Kommunikationssysteme Netzwerk Barleben, 19. Mai macmon als Baustein für Ihr Sicherheitsmanagement im Netzwerk

Transkript

1 Kommunikationssysteme Netzwerk Barleben, 19. Mai 2009 macmon als Baustein für Ihr Sicherheitsmanagement im Netzwerk mikado soft gmbh Harry Broy

2

3 Daten und Fakten Gründung: 1983 Firmensitz: Berlin Vertriebsbüros: West Düsseldorf Süd München Mitarbeiter: ca

4 IT Sicherheits-Situation Die häufigsten Verstöße erfolgen intern vorhandene Sicherheitssysteme schützten jedoch vornehmlich vor externen Verstößen 6% Ehemalige Mitarbeiter Externe Verstöße 13 % Befragung über Verstöße bei der Netzwerksicherheit 250 europäische Unternehmen 50% der internen Verstöße sind vorsätzlich Nur 13% der Verstöße erfolgen extern 81 % Interne Verstöße Quelle: IDC

5 IT Sicherheits-Situation Herausforderungen beim Herstellen der inneren LAN-Sicherheit höhere Vertrauensstufen beachten Geringere Sicherheitsbarrieren für optimale Arbeitsfähigkeit. physische Zugriffsmöglichkeiten steuern Zugriff auf Netzwerkressourcen, Dokumentation etc. Performance Einbußen vermeiden Out-of-band-Lösungen erzeugen keinen Flaschenhals, die Performance bleibt erhalten. arbeitsrechtliche und gesetzliche Bestimmungen beachten Im Rahmen von Sicherheitsmaßnahmen erzeugte Protokolle dürfen nur eingeschränkt verwendet werden, um den Mitarbeiter vor Überwachungen zur Leistungsbeurteilung zu schützen

6 IT Sicherheits-Situation extern Firewall <Virenschutz> intern URL-Filter Viren-Scanner DMZ* Spam-Blocker <Sicherheits- Patches> <Keine Admin-Rechte> < Zugelassene Anwendungen> <Plug & Play Schutz> Die Sicherheitslücke: Fremde Systeme im Netzwerk * Eine demilitarisierte Zone ist der Bereich des Computernetzes, in dem nur sicherheitstechnisch kontrollierte Zugriffmöglichkeiten auf Server und Dienste angeboten werden

7 Wie sieht es in Ihrem Netzwerk aus? Sind Sie sicher: dass der Netzwerkverkehr nicht unerlaubt überwacht, manipuliert oder aufgezeichnet wird? dass keine Abhörgeräte vom Wettbewerb eingeschleust sind? dass sich keine Wireless-Access-Points in Ihrem Netzwerk befinden? dass keine privaten Geräte von Mitarbeitern angeschlossen werden? dass keine ungeprüften Geräte von Besuchern und Dienstleistern im Netz betrieben werden, die unautorisierte Software in das Netz einschleppen könnten?

8 IT Sicherheits-Situation Folgeschäden bei Sicherheitsverletzungen Verrat von Firmengeheimnissen (Entwicklung, Angebote, Kundendaten, ) Datenverlust und Beschädigung von Daten Produktionsausfall Öffentliche Diskreditierung und Imageverlust Persönliche Belangung im Schadensfall Klagen

9 IT Sicherheit: Anforderungen und Standards Compliancy Anforderungen Bundesdatenschutzgesetz (BDSG) Basel II Sarbanes-Oxley Act EuroSox (EU Directive No. 8 ) MaRisk KonTraG Umsetzung durch Standards BSI IT-Grundschutz-Kataloge Genehmigungsverfahren für IT- Komponenten (Maßnahme 2.216) Die Installation und Benutzung nicht freigegebener IT-Komponenten muss verboten und die Einhaltung dieses Verbotes regelmäßig kontrolliert werden. ISO IT Sicherheitsstandard gemäß IEC 27001/ Equipment identification in networks Automatic equipment identification should be considered as a means to authenticate connections from specific locations and Equipment

10 Network Access Control NAC als Baustein für das Sicherheitsmanagement Was ist Network Access Control? Im Netzwerk betriebene Geräte haben Zugriff auf LAN-Ressourcen, wenn sie für diese zugelassen sind und wenn sie den gültigen Sicherheitsstandards genügen. Network Access Control ist die Umsetzung der unternehmensinternen Sicherheits-Richtlinie für alle im Netzwerk betriebenen oder zu betreibenden Geräte

11 Schutz vor Fremdgeräten: macmon LAN Remote macmon läuft auf einem zentralen Server keine Agenten oder Sensoren erforderlich keine Veränderungen der Netzwerkstruktur Außenstellen werden mit überwacht herstellerunabhängig

12 Authentifizierung mit macmon RADIUS Gerätelokalisierung am Switch-Port LAN Schutz vor Fremdgeräten Erkennung und Lokalisierung von unautorisierten Geräten Erkennung von Veränderungen und Umzügen Live-Bestandsmanagement Remote 802.1x Zertifikatbasierte Authentifizierung möglich (IEEE 802.1x)

13 Schutz vor Fremdgeräten: macmon IP-Adressauflösung über ARP Netzwerkdienste DNS und DHCP LAN Erweiterte Endgeräte Identifizierung Schutz vor Angriffen Adress-Fälschung Angriffe auf Switches Remote ARP-Spoofing

14 ARP- Poisoning: Sniffen in geswitchten Netzen Client Server MAC: AA:AA:AA:AA:AA:AA IP: MAC: BB:BB:BB:BB:BB:BB IP: ARP-Tabelle IP MAC BB:BB:BB:BB:BB:BB ARP-Tabelle IP MAC AA:AA:AA:AA:AA:AA

15 ARP-Poisoning: Sniffen in geswitchten Netzen Client Server / Gateway MAC: AA:AA:AA:AA:AA:AA IP: MAC: BB:BB:BB:BB:BB:BB IP: ARP-Tabelle IP MAC BB:BB:BB:BB:BB:BB CC:CC:CC:CC:CC:CC Angreifer ARP-Tabelle IP MAC AA:AA:AA:AA:AA:AA CC:CC:CC:CC:CC:CC MAC: CC:CC:CC:CC:CC:CC IP: ARP-Poisoning: Sniffen in geswitchten Netzen Fälschen von ARP-Einträgen leicht möglich (Cain&Abel, Ettercap) Belauschen, Mitschnitt und Manipulation von Datenströmen

16 macmon Autorisierung VLAN-Management Funktionen VLAN 1 Verwaltung VLAN 99 Besucher VLAN 2 Produktion macmon visualisiert die bestehende VLAN-Konfiguration macmon managed VLANs automatisch und herstellerübergreifend macmon unterstützt VLAN-basierte Sicherheitskonzepte macmon benötigt nur eine einfache Struktur durch den zentralen Überwachungsserver

17 Besuchernetz VLAN 1 Verwaltung VLAN 99 Besucher VLAN 2 Produktion? macmon segmentiert das Netzwerk unabhängig von der physischen Struktur. macmon unterstützt Sicherheitskonzepte durch Abschottung der Netzwerkbereiche. macmon unterstützt das Besucher- oder Quarantäne- Netzwerk-Konzept Besuchernetze lassen sich auf Bereiche begrenzen (Beispiel: Konferenzräume)

18 Dynamische VLANs MAC ab MAC ab VLAN 99 Besucher Das VLAN wird durch das Endgerät bestimmt (MAC-Adresse VLAN-ID). VLAN 1 Verwaltung VLAN 2 Produktion MAC ab Die Anwender haben immer den richtigen Zugang zum Netz, unabhängig vom physischen Anschluss. Einfache Pflege, keine Nachkonfigurationen bei Umzügen oder mobilen Nutzern. Kein Switch-Knowhow bei den für die Pflege eingesetzten MA notwendig

19 unused blocked -Network No-Go-Netz Besucher Nicht benutzte Switchports werden in ein No-Go -Netz geschaltet. Der Port wird erst nach dem Anschluss eines Gerätes ans Netzwerk aktiviert. Unternehmens- Netz Remediation MAC ab Es erfolgt wahlweise eine Schaltung ins Unternehmensnetz, ins Besuchernetz oder ins Remediation -Netz. macmon verhindert Angriffe innerhalb des Pollingzyklus und passives Lauschen im Netz

20 Schutz vor Fremdgeräten: macmon? Regelbasiertes Eventmanagement Remote LAN X Flexible Reaktionen nach konfigurierbaren Regeln Meldungen an Administratoren und Helpdesk Sperren des Zugangs zum Netz Zeitliche, räumliche und logische Bedingungen möglich Quarantäne-, Remediation- und Besuchernetzwerke

21 Live Bestandsmanagement Bestandsmanagement Lokalisierung aller am Netzwerk angeschlossenen Geräte (Switchport genau oder bis zur LAN-Dose) Zugriffshistorie der Switch-Ports Erkennung nicht genutzter Switch-Ports Verfolgung von Umzügen Lokalisierung nicht genutzter Geräte CMDB-Anbindung zur Datenvalidierung

22 Live Bestandsmanagement Grundfragen des Bestandsmanagements Wie viele Geräte sind tatsächlich im Einsatz? Wo befinden sich die Geräte aktuell? Gab es Umzüge/ Standortveränderungen? Wie viele Geräte sind ungenutzt? Suche nach verschwundenen Geräten! Zurückholen von Geräten wegen Technologiewechsel oder bei Leasing-Geräte zur Rückgabe

23 Live Bestandsmanagement Bestandsdatenbank Asset Management CMDB Live Bestandsdaten Datenabgleich Schutz Verbesserung der Datenqualität Automatisierung der Datenpflege

24 macmon Statistik-Diagramme Grafische Darstellung aller Ereignisse in frei wählbaren Zeiträumen, zum Beispiel: - Anzahl Geräte - Umzüge - Anzahl unautorisierter Geräte

25 macmon active incident response macmon ermittelt für das IDS. macmon führt IDS-Aktionen aus.? Gefahr erkannt! Gefahr gebannt! 1. IDS: Intrusion detected durch IP-Adresse nn.nn.nn.nn 2. IDS macmon: Gerät lokalisieren. 3. macmon IDS: MAC-Adresse, Switch-Port. 4. IDS macmon: Switch-Port sperren. 5. macmon führt aus

26 macmon client compliance Option erweiterter Netzwerkzugangsschutz Uneingeschränkter Netzwerkzugang nur bei Erfüllung vorgegebener Sicherheitsrichtlinien. Virenscanner vorhanden und aktuell automatische Updates sind aktiviert bestimmte Sicherheitspatches installiert... Die Sicherheitsrichtlinien werden zentral festgelegt und deren Einhaltung beim Netzzugang geltend gemacht. Der Sicherheitsstatus der Endgeräte wird kontinuierlich überprüft, solange sie im Netzwerk betrieben werden

27 macmon client compliance Option client compliance Option Compliance Agent Scan Jobs Scan Daten compliant non-compliant

28 macmon client compliance Option Funktionen Ermittlung des Sicherheitsstatus der Windows-Clients - Benutzerrechte - Virenschutz - Updateservice Bewertung des Status anhand von Bedingungen - Compliant/ Non-compliant Fingerprint check - Beobachtung von Kenndaten Einleitung von Schutzmaßnahmen - Information, Isolation, Reporting

29 Kunden-Referenzen Regierungspräsidium Leipzig Leipziger Verkehrsbetriebe LaGeSo BVV Versicherungsverein des Bankgewerbes IHK Potsdam Landesrechnungshof Brandenburg Medizinische Hochschule Hannover Landratsamt Bodenseekreis Klinikum Barnim Landesamt für Finanzen Dresden Landesgewerbeanstalt Bayern

30 Neuerungen in Version 2.8 Filtern und Löschen mehrerer MACs in der Liste der unauthorisierten MACs. Ein neues Engine-Status-Log wird nur beim Beginn eines neuen periodischen Scans angelegt. Das aktuelle Log wird regelmäßig aktualisiert. Beschleunigtes Traphandling bei Traps während aktiver Scans. Beschleunigter Scan durch Migration der snmpscanner von php nach C. Beim Import von Devices kann der Device Type angegeben werden. Freeradius-Support für Cisco VMPS unter Linux/mysql ist implementiert. Cisco "mac-notification"-trap wird unterstützt. Abfragemethode DNS/nslookup

31 Kontakt mikado soft gmbh Bülowstraße Berlin Fon Fax info@mikado.de

32