Security mit 802.1X Schulung

Sicherheit im LAN und WLAN

• Klassische LAN Security
• Device Hardening
• Sicherung der Infrastruktur
• Spoofing
• Port Security – der Klassiker
• DHCP Snooping
• Dynamic ARP Inspection
• IP Source Guard
• uRPF gegen IP Spoofing
• Private VLANs
• Stateless Packet Filter
• Port-gebundene Access-Listen
• Router Access-Listen (RACL)
• VLAN Access-Lists (VACL)
• Identity Based Network Services

IEEE 802.1X – Portbasierte Authentisierung

• IEEE 802.1X – Das Grundkonzept
• Komponenten
• Protokolle
• Das Extensible Authentication Protocol (EAP)
•  EAP-Methoden
• EAP-MD5 – Der Ablauf
• PEAP – Der Ablauf
• EAP-TLS
• EAP-FAST
• EAP-Vergleich
• Komponenten von 802.1X
• Supplicants
• Switches
• RADIUS-Server
• Die Probleme

RADIUS

• Radius – Zentrale Zugangskontolle
• RADIUS – Der Ablauf
• RADIUS und EAP
• RADIUS – Change of Authorization (CoA)
• RADIUS und EAP-MD5
•  RADIUS und PEAP
• RADIUS und EAP-TLS
• RADIUS und MAC Bypass
• RADIUS und Encryption Keys
• RADIUS Accounting
• Externe Datenbanken
• RADIUS-Redundanz
• Network Access Control
• Network Policy Server – Microsoft
• FreeRadius – Open Source
• Cisco’s Identity Service Engine

IEEE 802.1X – Advanced

• MAC Address Bypass
• Dot1x im WLAN
• WLAN Controller
• IEEE 802.11i
• WLAN und RADIUS
• Gastzugänge
• Multiple Hosts
• IEEE 802.1x-2010 (MACsec)
• VLAN-Zuweisung
• Guest und Failure VLAN
• Critical VLAN
• Low-Impact Mode
• Monitor Mode
• Authentisierungs-Arten
• Computer-Authentisierung
• Benutzer-Authentisierung
• 3 Zweistufige Authentisierung
• Authentication Chaining
• Wake on LAN und 802.1x
• Preboot Execution Environment
• VoIP und 802.1x
• Phone Authentication
• VLAN Provisioning
• Device Authentication

Public Key Infrastructure

• Zertifikate ausstellen
• Gültigkeits Zeitraum
• Antragsteller
• Key Usage & Enhanced Key Usage
• Key Store
• Authentifizierung
• Verschlüsselung
• Certificate Revocation List
• CRL Security
• Laufzeit
• Delta CRLs
• Autorisierung
• Verfügbarkeit
• Verfügbarkeit, ff.
• Critical
• Sperrgrund
• Speicherorte
• Infrastruktur
• Path Validation
• Path Discovery
• Veröffentlichungspunkte
•  Online Certificate Status Protocol
• Lebenszyklus
• Microsoft CA Typen
• Simple Certificate Enrollment Protocol
• Public PKI
• Checkliste

Verzeichnisdienste

• Was ist ein Verzeichnisdienst?
• Active Directory Domain Services
• Domänen und Vertrauensstellungen
• Active-Directory-Datenbank
• Kerberos
• Functional Level
• Organisationseinheiten
• Benutzer und Computer
• Gruppenrichtlinien
• Zuweisen von Gruppenrichtlinien
• Authentisierung & Autorisierung
• Distinguished Names
• LDAP-Attribute
• msNPAllowDialin
• userAccountControl
• Kennwörter
• accountExpires
• pwdLastSet
• logonHours
• Gruppen
• Group Scope
• Gruppen & Backlinks
• DC vs. GC
• Attribute des GC
• Unterschiedliche Forests
• LDAP-Autorisation
• LDAP-Filter
• Kerberos, LDAP & RADIUS
• Checkliste

802.1X in der Praxis – Übungen

• Vorbereitungen
• Das Testlabor
• Switch:ISE Installation
• Switch-Grundkonfiguration
• Globale 802.1X Authentisierungs-Parameter
• 802.1X Switchport-Konfiguration
• Übung 1: EAP-MD5
• Authenticator konfigurieren
• Benutzer anlegen
• Authentisierung-Methode einrichten
• AnyConnect als Supplicant
• 802.1X mit EAP-MD5 testen
• VLAN Provisioning
• Globale Autorisierungs-Parameter
• Autorisierung testen
• Sperren des Benutzers
• Übung 2: Mac Address Bypass
• Switch-Konfiguration
• Authentication
• Benutzer anlegen
• Authorization
• MAB testen
• MAC Adresse Ändern
• Übung 3: WiFi
• Authentisierungs-Methode hinzufügen
• WiFi Autorisierung
• WLAN Controller Konfiguration
• Supplicant Konfiguration
• 802.1X mit EAP-FAST testen
• Übung 4: PEAP (MSCHAPv2)
• Certification Authority
• Root Zertifikat in der ISE importieren
• Certificate Signing Request generieren
• Zertifikat beantragen
• Zertifikat importieren
• Benutzer anlegen
• Gruppe anlegen
• Identity Store hinzufügen
• Client der Domäne hinzufügen
• Windows Supplicant konfigurieren
• 802.1X mit PEAP(MS-CHAPv2) testen
• Benutzer das Dial-in Recht entziehen
• Übung 5: EAP-TLS
• Network Policy Server
• RADIUS Zertifikat beziehen
• RADIUS Client einrichten
• Einrichten einer Gruppe
• Network Policies
• NPS Logging
• Certificate Validation
• Zertifikatsvorlage erstellen
• Sperrlisten konfigurieren
• Autoenrollment einrichten
• Windows Supplicant via GPO konfigurieren
• 802.1X mit EAP-TLS testen
• Zertifikat zurückziehen