Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Dr. Andreas Rieke, ISL Internet Sicherheitslösungen GmbH

Veröffentlicht von:Gisilbert Zabka Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Dr. Andreas Rieke, ISL Internet Sicherheitslösungen GmbH"—  Präsentation transkript:

1 Dr. Andreas Rieke, ISL Internet Sicherheitslösungen GmbH
ARP-Guard: Der weltweit erste Schutz vor internen Angriffen und fremden Geräten Dr. Andreas Rieke, ISL Internet Sicherheitslösungen GmbH

2 Einleitung Herzlich willkommen!
In der Vergangenheit wurde viel Energie in die Erkennung und Abwehr von externen Angriffen (Hacker, Viren usw.) investiert. Durch gute Produkte und Dienstleistungen kann man heute weitreichende Sicherheit in diesem Bereich herstellen. Gegen interne Angriffe – sei es von eigenen Mitarbeitern oder Dritten – wurden jedoch kaum Schutzmaßnahmen getroffen. Dabei kommen bis zu 80% aller Angriffe von innen (KPMG)!

3 Inhalt ISL Interne Angriffe Bedrohung Motive Konsequenzen Alternativen
Fremde Geräte ARP-Guard Lizenzen Produkte ARP-Guard Box Referenzen Kontakt

4 ISL ISL steht für Internet Sicherheitslösungen.
ISL wurde im April 1999 gegründet. ISL hat sich zunächst – wie viele andere – auf den Schutz vor externen Bedrohungen konzentriert. Seit vier Jahren steht jedoch der Schutz vor internen Angriffen im Vordergrund.

5 Int. Angriffe: Bedrohung
Mit internen Angriffen (z.B. ARP-Spoofing) kann man beliebig Daten abhören, Passworte sammeln und sogar Daten manipulieren. Das funktioniert oft auch bei verschlüsselten Verbindungen (SSH, SSL, PPTP), da Zertifikate nicht ausreichend geprüft werden. ARP-Angriffe können auch über WLANs ausgeführt werden.

6 Int. Angriffe: Bedrohung
Mit ARP-Angriffen kann ein Angreifer die Kommunikation zwischen zwei PCs über seinen Computer umleiten. IP MAC IP (S) MAC (A) IP MAC IP (C) MAC (A) IP MAC IP (C) MAC (C) IP (S) MAC (S)

7 Int. Angriffe: Bedrohung
Jeder, der Zugang zu Ihrem Netzwerk hat, kann interne Angriffe ausführen, ohne zu riskieren, dass dies bekannt wird! Betroffen sind alle Unternehmen, die sensible Daten verarbeiten, z.B. Banken, Versicherungen und Behörden. Auch Telefonate (Voice over IP) können abgehört werden! Die Angriffssoftware ist im Internet vielfach (u.a. bei Heise) verfügbar und leicht zu bedienen. Interne Angriffe werden von den Unternehmen oft verschwiegen, weil sie ein negatives Image erzeugen. In Israel ist jedoch z.B. ein Banküberfall bekannt geworden, der offensichtlich auf ARP-Angriffen basiert.

8 Int. Angriffe: Motive Verschaffung von persönlichen Vorteilen
Wirtschaftsspionage Neugierde Ehrgeiz von Hobby-Hackern Erpressung Sabotage/Schädigung des Unternehmens Mobbing Die Angriffe werden in allen Fällen letztendlich auf Kosten des Unternehmens durchgeführt!

9 Int. Angriffe: Konsequ. Imageschäden Wettbewerbsnachteile / Kosten
Haftung des Unternehmens Rechtliche Konsequenzen / Strafbarkeit Schadensersatzpflicht Persönliche Haftung (KonTraG)

10 Int. Angriffe: Alternat.
Statische ARP-Tabellen: Viel zu aufwändig arpwatch:Nur für kleinste Netze und statische Adressen Bildung kleinerer Subnetze: Hohe Kosten für Router Verhinderung fremder Software: Nicht durchführbar Intrusion Detection: Viel zu teuer, die meisten IDS erkennen keine ARP-Angriffe

11 Int. Angriffe: Alternat.
Einschränkung der Verkehrsbeziehungen: Hoher Managementaufwand, evtl. eingeschr. Funktionalität Schutzfunktionen im Endgerät: Nur beschränkt wirksam, nur teilweise verfügbar, kann zu Fehlfunktionen führen Dynamic ARP Inspection (Cisco): Teuer (250 US$ pro Port für Catalyst 3750), sehr aufwändig zu konfigurieren

12 Fr. Geräte: Bedrohung Jeder, der Zugang zu Ihrem Gebäude hat, kann unbemerkt ein unautorisiertes Gerät in das Netzwerk einbringen! Bereits ein einziges unautorisiertes Gerät (Notebook, WLAN access point ) kann in einem Unternehmensnetz Tür und Tor für fatale Sicherheitsrisiken öffnen! Verbreitung von Viren, Würmern und Trojanern Interne Angriffe Wirtschaftsspionage, Sabotage und Schädigung des Unternehmens

13 Fr. Geräte: Alternativen
Physikalischer Schutz (bauliche Maßnahmen): Oft nicht machbar Konfiguration DHCP: Leicht zu umgehen Port Security: Extrem schwer zu administrieren 802.1x: Kostenaufwändig und kinderleicht angreifbar NAC/NAP/TAP/...: Zu komplex, zu wenig kompatibel

14 ARP-Guard ISL hat mit ARP-Guard ein Produkt entwickelt, das gezielt vor internen Angriffen und fremden Geräten schützt und diese sogar automatisiert abwehren kann. Durch zwei verschiedene Sensoren (LAN- und SNMP-Sensor) können selbst große, verteilte Netze mit wenig Hardwareaufwand konsequent geschützt werden. ARP-Guard ist bei verschiedenen Kunden (z.B. Mercedes-AMG, Telefónica, einer Landesbank, FernUni Hagen) erprobt und von der Syss und vom Heise-Verlag ausgiebig getestet worden.

15 ARP-Guard

16 ARP-Guard ARP-Guard bietet Schutz vor internen Angriffen!
Mit ARP-Guard hat ISL weltweit erstmalig ein wirksames System zum Aufbau eines aktiven Schutzschildes gegen interne Angriffe entwickelt. Daten können nicht mehr unbemerkt ausspioniert, gelöscht oder manipuliert werden. Geheime Produktentwicklungen und firmeninterne Passworte sind vor unerwünschtem Zugriff gesichert.

17 ARP-Guard Erkennung, Lokalisierung und Abwehr von
ARP-Spoofing- und ARP-Poisoning-Angriffen IP-Spoofing-Angriffen MAC-Spoofing-Angriffen MAC-Flooding-Angriffen IP-Adresskonflikten (Qualitätssicherung) sowie präventiver Schutz: Angriffe auf Spanning Tree Angriffe auf GVRP Angriffe auf Discovery Protokolle

18 ARP-Guard ARP-Guard bietet Schutz vor unerwünschten Geräten!
Das integrierte Adressmanagement bietet eine umfassende Übersicht über ihr Netzwerk. Neue Geräte, die ans Netz angeschlossen werden, erkennt und meldet ARP-Guard automatisch. Der Anschluss unautorisierter Notebooks, WLAN- und sonstiger Geräte wird unterbunden. Bestandslisten werden auf dem neuesten Stand gehalten. Adressänderungen werden protokolliert und lassen sich zurückverfolgen.

19 Port Security Switches:
Unterschiedliche Hersteller und Produkte (kein Standard verfügbar) Konfiguration gilt nur für einen Switch Oft Abhängigkeiten von anderen Features eines Switches Beschränkte Möglichkeiten Extrem aufwändige Konfiguration ARP-Guard: Unabhängigkeit von Herstellern und Produkten durch ARP-Guard Zentrale Konfiguration, die für das ganze Netz gilt. Keine Abhängigkeiten (nur programm. Switch erf.) Keine Beschränkungen Einfache Konfiguration durch Geräte- und Portgruppen

20 Auth. am Netz: Switches 802.1x:
Nicht programmierbare Switches müssen ersetzt werden. Firmware-Upgrades Hardware-Erweiterungen Ersatz „alter“ Switches ARP-Guard: Basis: Progr. Switches Erkennung fremder Geräte auch mit nicht progr. Switches Alte Geräte sind kein Problem

21 Auth. am Netz: Zentral ARP-Guard: Einsatz einer ARP-Guard Box
Aufbau einer zentralen Authentisierung erf. Zentrale Auth. muss hochverfügbar sein Replikation der Authentisierungsdatenbank an alle Standorte Vergabe von Berechtigungen für Anwender ist organisatorisch aufwändig ARP-Guard: Einsatz einer ARP-Guard Box Hochverfügbarkeit ist nicht unbedingt erforderlich. Replikation ist nicht erforderlich. Geräteadressen können einfach gelernt werden.

22 Auth. am Netz: Realisierung
802.1x: Einheitliche Authentisierungs-Verfahren für alle Switches Kompatibilität? Konfiguration einzelner Ports: Trunk? Endgerät ohne 802.1x? ARP-Guard: Kommunikation basiert auf (standardisiertem) SNMP Dadurch ist die Kompatibilität gegeben. Keine Konfiguration einzelner Switchports erforderlich

23 Auth. am Netz: Sicherheit
802.1x: Nicht die Person, sondern das Gerät trägt die Malware. Berechtigungen sind übertragbar. Kinderleichte Angriffe nach Anmeldung eines legitimen Users Viele Löcher (z.B. Druckerports) ARP-Guard: MAC-Adressen sind fälschbar Legitime Adresse muss bekannt sein Admin-Rechte müssen verfügbar sein Know-How muss da sein.

24 NAC/NAP/TAP/... NAC/NAP/TAP/...:
Heute sind lediglich erste Ansätze verfügbar. Von vielen Experten als zu komplex bezeichnet. Kompatibilität ist nicht im Interesse der Hersteller (Bindung der Kunden an eigene Produkte) Client-Software ist gerade für Dritte ein Problem. ARP-Guard: Fertiges und erprobtes Produkt verfügbar. Leicht administrierbar. Hersteller wird sein Produkt nicht absetzen können, wenn keine Kompatibilität vorliegt. Keine Client-Software erforderlich.

25 ARP-Guard ARP-Guard läßt sich problemlos in bereits bestehende IT-Sicherheitsumgebungen einbinden. ARP-Guard greift NICHT in interne Applikationen ein, erkennt aktuelle Bedrohungen als Beobachter und reagiert nur im konkreten Angriffsfall. ARP-Guard arbeitet hersteller- und plattformunabhängig mit allen gängigen Routern und programmierbaren Switches. ARP-Guard ist beliebig skalierbar.

26 ARP-Guard Investitionen in neue Endgeräte oder neue Strukturen sind nicht erforderlich. ARP-Guard zeichnet sich durch gar keine bzw. extrem wenige false positives aus. Im Vergleich zu Mitbewerber-Produkten (Cisco‘s Dynamic ARP inspection oder 802.1x) ist ARP-Guard sehr preisgünstig.

27 ARP-Guard: Lizenzen Die folgenden Lizenzen sind verfügbar:
ARP-Guard Access: Bietet Schutz vor fremden Geräten und Zugriffsschutz, aber keine Erkennung von Angriffen ARP-Guard Defend: Bietet Erkennung, Lokalisierung und Abwehr von Angriffen, aber nur oberflächlichen Schutz vor fremden Geräten ARP-Guard Premium: Bietet Erkennung, Lokalisierung und Abwehr von Angriffen und fremden Geräten sowie Zugangsschutz

28 ARP-Guard: Lizenzen In Zukunft wird es eine neue Lizenz ARP-Guard Access+ geben. Diese Lizenz wird alle Features von Access und zusätzlich die folgenden Punkte enthalten: Port Security Aufnahme ARP-Zuordnungen und IP-Adressen VLAN-Wechsel

29 ARP-Guard: Produkte ARP-Guard wird als Appliance (Bundle von Hard- und Software) sowie als reine Softwarelösung angeboten. Die Software ist unter Linux (Red Hat und SuSE/Novell) und Windows (nur Sensor) lauffähig. Die Vermarktung von ARP-Guard als ASP (Application Service Providing) ist in Vorbereitung.

30 ARP-Guard: Box In Zusammenarbeit mit der SECUDOS GmbH (früher Celestix) ist die ARP-Guard Box als Appliance-Lösung entstanden. Die ARP-Guard Box wird mit vor- installierter Software geliefert (keine Probleme mit Betriebs- systemversionen, Treibern, o.ä.) und wird komplett über ein Web- Interface konfiguriert. Es ist keine aufwändige Konfiguration erforderlich.

31 ARP-Guard: Box Neben dem Bundle aus Hardware, Software und Lizenz kann der Kunde Software Subscription und Supportleistungen erwerben. Software Subscription: Zugriff auf neue Versionen, Updates, Upgrades usw. sowohl für das Betriebssystem als auch für die ARP-Guard Software. Das Support-Package enthält: Advanced Hardware Replacement (next business day, echte Hardware-Garantie) sowie priorisierten Telefon- und -Support

32 ARP-Guard: Referenzen
Printmedien: ntz LANline Linux-Magazin deutsches Fernsehen <kes> c`t Heise Security iX Messen: Systems 2003 Infosecurity 2003 (Holland) Systems 2004 Cebit 2005 Orbit IEX (Basel) Systems 2005

33 ARP-Guard: Referenzen
Einige Referenzkunden: Mercedes-AMG GmbH Sachsen DV (Sachsen LB Gruppe) Telefónica Deutschland GmbH Essener Verkehrs-AG FernUni Hagen Paul-Ehrlich-Institut Unternehmensgruppe C.D. Wälzholz Schlüter-Systems KG GWG Stadt- und Pro-jektentwicklungsgesell-schaft mbH Wuppertal August Vormann GmbH & Co KG Es ist selbstverständlich, dass nur diejenigen Kunden dargestellt sind, die dem ausdrücklich zugestimmt haben.

34 Kontakt Dr. Andreas Rieke, ISL Internet Sicherheitslösungen GmbH Berstrasse 128, D Hagen Fon: +49 (0)2331/ , Fax +49 (0)2331/ Klaus Rehborn, SECUDOS GmbH (früher Celestix) Flughafenstr. 151, D Dortmund Fon: +49 (0)231/ , Fax +49 (0)231/ Walter Jekat, NOXS Technology Germany GmbH Königsallee 35, D Ludwigsburg Fon: +49 (0)7141/ , Fax: +49 (0)7141/ V R 1

Herunterladen ppt "Dr. Andreas Rieke, ISL Internet Sicherheitslösungen GmbH"

Ähnliche Präsentationen

Warum WordPress Sicherung?

Warum WordPress Sicherung?
Security Lösungen, die Ihnen echten Schutz bieten!

Security Lösungen, die Ihnen echten Schutz bieten!
Software Assurance Erweiterte Software Assurance Services

Software Assurance Erweiterte Software Assurance Services
E-Mail.

.
BMBF-Förderinitiative Einsatz und Nutzung drahtloser Kommunikation BMBF-Förderinitiative Einsatz und Nutzung drahtloser Kommunikation bmb+f GoeMobile:

BMBF-Förderinitiative Einsatz und Nutzung drahtloser Kommunikation BMBF-Förderinitiative Einsatz und Nutzung drahtloser Kommunikation bmb+f GoeMobile:
Neue VPN-Technologien für Remote Access und WLAN

Neue VPN-Technologien für Remote Access und WLAN
Systemverwaltung wie es Ihnen gefällt.

Systemverwaltung wie es Ihnen gefällt.
7.3. Viren, Würmer, Trojaner Mail von der Nachbarin

7.3. Viren, Würmer, Trojaner Mail von der Nachbarin
Lizenzmodelle Miete der Software ASP Nutzungslizenz.

Lizenzmodelle Miete der Software ASP Nutzungslizenz.
Göttinger FunkLAN GoeMobile Chancen für den schnellen Netzzugang

Göttinger FunkLAN GoeMobile Chancen für den schnellen Netzzugang
Introducing the .NET Framework

Introducing the .NET Framework
1.WICHTIG: Bringen Sie Ihr Betriebssystem möglichst offline auf den aktuellen Stand. Insbesondere sollten Sie bei Verwendung von Windows XP nicht ohne.

1.WICHTIG: Bringen Sie Ihr Betriebssystem möglichst "offline" auf den aktuellen Stand. Insbesondere sollten Sie bei Verwendung von Windows XP nicht ohne.
1.WICHTIG: Bringen Sie Ihr Betriebssystem möglichst offline auf den aktuellen Stand. Insbesondere sollten Sie bei Verwendung von Windows XP nicht ohne.

1.WICHTIG: Bringen Sie Ihr Betriebssystem möglichst "offline" auf den aktuellen Stand. Insbesondere sollten Sie bei Verwendung von Windows XP nicht ohne.
Sicherheit in drahtlosen Netzen

Sicherheit in drahtlosen Netzen
Copyright ©2004 by NetUSE AG Seite: 1 Autor: Martin Seeger NUBIT 2005 IT-Security in der Praxis Martin Seeger NetUSE AG

Copyright ©2004 by NetUSE AG Seite: 1 Autor: Martin Seeger NUBIT 2005 IT-Security in der Praxis Martin Seeger NetUSE AG
Smartphones im Kanzleinetz Vergleich der technischen Umsetzung COLLEGA - TAG Freitag, 27. November 2009.

Smartphones im Kanzleinetz Vergleich der technischen Umsetzung COLLEGA - TAG Freitag, 27. November 2009.
Kurzanleitung für Laptop-Zugang 1. WICHTIG: Bringen Sie Ihr Betriebssystem möglichst offline auf den aktuellsten Stand. 2. WICHTIG: Installieren Sie.

Kurzanleitung für Laptop-Zugang 1. WICHTIG: Bringen Sie Ihr Betriebssystem möglichst "offline" auf den aktuellsten Stand. 2. WICHTIG: Installieren Sie.
1.WICHTIG: oBringen Sie Ihr Betriebssystem möglichst offline auf den aktuellen Stand. Insbesondere sollten Sie bei Verwendung von Windows XP nicht ohne.

1.WICHTIG: oBringen Sie Ihr Betriebssystem möglichst "offline" auf den aktuellen Stand. Insbesondere sollten Sie bei Verwendung von Windows XP nicht ohne.
Virtual Private Networks

Virtual Private Networks
Netzwerkkomponenten (Hardware)

Netzwerkkomponenten (Hardware)

Ähnliche Präsentationen

Google-Anzeigen