA+P) im Detail. .24

Sichere Gastfreundschaft mit Default Policys......................25

RFC 3580 und Distribution Layer Security..........................27

Port Protection...............................................................28

Enterasys Networks – Solution Guide 2008

Seite II Inhaltsverzeichnis

Policy Enforcement in der Praxis.......................................29

Detect and Locate....................................................................32

Angriffe.........................................................................32

IDS Erkennungstechnologien...........................................36

Hostbasierte Erkennung versus
netzwerkbasierte Erkennung............................................39

Host Intrusion Detection / Prevention (HIDS/HIPS).............40

Network IDS/IPS............................................................42

IDS versus IPS versus DIRS.............................................43

System Information and Event Management......................45

Respond and Remediate..........................................................52

Proactive Prevention / NAC.....................................................54

Definition von NAC.........................................................54

Der Prozess NAC.............................................................55

Lösungsansätze..............................................................56

Enterasys NAC...............................................................59

Standard based Convergence and
Availability..............................................................................66

Quality of Service im Netzwerk.........................................66

Wireless LAN..................................................................76

Power over Ethernet.......................................................84

Standard Based Availability.....................................................86

Redundanz....................................................................86


Inhaltsverzeichnis Seite III

IPv6..............................................................................96

MPLS...........................................................................101

Simple Network Management Protocol.............................105

Produktportfolio..............................................................106

Advanced Security Applications.............................................107

Dragon® Security Command Console...............................108

Dragon® Intrusion Defense.............................................113

Network Access Control.................................................119

Centralized Visibility and Control...........................................123

NetSight® Console.........................................................125

NetSight® Policy Manager...............................................127

Policy Control Console...................................................130

NetSight® Automated Security Manager...........................130

NetSight® Inventory Manager.........................................132

NetSight® - Komponenten im Überblick...........................133

NetSight® Lizenzierung..................................................136

Security Enabled Infrastructure.............................................137

Matrix® X-Serie............................................................138

Matrix® N-Serie............................................................146

SecureStack™ Familie...................................................167

D-Serie.......................................................................180


Seite IV Inhaltsverzeichnis

G-Serie.......................................................................185

I-Serie........................................................................190

Übersicht Secure Networks™/HW Kapazität......................195

Lizenzübersicht............................................................197

MGBICs, XENPAKs und XFPs...........................................198

Enterasys VDSL Optionen..............................................210

X-Pedition Security Router.............................................212

Literaturhinweise.............................................................218

Downloads............................................................................218

Enterasys GTAC.....................................................................219

Enterasys Knowledgebase.....................................................219

Enterasys Webguide..............................................................219

Impressum......................................................................221


Vorwort Seite 1

Vorwort
Sehr geehrte Leserin,
sehr geehrter Leser,

wieder einmal halten Sie die neuste Ausgabe des Enterasys Solution Guide
in Ihren Händen. Seit einigen Jahren ist der Solution Guide bei unseren
Kunden als umfangreiches, informatives Nachschlagewerk beliebt, das so
wohl über Entwicklungen auf dem Netzwerkmarkt und neue Technologien,
als auch über die neuen Strategien, Lösungen und Produkte von Enterasys
Networks berichtet.
Das Lösungsportfolio wurde zum Thema Enterasys NAC und Dragon ® Se
curity Suite überarbeitet, hier wurden insbesondere die Integrationsmög
lichkeiten der einzelnen Produkte untereinander beschrieben.
Das Kapitel Produktportfolio zeigt einen Überblick über das gesamte Ange
bot von Enterasys Networks. Neu hinzugekommen ist der Nachfolger des
Matrix® E1 mit der G-Serie als modularem System sowie die D-Serie als
Miniswitch. Des Weiteren wird das neue Enterasys NAC Portfolio mit Inline
und Out-of-Band Komponenten sowie dem neuen, integrierten Enterasys
Assessment vorgestellt. Ebenso sind die Enterasys VDSL-Komponenten als
Long-Reach Ethernet-Extender hinzugekommen.
Das Thema Lizenzierung wurde für NetSight® und Dragon® in ein eigenes
Kapitel ausgegliedert, um einen Überblick über die unterschiedlichen Vari
anten und Möglichkeiten zu geben.

Wir wünschen Ihnen ein informatives Lesevergnügen.

Ihr Enterasys Team

Enterasys Networks Germany GmbH
Solmsstr. 83
60486 Frankfurt
Tel. +49 (0)69/47 860-0
Fax +49 (0)69/47 860-109


Seite 2 Vorwort


Hinweis für alle Leser Seite 3

Hinweis für alle Leser
Das Lösungsportfolio von Enterasys Networks wird kontinuierlich weiter
entwickelt, deshalb kann es jederzeit zu Änderungen des bestehenden Lö
sungsportfolio kommen.

Die aktuellen Informationen der Lösungen finden Sie auf der Enterasys
Networks Homepage unter http://www.enterasys.com oder
http://www.enterasys.com/de/.

Wir freuen uns auf ein persönliches Gespräch mit Ihnen und stehen Ihnen
in unseren Niederlassungen jederzeit gerne zur Verfügung:

Frankfurt /Main +49 (0)69 47860-0

Berlin +49 (0)30 39979 5

Leipzig +49 (0)341 528 5350

Wien +43 (0)1 994 60 66 05

Zürich +41 (0)44 308 39 43

Einen vollständigen Überblick über Deutschland und die europäischen Län
der sowie deren Kontakte finden Sie unter:
http://www.enterasys.com/corporate/locations/

Informationsstand: 30.04.08


Seite 4 Hinweis für alle Leser


Wir über uns Seite 5

Wir über uns
Kurzprofil
Enterasys Networks ist ein globaler Anbieter von Secure Networks™ für
Unternehmenskunden. Die innovativen Netzwerkinfrastrukturlösungen von
Enterasys tragen den Anforderungen von Unternehmen nach Sicherheit,
Leistungs- und Anpassungsfähigkeit Rechnung. Darüber hinaus bietet
Enterasys umfangreiche Service und Support-Leistungen an. Das Produkt
angebot reicht von Multilayer Switchen, Routern, Wireless LANs und
Virtual Private Networks über Netzwerk Management Lösungen bis hin zu
Intrusion Detection und Intrusion Prevention Systemen.
Enterasys ist einer der Pioniere bei der Entwicklung von Netzwerklösungen
und besitzt mehr als 600 Patente. Alle Lösungen sind standardbasiert und
haben ein Ziel: Ihre Investitionen in entscheidende Geschäftsvorteile um
zusetzen. Die Enterasys Lösungen eignen sich für alle Netzwerke unab
hängig von Hersteller und Technologie.
Über 20 Jahre Erfahrung und über 26.000 weltweite Kunden bilden das
Fundament für den gemeinsamen Erfolg. Die Philosophie von Enterasys
richtet sich nach dem Motto „There is nothing more important than our
customer“, in dem unsere Kunden im Mittelpunkt stehen.
Enterasys hat seinen Hauptsitz in Andover, USA, und betreut den globalen
Kundenstamm über Niederlassungen in mehr als 30 Ländern. Das Unter
nehmen beschäftigt weltweit mehr als 700 Mitarbeiter. Weitere Informa
tionen zu Enterasys Secure Networks™ und den Produkten für Festnetze
und drahtlose Netzwerke finden Sie unter www.enterasys.com.

Secure Networks™
Sichere Netzwerke sind die Grundlage für eine flexible Infrastruktur und
ein Servicemodell – Benutzer, Systeme, Applikationen, Event Manage
ment, automatisierte Kontrolle und die Möglichkeit aktiv auf Ereignisse
antworten zu können. Eine flexible Infrastruktur stellt einen authentifizier
ten Zugang an allen Punkten zur Verfügung, an denen ein Zugriff auf Res
sourcen erfolgt und verringert mit einer dynamischen Authorisierung die
Angriffsfläche für Denial of Service Attacken. Zusätzlich sichert eine flexi
ble und zuverlässige Infrastruktur die Verfügbarkeit von Applikationen und
sichert für geschäftskritische Anwendungen die entsprechenden Bandbrei
ten.


Seite 6 Wir über un

Was die Analysten sagen…

“Enterasys has the most tightly integrated security capabilities of any LAN
switch vendor, including strong support for all IP telephony offerings”
Gartner, Magic Quadrant for Global Campus LAN (März 2008)

„Enterasys Secure Networks for Virtual Data Centers assures the connecti
vity and compliance of virtualized computing and storage while reducing
equipment, energy and cooling costs in data centers“
Gartner, Magic Quadrant for Global Campus LAN (März 2008)

“At a product level, Enterasys was the initial innovator in embedded
network security. Enterasys coined the quot;secure networksquot; approach and
delivered key aspects of embedded network security before the rest of the
market.”
Gartner, Magic Quadrant for Global Campus LAN (Oct 2006)

„The networking background of Enterasys is evident in that the Dragon
IDS/IPS product line has an overall small rack space footprint, making the
products well-suited for deployments such as MSSP/carrier/ISP where de
tection is valued over blocking.“
Gartner, Magic Quadrant for Network IPS Appliances (Feb 2008)

“Longtime IDS vendor Enterasys has moved to producing in-line IPS pro
ducts. Its first customers are primarily managed security system provider
(MSSP) customers who report a high degree of satisfaction with Enter
asys' support with the IDS products and are converting over as customer
demand shifts.”
Gartner, Magic Quadrant for IPS (2006)

“DSCC accurately detected more known attacks, as well as network an
omalies than did Cisco Security MARS. Thus DSCC provides a level of
protection of business assets exceeding that offered by Cisco…both
products demonstrate that they can process flow and security network
event data, though DSCC was able to correlate events into a single offen
se. Ultimately, poor event correlation and anomaly detection in MARS
could lead to missed threats.”
Tolly Group White Paper (Jan 2007)


Wir über uns Seite 7

Weitere Informationen

Unser Management Team Mike Fabiaschi
President and Chief Executive Officer

Chris Crowell
Chief Technology Officer

Gérard Vivier
Vice President EMEA

Edward Semerjibashian
Vice President CEE/Russia & APAC

Pressekontakt Enterasys Networks
Markus Nispel
Director Solution Architecture

Solmsstraße 83
60486 Frankfurt
Telefon: +49 69 47860 0
Fax: +49 69 47860 109


Seite 8 Secure Networks™

Secure Networks™
Secure Networks™ ist die Strategie, die Enterasys seit Jahren erfolgreich
verfolgt. Von Gartner oftmals als Technologieführer definiert, hat Entera
sys mit der Einführung von 802.1x ein neues Zeitalter für die Sicherheit in
Netzwerken eingeläutet.

Secure Networks™ Komponenten

Enterasys bildet die fünf wesentlichen Punkte einer holistischen IT Infra
struktur mit eigenen Produkten ab. So wird sichergestellt, dass lediglich
authentifzierte User Zugriff auf das Netzwerk erhalten. Das Sicherheitsle
vel und das Zugriffsniveau der User wird dabei in Abhängigkeit zum Si
cherheitslevel des benutzten Gerätes gesetzt. Angriffe, die von authentifi
zierten oder nicht authentifzierten Usern auf Ressourcen im Netzwerk
durchgeführt werden, können durch die verschiedenen Angriffserken
nungstechnologien erkannt, verifiziert und verhindert werden. Ferner ist
es möglich, nachdem der Angriff erfolgreich verhindert wurde, den Angrei
fer aus dem Netzwerk zu verbannen oder ihm neue Zugriffsrechte zuzu
weisen. Durch die Abbildung verschiedenster Technologien wird ein Maxi
mum an Sicherheit erreicht, so dass auch Angriffe auf sehr komplexe und
neue Technologien (wie Voice over IP) erkannt und verhindert werden
können.


Secure Networks™ Seite 9

Im Folgenden sind einige der Kernziele der Secure Networks™ Strategie
aufgeführt:

Präventive Angriffsverhinderung
●
Reaktionen auf Angriffe auf Userbasis (nicht nur auf Gerätebasis)
●
Das Absichern von Netzwerken unterschiedlicher Hersteller
●
Bereitstellen von Compliance Hilfsmitteln
●
Die nachfolgenden Abschnitte zeigen die Grundzüge der 5 Säulen der
Secure Networks™ Strategie auf und erklären, welchen Beiträge die ver
schiedenen Komponenten aus diesen Bereichen zur Abbildung einer ganz
heitlichen Security Infrastruktur leisten.



Access Control
Secure Networks™ bietet mit seinem breiten Spektrum verschiedenster
Funktionalitäten technische Lösungselemente für all diese Fragen.

In der Praxis gilt es nun diese Elemente in ein durchgängiges Konzept zu
integrieren und Schritte für die Implementierung und den Betrieb festzule
gen.

Die Frage nach der Realisierbarkeit der ermittelten Schutzmaßnahmen
geht über Features und Algorithmen weit hinaus. Nicht alles was technisch
möglich ist, stellt sich im Endeffekt auch als praktikabel heraus.
Sicherheit und freie Kommunikation stehen sich auf den ersten Blick dia
metral gegenüber. Eine Sicherheitspolicy, welche dem Anwender unzu
mutbare Prozeduren auferlegt (mehrfache Anmeldung, geringe
Flexiblität), hemmt die Produktivität des Unternehmens und wird sich kur
zerhand selbst aushebeln.

Befürchtungen, Netzwerksicherheit sei aufwändig, unangemessen kompli
ziert und stelle selbst eine Gefahr für den kontinuierlichen Betrieb einer
IT-Infrastruktur dar, muss hierbei durch geeignete Ansätze begegnet
werden.

Es hat sich gezeigt, dass sich der zusätzliche, administrative Aufwand
einer sicherheitsbasierten Netzwerklösung nur kompensieren lässt, wenn
gleichzeitig Werkzeuge zur Verfügung stehen, welche die Transparenz und
ein möglichst einfach zu handhabendes Management garantieren.
Im Gegensatz zur Administration einzelner Netzwerkkomponenten, bieten
datenbankbasierte Managementsysteme die notwendige Unterstützung,
um auf Basis von Templates und Policys eine flächendeckende Anpassung
des Netzes an sich ändernde Anforderungen rationell vorzunehmen.



Authentisierung als Maßnahme
zum Schutz des Netzwerk-Ökosystems
Das Netzwerk eines Unternehmens entwickelt sich zunehmend zu der uni
versellen Plattform für Kommunikation und Geschäftsprozesse und damit
zum unternehmenskritischen Faktor.
Nach Aussage von Analysten ist durch die fortlaufende Einbindung von
mobilen Endgeräten, Sprachdiensten, Facility Management sowie der stei
genden Integration industrieller Produktionsanlagen mit einer Verdopp
lung der Endgeräte zu rechnen.

Lediglich ein Teil dieser Endgeräteplattformen (PCs, Workstations und
Notebooks) lässt sich mit geeigneten Sicherheitsmechanismen wie Perso
nal Firewalls, Virenscannern und einem gehärteten Betriebssystem aus
statten.
Monolithische Komponenten, wie z.B. IP-Telefone, Webcams und Indus
triesteuerungen liegen ebenso außerhalb des administrativen Zugriffs, wie
die Notebooks externer Mitarbeiter und Studenten.
Medizinische Komponenten, Analysegeräte und bildgebende Systeme
(Röntgen und MRT) unterliegen eigenen Sicherheitsrichtlinien. Die Modifi
kation des Betriebssystems durch geeignete Sicherheitsupdates erfordert
in der Regel eine Neukalibrierung und Rezertifizierung des Systems und
lässt sich somit in der Praxis kaum zeitnah ausführen.



Eine solch heterogene Endgerätelandschaft stellt für den Betreiber eines
Unternehmensnetzwerkes also einen Risikofaktor dar, welcher in zuneh
menden Maße außerhalb einer verlässlichen Kontrolle liegt.
Die Sicherheitsbetrachtung eines Netzwerkes fokussierte bisher externe
Verbindungen wie WAN und Internet als Hauptrisikofaktor.
Das Absichern dieser Übergabepunkte mittels Firewall, Virenschutz und
Contentfiltering gehört mittlerweile zum üblichen Standard.
Von einem ganzheitlichen Ansatz ausgehend ist nun in Betracht zu ziehen,
welchen Risiken interner Angriffe das Ökosystem Netzwerk ausgesetzt ist.
Die Antwort liegt in intelligenten Komponenten und Lösungen, welche das
Netzwerk in seiner Rolle als unternehmenskritischen Produktionsfaktor
schützen.



Authentisierungsmethoden –
Der technische Ansatz
Die Access Control definiert sich in der Zugangskontrolle für Endgeräte
zum Netzwerk. Dabei können die Endgeräte unterschiedlicher Natur sein.
Ein von einem Anwender bedientes Endgerät bietet die Möglichkeit, unab
hängig vom Betriebssystem des Endgeräts, den Anwender interaktiv zu
authentifizieren. Viele Switche und die meisten Betriebssysteme für Perso
nal Computer und Workstations unterstützen heutzutage den Authentisie
rungsstandard IEEE 802.1x.
Der ganzheitliche Lösungsansatz erfordert jedoch die lückenlose Erken
nung von Endgeräten im Netz. Dies ist nur möglich, wenn alternative Au
thentisierungsmethoden auch zur Verfügung stehen.
Dieser Ansatz soll hier detailliert beleuchtet werden.

IEEE 802.1x im Detail
IEEE 802.1x liefert ein komplettes Authentication Framework, das port-
basierende Zugriffskontrolle ermöglicht.
Dieses Modell sieht dabei verschiedene Abstrahierungen vor:
Supplicant ist das Endgerät, welches einen Netzwerkzugang an
●
fordert.
Authenticator ist das Gerät, welches den Supplicant authentifi
●
ziert und den Netzwerkzugang versperrt oder frei gibt.
Authentication Server ist das Gerät, welches den Backend-Au
●
thentication-Dienst (z.B. RADIUS) bereitstellt.

Dabei nutzt 802.1x bestehende Protokolle, wie EAP und RADIUS, die emp
fohlen aber nicht vorgeschrieben sind. Unterstützt wird 802.1x für Ether
net, Token Ring und IEEE 802.11.
Eine Fülle von Authentifizierungsmechanismen wie Zertifikate, Smart
Cards, One-Time Passwörter oder biometrische Verfahren sind ebenfalls
vorgesehen. Diese Flexibilität wird durch die Nutzung des Extensible Au
thentication Protocol (EAP) erreicht.
Primär getrieben durch die Anforderung Wireless LANs mit einem sicheren
Zugangs- und Verschlüsselungsmechanismus (802.11i und WiFi WPA) zu
versehen, hat sich 802.1x im WLAN durchgesetzt findet aber zusehends
auch Beachtung innerhalb herkömmlicher Ethernet-Netzwerke.
Weiterhin erlaubt die Nutzung von EAP in der von Microsoft favorisierten
Variante für RAS VPN (Remote Access Virtual Private Networks) innerhalb
von IPSec/L2TP (IPSecurity, Layer 2 Tunneling Protocol) eine einheitliche
Authentifizierung eines Nutzers über LAN, WLAN und WAN Infrastrukturen.



In der Praxis ist es also möglich, das Modell der Network Access Control
unter Nutzung bestehender Authentisierungsinstanzen flächendeckend
und benutzerfreundlich zur Verfügung zu stellen.

Die eigentliche Authentisierung er
folgt durch die Weiterleitung der EAP
Pakete mittels EAP-RADIUS
(RFC 2869) an einen RADIUS Server.

Dieser kann wiederum je nach Hersteller
Schnittstellen zu Verzeichnisdiensten wie
Active Directory ADS von Microsoft oder
Novell´s NDS über LDAP oder XML sowie
Plug-ins für Secure ID Card Integration
haben.

Je nach Anforderung und Anwendung kann eine Vielzahl von EAP Protokol
len zur Anwendung kommen. Folgende Tabelle soll eine kurze Übersicht
geben:

Client Server Dynamisches
Authentisierung Keymanagement
MD5 Klartextübertragung von Userda
Nein Nein
ten. Nur selten genutzt
PEAP Einbindung von MS-CHAPv2 Ja Ja
EAP-TLS Zertifikatsbasierendes Verfahren,
Ja Ja
benötigt PKI
EAP-TTLS Aufbau eines verschlüsselten, au
thentisierten Tunnels zwischen Ja Ja
Sender und Empfänger.



Funktionsweise von MD5
Wegen der unsicheren Methode Authentisierungsdaten unverschlüsselt zu
übertragen wird die unsprünglichste Methode MD5 heute nur noch in Aus
nahmefällen genutzt.

Funktionsweise von EAP-TLS
EAP-TLS wurde in RFC 2716 spezifiziert und bietet eine starke kryptogra
phische Authentisierung des Clients gegenüber dem Netzwerk. Das ge
schieht, indem sich beide Seiten, also der Client und der Anmeldeserver,
kryptographische Zertifikate vorzeigen, um ihre Identität zu beglaubigen.
Diese Methode erfordert die Bereitstellung einer PKI (Public Key Infra
structure), welche mit dem Directory in Verbindung steht.
Die entsprechenden Zertifikate müssen auf dem Client verfügbar gemacht
werden. Gespeichert auf einer so genannten Smart Card stellen sie ge
meinsam mit einer mehrstelligen PIN-Nummer die optimale Sicherheitslö
sung dar.

Funktionsweise von EAP-TTLS
EAP-TTLS wurde unter anderem von den Firmen Funk Software und Certi
com aus TLS entwickelt. Die getunnelte Funktionsweise ist mit einem SSL
verschlüsselten Webserver vergleichbar. Im Gegensatz zu EAP-TLS
braucht nur der Anmeldeserver ein eindeutiges, digitales Zertifikat, wel
ches der Client beim Verbindungsaufbau überprüft.

Funktionsweise von PEAP
Hierbei handelt es sich um die gebräuchlichere Microsoftvariante , die im
Grunde die schon vorhandenen Merkmale von EAP-TTLS aufweist. Auch
hier benötigt der Authentisierungsserver ein Zertifikat, auch hier wird zu
erst die Verschlüsselung aufgebaut, bevor eine Identifizierung mit User
name / Passwort stattfindet.

Web-Authentication
Endgeräte externer Mitarbeiter (Gäste, Servicepersonal, Studenten) ent
ziehen sich dem administrativen Eingriff des Administrators. In diesem
Szenario ist es also nicht praktikabel, die für die Authentisierung notwen
dige Konfiguration vorzunehmen.
Eine webbasierte Anmeldung, wie sie mittlerweile z.B. innerhalb öffentli
cher WLAN HotSpots üblich ist, ist ohne Konfigurationsaufwand möglich
und stellt somit eine akzeptable Alternative dar.



Die automatische Umleitung eines beliebigen HTTP-Aufrufes durch den
Browser des Endgeräts präsentiert dem Benutzer eine Webseite mit inte
grierter Authentisierungsabfrage.

MAC-Authentication
Endgeräte ohne standardbasierte Authentisierungsfunktionen, wie Dru
cker, IP-Telefone und Industrieanlagen stellen eine weitere Herausforde
rung dar.
MAC adressbasierte Authentisierungsmethoden sowie die automatische
Endgeräteklassifizierung durch Protokolle wie CEP und LLDP-MED sind
grundsätzlich als schwächere Sicherheitsbarriere anzusehen, da sie sich
mit verhältnismäßig einfachen Mitteln kompromittieren lassen.
Dieses Manko erfordert eine dediziertere Endgerätekontrolle, welche über
eine binäre Zugriffsentscheidung hinaus geht. Die im Weiteren erläuterte
Kombination von Authentisierung und Access Policys ermöglicht den Zu
griff in eingeschränkter Form.
Daraus resultiert, dass der Versuch, sich z.B. mittels einer MAC Adresse
eines Druckers Zugang auf das Netz zu verschaffen, lediglich die Kommu
nikation mit dem zugewiesenen Printserver herstellt. Diese Einschränkung
reduziert den Erfolg eines solchen Angriffs auf ein Minimum.

Phone Detection (CEP)
Die Telefonerkennung (Phone Detection) sorgt dafür, dass ein an das
Netzwerk angeschlossenes IP-Phone als Solches erkannt wird. Im Netz
werk werden dann automatisch passende Parameter für Quality of Service
gesetzt. Zum Beispiel kann nach der Erkennung eines IP-Phones dessen
Datenverkehr via 802.1p getagged und damit höher priorisiert werden als
anderer Datenverkehr.
Die Telefonerkennung kann dabei durch den LLDP-Standard oder spezielle
Protokollnachrichten, wie zum Beispiel Enterasys CDP, erfolgen. Ansonsten
können auch beliebige andere Protokolle, wie Cisco Discovery Protocol 2.0
oder das Snooping aller Pakete mit Ziel UDP Port 4060 wie bei Siemens,
verwendet werden.

Link Layer Discovery Protocol (LLDP, IEEE802.1AB)
Der gegenseitige Austausch von Identität und Eigenschaften zwischen den
Netzwerkkomponenten optimiert deren Zusammenspiel und ermöglicht
darüber hinaus auch die Visualisierung von Layer 2 Verbindungen in grafi
schen Netzwerkmanagmenttools.
Die bisher verwendeten Discovery Protokolle (CDP, EDP) waren jedoch
proprietärer Natur und boten damit eine eingeschränkte Interoperabilität.



Aus dieser Konzeption ratifizierte die IEEE im Jahre 2005 unter der Be
zeichnung 802.1ab das herstellerunabhängige Link Layer Discovery Proto
koll.
Eine durchgängige Unterstützung von LLDP durch die Netzwerkkomponen
ten ermöglicht die Rekonstruktion der kompletten Layer 2 Netzwerktopo
logie sowie das Erkennen neuer Netzwerkkomponenten.
Bei der Entwicklung von LLDP wurde auf eine einfache Erweiterbarkeit des
Standards Wert gelegt. Ein Beispiel hierfür ist das Link Layer Discovery
Protocol-Media Endpoint Discover oder LLDP-MED.
Mit LLDP-MED wird es möglich Netzwerkeinstellungen von Endgeräten wie
VLAN Priorität oder Diffserv-Werte automatisch zu erkennen.
Dies erleichtert die Integration besonderer Endgerätetypen wie z.B. IP-
Telefonen.
LLDP Informationen stellen darüber hinaus auch eine Entscheidungsgrund
lage für die automatische Zuordnung von Secure Networks™ Policys dar.

Multi-User-Authentication
Als Mitautor der IEEE Standards und somit Wegbereiter sicherer LANs hat
Enterasys Networks schon frühzeitig damit begonnen auch bestehende
Produkte nachträglich mit den erforderlichen Funktionen zu versehen.
Diese Strategie reicht zurück bis zur zweiten Generation von Cabletron
SmartSwitch Komponenten aus dem Jahr 1998, welche über die notwendi
gen Authentisierungsmöglichkeiten verfügen.
In gewachsenen, heterogenen Netzwerken ist damit zu rechnen, dass
nicht alle Accesskomponenten über Authentisierungsfeatures verfügen.
Die Matrix® N-Serie löst dieses Problem durch eine integrierte Multi-User-
Authentication, welche es ermöglicht auf den Uplinks bis zu 256 Benutzer
individuell zu authentisieren.

Bestehende Lösungen, aber auch neue Fiber-to-the-Office Konzepte, bei
welchen simple Kanalswitche im Accessbereich eingesetzt werden, lassen
sich somit flächendeckend realisieren.



Dabei ist zu berücksichtigen, dass die bei der 802.1x Anmeldung verwen
deten EAPoL Pakete von diesen „simplen“ Accessswitchen weitergeleitet
werden müssen. Dies wird auch als EAP-Passthrough bezeichnet und ist
bei allen Enterasys SecureStacks™ verfügbar. Bei älteren Komponenten
muss sichergestellt sein, dass dies auch möglich ist; manchmal muss hier
für Spanningtree ausgeschaltet oder ähnliche Konfigurationsänderungen
vorgenommen werden.

Multi-Method Authentication
Mit der Matrix® N-Serie ist Enterasys Networks nicht nur in der Lage meh
rere User gleichzeitig auf einem Port zu authentifizieren und jedem eine
eigene Policy zu zu weisen, es ist auch möglich verschiedene Authentifizie
rungsmethoden gleichzeitig auf dem Port zu betreiben.
Normalerweise geht man davon aus, dass jedes Gerät sich nur einmal au
thentifiziert; also der User an seinem PC über 802.1x, der Gast mit sei
nem Laptop über PWA, der Drucker basierend auf MAC Authentication.
Aber was passiert, wenn der PC auch über MAC Authentication authentifi
ziert ist und sich die entsprechenden Profile auch noch widersprechen? Ab
gesehen davon, dass dann das Security Design und die Policys überarbei
tet werden sollten, hat Enterasys Networks dieses Problem im Griff.
Die Authentifizierung läuft über so genannte Authentication Sessions. Hat
ein User jetzt mehrere Authentication Sessions offen, so wird nur eine
wirklich genutzt. Bis zu drei Sessions gleichzeitig sind möglich, denn ein
User kann über 802.1x, PWA oder MAC Authentication angemeldet sein.
Die Authentifizierungsmethoden werden nach Prioritätsregeln angewandt.
Die Default-Prioritäten sehen folgendermaßen aus:

1. IEEE 802.1x
2. Port Web Authentication
3. MAC Authentication
4. CEP (Convergent Endpoint Detection)

Kommen wir auf unser Beispiel zurück: Ein User hat sich über 802.1x au
thentifiziert, aber basierend auf seiner MAC Adresse lief auch MAC Authen
tication im Hintergrund, da beide Methoden auf dem Port aktiviert sind.
Da die 802.1x Session höhere Priorität hat als die MAC Session, wird diese
angewandt und die entsprechende Rolle dem User zugewiesen.



MACSec IEEE 802.1ae
Der MACSec Standard, der am 8. Juni 2006 verabschiedet wurde, dient in
der verbindungslosen 802 Welt zur Sicherung der Integrität jedes übertra
genen Datenpaketes, zur Sicherung der Authentizität und zur Abwehr von
„Lauschangriffen“ auf die transportierten Daten. Der Standard dient hier
bei zur „Hop by Hop“ Verschlüsselung, Authentifizierung und Integritäts
prüfung. Er wird zwischen Endsystemen und dem nächsten Switch bzw.
auch alternativ (aber wohl selten) zwischen Switchen zum Einsatz kom
men können. Das dazu notwendige Schlüsselmanagement nach 802.1af
ist jedoch noch im Draft (eine Erweiterung des 802.1x), so dass hier noch
etwas Geduld notwendig ist.
Die Hersteller von MAC Phy´s versprechen sich natürlich hiervon mehr Ge
schäft, da komplexere Chips inklusive Verschlüsselung teurer werden kön
nen. Jedoch geht man davon aus, dass eine breite Anwendung erst statt
findet, wenn die Preise zu bestehenden MAC Phy´s vergleichbar sind.
Die potentiellen Anwendungsbereiche reichen von der sicheren Trennung
von Kunden in der gleichen Layer 2 Domain eines Service Providers
(Ethernet First Mile etc.) über die Sicherung von MAN Netzen zwischen
Unternehmungen hin zur erweiterten Sicherung von heutigen 802.1x Un
ternehmensinstallationen mit Verschlüsselung und Integritätswahrung von
Endgerät zum Switch (wie es heute auch schon in der Wireless LAN
802.11 Welt vorhanden ist) und der Sicherheit, dass man nur Verbindun
gen zu Geräten erstellt, die einem gewissen Trust-Level entsprechen.



Policy Enforcement
Die eindeutige Authentisierung eines Gerätes / Benutzers stellt einen
wichtigen Teil der Access Control dar.
Auf dieser Basis müssen nun Regelwerke zugewiesen werden, welche den
Zugang mit allen Rechten und Einschränkungen kontrollieren.
Denn bereits die unterschiedlichen Authentisierungsmöglichkeiten zeigen
auf, welche differenzierte Vertrauensstellung hier abzubilden ist.

RFC 3580 - Der kleinste gemeinsame Nenner?
Die nähere Betrachtung zeigt, dass die verbreitete Methode aus dem
Authentisierungsergebnis eine VLAN-Zuweisung (RFC 3580) abzuleiten,
zahlreiche Unzulänglichkeiten birgt.
Allein die Notwendigkeit einen Campus mit weitverzweigten Layer 2 Seg
menten zu überziehen widerspricht dem allgemeinen Trend hin zu gerou
teten Segmenten.
Eine Usergruppen-/ VLAN-Assoziierung generiert in der Praxis mindestens
eine umfangreiche Gruppe von Standardusern, vor welchen zwar der Netz
werkkern durch entsprechende Accesslisten geschützt wird, die jedoch un
tereinander frei und hemmungslos kommunizieren können.

Ist eines dieser Endsysteme durch Schadsoftware kompromittiert, so ist
die gesamte Gruppe einer Verbreitung ausgesetzt.
Daher wäre es wünschenswert, bereits am ersten Access Port zu entschei
den, welche Informationen überhaupt in das Ökosystem Netzwerk einge
speist werden dürfen.

Policys – Regeln am Rand der Zivilisation
Diese Idee führt tief in die Historie des Enterasys-Vorläufers Cabletron
Systems. Bereits mit der zweiten Generation der SmartSwitch-Familie
wurde in den späten 90er Jahren die dezidierte Frameklassifizierung eta
bliert. Die Idee, einen Layer 2 Switch zu einer Layer 2/3/4 Analyse zu be
wegen, war zu jener Zeit aus Priorisierungsanforderungen mit Blick auf
zeitkritische Applikationen wie Voice und Video heraus geboren.
Später wurde klar, dass die Unterscheidung verschiedener Protokolle am
Access Port die erste Grundlage darstellt, um unerwünschte Dienste und
Protokolle einfach zu verwerfen. Die Idee einer skalierbaren, verteilten
Sicherheitsarchitektur eines Netzwerkes hatte etwas Faszinierendes.

„Das Konzept von Zugriffsregeln im Accessbereich hat lediglich akademi
schen Wert. In der Praxis ist diese Aufgabe zu komplex, um administriert
zu werden...“



Diese Aussage eines namhaften Herstellers von Netzwerkkomponenten
bringt es auf den Punkt. Das Pflegen verteilter Zugriffsinformationen mit
Bordmitteln ist eine Aufgabe, vor welcher jeder Administrator zurück
schrecken wird.
Doch bereits im Jahre 2001 stellte Enterasys Networks mit dem NetSight ®
Policy Manager ein Werkzeug vor, mit welchem das Erstellen und Verbrei
ten komplexer Regelwerke zu einem Baukastenspiel wird.
Der Schlüssel liegt in einer dreistufigen Hierarchie:

Policys - Hierarchisches Regelwerkzeug
Die oberste Ebene definiert sich zunächst aus der Rolle, welche ein Benut
zer in der Struktur des Unternehmens selbst spielt. Da sich diese Rolle be
reits in den Regelwerken des Usermanagements einer zentralen Betriebs
systemplattform abzeichnet, liegt es nahe, bereits bei der Authentisierung
auf diese Informationen zuzugreifen.
Unterhalb dieser Ebene sind die Services definiert, welche bereits im Gro
ben beschreiben, was der Benutzer tun darf – und was nicht.



Diese Services setzen sich nun aus einzelnen Regeln zusammen, welche
den Datenverkehr zunächst nach Kriterien der Layer 2, 3 und 4 klassifizie
ren.
Trifft die Regel zu, so wird eine zugewiesene Aktion ausgeführt:

Access Control – zulassen oder verwerfen
•
Tagging des Frames mit einer definierten VLAN ID
•
Redefinition von Quality of Service Parametern
•
Rate Limiting (Port, Applikations-Flow, Protokoll,
•
Nutzer - IP oder MAC)

Mittels des Policy Managers ist es nun möglich ein solches Konstrukt aus
Rollen und Regeln zusammenzustellen und per SNMP auf allen Netzwerk
komponenten bekannt zu machen. Die flächendeckende Bereitstellung von
Zugriffsinformationen im Access-/Distributionbereich ist ein Garant für
Skalierbarkeit einer solchen Lösung.

Granularität der Secure Networks™ Policys

Wie in der Grafik dargestellt, liegt die Stärke von Policy Enforcement bei
Secure Networks™ in der Kombination aus Authentisierung, Klassifizierung
und Kontrolle.



Mit diesen Maßnahmen ist es nun möglich einem breiten Spektrum von
Bedrohungen zu begegnen, von denen einige hier beispielhaft aufgezeigt
werden sollen:

Risiko Lösung
Illegitime DHCP-Server tauchen immer Eine Deny Regel auf SourcePort TCP69
wieder in LANs auf und stören den Be verhindert dies.
trieb durch Zuweisung eigener IP-
Adresse.

Portscanner versuchen das Netz aus Das Blockieren des ICMP Protokolls für
zuspähen. Standardbenutzer unterbindet Scan-
Versuche.
Rogue Access Points schaffen offene Auch ein AP muss sich via 802.1x au
WLAN-Zugänge. thentisieren bevor er am Netzverkehr
teilnimmt.
Priorisierte Protokolle sind anfällig für Die Kombination aus Priorisierung und
Packet Flooding. Rate Limiting schützt das Netz.
Nicht alle IT-Komponenten lassen einen Layer 4-Regeln filtern Dienste wie Tel
Schutz der Managementports zu. net und SSH aus, sofern der Benutzer
keine Administratorenrolle spielt.
Würmer verbreiten sich exzessiv in lo Für zahlreiche Attacken bietet der Policy
kalen Netzen. Manager vorgefertigte Filterregeln an.



(Multi-) User Authentication and Policy
(MUA+P) im Detail
Die bisher aufgezeigte Kommunikationskette für den Authentisierungspro
zess wird nun also um die Managementfunktion erweitert, mit deren Hilfe
Rollen und Regeln verteilt werden.

Kombination von Access Control und Policy Enforcement

Nun gibt das zentrale Verzeichnis neben der positiven Authentisierungsbe
stätigung auch die Gruppenmitgliedschaften des Benutzers an den
RADIUS-Server zurück. Mittels eines kleinen Filterwerks ermittelt dieser
die relevante Gruppe, deren Name dem Switch nun als Schlüssel dient,
um dem Port die entsprechende Policy zu zu weisen.

Die Authentisierungsmethode wird also lediglich um eine Filter-ID erwei
tert, alle weiteren Funktionen führt die verteilte Netzwerkarchitektur
selbsttätig aus. Das an sich sehr schlanke Standard-RADIUS Protokoll bie
tet damit die Grundlage für eine hoch skalierbare Gesamtlösung.

Im Kontext heterogener Netze, in welchen nicht alle Accesskomponenten
den Einsatz von Policys unterstützen, ist es, wie bereits beschrieben, not
wendig mehrere Benutzer an einem Port des nachgeschalteten Distribu
tionlayers zu authentisieren. Die Flexiblität der Matrix ® N-Serie Switche
erlaubt nun eine Kopplung der benutzerabhängigen Policy an die jeweils
involvierte MAC Adresse.



Die folgende Grafik verdeutlicht das Konzept der so genannten Distributi
on Layer Security.
Diese Technik erlaubt die Integration
unterschiedlicher Benutzer (bis zu 256)
•
unterschiedlicher Authentisierungsmethoden (802.1x, MAC,
•
PWA, CEP)
unterschiedlicher Regelwerke (Policys)
•
am selben Uplinkport.

Multiuser Authentifizierung

Sichere Gastfreundschaft mit Default Policys
Gäste spielen eine wachsende Rolle in Netzen, deren Mobilitätsanforderun
gen kontinuierlich ausgebaut werden.
Schüler und Studenten, Besucher, Wartungstechniker oder einfach Mitar
beiter fremder Firmen, die manchmal über lange Zeiträume im Unterneh
men präsent sind – sie alle haben den Anspruch, an den Ressourcen der
IT-Infrastruktur teilzuhaben. Ein Horrorszenario für jeden Administrator!
Der Balanceakt, einerseits diesem Bedarf nachzukommen ohne anderer
seits die Sicherheitsrichtlinien des Unternehmens zu kompromittieren,
stellt eine echte Herausforderung dar.
Ein Teil der genannten Personengruppen lässt sich organisatorisch regis
trieren und technisch mittels Webauthentication und einer restriktiven Po
licy in das Sicherheitskonzept integrieren.



Für die oft große Zahl sporadischer Besucher ist dieser Aufwand unange
messen hoch. Eine einfache Lösung muss her, die ohne Eingriff des Admi
nistrators funktioniert.
Den Schlüssel hierzu stellt die Default Policy dar. Sie erlaubt einem
nichtauthentisierten Benutzer den minimalen Zugriff auf die Netzwerkin
frastruktur. Eine solche „soziale Grundversorgung“ definiert sich beispiels
weise über den Zugriff auf VPN-, HTTP-, DHCP- und DNS-Services sowie
dem Zugang zum Webproxy des Unternehmens.
Ein Rate Limiting begrenzt die nutzbare Bandbreite und verhindert exzes
siven Gebrauch.
Der Gast erhält also an jedem freigegeben Port Basisdienste, ist jedoch
von den internen Ressourcen der IT-Infrastuktur eindeutig ausgeschlos
sen.

Aber auch andere Szenarien lassen sich über Default Policys abbilden.
Softwareverteilung findet regulär außerhalb der Bürozeiten statt.
Eine angepasste Default Policy stellt den Zugriff eines Updateservers auf
das Endgerät auch dann sicher, wenn der Benutzer nicht angemeldet ist.
Fazit: Default Policys schaffen die nötige Flexibilität in einem sicheren
Netzwerk, um Nischenszenarien zu ermöglichen ohne die Security durch
manuelle Schaffung von Ausnahmen und Lücken zu kompromittieren.



RFC 3580 und Distribution Layer Security
Die Einführung flächendeckender Netzwerk Security in heterogenen Net
zen stellt den Administrator, wie bereits beschrieben, vor eine Reihe
spannender Herausforderungen.

Gerade im Bereich der Low-Cost Switche hat sich das Prinzip der User/
VLAN-Zuordnung gemäß Standard RFC 3580 weitgehend etabliert.
Daher soll dieses Thema nochmals eingehender mit Fokus auf eine Secure
Networks™ Integration beleuchtet werden.

RFC 3580 ist eine Methode, welche der Authentisierungsantwort des
RADIUS-Servers eine VLAN-ID beifügt, anhand welcher der Switch dem
Userport ein entsprechendes VLAN zuweist.
In diesem Abschnitt soll beleuchtet werden, wie sich derartige Komponen
ten in eine policybasierte Lösung integrieren lassen.

Enhanced Policy mit RFC 3580



In dem abgebildeten Beispiel agiert der Distribution Layer Switch vom Typ
Matrix® N-Serie N7 nicht als Authentisierungsinstanz, sondern weist den
eingehenden Frames anhand der VLAN-ID eine entsprechende Policy zu.
Damit reduziert sich das Risiko unkontrollierter Client-zu-Client Kom
munikation auf den Bereich des VLANs innerhalb des einzelnen Access
Switchs.

Auch das VLAN-to-Role Mapping lässt sich an zentraler Stelle im Policy
Manager konfigurieren und flächendeckend an alle Switches kommunizier
en.

VLAN Mapping im NetSight® Policy Manager

Port Protection
Im Gegensatz zum Policy Enforcement direkt am Access Port verbleibt bei
allen Szenarien der Distributed Layer Security ein Restrisiko, da die
Access Control erst in der nachgelagerten Instanz ausgeführt wird.

Um diese Lücke zu schließen, haben die Entwickler von Enterasys die
Funktionalität des Cabletron ELS10-27MDU (Multiple Dwelling Unit) den
neuen Anforderungen angepasst und in das Portfolio der SecureStack™
Reihe integriert.



Das Port Protection oder Private VLAN Feature, welches Datenaustausch
nur in Richtung definierter (Uplink-) Ports zulässt, leitet die gesamte Kom
munikation des Switchs direkt in die Distribution Zone und das Regelwerk
der Policys. Diese Schutzmaßnahme bewahrt die Enduser vor unkontrol
liertem Verkehr innerhalb des Switchs/VLANs.

Policy Enforcement in der Praxis
Die Konfrontation mit einer Flut von Begriffen wie MUA+P, RFC 3580 und
Distribution Layer Security impliziert die Vorstellung einer Netzwerkarchi
tektur, welche aufgrund ihrer Komplexität einfach nicht mehr zu handha
ben scheint.

Es bietet sich daher an, die Migration eines LANs hin zu einem sicheren
Netzwerk in abgestuften Phasen durchzuführen, welche szenarienbedingt
variieren können.
Hier ein Beispiel für die Vorgehensweise:
Step 1 – Assessment
Eine Bestandsaufnahme stellt den Grundstock für weitere Betrachtungen
dar. Daher sollten einige Punkte im Vorfeld festgelegt werden.
Welche Komponenten sind im Netz aktiv, welche Featuresets ste
•
hen zur Verfügung?
Welche Verkehrsbeziehungen sind zwischen Endgeräten und Ser
•
vern etabliert?
Welche Dienste werden genutzt? Welche sollten fallweise restriktiv
•
behandelt werden?
Welche Authentisierungsmethoden können/müssen eingesetzt
•
werden? Was unterstützen die Betriebssystemplattformen der
Endgeräte?
Step 2 - Management
Die Einrichtung des Netzwerkmanagements verdient ein besonderes Au
genmerk. Die Auswertung von SNMP-Traps und Syslogmeldungen stellt



einen wichtigen Faktor für die transparente Darstellung des Betriebszu
standes eines Netzwerks dar.
Nach der Einführung redundanter Maßnahmen manifestieren sich einzelne
Ausfälle nicht mehr in Form von Betriebsstörungen. Umso wichtiger ist es,
diese Teilausfälle zu erkennen, um die Gesamtverfügbarkeit der Infra
struktur erhalten zu können.
Die steigende Integration intelligenter Funktionen in die Netzwerkkompo
nenten erfordert ein Maß an Kontrolle, welches über einfaches Portmana
gement hinaus geht.
Die NetSight® Console ist in der Lage sowohl Meldungen aktiver Kompo
nenten intelligent auszuwerten als auch Managementaufgaben flächende
ckend und geräteübergreifend durchzuführen.
Das ermöglicht dem Administrator wiederkehrende Routineaufgaben ener
giesparend zu absolvieren und Funktionsstörungen jederzeit gezielt zu lo
kalisieren.
Die Integration des Policy Managers in die NetSight® Installation ist der
erste praktische Schritt zu einem sicheren Netzwerk.

Step 3 – Static Policys
Es gibt verschiedene Rahmenbedingungen, welche die flächendeckende
Einführung von Authentisierungsmethoden verzögern.
Daher bietet es sich als Vorstufe an einen statischen Schutz zu etablieren,
welcher ohne jede Authentisierung auskommt.
Zu diesem Zweck werden einige wenige Policys definiert, welche den
Access Ports als Default Role zugewiesen werden.
Der Nachteil dieser statischen Lösung liegt in einer geringen Flexibilität.
Jeder Umzug von Endgeräten erfordert eine Prüfung der dem Port zuge
wiesenen Policy.
Die Möglichkeit, unter Einsatz des Policy Managers auf einfache Weise eine
Access Port Security zu etablieren, birgt – gerade in kleinen und mittleren
Netzen – jede Menge Charme und ist als Zwischenstufe einer Migration
durchaus betrachtenswert.

Step 4 - Authentisierung
Dieser Schritt erfordert einen Blick über den Netzwerktellerrand hinaus.
Die Integration des RADIUS-Dienstes in Verbindung mit der zentralen Be
nutzerverwaltung ist möglicherweise bereits im Rahmen einer VPN- oder
WLAN Lösung vollzogen worden.
Nun gilt es im RADIUS-Server ein Filterwerk zu etablieren, welches die
Gruppenzugehörigkeit eines Users auf Betriebssystemebene auf einen ent
sprechenden Policystring (Filter ID) destilliert. Dem folgt die Authorisie
rung der Accessswitche als registrierte RADIUS-Clients.



Das Aktivieren der Authentisierungsfunktion auf den Switchen stellt einen
wesentlichen Schritt in der Migration dar. Der Zugang zum Netz ist nun
nicht mehr von der reinen LAN-Connectivity bestimmt, sondern hängt von
zahlreichen Faktoren ab: Endgerätekonfiguration, Switcheinstellung,
RADIUS, Directory.
Um das einwandfreie Zusammenspiel dieser Kommunikationskette risiko
frei sicherzustellen, hat sich die Durchführung einer Pilotphase bewährt.
In dieser Phase ist jedem Port zunächst eine liberale Default Policy zuge
ordnet, welche den Benutzer in seinem Tun nicht einschränkt.
Ein authentisierter User erhält eine neue Rolle, welche die gleichen Frei
heiten einräumt.
Während dieser Pilotphase kann der Administrator risikofrei prüfen, ob die
Authentisierungsmechanismen auch unter Volllast greifen. Ist diese Prü
fung abgeschlossen, können die vorbereiteten Policys scharfgeschaltet
werden.

Step 5 – Nächste Schritte
Die Integration von Authentisierungsmaßnahmen und Regelwerken im
Accessbereich stellt einen großen Schritt hin zu flächendeckender Netz
werksecurity dar. Doch das Secure Networks™ Portfolio hat weit mehr zu
bieten.
Die Fähigkeit, Protokolle und Dienste auf den Layern 2, 3 und 4 flächende
ckend zu kontrollieren, schafft eine solide Basis an Präventivmaßnahmen.
Der nächste Schritt, Missbrauch und Attacken innerhalb des Contents oder
aufgrund von anomalem Verhalten zu erkennen und darauf zu reagieren,
ist in den nachfolgenden Kapiteln „Detect and Locate“ dokumentiert.
Neben der Sicherheitsüberprüfung des Benutzers stellt sich auch die Frage
nach dem Vertrauensstatus des Endgeräts. Im Kapitel „Proactive Pre
vention“ werden Techniken beleuchtet, die es ermöglichen, die wachsen
de Zahl von PCs, Laptops, Telefonen und embedded Devices in ein erwei
tertes Sicherheitskonzept einzubinden.
Rückblickend auf zahlreiche Secure Networks™ Migrationen hat sich die
Vorgehensweise bewährt, vor Ort einen auf die Bedürfnisse des Kunden
abgestimmten Workshop durchzuführen, in welchem Grundlagen vermit
telt werden, einzelne Schritte festgelegt und Konfigurationen vorab er
stellt werden können.
Enterasys Networks bietet für alle Schritte, angefangen von der Erstellung
eines Pflichtenheftes, der Planung, der Implementierung und Einweisung,
professionelle Unterstützung an.



Detect and Locate
Secure Networks™ von Enterasys schützt die Unternehmenswerte durch
einen ganzheitlichen Ansatz. Die Grundvorrausetzung hierfür ist, dass das
Netzwerk in der Lage ist, Angriffe und Gefahren auf Ressourcen im Netz
werk zu erkennen und den Angreifer zu identifizieren.
Bevor jedoch Angriffen auf die IT Infrastruktur begegnet werden kann,
muss verstanden werden, wie diese Attacken durchgeführt werden und
welche Charakteristiken zur Erkennung genutzt werden können.

Angriffe
Grundsätzlich kann dabei zwischen den folgenden Angreifertypen unter
schieden werden:

Automatisierte Angriffe (Viren, Würmer, Trojaner)
●
Toolbasierte Angriffe
●
Gezielte, intelligente, per Hand durchgeführte Angriffe
●

Automatisierte Angriffe
Schafft es eine Sicherheitslücke in die Nachrichten, kann man davon aus
gehen, dass ein Virus oder ein Wurm diese Sicherheitslücke nutzt, um IT
Systeme flächendeckend zu kompromittieren. Sind diese Sicherheits
lücken bis dato noch unbekannt oder existiert kein Patch dazu, spricht
man häufig von Day Zero Attacken.
Die eigentliche Herleitung dieses Begriffs, der eigentlich Zero-Day Angriff/
Exploit lautet, kommt jedoch von der kurzen Zeitspanne zwischen dem
Entdecken einer Sicherheitslücke und dem Verfügbarsein eines funktionie
renden Angriffs (zumeist eines Exploits). Unabhängig davon, ob die Si
cherheitslücke bekannt ist und ebenfalls unabhängig davon, ob ein Patch
für diese Sicherheitslücke exisitert, folgt das Schädlingsprogramm, das
eine Sicherheitslücke automatisiert ausnutzen will, zumeist einem be
stimmten Schema:

1) Netzwerkdiscovery und Zielidentifizierung (optional)
Bevor ein (vernünftig programmierter) Wurm oder Virus seinen
bösartigen Code an ein Zielsystem sendet, überprüft er, ob das
Zielsystem überhaupt angreifbar ist. Die Palette der Möglichkei
ten, um diese Informationen zu erlangen, reicht vom stupiden
Banner Grabbing bis zum intelligten TCP Fingerprint.



2) Kompromittierung des Zielsystems
Nachdem das Ziel feststeht, wird der schadhafte Code übermittelt.
Dies stellt den eigentlichen Angriff dar. Da der durchgeführte An
griff auf eine Vielzahl unterschiedlicher Systeme auf unter Um
ständen unterschiedlichen Plattformen durchgeführt werden soll,
ist der Angriff an sich meistens sehr stupide und einfach zu erken
nen.
3) Weiterverbreitung
Ist das Zielsystem kompromittiert, versucht das Schadprogramm
sich weiter im Netzwerk zu verbreiten.

Automatisierte Angriffe können sowohl von Systemen, die mit anomalie
basierten Erkennungstechnologien arbeiten, als auch von signaturbasier
ten Systemen erkannt werden.

Toolbasierte Angriffe
Vor einigen Jahren setzte die Durchführung von stack- oder heapbasierten
Angriffe noch Programmierkenntnisse in C und Assembler voraus. Heutzu
tage gibt es eine Vielzahl von zum Teil freien Frameworks, die das Ausfüh
ren eines Schadprogramms per Knopfdruck ermöglichen.
Diese Frameworks laden bestimmte Angriffsmodule und bieten dem An
greifer die Möglichkeit, die dynamsichen Parameter eines Angriffs per GUI
zu definieren. Dadurch werden die Hürden zum erfolgreichen Durchführen
eines Angriffs enorm gesenkt.
Zumeist erstellen diese Frameworks einen Exploit, der sich in die folgen
den Unterteile aufgliedern lässt:

1) Socket Aufbau
Bevor der Angriffscode übermittelt werden kann, muss eine Netz
werkverbindung zum Zielsystem aufgebaut werden.
2) Shell Code / Angriffscode
Nachdem die Verbindung zum Zielsystem initialisiert worden ist,
wird der Angriffscode über den Socket verschickt. Da die Rück
sprungadresse und das Offset nicht bekannt sind, werden sehr
viele verschiedene Rücksprungadressen durchprobiert. Da bei die
sen toolgesteuerten Angriffen oftmals auch die verschiedenen
Speichergrößen unbekannt sind, werden sehr viele NOPs über das
Netzwerk versendet – daraus resultiert ein großer Speicherbedarf
für das NOP-Sledge.
3) Informationsaufbereitung
Sobald der Angriffscode übermittelt wurde, werden die daraus re
sultierenden Informationen (zum Beispiel der Inhalt bestimmter
Dateien des Zielsystems) für den User aufbereitet.



Obwohl die Angriffe, die über diese Frameworks durchgeführt werden, ge
zielt sind und sich somit von den automatisierten Angriffen unterscheiden,
müssen die Angriffsschemata dennoch sehr offen gehalten werden. Nur so
kann eine sehr hohe Erfolgsquote garantiert werden. Diese Angriffe sind
unter anderem durch folgende Merkmale auffällig:

Große NOP Bereiche
●
Oftmaliges Übermitteln des Angriffscodes (da diese die Rück
●
sprungadresse enthält)
Auffällige Offsets
●
Standard Shell Code
●
Unsauberes Beenden des angegriffenen Programms (kein exit(0)
●
innerhalb des Shell Codes)

Diese Angriffe lassen sich am besten durch signaturbasierte Systeme er
kennen.

Gezielte Angriffe
Ein gezielter Angriff zeichnet sich dadurch aus, dass der eigentliche An
griffscode sehr schlank und sauber geschrieben ist und dass die Verbin
dungen und die Codesprünge sauber geschlossen werden.
Die Rücksprungadresse wird oftmals durch einen ersten Vorabangriff ge
schätzt, so dass der Angriffscode nicht zu oft über den Socket geschickt
werden muss.
Je nach zu überschreibendem Puffer kann ein gezielter Angriff mit einem
Shell Code von 179 Bytes bis 380 Bytes Gesamtlänge liegen (je nach
NOP-Slegde).
Angriffe der neuen Generation (wie Cross Site Scripting) sind zumeist sehr
gezielt und können innerhalb eines Paketes erfolgreich übermittelt wer
den. Aufgrund der verschiedenen Evasionsmöglichkeiten, die sich dem An
greifer bieten, um seinen Angriff zu verschleiern, stellen diese fokusierten
Attacken die größte Herausforderung an präventive Sicherheitssysteme
dar.
Gezielte Angriffe lassen sich am besten durch die Kombination von signa
turbasierten Systemen und System Information Management Systemen
erkennen.
Zur besseren Veranschaulichung wie Angriffe funktionieren, wie sie er
kannt und verhindert werden können, folgend die Beschreibung dreier be
kannter und weitverbreiteter Angriffsmuster.



Denial of Service
Denial of Service Attacken gelten oftmals als stupide Attacken von Angrei
fern, die nicht in der Lage sind, ein System zu kompromittieren und es
deshalb einfach „nur“ ausschalten wollen. In Wahrheit sind Denial of Ser
vice Attacken jedoch oftmals „Vorboten“ eines stack- oder heapbasierten
Angriffs (Buffer Overflow Attacke zur Übernahme des Dienstes) oder die
nen dazu, die Netzwerkdienste, die ein ausgeschalteter Service offeriert
hat, zu übernehmen.
Beliebte Angriffsziele sind DHCP Server, die zumeist über Broadcasts an
gesprochen werden und oftmals keinerlei Authentifizierung unterliegen.
Schafft es ein Angreifer, einen DHCP Server auszuschalten, kann er seinen
Dienst übernehmen und in die Netzwerkkonfiguration von Endsystemen
eingreifen. Dies kann Einfluss auf die Access Control Listen im Netzwerk
und auf Update-Verhalten haben (bestimmte Sicherheitsgatewaysysteme
installieren Updates über NFS mounts, die sie vom DHCP Server erhalten).

Buffer Overflow
Angriffe, die mit dem Überschreiben von Puffern zusammenhängen, sind
für die meisten erfolgreichen Angriffe verantwortlich. Die Tendenz geht je
doch von pufferbezogenen Angriffen weg und hin zu Cross Site Scripting-
bezogenen Angriffen. Im Folgenden sind einige Gründe hierfür aufgeführt:

Sichere Frameworks für Applikationserstellung und Code Access
●
Security
Stack Schutz von Betriebssystemen
●
Stack Schutzmechanismen für Compiler
●

Um zu verstehen, wie diese Angriffe funktionieren und zu erkennen,
warum diese stetig an Bedeutung verlieren, ist es wichtig den
Programmablauf auf dem „Stack“ und dem „Heap“ zu verstehen. Dies
würde jedoch den Rahmen dieses Kapitels sprengen.

Cross Site Scripting (XSS)
Cross Site Scripting Attacken gewinnen stetig an Bedeutung. Sie können
zu massiven Problemen führen (bis hin zur Kompromittierung des kom
pletten Systems), sind extrem einfach für einen Angreifer zu finden und
auszunutzen und oftmals sehr schwer zu erkennen und zu verhindern.
XSS Angriffe sind zumeist im HTTP, XML und SOAP Bereich beheimatet
und basieren auf der Dynamik der Programmiersprache mit der bestimmte
Dienste, die die genannten Protokolle nutzen, geschrieben sind.
Um zu verstehen, wie Cross Site Scripting Attacken funktionieren, muss
der Unterschied zwischen Hochsprachen und Skriptsprachen verdeutlicht
werden. Vereinfacht gesagt wird ein Skript zeilenweise ausgeführt (vom



Interpreter). Kommt es zu einem Fehler oder einer falschen Anweisung
endet das Skript in einer bestimmten Zeile. Ein in einer Hochsprache (z.B.
C) geschriebenes Programm wird vor Beginn der ersten Ausführung kom
piliert – grobe Fehler werden also schon bei der Erstellung des Programms
erkannt. Ferner ist es bei Skriptsprachen möglich, Codes während der
Laufzeit einzubinden.
Durch Fehler innerhalb des dynamischen Codes ist der Angreifer in der
Lage, den eigenen Code in die Webapplikation einzuschleusen (Skript
Code oder Datenbanksteuerungsbefehle). Dies kann er zum Beispiel durch
das Manipulieren bestimmter URL Variablen erreichen, die zur Laufzeit Teil
des ausführenden Codes werden.
Eine genauere, intensive Betrachtung der verschiedenen Angriffsmuster
wird im Enterasys Networks Pre-Sales-Training vermittelt. Dort werden
neben den hier genannten Angriffsschemata auch man-in-the-middle Atta
cken und Protokollangriffe detailliert behandelt.

IDS Erkennungstechnologien
Intrusion Detection und Prevention Systeme sind in der Lage die beschrie
benen Angriffsschemata zu erkennen und entsprechend zu reagieren. Wie
bereits einleitend beschrieben, gibt es für die verschiedenen Angriffe ver
schiedene Erkennungstechnologien. Vorab kann also festgehalten werden,
dass der bestmögliche Schutz nur dann gegeben ist, wenn das eingesetzte
IDS alle verfügbaren Erkennungstechnologien vereint und somit in der
Lage ist, die jeweils beste Technologie zur Erkennung und Prävention ein
zusetzen.
Grundsätzlich kann unter folgenden Erkennungstechnologien unterschie
den werden:

Behavior Based Anomaly Detection
●
Die Analyse von Verkehrsbeziehungen mittels Daten aus den

Netzwerkkomponenten, zum Beispiel via Netflow, Sflow,
RMON mit dedizierten Probes oder auch mittels komponenten
spezifischer Traps
Bei hostbasierten Systemen ist hierunter meist die Analyse

der System Calls zu verstehen, um „ungültige“ Calls später
heraus zu filtern oder die Analyse von CPU Last und Memory
pro Applikation etc.



Anomaly Detection
●
Die Paketanalyse auf bestimmte Muster hin (bestimmte TCP

Flag Kombinationen gesetzt, etc.)
Bei Host Sensoren kann man hierunter die Überwachung von

Files auf dem System verstehen („Logfiles werden nie kleiner“
oder „/etc/passwd“ wird normalerweise nicht geändert)
Protocol based – Protocol Conformance Analysis und Decoding
●
Die Decodierung von Protokollen und Überprüfung der Konfor

mität im Hinblick auf Standards
Signature based – Pattern Matching
●
Die Analyse des Paketinhaltes in Hinblick auf verdächtige

Kombinationen (Verwendung von bekannten Exploits, Aufruf
von ungültigen URLs, etc.)
Bei Host Sensoren versteht man darunter zum Beispiel die

Analyse von Logdateien

Eine Behavior Based Anomaly Detection basiert darauf typische Verhal
tensmuster im Netzwerk, wie zum Beispiel die mittlere Anzahl von Flows
pro Host oder den durchschnittlichen Durchsatz zu messen und bei star
ken Abweichungen von diesen Werten Alarm zu schlagen. Wichtig hierbei
ist, dass es sich dabei nicht nur um das Setzen und Messen von Schwell
werten handelt, sondern um komplexe Algorithmen, die in der Lage sind,
Systemverhalten zu erkennen, zu analysieren und normales Verhalten in
bestimmten Grenzen vorher zu sagen.
Bei der Anomaly Detection und der protokollbasierten Analyse werden
quot;unmöglichequot; Datenpakete wie falsch zusammengebaute TCP-Pakete oder
fragmentierte IP-Pakete mit nicht definierten Offsets erkannt. Außerdem
werden die Sessions der einzelnen Verbindungen wieder zusammenge
setzt und diese nach Auffälligkeiten analysiert und Abweichungen von de
finierten Netzwerkpolicys (zum Beispiel, dass Mitarbeiter keine Peer-to-
Peer Programme wie Napster, Kazaa, etc. verwenden sollten) erkannt.
Eine signaturbasierte Lösung kann extrem präzisen Aufschluss über den
Angriff geben, da die gesamte Paketfolge (je nach Produkt) abgespeichert
wird: Damit ist auch eine schnelle Bewertung möglich, ob der Angriff er
folgreich war.
Dafür verwendet das IDS eine Datenbank, in der alle bekannten Signatu
ren von Angriffen und Hackertechniken gespeichert sind (dabei handelt es
sich um Binärabbilder bestimmter, typischer Fragmente der durch An
griffstools oder Viren erzeugten Datenpakete). Diese werden mit dem Da
tenteil der Pakete verglichen und so erkannt.
Mit signaturbasierten Systemen ist die Erkennung völlig unbekannter An
griffe jedoch schwierig zu realisieren. Dies gelingt in den Fällen sehr gut,
in denen bestimmte (verschiedene) Angriffe einem bestimmten Muster



folgen. Gut lässt sich dies anhand von Buffer Overflow Angriffen verifizie
ren, die sich durch das Senden von Shell Code und NOP-Sledges auszeich
nen.
Zusammenfassend kann festgehalten werden, dass Intrusion Detection
und Prevention Systeme Datenpakete aufnehmen, Dateninhalte lesen und
bestimmte Technologien anwenden, um festzustellen, ob ein Paket oder
ein Kommunikationsfluss integer ist oder ob es sich um einen Angriff han
delt. Zur Verifizierung eines erfolgreichen Angriffs verwendet das IDS
nicht nur das Angriffspaket oder die Angriffspakete. Es bezieht in seine
„Überlegung“ auch die Antworten des angegriffenen Systems ein.



Hostbasierte Erkennung versus netzwerkba
sierte Erkennung
Angriffserkennung kann, wie bereits beschrieben, auf dem Hostsystem
oder im Netzwerk stattfinden. Bevor auf die verschiedenen Technologien
im Detail eingegangen wird, werden im Folgenden einige Vor- und Nach
teile der verschieden Systeme aufgeführt.

Vorteile hostbasierter Erkennung:
Netzwerkstream wurde bereits vom TCP Stack des Betriebssys
●
tems zusammengesetzt
Verschlüsselungsproblematiken sind nicht vorhanden
●
Komplettes Systemverhalten kann in die Bewertung eines Angriffs
●
einbezogen werden

Nachteile hostbasierter Erkennung:
Großer Verwaltungsaufwand: Muss auf jedem Host installiert wer
●
den
Verschiedene Betriebssysteme benötigen verschiedene Clients
●
Betriebssystemänderungen können hostbasierte Erkennung beein
●
flussen

Vorteile netzwerkbasierter Erkennung:
Änderungen am Betriebssystem des Ziels haben keinen Einfluss
●
auf die netzwerkbasierte Erkennung
Geringerer Verwaltungsaufwand: Ein netzwerkbasiertes System
●
kann eine Vielzahl von Hosts überwachen

Nachteile netzwerkbasierter Erkennung:
Verschlüsselter Datenverkehr kann zu Problemen bei der Angriffs
●
erkennung führen
Single Point of Failure
●
Lokale Angriffe werden nicht erkannt
●



Host Intrusion Detection / Prevention (HIDS/
HIPS)
Host Intrusion Detection / Prevention Systeme haben einen komplett an
deren Aufbau als netzwerkbasierte Systeme. Diese Systeme haben drei
Hauptansatzpunkte:

Kernel Schutz (System Call Hooking)
●
Überwachung von Konfigurationsdateien und/oder der Registrie
●
rung
Prüfung der Systemintegrität
●

Kernel Schutz
Obwohl dies dem Benutzer oftmals verborgen bleibt, sind Betriebssysteme
in zwei Bereiche aufgeteilt. Das Userland, in dem sich Applikationen, Be
nutzer, Programme und Prozesse befinden und der Kernelspace, in dem
das Betriebssystem und die Betriebssystemroutinen beheimatet sind. Ver
einfacht könnte man sagen, dass die Schnittstelle zwischen Betriebssys
tem (das die Dateien und die Hardware exklusiv verwaltet) und dem User
land die System Calls sind. Diese Calls werden von Applikationen und Pro
grammen genutzt, um Zugriff auf Betriebssystemressourcen zu erhalten.
Ein HIDS / HIPS setzt sich jetzt als überwachende Instanz zwischen das
Betriebssystem (den Kernelspace) und der Welt der Applikationen und
überwacht, ob die ankommenden Anfragen valid sind oder ob es sich um
Angriffe handelt. Diese Überwachung kann sich durch mehrere Leistungs
merkmale bemerkbar machen:

Verhindern des Ausführens von Code auf dem Stack
●
Überschreiben von System Calls (Linux – LKM)
●

Überwachung von Konfigurationsdateien und Registrie
rung
Ein weiterer wichtiger Bestandteil eines HIDS / HIPS ist die Überwachung
von Systemkonfigurationsdateien und Systemregistern (Windows) bzw.
Kernelkonfigurationen (Linux).
So kann das HIDS sichergehen, dass wichtige Systemapplikationen (Fire
wall, Antivirenscanner, etc.) auf dem aktuellen Stand sind und noch lau
fen. Auch Trojaner und andere Schadprogramme lassen sich dadurch sehr
gut identifizieren.



Prüfung der Systemintegrität
Die Systemintegrität ist eine sehr wichtige Aufgabe von Host Intrusion De
tection / Prevention Systemen. Dadurch kann sichergestellt werden, dass
wichtige Systemprogramme bzw. der Code wichtiger Systemprogramme
nicht manipuliert wurde. Das HIDS / HIPS bildet hierzu zu einem Zeit
punkt, an dem das zu überwachende Systemtool noch integer ist, eine
SHA-1 oder MD5 Checksumme des Binärcodes und agiert sobald sich die
se Checksumme ändern.

System Integrität – Kernel Schutz
Enterasys Networks bietet für viele unterschiedliche Betriebssysteme
Hostsensoren an, die didaktisch sehr einfach über den Dragon ® EMS zu
verwalten sind. Damit können die in diesem Kapitel beschriebenen Featu
res einfach und sicher realisiert werden.
Enterasys Host Intrusion Prevention Systeme beschränken sich dabei je
doch nicht nur auf den hier beschriebenen Betriebssystem- und Syste
mapplikationsschutz. Für einige businessrelevante Gebiete (wie Webserver
[Internet Information Server und Apache]) gibt es eigene Application In
trusion Prevention Systeme, die für einen idealen Schutz der entsprechen
den Applikation sorgen.

Erweiterungsmöglichkeiten des HIDS
Im Bereich Host Intrusion Detection bietet Enterasys ein SDK (Software
Development Kit) an, das von Kunden, Partnern oder vom Enterasys Pro
fessional Services Team genutzt werden kann, um zusätzliche Leistungs
merkmale in die Produkte zu integrieren. Der Entwickler kann dabei auf
die gesamte Bandbreite der integrierten Leistungsmerkmale zurückgreifen
und somit neue Features schnell und sicher integrieren.
Das Design ist dabei so realisiert, dass es Entwicklern möglich ist, zusätz
liche Features über eine Programmiersprache ihrer Wahl (z.B. C oder C#)
zu realisieren und diese dann gegen eine von Enterasys bereitgestellte Bi



bliothek (Library) zu linken. Dadurch muss sich der Entwickler nicht um
die Kommunikation des neu erstellten Features mit der Enterasys Enter
prise Management Suite beschäftigen oder mit sicherheitsbezogenen The
men wie Authentifizierung und Verschlüsselung – er kann sich voll und
ganz auf die Realisierung des neuen Features konzentrieren.
Enterasys stellt in diesem Zusammenhang umfangreiche Beispielprogram
me, Beispielerweiterungen und Hilfsdokumente zur Verfügung, so dass es
dem Administrator oder dem Entwickler schnell möglich ist, sich in die
Thematik einzulesen und effizient zu entwickeln.
Durch die neu geschaffene dot net Schnittstelle ist es nun auch möglich,
alle betriebssystembezogenen Sicherheitsmerkmale, die Microsoft in ihre
Produkte integriert, innerhalb der Dragon® Defense Suite zu nutzen.
Network IDS/IPS
Netzwerkbasierte Intrusion Detection und Prevention Systeme unterschei
den sich in allen wesentlichen Punkten von hostbasierten Systemen. Ihr
interner Aufbau kann folgendermaßen beschrieben werden:
Ereigniskomponente:
●
Sensoren oder der eigene Netzwerkstack nehmen Raw-Daten aus
dem Netzwerk auf und starten das so genannte Preprocessing, das
dabei hilft, die Daten in ein einheitliches Format zu bringen (dies
hat den Vorteil, dass man dadurch in der Lage ist, Signaturen in
einem einheitlichen Format zu erstellen). Danach werden diese
vereinheitlichten Daten an die Analysekomponente weitergege
ben.
Analysekomponente:
●
An dieser Stelle werden die Daten, die von der Ereigniskomponen
te gesammelt wurden, analysiert. Bei signaturbasierten Systemen
wird der Paketinhalt gegen die verschiedenen Paketinhalte der Si
gnaturen kreiert. Sobald eine Signatur anschlägt, wird ein Alarm
ausgelöst. Dieser Alarm kann lediglich ein Logfile oder Datenbank
eintrag sein. Sollte es sich bei dem entsprechenden Deployment
um eine DIRS (Dynamic Intrusion Repsonse System) Installation
handeln, kann über ein Alarmtool auch eine Aktion (Ändern der
Port Policy) gestartet werden.
Monitor und Darstellungskomponente:
●
Nachdem die Daten intern in einem bestimmten Format vorliegen
(Angriffsart, Angreifer, Ziel, Zeitinformationen, etc.) werden die
Daten an dieser Stelle verständlich (zumeist grafisch) für den An
wender / Administrator aufbereitet.

Zusammenfassend kann gesagt werden, dass durch die Kombination netz
werk- und hostbasierter Erkennung ein sehr hoher Schutzfaktor erreicht



werden kann, der vor einer Vielzahl verschiedener Angriffsszenarien
schützt.
IDS versus IPS versus DIRS
Nachdem nun definiert wurde, wie präventive Sicherheitssysteme Angriffe
erkennen können, werden die Aktionen, die aus diesen Informationen ge
troffen werden können, diskutiert.

Detection
Die Erkennung von Angriffen ist die Grundlage jeglicher präventiver Si
cherheitstechnologie (ob inline oder outline). Sollte keine proaktive Si
cherheitsimplementierung gewünscht sein, so kann man durch die Daten,
die in diesem Schritt gesammelt wurden, forensische Nachforschungen
betreiben, Angriffe zurückverfolgen, Beweise auswerten, Systemverhalten
überwachen und dokumentieren, Statistiken über die Sicherheitsentwick
lungen erstellen und Datenquellen / Ressourcen für Security Information
and Event Management Systeme bereitstellen, die daraus SoX-konforme
Reports erstellen können.

Prevention
Aktive Angriffsverhinderung geschieht zumeist inline. Die Geräte (NIPS)
werden also direkt in den Kommunikationsfluss integriert und entschei
den, ob ein Paket weitergeleitet werden soll oder nicht. Intrusion
Prevention ist ein sehr gutes Werkzeug, um das Netzwerk und die darin
befindlichen Komponenten aktiv vor Angriffen zu schützen. Der Angreifer
selbst bleibt davon jedoch unberührt und hat weiterhin Zugriff auf die
Ressourcen des Netzwerks. Seine Pakete werden lediglich dann verworfen,
wenn es sich dabei um schadhafte Pakete handelt.

Dynamic Response
Distributed IPS basiert auf Intrusion Detection und führt – basierend auf
den Ergebnissen des Intrusion Detection Systems – Aktionen im Netzwerk
durch. Je nach vorhandener Netzwerkinfrastruktur kann dies durch das
Ändern einer Portpolicy oder durch das Verbannen eines Users aus einem
bestimmten VLAN in ein Anderes geschehen. Distributed IPS reagiert da
bei auf bestimmte Ergebnisse. Wird ein Angriff durch das Versenden eines
einzelnen Paketes erfolgreich durchgeführt, wird das DIRS diesen Angriff
nicht verhindern. Es werden jedoch Aktionen gegen den Angreifer gefah
ren, die verhindern, dass dieser weiterhin Schaden im Netzwerk anrichtet.
Auch hier kann zusammenfassend festgehalten werden, dass das größte
Schutzpotential durch die Kombination der verschiedenen Technologien
realisiert werden kann.



Dynamic Response in Multivendor Networks

Enterasys Networks ist der führende Anbieter von Distributed IPS Syste
men. Durch eine extrem hohe Anzahl unterstützter Devices von Fremdher
stellern ist es möglich, nahezu jede Netzwerkinfrastruktur durch den Ein
satz des Dragon® IDS in Kombination mit dem Automated Security Mana
ger über DIRS abzusichern.



System Information and Event Management
Unter SIEM (System Information and Event Management) oder SIM (Sys
tem Information Management) versteht man die hohe Kunst, alle vorhan
denen Daten aufzunehmen, zu korrelieren und daraus einen Rückschluss
auf eine bestimmtes Ereignis zu treffen.

Einsatzmöglichkeiten für Dragon®

Zur besseren Veranschaulichung kann die IST Situation und die SOLL Si
tuation (bezogen auf Security Information Management) vieler Unterneh
men herangezogen werden:
Ist Situation: Eine Vielzahl von unterschiedlichen Systemen offeriert
Dienste im Netzwerk. Die entstehenden Logmessages werden in unter
schiedlichen Formaten auf unterschiedlichen Systemen gehalten und kön
nen sensible, wichtige Informationen enthalten.
Soll Situation: Eine Vielzahl von bestehenden Systemen offeriert Dienste
im Netzwerk. Die entstehenden, unterschiedlich formatierten Logmessa
ges werden zentral ausgewertet. Die wichtigsten Daten werden in einem
High Level Approach dem entsprechenden Mitarbeiter aufbereitet. Aus
verschiedenen Quellen werden in Realtime sinnvolle Schlüsse gezogen
(Korrelation). Im Vordergrund steht die Information und nicht die
Lognachricht.



Die Technologie
Technologisch wird die eben beschriebene SOLL Situation dadurch er
reicht, dass alle Events (ein Event ist eine einzelne Nachricht eines Sys
tems innerhalb der IT Infrastruktur; dies kann eine Lognachricht eines
Syslog Servers sein, ein Alarm eines Intrusion Detection Systems oder ein
Flow Record eines Layer 2 / Layer 3 Systems) in einer Datenbank gespei
chert und korreliert werden. Aus dieser Korrelation wird ein neuer Übere
vent generiert – der so genannte Offense. Ein Offense ist ein Alarm, der
aus verschiedenen Events generiert wurde. Je mehr Events zu einem Of
fense zusammengefasst werden, desto höher ist die Data Reduction Rate.
Das SIEM kann dabei Lognachrichten oder auch Flow Daten von Netzwerk
geräten aufnehmen und diese in Relation zueinander setzen. Durch die
ganzheitliche Strategie von Secure Networks™ ist es im Umkehrschluss
wiederum möglich, Aktionen basierend auf den Offenses im Netzwerk zu
starten.
Man könnte SIEM Systeme als technische, virtuelle CIOs im Netzwerk be
zeichnen, die alle erdenklichen Informationen aufnehmen und den Board
of Directors (den Administratoren) dann Anweisungen erteilen.
Die Dragon® Security Command Console (das SIEM von Enterasys) ist in
der Lage, die vorhandenen Offenses einfach und klar strukturiert darzu
stellen. Da das System auch für sehr große Infrastrukturen ausgelegt ist,
ist es mandantenfähig. Jeder Benutzer kann dabei selbst definieren, wel
che Informationen er zu Beginn seiner Session sehen möchte.
Die DSCC ist dabei wie eine Art Zwiebel aufgebaut. An der obersten
Schicht befindet sich das Ergebnis, das Endresultat, der gezogene Schluss
basierend auf verschiedenen korrelierten Events (Offense). Der Anwender
ist jedoch in der Lage sich bis zur Kerninformation vor zu arbeiten, in dem
er (im übertragenen Sinne) Schale für Schale von der Zwiebel entfernt.

Was bringt Enterasys Security Management ...
... für die Finanzorganisation?

Kosten werden eingespart
●
Aufgaben können Mitarbeitern sinnvoll zugewiesen oder automati
●
siert übernommen werden
Die Kosten für die Analyse bzw. Aufbereitung der Daten sinkt si
●
gnifikant
Erhöhung des Return on Invests bei Software und Hardware
●



... für das operative Geschäft?

Verbesserte Antwortzeiten bei Attacken
●
Attacken, Hardware- und Softwarefehler werden besser erkannt.
●
Dadurch können bestimmte Fehlersituationen besser zugeordnet
und Aktionen besser koordiniert und geplant werden.
Verbesserte, einfachere Übersicht über Securityevents
●
Signifikate Erhöhung der proaktiven und präventiven Sicherheit
●
Auswirkungen bestimmter Aktionen können besser bewertet wer
●
den; Auswirkungen besser berechnet werden.

... für das Business an sich?

Erhöhung der Stabilität der IT Infrastruktur und damit bessere
●
Verfügbarkeit der Geschäftsprozesse
Legal Compliance
●
Befolgung aller Regularien
●
Minimierung der Auswirkungen für Unbeteiligte
●
Risiken werden minimiert. Risiken werden überhaupt erkannt!
●

Enterasys bietet mit der Dragon® Security Command Console das führen
de System, um die eben dargestellten Leistungsmerkmale effizient abzu
bilden

Korrelationsmöglichkeiten mit DSCC



Die Enterasys DSCC ist dabei ferner in der Lage, Ergebnisse von Vulnera
bility Assessment Systemen (Sicherheitslücken-Scannern) in die Offense
Bewertung einzubeziehen. Ein intelligentes Framework macht Erweiterun
gen möglich, die eine enorm hohe Skalierung auch bei extrem großen
Netzwerken und extrem hohen Datenaufkommen garantiert.

DSCC Übersicht
Enterasys bietet ferner durch die Kombination der hier aufgezeigten Sys
teme (HIDS, NIDS, SIEM, NAC, etc.) die Möglichkeit auf vielfältige Gefah
ren mit der entsprechenden Aktion zu reagieren. Gefahren können dabei
auch proaktiv aus dem Netzwerk fern gehalten werden. Ein wichtiger Be
standteil dieser Secure Network™ Strategie ist es, dass dabei, wie bereits
in diesem Kapitel über System Information und Event Management zu er
fahren, eine Vielzahl von Fremdherstellern einbezogen werden können.

Schnittstellen zu externen Systemen
Eines der Ziele, die die Dragon® Security Command Console verfolgt, ist,
dem Administrator bei verifizierten, schwerwiegenden Problemstellungen
(Security Incident, Angriff, abfallende Verfügbarkeit eines Dienstes, aus
gefallener Server, etc.) darzustellen, um was es sich bei diesem Vorfall
genau handelt, wie kritisch dieser ist, was dadurch beeinflusst wird und
wer (welche Identität) dieses Problem verursacht hat.
Dabei offeriert die DSCC dem Administrator nicht nur die IP Adresse des
Initiators, sondern auch weiterführende identitybezogene Informationen
(Username, Usergruppe, Switchport, Switch IP Adresse, Name des Swit



ches, Policy, MAC Adresse, Authentifizierungsmethode und ob der Benut
zer „nur“ wired oder wireless online ist oder mehrere Verbindungsmöglich
keiten nutzt (z.B. wired und wireless und zusätzlich VPN).

Asset-Informationen in der DSCC
Der Administrator hat nun die Möglichkeit die integrierten Enterasys
Schnittstellen zu nutzen, um einen bestimmten Benutzer eine neue Policy
zu zu weisen oder eine MAC Adresse für eine bestimmte Zeit vom Netz
werk zu nehmen.

Gefahrenquellen mit der DSCC direkt aus dem Netzwerk entfernen
Dabei kann die Lösung spielend erweitert werden, so dass zum Beispiel
externe Skripte aufgerufen werden, die als Parameter die IP Adresse eines
Angreifers übergeben bekommen. Die Erweiterungsmöglichkeiten, die sich
dadurch ergeben, erweitern das Spektrum, innerhalb dessen die Lösung
ihren Mehrwert aufzeigen kann, enorm.



Interne Erweiterungsmöglichkeiten und Schnittstellen
Ein Security Information und Event Management System wie die Dragon®
Security Command Console lebt davon, Events und Flows von verschie
densten Systemen unterschiedlicher Hersteller zu lesen und diese Events
zu nutzen, um sie durch das Korrelieren mit anderen Events von anderen
Herstellern zu einer vernünftigen Aussage zu formen (Offense). Oftmals
ist es so, dass in komplexen Kundenumgebungen exotische Applikationen
nicht bekannter und kaum verbreiteter Hersteller implementiert wurden
oder dass Kunden ihre eigenen Applikationen entworfen haben, die per
default von den gängigen SIEM Lösungen nicht unterstützt werden.
Da diese Quellen sehr wertvolle Daten enthalten können, die einen spür
baren Mehrwert während des Korrelationsprozesses darstellen könnten,
bietet die Dragon® Security Command Console einen sehr einfachen und
effektiven Weg an nicht bekannte Logfile Formate zu lesen und in die Kor
relation aufzunehmen.
Dabei muss der Administrator lediglich ein generisches / universales Devi
ce anlegen und definieren, wie die Events von diesem System interpretiert
werden sollen, welches Protokoll zur Datenübertragung genutzt wird und
was die Events von diesem System zu bedeuten haben. Die folgenden
Screenshots zeigen, wie dieser Prozess mit Hilfe der Konfigurationsober
fläche innerhalb weniger Minuten realisiert werden kann.

Schritt 1:

DSCC - Sensordevices
Anlegen eines neuen generischen Devices, damit Logfiles von diesem Sys
tem aufgenommen werden und entsprechend der Mustererkennung, die
man selbst anpassen kann, gelesen und ausgewertet werden.



Schritt 2:

DSCC-QidMapping
Zuordnen des Events, so dass die DSCC „weiß“, in welche Kausalkette die
ser Event gehört und wie dieser Event innerhalb des Korrelationsverlaufs
zu behandeln ist.



Respond and Remediate
Unter Dynamic Reponse versteht man die Möglichkeit für das Netzwerk,
autonom auf auftretende Probleme zu reagieren. Dazu werden mehrere
Komponenten kombiniert. Intrusion Detection Systeme erkennen auftre
tenden Missbrauch oder Sicherheitslücken und können mit Hilfe von Re
sponsemechanismen direkt – als IPS oder in der Secure Networks™ Archi
tektur - mit dem ASM ins Geschehen eingreifen.
Die Remediation ermöglicht es, dem so in die Quarantäne versetzten Mit
arbeiter mitzuteilen, dass und warum er in der Quarantäne ist. Damit wird
es auch möglich, eine Anleitung zur Selbsthilfe zu geben und somit das
Helpdesk zu entlasten.
Dynamic Response (wie bereits unter Detect and Locate beschrieben)
kann aber auch auf anderem Wege erreicht werden. So unterstützt zum
Beispiel die Matrix® N-Serie das so genannte Flow Setup Throttling. Man
kann (vor allem auf den Userports) pro Port Schwellwerte definieren, wel
che die maximale Anzahl von Flows in einer gewissen Zeiteinheit definie
ren. Überschreitet der Rechner eines Users diesen Threshold, so ist das
normalerweise nie auf regulären Traffic zurückzuführen, sondern ein si
cheres Anzeichen für einen Virus oder eine sonstige Attacke. Je nach Kon
figuration schickt der Switch dann eine Nachricht an die Managementstati
on oder aber der entsprechende Port wird sofort deaktiviert (und auch hier
wird eine Nachricht an die Managementstation geschickt).
Zum besseren Verständnis kann an dieser Stelle ein klassisches und weit
verbreitetes Szenario genutzt werden. Das hier beschriebene Beispiel wird
durch den Einsatz der folgenden Enterasys Networks Lösungen möglich:
Enterasys NAC
●
NetSight® Console
●
Automated Security Manager
●
Dragon® IDS
●
Ein User authentifiziert sich in seinem Büro über 802.1x am Netzwerk. Be
vor er jedoch Zugriff auf die Ressourcen im Netzwerk erhält, wird eine Si
cherheitsüberprüfung seines Endsystems realisiert. Dort wird festgestellt,
dass der User die in der Firmenpolicy vorgeschriebene Antivirensoftware
deaktiviert hat. Der User erhält daraufhin lediglich Zugriff auf eine von
Enterasys Networks bereitgestellte Webseite, die ihm eine genaue Be
schreibung des Fehlers offeriert. Der User wird auf dieser Webseite dar
aufhin gewiesen, dass er die Antivirensoftware wieder aktivieren muss,
um Zugriff auf das Netzwerk zu erhalten. Versucht der User interne oder
externe Webseiten aufzurufen, so wird er bei jedem Versuch wieder auf
die von Enterasys Networks gelieferte Webseite umgeleitet.
Nachdem der User die Software wieder aktiviert hat, kann er über einfa
ches Klicken eines Buttons auf der Webseite erneut Zugriff auf das Netz
werk verlangen. Wichtig zu erwähnen ist hierbei, dass auf dem Endsystem



des Users keine Agentsoftware installiert ist. Die Einwahl erfolgte über
Network Credentials des Sicherheitslückenscanners.
Das Netzwerk und die beteiligten Systeme haben festgestellt, dass der
User seine Antivirensoftware wieder aktiviert hat und weisen ihm seine
Rolle im Netzwerk zu. Nach einiger Zeit startet der User einen Angriff auf
einen internen Webserver. Diese Attacke wird vom Dragon® Intrusion De
tection System erkannt. Durch die automatische Abstimmung des Dragon®
IDS und des Automated Security Managers wird die Rolle des Users geän
dert und sein Port in Quarantäne gesetzt. Der User erhält nun lediglich Zu
griff auf die von Enterasys Networks offerierte Webseite, die ihm mitteilt,
dass das Netzwerk den Angriff erkannt hat und sein System aus dem
Netzwerk entfernt wurde.
Assisted Remediation mit ToS-Rewrite
Eine Möglichkeit diese Remediation technisch zu realisieren besteht darin,
alle Pakete eines Endsystems, das sich in Quarantäne befindet bzw. per
DIRS vom Netz getrennt wurde, mit einem definierten DSCP (bzw. IP Pre
cedence) Wert zu markieren.

Assisted Remediation mit Hilfe von ToS-Rewrite
So markierte Pakete werden dann im Netzwerk mit Hilfe einer Policy Route
von den Routern zu einem Remediation Webserver geroutet. Auf diesem
läuft ein modifizierter Proxy, der in der Lage ist die Pakete an Zieladressen
anderer Webserver entgegen zu nehmen und mit einer Remediation Web
seite zu antworten. Dies setzt natürlich voraus, dass DHCP (falls verwen
det) und DNS wie üblich gehandhabt werden oder der Remediation Server
ebenfalls auf diese antwortet.



Proactive Prevention / NAC
Mit proactive Prevention oder auch Network Access Control steht wieder
einmal eine Technologie am Anfang des “Gartner Hype Cycles“
(http://www.gartner.com/pages/story.php.id.8795.s.8.jsp).
Sowohl aus Sicht der Hersteller als auch aus Sicht der Kunden bietet NAC
eine Reihe von Vorteilen und Möglichkeiten. Sie stellt aber auch eine Her
ausforderung insbesondere an die Struktur und Organisation desjenigen
Unternehmens, das eine entsprechende NAC Lösung einsetzen möchte.

Definition von NAC
Im Allgemeinen kann man NAC als eine benutzerfokussierte Technologie
beschreiben, die ein genutztes Endgerät authorisiert und Zugriff auf Res
sourcen gewährt auf der Basis der Authentisierung der Identität des ent
sprechenden Benutzers (oder/und Geräts) sowie auf dem Status des Ge
räts in Hinblick auf sicherheitsrelevante Parameter und Einstellungen - die
Compliance mit entsprechenden Unternehmensvorgaben. Diese Parameter
werden im so genannten Pre-Connect Assessment ermittelt, dass heißt
vor Anschluss an die Infrastruktur. Es sollte aber auch dann im laufenden
Betrieb eine Überprüfung erfolgen, welche dann als Post-Connect Assess
ment bezeichnet wird. Teilweise wird auf den einen oder anderen Baustein
im Rahmen einer Implementierung auch verzichtet – je nach Kundenan
forderung. Ein Prozess zur Wiederherstellung der Compliance, der so ge
nannten Remediation, ist hier ebenfalls enthalten. Die gilt für alle Endge
räte und Nutzer am Netz, dass heißt eigene Mitarbeiter, Partner, Gäste,
Kunden und sonstige Geräte wie Drucker, Videokameras, etc.
NAC ist aber auch nicht das Allheilmittel gegen beliebige Sicherheitspro
bleme. Insbesondere falsches Nutzerverhalten und Angriffe auf Applikati
onsebene können mittels NAC kaum erkannt werden, es sei denn, man
setzt intensiv auch Post-Connect Assessment Techniken ein.
(http://media.godashboard.com/CMP/Excerpt_nwcanl06_nac.pdf)


Solution Guide

Recommandé

Recommandé

Contenu connexe

Similaire à Solution Guide

Similaire à Solution Guide (20)

Solution Guide