Network Access Control Endpoint Network Management Layer 2 IPS

Transkript

1 Network Access Control Endpoint Network Management Layer 2 IPS Schutz vor fremden Geräten und internen Angriffen

2 Einleitung Herzlich willkommen! In der Vergangenheit wurde viel Energie in die Erkennung und Abwehr von externen Angriffen (Hacker, Viren usw.) investiert. Durch gute Produkte und Dienstleistungen kann man heute weitreichende Sicherheit in diesem Bereich herstellen. Gegen interne Angriffe sei es von eigenen Mitarbeitern oder Dritten wurden jedoch kaum Schutzmaßnahmen getroffen. Dabei kommen bis zu 80% aller Angriffe von innen (KPMG)!

3 Inhalt ISL Anforderungen Regulatorisch Betrieblich Andere Ansätze ARP-GUARD Wirtschaftlichkeit Neuigkeiten Referenzen Kontakt

4 ISL ISL steht für Internet Sicherheitslösungen und firmiert als GmbH. ISL wurde im April 1999 als deutsches Unternehmen mit Sitz in Hagen/Westf. gegründet. ISL hat sich zunächst einen Überblick über alle Aspekte der IT- Sicherheit verschafft und sich dann auf interne Bedrohungen konzentriert. Das Produkt ARP-GUARD wurde erstmals auf der Systems 2003 vorgestellt.

5 Regulatorische Anforderungen Grundschutzhandbuch MA Risk Kontrag PCI/DSS ISO Wirtschaftsprüfer Basel II/III

6 Betriebliche Anforderungen 1 Zugriffsschutz Bildung von Schutzzonen Schutz vor internen Angriffen Sicherheitspolicy für Endgeräte Netzwerkmonitoring Schutz der Produktion Die Privilegierten Die Guten Die Bösen

7 Betriebliche Anforderungen 2 Gastzugänge und BYOD (bring your own device) für Freie Projektmitarbeiter Wartungstechniker Freelancer Zulieferer Dienstleister Gäste

8 Fremde Geräte: Bedrohung Jeder, der Zugang zu Ihrem Gebäude hat, kann unbemerkt ein unautorisiertes Gerät in das Netzwerk einbringen! Verbreitung von Viren, Würmern und Trojanern Interne Angriffe Wirtschaftsspionage Sabotage Schädigung des Unternehmens

9 Fremde Geräte: Alternativen Physikalischer Schutz (bauliche Maßnahmen): Oft nicht machbar Konfiguration DHCP: Leicht zu umgehen Port Security: Extrem schwer zu administrieren 802.1X: Kostenaufwändig und kinderleicht angreifbar

10 Port Security Unterschiedliche Hersteller und Produkte (kein Standard verfügbar) Konfiguration gilt nur für einen Switch Oft Abhängigkeiten von anderen Features eines Switches Beschränkte Möglichkeiten Extrem aufwändige Konfiguration

11 802.1X: Einsatzbereiche Neue Switches Keine/wenig alte Endgeräte Zentrale Auth. verfügbar Kompatibilität geprüft Hochverfügbarkeit Zentrale Auth. Anbindungen zu anderen Standorten

12 802.1X: Realisierung Homogene Switches? Einheitliche Authentisierungs-Verfahren für alle Switches? Kompatibilität? Konfiguration einzelner Ports: Trunk? Endgerät ohne 802.1X? Einspielen von Zertifikaten auf Endgeräten Viele neue Prozesse, hoher administrativer Aufwand!

13 802.1X: Compliance und Verfügbarkeit User based: Keine Aussage über Compliance möglich! Certificate based: Es wird sichergestellt, dass es sich um eigene Geräte handelt. Nach einem Ausfall der 802.1X- Lösung kann ein Port theoretisch freigeschaltet werden. Praktisch fällt aber das komplette Netz aus, weil ja keine VLAN-ID für das Endgerät bekannt ist. Selbst mit HA-Lösung ist 802.1X kritisch, insbesondere für entfernte Standorte.

14 802.1X: Sicherheit 802.1X Allgemein: Nicht die Person, sondern das Gerät trägt die Malware. Berechtigungen sind bei User Auth. übertragbar X im WLAN: Hohe Sicherheit durch Verschlüsselung der Daten X im LAN: Bei vielen Switches kinderleichte Angriffe nach Anmeldung eines legitimen Users (Session Hijacking) Viele Löcher durch alte Geräte (z.b. Drucker), die MAC-basiert arbeiten

15 ARP-GUARD ISL hat mit ARP-GUARD ein Produkt entwickelt, das gezielt vor internen Angriffen und fremden Geräten schützt und diese sogar automatisiert abwehren kann. Durch drei verschiedene Sensoren (SNMP-, RADIUS- und LAN- Sensor) können selbst große, verteilte Netze mit wenig Hardwareaufwand konsequent geschützt werden. ARP-GUARD ist bei verschiedenen Kunden (z.b. Mercedes AMG, Wincor Nixdorf, BMWi, ) erprobt und von der Syss und vom Heise-Verlag ausgiebig getestet worden.

16 ARP-GUARD Infoveranstaltung

17 ARP-GUARD ARP-GUARD bietet Schutz vor unerwünschten Geräten! Das integrierte Adressmanagement bietet eine umfassende Übersicht über ihr Netzwerk. Neue Geräte, die ans Netz angeschlossen werden, erkennt und meldet ARP-GUARD automatisch. Der Anschluss unautorisierter Notebooks, WLAN- und sonstiger Geräte wird unterbunden. Bestandslisten werden auf dem neuesten Stand gehalten. Adressänderungen werden protokolliert und lassen sich zurückverfolgen.

18 ARP-GUARD: Positionierung Alternative zu 802.1X: ARP-GUARD ist eine pragmatische Alternative zu 802.1X. Wesentliche Vorteile: Kosten und Zeitaufwand sind kalkulierbar. Keine Probleme mit Kompatibilität Geringer Admin- Aufwand Migration zu MAB bzw X: ARP-GUARD ermöglicht einen Mischbetrieb mit SNMP/MAB/802.1X und kann daher mit alten Switches bzw. alten Endgeräten umgehen. ARP-GUARD kann mit Sensoren auch für entfernte Standorte eine ausreichend hohe Verfügbarkeit sicherstellen.

19 ARP-GUARD ARP-GUARD lässt sich problemlos in bereits bestehende IT- Sicherheitsumgebungen einbinden. ARP-GUARD greift NICHT in interne Applikationen ein, erkennt aktuelle Bedrohungen als Beobachter und reagiert nur im konkreten Angriffsfall. ARP-GUARD ist beliebig skalierbar und mandantenfähig. ARP-GUARD arbeitet hersteller- und plattformunabhängig mit allen gängigen Routern und Switches.

20 ARP-GUARD: Kompatibilität Alcatel-Lucent Allied Telesis Avaya/Nortel Brocade (Foundry) Cisco Systems Dafür Dell D-Link Extreme/Enterasys Hewlett-Packard/3Com Hirschmann Industries Huawei/H3C Juniper (nur RADIUS) Linksys Microsens Netgear Nexans Alle Geräte, die internationale Standards unterstützen

21 ARP-GUARD Investitionen in neue Endgeräte oder neue Strukturen sind nicht erforderlich. ARP-GUARD zeichnet sich durch gar keine bzw. extrem wenige false positives aus. Im Vergleich zu Mitbewerber-Produkten (Cisco s Dynamic ARP inspection oder 802.1X) ist ARP-GUARD sehr preisgünstig.

22 ARP-GUARD Module Manage: Vollständige grafische (Topologie) und tabellarische Übersicht Access: Erkennung von fremden Geräten Port-Abschaltung Access+: VLAN-Management Fingerprinting Defend: Erkennung von internen Attacken (ARP-Spoofing, Poisoning und andere) Port-Abschaltung

23 ARP-GUARD Manage: Topologie (hierarchisch)

24 ARP-GUARD Manage: Topologie (Energie)

25 ARP-GUARD Fingerprinting Der Angreifer muss zunächst wissen, dass MAC-Adressen relevant sind. MAC-Adressen sind fälschbar, wenn Know-How vorhanden Admin-Rechte vorhanden Legitime Adresse bekannt Darüber hinaus sind Fingerprints möglich, und zwar oft sogar auf kryptografischer Basis.

26 ARP-GUARD Add-Ons Rollenorientiert Captive Portal Add-On Dynamische Firewall LAN / WLAN Selbstregistrierung Endpoint Add-On Endgeräte-Status AV Pattern Status Windows OS Status Cluster Add-On Verfügbarkeit Virtuelle Appliance Appliance ARP-GUARD

27 Endpoint Add-On Wie kann ich ohne zusätzliche Software auf dem Client Informationen über den Client bekommen? 1. WMI (Windows Management Instrumentation) 2. Port Scans/OS fingerprinting 3. Traps von AV-Servern 4. Analyse der Kommunikation mit Update-Servern

28 Endpoint Add-On: Blacklisting und Whitelisting Blacklisting: Endgeräte, die als veraltet oder infiziert bekannt sind, werden vom Netzwerk getrennt oder in die Quarantäne verschoben. Whitelisting: Endgeräte, die regelmäßig Updates melden, werden als aktuell geführt. Nach einer vorgegebenen Zeit ohne Update gelten die Geräte als veraltet und werden vom Netzwerk getrennt oder in die Quarantäne verschoben.

29 Endpoint Add-On: Beispiel Infoveranstaltung

30 Captive Portal Captive Portal für WLAN & LAN BYOD (bring your own device) Gezielter & beschränkter Netzwerkzugang Automatische Umleitung auf das Portal Verteilte dynamische Firewall MAC Authentifizierung (unmanaged Switches) Anpassung an vorhandene Routing-Strukturen

31 ARP-GUARD Appliances ARP-GUARD wird als Appliance (Bundle von Hard- und Software) sowie als VMware-Paket angeboten und arbeitet unter Linux (CentOS). Die ARP-GUARD Appliance ist in Zusammenarbeit mit der SECUDOS GmbH entstanden, wird mit vorinstallierter Software geliefert (keine Probleme mit Betriebssystemversionen, Treibern, o.ä.) und wird komplett über ein Web- Interface konfiguriert. Der ARP-GUARD Sensor ist auch unter Windows lauffähig.

32 ARP-GUARD: Appliances Endgeräte AG-150 S AG-250 AG-450 AG-455 AG-650 AG-850 Max Max Gehäuse Tisch 19" 1 HE Rack Ports 6*10/ 100/1000 6*10/ 100/1000 Max " 1 HE Rack 6*10/ 100/1000 Max " 1 HE Rack 6*10/ 100/1000 Max " 1 HE Rack 4*10/ 100/1000 Max " 2HE Rack 4*10/ 100/1000 Speicher 2 GB 2 GB 4 GB 8 GB 16 GB 32 GB CPU 1,8 GHz 1,8 GHz Dual Core 3,3 GHz Quad Core 3,1 GHz Hexa Core 2,4 GHz 2 Hexa 2,0 GHz

33 Wirtschaftlichkeit von NAC-Lösungen im LAN Kosten 802.1X: Ersatz alter Switches Aufbau einer PKI Ausrollen von Zertifikaten Hohe Verfügbarkeit Definition neuer Prozesse Hoher personeller Aufwand Nutzen 802.1X: VLAN-Management Schutz vor unwissenden und freundlichen Fremden Aber: Kein Schutz vor echten Angreifern (802.1X session hijacking) Wenig Schutz bei MACbasierten Endgeräten

34 Wirtschaftlichkeit von NAC-Lösungen im LAN Kosten Fingerprinting: Klassifikation von Freund und Feind Keine Zusatzkosten durch das Fingerprinting Nutzen Fingerprinting: VLAN-Management Schutz vor unwissenden und freundlichen Fremden Fingerprinting für alle Endgeräte Erkennung und Abwehr von Session hijacking z.b. durch IP-Adressen

35 Wirtschaftlichkeit von NAC-Lösungen im LAN 802.1X: Hohe Kosten Mittelmäßiger Nutzen Fingerprinting: Geringe Kosten Hoher Nutzen Schlechte Wirtschaftlichkeit! Gute Wirtschaftlichkeit!

36 ARP-GUARD: Neu in Version (ab 9/14) Komplettes Redesign des RADIUS-Servers: Verschiebung vom Management-System zum Sensor, daher jetzt verteilt einsetzbar Support von EAP-PEAP, EAP-TLS und EAP-TTLS. Unterbrechen von Verbindungen (CoA) Widerrufen von Zertifikaten per CRL oder OCSP Eigene CA oder Import von Zertifikaten Jeder Sensor kann den Betrieb in einem entfernten Standort aufrecht erhalten, auch wenn die Verbindung zum Management-System abbricht.

37 ARP-GUARD: Neu in Version 3.4 (ab 11/15) Anbindung an MDM-Systeme Erweiterung des einzigartigen Fingerprintings: Fingerprinting nach RADIUS-Anfragen Periodisches Fingerprinting Passwort-Verschlüsselung Software-Repository für verteilte Strukturen Zentralisierung diverser Konfigurationen im Regelsatz (z.b. Port-Security) Umstellung des Captive Portals auf concurrent Lizenzen

38 Referenzen: Kunden aus allen Bereichen

39 Referenzen: Ca. 85 Sparkassen Infoveranstaltung

40 Kontakt Thomas Stutz, Omicron AG Industriestr. 50b, CH-8304 Wallisellen Fon: , Fax Dr. Andreas Rieke, ISL Internet Sicherheitslösungen GmbH Kaiserstraße 78, Wetter (Ruhr) Fon: / , Fax /