V eri - NAC™ V eri - NAC - Black Box Network Services

Network Access Control
Die Katastrophe ist vielleich
nur einen Klick entfernt !
BLACK BOX
®
Sichern Sie Ihr Netzwerk ab und
schützen Sie Ihre Geräte mit ganzheitlicher
Netzwerk-Zugangskontrolle inklusive
Sicherheits-Management.
Arbeiten Sie mit Fakten! Netzwerk-Absicherung, die Sie nicht missen wollen.
V e r i - N A C™
NETWORK VULNERABILITY & ACCESS CONTROL
V e r i - N A C™
NETWORK VULNERABILITY & ACCESS CONTROL
0811/5541-110 | www.black-box.de
Netzwerk Zugangskontrolle und Sicherheits-Management
Kontrolle über Ihre Netzwerkverbindungen. Unbekannte
Laptops und nicht authorisierte Wireless Access Points
kommen nicht in Ihr Netzwerk.
Können Sie sich Einbrüche in Ihr Netzwerk
leisten?
Entdecken und verstehen Sie Ihre gesamte Netzwerk
Ein Einbruch in Ihr Netzwerk ist nicht nur ärgerlich, er kann auch zu
Haftungsschäden und hohen Kosten führen. Sehen Sie sich nur diese
Beispiele an:
Schützen Sie Ihr Netzwerk — finden und schliessen Sie
Löcher, bevor andere sie nutzen.
• Kürzlich musste eine grosse Hotelkette in einem Rundschreiben an
Ihre Gäste und per ganzseitiger Zeitungsanzeige veröffentlichen,
dass die Kreditkartennummern Ihrer Gäste zwischen November
2008 und Mai 2009 gehackt wurden.
Geräte Topologie, vervollständigen Sie die Dokumentation.
Entspricht den Anforderungen der GLBA, HIPAA, PCI,
ISO 27001 sowie anderen Sicherheits und Datenschutzbestimmungen.
• Im April 2005 brach jemand in das NASA Netzwerk des Kennedy
Space Center ein und spielte eine bösartige Software auf, die ständig Daten an ein Computersystem in Taiwan sendete.
• 2007 wurden mindestens 45.7 Millionen Kreditkartennummern und
vertrauliche Kontoinformationen aus dem Einzelhandel gestohlen.
Der Hacker hatte sich über das ungesicherte Wireless Netzwerk eines
Ladengeschäftes Zugang verschafft.
• 2009 gelang einem Hacker der grösste bekannte Diebstahl —130 Millionen Konto- und Kreditkartendaten von vielen Unternehmen.
• 2008 berichtete das amerikanische Identity Theft Resource Center
(ITRC) einen Zuwachs von 50% bei den gemeldeten Datendiebstählen und Netzwerkeinbrüchen gegenüber dem Vorjahr.
Könnte die nächste Meldung Sie betreffen?
Sicher haben Sie eine Firewall, die Hacker, Viren und bösartige Software
von Ihrem Netzwerk fernhält. Eine Firewall ist unerlässlich, um den
Netzwerkbetrieb abzusichern. Aber eine Firewall arbeitet nur am
Rande des Netzwerkes und bietet deshalb ausschliesslich einen Schutz
gegen Einbrüche von aussen.
Netzwerk Zugangsüberwachungssysteme (Network Access Control
NAC) schützen Ihr Netzwerk gegen Bedrohungen von innerhalb. Die
meisten Angriffe auf Ihr Netzwerk kommen von innen durch nicht
authorisierte Geräteverbindungen oder Mitarbeiter - häufig sogar
unbewusst. Eine NAC-Anwendung soll dies verhindern, sei es eine
Bedrohung an einem LAN-Port in der Lobby, im Konferenzraum oder
einem Wireless Access Point.
Mehr als 95% der Sicherheitseinbrüche lassen sich direkt
auf die Nutzung einer bekannten Schwachstelle (Common
Vulnerability and Exposure CVE) zurückführen.
Seite 2 |
Veri-NAC besteht aus einer Reihe von
Network Access Control (NAC) Anwendungen,
die sicherstellen, dass nur berechtigte Geräte
und Anwender Zugang zu Ihrem Netzwerk haben. Das System überprüft
zudem alle Computer, mobilen User,
Wireless APs und neue Geräte im
Netz auf mögliche Schwachstellen.
Findet Veri-NAC eine verdächtige Verbindung, wird diese sofort unterbrochen.
Berechtige Anwender arbeiten
störungsfrei und sicher weiter.
| black-box.de/VeriNAC
V e r i - N A C™
NETWORK VULNERABILITY & ACCESS CONTROL
• Alles in einer Box: Netzwerk Zugangsüberwachung
(NAC) und Sicherheits-Management.
• Arbeitet ohne Agenten und off-line für höchste Sicherheit in einer bedienfreundlichen Anwendung.
• Keine Aufrüstung der Infrastruktur — Veri-NAC
arbeitet mit allen bestehenden Switches.
• Unterstützt kabelgebundene UND wireless Geräte.
• Schützt Ihr Netzwerk vor Gefahren, die eine Firewall
nicht erkennt.
Kinderleichte Bedienung
SC Zeitung Produktbewertung
Features
Einfache Anwendung
Leistung
Dokumentation
Support
Preis-/Leistung
Gesamt
HHHHH
HHHHH
HHHHH
HHHHH
HHHHH
HHHHH
HHHHH
Pro: Vollständige dynamische Zugangskontrolle und
Überwachung der Netzwerkgeräte.
Kontra: Kein Punkt gefunden.
NAC Lösungen gibt es seit geraumer Zeit, diese konnten sich aber
nicht wirklich durchsetzen, da sie zu teuer und die Bedienung zu
zeitintensiv war. Häufig waren zudem grosse Updates nötig.
Kurz: der Aufwand überstieg den Nutzen ganz erheblich.
Bei der Entwicklung von Veri-NAC dagegen, wurde besonderer Wert
auf ein hohes Maß an Sicherheit in Verbindung mit einer einfachen
Bedienung ohne Agenten zu einem vorteilhaften Preis gelegt.
Veri-NAC erfordert weder Training noch spezielle Mitarbeiter, es ist
keine Installation von Software Agenten noch ein Upgrade der Switche
nötig —Veri-NAC lässt sich leicht in ihr Netzwerk integrieren.
Fazit: Ein solides Programm von NAC-Produkten
mit klarem Fokus auf das Fernhalten unberechtigter
Systeme und Anwender aus dem Netzwerk. Wir zeichnen
Veri-NAC mit der Empfehlung des Monats aus.
Nur mit Berechtigung
Veri-NAC lässt nur berechtigte Computer und Geräte in Ihr Netzwerk,
die mit Ihren Vorgaben voll übereinstimmen.
Jedes Gerät hat eine eindeutige, fabrikseitig vorgegebene MACAdresse. Veri-NAC sammelt das Profil von jedem Gerät einschliesslich
der MAC-Adresse und lässt nur bekannte, zuverlässige Geräteverbindungen in Ihrem Netzwerk. Das System erkennt und stoppt sogar
Maschinen, die mit einer gefälschten MAC-Adresse arbeiten.
Veri-NAC überprüft zusätzlich jedes Gerät auf die Einhaltung Ihrer
Standards. Das schliesst aktuelle Betriebssysteme, Patch Management,
und feste Konfigurationen ein. Ist ein Gerät nicht auf dem definierten
Stand, wird der Anwender vom Netz getrennt mit Ausnahme der
Anwendungen, die zur Aktualisierung notwendig sind.
Ständiger Schutz
Veri-NAC überprüft Ihr Netzwerk permanent auf unberechtigte
Geräte, die versuchen eine IP-Adresse zu erhalten. Zusätzlich können
Sie regelmässige Scans von Sicherheitslücken bei jedem verbundenen
Gerät durchführen lassen.
Keine Agenten
Anders als viele NAC-Systeme arbeitet Veri-NAC ohne Software
Agenten, die auf einem verbundenen Computer installiert werden
müssen. Das vereinfacht nicht nur die Installation erheblich, es schliesst
auch eine mögliche Sicherheitslücke.
Kosteneffektiv
80% aller erfolgreichen Netzwerkattacken kommen
von innerhalb des Netzwerks durch unkontrollierte
Verbindungen via Access Points oder unberechtigte
Laptops.
Nicht nur die Anschaffungskosten liegen häufig weit unter dem Durchschnittspreis, auch die Installation und Wartung ist preiswerter.
Veri-NAC arbeitet mit Ihrer bestehenden Netzwerk- und GeräteInfrastruktur ohne teure Updates. Veri-NAC erfordert kein Training
und minimale Installationszeit, so dass auch Unternehmen mit wenig
IT-Personal das System einfach anwenden können.
Free Tech Support: 0811/5541-110
| Seite 3
Veri-NAC Management
™
Schnelles, gradliniges Setup
Es braucht nur wenige Minuten, um dieses leistungsfähige NAC System zu installieren. Veri-NAC ist buchstäblich eine schlüsselfertige Netzwerk
Anwendung — stecken Sie die Verbindungen ein, schalten Sie das Gerät ein und folgen Sie den einfachen menügeführten Anweisungen zur
Konfiguration. Upgrades für Ihre Hardware oder Systeme sind nicht notwendig. Die einfach gehaltene Bedienoberfläche erfordert praktisch keine
Erfahrung.
NAC Konfiguration
Automatische Geräteerkennung
Hinzufügen und Löschen
von Subnetzknoten
Geräteverwaltung: Zuverlässig oder potentielle Gefahr
Seite 4 |
| black-box.de/VeriNAC
V e r i - N A C™
NETWORK VULNERABILITY & ACCESS CONTROL
Detailierte Berichte
Veri-NAC zeigt Informationen über Schwachstellen im Netzwerk anschaulich mit farbigen Graphen und Tabellen auf. Mit einem Blick erkennen
Sie den Status Ihres gesamten Netzwerkes und den jedes einzelnen Knotens. Veri-NAC spürt bekannte Schwachstellen und Gefahren (CVEs) auf
und dokumentiert sie. So können alle Geräte immer auf den neuesten Stand der firmeninternen Regularien gebracht werden.
Betrieb aus der Ferne
Device
Status
Threat
Potential
CVE Audit
Status
3
3
3
3
3
3
3
Corporate
Description
Corporate
Main Campus
Sales Offices
N.A. Sales
Mfg. Group
Assembly Sites
Device
IP Address
Pittsburgh
Dallas
Veri-NAC Status Icon 192.168.254.163
Legend
Device Status
San Jose
192.168.254.220
192.168.254.166
Device not powered
on or not working
Device powered on but not logged in
3
Interpretation von Schwachstellen und Gefahren
Device powered on and fully operational
Threat Potential
Untrusted Asset blocked by Veri-NAC
Untrusted Asset on network - confirm identity
3
All connected devices are known, trusted assets
CVE Audit Status
CVE Audit currently running
Audit revealed critical vulnerabilities - fix immediately
Audit revealed moderate vulnerabilities
3
Audit revealed no vulnerabilities
Free Tech Support: 0811/5541-110
| Seite 5
Netzwerk Zugangskontrolle und Sicherheits-Management
F: Brauchen wir ein NAC, wenn wir bereits eine
Firewall haben?
A: Für vollständige Sicherheit wird beides benötigt, weil die Geräte
auf unterschiedliche Weise schützen.
Eine Firewall wird an der Grenze des Netzwerkes eingesetzt, um aus
dem Internet ankommende Daten zu prüfen. Datenverkehr ins Netzwerk wird abgelehnt oder zugelassen basierend auf einem Regelwerk.
Firewalls überwachen den Datenverkehr und schützen nur vor
Gefahren, die von ausserhalb des Netzwerkes kommen.
Netzwerk-Zugangskontrolle (NAC) andererseits, überprüft die Vertrauenswürdigkeit der mit dem Netzwerk verbundenen Computer
und mobilen Geräte. Entspricht ein Gerät oder Computer nicht den
Vorgaben, verhindert oder isoliert das NAC dessen Netzwerkzugriff.
NAC Anwendungen schützen das Netzwerk, indem sie die Hardware
innerhalb des Netzwerkes überwachen.
F: Wie behandelt Veri-NAC Gast-Computer?
A: Unbekannte Anwender und Geräte — beispielsweise Gäste —
können entweder die Erlaubnis für einen Netzwerkzugriff erhalten,
werden aber als nicht vertrauenswürdig markiert oder ihr Zugriff
wird blockiert. Wenn Gäste Ihr eignes Laptop oder Smartphone für
den Internetzugriff benötigen, kann Veri-NAC diesen einen Zugang
ausschliesslich zum Internet gewähren ohne Zugriff auf das Intranet
Ihres Unternehmens.
F: Wird einem nicht kompatiblen Computer nur der
Netzwerkzugriff verwährt?
A: Sie können festlegen, auf welche Weise Veri-NAC auf nicht kompatible Computer in der jeweiligen Situation reagiert. Wenn Veri-NAC,
zum Beispiel, ein Gerät mit einer unbekannten MAC-Adresse findet,
kann Veri-NAC das Gerät aussperren oder den Zugriff auf ein Gastnetzwerk beschränken. Wenn Veri-NAC einen Computer mit einer
Sicherheitslücke wie einer veralteten Software entdeckt, kann es den
Computer sperren oder die gefährdeten Ports isolieren und nur einen
teilweisen Netzwerkzugriff erlauben, wobei gleichzeitg eine Meldung
an den Administrator mit dem notwendigen Software Update erfolgt.
F: Viele NAC-Systeme arbeiten mit Agenten. Kann
Veri-NAC auch ohne Agenten effektiv arbeiten?
VoIP-Telefonen, Netzwerkdurckern, Smartphones oder PDAs, Barcodelesern, IP-Türschlössern und Access Points, was dazuführt, dass viele
Netzwerkgeräte nicht durch das NAC-System geschützt sind. Gerade
aus diesen Gründen wurde Veri-NAC ohne Agenten konzipiert.
F: Gibt es einen Weg zentral mehrere Veri-NAC
Systeme in einem grossen Enterprise Netzwerk zu
überwachen?
A: JA. Die Veri-NAC Serien 5400, 5600 und 5800 bieten ein Kommandozentrum, mit denen Sie von einer Zentrale aus alle Geräte global
einschliesslich aller entfernten Niederlassungen kontrollieren können.
Mehrere Veri-NAC Anwendungen können sich dieselbe vertrauenswürdige MAC-Adressenliste und das definierte Regelwerk teilen. Sie
können auch jeder Veri-NAC Anwendung dasselbe Passwort zuteilen.
F: Beeinflusst Veri-NAC die Netzwerkleistung?
A: Nein. Veri-NAC ist kein Inline-Gerät und beinflusst daher die Netzwerkleistung nicht negativ. Unter normalen Bedingungen benötigt
Veri-NAC nur circa 7 Kbps Bandbreite, um nicht vertraute Anwender
zu blocken, und zwischen 40 und 120 Kbps für die Überprüfung von
Sicherheitslücken. Diese Werte sind i.d.R. zu gering für eine spürbare
Einbusse der Netzwerkleistung.
F: Benötigt Veri-NAC spezielle Switches?
A: Nein. Veri-NAC arbeitet mit allen Ethernet Switches, einschliesslich
sehr alten und preiswerten Standard Switches. Sie können beruhigt auf
eine Aufrüstung Ihrer Infrastruktur mit 802.1x Switches verzichten.
F: Warum 802.1q VLAN tagging?
A: Diese Funktion vergrössert die Effizienz des Veri-NAC Systems.
Mit der Funktion kann ein grosses und komplexes Netzwerk mit vielen
VLANs ohne zusätzliche Veri-NAC Anwendung geschützt werden. Ein
einziger physikalischer Ethernet-Port Ihrer Veri-NAC Anwendung kann
so bis zu 10 VLANs überwachen und auf Sicherheitslücken prüfen.
Markieren Sie dazu einfach alle VLANs und verbinden Sie den ersten
Netzwerkport Ihrer Veri-NAC Anwendung mit dem Port Ihres Smart
Switches, an dem die “Tagged” VLANs abgebildet sind.
A: Ja! Agenten waren urspünglich dazu gedacht, die Zuverlässigkeit
von Netzwerkgeräten zu verifizieren. Alle Agenten können aber mittlerweile leicht gehackt werden, so dass sie selbst eine Sicherheitslücke
darstellen. Agenten laufen zudem nur auf PCs und nur selten auf
Seite 6 |
| black-box.de/VeriNAC
V e r i - N A C™
NETWORK VULNERABILITY & ACCESS CONTROL
Die konkurrenzfähige Lösung
Black Box bietet Veri-NAC nicht nur zu konkurrenzfähigen Preisen an, das Veri-NAC System bringt Ihnen auch mehr Funktionen als viele andere NACSysteme bei gleichzeitig weit geringeren Anforderungen an Ihre bestehende Infrastruktur. Und wie bei allen Black Box Produkten haben Sie auch hier die
volle Unterstützung durch den FREE Black Box Tech Support.
Übersicht | NAC Vergleichstabelle
Hersteller
Produkt
Mittlere Zeit für
Inbetriebnahme
und Training
Agentenfrei
und
non-inline
gehärtet
IP und MAC
Spoofschutz
Inklusive
Werkzeuge für
Kompatibilitätsund Bestandsberichte
Inclusive
CVE
zertifizierte
Auditierung
Inklsuive
Workflow
und CVE
Berichte
Black Box
Veri-NAC
LVN5200
LVN5250
30
Minuten
Ja
Ja
Ja
Ja
Ja
Black Box
Veri-NAC
LVN5400
LVN5600
LVN5800
45
Minuten
Ja
Ja
Ja
Ja
Ja
Cisco
Systems Inc.
Network
Access
Control (NAC)
2 Wochen
Nein
Nein
Nein
Nein
Nein
Microsoft
Corporation
Network
Access
Protection (NAP)
2 Wochen
Nein
Nein
Nein
Nein
Nein
Juniper
Networks
Unified
Access
Controller (UAC)
1 Woche
Nein
Nein
Nein
Nein
Nein
Enterasys
Networks, Inc.
Sentinel
2 Tage
Nein
Nein
Nein
Nein
Nein
Check Point
Software
Technologies Ltd.
Integrity
3 Tage
Nein
Nein
Nein
Nein
Nein
ForeScout
Technologies
CounterACT®
2 Tage
Nein
Nein
Nein
Nein
Nein
Mirage
Networks, Inc.
CounterPoint
2 Tage
Nein
Nein
Nein
Nein
Nein
Symantec
Corporation
Network
Access
Control 11
4 Tage
Nein
Nein
Nein
Nein
Nein
Bradford
Networks
NAC Director®
2 Tage
Nein
Nein
Nein
Nein
Nein
Sophos Plc.
NAC
Advanced
3 Tage
Nein
Nein
Nein
Nein
Nein
Über Black Box
Black Box (NASDAQ: BBOX) ist weltweit eines der größten technischen Serviceunternehmen mit Schwerpunkt Design, Installation und Wartung von NetzwerkInfrastrukturen. In den Bereichen Datenkommunikation, Netzwerkinstallation vor Ort und Telekommunikation unterstützt das Unternehmen mehr als 175.000
Kunden in 141 Ländern mit 193 Niederlassungen. Mit dem „Free Tech Support“ am Telefon für kostenlose, kompetente technische Beratung und kostenfreie
Teststellungen sowie Installations- und Wartungsdienste bietet Black Box ein einzigartiges Serviceprogramm.
Sehen Sie sich das umfassende Programm einschliesslich Firewalls, Bandbreitenmanager, Ethernet Switches, Medienkonverter sowie Schränke, Racks, Kabel und viele
weitere IT-Lösungen im Web an: www.black-box.de.
Free Tech Support: 0811/5541-110
| Seite 7
V e r i - N A C™
NETWORK VULNERABILITY & ACCESS CONTROL
Ausgerichtet auf jede Netzwerkgrösse
Die Veri-NAC Produktfamilie eignet sich für jede Applikation vom kleinen Büronetzwerk
bis hin zu grossen Enterprise Netzwerken mit tausenden von Geräten. Die Modelle
5400/5600/5800 bieten ein Kommandozentrum für das zentrale Schutzmanagement
von verschiedenen NAC-Anwendungen in verteilten Niederlassungen. Diese Modelle
beinhalten auch ISO 27001 Policy Tools zur einfachen Einhaltung eines unternehmensweiten Kompatibilitätsstandards.
Produktübersicht | Veri-NAC
Modell
5200
5250
5400
5600
5800
1HE, 28.7 cm T
1HE , 28.7 cm T
1HE, 35.6 cm T
1HE, 35.6 cm T
1HE, 35.6 cm T
Agentenfreies NAC
✓
✓
✓
✓
✓
Sicherheitslücken
Auditierung
—
✓
✓
✓
✓
Maximal gleichzeitig
ablaufende Geräteaudits
—
10
50
100
250
Autom. Geräteerkennung
✓
✓
✓
✓
✓
Inventory Warnung
✓
✓
✓
✓
✓
MAC Spoof Erkennung
✓
✓
✓
✓
✓
MAC und IP Spoof Blockade
✓
✓
✓
✓
✓
bis 250
bis 500
bis 1000
bis 1.500
bis 2.000
bis 250
bis 500
bis 6.000
bis 50.000
bis 100.000
Abmessungen
Schützt Knoten
(direkt verbunden)
Anzahl geschützter und
verwalteter Knoten gesamt
(über mehrere Veri-NAC Anwendungen)
Subnetze (direkt verbunden)
2
2
4
6
8
10 VLANs
20 VLANs
40 VLANs
60 VLANs
80 VLANs
Command Center Software
—
—
✓
✓
✓
Anzahl weiterer
vom Command Center
verwaltbarer Veri-NAC
Anwendungen
—
—
10
100
unbegrenzt
Fernverwaltung über
Command Center
✓
✓
✓
✓
✓
Mehrere User Logins
✓
✓
✓
✓
✓
Workflow Engine
—
✓
✓
✓
✓
ISO 27001 Policy Tools
—
—
✓
✓
✓
Artikelnummer
LVN5200A
LVN5250A
LVN5400A
LVN5600A
LVN5800A
Preis
auf Anfrage
auf Anfrage
auf Anfrage
auf Anfrage
auf Anfrage
Verlängerter
Service/Support/Garantie
(12 weitere Monate)
optional
optional
optional
optional
optional
Verlängerter
Service/Support/Garantie
(36 weitere Monate)
optional
optional
optional
optional
optional
Verlängerung tägliche
Sicherheitslücken-Updates
(12 weitere Monate)
—
optional
optional
optional
optional
Verlängerung tägliche
Sicherheitslücken-Updates
(36 weitere Monate)
—
optional
optional
optional
optional
Multi-VLAN Schutz
© Copyright 2009. All rights reserved. Black Box Corporation. Black Box® and the Double Diamond logo are registered trademarks, and Veri-NAC™
and Optinet™ are trademarks, of BB Technologies, Inc. CVE®* is a registered trademark of the Mitre Corporation. Any third-party trademarks
appearing in this brochure are acknowledged to be the property of their respective owners.
*The CVE® Program is funded by the U.S. Department of Homeland Security.
0811/554-110 | www.black-box.de