Zielgruppe
Dieses Seminar richtet sich an Administratoren und Projektleiter aus den Bereichen LAN und Informationssicherheit. Grundkenntnisse in Netzwerken und TCP/IP sind erforderlich.

In diesem Seminar lernen Sie
 welchen Bedrohungen Ihr LAN durch die Kopplung mit mobilen
   Endgeräten und Fremdgeräten ausgesetzt ist
 welche Alternativen es zur Zugangskontrolle, zur Trennung von
   Benutzergruppen und zum Aufbau mandantenfähiger LANs gibt 
 die Konzepte kennen, die für eine port-basierte Zugangskontrolle zum
   LAN relevant sind
 wie der Standard IEEE 802.1X arbeitet
 welche Rolle EAP dabei spielt
 welche Authentisierungsmethoden über EAP für welches Sicherheitsniveau
   angemessen sind
 welche Rolle der RADIUS-Server dabei spielt
 wie unterschiedliche RADIUS-Server für NAC konfiguriert werden
 wie eine Infrastruktur für IEEE 802.1X in der Praxis umgesetzt werden kann
   und welche Probleme dabei gelöst werden müssen
 wie ein Gastzugang realisiert werden kann
 wie ein Monitoring und Trouble Shooting einer NAC-Lösung durchgeführt
   wird und welche typischen Fehlersituationen in der Praxis auftreten und
   wie mit ihnen umgegangen werden kann
 wo aktuell die Grenzen von IEEE 802.1X liegen
 welche Änderungen mit Version IEEE 802.1X-2010 des Standards einhergehen,
   welche Rolle IEEE 802.1AE (MACsec) dabei spielt und wie neben
   Cisco TrustSec die Produktsituation aktuell aussieht
 wie weitergehende Dienste zur Prüfung der Endgeräte-Compliance verbunden
   mit einer entsprechenden Autorisierung realisiert werden können
 was Network Endpoint Assessment (NEA) und
   Trusted Network Connect (TNC) im Detail bedeuten
 welche herstellerspezifische Lösungen für Endpoint Assessment existieren
 wie Microsofts Network Access Protection (NAP) in der Praxis umgesetzt werden kann

Zum Inhalt
IEEE 802.1X liefert die Schlüsseltechnologie für die Netzzugangskontrolle (Network Access Control, NAC) und damit einen entscheidenden Beitrag zur Sicherheit im Netzwerk. Basis ist das Extensible Authentication Protocol (EAP), das eine einheitliche Schnittstelle für die Abwicklung unterschiedlichster Authentisierungsmethoden bietet. IEEE 802.1X erlaubt nicht nur einen zentral gesteuerten Zugang von Endgeräten zu Netzwerken sondern auch die Trennung von Benutzergruppen für den Aufbau mandantenfähiger Netzwerke. Somit bietet IEEE 802.1X und die damit verbundenen Technologien ein sehr weites Spektrum an Netzwerk-Sicherheit: vom Gastzugang bis hin zur strikten Abschottung von Benutzergruppen.

Typisch ist der Einsatz von IEEE 802.1X im Bereich WLAN/WPA2. Im kabelbasierten LAN nimmt die Häufigkeit des Einsatzes ebenfalls immens zu. Der Aufbau von Netzen mit IEEE 802.1X-Unterstützung ist jedoch nicht trivial. Aus vielfältigen Authentisierungsmethoden und zugehörigen Architekturen ist zu wählen. In der Praxis muss IEEE 802.1X meist mit anderen Techniken kombiniert werden, z.B. einer MAC-Adress-basierten Zugangskontrolle. Die Wirkketten reichen vom Client-Betriebssystem bis hin zum Directory Service und müssen entsprechend beherrscht werden.

Entscheidend für die erfolgreiche Umsetzung einer NAC-Lösung ist daher nicht nur eine solide Planung, sondern auch die rechtzeitige Berücksichtigung von NAC in der Gestaltung der IT-Prozesse, denn ansonsten drohen erhebliche Betriebsaufwände für NAC. Kritisch sind insbesondere die Überwachung der NAC-Lösung und die Beherrschung der vielfältigen Fehlersituationen im Incident Management, damit das Trouble Shooting durch die Komplexität von NAC nicht zum Alptraum wird.

Die in der Praxis meist anzutreffende Version des Standards IEEE 802.1X von 2004 weist für das kabelbasierte LAN gewisse Schwachstellen und Lücken auf, die man im Rahmen einer Einführung einer NAC-Lösung genau kennen und bewerten muss. In der Neuauflage des Standards IEEE 802.1X von 2010 wurden viele dieser Punkte adressiert und insbesondere kann durch die Integration mit IEEE 802.1AE (MAC Security) ein sehr hohes Sicherheitsniveau am LAN-Zugang geschaffen werden.

Weitere Entwicklungen im NAC-Bereich zielen darauf ab, Endgeräte nach einer erfolgten Authentisierung noch einem Compliance Check, d.h. einer Prüfung der Endgerätekonfiguration gegen entsprechende Richtlinien (Policies) zu unterziehen, bevor der gewünschte Zugang in das Firmennetz gestattet wird. Nur wenn ein Endgerät ausreichend gesichert ist, etwa durch aktive Firewall und aktuellen Virenschutz, wird der gewünschte Zugang gewährt.

Inzwischen hat sich neben diversen herstellerspezifischen Lösungen mit Network Endpoint Assessment (NEA) der IETF und Trusted Network Connect (TNC) der Trusted Computing Group (TCG) erstmalig ein Standard für diese Nutzung von NAC herauskristallisiert. TNC konkurriert zunächst scheinbar mit der von Microsoft entwickelten Lösung Network Access Protection (NAP). Für die Einschätzung dieser Lösungen müssen die zugrundeliegenden Techniken, die sich abzeichnenden Trends (welche Lösungen bewegen sich aufeinander zu) und insbesondere die Praxistauglichkeit bewertet werden.

Dieses Seminar liefert das notwendige Rüstzeug für Planung, Implementierung und Betrieb einer NAC-Lösung und stellt die Kernaufgaben in Theorie und Praxis dar.

Bedrohungen im kabelbasierten LAN
 ARP-Spoofing / ARP-Poisoning
 DHCP-Spoofing
 MAC-Spoofing
 Angriffe auf VLAN

Authentisierung, eine Wissenschaft für sich
 Passwort-basierte Authentisierung und ihre Grenzen
 Challenge-Response-Verfahren
 Authentisierung über Zertifikate
 RADIUS als universelles Protokoll für die Authentisierung

Einführung in IEEE 802.1X
 Komponenten, Schnittstellen, Protokolle und Funktionsweisen
 Das Extensible Authentication Protocol (EAP) als zentraler Baustein
 Unterschiede von IEEE 802.1X im kabelbasierten LAN und im WLAN
 Umgang mit PXE Boot und Endgeräten, die kein IEEE 802.1X unterstützen
 MAC-Adress-Authentisierung und IEEE 802.1X
 Problembereich simultane Authentisierung mehrerer Endgeräte an einem Netzwerk-Port
 Umgang mit an IP-Telefonen angeschlossenen PCs, Desktop-Switches oder
   virtuellen Maschinen auf PCs
 Grenzen von IEEE 802.1X in der Version von 2004 oder warum IEEE 802.1X-2004
   im LAN nicht so sicher wie im WLAN ist
 IEEE 802.1X-2010: Was bringt die Neuauflage des Standards
 Konzepte in IEEE 802.1AE MACsec und Cisco TrustSec

Die Möglichkeiten und Tücken von EAP
 Anwendungsszenarien und Eignung der verschiedenen EAP-Methoden
 EAP-Methoden im Detail: wie funktionieren einfache Methoden wie EAP-MD5,
   zertifikatsbasierte Authentisierung mit EAP-TLS, Authentisierung im Tunnel mit
   EAP-TTLS und PEAP, wie aufwendig ist der Betrieb und welches Sicherheitsniveau
   kann erreicht werden
 Maschinenauthentisierung und Nutzerauthentisierung: Einsatzszenarien und Fallstricke
 Netzbetriebssystem, Directory Service und EAP im Zusammenspiel
 Möglichkeiten für ein Single Sign-on

Architekturen und praktische Anwendungsbeispiele
 Aufbau Trusted und Untrusted LAN: IEEE 802.1X im Vergleich zu
   „traditionellen“ Techniken
 Homogene und heterogene Client-Landschaften: Umgang mit Thin Clients, Druckern,
   Multifunktionsgeräten, IP-Telefonen und anderen Spezialgeräten
 Architekturen für mandantenfähige LANs: IEEE 802.1X in Kombination mit logischer
   Netztrennung (VLAN, VRF und MPLS) und Firewall-Techniken am Netzübergang
 Aushandlung der Authentiserungsmethode
 Autorisierung von Mandanten durch dynamische VLAN-Zuweisung und/oder
   Access Control Lists (ACLs)
 Softwareverteilung und IEEE 802.1X
 Beispiele aus der Projektpraxis für Realisierungen von NAC-Lösungen
 Live-Demonstration

RADIUS im Detail: Das Herz einer NAC-Lösung
 RADIUS-Server Konfiguration für NAC am Beispiel von FreeRADIUS,
   Microsoft NPS und Cisco ACS
 Directory Integration (LDAP und Active Directory): Wie unterscheiden sich
   die Produkte?
 Praxisbeispiele für die Konfiguration von EAP-TLS, PEAP und EAP-MD5
 Monitoring der NAC-Lösung: Was muss der RADIUS-Server leisten und
   wie unterscheiden sich die Produkte?

Trouble Shooting von NAC
 Fehlerquelle Endgerät, Switch, RADIUS-Server und Directory
 Typische Fehlersituationen: Erkennung der Symptome und Möglichkeiten
   zur Behebung
 Notwendige Messtechnik
 Analyse von Traces

Techniken für die Prüfung der Endgeräte-Compliance
 Technologien im Überblick: Agentenbasierte und agentenlose Systeme
 Funktion von NEA/TNC und NAP im Detail
 Wie funktionieren die Phasen Detection, Authentication, Assessment,
   Enforcement und Remediation?
 Assessment: Wie erfolgt die Ermittlung der relevanten Parameter des
   aktuellen Zustands des Endgeräts (z.B. Aktivität der Personal Firewall,
   Aktualität des Virenschutzes)?
 Remediation: Was ist für die Herstellung eines sicheren Zustands durch
   entsprechende Anpassung der Konfiguration des Endgeräts notwendig?
 Produktsituation NEA/TNC
 Life Demo NAP
 Weitere herstellerspezifische Lösungen
 Agentenlose Systeme: Wie funktioniert die Prüfung des Endgeräts und
   welche Produkte gibt es?

Zusatzinformationen
Zeiten: Die Veranstaltung beginnt um 10:00 und endet am letzten Tag um 15:00 Uhr. Report: Wir bieten Ihnen bei der Buchung dieses Seminars den Report Sicherheit im LAN mit IEEE 802.1X zu einem Sonderpreis an.
Clubpunkte: Mitglieder im ComConsult Network Professional Club erhalten für diese Veranstaltung 30 Punkte.