Start/News/ARP-GUARD
SECURITY · 2 min Lesezeit · Security-Notes

ARP-GUARD
AUSGEROLLT.
MAC-POLICY
OHNE 802.1X-DRAMA.

Wir haben ARP-GUARD von ISL bei einem Mittelstands-Kunden eingeführt. Über 600 Endpunkte, drei Standorte, keine neuen Switches. Wer was am Netz darf, entscheidet jetzt eine zentrale MAC-Policy.

3C:2A:F4:7B:00:11 · IT-Abt.-NotebookB8:27:EB:14:9A:C2 · Produktions-IPCA4:5E:60:C9:33:F7 · Drucker Halle 202:00:00:DE:AD:00 · Unbekannt PERMITPERMIT · VLAN 200PERMIT · VLAN 30DENY · QUARANTINE ARP-GUARD · POLICY DECISION ARP-GUARD erkennt jedes Gerät an seiner ARP-Aktivität und prüft die MAC gegen eine zentrale Policy: bekannt und freigegeben, oder Quarantäne.

Vorab: 802.1X ist die richtige Lösung. Wenn Sie Greenfield bauen und genug Zeit haben, machen Sie 802.1X. Wir hatten weder Greenfield noch viel Zeit; genau dafür gibt es ARP-GUARD.

01 AUSGANGSLAGE

Ein Mittelstands-Kunde, drei Standorte, gewachsenes Switch-Setup mit drei verschiedenen Generationen Cisco-Hardware. 802.1X war auf zwei Standorten möglich, am dritten hätten wir die halbe Hardware tauschen müssen. Gleichzeitig kam aus dem NIS2-Maßnahmenkatalog die Anforderung: Wer hängt am Netz, wer darf nicht?

02 WARUM ARP-GUARD

ARP-GUARD von ISL.de arbeitet im Wesentlichen Layer 2: jeder MAC, der auf einem Port auftaucht, wird gegen eine zentrale Policy geprüft. Erlaubt → Freigabe ins richtige VLAN. Nicht erlaubt → Quarantäne-VLAN, Alarm im NOC. Das funktioniert mit so gut wie jedem managebaren Switch, unabhängig vom Hersteller.

  • Kein RADIUS-Rollout zwingend
  • Keine Client-Konfiguration nötig
  • Asset-Inventur fällt als Nebenprodukt ab
  • Drucker, IPCs und IoT-Geräte werden mit derselben Policy abgedeckt

03 DER ROLLOUT

Wir sind in drei Phasen vorgegangen, bewusst defensiv, weil Falsch-Quarantäne in einer Produktionshalle teure Folgen hat:

  1. Discovery (2 Wochen): alle MACs in einer Lern-Phase eingesammelt, mit Standort und VLAN. Wir haben 1 414 Adressen gefunden, davon 38 unbekannt.
  2. Whitelist + Audit (3 Wochen): Policy aktiviert, aber im Audit-Modus: alles wird geloggt, nichts wird blockiert. Falsche Whitelist-Einträge in dieser Phase zu finden ist viel billiger als später.
  3. Enforcement: schrittweise pro Standort, pro Switch-Stack. Mit Rollback-Plan, mit Test in einem Quarantäne-VLAN, mit Notfall-Bypass-Procedure dokumentiert.

04 WAS WIR GELERNT HABEN

  • Drucker sind das Ärgernis Nummer eins. Manche ändern die MAC nach einem Firmware-Update.
  • IoT-Geräte mit Random-MAC sind das nächste Problem. Wir haben für diese Geräte einen eigenen, segmentierten VLAN-Bereich mit Time-Limited-MACs.
  • Der Quarantäne-VLAN braucht DHCP, sonst weiß der Anwender nicht, warum nichts geht.
  • Tickets im NOC haben sich messbar reduziert: weniger Themen rund um nicht autorisierte Geräte am Netz.

05 WANN ARP-GUARD, WANN 802.1X

Wir empfehlen ARP-GUARD, wenn (a) ein Switch-Tausch zu teuer wäre, (b) Sie viele "dumme" Endgeräte haben (Drucker, IPCs, Geräte ohne Supplicant), oder (c) Sie schnell Sichtbarkeit über das Netz brauchen, bevor Sie 802.1X richtig einführen. Für Greenfield-Office-Netze ist 802.1X mit Zertifikaten weiterhin die saubere Wahl.

Anfragen über unsere Kontakt-Seite oder telefonisch unter +43 (0)1 235 1277.