Virtueller Partnertag 2022 von macmon secure: Firmenfusion, ZTNA und Fingerprinting

Am 03. März 2022 wurde der jährliche Partnertag von macmon secure in Berlin durchgeführt. Erneut leider nur virtuell, da man sich bei der momentanen Corona-Lage nicht im Stande sah eine Präsenzveranstaltung durchzuführen. Trotzdem war es eine professionelle Veranstaltung, die einige Überraschungen auf der Tagesordnung hatte. So wurde noch einmal offiziell die Fusion mit der Belden-Gruppe bekanntgegeben, die macmon in den Bereich Industrial Network Solutions (INS) aufnimmt. Des Weiteren standen die Themen ZTNA, SDP und Fingerprinting auf dem Programm. Die DECOIT® GmbH nahm als Technologiepartner wie immer an der Veranstaltung teil.

Abbildung 1: Einführung in den Partnertag durch Christian Bücker
Abbildung 1: Einführung in den Partnertag durch Christian Bücker

Den Anfang machte wie immer Christian Bücker (siehe Abbildung 1), der nun nicht mehr Geschäftsführer und Inhaber der macmon secure gmbh ist, sondern seine neue Funktion als Business Director erläuterte. Er war mit dem abgelaufenen Geschäftsjahr mehr als zufrieden, da der Umsatz weiter zugelegt hatte, viele Webinare durchgeführt wurden und die neue Funktionalität Zero Trust Network Access (ZTNA) herausgebracht werden konnte. Ebenfalls konnte das neue Release 5.30 beendet und den Kunden zur Verfügung gestellt werden. Die Vision von macmon ist es nun, dass die eigene NAC-Lösung sich nicht mehr nur in den deutschsprachigen Ländern verbreitet, sondern auch international für Furore sorgt. Zudem öffnet die Belden-Gruppe die Tür für den OT-Markt, so dass macmon NAC auch zukünftig vermehrt in Industrienetzen zum Einsatz kommen soll.

Technisch ging es dann im Vortrag von Gordon Beuchel (Head of Development) weiter, der Fingerprinting als neues Leistungsmerkmal ausgiebig vorstellte. Neben 802.1x-Zertifikaten und MAC-Adressen-basiertem NAC ist Fingerprinting mit TLS und SSH eine weitere Möglichkeit, um Endgeräte sicher einzubinden (siehe Abbildung 2). Nur MAC-Adressen zu verwenden ist sicherheitstechnisch nicht ausreichend und 802.1x-Zertifikate können nicht immer von allen Switches und Endgeräten verstanden werden, weshalb dies ein interessantes Zusatzmerkmal darstellt. Zudem findet die Kommunikation im Unternehmensnetz heutzutage sowieso meistens verschlüsselt statt, wodurch TLS-/SSH-Schlüssel zum Einsatz kommen. Dies fragt macmon secure nun von den Endgeräten ab und achtet dabei auf Veränderungen der Zertifikate. Auch ob eine ausreichende Signierung besteht wird ermittelt. Die Fälschungssicherheit wird dabei durch den verschlüsselten Verbindungsaufbau gewährleistet. Als weitere Neuerung wurde die Darstellung des Netzwerkverkehrs vorgestellt, wodurch sich alle Schnittstellen/Interfaces eines Switches überprüfen lassen. Auffälligkeiten im Netz lassen sich so besser ermitteln.

Abbildung 2: Fingerprinting in der Praxis am Beispiel einer Dockingstation
Abbildung 2: Fingerprinting in der Praxis am Beispiel einer Dockingstation

Jochen Füllgraf (Head of Support) stellte die Funktionalität von Secure Defined Parimeter (SDP) in den Vordergrund (siehe Abbildung 3). Dazu müssen Agenten auf den Endgeräten ausgerollt werden, die sich gegenüber einem SDP-Controller anmelden (authentifizieren) müssen. Anstatt eines herkömmlichen VPN-Tunnels wird ein SDP-Tunnel verwendet. Der Vorteil dabei ist, dass der SDP-Tunnel die Sicherheit der Verbindung abfragt und die Prüfung der Endgeräteidentität vornimmt. Die Agenten sind inzwischen für alle gängigen Betriebssysteme (MacOS, Windows, Linux, Android) vorhanden. Ein gleichzeitiger Zugriff über Multi-Tunneling ist ebenfalls möglich. Die dafür notwendigen Gateways stehen in Berlin. Als aktuelle VPN-Technik wird WireGuard verwendet.

Abbildung 3: SDP-Architektur im Überblick
Abbildung 3: SDP-Architektur im Überblick

In Zukunft sind weitere Leistungsmerkmale für SDP in der Planung. So sollen automatisierte Updates für die Gateways kommen, da diese direkt über das Internet erreichbar sind und ständig geschützt werden müssen. Dabei ist auch eine automatische Azure-Konfiguration für den Zugriff auf die Windows-Cloud vorgesehen. Weiterhin soll ein Tunnel-Only-Modus eingeführt werden sowie der Port 5001 für Clients und Agenten auf den Standard-Port 443 umgestellt werden. Ein rollenbasiertes Berechtigungssystem ist ebenfalls in der Planung.

Malte Marquardt (Head of Key Account Management) stellte das neu aufgebaute Key Account Management vor. Dies wurde speziell für die Betreuung von Großkunden (< 5.000 Endpunkte) ins Leben gerufen. Er stellte speziell die Thematik Zero Trust Network Access (ZTNA) vor und welche Funktionalitäten mit diesem Ansatz verbunden werden (siehe Abbildung 4). So konnte das macmon NAC bisher zwar die Einhaltung von Regeln und Richtlinien kontrollieren sowie die Angriffsfläche insgesamt mindern. Aber der sichere Zugriff auf eine hybride Umgebung von jedem Ort aus war nicht möglich. Dies kann aber SDP nun leisten, welches zudem auch den sicheren Fernzugriff gestattet. Man hat daher den überwiegenden Teil des ZTNA-Ansatzes abgedeckt. Auch eine Mikrosegmentierung auf Anwendungsebene ist nun möglich, so dass nicht wie bei VPN-Zugriffen ganze Netzwerksegmente freigeschaltet werden müssen. Alle Dienste und Clients werden vorab geprüft und müssen sich authentifizieren, bevor sie in irgendeiner Form einen Zugriff erhalten. Die Authentifizierung kann abhängig von einer Identität oder gerätebasiert erfolgen. Das Konzept eignet sich gut für Cloud-basierte und hybride Umgebungen, bei denen Anwendungen über eine private oder öffentliche Cloud bereitgestellt werden. Gegenüber dem Internet bleiben die Anwendungen trotz Nutzung öffentlicher Clouds verborgen.

Abbildung 4: ZTNA-Funktionalität im Überblick
Abbildung 4: ZTNA-Funktionalität im Überblick

Ebenfalls wurden auch noch kurz die Technologiepartner vorgestellt, deren Kompetenz auch im MSP-Programm hervorgehoben wurde. Die DECOIT® GmbH ist hierbei mit ihrer CLEARER-Lösung (www.clearer-product.de) vertreten gewesen (siehe Abbildung 5). Das MSP-Programm wurde von macmon im August 2021 ins Leben gerufen. Inzwischen gibt es über 30 Kunden in diesem Segment.

Abbildung 5: Technologiepartner von macmon secure in der Übersicht
Abbildung 5: Technologiepartner von macmon secure in der Übersicht

Abschließend stellte Prof. Dr. Tobias Heer (Senior Architect für den Bereich Netzwerksicherheit bei Hirschmann/Belden) die neue Partnerschaft der Belden-Gruppe zu macmon secure noch einmal vor. Belden ist im Bereich OT-Industrienetze zu Hause und hat sich seit einigen Jahren vom reinen Kabelhersteller zu einem Lösungsanbieter entwickelt. Zur Belden-Gruppe gehört beispielsweise auch Hirschmann, die im OT-Umfeld Switches herstellen. Diese Geräte und andere Endpunkte benötigen ein NAC-System, weshalb die Akquise von macmon secure vorgenommen wurde. Ziel ist es, eine sichere Komplettlösung anbieten zu können, sowohl in IT- als auch in OT-Netzen.

Abbildung 6: Gruppenbild zur Abschlusssession
Abbildung 6: Gruppenbild zur Abschlusssession

Am Ende der interessanten Veranstaltung stellten sich noch einmal alle Teilnehmer zusammen, um in einem Abschluss-Statement ihren Vortrag in einem Satz zusammenzufassen. Eine insgesamt sehr gelungene Veranstaltung, die im kommenden Jahr hoffentlich wieder mit persönlichem Kontakt fortgeführt wird. Unabhängig von der Firmenfusion bleibt macmon NAC eine sehr interessante Lösung zur Absicherung der Unternehmensnetze, die durch Herstellerunabhängigkeit besticht und durch den ZTNA-Ansatz noch leistungsfähiger geworden ist, um auch Cloud-Ansätze und Remote-Arbeitsplätze mit einzubeziehen. Sprechen Sie uns gerne an, wenn sie ihr Unternehmen sicherer machen wollen – wir haben die Lösungen!

Zurück