Lernen von Endgeräten via macmon NAC Advanced Security
Jochen Füllgraf | August 25, 2023
Das Advanced Security Feature ist eine Funktion der Network Access Control-Lösung von macmon secure. macmon NAC Advanced Security ermöglicht die post-connect und zyklische Überprüfung von Endgeräten. Das Feature unterstützt verschiedene Kommunikations- und Netzwerkprotokolle, die Fingerprinting sowie Footprinting ermöglichen. Erfahren Sie, wie Sie an die verschiedenen Informationen der Endgeräte gelangen und wie dieses Wissen zur Netzwerksicherheit beiträgt.
Endgeräte überprüfen mit macmon NAC Advanced Security
Mittels Advanced Security kann eine Überprüfung unabhängig davon erfolgen, wie das Endgerät ins Netzwerk gelangt ist. Liegen macmon NAC Basisdaten wie die IP-Adresse oder MAC-Adresse vor, kann mit Endgeräten kommuniziert werden. Mithilfe der macmon NAC Advanced Security kann regelmäßig geprüft werden, ob es sich um das gleiche Endgerät oder zumindest ein Firmenendgerät, einer gewissen Gruppe von Endgeräten, das ursprünglich zum Netzwerk zugelassen wurde, handelt. Denn es ist möglich, dass z.B. ein Hub am Port vorweggesetzt und durch Spoofing die MAC-Adresse oder gar die IP-Adresse manipuliert wurde. So kann es sein, dass sich im Netzwerk Endgeräte befinden, die nie zugelassen wurden.
Bei dieser Verschleierung nimmt das neue Endgerät jedoch am Datenverkehr, also der Kommunikation im Netzwerk, teil. Dadurch kann macmon NAC die Endgeräte erneut prüfen. Es können bestimmte TCP/UDP-Ports gecheckt, Kommunikations- und Netzwerkprotokolle durchlaufen und Zertifikate kontrolliert werden. Weiterhin kann vorgegeben werden, dass ein Schweigen auf Anfragen auch als Verstoß betrachtet wird, da sich dies damit ab vom Standard des Endgerätes verhält.
Fingerprinting: Technik zur Nutzerverfolgung mit eindeutiger Identifizierung von Betriebssystemen, Protokollen, Software und Hardware von Endgeräten und Clients Footprinting: Beschaffung von Informationen von Systemen, Infrastruktur und Netzwerken öffentlich zugänglicher Informationen und Systemantworten TLS (Transport Layer Security): Verschlüsselungsprotokoll für sichere Datenübertragung im World Wide Web HTTPS (Hypertext Transfer Protocol Secure): Kommunikationsprotokoll mit Transportverschlüsselung im Internet RDP (Remote Desktop Protocol): Windows-Netzwerkprotokoll für Fernzugriff auf Endgeräte SSH (Secure Socket Shell): kryptografisches Netzwerkprotokoll zur Herstellung einer gesicherten Verbindung zwischen Endgeräten WMI (Windows Management Instrumentation): Zugriff auf Einstellungen von Windows-Systemen SNMP (Simple Network Management Protocol): Überwachung und Steuerung der Netzwerkelemente mithilfe eines Netzwerkverwaltungsprotokolls über zentrale Instanz |
Fingerprinting & Footprinting
Ein eindeutiges Zertifikat kann beispielsweise durch die Überprüfung mit TLS erfolgen. RDP wird eher verwendet, wenn Clients Remote-Zugriff mit diesem Protokoll zulassen, zum Beispiel für das Management.
Das Durchlaufen dieser Protokolle ergibt Zertifikate. Das neu ausgegebene Zertifikat kann mit dem alten Zertifikat verglichen werden: Stimmen die Zertifikate weiterhin überein? Wurde das Endgerät über Spoofing manipuliert, erfolgt auf die Anfrage entweder keine Reaktion – kein Zertifikat wird ausgegeben – oder ein falsches Zertifikat. Selbst wenn der richtige öffentliche Teil eines Zertifikates geliefert würde, wird zusätzlich durch einen Verbindungsaufbau geprüft, ob das Endgerät auch den privaten Teil des Zertifikates enthält.
Als Reaktion darauf kann das Endgerät aus dem Netzwerk entfernt oder in ein Quarantänenetzwerk verschoben werden. So kann man in einem sicheren Rahmen überprüfen, inwiefern das Endgerät eine Bedrohung darstellt und was genau mit diesem passiert ist. Alternativ ist auch nur eine Benachrichtigung oder die Protokollierung möglich.
Eine weitere Möglichkeit der Prüfung ist SSH. Wie TLS lässt sich dieses Protokoll dem Fingerprinting zuordnen. Über den SSH-Fingerprint lässt sich pro Client eine eindeutige Identifizierung vornehmen.
Per WMI kann zum Beispiel der Computername des Windows-Clients ausgelesen werden. Wenn es sich tatsächlich um einen firmeneigenen Windows-Client handelt, muss die Anmeldung erfolgreich sein und der Client den optional vorgegebenen Bedingungen hinreichen z. B., dass der Computername mit WS – für Work Station – und fortlaufender ID beginnt.
WMI als auch SNMP gehören zum Footprinting. Dieses gibt Hinweise auf die zugehörige Gruppe, also die Art bzw. das Verhalten des Clients. Über Footprinting kann der Endpunkt nicht eindeutig identifiziert, jedoch auf Firmenparameter geprüft werden.
Leistungen von macmon NAC Advanced Security
In der Web GUI kann ein periodischer Zeitwert hinterlegt werden, z.B. 60. Dann werden alle mit dem Netzwerk verbundenen Endgeräte im 60-Minuten-Takt überprüft, ob ihre Werte weiterhin mit den vorherigen oder den generellen Vorgaben übereinstimmen.
Für unbekannte Endgeräte können Endgerätegruppen im Sinne einer Überprüfungsreihenfolge in macmon NAC Advanced Security konfiguriert werden. So kann eine globale Überprüfung nach bestimmten Angaben erfolgen. Beispielsweise ob die unbekannten Endgeräte mit den Werten von der Endgerätegruppe „Client Special“ übereinstimmen. Falls es Unstimmigkeiten gibt, können die gelieferten Werte direkt folgend gegen eine weitere Gruppe geprüft werden, z. B., ob es sich um Entwickler-PCs handelt oder das Endgerät der Gruppe „Default“ zuzuordnen ist. Zuvor war es lediglich möglich, eine dieser Gruppeneinstellungen zu überprüfen. Mittlerweile können mehrere Gruppeneinstellung gleichzeitig abgefragt werden, sodass eine granulare Zuordnung erfolgen kann. Das kann insbesondere dann hilfreich sein, wenn das Unternehmen spezielle Zertifikate und/oder Zertifizierungsstellen verwendet.
Mit macmon NAC Advanced Security lassen sich alle Endgeräte checken, die mit den genannten Netzwerkprotokollen (siehe Info-Box) überprüft werden können. Dabei muss es sich nicht zwangsläufig nur um Laptops oder PCs handeln – es können Telefone, Drucker, Kameras oder sonstige IoT-Geräte sein. Welche Endgeräte mithilfe des Features geprüft werden können, hängt davon ab, welche Ports Sie prüfen und ob auf diesen ein Service läuft, der ein Zertifikat oder andere prüfbare Werte liefert.
macmon NAC Advanced Security kann folgende Informationen liefern:
- Betriebssysteme der Endgeräte
- Offene und geschlossene Ports (TCP & UDP Ports)
- Erfolgreiche Login-Prüfung
- Name des Systems
- Name der Active Directory Domain
- Name der Location des Endgeräts (Standort)
- Sysname (Name vom Endgerät)
- Certificate Authorities
- Fingerprints
In Kombination mit macmon NAC Compliance können Eigenschaften überprüft werden, die auf dem Endgerät konfiguriert sind und eine Quarantäne-Schaltung durchführen. Diese Daten können über REST API von anderen Systemen (Technologiepartnern) oder für ein Reporting abgefragt werden.
Die Funktion Advanced Security ist im Security Bundle, Network Bundle und im Premium Bundle enthalten.