Netzzugangskontrolle: Technik, Planung und Betrieb
| Termine für das Jahr 2010 | |||
| Termin | Hotel | Veranstaltungsort | Veranstaltungskürzel |
|---|---|---|---|
| 25.11. - 26.11.10 | NH Köln-City | in Köln | 101125IEEE |
| Termine für das Jahr 2011 | |||
| Termin | Hotel | Veranstaltungsort | Veranstaltungskürzel |
| 14.02. - 16.02.11 | RAMADA PLAZA Berlin City Centre | in Berlin | 110214IEEE |
| 27.06. - 29.06.11 | Mercure Hamburg Airport | in Hamburg | 110627IEEE |
| 19.09. - 21.09.11 | NH Köln-City | in Köln | 110919IEEE |
| 12.12. - 14.12.11 | Hilton | in Bonn | 111212IEEE |
Referent
Dr. Simon Hoff
Kosten:
€ 1.390,-- zzgl. MwSt.
Ab 2011: Teilnahmegebühr € 1.690,-- zzgl. MwSt. (3-tägige Veranstaltung)
Zeiten: Die Veranstaltung beginnt um 10:00 Uhr und endet am letzten Tag um 16:00 Uhr.
Kurzbeschreibung
In diesem Seminar lernen Sie
welchen Bedrohungen Ihr Ethernet-LAN durch die Kopplung mit mobilen Endgeräten ausgesetzt ist. welche Alternativen zur Zugangskontrolle, zur Trennung von Benutzergruppen und zum
Aufbau von Sicherheitsbereichen es für LAN gibt die Konzepte kennen, die im Standard IEEE 802.1X und dahinter stecken, wie das Verfahren arbeitet welche Anforderungen für eine port-basierte Zugangskontrolle zum LAN bestehen welche Rolle EAP dabei spielt welche EAP-Methoden für welches Sicherheitsniveau angemessen sind welcher Aufwand im Aufbau einer Infrastruktur für IEEE 802.1X verborgen sein kann welche Alternativen es für die verschiedenen Client-Systeme zur Authentifizierung über das EAP gibt welche Produkte IEEE 802.1X unterstützen und wo aktuell die Grenzen liegen wie ein Single-Sign-On mit IEEE 802.1X realisiert werden kann
Zum Inhalt
In der Praxis stellt sich häufiger die Aufgabe, in einem gemeinsam genutzten Netzwerk eine Trennung verschiedener Benutzergruppen, die unterschiedlichen Sicherheitsniveaus zugeordnet sind, vorzunehmen (Beispiele: Gastzugang, Trennung Industrie-/Bürobereich). Es muss also an einem geeigneten Punkt im Netz (z.B. direkt am Netzwerk-Port des Access-Switches) geprüft werden, welche Rechte mit dem Zugang verbunden sein sollen. Je nach Ergebnis der Authentifizierung wird ein genau definierter Zugang gewährt.
Damit ein Netzzugang gewährt werden kann, muss sich der Nutzer authentifizieren. Damit sich ein Nutzer authentifizieren kann, benötigt er einen Netzzugang. Diese Doppelfunktion leistet der Standard IEEE 802.1X basierend auf dem Extensible Authentication Protocol EAP. IEEE 802.1X entwickelt sich in vielen Bereichen zu einem unverzichtbaren Design-Element, typisch ist sein Einsatz im Bereich WLAN/WPA.
Der Aufbau von Netzen mit IEEE-802.1X-Unterstützung ist jedoch nicht nicht trivial. Die Wirkketten reichen vom Client-Betriebssystem bis hin zum Directory Service und müssen entsprechend beherrscht werden.
Bedrohungen im mikrosegmentierten Ethernet-LAN Der Promiscious Mode Die Grenzen der Mikrosegmentierung ARP-Spoofing/ Poisoning DHCP-Spoofing MAC-Spoofing Angriffe auf VLAN
Zugangskontrolle zum LAN und Trennung von Benutzergruppen im Überblick Anwendungsszenarien und resultierende Anforderungen Trennung auf physikalischer und/ oder logischer Ebene MAC-Adress-Authentifizierung (Policy-based) VLAN IP VPN Trennung auf Anwendungsebene, z.B. Nutzung eines Terminal-Servers Einsatzbereiche und Grenzen von Firewall-Techniken
Authentifizierung, eine Wissenschaft für sich Passwort-basierte Authentifizierung und ihre Grenzen Verwendung von Einwegpassworten Authentifizierung über Zertifikate Smart Cards und Token Authentifizierung von Nutzer und/oder Gerät
Einführung in IEEE 802.1X Komponenten, Schnittstellen, Protokolle und Funktionsweisen Das Extensible Authentication Protocol (EAP) als zentraler Baustein Anwendungen Aufbauvarianten
Die Möglichkeiten und Tücken von EAP Anwendungsszenarien und Eignung der verschiedenen
EAP-Methoden und welche Rahmenbedingungen für den Einsatz gegeben sein müssen EAP-Methoden im Detail: zertifikatsbasierte Authentifizierung mit EAP-TLS oder Authentifizierung
im Tunnel mit EAP-TTLS und EAP-PEAP Netzbetriebssystem, Directory Service und EAP im Zusammenspiel Möglichkeiten für ein Single Sign-on
Architekturen und praktische Anwendungsbeispiele Aufbau Trusted und Untrusted LAN: 802.1X im Vergleich zu „traditionellen“ Techniken 802.1X im Wireless LAN u.a. am Beispiel von EAP-TLS Homogene und heterogene Client-Landschaften Praktisches Beispiel: Implementierung und Konfiguration eines LAN-Sicherheitskonzeptes über IEEE 802.1X
in Verbindung mit Active Directory, Windows XP und IDS
Produktsituation Switches WLAN Access Points Native Clients (Supplicants) Supplicants für Windows und Linux Was ist mit PDAs? Was ist mit VoIP-Phones?