network access control€¦ · controlware it-security roadshow, frankfurt arp-guard fingerprinting...
Post on 19-Oct-2020
1 Views
Preview:
TRANSCRIPT
Controlware IT-Security Roadshow, Frankfurt
Network Access Control
NAC-Projekte schnell, kostengünstig und sicher realisiert –
Wie Sie Ihre heterogene Infrastruktur optimal schützen
Controlware IT-Security Roadshow, Frankfurt
• ISL
• Anforderungen
• Network Access Control
• ARP-GUARD
• Neuigkeiten
• RSA-Konferenz
• Referenzen
• Kontakt
Inhalt
Controlware IT-Security Roadshow, Frankfurt
ISL Internet Sicherheitslösungen GmbH
Branche: Softwareentwicklung
Gründung: 1999
Mitarbeiter: 15
Standort: Bochum
Partner: 26
Lösung: ARP-GUARD seit 2003
Controlware IT-Security Roadshow, Frankfurt
• Grundschutzhandbuch
• MA Risk
• Kon TraG
• PCI/DSS
• ISO 27001
• Wirtschaftsprüfer
• Basel II/III
• Kritis
Anforderungen
Controlware IT-Security Roadshow, Frankfurt
NAC: Bedrohung
• Jeder, der Zugang zu Ihrem Gebäude hat, kann unbemerkt ein unautorisiertes Gerät in das Netzwerk einbringen!
• Verbreitung von Viren, Würmern und Trojanern
• Interne Angriffe
• Wirtschaftsspionage
• Sabotage
• Datenverlust
• Schädigung des Unternehmens
Controlware IT-Security Roadshow, Frankfurt
NAC: Andere Ansätze
• Physikalischer Schutz (bauliche Maßnahmen): Oft nicht machbar
• Konfiguration DHCP: Leicht zu umgehen
• Port Security: Extrem schwer zu administrieren
• 802.1X: Kostenaufwändig und angreifbar (im LAN)
Controlware IT-Security Roadshow, Frankfurt
• Möglichst homogene Infrastruktur
• Hoher administrativer Aufwand z.B. durch das Einspielen von Zertifikaten auf Endgeräten, neue Prozesse
• Hochverfügbarkeit – Redundanz der Systeme erforderlich, Ausfall der 802.1X-Lösung bedingt oft Ausfall des Netzzugangs
• Alte Geräte (z.B. Drucker), die MAC-basiert arbeiten, bleiben wenig geschützt
• User based: User können private Endgeräte einbringen!
• Certificate based: Es wird sichergestellt, dass es sich um eigene Geräte handelt.
NAC: 802.1X: Limitierungen
Controlware IT-Security Roadshow, Frankfurt
NAC: 802.1X: Sicherheit
802.1X Allgemein:
• Nicht die Person, sondern das Gerät trägt die Malware.
• Berechtigungen sind bei User Auth. übertragbar.
802.1X im WLAN: Hohe Sicherheit durch Verschlüsselung der Daten.
802.1X im LAN:
• Bei vielen Switches kinderleichte Angriffe nach Anmeldung eines legitimen Users (Session Hijacking)
• Viele Löcher durch alte Geräte (z.B. Drucker), die MAC-basiert arbeiten
Controlware IT-Security Roadshow, Frankfurt
ARP-GUARD
• Die ARP-GUARD Lösung schützt das Netzwerk vor fremden Geräten und internen Angriffen und kann diese regelbasiert und automatisch abwehren.
• Dank drei verschiedener Sensoren (SNMP-, RADIUS- und LAN-Sensor) können selbst große, verteilte Netze mit wenig Hardwareaufwand konsequent geschützt werden.
• ARP-GUARD ist seit 15 Jahren und bei mehr als 500 Kunden erfolgreich im Einsatz (Mercedes AMG, Wincor Nixdorf, XXXLutz, UK SH, …)
Controlware IT-Security Roadshow, Frankfurt
ARP-GUARD: Sensor-Management Architektur
• Unternehmensweite Richtlinien
• Rollenbasierte Administration
• Netzwerkzonen / FW
• Geschwindigkeit
• Geringe Datenlast
Controlware IT-Security Roadshow, Frankfurt
ARP-GUARD: Sicherheit und Flexibilität durch Methodenmix
802.1X
MAC based
RADIUSSNMP
• Lizenz ermöglicht Verfahren mit gleichem Feature Set
• Mischbetrieb von SNMP, MAC based RADIUS und 802.1X
• Einfache Migration von SNMP zu 802.1X
Controlware IT-Security Roadshow, Frankfurt
ARP-GUARD: Umbrella Management
…
Zentrale Daten:-Zentrale Logs-Zentrale Sensoren-Repository
Synchronisierte Daten:-Benutzer, Rollen und Rechte
-LDAP-Nutzer-Regelsätze / Policy
Dezentrale Daten:-Dezentrale Logs-Dezentrale Sensoren
Member A Member B
Controlware IT-Security Roadshow, Frankfurt
ARP-GUARD Vorteile
• ARP-GUARD lässt sich problemlos in bereits bestehende IT-Sicherheitsumgebungen einbinden.
• ARP-GUARD greift NICHT in interne Applikationen ein, erkennt aktuelle Bedrohungen als Beobachter und reagiert nur im konkreten Angriffsfall.
• ARP-GUARD ist beliebig skalierbar und Mandantenfähig.
• ARP-GUARD arbeitet hersteller- und plattformunabhängig mit allen gängigen Routern und Switches.
• Investitionen in neue Endgeräte oder neue Strukturen sind nicht erforderlich.
Controlware IT-Security Roadshow, Frankfurt
Zugriffsschutz vor unbekannten Endgeräten
Trennung von Netzen Dynamische VLAN-Zuweisung
Netzwerkmonitoring
Kryptografisches Fingerprinting
ARP-GUARD: Inhaltliche Anforderungen
Gastzugänge und BYOD (bring your own device) für Mitarbeiter, Gäste, Wartungstechniker und Dienstleister
Sicherheitspolicy für Endgeräte
Hohe Verfügbarkeit Redundanz durch Cluster
Controlware IT-Security Roadshow, Frankfurt
ARP-GUARD Monitoring/Access Control/VLAN Management
• Automatische Erfassung der Netzwerkinfrastruktur – grafische Darstellung der Topologie
• Neue Geräte, die ans Netz angeschlossen werden, erkennt und meldet ARP-GUARD automatisch. Der Anschluss unautorisierter Notebooks, WLAN-und sonstiger Geräte wird unterbunden.
• Bestandslisten werden auf dem neuesten Stand gehalten.
• Adressänderungen werden protokolliert und lassen sich zurückverfolgen.
• Umfassender Netzwerküberblick und schnelle Problemlösung
Controlware IT-Security Roadshow, Frankfurt
ARP-GUARD Fingerprinting
• Das Spoofen von MAC-Adressen können wir nicht verhindern.
• Aber wir können verhindern, dass jemand mit einer gespooften MAC Zugang zu Ihrem Netzwerk bekommt.
• ARP-GUARD erfasst verschiedene Eigenschaften, oft auf kryptografischer Basis, um ein Gerät eindeutig zu identifizieren.
• In der neuen Version 4.0 ist das Fingerprinting komplett neu geschrieben und komplett in‘s GUI integriert worden.
Controlware IT-Security Roadshow, Frankfurt
• Captive Portal für WLAN & LAN
• BYOD (bring your own device)
• Gezielter & beschränkter Netzwerkzugang
• Automatische Umleitung auf das Portal
• Verteilte dynamische Firewall
• MAC Authentifizierung (unmanaged Switches)
• Anpassung an vorhandene Routing-Strukturen
ARP-GUARD Captive Portal
Controlware IT-Security Roadshow, Frankfurt
• Keine Client-Installation, sondern WMI!
• Prüfung der Endgeräte, ob sie bzgl. der Sicherheitsrichtlinien compliantsind
• AV-Pattern, OS-Updates, Installierte Software
• Quarantäne-VLAN
ARP-GUARD Endpoint
Controlware IT-Security Roadshow, Frankfurt
Neu in Version 4.0 (1)
• Neu designtes Web-Interface- vollkommen neue und optimierte Benutzererfahrung- Bedieneroberfläche noch einfacher und intuitiver- erhöhter Anwendungskomfort dank überarbeiteter Schnittstellen
• Neues Fingerprinting mit erweitertem Monitoring und Profiling, komplett in das Web-Interface integriert, einfache Anwendung ohne Skripte oder kryptografischen Kommandos.
• Ab sofort ist ein Umbrella-Management-System für große Umgebungen und zum Lizenz-Management verfügbar.
• Das optimierte VLAN-Management unterstützt das Hinzufügen, Setzen und Entfernen von tagged VLANs (für VoIP oder WLAN Access Points)
Controlware IT-Security Roadshow, Frankfurt
Neu in Version 4.0 (2)
Controlware IT-Security Roadshow, Frankfurt
Neu in Version 4.0 (2)
Controlware IT-Security Roadshow, Frankfurt
RSA Konferenz April 2018 in San Francisco
• Vortrag von Jennifer Minella: Why your NAC projects keep failing: Addressingproducts, people, processes
• Most products are either primarily designed for RADIUS –OR- Non-RADIUS-based enforcement in the network, not both.
• Wireless: Low impact variance
• Wired: High impact variance
• Im Gegensatz zu vielen anderen Produkten beherrscht ARP-GUARD sowohl SNMP als auch RADIUS; darum ist (meines Wissens) auch noch kein ARP-GUARD Projekt gescheitert.
• https://www.rsaconference.com/writable/presentations/file_upload/tech-w14_-why-your-nac-projects-keep-failing.pdf
Controlware IT-Security Roadshow, Frankfurt
Branchenübergreifende Stärken von ARP-GUARD
• Hohe Verfügbarkeit für KRITIS
• Ein Ausfall des ARP-GUARD in der Betriebsart SNMP führt zu keinerlei Einschränkungen in der Produktivität!
• Der ARP-GUARD kommt z.B. auch in Kernkraftwerken zum Einsatz!
• Industrie 4.0 und Healthcare
• Endgeräte in Produktion, Versorgung und Healthcare sind oft verwundbar.
• Schutz von Industrieswitchen bei gleichzeitig hoher Verfügbarkeit.
• Eingriffe in Endgeräte, die z.B. laut Medizinproduktegesetz nicht zulässig sind, sind nicht erforderlich.
• Schutz sensibler Daten bei Finanzdienstleistern und Behörden
• Attacken auf Layer-2 Ebene werden erkannt und abgewehrt
Controlware IT-Security Roadshow, Frankfurt
• Standorte in Kiel und Lübeck
• 80 Kliniken
• 13.500 Mitarbeiter
• 30.000 Endgeräte
• 700 VLANs
Referenzen: Universitätsklinikum Schleswig-Holstein UKSH
Controlware IT-Security Roadshow, Frankfurt
Referenzen: Kunden aus allen Bereichen
Controlware IT-Security Roadshow, Frankfurt
Einsatzgebiete
Controlware IT-Security Roadshow, Frankfurt
Kontakt
Dr. Andreas Rieke, ISL Internet Sicherheitslösungen GmbH
Kaiserstraße 78, 58300 Wetter (Ruhr)
Fon: +49 2335/96756-0, Fax +49 2335/96756-50
http://www.arp-guard.com/, andreas.rieke@isl.de
Jörg Finck, ISL Internet Sicherheitslösungen GmbH
Kaiserstraße 78, 58300 Wetter (Ruhr)
Fon: +49 2335/96756-0, Fax +49 2335/96756-50
http://www.arp-guard.com/, joerg.finck@isl.de
4.0.0-0
top related