ArpWatch

Überwachung des Netzwerks auf unautorisierte Geräte

Allgemeines
Generell besteht die Gefahr, dass unautorisierte Personen ungesicherte Geräte (z.B. Laptops) an das Netzwerk anschließen und damit ein erhebliches Sicherheitsrisiko darstellen. SecuSurf bietet die Möglichkeit, das Netzwerk (LAN-Segment), in dem der oder die SecuSurf Server eingestellt sind, dahingehend zu überwachen, dass das Anschließen neuer, noch unbekannter Rechner einen Alarm auslöst, sofern diese nicht mit SecuSurf ausgestattet sind. Das Erfassen und die Pflege der Listen geschieht im Wesentlichen vollautomatisch.

Funktionsweise
Der SecuSurf Server überwacht die Pakete des ARP-Protokolls auf der Netzwerkkarte. Im ARP-Protokoll werden alle Geräte mit ihrer eindeutigen MAC-Adresse gemeldet. So kann der SecuSurf-Server alle neu auftauchenden Geräte mit Netzwerkanschluss (also in der Regel Computer, aber auch Router, Firewalls, etc.) erkennen. Wie bei SecuSurf üblich funktioniert das Überwachen des Netzwerks weitgehend automatisch, indem der SecuSurf Server feststellt, ob auf dem jeweiligen Gerät der SecuSurf-Agent installiert ist. Statische Geräte, die nicht mit dem SecuSurf-Agenten abgesichert werden (können), können markiert und damit künftig ignoriert werden, sodass sie keinen Alarm mehr auslösen.

Voraussetzungen
Prinzipbedingt kann der SecuSurf-Server nur die ARP-Pakete empfangen, die in dem LAN-Segment vorkommen, in dem der SecuSurf-Server selbst auch steht. Damit ist das Feature also auf lokale Netzwerke beschränkt. Jedoch ist es problemlos möglich, pro zu überwachendem Netzwerksegment einen eigenen SecuSurf-Server einzusetzen.

Erste Einrichtung

Für die erste Verwendung des ArpWatch-Features ist es sinnvoll, dass die SecuSurf-Integration in Ihr Netzwerk weitgehend abgeschlossen ist, der SecuSurf-Agent also auf möglichst alle Rechner ausgerollt wurde. Zum jetzigen Zeitpunkt enthält die Alarmliste des ArpWatch-Features voraussichtlich viele ältere Alarme von Rechnern, die zur Zeit des Alarms noch nicht mit SecuSurf-Agents abgesichert waren. Daher sollte die Alarmliste jetzt einmalig gelöscht werden. Hierzu einfach den "Alarme löschen" Button wählen. Ab jetzt werden die Geräte in Ihrem Netzwerk in die entsprechenden Listen des ArpWatch-Features automatisch eingetragen.

Pflege
Eine Pflege der Listen ist nur anfangs einmalig für statische, absichtlich nicht durch SecuSurf gesicherte Geräte empfehlenswert. Der Administrator kann die statischen Geräte ( z.B. Router, Gateways, Firewalls), die nicht mit SecuSurf abgesichert werden (können) und daher in der Alarmliste auftauchen, mittels Klick in die "Ingorieren" Spalte einfach mit dem "Ignorieren-Schalter" versehen. Das Auftauchen dieses Gerätes im Netzwerk wird künftig keinen Alarm mehr auslösen, wenn die Änderungen an der "Ignorieren"-Liste mittels Klick auf "Übernehmen" auf dem Server aktiviert wurden. Optional kann ein Kommentar bei Geräten mit gesetztem "Ignorieren-Schalter" eingetragen werden, sodass man leicht wiedererkennen kann, um welches Gerät es sich handelt.

Filter
Der Filter legt fest, welche Einträge derzeit angezeigt werden.

Beispiel (Filter auf "alle"):
ArpWatch

Die Zeilen mit weißem Hintergrund sind Einträge, die mit manuell mit dem "ignorieren"-Flag versehen wurden. Der Kommentar zu diesen Einträgen wurde manuell erweitert, sodass man künftig leicht erkennen kann, dass es sich hier um IP-Telefone handelt, die naturgemäß nicht mit SecuSurf abgesichert werden können.
Bei der ersten roten Zeile handelt es sich um den Windows-Rechner "T2" mit dem DNS-Namen "T2.seculution.de", der derzeit zwar mit SecuSurf abgesichert ist (erkennbar an dem Flag "gesichert"), der aber am 7.4.2007 um 18:14 Uhr und 39 Sekunden (Zeitstempel von "letzter Alarm") gebootet wurde, ohne dass SecuSurf auf dem Rechner verwendet wurde. Dies deutet darauf hin, dass der Rechner zu diesem Zeitpunkt möglicherweise mit einer Boot-CD gestartet wurde oder aus anderen Gründen der SecuSurf-Agent nicht gestartet wurde.
Die grüne Zeile zeigt den Rechner "T3" mit dem DNS-Namen "T3.seculution.de". Seit dem letzten Löschen der Alarme ist dieser Rechner stetig und ununterbrochen durch SecuSurf geschützt gewesen (Flag "gesichert", kein Alarm-Eintrag).
Die nächste rote Zeile zeigt einen Alarm vom 7.4.2008 um 18:13 Uhr. "unassigned" bedeutet, dass es keinen DNS-Eintrag für die vergebene IP gab. Im Kommentar ist weiterhin in der Regel der Hersteller des Netzwerkinterfaces genannt. Hier kann man darauf schließen, dass es sich um eine VMWare-Maschine handelt, also einen virtuellen Rechner.
Die letzten beiden Alarme zeigen Unix-Maschinen, die nicht mit SecuSurf abgesichert werden können.

Als nächste Aktion empfielt es sich hier für den Administrator, die letzten beiden roten Zeilen per Klick auf die "ignoriert" Spalte in die "Ignorieren"-Liste mit aufzunehmen, damit diese Systeme künftig keine Alarme mehr auslösen. Ist das "ignoriert"-Flag einmal an, kann auch der Kommentar der jeweiligen Zeile editiert werden (direkt durch einfaches Anklicken oder per "F2" oder Doppelklick). Gleiches gilt nach Überprüfung eventueller Sicherheitsprobleme auch für den VMWare Eintrag. Der Alarm auf dem Rechner "T2" sollte näher untersucht werden, hier kann ein erheblicher Sicherheitsvorfall vorliegen. Im Anschluss sollten die Alarme durch Klick auf "Alarme löschen" gelöscht werden, ebenfalls sollten die Änderungen an der "Ignorieren"-Liste durch Klick auf "Übernehmen" auf dem Server aktiviert werden.