The Leading Network Access Control Solution

Transkript

1 System The Leading Network Access Control Solution

2 Von innen gestärkt. Eine wahre Geschichte: Es ist morgens um zehn vor neun. Zwei unauffällige Herren erkundigen sich freundlich am Empfang nach ihrem Neunuhrtermin. Sie sind früh und werden ordnungsgemäss ins Sitzungszimmer begleitet. «Ihr Gastgeber ist gleich bei Ihnen, richten Sie sich doch schon mal ein.» Auf Anfrage werden Strom und andere Anschlüsse gezeigt. Der Notebook für die Präsentation ist am Netz, der Trojaner, der sich gestern unbemerkt auf das Gerät geschlichen hat auch Die Bedrohung kommt durch die Haustür und ist auf Anhieb nicht als solche zu erkennen. Keine Internet Firewall, kein Web Proxy und kein noch so aufmerksamer Portier kann sie stoppen. Es sind Gäste und Mitarbeiter, die in den wenigsten Fällen vorsätzlich handeln. Die Rede ist nicht von Einzelfällen, denn über 50% der Angriffe stammen aus dem internen Netz. Das Netzwerkkabel im Sitzungszimmer, in Büros oder an anderen leicht zugänglichen Orten ist deshalb der Eintrittspunkt, den es zu schützen gilt. Das System ist eine Network Access Control (NAC) Lösung und erkennt alle aktiven Endgeräte am Netzwerk. Dank Richtlinien lässt es nur die erwünsch ten Endgeräte zum produktiven Netzwerk zu. Es lässt sich einfach integrieren und erlaubt vom ersten Moment an eine lückenlose Sicht auf alle aktiven Komponenten am Netzwerk.

3 Nach wenigen Stunden einsatzbereit. Schnelle Integration und tiefe Betriebskosten Keine Fremdgeräte mehr am Netz Das System (NAS) fokussiert auf die massgebenden Funktionen einer NAC-Lösung. Es ist schnell in die vorhandene Infrastruktur und die Betriebsprozesse integriert. Es unterstützt unabhängig vom Hersteller alle Endgerätetypen und Netzwerkinfrastrukturen. In wenigen Stunden ist das NAS einsatzbereit und schützt zuverlässig das gesamte Netzwerk. Die intuitive grafische Oberfläche ist einfach zu bedienen und erlaubt die Automatisierung vieler Betriebsaufgaben. Das System überprüft alle aktiven Endgeräte, die in seinem Wirkungsbereich mit dem Netzwerk verbunden werden. Endgeräte, die unbekannt sind oder nicht dem Unternehmensstandard entsprechen, erhalten nur beschränkten oder gar keinen Zugriff auf wichtige IT-Ressourcen. Die Kriterien dazu können individuell festgelegt werden. Alle Endgeräte am Netz werden registriert. Das sensibilisiert die Benutzer und verbessert die Sicherheit zusätzlich. Übersicht über das Netzwerk Von Beginn an ermöglicht NAS eine aktuelle Sicht auf die aktiven Endgeräte am Netzwerk. Einmal aktiviert, steht auf Knopfdruck zu jedem Zeitpunkt eine lückenlose Historie aller Veränderungen zur Verfügung. Für die Nachvollziehbarkeit lassen sich so alle Verschiebungen von Endgeräten innerhalb des Netzwerks aufzeichnen und belegen. Die Sicht auf alle nicht genutzten Netzwerkports ist nur eine von vielen weiteren Auswertungsmöglichkeiten. Im Abgleich mit einem Endgeräteinventar lässt sich zudem die Datenqualität des Inventars einfach verbessern und dauerhaft erhalten.

4 Einzigartige Architektur. Keine Angst vor heterogenen Netzwerken Das System passt sich seiner Umgebung an. Durch die offene Out-of-Band-Architektur lässt sich die Lösung problemlos in sehr heterogene Netz- und Endgeräteumgebungen integrieren. Verschiedene Authentisierungsverfahren ermöglichen die Identifikation beliebiger Endgeräte im LAN, WLAN und über mehrere Standorte hinweg. Einfache, wirksame Regeln Das frei konfigurierbare Regelwerk von NAS erlaubt die Definition der passenden Richtlinien für jeden beliebigen Endgerätetyp, einzeln oder in Gruppen. Der Netzzugang für ein Endgerät wird automatisch auf das gewünschte Verhalten eingestellt. Das unbekannte Notebook im Sitzungszimmer wird so automatisch in ein Besuchernetz verschoben, wo es keinen Schaden anrichten kann. Die Zuordnung der Konfiguration auf den Switchport erfolgt dabei dynamisch. Aufwendige manuelle Eingriffe gehören damit der Vergangenheit an. Resultate aus Überprüfungen des Endgerätezustands können bei Bedarf einfach ins Regelwerk integriert werden. Bekannte Notebooks ohne aktualisierten Virenschutz können in einen Quarantänebereich überführt werden, wo ein Update erfolgen kann. Und sollte das alles nicht genügen, erbringt USP die weitere Entwicklung vor Ort schneller werden Zusatzwünsche nirgends erfüllt. Das System trägt das Qualitätslabel der Schweizer Software-Industrie 100% Swiss Made Software!

5 Massgeschneiderte Bezugsmodelle. Die Lösung ist als Hardware Appliance oder als virtuelle Appliance (ESX) verfügbar. Beide Varianten bieten Standardschnittstellen für die externe Überwachung des Systems. Integriert sind auch Funktionen für ein automatisiertes Backup & Restore, periodische Software Updates und Monitoring. Die Vielfalt der Schnittstellen erlaubt eine einfache Anbindung an die vorhandene Betriebsinfrastruktur und erleichtert den täglichen Betrieb. Dank der Out-of-Band-Architektur und der geringen Bandbreitennutzung skaliert das NAS auf beliebige Netzwerkgrössen. Mehrere tausend Switches und Routers und bis zu Endgeräte können mit einer zentralen Appliance überwacht werden. Ein Team von Experten berät und unterstützt Sie in allen Fragen zur Evaluation, zur Integration und zum Betrieb. In der USP NAS Hardware Appliance sind alle kritischen Komponenten redundant ausgelegt.

6 United Security Providers protecting what matters. Führende Spezialisten für Informationssicherheit haben sich vereint, um Lücken in der Netzwerk- und Applikationssicherheit zu schliessen: United Security Providers. Mit über 80 hoch qualifizierten Fachkräften packen wir als Schweizer Branchenleader diese Aufgabe immer häufiger auch international an. Im Zentrum steht die optimale Sicherheit Ihrer Geschäftsprozesse, sowohl punkto Vertraulichkeit wie auch Verfügbarkeit. Lösungen von United Security Providers schützen Ihre bestehende IT-Infrastruktur wirksam und bieten Ihnen gleichzeitig Möglichkeiten, die Komplexität zu vereinfachen. So geniessen Sie wertvolle Bewegungsfreiheit, um Ihre Prozesse bei Bedarf auf sich verändernde Kundenbedürfnisse und Marktanforderungen auszurichten und Ihre Wettbewerbsposition zu stärken. Seit 1994 vertraut eine wachsende Anzahl Kunden auf United Security Providers renommierte Schweizer Finanzdienstleister, Verwaltungen, Spitäler, multinationale Unternehmen sowie Transport- und Logistikunternehmen, die Spitzenprodukte und Spitzenleistungen verlangen. Wir bieten dies 7 24 Stunden und betreiben missionskritische Netzwerk- und Sicherheitsinfrastrukturen an über 200 weltweit verteilten Standorten. Unsere sorgfältig ausgewählten Geschäftspartner unterstützen Sie bei der Auswahl und der Integration der für Sie passenden Lösung. So ist United Security Providers auch international in Ihrer Nähe.

7 System Die Funktionsweise. 1 Angreifer Angreifer Mit- Mitarbeitendearbeitender Mitarbeitender Gast Gast Angreifer Diverse Geräte wollen sich an das interne Netzwerk anschliessen. Gast Endgerät, Endgerät, z.b. Firmendrucker z.b. Firmendrucker 2 Endgerät, z.b. Firmendrucker System System TM REGELN: TM REGELN: Erlaubt? Erlaubt? Alarm? Alarm? Blockieren? Blockieren? Isolieren? Isolieren? System TM POLICY POLICY POLICY REGELN: Erlaubt? Alarm? Blockieren? Isolieren? Helpdesk Helpdesk Helpdesk Der Access Switch benachrichtigt das NAS, dass ein neues Gerät ans Netzwerk angeschlossen wurde. Das NAS überprüft anhand der definierten Policy und der Inventardatenbank, ob es ein be- rechtigtes Gerät ist und welche Regel angewendet werden muss. Über den Helpdesk ist es möglich, Gästegeräte temporär für einen Netzwerkzugriff freizu schalten. 3 System System TM TM Zugriff Zugriff verweigert verweigert MITARBEITERZONE MITARBEITERZONE (Vollzugriff) Zugriff (Vollzugriff) verweigert System TM GASTZONE GASTZONE (Teilzugriff) (Teilzugriff) QUARANTÄNEZONE QUARANTÄNEZONE (überprüfen) (überprüfen) QUARANTÄNEZONE (überprüfen) MITARBEITERZONE (Vollzugriff) GASTZONE (Teilzugriff) Das NAS sendet die Information (Zugriff erlaubt/verweigert sowie Zuweisung in die entsprechende Zone) an den Switch. Dieser setzt den Befehl um.

8 System TECHNISCHE INFORMATIONEN. Kommunikation mit der Netzwerk-Infrastruktur SNMP v1, v2c oder v3 SNMP Traps SNMP MIB-II (IP-MIB, IF-MIB, Bridge-MIB) SNMP Q-Bridge-MIB oder herstellerspezifische MIBs für VLAN-Informationen IEEE 802.1x IEEE 802.1Q VLAN Dynamic VLAN Assignment DNS Zone Transfer (RFC 1995) IEEE 802.1x Support IEEE 802.1x RADIUS (RFC 3580) EAP (RFC 3748, RFC 2716) RADIUS Proxy Support User-Interface HTTPS, SSL / TLS (RFC 4346) Web-GUI mit rollenbasiertem Berechtigungsmodell Vordefinierte Rollen: Helpdesk, Support, Admin, Reporting Management-Interface Management Web-GUI (HTTPS) SSHv2 Zentrale Konfigurationsverwaltung in Web-GUI integriert Logging, Monitoring und Alerting Integrierte Monitoringlösung für die Überwachung der Appliance Hardware, des Betriebssystems und der Appli kationsdienste. Alerthandling und grafische Darstellung der Systemressourcen und -dienste. Alle wichtigen Ereignisse werden im Log für die Nachvoll ziehbarkeit festgehalten. Weiterleitung beliebiger Typen von Logmeldungen und Alerts wahlweise mittels Syslog, SNMP Trap und/oder . Event-Scripting mit beliebig definierbaren Aktionen, z.b. Versenden von s, SMS oder Eröffnen eines Trouble-Tickets in einem Ticketingsystem. Schnittstellen für den Datenaustausch Import-Schnittstelle mit Support für mehrere unabhängige Quellsysteme JDBC, ODBC, SQL, XML Import von Flatfiles (CSV) via SFTP Reporting In das Web-GUI integrierte Reporting-Engine Outputformat HTML, PDF oder Textfiles Möglichkeit zur Anbindung von Reporting-Tools wie z.b. Business Objects, Crystal Reports etc. Performance und Verfügbarkeit Gespiegelte Datenhaltung in geografisch entfernten Standorten. Aktiv/Passiv-Redundanz mit synchronisierter Datenbank. Multi-Threaded-Architektur, gute Skalierbarkeit bei Einsatz von Multi-Core CPUs Ein zentrales System kann problemlos mehrere tausend Switches und Routers und mehrere zehntausend Endgeräte überwachen, die maximale Grösse hängt nur von der eingesetzten Hardware bzw. der Appliance und den durchschnittlichen Latenzzeiten im Netzwerk ab. Plattform für Software-Lösung Java -Plattform, Standard Edition, Version 6 (oder höher) Servlet 2.4 / JSP 2.0 Web Container (z.b. Tomcat 5.x) Linux oder UNIX Betriebssysteme Appliance Standard Rackserver (einfache Bauhöhe) Intel Xeon QuadCore CPU, 8GB RAM (erweiterbar) 2 Hotplug 73GB SAS Harddisks RAID 1 2 Hotplug Power Supplies

9 United Security Providers AG Stauffacherstrasse 65/15 CH-3014 Bern United Security Providers AG Förrlibuckstrasse 220 CH-8005 Zürich Fon Fax Fon Fax