Kurzbeschreibung
Dieses 2-tägige Seminar vermittelt den optimalen Umgang mit IEEE 802.1X, erläutert die Einsatzvarianten, beschreibt die gegebenen Fallstricke und liefert die ideale Basis zur Vorbereitung eines Einsatzes.

In diesem Seminar lernen Sie
 welchen Bedrohungen Ihr Ethernet-LAN durch die Kopplung mit mobilen Endgeräten ausgesetzt ist.
 welche Alternativen zur Zugangskontrolle, zur Trennung von Benutzergruppen und zum
   Aufbau von Sicherheitsbereichen es für LAN gibt 
 die Konzepte kennen, die im Standard IEEE 802.1X und dahinter stecken, wie das Verfahren arbeitet
 welche Anforderungen für eine port-basierte Zugangskontrolle zum LAN bestehen
 welche Rolle EAP dabei spielt
 welche EAP-Methoden für welches Sicherheitsniveau angemessen sind
 welcher Aufwand im Aufbau einer Infrastruktur für IEEE 802.1X verborgen sein kann
 welche Alternativen es für die verschiedenen Client-Systeme zur Authentifizierung über das EAP gibt
 welche Produkte IEEE 802.1X unterstützen und wo aktuell die Grenzen liegen
 wie ein Single-Sign-On mit IEEE 802.1X realisiert werden kann

Zum Inhalt
In der Praxis stellt sich häufiger die Aufgabe, in einem gemeinsam genutzten Netzwerk eine Trennung verschiedener Benutzergruppen, die unterschiedlichen Sicherheitsniveaus zugeordnet sind, vorzunehmen (Beispiele: Gastzugang, Trennung Industrie-/Bürobereich). Es muss also an einem geeigneten Punkt im Netz (z.B. direkt am Netzwerk-Port des Access-Switches) geprüft werden, welche Rechte mit dem Zugang verbunden sein sollen. Je nach Ergebnis der Authentifizierung wird ein genau definierter Zugang gewährt.

Damit ein Netzzugang gewährt werden kann, muss sich der Nutzer authentifizieren. Damit sich ein Nutzer authentifizieren kann, benötigt er einen Netzzugang. Diese Doppelfunktion leistet der Standard IEEE 802.1X basierend auf dem Extensible Authentication Protocol EAP. IEEE 802.1X entwickelt sich in vielen Bereichen zu einem unverzichtbaren Design-Element, typisch ist sein Einsatz im Bereich WLAN/WPA.
 
Der Aufbau von Netzen mit IEEE-802.1X-Unterstützung ist jedoch nicht nicht trivial. Die Wirkketten reichen vom Client-Betriebssystem bis hin zum Directory Service und müssen entsprechend beherrscht werden.

Bedrohungen im mikrosegmentierten Ethernet-LAN
 Der Promiscious Mode
 Die Grenzen der Mikrosegmentierung
 ARP-Spoofing/ Poisoning
 DHCP-Spoofing
 MAC-Spoofing
 Angriffe auf VLAN

Zugangskontrolle zum LAN und Trennung von Benutzergruppen im Überblick
 Anwendungsszenarien und resultierende Anforderungen
 Trennung auf physikalischer und/ oder logischer Ebene
 MAC-Adress-Authentifizierung
 (Policy-based) VLAN
 IP VPN
 Trennung auf Anwendungsebene, z.B. Nutzung eines Terminal-Servers
 Einsatzbereiche und Grenzen von Firewall-Techniken 

Authentifizierung, eine Wissenschaft für sich
 Passwort-basierte Authentifizierung und ihre Grenzen
 Verwendung von Einwegpassworten
 Authentifizierung über Zertifikate
 Smart Cards und Token
 Authentifizierung von Nutzer und/oder Gerät

Einführung in IEEE 802.1X
 Komponenten, Schnittstellen, Protokolle und Funktionsweisen
 Das Extensible Authentication Protocol (EAP) als zentraler Baustein
 Anwendungen
 Aufbauvarianten

Die Möglichkeiten und Tücken von EAP
 Anwendungsszenarien und Eignung der verschiedenen
   EAP-Methoden und welche Rahmenbedingungen für den Einsatz gegeben sein müssen
 EAP-Methoden im Detail: zertifikatsbasierte Authentifizierung mit EAP-TLS oder Authentifizierung
   im Tunnel mit EAP-TTLS und EAP-PEAP
 Netzbetriebssystem, Directory Service und EAP im Zusammenspiel
 Möglichkeiten für ein Single Sign-on

Architekturen und praktische Anwendungsbeispiele
 Aufbau Trusted und Untrusted LAN: 802.1X im Vergleich zu „traditionellen“ Techniken
 802.1X im Wireless LAN u.a. am Beispiel von EAP-TLS
 Homogene und heterogene Client-Landschaften
 Praktisches Beispiel: Implementierung und Konfiguration eines LAN-Sicherheitskonzeptes über IEEE 802.1X
   in Verbindung mit Active Directory, Windows XP und IDS

Produktsituation
 Switches
 WLAN Access Points
 Native Clients (Supplicants)
 Supplicants für Windows und Linux
 Was ist mit PDAs?
 Was ist mit VoIP-Phones?