Network Access Control

Network Access Control

Intelligente Netzwerkzugangskontrolle der nächsten Generation – Sichtbarkeit, Transparenz und Status des Netzwerkes in Echtzeit

Network Access Control (NAC;  Netzwerkzugangskontrolle) ist eine Technologie, welche die Abwehr von Schadsoftware aus dem Netzwerk heraus unterstützt. Mit NAC werden Endgeräte während der Authentisierung auf Richtlinienkonformität geprüft. Typischerweise überprüfen NAC-Systeme, ob Endpunkte bekannt sind, die Virensignaturdatenbank aktuell ist, ob eine Personal-Firewall eingeschaltet ist und ob vorhandene Betriebssystemaktualisierungen korrekt installiert sind. Die Sicherheitsleitlinie der Institution kann vorschreiben, dass die gesamte Kommunikation im LAN  abgesichert sein soll. Ein NAC kann überprüfen, ob das entsprechende kryptographische Verfahren vom neuen Client unterstützt wird und alle nötigen Initiierungsmaßnahmen veranlassen, wie beispielsweise die Einigung auf Verfahren, der Schlüsselaustausch und so weiter.

Unsere Leistungen - Klicken und hier MEHR erfahren!

iT-CUBE bietet den kompletten Zyklus von Bedarfsanalyse, Erstellung des Konzepts, Planung der Umsetzung, Unterstützung der Implementierung, Schulung der Betriebsmannschaft, Unterstützung des Betriebs und regelmäßigen Überprüfungen zum sicheren Betrieb der Next Generation-NAC-Lösung.

Warum Network Access Control?

Für den CISO:

  • Compliance-Prüfungen für interne/externe Auditoren
  • Einhaltung der einschlägigen Rechtsvorschriften und Rechtsauslegung (Audit)
  • Eigenes Tool zur Prüfung – Prinzip Buchhalter (Controller in getrennten Systemen und „4-Augen-Prinzip“)

Für den CIO:

  • Überblick über das Netzwerk und dessen Zustand

  • Einfache Integration  „Fast Time To Value“

  • Automatisierung von Routineaufgaben und Entlastung von Mitarbeitern

Für den CEO:

  • Schaffen einer zukunftssicheren und soliden Sicherheitsbasis
  • Schutz des bisherigen Invests durch nahtlose Integration in die bestehende IT-Infrastruktur 
  • rechtliche Sicherheit durch Einsatz von State-of-the-Art IT-Security-Systeme
  • Erfüllen von externen Compliance Vorgaben

Forescout – Netzwerkzugangskontrolle mit Köpfchen schützt das Netzwerk jederzeit gegen Cyberangriffe

Partner iT-CUBE

Der Versuch die Sicherheitsrichtlinien für  alle mit dem Netzwerk verbundenen Geräten (bekannte und unbekannte, verwaltete, IoT, BYOD, PC, Mobilfunk, etc.)  aufrechtzuerhalten, sowie einen Überblick über verschiedenen Arten der Benutzer (Mitarbeiter, Gäste, Vertragspartner), welche über zahlreiche Zugriffsmechanismen (Kabel, W-LAN, VPN) auf das Netzwerkzugreifen können, ist  sehr schwierig und ohne automatisierte Systeme nicht mehr möglich.

Wenn der herkömmliche Ansatz betrachtet wird, ist dieser von einigen Problemen betroffen:

  • Unzureichende Transparenz und Kontrolle aller Endpunkte im Netzwerk, vor allem bei BYOD und IoT-Geräten
  • Mangel an Monitoring in Echtzeit und kontinuierlicher Diagnose
  • Mangel an Datenaustausch zwischen Sicherheitsprodukten, was den Kontrollkontext schwächt
  • Mangel an Automatisierung, um schnell auf Probleme reagieren und schwerwiegende Bedrohungen eindämmen zu können

Die ForeScout CounterACT Plattform ermöglicht es IT-Sicherheitsmanagern, die vollständige Sichtbarkeit und Kontrolle über  alle Geräte im Netzwerk zu gewährleisten und ermöglicht   eine kontinuierliche Diagnose des Netzwerkes und der Infrastruktur  (welche Geräte, Betriebssysteme, Anwendungen und Benutzer befinden sich gerade in dem Netzwerk). Mit dieser allumfassenden Netzwerkintelligenz ausgestattet, kann die CounterACT Ihre Netzwerk Infrastruktur vollautomatisch auf Richtlinienkonformität prüfen, aber selbst vollautomatisch auf neue zu  Gefahren reagieren und fungiert als intelligente automatisierbare Schaltstelle zu einer grossen Zahl  anderer Security Services wie

  •  Advanced Threat Detection (ATD)
  • Enterprise Mobility Management (EMM)
  • Vulnerability Assessment (VA)
  • Security Information & Event Management (SIEM)
  • Endpoint Protection Platform (EPP)

Funktionsweise

Die ForeScout CounterACT wird out-of-Band installiert  und an den SPAN-Port eines existierenden Switches angeschlossen. Von dieser Position aus überwacht CounterACT den Netzwerkverkehr und integriert sich in die Netzwerkinfrastruktur, sodass neue Geräte erkannt werden, sobald diese versuchen auf das Netzwerk zuzugreifen.

CounterACT überprüft vollautomatisch den Zugriff, basierend auf den erstellten Richtlinien, auf das Netzwerk. Hier werden die Identität des Anwenders, die Identität des Geräts und die Sicherheitseinstellung des Gerätes ausgewertet. Nachdem das Gerät für das Netzwerk zugelassen wurde, kann CounterACT über ein auftretendes Sicherheitsproblem informieren, das Problem lösen oder den Endpunkt unter Quarantäne stellen, bis das Problem behoben wurde.

Warum Forescout?

Was sind die wichtigsten Features?

  • Keine Abhängigkeit zu 802.1x. 802.1x wird aber dennoch unterstützt!

  • Sehr einfach zu konfigurieren und zu administrieren

  • Out-of-Band-Installation: Sehr geringe operative Auswirkungen

  • Keine Anpassungen an der Netzinfrastruktur nötig.

  • Agentenlose Installation möglich

  • Unterstützung für Endgeräte wie Drucker, IP-Telefone, etc.

  • Sehr gute Integrationsfähigkeit in andere Security-Systeme, wie z.B.: McAfee ePO, SIEM-Systeme, Next Generation Firewalls, Vulnerability Scanner und viele mehr

  • Sehr gute Integrationsfähigkeit in andere Security-Systeme, wie z.B.: McAfee ePO, SIEM-Systeme, Next Generation Firewalls, Vulnerability Scanner und viele mehr

  • Intelligente Schnitt und Schaltzentrale; Automated Response und Security Orchestration Plattform

  • Real-time Visibility

  • Endpoint Compliance

  • Automated Remediation

  • Adaptive Threat Response

  • Intelligent Security Orchastration

 

Beispiel Use Cases

Automated Response und Security Orchestration


Wir im Netzwerk durch IPS, Firewall oder SIEM (Security Information & Event Management) eine Bedrohung durch ein Device erkannt übernimmt Forescout Counteract die Kontrolle durch Blockieren, Einschränken oder Verschieben des Devices in ein sicheres Segment

Die Lösung stellt ein vollständiges Security Assessment bereit. Punktgenaue Vulnerability Scans werden initiiert sobald ein Device dem netzwerk beitritt.

Geräten, die schon länger nicht mehr im Unternehmensnetzwerk angeschlossen waren (z. B. von Außerndienstmitarbeitern) wird erst nach der Feststellung und ggf. der von Counteract erzwungenen Behebung des Sicherheitsstatus (Viren-Updates, AV Full Scan, Patching) voller Zugriff auf das Netzwerk erlaubt. Während der manchmal längerdauernden Herstellung der Compliance ist der Mitarbeiter trotzdem in der Lage Basisaufgaben aus einem sicheren Segment heraus zu erledigen.

Warum iT-CUBE?

Durch langjährige Erfahrung in NAC-Projekten hilft Ihnen iT-CUBE Systems bei der Umsetzung folgender Punkte:

  • Ermitteln von Informationen über den Status des Netzwerks in Echtzeit – Benutzer, Geräte, Systeme und Anwendungen.
  • Kontinuierliches Monitoring und Problembehebung bei Sicherheitsproblemen, sowie zur Konfigurationen der Endpunkte.
  • Blockieren von „Rogue“-Geräten, schädlichem Verhalten, nicht genehmigter Software und Advanced Threats
  • Maßgeschneiderter Netzwerkzugriff nach Benutzer, Gerät und Sicherheitslage.
  • Zentrale, richtlinienbasierte Koordination statt einer Vielzahl einzelner Sicherheitslösungen.
  • Identifizieren und kontrollieren von „allem“ im Netzwerk in Echtzeit:
    Geräte, Anwender, Applikationen.
  • Policy-Enforcement auf Endgeräten mit vielen eingebauten Regeln, flexibel anpassbar
  • Automatisiertes Erkennen und beheben von Vulnerabilities,
    bspw. Quarantäne, Update von veralteten Software-Versionen (Browser, Acrobat Reader, etc.)

Andere Lösungen im Bereich Network Access Control:

Das könnte Sie auch interessieren...