Security mit 802.1X Seminar

Sicherheit im LAN und WLAN

• Klassische LAN Security
  • Device Hardening
  • Sicherung der Infrastruktur
• Spoofing
• Port Security – der Klassiker
• DHCP Snooping
• Dynamic ARP Inspection
• IP Source Guard
• uRPF gegen IP Spoofing
• Private VLANs
• Stateless Packet Filter
• Port-gebundene Access-Listen
  • Router Access-Listen (RACL)
  • VLAN Access-Lists (VACL)
• Identity Based Network Services

IEEE 802.1X – Portbasierte Authentisierung

• IEEE 802.1X – Das Grundkonzept
  • Komponenten
  • Protokolle
• Das Extensible Authentication Protocol (EAP)
•  EAP-Methoden
  • EAP-MD5 – Der Ablauf
  • PEAP – Der Ablauf
  • EAP-TLS
  • EAP-FAST
  • EAP-Vergleich
• Komponenten von 802.1X
  • Supplicants
  • Switches
  • RADIUS-Server
• Die Probleme

RADIUS

• Radius – Zentrale Zugangskontolle
  • RADIUS – Der Ablauf
  • RADIUS und EAP
  • RADIUS – Change of Authorization (CoA)
  • RADIUS und EAP-MD5
  •  RADIUS und PEAP
  • RADIUS und EAP-TLS
  • RADIUS und MAC Bypass
  • RADIUS und Encryption Keys
• RADIUS Accounting
• Externe Datenbanken
• RADIUS-Redundanz
• Network Access Control
• Network Policy Server – Microsoft
• FreeRadius – Open Source
• Cisco’s Identity Service Engine

IEEE 802.1X – Advanced

• MAC Address Bypass
• Dot1x im WLAN
  • WLAN Controller
  • IEEE 802.11i
  • WLAN und RADIUS
  • Gastzugänge
• Multiple Hosts
• IEEE 802.1x-2010 (MACsec)
• VLAN-Zuweisung
  • Guest und Failure VLAN
  • Critical VLAN
• Low-Impact Mode
• Monitor Mode
• Authentisierungs-Arten
  • Computer-Authentisierung
  • Benutzer-Authentisierung
  • 3 Zweistufige Authentisierung
  • Authentication Chaining
• Wake on LAN und 802.1x
  • Preboot Execution Environment
• VoIP und 802.1x
  • Phone Authentication
  • VLAN Provisioning
  • Device Authentication

Public Key Infrastructure

• Zertifikate ausstellen
  • Gültigkeits Zeitraum
  • Antragsteller
  • Key Usage & Enhanced Key Usage
  • Key Store
• Authentifizierung
• Verschlüsselung
• Certificate Revocation List
  • CRL Security
  • Laufzeit
  • Delta CRLs
  • Autorisierung
  • Verfügbarkeit
  • Verfügbarkeit, ff.
  • Critical
  • Sperrgrund
  • Speicherorte
• Infrastruktur
  • Path Validation
  • Path Discovery
  • Veröffentlichungspunkte
  •  Online Certificate Status Protocol
  • Lebenszyklus
• Microsoft CA Typen
• Simple Certificate Enrollment Protocol
• Public PKI
• Checkliste

Verzeichnisdienste

• Was ist ein Verzeichnisdienst?
• Active Directory Domain Services
  • Domänen und Vertrauensstellungen
  • Active-Directory-Datenbank
  • Kerberos
  • Functional Level
  • Organisationseinheiten
  • Benutzer und Computer
  • Gruppenrichtlinien
  • Zuweisen von Gruppenrichtlinien
• Authentisierung & Autorisierung
• Distinguished Names
• LDAP-Attribute
  • msNPAllowDialin
  • userAccountControl
  • Kennwörter
  • accountExpires
  • pwdLastSet
  • logonHours
• Gruppen
  • Group Scope
  • Gruppen & Backlinks
• DC vs. GC
  • Attribute des GC
  • Unterschiedliche Forests
• LDAP-Autorisation
• LDAP-Filter
• Kerberos, LDAP & RADIUS
• Checkliste

802.1X in der Praxis – Übungen

• Vorbereitungen
  • Das Testlabor
  • Switch:ISE Installation
  • Switch-Grundkonfiguration
  • Globale 802.1X Authentisierungs-Parameter
  • 802.1X Switchport-Konfiguration
• Übung 1: EAP-MD5
  • Authenticator konfigurieren
  • Benutzer anlegen
  • Authentisierung-Methode einrichten
  • AnyConnect als Supplicant
  • 802.1X mit EAP-MD5 testen
  • VLAN Provisioning
  • Globale Autorisierungs-Parameter
  • Autorisierung testen
  • Sperren des Benutzers
• Übung 2: Mac Address Bypass
  • Switch-Konfiguration
  • Authentication
  • Benutzer anlegen
  • Authorization
  • MAB testen
  • MAC Adresse Ändern
• Übung 3: WiFi
  • Authentisierungs-Methode hinzufügen
  • WiFi Autorisierung
  • WLAN Controller Konfiguration
  • Supplicant Konfiguration
  • 802.1X mit EAP-FAST testen
• Übung 4: PEAP (MSCHAPv2)
  • Certification Authority
  • Root Zertifikat in der ISE importieren
  • Certificate Signing Request generieren
  • Zertifikat beantragen
  • Zertifikat importieren
  • Benutzer anlegen
  • Gruppe anlegen
  • Identity Store hinzufügen
  • Client der Domäne hinzufügen
  • Windows Supplicant konfigurieren
  • 802.1X mit PEAP(MS-CHAPv2) testen
  • Benutzer das Dial-in Recht entziehen
• Übung 5: EAP-TLS
  • Network Policy Server
  • RADIUS Zertifikat beziehen
  • RADIUS Client einrichten
  • Einrichten einer Gruppe
  • Network Policies
  • NPS Logging
  • Certificate Validation
  • Zertifikatsvorlage erstellen
  • Sperrlisten konfigurieren
  • Autoenrollment einrichten
  • Windows Supplicant via GPO konfigurieren
  • 802.1X mit EAP-TLS testen
  • Zertifikat zurückziehen

Ende der Security mit 802.1X Schulung