Durchführungen

03.03.-04.03.2020 in Bad Neuenahr
16.06.-17.06.2020 in Seeheim
06.10.-07.10.2020 in Bonn

Preis

1.590,00 € netto (zweitägig)

 Buchungsergänzungen»

Inhouse-Anfrage

Netzzugangskontrolle (Network Access Control, NAC): Plan – Build – Run

In diesem Seminar vermitteln Top-Experten für NAC auf der Basis jahrelanger Projektpraxis das notwendige Rüstzeug für Planung, Implementierung und Betrieb einer NAC-Lösung. Damit ist dieses Seminar ein Muss für alle, die mit Aufgaben im Zusammenhang mit der Planung, der Implementierung und dem Betrieb von Netzzugangsprotokolle betraut sind. Zahlreiche Beispiele aus der Praxis und aus realen Netzen runden die Darstellung der Funktionsweise und der Protokolle für Network Access Control ab.



IEEE 802.1X liefert die Schlüsseltechnologie für die Netzzugangskontrolle (Network Access Control, NAC) und damit einen entscheidenden Beitrag zur Sicherheit im Netzwerk. Basis ist das Extensible Authentication Protocol (EAP), das eine einheitliche Schnittstelle für die Abwicklung unterschiedlichster Authentisierungsmethoden bietet. IEEE 802.1X erlaubt nicht nur einen zentral gesteuerten Zugang von Endgeräten zu Netzwerken, sondern auch die Trennung von Benutzergruppen für den Aufbau mandantenfähiger Netzwerke. Somit bietet IEEE 802.1X und die damit verbundenen Technologien ein sehr weites Spektrum an Netzwerk-Sicherheit: vom Gastzugang bis hin zur strikten Abschottung von Benutzergruppen. 

Typisch ist der Einsatz von IEEE 802.1X im Bereich WLAN/WPA2. Im kabelbasierten LAN nimmt die Häufigkeit des Einsatzes ebenfalls immens zu. Der Aufbau von Netzen mit IEEE 802.1X-Unterstützung ist jedoch nicht trivial. Aus vielfältigen Authentisierungsmethoden und zugehörigen Architekturen ist zu wählen. In der Praxis muss IEEE 802.1X meist mit anderen Techniken kombiniert werden, z.B. einer MAC-Adress-basierten Zugangskontrolle. Die Wirkketten reichen vom Client-Betriebssystem bis hin zum Directory Service und müssen entsprechend beherrscht werden. 

Entscheidend für die erfolgreiche Umsetzung einer NAC-Lösung ist daher nicht nur eine solide Planung, sondern auch die rechtzeitige Berücksichtigung von NAC in der Gestaltung der IT-Prozesse, denn ansonsten drohen erhebliche Betriebsaufwände für NAC. Kritisch sind insbesondere die Überwachung der NAC-Lösung und die Beherrschung der vielfältigen Fehlersituationen im Incident Management, damit das Trouble Shooting durch die Komplexität von NAC nicht zum Alptraum wird. 

Die in der Praxis weit verbreitetste Version des Standards IEEE 802.1X von 2004 weist für das kabelbasierte LAN gewisse Schwachstellen und Lücken auf, die man im Rahmen einer Einführung einer NAC-Lösung genau kennen und bewerten muss. In der Neuauflage des Standards IEEE 802.1X von 2010 wurden viele dieser Punkte adressiert und insbesondere kann durch die Integration mit IEEE 802.1AE (MAC Security) ein sehr hohes Sicherheitsniveau am LAN-Zugang geschaffen werden. 

Weitere Entwicklungen im NAC-Bereich zielen darauf ab, Endgeräte nach einer erfolgten Authentisierung noch einem Compliance Check, d.h. einer Prüfung der Endgerätekonfiguration gegen entsprechende Richtlinien (Policies) zu unterziehen, bevor der gewünschte Zugang in das Firmennetz gestattet wird. Nur wenn ein Endgerät ausreichend gesichert ist, etwa durch aktive Firewall und aktuellen Virenschutz, wird der gewünschte Zugang gewährt. 

Inzwischen hat sich neben diversen herstellerspezifischen Lösungen mit Network Endpoint Assessment (NEA) der IETF und Trusted Network Connect (TNC) der Trusted Computing Group (TCG) erstmalig ein Standard für diese Nutzung von NAC herauskristallisiert. Für die Einschätzung dieser Lösungen müssen die zugrundeliegenden Techniken, die sich abzeichnenden Trends und insbesondere die Praxistauglichkeit bewertet werden. 

Inhalte

Bedrohungen im kabelbasierten LAN 

  • ARP-Spoofing / ARP-Poisoning 
  • DHCP Starvation 
  • MAC-Spoofing 
  • MAC Flooding 
  • Rogue DHCP Server 
  • Angriffe auf VLAN 

Authentisierung: Ein Kurzüberblick über Techniken und Protokolle 

  • Passwort-basierte Authentisierung und ihre Grenzen 
  • Challenge-Response-Verfahren 
  • Starke Authentisierung 
  • Einfache oder gegenseitige Authentisierung 

IEEE 802.1X 

  • Grundprinzip einer Netzzugangskontrolle 
  • Funktionsweise von IEEE 802.1X
  • Komponenten, Schnittstellen, Protokolle und Funktionsweisen
  • Das Extensible Authentication Protocol (EAP) als zentraler Baustein
  • MAC-Adress-Authentisierung und IEEE 802.1X 
  • Erweiterungen von IEEE 802.1X 
  • Grenzen von IEEE 802.1X-2004 und Ausblick auf IEEE 802.1X-2010 

Authentisierungstechniken 

  • Funktionsweise von EAP
  • Im Dschungel der EAP-Methoden 
  • EAP-Methoden im Detail: wie funktionieren einfache Methoden wie EAP-MD5, zertifikatsbasierte Authentisierung mit EAP-TLS, Authentisierung im Tunnel mit EAP-FAST und PEAP, wie aufwendig ist der Betrieb und welches Sicherheitsniveau kann erreicht werden 
  • Maschinenauthentisierung und Benutzerauthentisierung: Einsatzszenarien und Fallstricke 
  • Starke Verknüpfung einer Maschinen- und Benutzerauthentisierung mittels TEAP 
  • MAC-Adress-Authentisierung im Detail 

RADIUS – die Grundlagen 

  • Das Protokoll RADIUS im Detail 
  • Diameter das nachfolge Protokoll von RADIUS, Vorteile und Einsatzgebiete 
  • Autorisierung von Mandanten durch dynamische VLAN-Zuweisung und/oder Access Control Lists (ACLs)

Zertifikatsbasierte Authentisierung – EAP-TLS 

  • Grundlage EAP-TLS 
  • Schwachstellen in Bezug auf TLS und die Auswirkungen auf EAP-TLS 
  • Public Key Infrastructure und Zertifikats-Roaming 

Umsetzung Network Access Control 

  • Heterogene Client-Landschaften und deren Auswirkungen auf NAC 
  • Zonierung – Trennung von Nutzergruppen und mandantenfähige LANs mittels Autorisierung durch RADIUS 
  • Planung und Einführung von IEEE 802.1X, Vorgehensweise bei Umsetzung eines NAC Projektes 
  • Projektbeispiele basierend auf Unterschiedlichen NAC Lösungen 
  • Alternativen zu IEEE802.1X – SNMP basierte Netzzugangskontrolle mittels NAC Appliances 
  • Evolution von NAC – Profiling, Endpoint Compliance 

Auswirkungen auf Endgeräte 

  • Anforderungskatalog – NAC-tauglichkeit von Endgeräten 
  • Windows Supplicant im Detail 
  • Windows Supplicant Rollout – GPO vs Softwareverteilung 
  • Endgerätebetankung bei Verwendung von NAC – Wake-on-LAN und PXE-Boot 
  • Einschränkungen beim Einsatz von Virtualisierungslösungen in NAC-Umgebungen 
  • Kaskadierung von VoIP und Notebook / Desktop 
  • Anforderungen und Ist-Situation weiterer Endgeräte (z.B. Server, VoIP, Drucker und Multifunktionsgeräte, Desktop Switches, etc.) 

IEEE 802.1X Authenticator (Access Switches) 

  • Die wichtigsten Funktionen eines IEEE 802.1X Authenticators 
  • Authentisierungsreihenfolge, Default Policy, Host-Modi 
  • Timing 
  • Reauthentisierung 
  • Accounting 

RADIUS-failed Policy 

  • IEEE-802.1AE – MACsec 
  • Funktionsweise von MACsec 
  • Integritätsprüfung und Abwehr von Spoofing-Angriffen 
  • Datenverschlüsselung zwischen Client und Switch 
  • Datenverschlüsselung zwischen 2 Switches zur Absicherung von Dark-Fibre mittels MACsec 
  • Voraussetzungen und Limitierungen 

NAC – Server 

  • Marktüberblick RADIUS-Server 
  • RADIUS-Server Konfiguration für NAC am Beispiel von FreeRADIUS, Microsoft NPS und Cisco ISE und Extreme Control 
  • Directory Integration (LDAP und Active Directory): Wie unterscheiden sich die Produkte? 
  • Monitoring der NAC-Lösung: Was muss der RADIUS-Server leisten und wie unterscheiden sich die Produkte? 
  • Welchen Mehrwert hat RADIUS Accounting 

NAC Trouble Shooting 

  • Überwachung zentraler Komponenten 
  • Fehlerquelle Endgerät, Switch, RADIUS-Server und Directory 

Typische Fehlersituationen: Erkennung der Symptome und Möglichkeiten zur Behebung 

In dieser Veranstaltung wird mit Ihnen diskutiert: 

  • welchen Bedrohungen Ihr LAN durch die Kopplung mit mobilen Endgeräten und Fremdgeräten ausgesetzt ist, 
  • wie Sie Ihr Netzwerk durch Einführung einer Netzzugangskontrolle absichern können, 
  • wie Sie Ihr Netzwerk dynamischer und effizienter gestalten können, 
  • wie Sie Ihre Netzwerkzonen automatisiert zuweisen können, 
  • wie Sie Ihr Netzwerk an aktuelle Sicherheitsanforderungen (BSI BASEL2-3 / KRITIS / BAFIN Rundschreiben) anpassen, 
  • welche Möglichkeiten es zur Zugangskontrolle, zur Trennung von Benutzergruppen und zum Aufbau mandantenfähiger LANs gibt, 
  • die Konzepte kennen, die für eine port-basierte Zugangskontrolle zum LAN relevant sind, 
  • wie der Standard IEEE 802.1X arbeitet, 
  • welche Rolle EAP dabei spielt, 
  • welche Authentisierungsmethoden über EAP für welches Sicherheitsniveau angemessen sind, 
  • welche Rolle der RADIUS-Server dabei spielt, 
  • welche Vor- und Nachteile verschiedene RADIUS-Server haben, 
  • Welche Unterschiede der etablierten Lösungen wie Aruba Clearpass, Cisco ISE, Extreme Control, FreeRadius zu berücksichtigen sind, 
  • wie die Herausforderungen durch verschiedene Endgeräte in Bezug auf NAC aussehen und wie man diese meistern kann, 
  • welche Funktionen ein Access Switch unterstützen sollte und wie die verschiedenen IEEE 802.1XFunktionen sich gegenseitig beeinflussen, 
  • wie eine Infrastruktur für IEEE 802.1X in der Praxis umgesetzt werden kann und welche Probleme dabei gelöst werden müssen, 
  • welche der etablierten Prozesse im Bereich Netzwerktroubleshooting und Endgeräte-Onboarding erweitert oder neu definiert werden müssen, 
  • wie ein Monitoring und Troubleshooting einer NAC-Lösung durchgeführt wird und welche typischen Fehlersituationen in der Praxis auftreten und wie mit ihnen umgegangen werden kann, 
  • wo aktuell die Schwachstellen von IEEE 802.1X liegen und wie Sie diesen begegnen können und welche Rolle IEEE 802.1AE (MACsec) dabei spielt, 
  • wie weitergehende Dienste zur Prüfung der Endgeräte-Compliance verbunden mit einer entsprechenden Autorisierung realisiert werden können, 
  • was Network Endpoint Assessment (NEA) und  Trusted Network Connect (TNC) im Detail bedeuten, 
  • welche herstellerspezifischen Lösungen für Endpoint Assessment existieren 

Zielgruppe

  • Netzadministratoren 
  • Verantwortliche für Netz- und IT-Sicherheit 
  • Planer und Betreiber von Netz- und Security-Lösungen 
  • Projektleiter für Netz und IT-Sicherheit 

Dieses Seminar richtet sich an Administratoren und Projektleiter aus den Bereichen LAN und Informationssicherheit. Grundkenntnisse in Netzwerken und TCP/IP sind erforderlich. 

Skill Level

  • Fortgeschrittene
Daniel Prinzen
Daniel Prinzen Zur Profilseite »

Sebastian Wefers
Sebastian Wefers Zur Profilseite »

Das sagen unsere Teilnehmer
  • Sehr gute Dozenten mit Know how aus Theorie und Praxis. Gute Präsentation und bei Fragen immer eine passende Antwort. Hier fühlt man Begeisterung
  • Der Referent hat das Thema sehr gut dargestellt, seine Art und Weise ist 1a, mir ist der rote Faden klar geworden – weiter so!
  • Sehr gut und umfangreich, alle Aspekte abgedeckt
  • Referent hat viel Know-how in der NAC-Materie
  • Vor- und Nachteile von 802.1x sehr gut aufgezeigt.
  • Gute Mischung von Grundlagen bis Anwendung
  • Sehr guter Mix aus Theorie und Praxis/Projekterfahrungen beider Referenten
  • Gute Erklärungen durch Skizzen in den Unterlagen und gute Konfigurationsbeispiele im Anhang
  • Theorie war wirklich sehr gut! Inhalte absolut aktuell, top!
  • Sehr anschauliche Vorträge, gute praktische Vorführungen
  • Hinweise auf herstellerspezifische Besonderheiten sehr wertvoll
  • Als grundsätzlicher Einstieg hervorragend
Die Teilnahmegebühr umfasst die folgenden Leistungen:
  • alle Vortragspräsentationen in elektronischer Form als PDF-Datei zum Download mit kommentierbarer Funktion
  • ein Teilnahmezertifikat
  • ein gemeinsames Abendessen am ersten Veranstaltungstag
  • Mittagsmenüs inkl. Getränke an allen Veranstaltungstagen
  • Erfrischungsgetränke und Pausensnacks während der Veranstaltung

Veranstaltungsorte und -zeiten:
Steigenberger Hotel

Beginn am 03.03.2020 um 10:00, an allen Folgetagen um 9:00
Ende am 04.03.2020 um 16:00

Tagungshotel Lufthansa Seeheim

Beginn am 16.06.2020 um 10:00, an allen Folgetagen um 9:00
Ende am 17.06.2020 um 16:00

Hilton Bonn

Beginn am 06.10.2020 um 10:00, an allen Folgetagen um 9:00
Ende am 07.10.2020 um 16:00

Detaillierte Informationen zum Hotel und zur Anreise entnehmen Sie bitte dem jeweiligen Hotel-Link.

Übernachtungsmöglichkeiten:

Während unserer Veranstaltungen stehen Ihnen begrenzte Zimmerkontingente in der Regel bis vier Wochen vor Veranstaltungstermin zu unseren mit dem Hotel vereinbarten Sonderpreisen zur Verfügung (Keine Tiefstpreis-Garantie). Bitte beachten Sie, dass insbesondere bei kurzfristigen Buchungen diese Preise nicht immer gewährt werden können oder das Veranstaltungshotel sogar ausgebucht sein kann. Gerne informieren wir Sie über die aktuellen Konditionen:

Steigenberger Hotel

vom 02.03. bis 04.03.2020 Übernachtung inkl. Frühstück: 109,00 €/Nacht

Tagungshotel Lufthansa Seeheim

vom 15.06. bis 17.06.2020 Übernachtung inkl. Frühstück: 125,00 €/Nacht

Hilton Bonn

vom 05.10. bis 07.10.2020 Übernachtung inkl. Frühstück: 143,00 €/Nacht

Falls die Zimmerbuchung durch uns veranlasst werden soll, vermerken Sie Ihren Zimmerwunsch bitte bei Ihrer Anmeldung. Die Buchung erfolgt dann im Namen und auf Rechnung des jeweiligen Teilnehmers/Auftragsgebers.

Wir empfehlen Ihnen, eine Kreditkarte mit sich zu führen oder dem Hotel die Kostenübernahme durch Ihr Unternehmen im Vorfeld zu bestätigen.

Mit Ihrer Buchung können Sie folgende Materialien zusätzlich erwerben:
  • Seminarunterlagen
    Im Seminarpreis sind die Vortragspräsentationen in elektronischer Form (als PDF-Datei zum Download mit kommentierbarer Funktion) enthalten. Sollten Sie darüber hinaus die Seminarunterlagen in ausgedruckter Papierform im ComConsult-Ordner wünschen, berechnen wir einen Aufpreis. Eine Bestellung der ausgedruckten Unterlagen ist nur bis 7 Tage vor Veranstaltungsbeginn aus produktionstechnischen Gründen möglich.
    49,00 €

Sie finden diese Veranstaltung interessant? Vielleicht interessiert Sie auch

Wireless LAN (WLAN): Plan – Build – Run 11.11.-13.11.2019 in Stuttgart

In diesem Seminar vermitteln WLAN-Experten mit langjähriger Projekterfahrung das wichtigste Wissen für die Planung, den Aufbau und den Betrieb eines Wireless Local Area Network (WLAN). Einer Erläuterung der verschiedenen Generationen von WLAN-Standards gemäß IEEE 802.11 folgen praxisbezogene Tipps für die Zellplanung, die Integration von WLAN in das unternehmensweite Netz, die Absicherung von WLAN, die Berücksichtigung von Echtzeitapplikationen wie Voice im drahtlosen Netz sowie das Management und die Messtechnik. Besondere Erwähnung findet Industrie-WLAN mit hohen Anforderungen an die Robustheit der Komponenten, die Zuverlässigkeit der Übertragung und die Verfügbarkeit der Infrastruktur. Fallbeispiele aus realen WLAN-Installationen runden das Programm ab.

Fehlersuche in lokalen Netzen – Praxisseminar 11.-15.11.19 in Aachen

In diesem Seminar vermitteln erfahrene Experten das Grundwissen für die erfolgreiche Problemanalyse im Netzwerk. Dabei betrachten sie alle Ebenen, angefangen bei LAN und WLAN bis hin zur eigentlichen Anwendung. Besonderen Wert legen sie auf die Praxis mit dem Protokollanalysator. Freuen Sie sich also auf ein wenig Hands-on Experience.

Winterschule – Neueste Trends der IT-Infrastruktur 02.-06.12.19 in Aachen

Die ComConsult Winterschule 2019 fasst in 5 kompakten Tagen alle wichtigen Entwicklungen des Jahres im Bereich IT-Infrastruktur zusammen. Berater und Referenten der ComConsult nutzen ihre Erfahrungen, um Ihnen Einblick in die Projekte zu gewähren, die im Laufe des Jahres die IT-Infrastruktur in vielen Unternehmen geprägt haben. Die Vorträge sind aus den Bereichen Cloud, Rechenzentrum, Digitalisierung, Arbeitsplatz der Zukunft, Unified Communications & Collaboration (UCC), Netze und IT-Sicherheit. Auf der Winterschule haben die Teilnehmer die Gelegenheit, mit Experten in allen relevanten Feldern der IT-Infrastruktur zu diskutieren. Die Praxisdemonstration Netzsicherheit rundet das Programm ab.