arp-guardArpGuard

 

arp-guard-logoDie ARP Guard-Lösung in der Ausführung „Access+“ bietet eine der 802.1x-Funktion ähnliche Zutrittskontrolle für Ethernetports in einem Netzwerk. Über die vorhandene Switch-Infrastruktur werden Systeme anhand ihrer MAC-Adresse erkannt und lokalisiert und entsprechend der Konfiguration entweder vom Netzwerk ausgeschlossen, in ein bestimmtes VLAN eingeordnet und/oder zentral alarmiert. Damit ist es möglich, jederzeit von einer zentralen Station aus Port-Security mit relativ geringem Aufwand für ein gesamtes Netzwerk umzusetzen. Als Voraussetzung sind lediglich managebare Switche notwendig, die über SNMP durch den ARP Guard abgefragt und konfiguriert werden können. Dieses Verfahren bedeutet also wesentlich weniger Aufwand für die Planung und Implementierung und vor allem sind keine Änderungen an der bestehenden Infrastruktur (Teilnehmer und Netzwerkkomponenten) notwendig.

Darüber hinaus kann ARP Guard Mehrwerte im Bereich des Adressmanagements, Inventarisierung und Auffindung von Systemen in einem Netzwerk bieten. Weitere Softwaremodule können auch die zuvor erwähnten Layer2-Angriffe (ARP-Poisoning, MAC-Flooding, Spoofing) erkennen und mit entsprechenden Gegenmaßnahmen agieren. Im Gegensatz zu Intrusion Prevention Systemen finden dabei keine aktiven Eingriffe in die bestehenden Datenströme statt und die Gefahr von „False Positives“ ist nahezu ausgeschlossen.

Mit ARP-Guard hat die ISL GmbH ein wirksames System zum Aufbau eines aktiven Schutzschildes gegen fremde Geräte und interne Angriffe entwickelt. Damit wird eine Sicherheitslücke geschlossen, die übliche Sicherheitssysteme wie Firewalls, Virenschutz oder Intrusion Detection Systeme nicht abdecken.


Network Access Control

Neue Geräte, die ans Netz angeschlossen werden, erkennt und meldet ARP-Guard und wehrt sie auf Wunsch automatisch ab. So können Sie den Anschluss unerwünschter Notebooks, WLAN- und sonstiger Geräte unterbinden.


Layer 2 IPS

ARP-Guard erkennt und lokalisiert interne Angriffe und wehrt sie automatisch ab.

 

  • Daten können nicht mehr unbemerkt ausspioniert, gelöscht oder manipuliert werden.
  • Geheime Produktentwicklungen und firmeninterne Passworte sind vor unerwünschtem Zugriff gesichert.
  • Die Erkennung von IP-Spoofing verhindert die Erschleichung besonderer Rechte im Netzwerk.

 

Der Einsatz von ARP-Guard bietet wichtige Vorteile für Sie:


Qualitätssicherung

Der Einsatz von ARP-Guard leistet hier wertvolle Unterstützung: Die Erkennung von IP-Adress-Konflikten und fehlerhaften DHCP-Servern vermeidet lange Fehlersuche und ermöglicht eine schnelle und gezielte Problembehebung.


Alarmierung und/oder automatische Abwehr

Die Reaktionen im Angriffsfall können benutzerdefiniert eingestellt werden.


Flexible Alarmierung

Die Sicherheitsbeauftragten können wählen, ob sie im Angriffsfall per Email, SNMP Trap, SMS oder benutzerdefiniertem Skript informiert werden möchten.


Zentral administrierbare Port-Security

Port-Security bietet die Möglichkeit, nur ausgewählte Geräte an bestimmten Ports zuzulassen. Viele Switches unterstützen Port-Security, jedoch implementiert jeder Hersteller eigene Ansätze, da Standards fehlen. Hinzu kommt, dass entsprechende Konfigurationen nur für den jeweiligen Switch gelten - kein Wunder also, dass dieses Feature in der Praxis nur selten eingesetzt wird. Im ARP-Guard ist nun erstmalig ein Ansatz realisiert worden, bei dem zentral administrierbar und hersteller- und produktunabhängig eine erweiterte Port-Security erreicht wird. ARP-Guard arbeitet switchübergreifend: alle Einstellungen werden zentral administriert und wirken global! Der Administrationsaufwand wird durch diverse Features wie z.B. Gruppenbildungen bei Geräten und/oder Ports gering gehalten, dadurch werden hohe Folgekosten vermieden.


Dynamische Konfiguration von VLANs

ARP-Guard bietet eine wirksame und kostengünstige Alternative zu 802.1x, da die Implementierung von ARP-Guard keine Folgekosten nach sich zieht!


Strong Authentication

ARP-Guard bietet höchste Sicherheit: Berechtigungen für besonders sensible Bereiche werden erst nach starker Authentisierung erteilt.

 

arpguard_management

 

Network Management

Das integrierte Adressmanagement bietet eine umfassende Übersicht über ihr Netzwerk: alle Veränderungen an den Zuordnungen werden protokolliert und dargestellt. Bestandslisten lassen sich leicht auf dem aktuellen Stand halten.

ARP-Guard läßt sich problemlos in bereits bestehende IT-Sicherheitsumgebungen (Firewalls, Virenscanner, Intrusion Detection Systeme) ohne großen Konfigurationsaufwand einbinden. ARP-Guard arbeitet hersteller- und plattformunabhängig mit allen gängigen programmierbaren Switches und ist beliebig skalierbar. Investitionen in neue Endgeräte oder neue Strukturen sind nicht erforderlich! Ein Vergleich mit anderen Ansätzen zeigt deutlich die Vorteile von ARP-Guard.


Bedrohung - Gefahr durch fremde Geräte und interne Angriffe!

Externe Endgeräte wie Notebooks, WLAN-Adapter oder sonstige Netzwerkkomponenten lassen sich Dank "plug & play" Technologie problemlos, unauffällig und schnell am Unternehmensnetz anschließen. Jeder, der Zugang zu Ihrem Firmengelände hat, kann unbemerkt ein unautorisiertes Gerät in das Netzwerk einbringen! Firewalls schützen ein LAN gegen Angriffe von außen, doch wer verhindert, dass Besucher oder Mitarbeiter gegen die Sicherheitspolicy eigene Geräte anschließen, die meist nicht den Sicherheitsanforderungen entsprechen?


Bereits ein einziges unautorisiertes Gerät oder ein ungeschützter Zugangspunkt öffnen in einem Unternehmensnetz Tür und Tor für fatale Sicherheitsrisiken, selbst wenn sie nur aus Gedankenlosigkeit oder in bester Absicht in das LAN eingebracht werden. Die Gefährdungen sind vielfältig: Viren, Würmer und Trojaner können sich im gesamten Netz verbreiten oder ein ungeschützter WLAN-Access-Point öffnet das LAN für Datenspione und weitere unerlaubte Netzzugänge.

Wer einmal einen Zugriff hat, kann alle Hacking-Register ziehen, da im internen Netz meist ein unzureichendes Sicherheitsniveau herrscht. Gerade Angriffe auf Layer 2 Ebene bieten hier ein großes Gefährdungspotential. Jeder, der Zugang zu Ihrem Netzwerk hat, kann z.B. ARP-Angriffe ausführen, ohne zu riskieren, dass dies bekannt wird! Im Internet frei verfügbare Software versetzt potentielle Angreifer in die Lage, als man-in-the-middle in jede Kommunikation einzudringen, Daten zu manipulieren oder sensible Informationen abzugreifen. Herkömmliche Sicherheitssysteme bieten vor diesen Bedrohungen keinen Schutz. Die interne Sicherheit ist die Herausforderung der Zukunft, denn laut Statistik kommen 70-80% aller Angriffe aus dem inneren Netz. [siehe Studien]


Der technische Hintergrund

Im Internet frei verfügbare Software-Tools versetzen auch weniger versierte Angreifer in die Lage, die gesamte Kommunikation eines anderen Rechners im selben Netzsegment zu blockieren, zu protokollieren, zu manipulieren und am eigenen Rechner darzustellen. Ein Angreifer kann die Kommunikation zwischen zwei PCs umleiten, so dass alle Daten über ihn selbst ausgetauscht werden. Der sogenannte man-in-the-middle kann die folgenden Angriffe ausführen:

 

  • Blockierung eines Rechners
    (Denial of Service)
  • Abhören aller Daten
  • Sammeln der Passworte
  • Manipulation von Daten

 

Selbst bei verschlüsselten Verbindungen wie z.B. SSL, SSH oder PPTP sind die Angriffe in der Regel erfolgreich.

 

  • ARP-Angriffe werden nicht bemerkt, in der Regel erkennen weder Firewall noch IDS-Systeme diese Angriffe.
  • Diese Angriffe sind von jeder internen Maschine aus möglich.

 

Fast alle Firmennetze sind völlig ungeschützt vor internen AngriffenARP-Angriffe können auch über WLANs ausgeführt werden. Damit sind internen Angreifern alle Türen geöffnet zum Ausspähen von interessanten Informationen (Konstruktionspläne, Projektverlauf, Buchhaltung, Personal- und Finanzinformationen) bis hin zur Manipulation von sensiblen und wichtigen Unternehmensdaten.

 
 
© magellan netzwerke GmbH | Max-Reichpietsch-Straße 2 | 51147 Köln | Deutschland | Tel: +49 2203.92263-0 | Fax: +49 2203.92263-99