Telefon E-Mail
Zentrale: +49 (030) 47 49 01 - 0 info [at] binss [punkt] de
     
Service: +49 (030) 47 49 01 - 110 Schreiben
Projektleitung: +49 (030) 47 49 01 - 444 ServiceDesk
     
    Gruppe
    XING

 

Firewall-Beratung und -Konzepterstellunggenua-logo-claim

Generell ist vor dem Kauf und der Installation einer Firewall eine gründliche Analyse und Beratung in Sicherheitsaspekten zu empfehlen. Die Firewall stellt nur ein Werkzeug dar, mit dessen Hilfe eine von allen Betroffenen anerkannte Sicherheitspolicy implementiert wird. Sinn der Beratung ist daher die Klärung der Anforderungen wie der Konsequenzen und die Erzielung einer gemeinsamen Übereinkunft.
Es geht dabei um eine Bestandsaufnahme der augenblicklichen Konfiguration und eine Anforderungsanalyse der Internetanbindung. Darauf basierend wird eine Sicherheitsanalyse erstellt und gemeinsam mit Ihnen eine Policy bezüglich Sicherheitsrichtlinien erarbeitet, die wiederum als Grundlage eines Firewall-Feinkonzepts Ihres Unternehmens dienen. Diese Schritte geben Klarheit über Ihre Bedürfnisse und helfen bei der Berücksichtigung aller sicherheitstechnischen Aspekte sowie der Durchsetzung verbindlich beschlossener Maßnahmen.

 

genugate-Varianten

genugate Firewallsysteme werden in vier verschiedenen Varianten angeboten, die sich nicht durch die Software oder Lizenzierung, sondern nur durch die Hardwareausstattung unterscheiden.
Vom preiswerten Einstiegsmodell genugate 200 bis hin zur hochperformanten Variante eines genugate 800 steht für jede Einsatzumgebung und Anforderung nach Verfügbarkeit ein geeignetes Modell zur Verfügung. Zudem können alle Baureihen durch ein baugleiches System zu einem Cluster ausgebaut werden.
Details zu der Hardwareausstattung, Performance-Angaben sowie Daten zur nötigen Einsatzumgebung entnehmen Sie bitte dem beiliegendem Hardware-Datasheet.
Bitte beachten Sie, dass die in dem Datasheet genannten Durchsatzzahlen nur sehr grobe Angaben darstellen, die in der Praxis völlig anders liegen können. Die tatsächliche Performance hängt im hohen Maße von den jeweiligen Einsatzumgebungen ab, etwa von den eingesetzten Filtervarianten, Diensten und VPN-Anbindungen, der Zahl der TCP-Connects oder der übertragenen Dateigrößen. Ob die angebotene Systemvariante in Ihrem Fall tatsächlich die geeignete ist, lässt sich am sichersten im Rahmen eines eigenen Consultingtermins abklären.

 

genugate-Architektur

Bei allen Hardwarevarianten der genugate-Komplettsysteme handelt es sich um ein mehrstufiges System aus zwei getrennten Firewalls mit einheitlicher Administration per Webbrowser. Hardwareseitig besteht es aus zwei hochwertigen Industrie-PC in 19-Zoll-Ausführung. Auf dem mit dem LAN zu verbindenden Rechner arbeitet ein besonders stark abgesicherter Paketfilter, auf dem zweiten, nach außen stehend, ein intelligentes Applicationlevel Gateway.
Mit einem weiteren externen Paketfilter (z.B. einem Router mit entsprechenden Regeln für den Zugang zum Provider) kann das System einfach zu einer dreistufigen Firewall mit PAP-Struktur erweitert werden, wie sie vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlen wird. genugate enthält bewusst kein drittes System, da dieses aus Sicherheitsgründen möglichst von einem anderen Hersteller mit anderer Hardware stammen sollte.

 

genugate-Zertifizierung

In einem sehr aufwändigen und kostspieligen Verfahren wird genugate beim BSI nach internationalen Zertifizierungsstandards laufend zertifiziert. Die genugate-Versionen 4.0 und 5.0 wurden nach dem Standard ITSEC in der Stufe E3 hoch zertifiziert. Seit Version 6.0 wird nach dem Common Criteria-Verfahren EAL 4+ zertifiziert.
Die erfolgreiche Zertifizierung nach CC EAL 4+ mit dem zusätzlichen Attribut „Highly Resistant System“ ist die weltweit höchste, die je ein Firewallsystem erreicht hat. Durch die fortlaufende Rezertifizierung wird sichergestellt, dass genugate dauerhaft mit diesem wichtigen Qualitätssicherungsmerkmal ausgestattet ist.

 

genugate-Cluster

Alternativ zu der Single-Lösung aus einem genugate-Einzelsystem ist der Einsatz eines genugate-Clusters aus zwei oder mehr Systemen möglich. Alle genugate-Hardware-Varianten sind auch im Clusterverbund zu betreiben. Dabei werden alle Clusterkomponenten mit einer kostenlosen Hochverfügbarkeitssoftware ausgestattet. Diese Software sorgt für einen automatischen Konfigurationsabgleich aller genugates, einen Lastenausgleich im Normalbetrieb, die Überwachung der Einsatzfähigkeit aller Clusterkomponenten und im Fehlerfall innerhalb weniger Sekunden die Übernahme von IP-Adressen und Diensten der ausgefallenen Komponente auf den Rest-Cluster.
Die Kommunikation der Clusterkomponenten erfolgt über das HA-Netz (HA = high availability). Zum Anschluss an dieses Netz steht an jeder genugate-Firewall eine separate physikalische Netzschnittstelle zur Verfügung. Die Verwaltung des genugate-Clusters kann über ein eigens einzurichtendes Administrationsnetz durchgeführt werden, an das jede genugate-Firewall über eine separate physikalische Netzschnittstelle angeschlossen ist. Für den Clusterbetrieb muss auf der LAN-Seite ein OSFP-fähiger Router vorhanden sein.

 

genugate-Virenscanning

Durch die Installation eines Virenscanners auf der genugate-Firewall besteht die Möglichkeit, ein- und ausgehende Daten zentral auf Viren zu prüfen. Alternativ kann die Virenscanning-Funktionalität (z.B. aus Performancegründen) auch auf einen externen GeNUGate Scanserver ausgelagert werden. In beiden Fällen ist eine Überprüfung auf E-Mail (SMTP und POP3), Netnews (NNTP), Filetransfer (FTP) und Web-Seiten (HTTP) möglich. Beachten Sie bitte, dass GeNUGate im Unterschied zu manchen anderen Konkurrenzprodukten auch ausgehende Daten auf Viren hin untersucht.
Zur Installation sind zwei Komponenten notwendig: Zum einen kümmert sich das Produkt genuscan um die Typerkennung, das Entpacken von Archiven und das De-Komprimieren gepackter Daten. Als Backend arbeitet die eigentliche Scan-Engine, die von einem Fremdhersteller lizenziert wird.
Dabei existieren mit dem Scanner des englischen Herstellers Sophos sowie dem deutschen Produkt AntiVir der Firma Avira zwei kommerzielle Varianten, die sich durch die Art der Lizenzierung unterscheiden, technisch aber in etwa gleichwertig zu betrachten sind. Beide Scanner sind für verschiedene Laufzeiten verfügbar.
Bei Sophos muss nach der Zahl der zu schützenden Rechner lizenziert werden. Dabei existieren mehrere Staffeln von Lizenzen mit einheitlichem Preis innerhalb einer Staffel. Es spielt keine Rolle, auf wievielen genugates oder genugate Scanservern der Scanner installiert wird.
Bei AntiVir hingegen handelt es sich um eine von Benutzerzahlen oder IP-Adressen unabhängige Lizenzierung: Pro genugate oder genugate Scanserver ist eine Lizenz nötig, die nach der eingesetzten GeNUGate-Hardwarevariante auszuwählen ist. Für die zweite und weitere Clusterkomponenten existieren preislich günstigere Lizenzen.
Als weitere kostenlose Variante ist der freie Virenscanner ClamAV auf GeNUGate einsetzbar.

 

genugate-Anbindung externer Mitarbeiter

Für Außendienst-Mitarbeiter können in der Regel nicht die gleichen Sicherheitsregeln eingehalten werden wie innerhalb eines Firmennetzes. Daher ist es wünschenswert, dass diese Mitarbeiter nicht über das IPSec-Protokoll (und damit mit voller Netzkopplung) an ein Firmennetz angebunden werden, sondern nur auf die für ihre Tätigkeit notwendigen Anwendungen zugreifen dürfen.
Sind solche Anforderungen gegeben, so lassen sich Außendienst-Mitarbeiter am sichersten mit dem SSH-Protokoll an ein genugate anbinden (Layer-4-VPN, keine volle Netzkopplung). Dabei kommt auf dem genugate ein (ohne Aufpreis bereits enthaltener) SSH-Server zum Einsatz, während auf den Clientrechnern eine SSH-Clientsoftware installiert wird. Hier ist für diverse Betriebssysteme freie Software verfügbar.
Mittels der SSH-Software lassen sich nach Aufbau einer SSH-Verbindung zwischen dem Rechner des Außendienst-Mitarbeiters und einem genugate alle Anwendungsprotokolle, die TCP und feste Ports verwenden, über diese Verbindung tunneln. Zugriffe von außen auf das zu schützende LAN lassen sich so vom Administrator zentral auf die nötigen Anwendungen einschränken. Damit lässt sich verhindern, dass etwa bei Verlust eines Laptops auf einfache Weise gleich das gesamte Firmennetz kompromittiert werden kann.
Als zusätzliche Sicherheit für die Anbindung von Außendienst-Mitarbeitern ist die Authentisierung an einem genugate Firewallsystem möglich, etwa mittels Einmalpasswörtern per S/key-Verfahren oder CRYPTOCard. Damit lassen sich die enormen Sicherheitsrisiken für das LAN deutlich verringern.
Ist eine Anbindung von Außendienstmitarbeitern mittels IPSec zwingend nötig, empfehlen wir den Einsatz von Produkten des Technologiepartners von genua: NCP.

 

genugate CRYPTOCard-Authentisierung

Als zusätzliche Möglichkeit der Authentisierung von Remote-Usern bietet sich die CRYPTOCard an. Dabei handelt es sich um eine Smartcard im Scheckkartenformat zur Berechnung von Einmal-Passwörtern:
Ein in der Standardsoftware des genugates enthaltener Kryptoserver schickt an den zu autentisierenden Client eine Zufallszahl (Challenge). CRYPTOCard und Kryptoserver bilden aus dem Challenge unabhängig voneinander mittels des gleichen Hash-Algorithmus (ein Rechenverfahren, das keine Zurückrechnung auf die Ausgangszahl erlaubt) einen sogenannten Hash. Dies passiert clientseitig dadurch, dass die von dem genugate-Kryptoserver zugesandte Zufallszahl vom Remote-User manuell in die CryptoCard eingegeben wird und der von der CryptoCard berechnete Hash anschließend am Rechner eingegeben und an den Kryptoserver zurückgeschickt wird. Dieser vergleicht das eigene Ergebnis mit dem zurückgeschickten und authentisiert bei Übereinstimmung den Remote-User.

>> nach oben <<
Nach oben                     
 
Schließen
Zum vorherigen Bild
#
Zum nächsten Bild
Diese Website verwendet zur Verbesserung seines Angebots Cookies. Wenn Sie weiter auf der Seite bleiben, stimmen Sie der Cookie-Nutzung zu.
Weitere Informationen OK