View
117
Download
1
Category
Preview:
Citation preview
Netzwerkzugangsschutz intelligent einfach
© macmon secure gmbh 20132
macmon secure gmbh
Deutscher Hersteller der technologieführenden NAC-Lösung macmon
erfahrenes Team von 20 Mitarbeitern verteilt auf Entwicklung,Support und Beratung
Entwicklung von Sicherheitstechnologien und -Standards
Kooperation mit Forschungsinstituten und Hochschulen
Erfahrung aus der Umsetzung von NAC-Projekten mit mehrals 350 Kunden
Kooperationen mit weiteren führenden Herstellern von Sicherheitstechnologien
© macmon secure gmbh 20133
Zielsetzung NAC:
Im Netzwerk betriebene Geräte haben Zugriff auf LAN-Ressourcen,
wenn sie für diese zugelassen sindwenn sie den gültigen Sicherheitsstandards genügen
NACCompliance
Network Access Control - NAC
© macmon secure gmbh 20134
Network Access Control - NAC
Warum sollten Sie NAC einsetzen ?
Compliance-Anforderungen Umsetzung durch Standards Bundesdatenschutzgesetz (BDSG) Sarbanes-Oxley Act EuroSox (EU Directive No. 8 ) Basel II KonTraG MaRisk
ISO IT Sicherheitsstandard gemäß IEC 27001/17799
11.4.3 Equipment identification in networks „Automatic equipmentidentification should be considered as a means to authenticateconnections from specific locations and Equipment“
BSI IT-Grundschutz-KatalogeGenehmigungsverfahren für
IT-Komponenten(Maßnahme 2.216): „Die Installation
und Benutzung nicht freigegebener IT-Komponenten muss verboten und die
Einhaltung dieses Verbotes regelmäßig kontrolliert werden.“
© macmon secure gmbh 20135
Kennen Sie alle Geräte in Ihrem Netz?
Trend: „Bring your own Device“ (BYOD)
Jeder arbeitet doch am liebsten mit „seinem“ Gerät:
Mitarbeiter
Gäste, Besucher
Dienstleister,Servicetechniker,Berater...
Traum Albtraum?oder
© macmon secure gmbh 20136
„BYOD“: Zwei verschiedene Auffassungen
Behandlung von Smartphones und anderen Mobile Devices
Network Access Control „NAC“Mobile Device Management „MDM“
Konfigurieren des Devices
Kontrollieren der Daten
Admin – Zugriff
Remote WipeFirmeneigentumVorstandsvorgabe
Kein Zugriff
Zugang gewähren
Schutz des Netzwerks
Anbieten bestimmter Ressourcen
MitarbeitereigentumVorstandsvorgabe
© macmon secure gmbh 20139
Network Access Control - NAC
Warum also wird NAC so wenig genutzt?
aufwendige Veränderungen der Infrastruktur
hohe Investitionskosten
hoher Pflegeaufwand
geringer bzw. schwer festzustellender Mehrwert
komplexe Thematik – hoher Schulungsaufwand
Gefahr, falsche bzw. zugelassene Systeme aussperren
© macmon secure gmbh 201311
Kundenbeispiele - Industrie
Wichtige Faktoren Produktionsnetze „wachsen“ oft unkontrolliert, da proprietäre
Kommunikationssysteme (Feldbus, Interbus, Profibus,…) zunehmenddurch Ethernet ersetzt werden
Roboter und Maschinen können nicht mit üblichen Mitteln(Virenschutz, Patches,..) geschützt werden
Dienstleister müssen für Störungsbeseitigung und WartungsarbeitenZugang zum Netz haben
Sicherheitsvorfälle können Sach- und Personenschäden bewirken
© macmon secure gmbh 201312
Kundenbeispiele - Banken & Versicherungen
Wichtige Faktoren MaRisk ist ab 1. Januar 2008 bindend (Umsetzung durch
Anwendung von BSI- und ISO-Normen – hoher Sicherheitsanspruch)
Sicherung öffentlicher Bereiche mit Publikumszugang ist erforderlich Geldautomaten und andere NAC-GAP Geräte im Netz sind in die
Sicherungsmaßnahmen einzubeziehen die ausgeprägte Filialstruktur kann durch eine Live-Überwachung
effektiv kontrolliert werden
© macmon secure gmbh 201313
Kundenbeispiele - Behörden
Wichtige Faktoren klare Anforderungen des BSI sind zu erfüllen aus der Verarbeitung sensibler, oft personenbezogener Daten
resultiert ein besonders hoher Schutzbedarf die Live-Überwachung erleichtert die Kontrolle und Steuerung in weit
gefächerten Organisationsstrukturen, auch weltweit macmon ermöglicht die Administration mit wenig Personalkapazität
Landratsamt Bodenseekreis
Landesgewerbe-anstalt Bayern
LandesrechnungshofBrandenburg
Generalstaats-anwaltschaft
© macmon secure gmbh 201314
Kundenbeispiele - Gesundheitswesen
Wichtige Faktoren das IT-Netzwerk wird durch die Einbindung von Medizinprodukten zu einem
medizinischen IT-Netzwerk und fällt somit in den Zuständigkeitsbereich des Medizinproduktegesetzes (MPG)
medizinisches IT-Netzwerk und allgemeines IT-Netzwerk müssen getrennt werden (DIN EN 80001-1, Risikomanagement für IT-Netzwerke mit Medizinprodukten).
Schutz der Arzt-Patientenbeziehung bzw. Wahrung des Patientengeheimnisses (ärztl. Schweigepflicht, Par. 203 StGB)
für private Träger: Beim Rating von Basel II (künftig auch EURO-SOX), ist die IT-Infrastruktur direkt an die Erteilung von Finanzmitteln durch Banken gekoppelt; Defizite in der IT-Sicherheit führen i.d.R. zur Kürzung der Kreditlinie
LaGeSoMedizinische Hochschule
HannoverHelios Kliniken
© macmon secure gmbh 201315
Kundenbeispiele - Medien
Wichtige Faktoren viele mobile Arbeitsplätze, die oft außerhalb oder sogar im Ausland
eingesetzt werden viele Gäste und externe Mitarbeiter auf dem Firmengelände die Live-Überwachung erleichtert die Kontrolle und Steuerung in weit
gefächerten Organisationsstrukturen, auch weltweit macmon ermöglicht die Administration mit wenig Personalkapazität
© macmon secure gmbh 201316
macmon Produktfamilie
© macmon secure gmbh 201317
macmon NAC - Schutz vor Fremdgeräten
macmon läuft auf einem zentralen Server keine Agenten oder Sensoren erforderlich keine Veränderungen der
Netzwerkstruktur Außenstellen werden mit überwacht herstellerunabhängig modular von MAC-Authentifizierung bis
zum Hardwarezertifikat (TPM-Chip)
Remote
LAN
© macmon secure gmbh 201318
macmon NAC – intelligent einfach
Erstellen einer Referenzliste nur noch bekannte Geräte im LAN Kommunikation mit allen Switchen Unbekannte Geräte sperren / Gäste-LAN eigene Geräte ins hinterlegte VLAN einfache GUI – Intelligenz im Hintergrund Zeiteinsparungen durch Automatismen Angriffsabwehr & Netzwerktransparenz
Volle Übersicht &
Voller Durchgriff
LAN
© macmon secure gmbh 201319
macmon NAC - MAC-Authentifizierung
Schutz vor Fremdgeräten Erkennung und Lokalisierung von
unautorisierten Geräten
Erkennung von Veränderungen und Umzügen
Live-Bestandsmanagement
Gerätelokalisierung am Switch-Port SNMP oder Telnet/ SSH
LAN
Remote
© macmon secure gmbh 201320
macmon NAC - Reaktionen
Regelbasiertes Eventmanagement
Flexible Reaktionen nach konfigurierbaren Regeln Meldungen an Administratoren und Helpdesk Sperren des Zugangs zum Netz Zeitliche, räumliche und logische Bedingungen möglich Quarantäne-, Remediation- und Besuchernetzwerke Script–Kommandos an andere Systeme
LAN
Remote
© macmon secure gmbh 201321
macmon NAC – Technologiepartnerschaften / Kopplungen
© macmon secure gmbh 201323
macmon advanced security
IP-Adress-auflösung über ARP
Netzwerk-dienste DNS und DHCP
Erweiterte Endgeräte-Identifizierung
Schutz vor Angriffen Adress-Fälschung
Angriffe auf Switches
ARP-Spoofing
Footprinting
LAN
Remote
© macmon secure gmbh 201324
macmon vlan manager
„Dynamische VLANs“
VLAN 1Verwaltung
VLAN 2Produktion
VLAN 99 Besucher
MAC01-23-4567-89-abMAC
01-23-4567-89-ab
Das VLAN wird durch das Endgerät bestimmt(MAC-Adresse VLAN-ID).
Die Anwender haben immer den richtigen Zugang zum Netz, unabhängig vom physischen Anschluss.
Einfache Pflege, keine Nachkonfigurationen bei
Umzügen oder mobilen Nutzern.
Kein Switch-Knowhow bei den für die Pflege eingesetzten Mitarbeitern notwendig.
MAC01-23-4567-89-ab
© macmon secure gmbh 201325
Switch führt Autorisierung über Radius-Protokoll durch.
- RADIUS Credentials (Zertifikat) oder Username/ Passwort in macmon
- MAB (MAC Authentication Bypass) – Unterstützung
Die VLAN-Steuerung erfolgt über macmon!
Fehlversuche erzeugen ein Ereignis!
SNMP
EAP/ 802.1XRADIUSRADIUS
LAN
802.1X
macmon IEEE 802.1X
© macmon secure gmbh 201326
macmon 802.1X
IEEE 802.1X mit und durch macmon
macmon ist die Lösung für alle „Hindernisse“ bei Nutzung des Standards:
Nutzung eines offenen Standards kombiniert mit Best Practice
Möglichkeit des gemischten Betriebes – mit und ohne 802.1X
Geräteortung durch Kommunikation mit den Switches
Eventmanagement
Hohe Verfügbarkeit durch Cluster und/oder „MAC-Authentifizierungals Fallback
Einfach in der Implementierung und im Betrieb
Nutzung des (dynamischen) VLAN-Managements mit Gruppenzuordnung
Erweiterung durch Nutzung eines Hardware-Zertifikates (TPM-Chip)
© macmon secure gmbh 201327
macmon guest service
Das Gäste Portal
Vollständige Gäste- und Besucherverwaltung:
Erstellen von Voucher-Listen zur Vereinfachungdes Ablaufs am Empfang
Unabhängig vom Hersteller der WLAN-Infrastruktur Ortung der Geräte (an welchem Access-Point) Reaktives Aussperren der Geräte (z.B. Eventbasiert) Selbstregistrierung mit
Handy-Nr. und User-Namen Vouchercode per SMS an
das Handy
© macmon secure gmbh 201328
macmon client compliance
Compliance Agent
macmon client compliance Option
Scan Daten
compliant
non-compliantScan Jobs
32 © macmon secure gmbh 2013
Produktivität verbessern durch „Wecken“ der PC´s
Büro-PC‘s werden automatisch aus und wieder eingeschaltet-zeitgesteuert: z. B. werktags um 8:00 Uhr-ereignisgesteuert durch die Zutrittskontrolle-geplant durch den Anwender mit dem macmon energy-Kalender
» Urlaube, Abwesenheit etc. können hinterlegt werden
- zur Ausführung von automatisierten Wartungs- undSupportarbeiten wie:
» Software-Updates, Vollständige Virenscans, Backups
macmon energy
© macmon secure gmbh 201333
Kunden über die…
…Vorteile von macmon-NAC:
Sofortige Netzwerkübersicht & mögliche Aktivierung innerhalb 1 Tages Einfaches Handling im täglichen Betrieb Mehrstufige Zugriffskontrolle Strikte Durchsetzung von Richtlinien und Sicherheitsanforderungen Modular erweiterbar Technologiepartnerschaften und Anbindung an führende Security-
Produkte Intelligente Gäste-Verwaltung Steuerung des Netzwerkzugangs auch für Mobile Geräte Deutscher Hersteller-Support
© macmon secure gmbh 201334
macmon Produktfamilie
© macmon secure gmbh 201335
Kundenbeispiele
Landratsamt Bodenseekreis
Landesgewerbe-anstalt Bayern
LandesrechnungshofBrandenburg
Generalstaats-anwaltschaft
LaGeSoMedizinische Hochschule
HannoverHelios Kliniken
© macmon secure gmbh 201336
Kontakt
Wir freuen uns auf das persönliche Gespräch mit Ihnen!
macmon secure gmbh
Charlottenstrasse 1610117 Berlin
Fon 030. 23 25 777 0Fax 030. 23 25 777 200
vertrieb@macmon.euwww.macmon.eu
Recommended