ARP-Guard: moderne Zugriffskontrolle
Intelligenter Schutz für Ihr internes Netzwerk
Gefahr durch fremde Geräte und interne Angriffe
Moderne Zugriffskontrolle für Ihr Firmennetz
Firewalls schützen ein LAN gegen Angriffe von außen, doch wer verhindert, dass Besucher oder Mitarbeiter entgegen der Sicherheitspolicy eigene Geräte anschließen, die meist nicht den IT-Nutzungsrichtlinien entsprechen? Externe Endgeräte wie Notebooks, WLAN-Adapter oder sonstige Netzwerkkomponenten lassen sich per plug & play problemlos, unauffällig und schnell am Unternehmensnetz anschließen. Jeder, der Zugang zu Ihrem Firmengelände hat, kann unbemerkt ein unautorisiertes Gerät in das Netzwerk einbringen.
Bereits ein einziges unautorisiertes Gerät oder ein ungeschützter Zugangspunkt öffnet in einem Unternehmensnetz Tür und Tor für fatale Sicherheitsrisiken, selbst wenn sie nur aus Gedankenlosigkeit oder in bester Absicht in das LAN eingebracht werden. Die Gefährdungen sind vielfältig: Viren, Würmer und Trojaner können sich im gesamten Netz verbreiten oder ein ungeschützter WLAN-Access-Point öffnet das LAN für Datenspione und weitere unerlaubte Netzzugänge.
70–80 % aller Angriffe kommen aus dem inneren Netz
Wer einmal einen Zugriff hat, kann alle Hacking-Register ziehen, da im internen Netz oft ein unzureichendes Sicherheitsniveau herrscht. Gerade Angriffe auf Layer-2-Ebene bergen hier ein großes Gefährdungspotenzial.
Jeder, der Zugang zu Ihrem Netzwerk hat, kann z.B. ARP-Angriffe ausführen ohne zu riskieren, dass dies bekannt wird! Im Internet frei verfügbare Software versetzt potenzielle Angreifer in die Lage, als man-in-the-middle in jede Kommunikation einzudringen, Daten zu manipulieren oder sensible Informationen abzugreifen. Herkömmliche Sicherheitssysteme bieten vor diesen Bedrohungen keinen Schutz. Die interne Sicherheit ist die Herausforderung der Zukunft. Denn laut Statistik kommen 70–80 % aller Angriffe aus dem inneren Netz.
Selbst bei verschlüsselten Verbindungen wie z.B. SSL, SSH oder PPTP sind die Angriffe in der Regel erfolgreich.
ARP-Angriffe werden nicht bemerkt, in der Regel erkennen weder Firewall noch IDS-Systeme diese Angriffe. Diese Angriffe sind von jeder internen Maschine aus möglich.
Fast alle Firmennetze sind völlig ungeschützt vor internen Angriffen. ARP-Angriffe können auch über WLANs ausgeführt werden. Damit sind internen Angreifern alle Türen geöffnet zum Ausspähen von interessanten Informationen (Konstruktionspläne, Projektverlauf, Buchhaltung, Personal- und Finanzinformationen) bis hin zur Manipulation von sensiblen und wichtigen Unternehmensdaten.
Moderne Zugriffskontrolle für Ihr Firmennetz
Zugriff erst nach Authentifizierung
Wir bieten mit der ARP-Guard-Lösung der ISL GmbH in der Ausführung „Access+“ eine der 802.1x-Funktion ähnliche Zugriffskontrolle für Ethernetports in einem Netzwerk an. Über die vorhandene Switch-Infrastruktur werden Systeme anhand ihrer MAC-Adresse erkannt und lokalisiert und entsprechend der Konfiguration entweder vom Netzwerk ausgeschlossen, in ein bestimmtes VLAN eingeordnet und/oder zentral alarmiert.
Damit ist es möglich, jederzeit von einer zentralen Station aus Port-Security mit relativ geringem Aufwand für ein gesamtes Netzwerk umzusetzen. Als Voraussetzung sind lediglich managebare Switche notwendig, die über SNMP durch den ARP-Guard abgefragt und konfiguriert werden können. Dieses Verfahren bedeutet also wesentlich weniger Aufwand für die Planung und Implementierung. Vor allem sind keine Änderungen an der bestehenden Infrastruktur (Teilnehmer und Netzwerkkomponenten) notwendig.
ARP-Guard Mehrwerte
Darüber hinaus bietet ARP-Guard Mehrwerte im Bereich des Adress-Managements, der Inventarisierung und Auffindung von Systemen in einem Netzwerk. Weitere Softwaremodule erkennen auch die zuvor erwähnten Layer-2-Angriffe (ARP-Poisoning, MAC-Flooding, Spoofing) und reagieren mit entsprechenden Gegenmaßnahmen. Im Gegensatz zu Intrusion Prevention Systemen finden dabei keine aktiven Eingriffe in die bestehenden Datenströme statt, und die Gefahr von „False Positives“ ist nahezu ausgeschlossen.
Weitere ARP-Guard Features:
Network Access Control
Neue Geräte, die ans Netz angeschlossen werden, erkennt und meldet ARP-Guard und wehrt sie auf Wunsch automatisch ab. So können Sie den Anschluss unerwünschter Notebooks, WLAN- und sonstiger Geräte unterbinden.
Layer 2 IPS
ARP-Guard erkennt und lokalisiert interne Angriffe und wehrt sie automatisch ab.
- Daten können nicht mehr unbemerkt ausspioniert, gelöscht oder manipuliert werden.
- Geheime Produktentwicklungen und firmeninterne Passworte sind vor unerwünschtem Zugriff gesichert.
- Die Erkennung von IP-Spoofing verhindert die Erschleichung besonderer Rechte im Netzwerk.
Qualitätssicherung
Der Einsatz von ARP-Guard leistet hier wertvolle Unterstützung: Die Erkennung von IP-Adress-Konflikten und fehlerhaften DHCP-Servern vermeidet eine lange Fehlersuche und ermöglicht die schnelle und gezielte Problembehebung.
Alarmierung und/oder automatische Abwehr
Die Reaktionen im Angriffsfall können benutzerdefiniert eingestellt werden.
Flexible Alarmierung
Die Sicherheitsbeauftragten können wählen, ob sie im Angriffsfall per E-Mail, SNMP Trap, SMS oder benutzerdefiniertem Skript informiert werden möchten.
Zentral administrierbare Port-Security
Port-Security bietet die Möglichkeit, nur ausgewählte Geräte an bestimmten Ports zuzulassen. Viele Switches unterstützen Port-Security, jedoch implementiert jeder Hersteller eigene Ansätze, da Standards fehlen. Hinzu kommt, dass entsprechende Konfigurationen nur für den jeweiligen Switch gelten – kein Wunder also, dass dieses Feature in der Praxis nur selten eingesetzt wird.
Im ARP-Guard ist nun erstmalig ein Ansatz realisiert worden, bei dem zentral administrierbar und hersteller- und produktunabhängig eine erweiterte Port-Security erreicht wird.
ARP-Guard arbeitet switchübergreifend: Alle Einstellungen werden zentral administriert und wirken global. Der Administrationsaufwand wird durch diverse Features wie z.B. Gruppenbildungen bei Geräten und/oder Ports gering gehalten – dadurch werden hohe Folgekosten vermieden.
Dynamische Konfiguration von VLANs
Auch zu 802.1x bietet ARP-Guard eine wirksame und kostengünstige Alternative. Die Implementierung von ARP-Guard zieht keine Folgekosten nach sich.
Strong Authentication
Besonders sensible Bereiche werden bei der Zugriffsvergabe erst nach starker Authentifizierung freigegeben. Dies ist ein weiterer Grund, warum ARP-Guard höchste Sicherheit bietet.
Network Management
Das integrierte Adress-Management bietet eine umfassende Übersicht über ihr Netzwerk: Alle Veränderungen an den Zuordnungen werden protokolliert und dargestellt. Bestandslisten lassen sich leicht auf dem aktuellen Stand halten.
ARP-Guard lässt sich problemlos in bereits bestehende IT-Sicherheitsumgebungen (Firewalls, Virenscanner, Intrusion Detection Systeme) ohne großen Konfigurationsaufwand einbinden. ARP-Guard arbeitet hersteller- und plattformunabhängig mit allen gängigen programmierbaren Switches und ist beliebig skalierbar. Investitionen in neue Endgeräte oder neue Strukturen sind nicht erforderlich. Ein Vergleich mit anderen Ansätzen zeigt deutlich die Vorteile von ARP-Guard.