macmon secure gmbh Deutscher Hersteller der technologieführenden NAC-Lösung macmon erfahrenes Team von 20 Mitarbeitern verteilt auf Entwicklung, Support und Beratung Entwicklung von Sicherheitstechnologien und -Standards Kooperation mit Forschungsinstituten und Hochschulen Erfahrung aus der Umsetzung von NAC-Projekten mit mehr als 350 Kunden Kooperationen mit weiteren führenden Herstellern von Sicherheitstechnologien

Network Access Control - NAC Zielsetzung NAC: Im Netzwerk betriebene Geräte haben Zugriff auf LAN-Ressourcen, wenn sie für diese zugelassen sind wenn sie den gültigen Sicherheitsstandards genügen NAC Compliance

Network Access Control - NAC Warum sollten Sie NAC einsetzen ? Compliance-Anforderungen Umsetzung durch Standards Bundesdatenschutzgesetz (BDSG) Sarbanes-Oxley Act EuroSox (EU Directive No. 8 ) Basel II KonTraG MaRisk ISO IT Sicherheitsstandard gemäß IEC 27001/17799 11.4.3 Equipment identification in networks „Automatic equipment identification should be considered as a means to authenticate connections from specific locations and Equipment“ BSI IT-Grundschutz-Kataloge Genehmigungsverfahren für IT-Komponenten (Maßnahme 2.216): „Die Installation und Benutzung nicht freigegebener IT-Komponenten muss verboten und die Einhaltung dieses Verbotes regelmäßig kontrolliert werden.“ 4

Kennen Sie alle Geräte in Ihrem Netz? Trend: „Bring your own Device“ (BYOD) Jeder arbeitet doch am liebsten mit „seinem“ Gerät: Mitarbeiter Gäste, Besucher Dienstleister, Servicetechniker, Berater... Traum oder Albtraum? 5

„BYOD“: Zwei verschiedene Auffassungen Behandlung von Smartphones und anderen Mobile Devices Konfigurieren des Devices Kontrollieren der Daten Admin – Zugriff Remote Wipe Firmeneigentum Vorstandsvorgabe Kein Zugriff Zugang gewähren Schutz des Netzwerks Anbieten bestimmter Ressourcen Mitarbeitereigentum Vorstandsvorgabe Mobile Device Management „MDM“ Network Access Control „NAC“

Network Access Control - NAC Sie wissen bereits, warum Sie NAC einsetzen sollten! …welche Systeme in Ihrem Netzwerk sind? …dass alle Geräte in Ihrem Netz auch von Ihnen sind? …dass niemand Ihre VoIP-Gespräche mithört? …dass alle Ihre Geräte geschützt sind und keines davon ein Einfallstor darstellt? Wissen Sie auch sicher... 7

Spionageaktivitäten, die so nicht passiert wären… Schon fast amüsant: Getauschte Drucker „angeblicher“ Servicepartner Drucker mit Festplatte getauscht Abzüge von allem was gedruckt wurde WLAN in Tupperdose außerhalb des Gebäudes nicht erkannt jahrelang über macmon sofort als Device sichtbar über macmon als neue „MAC“ ersichtlich und geblockt

Network Access Control - NAC Warum also wird NAC so wenig genutzt? aufwendige Veränderungen der Infrastruktur hohe Investitionskosten hoher Pflegeaufwand geringer bzw. schwer festzustellender Mehrwert komplexe Thematik – hoher Schulungsaufwand Gefahr, falsche bzw. zugelassene Systeme aussperren Das sind Argumente, die es seit Jahren dagegen gibt Aufzählen… Jetzt zeige ich Ihnen, warum das mit macmon anders ist

Network Access Control - NAC Die Bedeutung von NAC in der Praxis Ein Großteil der Organisationen/Unternehmen haben bisher keine oder nur unzureichende Schutzmaßnahmen etabliert. Die Bedeutung von Netzwerkzugangs-Kontrollsystemen (NAC) nimmt gerade durch die „Bring-Your-Own-Device“- Thematik enorm zu. Die immer umfangreicher und komplexer werdenden Netzwerke sind oft ohne ein entsprechendes Kontrollsystem nicht mehr überschaubar.

Kundenbeispiele - Industrie Wichtige Faktoren Produktionsnetze „wachsen“ oft unkontrolliert, da proprietäre Kommunikationssysteme (Feldbus, Interbus, Profibus,…) zunehmend durch Ethernet ersetzt werden Roboter und Maschinen können nicht mit üblichen Mitteln (Virenschutz, Patches,..) geschützt werden Dienstleister müssen für Störungsbeseitigung und Wartungsarbeiten Zugang zum Netz haben Sicherheitsvorfälle können Sach- und Personenschäden bewirken

Kundenbeispiele - Banken & Versicherungen Wichtige Faktoren MaRisk ist ab 1. Januar 2008 bindend (Umsetzung durch Anwendung von BSI- und ISO-Normen – hoher Sicherheitsanspruch) Sicherung öffentlicher Bereiche mit Publikumszugang ist erforderlich Geldautomaten und andere NAC-GAP Geräte im Netz sind in die Sicherungsmaßnahmen einzubeziehen die ausgeprägte Filialstruktur kann durch eine Live-Überwachung effektiv kontrolliert werden

Kundenbeispiele - Behörden Landratsamt Bodenseekreis Landesgewerbe- anstalt Bayern Landesrechnungshof Brandenburg Generalstaats- anwaltschaft Wichtige Faktoren klare Anforderungen des BSI sind zu erfüllen aus der Verarbeitung sensibler, oft personenbezogener Daten resultiert ein besonders hoher Schutzbedarf die Live-Überwachung erleichtert die Kontrolle und Steuerung in weit gefächerten Organisationsstrukturen, auch weltweit macmon ermöglicht die Administration mit wenig Personalkapazität ELENA: Ich empfehle der Landesregierung erneut, dem ELENA-Verfahrensgesetz im Bundesrat nur dann zuzustimmen, wenn die Verfassungsmäßigkeit des Verfahrens nachgewiesen, die Sicherheit der Daten garantiert und eine Kontrolle durch unabhängige Stellen gewährleistet ist. Der Empfehlung wurde nicht gefolgt. Mecklenburg-Vorpommern hat dem ELENA-Verfahrensgesetz im Bundesrat zugestimmt ELENA: Kern des Verfahrens ist eine bundesweite Zentraldatei (die sogenannte Zentrale Speicherstelle - ZSS), in der Einkommensdaten der über 30 Millionen abhängig Beschäftigten, Beamten, Richter und Soldaten gespeichert werden sollen. Welche Daten gespeichert werden sollen, ist in § 97 Abs. 1 Sozialgesetzbuch Viertes Buch (SGB IV) festgelegt (siehe Kasten). Diese Regelung lässt jedoch kaum erahnen, wie umfangreich der Datenbestand tatsächlich ist und wie lückenlos und detailliert das Berufsleben Einzelner abgebildet sein wird.

Kundenbeispiele - Gesundheitswesen LaGeSo Medizinische Hochschule Hannover Helios Kliniken Wichtige Faktoren das IT-Netzwerk wird durch die Einbindung von Medizinprodukten zu einem medizinischen IT-Netzwerk und fällt somit in den Zuständigkeitsbereich des Medizinproduktegesetzes (MPG) medizinisches IT-Netzwerk und allgemeines IT-Netzwerk müssen getrennt werden (DIN EN 80001-1, Risikomanagement für IT-Netzwerke mit Medizinprodukten). Schutz der Arzt-Patientenbeziehung bzw. Wahrung des Patientengeheimnisses (ärztl. Schweigepflicht, Par. 203 StGB) für private Träger: Beim Rating von Basel II (künftig auch EURO-SOX), ist die IT- Infrastruktur direkt an die Erteilung von Finanzmitteln durch Banken gekoppelt; Defizite in der IT-Sicherheit führen i.d.R. zur Kürzung der Kreditlinie Novellierung des Medizinproduktegesetzes (MPG): Die 4. MPG-Novelle setzt die europäische Richtlinie 2007/47/EG um und tritt zum 21. März 2010 in Kraft. Sie wirkt sich unter anderem auf die Definition von Software als Medizinprodukt aus. Software wird danach als gleichberechtigte Kategorie neben den bisherigen Medizinproduktegruppen gelistet. Das bedeutet: Software kann künftig auch eigenständig als Medizinprodukt bewertet werden, bisher konnte sie das nur in Verbindung mit Letzterem (§ 3 MPG). Software gilt dann als Medizinprodukt, wenn sie spezifisch vom Hersteller für einen der in der Definition für Medizinprodukte genannten medizinischen Zwecke bestimmt ist, wie etwa Programme zur Therapieplanung oder Befundung. Eine derart eingestufte Software benötigt grundsätzlich eine CE-Zertifizierung. Software für allgemeine Zwecke, wie Betriebssysteme und Abrechnungsprogramme, sind dagegen keine Medizinprodukte, auch wenn sie im medizinischen Umfeld eingesetzt werden. Software als Medizinprodukt unterliegt den in der europäischen Medizinprodukterichtlinie geforderten Konformitätsbewertungsverfahren, das heißt, Hersteller solcher Software müssen die erforderlichen Maßnahmen zur Zertifizierung und die entsprechenden Konformitätsbewertungsverfahren umsetzen.

Kundenbeispiele - Medien Wichtige Faktoren viele mobile Arbeitsplätze, die oft außerhalb oder sogar im Ausland eingesetzt werden viele Gäste und externe Mitarbeiter auf dem Firmengelände die Live-Überwachung erleichtert die Kontrolle und Steuerung in weit gefächerten Organisationsstrukturen, auch weltweit macmon ermöglicht die Administration mit wenig Personalkapazität

macmon Produktfamilie Bundle ausweisen 8021x nicht extra Macmon server extra – hier dann mit macmon appl. + 802.1 Fehlt: anti viren connector

macmon NAC - Schutz vor Fremdgeräten LAN macmon läuft auf einem zentralen Server keine Agenten oder Sensoren erforderlich keine Veränderungen der Netzwerkstruktur Außenstellen werden mit überwacht herstellerunabhängig modular von MAC-Authentifizierung bis zum Hardwarezertifikat (TPM-Chip) Remote

macmon NAC – intelligent einfach LAN Erstellen einer Referenzliste nur noch bekannte Geräte im LAN Kommunikation mit allen Switchen Unbekannte Geräte sperren / Gäste-LAN eigene Geräte ins hinterlegte VLAN einfache GUI – Intelligenz im Hintergrund Zeiteinsparungen durch Automatismen Angriffsabwehr & Netzwerktransparenz Volle Übersicht & Voller Durchgriff

macmon NAC - MAC-Authentifizierung Gerätelokalisierung am Switch-Port SNMP oder Telnet/ SSH LAN Remote Schutz vor Fremdgeräten Erkennung und Lokalisierung von unautorisierten Geräten Erkennung von Veränderungen und Umzügen Live-Bestandsmanagement

macmon NAC - Reaktionen Regelbasiertes Eventmanagement LAN Flexible Reaktionen nach konfigurierbaren Regeln Meldungen an Administratoren und Helpdesk Sperren des Zugangs zum Netz Zeitliche, räumliche und logische Bedingungen möglich Quarantäne-, Remediation- und Besuchernetzwerke Script–Kommandos an andere Systeme Remote

macmon NAC – Technologiepartnerschaften / Kopplungen

macmon NAC – Technologiepartnerschaften / Kopplungen Datenübergabe von macmon an Indart, für ein stets aktuelles Notfallhandbuch Bereitstellen einer hervorragenden Client Compliance und Nutzung von macmon für das Enforcement Vollständiger Datenabgleich durch das Live-Bestandsmanagement von macmon mit der Central Master Data Base uniDB Auslesen kritischer Events durch den macmon antivirus connector und automatisierte Isolation der gefährlichen Systeme

macmon advanced security IP-Adress- auflösung über ARP Netzwerk-dienste DNS und DHCP LAN Erweiterte Endgeräte-Identifizierung Schutz vor Angriffen Adress-Fälschung Angriffe auf Switches ARP-Spoofing Footprinting Remote

macmon vlan manager „Dynamische VLANs“ Das VLAN wird durch das Endgerät bestimmt (MAC-Adresse  VLAN-ID). Die Anwender haben immer den richtigen Zugang zum Netz, unabhängig vom physischen Anschluss. Einfache Pflege, keine Nachkonfigurationen bei Umzügen oder mobilen Nutzern. Kein Switch-Knowhow bei den für die Pflege eingesetzten Mitarbeitern notwendig. MAC 01-23-45 67-89-ab MAC 01-23-45 67-89-ab VLAN 99 Besucher VLAN 2 Produktion VLAN 1 Verwaltung MAC 01-23-45 67-89-ab 24

macmon IEEE 802.1X SNMP EAP/ 802.1X RADIUS LAN 802.1X Switch führt Autorisierung über Radius-Protokoll durch. RADIUS Credentials (Zertifikat) oder Username/ Passwort in macmon MAB (MAC Authentication Bypass) – Unterstützung Die VLAN-Steuerung erfolgt über macmon! Fehlversuche erzeugen ein Ereignis! 25

macmon 802.1X IEEE 802.1X mit und durch macmon macmon ist die Lösung für alle „Hindernisse“ bei Nutzung des Standards: Nutzung eines offenen Standards kombiniert mit Best Practice Möglichkeit des gemischten Betriebes – mit und ohne 802.1X Geräteortung durch Kommunikation mit den Switches Eventmanagement Hohe Verfügbarkeit durch Cluster und/oder „MAC-Authentifizierung als Fallback Einfach in der Implementierung und im Betrieb Nutzung des (dynamischen) VLAN-Managements mit Gruppenzuordnung Erweiterung durch Nutzung eines Hardware-Zertifikates (TPM-Chip)

Vollständige Gäste- und Besucherverwaltung: macmon guest service Das Gäste Portal Vollständige Gäste- und Besucherverwaltung: Erstellen von Voucher-Listen zur Vereinfachung des Ablaufs am Empfang Unabhängig vom Hersteller der WLAN-Infrastruktur Ortung der Geräte (an welchem Access-Point) Reaktives Aussperren der Geräte (z.B. Eventbasiert) Selbstregistrierung mit Handy-Nr. und User-Namen Vouchercode per SMS an das Handy 27

macmon client compliance macmon client compliance Option Scan Daten Compliance Agent compliant non-compliant Scan Jobs

Durchlaufende PC-Arbeitsplätze sind ein Sicherheitsrisiko! Schutzmaßnahmen Durchlaufende PC-Arbeitsplätze sind ein Sicherheitsrisiko! Die Argumente der Benutzer sind klar: man will morgens nicht auf das Starten des Gerätes warten die wiederholte Anmeldung an verschiedenen Anwendungen ist zu zeitaufwendig „PC-Anwender tolerieren keine Produktivitätseinbußen im Zusammenhang mit Stromsparmaßnahmen“. (Experton-Group) Aber : Jedes Gerät, das (Nacht-)aktiv ist, kann: angegriffen werden Viren verbreiten als „Bot“ in einem Bot-Netz SPAM-Mails versenden oder sich an DDos- Angriffen beteiligen

IT-Energie-Management Einsparpotenziale Laufen in einem Netz mit 1.000 Arbeitsrechner 25% der Geräte durch, sind dies jährliche Leerlauf-Kosten von 24.250 €! Die Analysten von Gartner taxieren das Einsparpotenzial in einem Unternehmen mit etwa 2.500 Rechnern ohne Power-Management auf über 43.000* Dollar jährlich. Die 11.500 PCs eines Schulbezirks in Redmond (USA) konnten durch Powermanagement den Stromverbrauch um 3,66 Millionen Kilowattstunden pro Jahr senken! Dies ergab Kostensenkungen von 250.000 Dollar jährlich. * Der amerikanische Strompreis liegt bei ca. einem Drittel des deutschen Strompreises!

Energieverbrauch reduzieren durch Steuerung der Energieprofile macmon energy Energieverbrauch reduzieren durch Steuerung der Energieprofile macmon tauscht die Energieprofile zeit- und ereignisgesteuert aus. Beispiele: Zeitgesteuert: z. B. Werktags ab 18:00 Uhr Ereignisgesteuert durch die Zutrittskontrolle Umschalten in den Standby-Mode bei fehlender Aktivität Zeitgesteuertes Herunterfahren der Geräte

Produktivität verbessern durch „Wecken“ der PC´s macmon energy Produktivität verbessern durch „Wecken“ der PC´s Büro-PC‘s werden automatisch aus und wieder eingeschaltet zeitgesteuert: z. B. werktags um 8:00 Uhr ereignisgesteuert durch die Zutrittskontrolle geplant durch den Anwender mit dem macmon energy-Kalender Urlaube, Abwesenheit etc. können hinterlegt werden zur Ausführung von automatisierten Wartungs- und Supportarbeiten wie: Software-Updates, Vollständige Virenscans, Backups

Kunden über die… …Vorteile von macmon-NAC: Sofortige Netzwerkübersicht & mögliche Aktivierung innerhalb 1 Tages Einfaches Handling im täglichen Betrieb Mehrstufige Zugriffskontrolle Strikte Durchsetzung von Richtlinien und Sicherheitsanforderungen Modular erweiterbar Technologiepartnerschaften und Anbindung an führende Security- Produkte Intelligente Gäste-Verwaltung Steuerung des Netzwerkzugangs auch für Mobile Geräte Deutscher Hersteller-Support

macmon Produktfamilie Bundle ausweisen 8021x nicht extra Macmon server extra – hier dann mit macmon appl. + 802.1 Fehlt: anti viren connector

Kundenbeispiele Landratsamt Bodenseekreis Landesrechnungshof Landesgewerbe- anstalt Bayern Landesrechnungshof Brandenburg Generalstaats- anwaltschaft LaGeSo Medizinische Hochschule Hannover Helios Kliniken

Wir freuen uns auf das persönliche Gespräch mit Ihnen! Kontakt Wir freuen uns auf das persönliche Gespräch mit Ihnen! macmon secure gmbh Charlottenstrasse 16 10117 Berlin Fon 030. 23 25 777 0 Fax 030. 23 25 777 200 vertrieb@macmon.eu www.macmon.eu