Alle Unternehmen schützen sich heute mit Firewall- und Antivirus-Systemen vor Gefahren aus dem Internet. Von intern kommende Bedrohungen werden immer noch unterschätzt: Fremdgeräte wie Notebooks, WLAN-Adapter oder sonstige Netzwerkkomponenten lassen sich Dank "plug & play"-Technologie problemlos und schnell an das Netzwerk anschließen und können so Schaden im Netzwerk anrichten. Bereits ein einziges fremdes Gerät oder ein ungeschützter Zugangspunkt öffnen Tür und Tor für fatale Sicherheitsrisiken, selbst wenn diese Geräte nur aus Gedankenlosigkeit oder in bester Absicht in das LAN eingebracht werden.

Die Schwachstellen und Bedrohungen
Ein großer Teil der Angriffe kommt aus dem Inneren eines Netzes. Die Unternehmensberatung KPMG meldet, dass bis zu 80 % aller Schädigungen von Innen kommen. Hier führen technische Unwissenheit, Neugierde und absichtliche Manipulation zu Schäden für ein Unternehmen. Folgende Schwachstellen sollten deshalb im Unternehmensnetzwerk geschlossen werden, damit unberechtigte Netzwerkteilnehmer keinen Schaden anrichten und insbesondere keine Zugangsberechtigungen und Daten ausspionieren können:

1. Fremde Geräte
Fast jedes Sicherheitskonzept verbietet den Anschluss fremder Geräte im Unternehmensnetz. Die Gründe dafür sind vielfältig, oft spielen jedoch die Aspekte Schutz vor Viren, Würmern und Trojanern und der Schutz vor internen Angriffen eine wesentliche Rolle.

2. ARP-Angriffe
Ein Angreifer, der direkten Zugriff auf ein Netzwerk hat, kann eine Vielzahl von Attacken ausführen. Zu den gefährlichsten zählen die sogenannten ARP-Spoofing-Angriffe. ARP-Spoofing-Angriffe werden durchgeführt, indem gefälschte ARP-Pakete erzeugt und gezielt an andere PCs im gleichen Subnetz geschickt werden. Eine besondere Form der ARP-Spoofing-Angriffe sind die sogenannten ARP-Poisoning-Angriffe. Beim ARP-Poisoning werden die ARP-Tabellen (Zuordnung der IP- zur Mac-Adresse der Netzwerkkarte) von PC's gezielt manipuliert, um zu erreichen, dass die Kommunikation zwischen zwei Maschinen über den Angreifer geführt wird, der dann als man-in-the-middle alle Daten blockieren, abhören oder manipulieren kann.

3. Überlauf einer CAM-Tabelle
Neben ARP-Spoofing- bzw. ARP-Poisoning-Angriffen existieren diverse andere Angriffe, die auf Layer 2 oder 3 wirken. Dazu zählen insbesondere Mac-Flooding-Angriffe, die oft mit dem Ziel ausgeführt werden, die CAM-Tabellen von Switches zum Überlauf zu bringen. Dies führt häufig dazu, dass der Switch-Pakete nicht mehr nur auf dem Zielport, sondern auf alle Ports weiterleitet; der Switch wird zum Hub und Abhörattacken sind kinderleicht.

4. Spoofing-Attacken
Bei Spoofing-Attacken müssen insbesondere IP- und Mac-Spoofing genannt werden, bei denen ein Angreifer versucht, mit einer falschen IP- bzw. Mac-Adresse besondere Berechtigungen zu erhalten.

Mit ARP-Guard wurde eine Lösung von ISL entwickelt, die u. a. wirksam gegen fremde, unautorisierte Geräte schützt. ARP-Guard erkennt bereits am Netzwerkport des Switches, ob ein System im internen Netzwerk erwünscht ist, oder nicht. Mit der automatischen Überprüfung der Mac-Adresse des Gerätes erkennt ARP-Guard, ob es sich um ein System handelt, dem der Zugang zum Unternehmensnetzwerk gewährt werden soll. Ist die Mac-Adresse unbekannt, kann beispielsweise einem fremden Laptop der Zugang komplett verwehrt, oder nur ein Zugang zum Gäste-VLAN mit Internet gewährt werden.

Die Wahrscheinlichkeit für Fremde, eine Mac-Adresse zu finden, die an einem bestimmten Switchport zugelassen ist, beträgt 1: 281474976710656. Die Wahrscheinlichkeit für zwei Mal 6 Richtige im Lotto ist höher als dieser Wert.

Darüber hinaus analysiert das ARP-Guard Frühwarnsystem kontinuierlich alle Daten, die zur Erkennung von internen Angriffen wie ARP-Spoofing und -Poisining sowie Mac-Flooding und Mac-Spoofing relevant sind, alarmiert bei Angriffen, identifiziert die Angreiferquelle und wehrt die Angriffe ab.

Sie bestimmen die Zugangs- und Sicherheitsrichtlinien
Die dynamische VLAN Konfiguration und das Port-Security Management ermöglichen es Regeln zu definieren, die nur bestimmten Gruppen oder Geräten Zugang zu speziellen VLANs oder Switchports gewähren; sogar zeitlich beschränkte Zugangsberechtigungen sind möglich. Mit der benutzerdefinierten Festlegung von Zugangs- und Sicherheitsrichtlinien gewinnt ein Unternehmen die Kontrolle darüber, was mit fremden Geräten, Notebooks von Gästen oder Außendienstmitarbeitern, WLAN-Devices etc. geschieht. Im Prinzip handelt es sich bei ARP-Guard um eine zentral und beliebig fein administrierbare Variante von Port-Security, allerdings mit einer zentralen Datenbank und ohne die herstellerspezifischen Einschränkungen.

Besonders elegant ist die Möglichkeit, VLANs in Abhängigkeit von Regelsätzen dynamisch zu konfigurieren. So können beispielsweise die Ports in der Gruppe „Besprechungsräume" standardmäßig im Gäste-VLAN betrieben werden, aber sobald ein interner Mitarbeiter dort aktiv wird, wird dessen internes VLAN aktiv, so dass er immer seine gewohnte Umgebung findet. Ebenso kann in den Mitarbeiterräumen standardmäßig das interne VLAN konfiguriert sein, aber wenn sich ein Fremder dort anschließt, dann wird der Port sofort in das Gäste-VLAN verschoben.

Bei den Aktionen zum Aufbau des Schutzniveaus kann zwischen drei Optionen gewählt werden:
- ARP-Guard wehrt unerwünschte Hardware automatisch ab
- oder verlegt diese in ein spezielles VLAN
- oder es erfolgt nur eine Alarmierung.
Die Alarmierung erfolgt flexibel per E-Mail, SNMP-Trap oder SMS.

Über das ARP-Guard Management System können alle statischen IP-Adressen festgelegt werden, d. h. die Zuordnung zwischen IP-Adresse und Mac-Adresse kann derart fixiert werden, dass jede Änderung - insbesondere die Verwendung einer anderen Mac-Adresse für die genannte IP-Adresse - in jedem Fall als Angriff erkannt wird.

Arp-Guard bietet einen automatischen Lernmodus für Mac-Adressen. Mit Filtern und Abfragen lassen sich die gelernten Mac-Adressen benutzerdefinierten Gruppen zuordnen. Die Mac-Adressdatenbank von Arp-Guard lässt sich übrigens auch über einen Lernport füttern, an dem z.B. externe Dienstleister ihre Notebooks registrieren müssen.

Wichtige Switchports, beispielsweise von Servern mit virtualisierten Systemen oder Routersystemen, können als VIP (very important port) konfiguriert werden. Trunk- und VIP-Ports werden vom ARP-Guard System auch dann nicht heruntergefahren, wenn ein Angriff von dort festgestellt wird.

Die Voraussetzung für Arp-Guard sind SNMP managebare Switche. ARP-Guard ist somit eine herstellerunabhängige Lösung, die sich problemlos in die vorhandene IT-Infrastruktur integriert und sich durch niedrigen Wartungsaufwand und eine einfache Konfiguration auszeichnet.

Abgrenzung
Gegenüber Lösungen wie 802.1x, NAC und NAP bietet ARP-Guard zwei entscheidende Vorteile:

a) Es muss kein Rechner im Netzwerk angefasst werden, weil keine zusätzlichen Komponenten wie Agenten oder Zertifikate installiert werden müssen.

b) Es entstehen keine Sicherheitslücken an Netzwerkports wo Drucker und andere Geräte angeschlossen sind, die beispielsweise das Protokoll 802.1x nicht unterstützen.

Gegenüber Port-Security Lösungen der Hersteller von Switchen bietet ARP-Guard vor allem den Vorteil, dass es herstellerunabhängig arbeitet. Mit seinem Abgleich gegen die zentrale Datenbank entfallen Einschränkungen, wie maximal zuzuordnende Mac-Adressen pro Switchport. Ein Umzug eines Rechners in eine andere Büroetage zieht bei ARP-Guard auch keine neue Konfiguration der Switchports nach sich, da die Mac-Adresse aus der zentralen Datenbank abgefragt wird.

Die Projektkosten für die Einführung von Arp-Guard fallen gegenüber der Einführung von 802.1x oder NAC deutlich geringer aus.

Funktionsübersicht

• vollständige Zugangskontrolle über das eigene Netzwerk und Schutz vor Attacken durch fremde, unautorisierte Geräte
• Schutz vor folgenden internen Angriffen:
  - ARP-Spoofing und -Poisining
  - Mac-Spoofing und Mac-Flooding
• ein zentrales Managementsystem, dass gleichzeitig auch als Inventar- und Adressmanagement für Mac- und IP-Adressen dient. Eine Datenbank für alle Mac-Adressen.
• benutzerdefinierte Festlegung von Zugangs- und Sicherheitsrichtlinien
• Überwachung der Endgeräte auf Betriebssystem- und AV-Updatestatus
• automatische Abwehr von unautorisierter Hardware oder Verlegung in ein spezielles VLAN
• keine Client-Software erforderlich
• kostengünstige und pragmatische Alternative zu 802.1x
• beliebig skalierbar durch Sensor / Management-Architektur
• Alarmierung durch E-Mail, SNMP-Trap, SMS oder benutzerdefiniert möglich
• herstellerunabhängig und daher problemlos in jede IT-Infrastruktur integrierbar
• niedriger Wartungsaufwand und einfache Konfiguration

Produkt und Verfügbarkeit

ARP-Guard ist verfügbar als:

• Appliance, Virtual Appliance und Software