network access control€¦ · controlware it-security roadshow, frankfurt arp-guard fingerprinting...

Controlware IT-Security Roadshow, Frankfurt

Network Access Control

NAC-Projekte schnell, kostengünstig und sicher realisiert –

Wie Sie Ihre heterogene Infrastruktur optimal schützen


• ISL

• Anforderungen

• Network Access Control

• ARP-GUARD

• Neuigkeiten

• RSA-Konferenz

• Referenzen

• Kontakt

Inhalt


ISL Internet Sicherheitslösungen GmbH

Branche: Softwareentwicklung

Gründung: 1999

Mitarbeiter: 15

Standort: Bochum

Partner: 26

Lösung: ARP-GUARD seit 2003


• Grundschutzhandbuch

• MA Risk

• Kon TraG

• PCI/DSS

• ISO 27001

• Wirtschaftsprüfer

• Basel II/III

• Kritis

Anforderungen


NAC: Bedrohung

• Jeder, der Zugang zu Ihrem Gebäude hat, kann unbemerkt ein unautorisiertes Gerät in das Netzwerk einbringen!

• Verbreitung von Viren, Würmern und Trojanern

• Interne Angriffe

• Wirtschaftsspionage

• Sabotage

• Datenverlust

• Schädigung des Unternehmens


NAC: Andere Ansätze

• Physikalischer Schutz (bauliche Maßnahmen): Oft nicht machbar

• Konfiguration DHCP: Leicht zu umgehen

• Port Security: Extrem schwer zu administrieren

• 802.1X: Kostenaufwändig und angreifbar (im LAN)


• Möglichst homogene Infrastruktur

• Hoher administrativer Aufwand z.B. durch das Einspielen von Zertifikaten auf Endgeräten, neue Prozesse

• Hochverfügbarkeit – Redundanz der Systeme erforderlich, Ausfall der 802.1X-Lösung bedingt oft Ausfall des Netzzugangs

• Alte Geräte (z.B. Drucker), die MAC-basiert arbeiten, bleiben wenig geschützt

• User based: User können private Endgeräte einbringen!

• Certificate based: Es wird sichergestellt, dass es sich um eigene Geräte handelt.

NAC: 802.1X: Limitierungen


NAC: 802.1X: Sicherheit

802.1X Allgemein:

• Nicht die Person, sondern das Gerät trägt die Malware.

• Berechtigungen sind bei User Auth. übertragbar.

802.1X im WLAN: Hohe Sicherheit durch Verschlüsselung der Daten.

802.1X im LAN:

• Bei vielen Switches kinderleichte Angriffe nach Anmeldung eines legitimen Users (Session Hijacking)

• Viele Löcher durch alte Geräte (z.B. Drucker), die MAC-basiert arbeiten


ARP-GUARD

• Die ARP-GUARD Lösung schützt das Netzwerk vor fremden Geräten und internen Angriffen und kann diese regelbasiert und automatisch abwehren.

• Dank drei verschiedener Sensoren (SNMP-, RADIUS- und LAN-Sensor) können selbst große, verteilte Netze mit wenig Hardwareaufwand konsequent geschützt werden.

• ARP-GUARD ist seit 15 Jahren und bei mehr als 500 Kunden erfolgreich im Einsatz (Mercedes AMG, Wincor Nixdorf, XXXLutz, UK SH, …)


ARP-GUARD: Sensor-Management Architektur

• Unternehmensweite Richtlinien

• Rollenbasierte Administration

• Netzwerkzonen / FW

• Geschwindigkeit

• Geringe Datenlast


ARP-GUARD: Sicherheit und Flexibilität durch Methodenmix

802.1X

MAC based

RADIUSSNMP

• Lizenz ermöglicht Verfahren mit gleichem Feature Set

• Mischbetrieb von SNMP, MAC based RADIUS und 802.1X

• Einfache Migration von SNMP zu 802.1X


ARP-GUARD: Umbrella Management

…

Zentrale Daten:-Zentrale Logs-Zentrale Sensoren-Repository

Synchronisierte Daten:-Benutzer, Rollen und Rechte

-LDAP-Nutzer-Regelsätze / Policy

Dezentrale Daten:-Dezentrale Logs-Dezentrale Sensoren

Member A Member B


ARP-GUARD Vorteile

• ARP-GUARD lässt sich problemlos in bereits bestehende IT-Sicherheitsumgebungen einbinden.

• ARP-GUARD greift NICHT in interne Applikationen ein, erkennt aktuelle Bedrohungen als Beobachter und reagiert nur im konkreten Angriffsfall.

• ARP-GUARD ist beliebig skalierbar und Mandantenfähig.

• ARP-GUARD arbeitet hersteller- und plattformunabhängig mit allen gängigen Routern und Switches.

• Investitionen in neue Endgeräte oder neue Strukturen sind nicht erforderlich.


Zugriffsschutz vor unbekannten Endgeräten

Trennung von Netzen Dynamische VLAN-Zuweisung

Netzwerkmonitoring

Kryptografisches Fingerprinting

ARP-GUARD: Inhaltliche Anforderungen

Gastzugänge und BYOD (bring your own device) für Mitarbeiter, Gäste, Wartungstechniker und Dienstleister

Sicherheitspolicy für Endgeräte

Hohe Verfügbarkeit Redundanz durch Cluster


ARP-GUARD Monitoring/Access Control/VLAN Management

• Automatische Erfassung der Netzwerkinfrastruktur – grafische Darstellung der Topologie

• Neue Geräte, die ans Netz angeschlossen werden, erkennt und meldet ARP-GUARD automatisch. Der Anschluss unautorisierter Notebooks, WLAN-und sonstiger Geräte wird unterbunden.

• Bestandslisten werden auf dem neuesten Stand gehalten.

• Adressänderungen werden protokolliert und lassen sich zurückverfolgen.

• Umfassender Netzwerküberblick und schnelle Problemlösung


ARP-GUARD Fingerprinting

• Das Spoofen von MAC-Adressen können wir nicht verhindern.

• Aber wir können verhindern, dass jemand mit einer gespooften MAC Zugang zu Ihrem Netzwerk bekommt.

• ARP-GUARD erfasst verschiedene Eigenschaften, oft auf kryptografischer Basis, um ein Gerät eindeutig zu identifizieren.

• In der neuen Version 4.0 ist das Fingerprinting komplett neu geschrieben und komplett in‘s GUI integriert worden.


• Captive Portal für WLAN & LAN

• BYOD (bring your own device)

• Gezielter & beschränkter Netzwerkzugang

• Automatische Umleitung auf das Portal

• Verteilte dynamische Firewall

• MAC Authentifizierung (unmanaged Switches)

• Anpassung an vorhandene Routing-Strukturen

ARP-GUARD Captive Portal


• Keine Client-Installation, sondern WMI!

• Prüfung der Endgeräte, ob sie bzgl. der Sicherheitsrichtlinien compliantsind

• AV-Pattern, OS-Updates, Installierte Software

• Quarantäne-VLAN

ARP-GUARD Endpoint


Neu in Version 4.0 (1)

• Neu designtes Web-Interface- vollkommen neue und optimierte Benutzererfahrung- Bedieneroberfläche noch einfacher und intuitiver- erhöhter Anwendungskomfort dank überarbeiteter Schnittstellen

• Neues Fingerprinting mit erweitertem Monitoring und Profiling, komplett in das Web-Interface integriert, einfache Anwendung ohne Skripte oder kryptografischen Kommandos.

• Ab sofort ist ein Umbrella-Management-System für große Umgebungen und zum Lizenz-Management verfügbar.

• Das optimierte VLAN-Management unterstützt das Hinzufügen, Setzen und Entfernen von tagged VLANs (für VoIP oder WLAN Access Points)


Neu in Version 4.0 (2)


RSA Konferenz April 2018 in San Francisco

• Vortrag von Jennifer Minella: Why your NAC projects keep failing: Addressingproducts, people, processes

• Most products are either primarily designed for RADIUS –OR- Non-RADIUS-based enforcement in the network, not both.

• Wireless: Low impact variance

• Wired: High impact variance

• Im Gegensatz zu vielen anderen Produkten beherrscht ARP-GUARD sowohl SNMP als auch RADIUS; darum ist (meines Wissens) auch noch kein ARP-GUARD Projekt gescheitert.

• https://www.rsaconference.com/writable/presentations/file_upload/tech-w14_-why-your-nac-projects-keep-failing.pdf


Branchenübergreifende Stärken von ARP-GUARD

• Hohe Verfügbarkeit für KRITIS

• Ein Ausfall des ARP-GUARD in der Betriebsart SNMP führt zu keinerlei Einschränkungen in der Produktivität!

• Der ARP-GUARD kommt z.B. auch in Kernkraftwerken zum Einsatz!

• Industrie 4.0 und Healthcare

• Endgeräte in Produktion, Versorgung und Healthcare sind oft verwundbar.

• Schutz von Industrieswitchen bei gleichzeitig hoher Verfügbarkeit.

• Eingriffe in Endgeräte, die z.B. laut Medizinproduktegesetz nicht zulässig sind, sind nicht erforderlich.

• Schutz sensibler Daten bei Finanzdienstleistern und Behörden

• Attacken auf Layer-2 Ebene werden erkannt und abgewehrt


• Standorte in Kiel und Lübeck

• 80 Kliniken

• 13.500 Mitarbeiter

• 30.000 Endgeräte

• 700 VLANs

Referenzen: Universitätsklinikum Schleswig-Holstein UKSH


Referenzen: Kunden aus allen Bereichen


Einsatzgebiete


Kontakt

Dr. Andreas Rieke, ISL Internet Sicherheitslösungen GmbH

Kaiserstraße 78, 58300 Wetter (Ruhr)

Fon: +49 2335/96756-0, Fax +49 2335/96756-50

http://www.arp-guard.com/, [email protected]

Jörg Finck, ISL Internet Sicherheitslösungen GmbH

Kaiserstraße 78, 58300 Wetter (Ruhr)

Fon: +49 2335/96756-0, Fax +49 2335/96756-50

http://www.arp-guard.com/, [email protected]

4.0.0-0

network access control€¦ · controlware it-security roadshow, frankfurt arp-guard fingerprinting...

Documents