Netzwerk-Sicherheit & Intrusion Prevention

Netzwerkzugangskontrolle - Network-Access-Control 
- NAC

Zu Kontrollieren, wer sich im Unternehmensnetzwerk befindet und fremde Systeme auszusperren bzw. in Quarantäne zu verschieben ist bereits seit vielen Jahren - spätestestens seit der Erfindung der Laptops - ein wichtiges Thema. Allerdings ist die Umsetzung einer solchen Sicherheitseinrichtung bisher sehr aufwendig und komplex gewesen und hat in vielen Fällen nicht einmal richtig funktioniert. So haben sich verschiedenste Hersteller an dem Thema NAC versucht und sind gescheitert, da die Anforderungen der vielen unterschiedlichen Umgebungen nicht abzudecken waren.

Grundsätzlich lässt sich NAC in drei Schwerpunkte unterteilen:

  1. 1. Autorisierung

  2. 2. Authentifizierung

  3. 3. Richtlinienkonformität

Nun gibt es inzwischen am Markt verschiedenste Lösungen, die von sich behaupten alle drei Bausteine erfüllen zu können. Das kommt der Wahrheit allerdings nur nahe, da all diese Anbieter entweder große Veränderungen an der Netzwerkinfrastruktur erfordern oder einfach nicht auf alle Netzwerke passen.

Wichtig ist also eine flexible Lösung einzusetzen, die keinerlei Veränderung des Netzwerks erfordert und möglichst viel der 3 Bausteine abdeckt. Großartig ist es dann noch, wenn eine kombination mit anderen bereits im Einsatz befindlichen Lösungen möglich ist, die die Leistung erhöht und als Ganzes alle Anforderungen abdeckt. Eine so implementierte Lösung kann durch den kleinstmöglichen Aufwand den größtmöglichen Nutzen bringen und vor allem auch langfristig "gelebt" werden.

 

Prävention durch Intrusion Prevention

Immer raffiniertere Angriffs- und Eindringungsszenarien erfordern völlig neue Konzepte zu ihrer Prävention und Abwehr. Gerade in der letzten Zeit ist vermehrt zu erfahren, dass weltweit gezielte Angriffe auf Unternehmen jeder Art unternommen werden, sei es aus reiner Profitgier oder aus Geltungssucht, wenn man mit dem Erfolg prahlen kann.

Die Integrität und Verfügbarkeit der IT-Infrastruktur und Unternehmensdaten sind jedoch ein unverzichtbarer Erfolgsfaktor. Mit neuesten, zukunftsweisenden Technologien weltweit führender Hersteller können Sie Netzwerk und Daten auch gegen neue, noch unbekannte Gefahren und Angriffe absichern. Intrusion Prevention Systeme (IPS) gehen dabei einen erheblichen Schritt weiter als die früheren Intrusion Detection Systeme (IDS). Durch neue Technologien kann bereits an den ersten Datenpaketen einen Angriff erkannt und abgewehrt werden, bevor dieser die Zielgeräte erreicht hat. Dazu ist natürlich eine sehr leistungsfähige Plattform notwendig, um "Entscheidungen" in Echtzeit zu treffen und das Netzwerk nicht zu bremsen. Aus diesem Grund bilden IPS Systeme meist eine Einheit aus Hard- und Software mit einer speziell entwickelten Hardwareplattform. Gleichzeitig macht diese spezielle Hardwaretechnologie es Angreifern ungleich schwerer, sie zu überwinden als beispielsweise PC-Systeme mit Standardbetriebssystemen, deren Schwachstellen überall nachzulesen sind.

Neben dem Einsatz am Gateway bilden IPS Systeme einen weiteren Einsatzschwerpunkt, wo z.B. Server nicht mit aktuellen Patches, Servicepacks oder Virenscannern versehen werden können, weil kritische Unternehmensanwendungen darauf laufen und die Softwarehersteller jede Systemänderung erst genehmigen müssen. Hier sorgen vorgeschaltete IPS Systeme ohne Performanceeinbußen dafür, dass auch und gerade diese wichtigen Server umfassend geschützt sind. Ein Begriff der hier häufig ein verdeutlichendes Bild schafft, ist das sogenannte „Virtuelle Patchen“.

macmon - NAC

macmon – Network Access Control

 

Endlich eine Network-Access-Control Lösung die auch funktioniert!

Wie oben bereits beschrieben, haben sich in der Vergangenheit viele Hersteller an diesem Thema versucht und sind gescheitert. Mit macmon haben wir ein Produkt gefunden, welches einen einfach-pragmatischen Ansatz fährt, der aber umso effektiver und vor allem auch umsetzbar ist. Dabei schützt die herstellerunabhängige und modulare Network-Access-Control Software macmon das LAN vor unautorisierten, nicht sicheren Geräten und internen Angriffen.

macmon ist einer der Pioniere unter den heutigen Network-Access-Control (NAC) Systemen in Deutschland und wird bereits von über 300 namhaften Kunden wie Volkswagen, Müller Milch, SWR, Total, ZF, KfW, Vivantes oder dem Bundesministerium für Justiz eingesetzt.

 

Funktionsweise

Neue Geräte, die ans Netz angeschlossen werden, erkennt und lokalisiert macmon sofort. Sollte das Gerät unbekannt sein, alarmiert macmon und leitet bei entsprechender Konfiguration automatisch Gegenmaßnahmen ein, die von der E-Mail an den Administrator bis zur Sperrung des benutzten Switch-Ports reichen. macmon funktioniert herstellerunabhängig mit minimalem administrativen Aufwand. Durch die Nutzung der universellen SNMP/Telnet/SSH-Protokolle ist macmon mit naehzu jedem Switch-Hersteller und Modell kompatibel und kann sofort in Ihrer Netzwerkumgebung eingesetzt und genutzt werden.

Unterschiedliche Sicherheitsanforderungen von der Authentifizierung über MAC-Adressen, über eine Zertifikate-basierte Lösung nach IEEE 802.1X bis hin zur Umsetzung der Sicherheitskonzepte der Trusted Computing Group werden abgedeckt. In der Basisausstattung bietet macmon den IT - Grundschutz gemäß des BSI Grundschutzkatalogs. Die Optionen client compliancy, VLAN manager und advanced security gewährleisten die höchsten Sicherheitsanforderungen nach dem BSI Grundschutzkatalog.

Das gezielte Senden von gefälschten ARP-Paketen wird beim ARP-Spoofing oder auch ARP-Poisoning dazu benutzt, den Datenverkehr zwischen zwei Hosts in einem Datennetz abzuhören oder zu manipulieren. macmon schützt vor solchen Man-In-The-Middle Angriffen, indem es ARP - Veränderungen erkennt und auf diese über die Ereignisverarbeitung reagieren kann. Dies erfolgt zentral, ohne Sensoren in den einzelnen Netzwerksegmenten zu platzieren.

macmon bietet darüber hinaus zur Unterstützung des IT Bestandsmanagement Schnittstellen zu Configuration Management Databases< (CMDB). Die lückenlose Erkennung aller im Netzwerk befindlichen Geräte durch macmon, gewährleistet eine umfassende und aktuelle Bestandsaufnahme der im Unternehmensnetzwerk eingesetzten Geräte. Durch die automatische Datenbereitstellung wird die Bestandsdatenbank automatisch aktualisiert. Die optionale Funktionalität reduziert Betriebskosten und trägt zu Produktivitätssteigerungen im Unternehmen bei.

Mit dem macmon vlan-manager, einer Option des Basissystems macmon, können sowohl statische als auch dynamische VLAN-Konzepte mit geringem Aufwand eingeführt und betrieben werden.

Die macmon client compliance Option überprüft alle sicherheitsrelevanten Einstellungen der mobilen Endgeräte und prüft zentral gemäß der firmenspezifischen Sicherheitsrichtlinien die korrekte Konfiguration der Endgeräte, bevor Zugang zum Unternehmensnetzwerk gewährt wird. Veränderungen am Endgerät oder Angriffe werden von der macmon client compliance Option erkannt und die mobilen Endgeräte werden isoliert.

 

Kontrollierter Netzwerkzugang von Gästen: 
Herausforderung für Ihre IT-Sicherheit

In der heutigen Zeit müssen Organisationen und Unternehmen zur Erreichung Ihrer Ziele neben den internen auch externe Ressourcen wirkungsvoll einsetzen können. Hierzu muss die Möglichkeit gegeben sein sowohl eigenen Mitarbeitern als auch Gästen, Dienstleistern, Lieferanten und Kunden einen hinreichenden und sicheren Netzwerk-Zugang zu gewähren. Sei es, einen Internet Gastzugang zu ermöglichen oder einen LAN Gastzugang bereitzustellen, ohne die Anforderungen der Informationssicherheit, wie den Schutz vertraulicher Unternehmensdaten, zu verletzen.

Der macmon guest service ist ein Management- und Reporting-System zur Gewährung von kontrollierten temporären Netzwerkzugängen für Gäste, Besucher, Lieferanten, Berater und Kunden. Er ermöglicht ein sicheres Gästenetz.

Der Betrieb von Gastgeräten im Netz wird über ein Gutscheinsystem (Voucher) gesteuert. Die Gutscheine stellen den Zusammenhang zwischen dem Gast, seinem Gerät und der einladenden Stelle im Unternehmen her. So kann jederzeit nachvollzogen werden, welcher Gast in welchem Auftrag und zu welchem Zeitpunkt mit einem bestimmten Arbeitsplatzrechner und einer bestimmten Netzwerkadresse an welchen Orten im Netzwerk aktiv war.

Der macmon guest service wird in Verbindung mit der macmon-Appliance angeboten und ist als Erweiterung zu einer vorhandenen macmon-Lizenz zu erwerben.

McAfee - IPS

McAfee Network-Security-Platform

Die McAfee-Lösungen zum Eindringungsschutz für Netzwerke schützen Sie vor Unterbrechungen des Geschäftsbetriebs und bieten branchenführenden Schutz vor Hackern, Malware und Zero-Day-Missbrauch jeder Art. Sie zeichnen sich durch eine umfangreiche Abdeckung und soliden Schutz sowie unkompliziertes Verwaltung über ein vereinfachte, zentrale Web-basierte Konsole aus.

McAfee Network Security Platform ist das sicherste Netzwerk-IPS der Branche. Mit Unterstützung von McAfee Labs schützt es Kunden durchschnittlich bereits 80 Tage vor der eigentlichen Bedrohung. Die Lösung wehrt Angriffe in Echtzeit ab, bevor sie Schäden verursachen können und schützt alle mit dem Netzwerk verbundenen Geräte. Mit Network Security Platform können Sie automatisch Risiken verwalten und Compliance erzwingen. Zudem verbessern Sie die betriebliche Effizienz und reduzieren den IT-Aufwand.

McAfee Network Security Manager bietet eine Echtzeit-Übersicht und -Steuerung aller Eindringungsschutzsysteme und Network Access Control-Appliances von McAfee, die in Ihrem gesamten Netzwerk ausgebracht sind. Durch den Plug-and-Play-Betrieb, benutzerfreundliche Funktionen und Web-basiertes Management sparen Sie mit Network Security Manager Zeit, Mühe und Betriebskosten.

Network Security Platform setzt verschiedene leistungsstarke Entdeckungsmethoden ein, darunter Anwendungs- und Protokollanomalien, Signaturen, Shellcode-Entdeckungsalgorithmen und DoS- und DDoS-Prävention der neuen Generation. Hervorzuheben ist die Möglichkeit, mit Hilfe sogenannter virtueller Richtlinien unterschiedliche Vorgaben für  unterschiedliche Rechner zu definieren, selbst wenn deren IP-Traffic über eine einzige Leitung geht. Vorkonfigurierte Richtlinien wehren die gängigsten und gefährlichsten Bedrohungen ohne weitere Modifikationen ab.

Durch das GTI-Netzwerk von McAfee können damit ausgestattete Produkte Bedrohungen von verschiedenen Vektoren in Echtzeit bewerten, was zu schnellerer Erkennung von Bedrohungen und höheren Abfangraten führt. Network Security Platform nutzt die Datei- und Netzwerkanschluss-Reputationsdienste von McAfee GTI zum Auffinden von verdächtigen Dateien, ehe diese als Träger böswilliger Inhalte erkannt werden, sowie von infizierten oder als Hosts für Malware-Angriffe fungierenden Domänen-/IP-Adressen und zur Blockierung solcher Angriffe.

Das System arbeitet mit dem McAfee ePO, dem McAfee Vulnerability Manager und dem McAfee Network Access Control zusammen und kann auch 10 GB-Netzwerke schützen.

Onlinepräsentationen

Nutzen Sie die Erfahrung unserer Consultants und schauen sich unsere Lösungen in Live-Online-Demonstrationen an.

Lösungsüberblick

Lösungsüberblick
Network Security Intrusion Prevention Endpoint Security Management DLP, Port- und Device Management Risk- & Vulnerability Management, Complience Allgemeines Sicherheitsmanagement IT Notfall Management Gateway & Content Security Verschlüsselungstechnologien Mitarbeiterschulung & Awareness Consulting & Supportvereinbarungen