Self Defending Networks: Network Admission Control (NAC) Donald Bennett

Transcripción

1 Self Defending Networks: Network Admission Control (NAC) Donald Bennett 1

2 El Mundo es una Red de Redes Suppliers Partners Employees Customers 2

3 Incidentes de Seguridad en Alza Incidentes Fuente: CERT: Carnegie Mellon Software Engineering Institute. IDC 3

4 Incidentes de Seguridad Costosos Perdidas por Incidentes de Seguridad Virus / Worm / Spyware / Adware Negación de Servicio Robo de Información Abuso Interno de Red Abuso de Red Inalámbrica Fraude Financiero Robo de Laptop Acceso no Autorizado Fraude de Telecomunicaciones Cambios en Web Site Penetración de Sistema Sabotage 0% 10% 20% 30% 40% Fuente: CSI/FBI Computer Crime and Security Survey

5 Seguridad Prioridad en las Empresas Tendencias de Negocios en el 2004 Fuente: Gartner Top Ten Business Trends

6 Evolución de los Desafios en Seguridad Nuevas Demandas Blanco y Alcance de Daños Impacto en Infraestructura Global Redes Regionales Redes Multiples Redes Individuales Computador Individual El tiempo requerido entre el conocimiento de una nueva vulnerabilidad y la necesidad de liberar una solución de mitigación se esta acortando Semanas 1ra Gen Boot viruses Días 2da Gen Macro viruses DoS Hacking limitado Minutos 3ra Gen DoS de Red Amenaza Combinada (worm + virus+ trojan) Turbo worms Hacking de sistema Segundos Prox. Gen Hacking de Infraestructura Amenazas instantaneas Worms Masivos DDoS Virus y worms con contenido destructivo Spyware/ adware 1980s 1990s 2003 Hoy 6

7 Evolución de las Amenazas ej : El gusano Sapphire o Slammer (Enero 2003) Infecciones duplicadas cada 8,5 segundos Infectó a computadores en los primeos 11 minutos Interrupción de servicio asociados a diversas redes, tales como vuelos de aerolineas cancelados, y fallas en redes de cajeros automáticos (ATM) En su peak, escaneó 55 millones de hosts por segundo 7

8 Estrategia de Cisco: Red Auto-Defensiva Estrategia de Cisco para An initiative to dramatically mejorar drasticamente las improve the network s ability to habilidades identify, prevent, de la red and para identificar, adapt to threats prevenir, y adaptarse a amenazas SECURIDAD INTEGRADA SISTEMAS DE SEGURIDAD COLABORATIVOS DEFENSA ADAPTATIVA A AMENAZAS 8

9 Modelo de red basado en el cuerpo humano La infraestructura de TI y las redes necesitan operar como un ser viviente La presencia de virus es un hecho de vida, y continuará presentando desafios El cuerpo humano sigue funcionando aún cuando acarreamos virus o tenemos alguna enfermedad La visión de seguridad de Cisco y su estrategia esta basada en el sistema inmunológico humano 9

10 Defensa Adaptativa a Amenazas en Acción Productos, Servicios y Ejemplo de Arquitectura Control de Acceso, Inspección de Paquetes Servicios de Firewall Inspección Ap., Control de uso, Control de Web Seguridad de Aplicación Inteligencia de Aplicación, Inspección de contenido, Atenuación de Virus IPS & Servicios AV de Red Defensa de Contenido/Malware, Detección de Anomalias Anti-X Defenses Identidad, Virtualización, Segmentación QoS, Visibilidad de Tráfico Inteligencia de Red Control de Admisión/Tráfico, Respuesta Proactiva Contención y Control Catalyst CSA Router Cisco DDoS Cisco VPN Acceso VPN Cisco Router Catalyst PIX Identity-Based Networking NAC CSA VLAN Cuarentena IPS Cisco CSA 10

11 Valor de un Sistema Integrado de Seguridad Seguridad no es más un opcional.. Es una necesidad Seguridad como opcional Seguridad es un agregado Integración desafiante Costos no eficientes No enfoca en prioridad principal Seguridad integrada de un sistema Seguridad incorporada Colaboración inteligente Seguridad apropiada Enfoque directo en prioridad principal 11

12 Las Defensas del Pasado no son obstáculo contra las Amenazas de Hoy PASADO Reactivo Productos Puntuales Servicios de Soporte de Producto NECESARIO HOY Automatico, Proactivo Sistemas Integrados de Capas Múltiples Servicios Avanzados Diseño/Implementación Necesidad de Sistemas Colaborativos y Adaptativos 12

13 Network Admission Control (NAC) como ejemplo de Sistemas de Seguridad Colaborativos 13

14 Qué sucede realmente en nuestras redes? 1. Una Estación de Trabajo Non-compliant intenta una conexión 2. Router permite la conexión 3. La infección se propaga; todos los Servidores y Estaciones de Casa Matriz quedan expuestos SUCURSAL Red Corporativa CASA MATRIZ 14

15 Cuáles son nuestros problemas asociados a la seguridad a nivel de hosts? Virus y gusanos continúan irrumpiendo / interrumpiendo los negocios Ataques del tipo día-cero (Day-zero) hacen que las soluciones reactivas sean poco eficientes Tecnologías puntuales (ejemplo: AV, HIPS) tienden a preservar la disponibilidad de los hosts en lugar de la disponibilidad de la Red y la resistencia de la empresa Servidores y Estaciones de Trabajo no-complaint (con AV y parches de Sistema Operativo desactualizados) son difíciles de detectar y de contener su ingreso a la Red La localización de sistemas infectados es muy intensiva en recursos humanos y tiempo 15

16 Programa NAC Anuncio público el 18/Nov/2003 Cisco está liderando la arquitectura, especificaciones, y pautas de NAC. Los patrocinadores iniciales del programa NAC incluye a los principales fabricantes de aplicaciones Anti-Virus: McAfee, Symantec, y Trend Micro. La aplicación Cisco Security Agent (HIPS) y los patrocinadores de soluciones AV utilizarán el agente Cisco Trust Agent para el control inteligente de admisión en las Estaciones de Trabajo, Servidores, PDAs,... La primera fase del programa NAC, traducida en productos, partirá a fines del segundo trimestre calendario 2004, cubriendo los routers Cisco, y Sistemas Operativos Microsoft Win NT, 2000, y XP. AV Client API CSA Broker and Security Comm: L2/3 Service EAP/UDP EAP/802.1X Futuras extensiones de NAC: Más elementos de red Cisco (Switches, APs, Concentradores VPN, NAS, Firewalls). Mayor soporte de OSs y aplicaciones en Estaciones de Trabajo, Servidores, PDAs,... Más patrocinadores. Cisco Trust Agent 16

17 Cisco Network Admission Control: Qué hace? 1. Una Estación de Trabajo Non-compliant intenta una conexión 2. Cuarentena/ remediación permit ip host remediacion deny ip host any 3. La infección es contenida; todos los Servidores y Estaciones de Casa Matriz están protegidos SUCURSAL Cisco Trust Agent Red Corporativa Remediación Cuarentena CASA MATRIZ POLICY SERVERS 17

18 Escenarios de Acceso NAC 1: Cumplimiento en el acceso desde Sucursal: Router (Layer 3) y firewall hacen cumplir la política 2: Cumplimiento en el acceso desde Sucursal: Extensión de Are You There 3: Cumplimiento en el acceso Dial-in : NAS (Layer 3) hace cumplir la política 4: Cumplimiento en el acceso Wireless: Cuarentena con ACLs/VLANs. Extensión de 802.1x 5: Cumplimiento en el acceso alámbrico a través de switches (Layer 2 / Layer 3): Caurentena con ACLs/ VLANs. Extensión de 802.1x alambrado Router Sucursal Internet 3 Acceso Remoto EAP/UDP 1 Router 2 Casa Matriz Dial-in NAS EAP/UDP after IPsec Remote VPN IPSec Firewall EAP 802.1x (wired) Servidor AAA (ACS) 5 SSL RADIUS Vendor Server 4 EAP 802.1x (wireless) 18

19 NAC L3 IP Para endpoints con CTA CTA 1 3 IP EAPoUDP Network Access Device (NAD) EAPoRADIUS 7 AAA 6 5 HCAP Network Vendor Server 1. El paquete IP gatilla ACL de intercepción en el NAD ACL predeterminada determina el acceso de red inicial 2. NAD gatilla la validación de Postura con el CTA (EAPoUDP) 3. CTA envía credenciales de Postura al NAD (EAPoUDP) 4. NAD envía credenciales de Postura al AAA (EAPoRADIUS) 5. AAA puede proxear parte de las credenciales de Postura al Policy Server (HCAP) 6. AAA valida Postura, determina autorización de derechos (Healthy, Checkup, Quarantine) 7. AAA envía política de autorización al NAD (ACLs, URL redirigida) Una notificación podría ser enviada al Endpoint si se estima conveniente 8. Se otorga acceso a la IP del endpoint evaluado (o se le niega, restringe, URL redirigida) 19

20 NAC L3 IP: Endpoint Use Cases Endpoint con CTA, Healthy Endpoints intentando acceso a la red 1 ACLs = Internal Network Access Device (NAD) NAC L3 IP AAA Policy Server Endpoint con CTA, Non-Compliant Endpoint sin CTA, Healthy Endpoint sin CTA, Non-Compliant ACLs = Quarantine ACLs = Internal (via Audit Server (e.g. scan)) ACLs = Quarantine (via Audit Server (e.g. scan)) NAC L3 IP NAC L3 IP Servidor de Auditoria 1. Endpoint con CTA. Endpoints evaluados Healthy, a los cuales se les otorga acceso normal a la red Endpoint periodicamente re-evaluado, de modo de asegurar compliance 2. Endpoint con CTA pero no compliant. Endpoint colocado en Quarantine Esto puede gatillar procedimientos de remediación Una vez remediado, la re-evaluación otorgará normal acceso a la red 3. Endpoint sin CTA evaluado vía auditoría OOB, la pasa exitosamente, y se le otorga acceso normal a la red 4. Endpoint sin CTA evaluado vía auditoría OOB, no aprueba, es colocado en Quarantine o simplemente no se le otorga acceso a la red 20

21 Cliente NAC Experiencia del Usuario Final CTA Popup Toma un único ping el autenticar a la estación de trabajo. 21

22 Funciones de Cisco Secure ACS 3.3 Punto de Decisión de Políticas para NAC en versión 3.3 Obtención de credenciales desde los endpoint Establecer canal de comunicación seguro con el CTA Solicitar y Recibir las credenciales de las aplicaciones (AV,...) & Sistemas Operativos Ejecutar funciones AAA sobre las credenciales Autenticar cada conjunto de credenciales Cada una evaluada por CS ACS o Servidor del fabricante de la aplicación (ej: CSA en ACS, OfficeScan de TMCM) ACS determina los derechos de autorización Los menores derechos de todos los resultados de autenticación (Healthy + Checkup = Checkup) Lista de Excepción, basada en direcciones MAC & IP Audit log (recolectado por CiscoWorks SIMS) Enviar reglas de autorización al router, y realimentación al endpoint ACL dinámicas y opcionalmente redirección URL Posibilidad de enviar notificaciones por aplicación al endpoint, y también realimentación al usuario Basado en la aplicación del fabricante, la retroalimentación puede gatillar remediación 15 22

23 NAC : Componentes Lógicos Host Security App CTA Many Vendors Open License Program Plug-ins CTA Disponible hoy CTA NT, XP, 2000, 2003 EAPoUDP EAPo802.1x EAPoUDP Network Access Device Routers (8xx-75xx) VPN 3000 Non-responsive Audit Server AAA Server RADIUS GAME Cisco Secure ACS HCAP Vendor Server Many Vendors Open License Program NAC 2 RedHat Linux EAPo802.1x Switches (2900, 3500, 3700, 4000, 6500) Wireless AP & WLSM NR Audit Server API Initial vendors integrated NAC 2.x Cisco CTA Porting ASA, PIX Open License Program TA OEM & Authoring SSL Devices 23

24 Participantes / Patrocinadores Actuales de NAC CLIENT SECURITY ANTI VIRUS REMEDIATION 24

25 25