ARP-GUARD Fingerprinting

Es wird heutzutage immer wichtiger, den Zugang zum Unternehmensnetz zu kontrollieren - in erster Linie um die Sicherheit der Unternehmensnetze zu gewährleisten. In den letzten Jahren haben sich verschiedene Verfahren zur Zugangskontrolle etabliert. Eine einfache Form stellt die Zugangskontrolle per MAC (Media Access Control) Adresse dar.

Dieses Verfahren kann per SNMP (Simple Network Management Protocol) als reaktive Variante integriert werden, mit der keine hohen Anforderungen an die Ausfallsicherheit bestehen. RADIUS hingegen stellt eine proaktive Alternative dar, welche ausfallsicher betrieben werden muss und moderne Router und Switches benötigt. Mit 802.1X von IEEE liegt ein internationaler Standard vor, der Protokolle wie RADIUS verwendet.

Der Vorteil von 802.1X liegt darin, dass zur Authentifizierung und evtl. auch zur Verschlüsselung kryptographische Protokolle verwendet werden, die das Verfahren in WLAN-Umgebungen sehr sicher machen.Es ist allgemein bekannt, dass MAC-Adressen leicht gefälscht werden können und so der Zugangsschutz per MAC-Adresse ein eher niedriges Sicherheitsniveau bietet. Eher weniger bekannt ist, dass 802.1X im LAN ebenso unsicher ist, da das Verfahren wegen fehlender Verschlüsselung mittels Session Hijacking umgangen werden kann. Hinzu kommt, dass viele Endgeräte und Switches den 802.1X Standard heute noch nicht unterstützen. Für die modernen Geräte, welche 802.1X unterstützen, ist der Aufwand der Implementierung jedoch sehr hoch, da oft für jedes Endgerät Zertifikate generiert und ausgerollt werden müssen.

Spätestens ab diesem Punkt stellt sich die Frage, ob der hohe Aufwand nötig ist - Warum werden die kryptographischen Zertifikate bzw. Schlüssel nicht besser genutzt, da auf den meisten Endgeräten solche bereits vorhanden sind. Die Experten der ISL GmbH haben mit und für den ARP-GUARD ein Fingerprinting entwickelt, welches zunächst nach Schlüsseln/Zertifikaten auf den Endgeräten sucht und diese als Referenzwert in seiner Datenbank speichert. Sollte das identische Gerät nochmals im Netz aktiv werden, wird erneut ein öffentlicher Schlüssel bzw. ein Zertifikat vom Endgerät heruntergeladen und mit dem Referenzwert verglichen. Falls diese nicht übereinstimmen, wird das Gerät aus dem Netzwerk entfernt. Beim Fingerprinting sind prinzipiell die gleichen Session Hijacking Attacken möglich wie bei 802.1X, doch hier kann man allerdings leicht weitere Bedingungen (z.B. auf der Basis von IP-Adressen) prüfen. Für Endgeräte, die keinerlei kryptographische Verfahren unterstützen, können einfache Fingerprints anhand bestimmter Merkmale des Gerätes verwendet werden, so dass die Sicherheit immer noch weit über die MAC-Adressen Prüfung hinausgeht.

Das Fingerprinting ist im Produkt ARP-GUARD implementiert und in vielen Unternehmensnetzen, darunter in über 80 Sparkassen, die Wert auf ein besonders hohes Sicherheitsniveau legen, aktiv.

 

Network Access Control

  • RADIUS / 802.1X /EAP mit und ohne Zertifikat
  • MAC-Authentisierung
  • Zentrales Port-Security-System
  • Gästeticket-System mit Selbstregistrierung

VLAN-Management

  • Abgrenzung von Produktionsbereichen
  • Dynamische und statische Zuordnung
  • Gäste- und Quarantänebereich
  • Benutzerdefiniertes Regelwerk

Layer 2 IPS

Schutz vor Gefahren durch:

  • Man-in-the-middle-Angriffen
  • ARP-Poisoning
  • MAC-Flooding
  • MAC-Spoofing
  • IP-Spoofing

Netzwerk Manager

  • Aktuelle Bestandlisten aller Endgeräte (IP, MAC, Port)
  • Grafische Darstellung der Topologie
  • Protokolliert Adressen- bzw. Zuordnungsänderungen
  • Benutzerdefiniertes Reporting
  • Abfrage von DHCP-Servern

Endpoint Security

  • Überwachung der einzelnen Endgeräte auf Betriebssystem- und AV-Updatestatus
  • Quarantänemanagement
  • Keine Client-Software auf den Endgeräten!