Network Admission Control på MdH

MÄLARDALENS HÖGSKOLA Examensarbete 1(24) Network Admission Control på MdH Mälardalens Högskola Västerås 2006-06-01 CT2550 Handledare: Conny Collander. Malm Fredrik, 791001-6976, fmm00001 Graversen Jörgen, 780616-7099, jgn02003

MÄLARDALENS HÖGSKOLA Examensarbete 2(24) 1 Sammanfattning... 3 2 Abstract... 3 3 Förord... 4 4 Bakgrund och syfte... 4 4.1 Syfte... 4 4.2 Bakgrund... 4 5 Avgränsning... 4 5.1 Utförande, avgränsning och uppdelning... 4 6 Relevant teori... 5 6.1 Network Admission Control... 5 6.1.1 Dataflöde för NAC... 6 6.1.2 Tillståndslägen... 7 6.1.3 Varianter... 7 6.1.3.1 NAC L3 IP... 7 6.1.3.2 NAC L2 IP... 7 6.1.3.3 NAC L2 802.1x... 7 6.1.4 Access Control Server... 8 6.1.5 Cisco Trust Agent... 9 6.1.6 Network Access Device... 9 6.1.7 Agentlösa klienter... 9 6.2 IEEE 802.1x... 10 6.2.1 Microsoft 802.1x... 10 6.2.2 EAP... 11 6.2.2.1 Dataflöde för EAP... 11 6.2.2.2 PEAP... 12 6.2.2.3 EAP-MSCHAPv2... 12 6.2.2.4 EAP-GTC... 12 6.2.2.5 EAP-FAST... 13 7 Problemformulering...13 8 Analys av problem...13 8.1 Skolans nät idag... 13 9 Testfas...16 9.1 Fas ett av testningen... 17 9.2 Fas två av testningen... 18 9.3 Fas tre av testningen... 18 10 Lösningsförslag...19 10.1 Åtgärder gällande switchar... 19 10.2 Placering av ACS server... 19 10.3 Klienter... 19 10.4 Agentlösa klienter... 19 10.5 Konfiguration av accesswitchar... 19 10.6 Problem vid implementation... 20 11 Framtida arbeten...21 12 Slutsats...21 13 Referenser...23

MÄLARDALENS HÖGSKOLA Examensarbete 3(24) 1 Sammanfattning Nätverkssäkerhet är något som blir allt viktigare för företag och organisationer. I takt med att datoranvändare blir mer mobila ställas högre krav på säkerhet. För att undvika otillåtet utnyttjande av nätverket måste nätverksadministratörer och ITpersonal på ett effektivt sätt kunna kontrollera vem eller vilka som använder nätverket. I detta examensarbete har Ciscos Network Admisson Control (NAC) undersökts. (NAC är en ledande teknik för att kontrollera nätverksaccess). Undersökningen har skett på uppdrag av Mälardalens Högskolans (MdH) IT-avdelning och Serviceavdelningen. Resultatet av undersökningen är denna rapport. Rapporten är i första hand är en teknisk beskrivning av hur NAC och dess olika beståndsdelar fungerar. Vidare beskriver rapporten hur NAC testades i en liten labbmiljö samt vilka slutsatser som drogs med testningen som underlag. Testningen ligger även till grund för sista delen av rapporten som är slutsatser angående NAC. 2 Abstract Network security is a growing issue for companies and organizations. As more computer users gets mobile the demand for higher security rises. To avoid unauthorized usage of the computer network the network administrators and ITdepartment has to be able to limit and control who or what has access to the network. In this final thesis Cisco s Network Admission Control (NAC) has been evaluated. (NAC is a leading framework for network access control). The project has been issued by Mälardalens Högskola (MdH) IT-department and Service department. The result of the project is this thesis. The main purpose of the report is to serve as a technical guide how NAC and its components works. Furthermore the report will describe how a small test environment was set up to test NAC and what conclusions were drawn. This test is also the basis of the last part of the report which deals with conclusions regarding NAC.

MÄLARDALENS HÖGSKOLA Examensarbete 4(24) 3 Förord Till att börja med vill vi tacka våran handledare Conny Collander för gott samarbete. Vidare vill vi tacka Gunnar Ågren för information om hur MdHs nätverk är uppbyggt. Vi vill även tacka konsultföretaget Ementor för den information de bidragit med. Slutligen vill vi tacka Symantec samt Hossein Azdanlou samt Mika Puurunen på MdHs IT-avdelning. 4 Bakgrund och syfte Följande stycken är till för att beskriva Examensarbetes bakgrund och syfte. 4.1 Syfte Syftet med examensarbetet är att undersöka hur Network Admisson Control (NAC) fungerar samt hur det skulle kunna implementeras i Mälardalens Högskolas datornätverk. 4.2 Bakgrund Idag saknar skolans datornätverk metoder för att autentisering av dess användare. Detta betyder att i princip vem som helst kan koppla in sin dator i ett ledigt nätverksuttag och sedan fritt använda skolans nätverksresurser. Skolans nät saknar också teknik för att kontrollera att datorerna som ansluter till nätverket har rätt antivirusskydd, typ av operativsystem, säkerhetsuppdateringar m.m. För att råda bot på detta har IT-avdelning på MdH börjat se sig om efter möjliga lösningar för att kontrollera detta. Det finns ett antal lösningar på marknaden som erbjuder detta. Bland annat har Nortel en lösning som heter Secure Network Access Solution (SNAS) och Symantec har sin Symantec Sygate Enterprise Protection produkt med NAC funktionalitet[19][28]. Denna rapport inriktar sig dock på Ciscos lösning, Cisco Network Admission Control (NAC). För att undersöka om NAC är lämpligt för skolans nätverksmiljö har en förstudie lagts ut på uppdrag av IT-avdelningen och serviceavdelningen i form av ett examensarbete. 5 Avgränsning Följande stycken är till för att beskriva examensarbetets avgränsning. 5.1 Utförande, avgränsning och uppdelning Network Admission Control (NAC) är ett stort område som berör många delar inom nätverkstekniken, t ex hårdvaru- och användarautentisering, antiviruslösningar, säkerhetsuppdateringssystem, loggning mm. Därför är en avgränsning nödvändig då examensarbetet är begränsat till 10 veckors heltidsarbete. Examensarbetet har begränsats till följande områden: Standard 802.1x för autentisering av användare i nätverket. 802.1x tillsammans med intern och extern tillståndsvalidering. Dvs. intern tillståndsvalidering med hjälp av Ciscos Access Control Servers (ACS) inbyggda funktioner och extern med hjälp av antiviruslösning från tredjepartstillverkare.

MÄLARDALENS HÖGSKOLA Examensarbete 5(24) Examensarbetet är uppdelat i tre faser. Förstudie En förstudie med inhämtade av information och material angående Network Admisson Control. Under denna fas bestämdes även vilken nödvändig hårdvara och mjukvara som behövdes för testfasen. Testning En testfas i labbmiljö där följande områden testas Standard 802.1x med ACS interna databas 802.1x tillsammans med Cisco Trust Agent (CTA) med Active Directory (AD) som extern databas. 802.1x tillsammans med Cisco Trust Agent, Active Directory (AD) intern och extern tillståndsvalidering med hjälp av antivirusprogramvara. Rapportskrivning En rapport som i första hand beskriver examensarbetet, det vill säga en teknisk rapport om NAC. Rapporten kommer också att ta upp fördelar, möjligheter och nackdelar med NAC 6 Relevant teori Följande stycke är menat ge en snabb inblick i hur Network Admisson Control (NAC) fungerar samt dess beståndsdelar. 6.1 Network Admission Control Network Admission Control är en uppsättning teknologier framtagna av ett branschinitiativ lett av Cisco Systems[1]. NAC är till för att säkerhetsställa att klienter som söker tillgång till nätverket uppfyller vissa säkerhetspolicys. Syftet är att skydda nätverket och dess användare från virus, maskar och spionprogram genom att tvinga klienter att ha uppdaterade virusskydd och operativsystempatchar. Till exempel kan nätverksaccessen begränsas eller helt strypas om klienten inte har en viss version av ett visst antivirusprogram. En klient som ej uppfyller alla kraven kan släppas in på ett karantän-nät som är avskiljt från resterande nätet. I detta karantän-nät kan klienten uppdateras till en acceptabel säkerhetsnivå. Förutom att begränsa nätverksaccess rent maskinvarumässigt kan även användarautentisering ske innan nätverksaccess tillåts med hjälp av IEEE 802.1x. Nedanstående figur visar en enkel NAC topologi. Användarvalidering Klient NAD ACS Figur 1 Tillståndsvalidering Slutklienten kör en agentmjukvara, t ex Cisco Trust Agent (CTA), som rapporterar säkerhetsnivån hos klienten till en accesskontrollserver, t ex Cisco Secure ACS. Accesskontrollservern kontrollerar i sin tur rapporterad säkerhetsnivå mot antingen interna regler eller mot tredjepartsservrar.

MÄLARDALENS HÖGSKOLA Examensarbete 6(24) 6.1.1 Dataflöde för NAC Nedanstående figur beskriver ett generellt dataflöde för hur NAC-processen fungerar[2]. För de olika NAC-varianterna kommer flödet att skilja sig något. Klient NAD ACS Katalogtjänst, Policy-servrar 1 Trafik triggar NAC 2 Tillståndsinfo. 3 Tillståndsinfo. 5 Accepterad? 4a Identitet Katalog Server EAP RADIUS 4b Tillstånd 9 Status 8 Notifiering 7 Begränsning 6 Auktorisera Tillståndsvalideringsserver Figur 2 1. Tillståndsvalidering påbörjas när en NAC-kompatibel nätverksenhet (framöver kallad NAD, Network Access Device) känner av trafik från en klient som försök ansluta till nätverket. En NAD kan vara t ex en switch eller router. 2. När en ny klient upptäcks av en NAD sätts en kommunikationskanal upp mellan accesskontrollservern (AAA-server) och tillståndsvalideringsklienten (CTA). När detta är gjort begär AAA-servern tillståndsinformation från slutklienten. 3. Slutklienten returnerar tillståndsinformation från tillängliga komponenter. 4. AAA-servern validerar tillståndinformationen lokalt eller skickar informationen vidare till tredjeparts-servrar. Om 802.1x används kontrolleras även användaridentitet i detta läge. 5. AAA-servern analyserar samtliga tillståndsresultat (Posture Token, PT) från alla inblandade servrar, inclusive sig själv. Utefter denna analys skapas ett övergripande tillståndsattribut (System Token, ST) som avgör vilken accessnivå klienten skall tilldelas. 6. Tillståndsattributet (och användaridentitet om 802.1x används) används sedan av AAA-servern för att styra nätverksaccessen. Med hjälp av nätverksprofiler i ACS skapas en uppsättning RADIUS-attribut för t ex VLAN-tilldelning eller nerladdningsbara accesslistor. 7. Dessa RADIUS-attribut skickas till NAD för att tilldela eller begränsa nätverksaccess för slutklienten. 8. CTA:n och dess plugins meddelas dess tillstånd. 9. Ett meddelande kan skickas till användaren genom CTA för att informera vilken nätverksacess som tilldelats

MÄLARDALENS HÖGSKOLA Examensarbete 7(24) 6.1.2 Tillståndslägen För att kunna spärra eller tilldela nätverksaccess använder NAC något som kallas Application Poster Token (APT) och System Posture Token (SPT) (Applikationstillståndsvärde och Systemtillståndsvärde). När klienten returnerar tillståndsinformation om en NAC-kompatibel applikation (se föregående avsnitt) behandlas dessa i regler som sätts upp i accesservern. Beroende på regler och tillstånd kommer olika APTs tilldelas denna applikation. För att avgöra klientens slutliga tillstånd som kommer att bestämma klientens accessrättigheter jämförs samtliga APTs. Den APT som är mest kritisk kommer att bli klientens SPT. SPT kommer i sin tur användas i regler som avgör om klienten får access, vilket vlan den kommer att tillhöra eller vilken accesslista som skall appliceras. [17] De olika tillstånd som kan tilldelas är följande (i ordning från minst till mest kritiskt) [18]: Healthy Klienten följer alla policys, full nätverksaccess kan tilldelas. Checkup Klienten följer policys men det finns uppdateringar att hämta (t ex ny virusdefinition). Används för att uppdatera klienten. Transition Används medans klienten kontrolleras. Kan användas för att ge klienten tillfällig access under t ex uppstart då inte alla processer har startats. Quarantine Klienten följer inte policys. Nätverksaccess bör begränsas till ett karantännät för åtgärd. Klienten utgör inte ett direkt hot men är sårbar för attacker eller infektioner. Infected Klienten är infekterad och utgör ett aktivt hot mot nätverket. Access bör begränsas eller helt strypas. Unknown Klientens tillstånd kan inte avgöras. Sätt i karantännät. 6.1.3 Varianter NAC finns i dagsläget i tre olika varianter[3]: NAC L3 IP EAPoUDP (EAP över UDP) för enbart tillståndsvalidering (Routrar och VPN) NAC L2 IP EAPoUDP för enbart tillståndsvalidering (L2 switchportar) NAC L2 802.1x EAP över 802.1x (L2 switchportar) 6.1.3.1 NAC L3 IP NAC L3 IP fungerar enbart med routrar och VPN koncentratorer. Enbart tillståndsvalidering stöds. NAC processen startas då nya IP packet känns av. Access av nätverket styrs av L3/L4 accesslistor. 6.1.3.2 NAC L2 IP Idealt val när 802.1x autentisering inte är möjlig, t ex då flera användare delar på en switchport genom en hub. Stödjer enbart tillståndsvalidering. NAC processen startas av DHCP/ARP förfrågan. Access av nätverket styrs av L3/L4 accesslistor. 6.1.3.3 NAC L2 802.1x Stödjer användarautentisiering och tillståndsvalidering, tillsammans eller separat. Fungerar enbart på switchar. Använder existerande 802.1x sessioner för att göra tillståndsvalidering. Kräver att EAP-FAST används med antingen MSCHAPv2, EAP-TLS eller EAP-GTC som inre metod.[14] Nätverksaccess styrs med VLAN. Catalyst 6500 stödjer även policy-baserade accesslistor. På nästa sida visas en tabell för de tre olika varianternas funktionalitet[3].

MÄLARDALENS HÖGSKOLA Examensarbete 8(24) Funktionalitet NAC L2 802.1x NAC L2 IP NAC L3 IP Trigger Mechanism Datalänk Upp DHCP eller ARP Skickat paket Maskinidentitet Användaridentitet Tillstånd VLAN-tilldelning URL-omdirigering Nerladdningsbara ACL:er 6500 enbart (PBACLs) Tillståndsförfrågan 802.1x tillståndsförändring 6.1.4 Access Control Server Cisco Secure Access Controll Server (ACS) är en accesskontrollserver[4]. Den används till att kontrollera authentication, authorization, och accounting (AAA) för användare i nätverket. ACS:en fungerar som ett slag knytpunkt för all utrustning i nätverket som kräver stöd för central AAA. T ex kan switchar, routrar, brandväggar, VPN-servrar m.m. anslutas till ACS:en. Kommunikationen mellan ACS och övrig nätverksutrustning sker då via RADIUS eller Ciscos egna protokoll TACACS+. ACS-servern finns tillgänglig både som hårdvara och som mjukvara. Mjukvaruinstallationer finns för Windows 2000 Server, Windows 2003 Server och UNIX. Dock har stödet för installation på UNIX försvunnit i och med version 4.0. För Windows finns ACS:en i två varianter. Den första varianten är baserad på Windows 2000 Server och installeras med hjälp av en förkonfigurerad ghostimage. Denna variant ger endast tillgång till själva ACS:en användargränssnitt och funktioner. Endast ett fåtal inställningar gällande operativsystemet går att göra via en kommando-promt. I övrigt är servern spärrad och går inte att använda till andra uppgifter i nätverket. Den andra versionen är en vanlig programvara som installeras på Windows 2000 eller 2003 server. Denna variant erbjuder samma funktionalitet som den första varianten, skillnaden är att det fortfarande går att använda servern till andra uppgifter i nätverket. Cisco Secure ACS Appliance är den hårdvarubaserade varianten. Som kan ses hårdvaruspecifikationen (se nedan) är det till mångt och mycket en vanligt PC. Dock är komponenterna monterade i en speciellt 1U-Chassi för enklare montage i rack (se figur nedan) [22]. Intel 3.06 GHz Pentium 4 processor Två inbyggda gigabit nätverkskort 40-GB hårddisk Diskettstation CD-ROM Seriell port Figur 3

MÄLARDALENS HÖGSKOLA Examensarbete 9(24) ACS:en administreras via ett Java-baserat webbgränssnitt. Webbgränssnittet är tillgängligt dels från maskinen som har ACS:en installerad men också från andra maskiner i nätverket som har en webbläsare med javastöd installerad. Detta gör att ACS:en enkelt kan fjärradministreras. Säker kommunikationen mellan ACS-server och webbläsare upprättas via Hypertext Transfer Protocol over Secure Socket Layer (HTTPS). Nästa figur visar en skärmdump från användargärssnittet. Figur 4 6.1.5 Cisco Trust Agent Cisco Trust Agent (CTA) är Ciscos klient för tillståndsvalidering[5]. CTA finns även med en inbyggd 802.1x stöd. Klienten är tänkt att fungera som ett slags mellanlager som på ett säkert sätt förmedlar information från/om klientdatorn till AAA server. CTA klienten är via plugins kompatibel med tredjepartstillverkares programvaror. Genom att vara kompatibel med tex F-secure kan information om antivirusprogrammets statuts, version och aktuella virusdefinitioner skickas till ACS:en för validering. I dagsläget har CTA stöd från 10 namngivna leverantörer (med produktnamn) enligt Cisco, vidare har NAC stöd för ytterligare 65 leverantörer.[29][1] 6.1.6 Network Access Device Network Access Device (NAD) är en switch, router, brandvägg eller VPN-server som på ett eller annat sätt används för att ge användare access till nätverket. Kallas även AAA-klient. [21] 6.1.7 Agentlösa klienter I de fall CTA inte går att installera på klienter som fodrar nätverksaccess (skrivare, PDA, Apple etc) behövs specialregler sättas upp i ACS och/eller i NAD:en. Detta fungerar dock bara för NAC L2 och L3 IP. För NAC L2 802.1x är den enda lösningen att statiskt tilldela vissa portar VLAN som är begränsade t ex till att enbart komma åt skrivarservern. Dessa portar skall då vara fristående 802.1x-

MÄLARDALENS HÖGSKOLA Examensarbete 10(24) processen. Ett undantag finns dock för Catalyst 6500 som stödjer MAC-listor som gör att klienter med godkänd MAC-adress tillåts nätverksaccess även om 802.1x autentisering misslyckas. Denna teknik att whitelista adresser fungerar även för NAC L2 och L3 IP med olika hårdvara. I samtliga NAC varianter går det även att använda en auditserver centralt för att scanna klienter och på så sätt tilldela eller begränsa nätverksaccess. [6] 6.2 IEEE 802.1x 802.1x är en IEEE standard för portbaserad nätverksaccesskontroll[7]. Standarden är väl etablerad och stöds av många aktörer, inklusive Cisco Systems. 802.1x definierar tre delar i autentisieringsprocessen: Supplicant som är slutklienten, Authenticator som är en NAD samt Authentication Server som är en RADIUSserver. Supplicanten är alltså kopplad direkt till authenticatorn som vidarbefodrar information mellan supplicant och authentication server. Authenticatorn tilldelar eller begränsar nätverksaccess enligt authenticatorns instruktioner. Autentisieringsprocessen består av EAP medelanden mellan supplicant och authenticator. Vilken EAP som används styrs av behov och krav. 6.2.1 Microsoft 802.1x Microsoft Windows XP har inbyggt stöd för 802.1x. Den inbyggda 802.1x klienten är något begränsad och har bara stöd för två typer av Extensible Authentication Protocol (EAP). De EAP-typer som stöds är EAP-MD5 och EAP-TLS. EAP-MD5 räcker för enklare autentisering och EAP-TLS som är en certifikatbaserad variant av EAP är vanligt förekommande i trådlösa nätverk. Önskas en mer säker autentisering eller tillståndsvalidering krävs installation av en 802.1x klient från tredjepartstillverkare. Cisco Trust Agent, AEGIS SecureConnect, och Funk Odyssey Client är några exempel på sådana klienter.[24][25] PEAP som Microsofts har varit med att utveckla följer också med vid en grundinstallation av Windows XP. [9] Inställningarna för 802.1x hittas under inställningarna för nätverket. Figur 5

MÄLARDALENS HÖGSKOLA Examensarbete 11(24) 6.2.2 EAP Extensible Authentication Protocol är en universell autentisieringsmekanism framtagen av IETF och beskrivs i RFC 2284. EAP är en standard som definierar hur meddelanden för autentisiering skickas mellan enheter. EAP kan användas i både trådbundna och trådlösa nätverk. EAP arbetar på lager två (datalänk) och kan därför skicka information utan giltiga ip-adresser. I och med att EAP arbetar på datalänklagret blir det mycket effektivt på nätverk som använder DHCP då klienterna måste autentisiera sig innan de erhåller en gilitig ip-adress. EAP har stöd ett flertal olika autentisieringsmetoder. Det finns ca 40 olika metoder som är mer eller mindre säkra, t ex EAP-MD5, EAP-GTC, EAP-FAST och EAP-TLS. [23] 6.2.2.1 Dataflöde för EAP Nedanstående figur beskriver ett generellt dataflöde för hur EAP fungerar[10]. För de olika EAP-metoderna kommer flödet att skilja sig något. Klient Autentikator RADIUS-Server EAP-Förfrågan/Identitet Port Stängd EAP-Respons/Identitet RADIUS Access-förfrågan EAP-Förfrågan/MD5- Utmaning RADIUS Access- Utmaning EAP-Respons/Identitet RADIUS Access-förfrågan EAP-Upprättat EAP-Avloggning Port Öppen RADIUS Accessaccepterad Port Stängd 1. EAP klienten ansluter till nätverket och försöker få access till information på nätverket. En giltig ip-adress inte är nödvändig för att skicka EAP meddelanden mellan klient och accesserver, kommunikationen sker med hjälp av EAP over LAN (EAPOL). 2. Autentikatorn svarar klienten genom fråga efter klienten identitet / inloggningsinformation. Kommunikationen sker fortfarande via EAPOL.

MÄLARDALENS HÖGSKOLA Examensarbete 12(24) 3. Klienten svarar autentikatorn med sin identitet/inloggninginformation. Kommunikationen sker forfarande via EAPOL. 4. Autentikatorn skickar vidare informationen till en accesserver. EAP standarden har stöd för flera typer av accesservrar där RADIUS är den vanligast förekommande. 5. Accesservern skickar en utmaning till autentikatorn samt specificerar vilken (EAP) autentiserings typer som accesservern har stöd för. 6. Autentikatorn skickar vidare utmaningen tillsammans med autentiseringtypen till klienten. Kommunikationen sker via EAPOL. 7. Klienten undersöker utmaningen och avgör om den har support för de efterfrågade EAP protokollet. Om klienten inte har stöd för den föreslagna EAP typen skickar den en NAK (Negative Acknowledgement Code) förfrågan om alternativa EAP typer. Om klienten stöder någon av accesservern föreslagna metoder skickar den sin inloggninginformation. 8. Autentikatorn skickar vidare klientens inloggninsinformation till accessserver. 9. Om klientens inloggningsinformation är korrekt autentisieras och authoriseras klienten. 10. Autentikatorn får en RADIUS-accepterad eller en RADIUS-nekad och konfigurerar nätverket därefter. 6.2.2.2 PEAP Protected EAP är framtaget genom ett samarbete mellan bl a Microsoft och Cisco. PEAP använder en säker tunnel för ömsesidig autentisering mellan klient och server. PEAP använder servercertifikat för att sätta upp en säker tunnel, sedan sker själva autentiseringen med en annan s.k. inre metod. Denna inre metod är helt enkelt ytterligare en EAP typ, i dagsläget finns det två: EAP-MSCHAPv2 och EAP-GTC. [23] 6.2.2.3 EAP-MSCHAPv2 EAP-Microsoft Challenge Handshake Protocol. MS-CHAP v2 är ett lösenord-, utmaning-respons-, ömsesidig autentisering-baserat protokoll som använder Message Digest 4 (MD4) och Data Encryption Standard (DES) algoritmer för att kryptera autentiseringsmeddelanden. Klient och accesservern utmanar varandra, om någon av utmaningarna inte besvaras korrekt nekas uppkoppling. MS-CHAP v2 utvecklades av Microsoft som ett PPP-autentiseringsprotkoll för att skydda uppringda förbindelser samt Virtual Private Network (VPN) anslutningar. Med Windows XP SP1 & 2, Windows Server 2003 och Windows 2000 SP4 fungerar MS-CHAP v2 även som en EAP typ. [11] 6.2.2.4 EAP-GTC EAP-Generic Token Card standardiserades tillsammans med EAP i RFC 2284. EAP-GTC använder engångslösenord genererade med hjälp av säkerhetsdosor liknande de som oftast används vid bankärende över Internet. Detta ger en ökad säkerhet jämfört med statiska lösenord som allt för ofta kan hamna i fel händer. En nackdel är en ökad kostnad då alla användare måste ha en egen dosa att generera engångslösenord med. [13]

MÄLARDALENS HÖGSKOLA Examensarbete 13(24) 6.2.2.5 EAP-FAST EAP-Flexible Authentication via Secure Tunneling är en EAP-implementation gjord av Cisco Systems. I likhet med PEAP sätts en säker tunnel upp för ömsesidig autentisiering mellan klient och server. Servercertifikat stöds men är valfritt, istället kan Protected Access Credential (PAC) användas. PAC är en shared secret (delad hemlighet) som utbyts och används för all kommande autentisiering. EAP-FAST har tre faser. Den första fasen (fas noll) är valfri där PAC nyckeln etableras och distribueras. I fas ett används PAC nyckeln för att sätta upp en TLS tunnel och slutligen i fas två används tunneln för att skicka användarinformationen. [23] Database LEAP Nedan följer en tabell som visar vilken EAP ACS stödjer för olika användardatabaser[8]: EAP- MD5 EAP -TLS PEAP (EAP- GTC) PEAP (EAP-MS CHAPv2) EAP-FAST Phase Zero ACS Ja Ja Ja Ja Ja Ja Ja EAP-FAST Phase Two Windows SAM Ja Nej Nej Ja Ja Ja Ja Windows AD Ja Nej Ja Ja Ja Ja Ja LDAP Nej Nej Ja Ja Nej Nej Ja ODBC Ja Ja Ja Ja Ja Ja Ja LEAP Proxy RADIUS Server Ja Nej Nej Ja Ja Ja Ja All Servers Token Nej Nej Nej Ja Nej Nej Nej 7 Problemformulering Först och främst, vad är Network Admisson Control (NAC) och hur fungerar det? Är det möjligt att implementera NAC i MdH:s datornätverk? Vilka tekniker finns tillgängliga? Vilka tekniker är att föredra? Hur skulle en eventuell implementation se ut? 8 Analys av problem Den enda kontrollen som finns på MdH:s datornätverk är en begränsning gällande tilldelning av IP-adresser. För att få en IP-adress tilldelad krävs en giltig hårdvaruadress (MAC-adress). Detta innebär dock en säkerthetsbrist då det enkelt kan kringgås. Antingen byts MAC-adress till en giltig adress eller sätts en fast IPadress inom giltigt omfång istället för att använda Dynamic Host Configuration Protocol (DHCP). 8.1 Skolans nät idag Idag omfattar skolans datornätverk cirka 110 switchar, 3000 klientdatorer och 100 servrar. Ungefär 1200 av klientdatorerna är lärardatorer och resten är datorer i datorsalar.

MÄLARDALENS HÖGSKOLA Examensarbete 14(24) Nätverket är inte uppbyggt enligt Ciscos klassiska nätverksdesign med tre lager. Dvs ett Core-, Distribution- och Accesslager. Se figur nedan för exempel på en trelagersdesign. Internet Core Distribution Access Figur 6 Skolans datornätverk är istället uppbyggt enligt en tvålagersdesign med endast Core- och Accesslager. Nätverket skiljer sig något mellan orterna Västerås och Eskilstuna. I Västerås finns fyra Cisco Catalyst 6500 switchar och i Eskilstuna sex 6500 switchar.

MÄLARDALENS HÖGSKOLA Examensarbete 15(24) I Eskilstuna är dessa switchar är sammankopplade i en ring enligt figuren nedan. Väpnaren Vapensmeden Verktyget Figur 7

MÄLARDALENS HÖGSKOLA Examensarbete 16(24) I Västerås är switcharna sammankopplade i en så kallad fully-mesh enligt nedan figur. Rosenhill Gåsmyrevreten Figur 8 För att skapa redundans mellan switchar används i vanliga fall Spanning Tree Protocol (STP). STP arbetar på lager 2.[26] Skolan har valt att inte använda spanning-tree då detta skapar problem med för långa konvergenstider. Istället används protokollet Hot Standby Router Protocol (HSRP) som arbetar på lager 3. Till Catalyst 6500 switcharna ansluts access-switchar av märket Cisco Catalyst 2950 och 3548. Samtliga institutioners datorer ansluts till access-switcharna. Access-switcharna sitter utplacerade i korskopplingsrum. De flesta switcharna har 24 portar. Dessa switchar är uppdelade i två Virtual Local Area Network (VLAN), ett för lärardatorer och ett för studentdatorer. Orterna Västerås och Eskilstuna är förbundna med en 2 Gigabits svartfiber som används som primär anslutning. Ytterligare finns en backupförbindelse på 155 Mbit. 9 Testfas För att testa hur NAC fungerar upprättades en liten labbmiljö beståendes av: Stefan: En klientpc med CTA installerat Petter: En Cisco 3560 Switch Conny: Windows 2003 Server med Cisco Secure ACS Gunnar: Windows 2003 Server med Active Directory

MÄLARDALENS HÖGSKOLA Examensarbete 17(24) Denna utrustning kopplades upp enligt nedanstående figur. Petter Stefan Conny Gunnar Figur 9 För att utföra testningen på ett strukturerat sätt delades testningen ni i tre faser. Uppdelningen i tre faser underlättade undersökandet av de områden vi var intresserade av, nämligen: Standard 802.1x för autentisering av användare i nätverket. Standard 802.1x för autentisering av användare i nätverket med hjälp av extern databas. 802.1x tillsammans med intern och extern tillståndsvalidering. Dvs. intern tillståndsvalidering med hjälp av Ciscos Access Control Servers (ACS) inbyggda funktioner och extern med hjälp av antiviruslösning från tredjepartstillverkare. 9.1 Fas ett av testningen Till att börja med installerades ACS-serverprogramvaran på dator Conny. När ACS:n var installerad testades dess interna databas tillsammans med Windows XPs inbyggda funktioner för 802.1x. Se figur nedan för den logiska topologin som användes i fas ett. Klient NAD ACS Figur 10 Fördelen med Standard 802.1x som undersöktes i fas 1 är att den är enkel att få fungerande (up and up som vi säger här på Cisco). Inga extra programvaror krävs på klient eller server. Nackdelen är att den inte har stöd för alla funktioner som finns i ACS:en. Detta beror främst på att Windows XP bara har stöd för EAP-MD5 och PEAP. Dessa versioner av EAP är begränsade och kan inte skicka alla information som ACS:en efterfrågar (se avsnitt 6.2.1).

MÄLARDALENS HÖGSKOLA Examensarbete 18(24) 9.2 Fas två av testningen För att testa ACS:en tillsammans med en extern databas installerades en Active Directory (AD) domän på dator Gunnar. För att allt ska fungera måste Conny vara medlemsserver i domänen[20]. För att kunna använda Active Direcory som extern databas tillsammans med ACS valde vi att använda EAP-FAST. Windows XP har inte inbyggt stöd för EAP-FAST och kräver därför installation av Cisco Trust Agent (CTA) med inbyggd 802.1x klient eller motsvarande. Se figur nedan för den logiska topologin som användes i fas två. Klient NAD ACS AD Figur 11 Fördelen med extern databas som undersöktes i fas två är att dubbla användardatabaser undviks då en redan befintlig användardatabas kan användas. Detta är lämpligt i miljöer med många användare. 9.3 Fas tre av testningen När autentisering via intern och extern databas fungerade lades regler för intern tillståndsvalidering till i ACS:en. Sist och slutligen testades extern tillståndsvalidering med hjälp av tredjepartsprogramvara i form av olika antiviruslösningar. Se figur nedan för den logiska topologin som användes i fas tre. AD Klient NAD ACS Tillståndsvalidering Figur 12 Antivirusserver Fördelen med denna lösning är att den ger det mest kompletta skyddet mot de säkerhetsrisker ett nätverk kan utsättas för. Nackdelen är att CTA-klienten måste installeras på alla klienter som ska ansluta till nätverket. Detta eftersom Windows inbyggda EAP varianter inte har stöd för autentisering via extern användardatabas i kombination med tillståndsvalidering mot ACS. Ytterligare en nackdel är att fler servrar måste installeras och administreras i nätverket.

MÄLARDALENS HÖGSKOLA Examensarbete 19(24) 10 Lösningsförslag Vi träffade inte IT-avdelning förrän sista veckan av examensarbetet för en diskussion om vad som egentligen efterfrågas. Eftersom vi fick information om önskemål så sent var det svårt att göra ett riktigt lösningsförslag. 10.1 Åtgärder gällande switchar För att implementera Network Admisson Control (NAC) i Mälardalens högskolas nätverk måste vissa uppgraderingar göras. Samtliga Catalyst 3548 switchar på Gåsmyrevreten samt Rosenhill måste bytas ut till nyare modell 2950 eller bättre. Resterande switchar (Catlyst 2950) kan behållas men mjukvaran måste uppdateras till ISO release 12.1(22)EA6 eller senare.[15] Detta innebär att 30 switchar behöver bytas ut samt 75 behöver uppdateras. 10.2 Placering av ACS server Eftersom skolans nät är uppbyggt med redundans i åtanke borde det inte spela så stor roll var eventuella ACS-serverar placerars. ACS:n har testats med ca 50 000 klienter så skolan bör inte stöta på belastningsproblem.[27] Dock rekommenderas dubbla ACS-servrar för redundans 10.3 Klienter För de klienter där det finns möjlighet att installera Cisco Trust Agent (CTA) rekommenderar vi att detta görs. CTA-klienten går att konfigurera för så kallad singel sign-on vilket underlättar inloggningsförfarandet. 10.4 Agentlösa klienter För de klienter där det inte finns möjlighet att installera Cisco Trust Agent (CTA) rekommenderar vi att dessa placeras i speciella VLAN. Tex kan skrivare placeras i ett separat VLAN som bara har tillgång till skrivarservern. Switch-porten där skivaren ansluts kan skyddas med MAC-autentisering för ökad säkerhet. Om otillåten access ändå skulle uppstå får den som utför intrånget bara till gång till det speciella skrivar-vlan:et. 10.5 Konfiguration av accesswitchar För att Network Access Control (NAC) ska fungera behöver dessa kommandon utföras på switchen 2950(config)# aaa new-model 2950(config)# aaa authentication dot1x default group radius 2950(config)# aaa authorization network default group radius 2950(config)# dot1x system-auth-control 2950(config)# interface range interfaces 2950(config-if)# switchport mode access 2950(config-if)# dot1x port-control auto 2950(config-if)# spanning-tree portfast 2950(config)# radius-server host ip-address auth-port port-nr acct-port port-nr key key

MÄLARDALENS HÖGSKOLA Examensarbete 20(24) Steg 1 aaa new-model Startar AAA Steg 2 aaa authentication dot1x Skapar en metodlista för 802.1x {default} autentisering. method1 [method2...] Steg 3 dot1x system-authcontrol Steg 4 aaa authorization network {default} group radius Startar 802.1x autentisering global på switchen. (Valfritt) konfiguerar switchen för att använda RADIUS autorisering för all nätverksrelaterade tjänster förfrågningar tex tilldelning av VLAN. Steg 6 dot1x port-control auto Starta 802.1x autentisering på interfacen. 10.6 Problem vid implementation Under testfasen har vissa problem gällande en eventuell implementation på MdH påträffats. Dessa problem går ofta undvika i labbmiljö men är svårare att kringgå i produktionsmiljö. Nedan beskrivs problemen utan inbördes rangordning. Enligt Ciscos dokumentation ska Cisco Trust Agent (CTA) via plugins vara kompatibel med alla de tredjepartsprodukter som är anslutna till NAC-samarbetet. Under testfasen har det dock visat sig att så inte är fallet. De flesta tredjepartsprodukter levereras istället med sin egen CTA-klient. Tredjepartsprogramvarorna kräver ofta att enbart den egna CTA-klienten används. Detta medför att endast en tredjepartsprogramvara kan vara installerad åt gången. Ytterligare ett problem med de medföljande CTAklienterna är att de är av version 1.0. I dagsläget är version 2.0 den mest aktuella. Vissa av de medföljande klienterna saknar också stöd för 802.1x supplicanten vilket gör att portbaserad användarautentisiering inte fungerar. Om klientdatorn som försöker ansluta till nätverket är medlem av en Active Directory (AD) domän kan problem vid inloggning uppstå. Detta pga. av att klientdatorn och servern som tillhandahåller domänen inte har nätverkskontakt med varandra eftersom accessen till nätverket är spärrad till dess att inloggning sker. Detta går till viss del att kringgå genom att använda så kallad singel sign-on teknik. Vissa problem med inloggningen finns dock kvar. För att allt ska fungera måste användaren redan ha gjort en lyckad inloggning på den dator han/hon vill logga in på. Detta skapar alltså problem i t ex en labbsal där användaren kanske använder olika datorer varje dag. Ytterligare ett problem är att klientdatorn inte har kontakt med domänkontrollanten under själva uppstarten vilket behövs för att klienten och domänkontrollanten ska kunna utbyta information om tex regler och säkerhetspolicys som används i domänen. Detta problem uppstår då EAP- Fast måste användas för att få kombinationen 802.1x och tillståndsvalidering att fungera tillsammans. Då Windows inte har inbyggt stöd för EAP-Fast måste en tredjepartsklient installeras (CTA2.0) som tar bort det inbyggda 802.1x stödet i Windows. Detta gör i sin tur att domäninloggningen krånglar. Enligt Mårten Möller på konsultbolaget Safeside ska detta inte vara något problem om Windows inbyggda 802.1x klient används.

MÄLARDALENS HÖGSKOLA Examensarbete 21(24) ACS:en saknar vettiga funktioner för debuggning och loggning. Det mesta går att debugga och logga men det sparas endas i textfiler. Det är t ex inte möjligt att skicka loggarna till en central syslogserver. Det finns heller ingen funktion för att utföra debuggning i realtid. För viss utrustning som ansluts till nätverket finns inte möjligheten att installera CTA-klienten. Det kan vara utrustning som skrivare, Apple Mac och PDA:er för att nämna några. Dessa klienter kallas då agentlösa klienter och om 802.1x används på switchens samtliga portar kan de inte anslutas till nätverket. Detta går att kringgå med hjälp av så kallad MAC-bypass. MAC-bypass fungerar bara tillsammans med NAC L2 IP och NAC L3 IP, vilket inte fungerar på Catalyst 2950-switchar. För NAC L2 802.1x kan istället vissa portar tilldelas särskilda begränsade VLAN för t ex enbart skrivare. 11 Framtida arbeten Utöver det som behandlats i denna rapport bör även specifika antiviruslösningar undersökas. Tillsammans med IT-avdelningen skall Symantecs Norton Antivirus testas i labbmiljö tillsammans med NAC för att avgöra hur väl det fungerar i produktionsmiljö. 12 Slutsats Under examensarbetets gång har en rad slutsatser gällande Network Admisson Control dragits. Till att börja med vill vi påstå att NAC som helhet är en omogen teknik som inte bör användas i produktionsmiljö. Detta kan strykas med följande argument. Vissa av tredjepartsleverantörerna anslöt så sent som år 2005 vilket gör att samarbetet mellan Cisco Systems och tredjepartstillverkaren i vissa fall är mindre än ett år gammalt. Ett år är en för kort tid för att säkerställa tillräckligt hög funktionsnivå för produktionsmiljö. Enligt Ciscos dokumentation ska all programvara som kommer från NACanslutna tredjepartstillverkare vara kompatibel med CTA-klienten via plugins. Detta stämmer dock inte med verkligheten. Tredjepartsleverantörerna levererar sina egna versioner av CTA-klienten. Detta ställer till kompabilitetsproblem. T ex kan inte Ciscos CTA-klient vara installerad samtidigt som F-Secures CTA-klient. CTA-klienterna som kommer med tredjepartstillverkarnas produkter haltar ofta efter vad det gäller versionsnummer. T ex levereras F-secures CTA-klient i version 1.0 istället för 2.0 som idag är den mest aktuella versionen. Detta är ett problem då CTA 1.0 inte har stöd för 802.1x autentisering.[16] Dokumentationen som finns tillgänglig är fortfarande bristfällig. Detta gäller både Cisco:s dokumentation och tredjepartstillverkares dokumentation. Dokumentationen kring redan kända problem är också väldigt bristfällig vilket gör att mycket arbete måste läggas på felsökning om problem uppstår. För att till fullo implementera Network Admission Control med portbaserad användarautentisiering samt tillståndsvalidering av t ex antivirusdefinitioner måste vissa aspekter beaktas. Som nämnts tidigare kräver NAC L2 802.1x att EAP-FAST används för att kunna hantera både portautentisiering och tillståndsvalidering. Ciscos klientmjukvara, CTA, har bara stöd för 802.1x i och med version 2.0.[16]

MÄLARDALENS HÖGSKOLA Examensarbete 22(24) Om 802.1x ska användas på ett säkert sätt kan endast en dator anslutas per switchport. Rouge-hubbar ute på avdelningarna kan inte accepteras då första användaren som loggar in öppnar upp för andra användare. Ytterligare en sak att beakta är CTA klienten och dess säkerhet. En icke vänligt sinnad person skulle möjligen kunna modifiera klienten att skicka felaktig information angående dess tillstånd. Detta gör att avgörande säkerhetsfunktioner inte bör läggas på klientnivå, t ex begränsning av nätverksaccess genom en personlig brandvägg på klientdatorn. Dessutom medför detta att en person skulle kunna rapportera sin dator frisk när den i själva verket är virusinfekterad. Detta betyder ett NAC skyddat nätverk ändå kan utsättas för virussmittade klienter. Allt är dock inte att förkasta. Vissa delar av NAC fungerar faktiskt bra. Vi anser att den portbaserad användarautentisiering med 802.1x är en mer mogen teknik och bör vara mycket smidigare att implementera än en komplett NAC lösning i dagsläget. Tillståndvalidering med hjälp av ACS:ens inbyggda funktioner fungerar även tillfredsställande. Med dessa funktioner kan följande information angående klienten kontrolleras: operativsystemets namn och version, CTA-klientens namn och version samt operativsystemets hostnamn, service pack och installerad patchar. Dock kvarstår problemet med de agentlösa klienterna. Men som vi i presenterar lösningsförslaget borde det gå att implementra med vissa mindre förändringar i nätverket. Eftersom att 802.1x är en fristående standard är MdH inte bundna till att använda Ciscos produkter. Det finns flera leverantörer som erbjuder produkter för 802.1x. Det finns även motsvarande lösningar till Ciscos Network Admission Control (NAC). Nortel har en lösning som heter Secure Network Access Solution (SNAS).[19] \o/ Nätverksteknik är kul

MÄLARDALENS HÖGSKOLA Examensarbete 23(24) 13 Referenser [1] http://www.cisco.com/go/nac (2006-04-26) [2]Network Admission Control (NAC) Framework Deployment Guide, sida 7 http://www.cisco.com/application/pdf/en/us/guest/netsol/ns617/c649/cdccont_0900 aecd80417226.pdf (2006-04-26) [3] Network Admission Control: Technical Overview, sida 21 - http://www.cisco.com/application/pdf/en/us/guest/netsol/ns617/c664/cdccont_0900 aecd80102f1b.pdf (2006-04-26) [4] User Guide for Cisco Secure ACS for Windows 4.0, sida 33 - http://www.cisco.com/application/pdf/en/us/guest/products/ps6439/c2001/ccmigrat ion_09186a008053d5e4.pdf (2006-04-26) [5] http://www.cisco.com/go/cta (2006-04-26) [6] Network Admission Control: Technical Overview - http://www.cisco.com/application/pdf/en/us/guest/netsol/ns617/c664/cdccont_0900 aecd80102f1b.pdf (2006-04-26) [7] IEEE 802.1X-2004 - http://standards.ieee.org/getieee802/download/802.1x-2004.pdf (2006-04-26) [8] User Guide for Cisco Secure ACS for Windows 4.0, sida 40 - http://www.cisco.com/application/pdf/en/us/guest/products/ps6439/c2001/ccmigrat ion_09186a008053d5e4.pdf (2006-04-26) [9]http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/e n-us/auth_eap.mspx?mfr=true (2006-04-26) [10] White Paper: 802.1x Authentication & Extensible Authentication Protocol (EAP), sida 8 - http://www.foundrynet.com/solutions/appnotes/pdfs/eapwhitepaper.pdf (2006-05-04) [11]EAP-MSCHAPv2 http://www.microsoft.com/technet/community/columns/cableguy/cg0702.mspx (2006-05-04) [12] Inner Authentication Methods - http://www.opus1.com/www/whitepapers/8021xinnerauthmethods.pdf (2006-05-04) [13] http://searchsecurity.techtarget.com/general/0,295582,sid14_gci1167608,00.html?t rack=wsland#gtc (2006-05-05) [14] Network Admission Control: Technical Overview, sida 26 - http://www.cisco.com/application/pdf/en/us/guest/netsol/ns617/c664/cdccont_0900 aecd80102f1b.pdf (2006-04-26)

MÄLARDALENS HÖGSKOLA Examensarbete 24(24) [15] FAQ Network Admission Control, sida 7 - http://www.cisco.com/application/pdf/en/us/guest/netsol/ns617/c649/cdccont_0900 aecd8040bc84.pdf (2006-05-08) [16] Network Admission Control: Technical Overview, sida 34 - http://www.cisco.com/application/pdf/en/us/guest/netsol/ns617/c664/cdccont_0900 aecd80102f1b.pdf (2006-04-26) [17] User Guide for Cisco Secure ACS for Windows 4.0, sida 397 - http://www.cisco.com/application/pdf/en/us/guest/products/ps6439/c2001/ccmigrat ion_09186a008053d5e4.pdf (2006-04-26) [18] FAQ Network Admission Control, sida 8 - http://www.cisco.com/application/pdf/en/us/guest/netsol/ns617/c649/cdccont_0900 aecd8040bc84.pdf (2006-05-08) [19] Solution Overview Nortel Secure Network Access http://www.nortel.com/solutions/securenet/collateral/nn113060.pdf (2006-05-08) [20] Installation Guide for Cisco Secure ACS for Windows, sida 35 - http://www.cisco.com/application/pdf/en/us/guest/products/ps6439/c2001/ccmigrat ion_09186a0080581427.pdf (2006-05-08) [21] FAQ Network Admission Control, sida 47 - http://www.cisco.com/application/pdf/en/us/guest/netsol/ns617/c649/cdccont_0900 aecd8040bc84.pdf (2006-05-08) [22] http://www.netcraftsmen.net/welcher/papers/acs-4.0.html (2006-05-08) [23] http://en.wikipedia.org/wiki/extensible_authentication_protocol (2006-05-08) [24] http://www.psc.com/html/odysseyclient.htm (2006-05-08) [25] http://www.mtghouse.com/products/aegis_solutions.asp (2006-05-08) [26] http://www.cisco.com/univercd/cc/td/doc/product/rtrmgmt/sw_ntman/cwsimain/cw si2/cwsiug2/vlan2/stpapp.htm (2006-05-08) [27] User Guide for Cisco Secure ACS for Windows 4.0, sida 52 - http://www.cisco.com/application/pdf/en/us/guest/products/ps6439/c2001/ccmigrat ion_09186a008053d5e4.pdf (2006-04-26) [28] http://www.symantec.com/products/enterprise?c=prodinfo&refid=1303 (2006-05-17) [29] http://www.cisco.com/en/us/products/ps5923/products_data_sheet0900aecd80119 868.html (2006-05-17)