Durchführungen

03.06.-04.06.2019 in Düsseldorf
07.10.-08.10.2019 in Stuttgart

Preis

1.590,00 € netto (zweitägig)


 Buchungsergänzungen»

Netzzugangskontrolle: Technik, Planung und Betrieb

Dieses Seminar liefert das notwendige Rüstzeug für Planung, Implementierung und Betrieb einer NAC-Lösung und stellt die Kernaufgaben in Theorie und Praxis dar.



IEEE 802.1X liefert die Schlüsseltechnologie für die Netzzugangskontrolle (Network Access Control, NAC) und damit einen entscheidenden Beitrag zur Sicherheit im Netzwerk. Basis ist das Extensible Authentication Protocol (EAP), das eine einheitliche Schnittstelle für die Abwicklung unterschiedlichster Authentisierungsmethoden bietet. IEEE 802.1X erlaubt nicht nur einen zentral gesteuerten Zugang von Endgeräten zu Netzwerken sondern auch die Trennung von Benutzergruppen für den Aufbau mandantenfähiger Netzwerke. Somit bietet IEEE 802.1X und die damit verbundenen Technologien ein sehr weites Spektrum an Netzwerk-Sicherheit: vom Gastzugang bis hin zur strikten Abschottung von Benutzergruppen.

Typisch ist der Einsatz von IEEE 802.1X im Bereich WLAN/WPA2. Im kabelbasierten LAN nimmt die Häufigkeit des Einsatzes ebenfalls immens zu. Der Aufbau von Netzen mit IEEE 802.1X-Unterstützung ist jedoch nicht trivial. Aus vielfältigen Authentisierungsmethoden und zugehörigen Architekturen ist zu wählen. In der Praxis muss IEEE 802.1X meist mit anderen Techniken kombiniert werden, z.B. einer MAC-Adress-basierten Zugangskontrolle. Die Wirkketten reichen vom Client-Betriebssystem bis hin zum Directory Service und müssen entsprechend beherrscht werden.

Entscheidend für die erfolgreiche Umsetzung einer NAC-Lösung ist daher nicht nur eine solide Planung, sondern auch die rechtzeitige Berücksichtigung von NAC in der Gestaltung der IT-Prozesse, denn ansonsten drohen erhebliche Betriebsaufwände für NAC. Kritisch sind insbesondere die Überwachung der NAC-Lösung und die Beherrschung der vielfältigen Fehlersituationen im Incident Management, damit das Trouble Shooting durch die Komplexität von NAC nicht zum Alptraum wird.

Die in der Praxis weit verbreitetste Version des Standards IEEE 802.1X von 2004 weist für das kabelbasierte LAN gewisse Schwachstellen und Lücken auf, die man im Rahmen einer Einführung einer NAC-Lösung genau kennen und bewerten muss. In der Neuauflage des Standards IEEE 802.1X von 2010 wurden viele dieser Punkte adressiert und insbesondere kann durch die Integration mit IEEE 802.1AE (MAC Security) ein sehr hohes Sicherheitsniveau am LAN-Zugang geschaffen werden.

Weitere Entwicklungen im NAC-Bereich zielen darauf ab, Endgeräte nach einer erfolgten Authentisierung noch einem Compliance Check, d.h. einer Prüfung der Endgerätekonfiguration gegen entsprechende Richtlinien (Policies) zu unterziehen, bevor der gewünschte Zugang in das Firmennetz gestattet wird. Nur wenn ein Endgerät ausreichend gesichert ist, etwa durch aktive Firewall und aktuellen Virenschutz, wird der gewünschte Zugang gewährt.

Inzwischen hat sich neben diversen herstellerspezifischen Lösungen mit Network Endpoint Assessment (NEA) der IETF und Trusted Network Connect (TNC) der Trusted Computing Group (TCG) erstmalig ein Standard für diese Nutzung von NAC herauskristallisiert. Für die Einschätzung dieser Lösungen müssen die zugrundeliegenden Techniken, die sich abzeichnenden Trends und insbesondere die Praxistauglichkeit bewertet werden.

Bedrohungen im kabelbasierten LAN

  • ARP-Spoofing / ARP-Poisoning
  • DHCP Starvation
  • MAC-Spoofing
  • MAC Flooding
  • Rogue DHCP Server
  • Angriffe auf VLAN

Authentisierung: Ein Kurzüberblick über Techniken und Protokolle

  • Passwort-basierte Authentisierung und ihre Grenzen
  • Challenge-Response-Verfahren
  • Starke Authentisierung
  • Einfache oder gegenseitige Authentisierung

IEEE 802.1X

  • Grundprinzip einer Netzzugangskontrolle
  • Funktionsweise von IEEE 802.1X
  • Komponenten, Schnittstellen, Protokolle und Funktionsweisen
  • Das Extensible Authentication Protocol (EAP) als zentraler Baustein
  • MAC-Adress-Authentisierung und IEEE 802.1X
  • Erweiterungen von IEEE 802.1X
  • Grenzen von IEEE 802.1X-2004 und Ausblick auf IEEE 802.1X-2010

Authentisierungstechniken

  • Funktionsweise von EAP
  • Im Dschungel der EAP-Methoden
  • EAP-Methoden im Detail: wie funktionieren einfache Methoden wie EAP-MD5, zertifikatsbasierte Authentisierung mit EAP-TLS, Authentisierung im Tunnel mit EAP-FAST und PEAP, wie
    aufwendig ist der Betrieb und welches Sicherheitsniveau kann erreicht werden
  • Maschinenauthentisierung und Benutzerauthentisierung: Einsatzszenarien und Fallstricke
  • Starke Verknüpfung einer Maschinen- und Benutzerauthentisierung mittels TEAP
  • MAC-Adress-Authentisierung im Detail

RADIUS – die Grundlagen

  • Das Protokoll RADIUS im Detail
  • Diameter das nachfolge Protokoll von RADIUS, Vorteile und Einsatzgebiete
  • Autorisierung von Mandanten durch dynamische VLAN-Zuweisung und/oder Access Control Lists (ACLs)

Zertifikatsbasierte Authentisierung – EAP-TLS

  • Grundlage EAP-TLS
  • Schwachstellen in Bezug auf TLS und die Auswirkungen auf EAP-TLS
  • Public Key Infrastructure und Zertifikats-Roaming

Umsetzung Network Access Control

  • Heterogene Client-Landschaften und deren Auswirkungen auf NAC
  • Zonierung – Trennung von Nutzergruppen und mandantenfähige LANs mittels Autorisierung durch RADIUS
  • Planung und Einführung von IEEE 802.1X, Vorgehensweise bei Umsetzung eines NAC Projektes
  • Projektbeispiele basierend auf Unterschiedlichen NAC Lösungen
  • Alternativen zu IEEE802.1X – SNMP basierte Netzzugangskontrolle mittels NAC Appliances
  • Evolution von NAC – Profiling, Endpoint Compliance

Auswirkungen auf Endgeräte

  • Anforderungskatalog – NAC-tauglichkeit von Endgeräten
  • Windows Supplicant im Detail
  • Windows Supplicant Rollout – GPO vs Softwareverteilung
  • Endgerätebetankung bei Verwendung von NAC – Wake-on-LAN und PXE-Boot
  • Einschränkungen beim Einsatz von Virtualisierungslösungen in NAC-Umgebungen
  • Kaskadierung von VoIP und Notebook / Desktop
  • Anforderungen und Ist-Situation weiterer Endgeräte (z.B. Server, VoIP, Drucker und Multifunktionsgeräte, Desktop Switches, etc.)

IEEE 802.1X Authenticator (Access Switches)

  • Die wichtigsten Funktionen eines IEEE 802.1X Authenticators
  • Authentisierungsreihenfolge, Default Policy, Host-Modi
  • Timing
  • Reauthentisierung
  • Accounting
  • RADIUS-failed Policy

IEEE-802.1AE – MACsec

  • Funktionsweise von MACsec
  • Integritätsprüfung und Abwehr von Spoofing-Angriffen
  • Datenverschlüsselung zwischen Client und Switch
  • Datenverschlüsselung zwischen 2 Switches zur Absicherung von Dark-Fibre mittels MACsec
  • Voraussetzungen und Limitierungen

NAC – Server

  • Marktüberblick RADIUS-Server
  • RADIUS-Server Konfiguration für NAC am Beispiel von FreeRADIUS, Microsoft NPS und Cisco ISE und Extreme Control
  • Directory Integration (LDAP und Active Directory): Wie unterscheiden sich die Produkte?
  • Monitoring der NAC-Lösung: Was muss der RADIUS-Server leisten und wie unterscheiden sich die Produkte?
  • Welchen Mehrwert hat RADIUS Accounting

NAC Trouble Shooting

  • Überwachung zentraler Komponenten
  • Fehlerquelle Endgerät, Switch, RADIUS-Server und Directory
  • Typische Fehlersituationen: Erkennung der Symptome und Möglichkeiten zur Behebung

In diesem Seminar lernen Sie

  • welchen Bedrohungen Ihr LAN durch die Kopplung mit mobilen Endgeräten und Fremdgeräten ausgesetzt ist
  • wie Sie Ihr Netzwerk durch Einführung einer Netzzugangskontrolle absichern können
  • wie Sie Ihr Netzwerk dynamischer und effizienter gestalten können
  • wie Sie Ihre Netzwerkzonen automatisiert zuweisen können
  • wie Sie Ihr Netzwerk an aktuelle Sicherheitsanforderungen (BSI BASEL2-3 / KRITIS / BAFIN Rundschreiben) anpassen
  • welche Möglichkeiten es zur Zugangskontrolle, zur Trennung von Benutzergruppen und zum Aufbau mandantenfähiger LANs gibt
  • die Konzepte kennen, die für eine port-basierte Zugangskontrolle zum LAN relevant sind
  • wie der Standard IEEE 802.1X arbeitet
  • welche Rolle EAP dabei spielt
  • welche Authentisierungsmethoden über EAP für welches Sicherheitsniveau angemessen sind
  • welche Rolle der RADIUS-Server dabei spielt
  • Vor- und Nachteile verschiedener RADIUS-Server kennen
  • Unterschiede der etablierten Lösungen wie Aruba Clearpass, Cisco ISE, Extreme Control, FreeRadius kennen
  • wie die Herausforderungen seitens verschiedener Endgeräte in Bezug auf NAC aussehen und wie man diese Lösen kann
  • welche Funktionen ein Access Switch unterstützen sollte und wie die verschiedenen IEEE 802.1X Funktionen sich gegenseitig beeinflussen
  • wie eine Infrastruktur für IEEE 802.1X in der Praxis umgesetzt werden kann und welche Probleme dabei gelöst werden müssen
  • welche der etablierten Prozesse im Bereich Netzwerktroubleshooting und Endgeräte-Onboarding erweitert oder neu definiert werden müssen
  • wie ein Monitoring und Troubleshooting einer NAC-Lösung durchgeführt wird und welche typischen Fehlersituationen in der Praxis auftreten und wie mit ihnen umgegangen werden kann
  • wo aktuell die Schwachstellen von IEEE 802.1X liegen und wie Sie diesen begegnen können und welche Rolle IEEE 802.1AE (MACsec) dabei spielt
  • wie weitergehende Dienste zur Prüfung der Endgeräte-Compliance verbunden mit einer entsprechenden Autorisierung realisiert werden können
  • was Network Endpoint Assessment (NEA) und  Trusted Network Connect (TNC) im Detail bedeuten
  • welche herstellerspezifischen Lösungen für Endpoint Assessment existieren

Zielgruppe
Dieses Seminar richtet sich an Administratoren und Projektleiter aus den Bereichen LAN und Informationssicherheit. Grundkenntnisse in Netzwerken und TCP/IP sind erforderlich.

Daniel Prinzen
Daniel Prinzen Zur Profilseite »

Sebastian Wefers
Sebastian Wefers Zur Profilseite »

Das sagen unsere Teilnehmer
  • Sehr gute Dozenten mit Know how aus Theorie und Praxis. Gute Präsentation und bei Fragen immer eine passende Antwort. Hier fühlt man Begeisterung
  • Der Referent hat das Thema sehr gut dargestellt, seine Art und Weise ist 1a, mir ist der rote Faden klar geworden – weiter so!
  • Sehr gut und umfangreich, alle Aspekte abgedeckt
  • Referent hat viel Know-how in der NAC-Materie
  • Vor- und Nachteile von 802.1x sehr gut aufgezeigt.
  • Gute Mischung von Grundlagen bis Anwendung
  • Sehr guter Mix aus Theorie und Praxis/Projekterfahrungen beider Referenten
  • Gute Erklärungen durch Skizzen in den Unterlagen und gute Konfigurationsbeispiele im Anhang
  • Theorie war wirklich sehr gut! Inhalte absolut aktuell, top!
  • Sehr anschauliche Vorträge, gute praktische Vorführungen
  • Hinweise auf herstellerspezifische Besonderheiten sehr wertvoll
  • Als grundsätzlicher Einstieg hervorragend
Die Teilnahmegebühr umfasst die folgenden Leistungen:
  • alle Vortragspräsentationen in elektronischer Form als PDF-Datei zum Download mit kommentierbarer Funktion
  • ein Teilnahmezertifikat
  • ein gemeinsames Abendessen am ersten Veranstaltungstag
  • Mittagsmenüs inkl. Getränke an allen Veranstaltungstagen
  • Erfrischungsgetränke und Pausensnacks während der Veranstaltung

Veranstaltungsorte und -zeiten:
Leonardo Royal Hotel Düsseldorf Königsallee

Beginn am 03.06.2019 um 10:00, an allen Folgetagen um 9:00
Ende am 04.06.2019 um 16:00

Holiday Inn Stuttgart

Beginn am 07.10.2019 um 10:00, an allen Folgetagen um 9:00
Ende am 08.10.2019 um 16:00

Detaillierte Informationen zum Hotel und zur Anreise entnehmen Sie bitte dem jeweiligen Hotel-Link.

Übernachtungsmöglichkeiten:

Während unserer Veranstaltungen stehen Ihnen begrenzte Zimmerkontingente in der Regel bis vier Wochen vor Veranstaltungstermin zu unseren mit dem Hotel vereinbarten Sonderpreisen zur Verfügung (Keine Tiefstpreis-Garantie). Bitte beachten Sie, dass insbesondere bei kurzfristigen Buchungen diese Preise nicht immer gewährt werden können oder das Veranstaltungshotel sogar ausgebucht sein kann. Gerne informieren wir Sie über die aktuellen Konditionen:

Leonardo Royal Hotel Düsseldorf Königsallee

vom 02.06. bis 04.06.2019 Übernachtung inkl. Frühstück: 149,00 €/Nacht

Holiday Inn Stuttgart

vom 06.10. bis 08.10.2019 Übernachtung inkl. Frühstück: 142,00 €/Nacht

Falls die Zimmerbuchung durch uns veranlasst werden soll, vermerken Sie Ihren Zimmerwunsch bitte bei Ihrer Anmeldung. Die Buchung erfolgt dann im Namen und auf Rechnung des jeweiligen Teilnehmers/Auftragsgebers.

Wir empfehlen Ihnen, eine Kreditkarte mit sich zu führen oder dem Hotel die Kostenübernahme durch Ihr Unternehmen im Vorfeld zu bestätigen.

Mit Ihrer Buchung können Sie folgende Materialien zusätzlich erwerben:
  • Seminarunterlagen
    Im Seminarpreis sind die Vortragspräsentationen in elektronischer Form (als PDF-Datei zum Download mit kommentierbarer Funktion) enthalten. Sollten Sie darüber hinaus die Seminarunterlagen in ausgedruckter Papierform im ComConsult-Ordner wünschen, berechnen wir einen Aufpreis.
    49,00 €

Sie finden diese Veranstaltung interessant? Vielleicht interessiert Sie auch

Wireless LAN professionell 18.03.-20.03.19 in Bonn

Dieses Seminar vermittelt den aktuellen Stand der WLAN-Technik und zeigt die in der Praxis verwendeten Methoden für Aufbau, LAN-Integration, Betrieb und Optimierung von WLANs im Enterprise-Bereich auf. Die verschiedenen WLAN-Varianten werden analysiert, die Markt- und Produktsituation bewertet, und Empfehlungen für eine optimale Auswahl gegeben. Die für WLAN relevanten technischen Bereiche werden dabei von nachrichtentechnischen Aspekten der Funkübertragung bis hin zur Erstellung eines WLAN-Sicherheitskonzepts vertieft behandelt. Planungsmethoden und der Einsatz moderner Planungswerkzeuge werden vorgestellt. Das Netzmanagement von WLAN erfordert den Einsatz spezifischer Analyse- und Messwerkzeuge, deren Einsatz abschließend erläutert wird.

TCP/IP-Netze erfolgreich betreiben 13.03.-15.03.19 in Regensburg

IP ist die Grundlage jeglicher Rechnerkommunikation. Neben IPv4 gewinnt IPv6 zunehmend an Bedeutung. Für den erfolgreichen Betrieb von IP Netzen ist es unabdingbar beide Protokolle zu verstehen und zu beherrschen. Die Protokolle TCP und UDP bilden die Basis jeder Anwendungskommunikation. Der Kurs vermittelt praxisnah das notwendige Wissen und grundsätzliche Kenntnisse über Routingprotokolle, DHCP und DNS.

Trouble-Shooting-Praxis für Netzwerk und Anwendungen 03.06.-07.06.19 in Aachen

In diesem Seminar vermitteln erfahrene Experten das Grundwissen für die erfolgreiche Problemanalyse im Netzwerk. Dabei betrachten sie alle Ebenen, angefangen bei LAN und WLAN bis hin zur eigentlichen Anwendung. Besonderen Wert legen sie auf die Praxis mit dem Protokollanalysator. Freuen Sie sich also auf ein wenig Hands-on Experience.