Security Overview Stateful Inspection Firewall VPN Director Produkt Marketing Dr. A. A. Bloom Bintec Network Security
Security Overview Stateful Inspection Firewall VPN
Bintec-Sicherheits-Strategie SAFERNET TM – Technologie Konsequente Weiterentwicklung FIREWALL Stateful Inspection Firewall H.323 Proxy VPN IPSec PPTP Security Overview Stateful Inspection Firewall VPN Firewall Internet
Packet Filter Firewall Schicht 3 - IP Adressen, Ports, etc. Satz an Filter- und Zugriffsregeln Vorteile schnell, flexibel preiswert applikationsunabhängig Bintecs SaferNet Technologie Security Overview Stateful Inspection Firewall VPN IP falsch IP in Ordnung Server Firewall Internet
Schutz durch die Firewall Die Firewall schränkt den Netzwerkzugang zwischen äußerem (unsicher) und inneren (sicher) Netzwerk durch das Überprüfen des Datenstromes ein. Schützt gegen Eindringlinge Blockt Angriffe ab Überwacht den Datenverkehr Fungiert als Eingangsschleuse Versteckt das interne Netz Security Overview Stateful Inspection Firewall VPN Firewall
NAT (Network Address Translation) NAT -Tabelle IP Port Mit NAT wird eine Übersetzung der IP-Adressen zwischen den Interface vorgenommen. Dabei können die Ports als Unterscheidungsmerkmale hergenommen werden. Die Übersetzungs-Regeln werden in einer Tabelle abgelegt. Bessere Ausnutzung des knappen Adressraums unter IPv4 Privates Netz ist aus dem öffentlichen Netz nicht sichtbar, damit kein direkter Zugriff möglich Abbildung eines privaten Netzes auf eine dynamisch zugewiesene IP-Adresse Security Overview Stateful Inspection Firewall VPN X.1X.2 X.3X Internet X
Keepalive Monitoring Einzelne WAN Partner können in Abhängigkeit von einzelnen Rechnern angesteuert werden Security Overview Stateful Inspection Firewall VPN
Silent Deny Silent Deny unterdrückt die ICMP Rückmeldung bei geschlossenen oder geschützten Ports (NAT) an den Absender des verworfenen Datenpakets. Hiermit lässt sich das Ausspionieren (Portscanner) des hinter dem Internetgateway liegenden Netzwerkes verhindern. Bruteforce Angriffe werden erschwert. Der Datenverkehr auf der Leitung wird reduziert. Security Overview Stateful Inspection Firewall VPN Silent Deny: OFF Silent Deny: ON
DNS Proxy DNS Proxy - Server Funktion Bintec Router ermöglichen den Aufbau eines kleinen DNS Servers im LAN In der Proxy Funktion müssen nicht alle Anfragen ins Internet an einen externen DNS Server weitergeleitet werden. Bereits angefragte URL´s werden zusammen mit der IP Adresse zwischengespeichert. Die DNS Funktion kann auch als URL Blocker verwendet werden. (Jokerfunktion verfügbar!) Spart Bandbreite und erhöht Datendurchsatz ! LMHOST Dateien gehören der Vergangenheit an! Security Overview Stateful Inspection Firewall VPN
H.323 Proxy Der H.323 Proxy ermöglicht die Kommunikation mit VOIP durch NAT hindurch. Zusammen mit QoS können Festverbindungen gleichzeitig für die Übertragung von Sprache und Daten verwendet werden. Netmeeting wird unterstützt - Sprache und Bild. Kein Application- und Desktopsharing aus Sicherheitsgründen für die LAN´s! Security Overview Stateful Inspection Firewall VPN
Bintec Network Security Security Overview Stateful Inspection Firewall VPN
Stateful Inspection Firewall Prüft alle Pakete bis in die Applikationsschicht auf den Status Nutzt den Status der Verbindung Vorteile schnell, flexibel sperrt unerwünschte Daten prüft Verbindungsstatus Security Overview Stateful Inspection Firewall VPN Dynamische Status Tabelle... Kein Eintrag Aktive Verbindung Neuer Eintrag Internet Firewall Server
Bintecs Stateful Inspection Firewall Die Bintec Lösung: Einfach zu konfigurieren, einfach zu realisieren, einfach zu benutzen Unterstützung von NAT/PAT Verstecken des internen Netzwerks Für Proxies vorbereitet Vereint die Vorteile der Stateful Inspection und der Application Level Firewall Technologie Security Overview Stateful Inspection Firewall VPN Internet Firewall
Bintec Network Security Security Overview Stateful Inspection Firewall VPN
Vom Privatnetz zum VPN Exklusive Nutzung Nur eigene Daten über das Medium Keine exklusive Nutzung Tunneling (einkapseln) Security Overview Stateful Inspection Firewall VPN X4x00 Zentrale Branch Office Festverbindung X4x00 Zentrale Branch Office Internet
Vorteile von VPN‘s Geringere initiale Anschaffungskosten es werden weniger Ports benötigt Geringere Betriebskosten geringe bzw. keine Verbindungsgebühren für Ortsgespräche Geringere Kosten für den Ausbau mehr Bandbreite statt mehr Ports Ideal für neue Breitband-Technologien nur ein Anschluß mit genug Bandbreite für mehrere VPN Verbindungen (ADSL, SDSL, ATM, Kabelmodem) Security Overview Stateful Inspection Firewall VPN
Die Bintec - Lösung Bintec bietet zwei Versionen des VPNs an: IPSec PPTP IPSec oder PPTP Security Overview Stateful Inspection Firewall VPN Server VPN
VPN über IPSec Die VPN Lizenz mit IPSec bietet folgende Möglichkeiten: Authentisierung: Passworte X.509v3 Zertifikate PKI Anbindung Verschlüsselung: DES, 3DES, Blowfish, Twofish CAST, AES Security Overview Stateful Inspection Firewall VPN
Was kann IPSec ? Eine sichere Datenkommunikation im LAN, WAN und im Internet gewährleisten Authentifizierung der Datenquelle Authentifizierung der Datenintegrität Vertraulichkeit des Dateninhalts Schutz vor Paketwiederholungen Security Overview Stateful Inspection Firewall VPN
Vorteile von IPSec IPSec für Benutzer und Applikation transparent im Router oder Firewall implementiert, kann es im „grenzüberschreitenden“ Datenverkehr für hohe Sicherheit sorgen Overhead kleiner (als in Transport-/Anwendungsschicht) ideal für den Aufbau von VPN‘s, Intranets/Extranets schützt jede Art von Internetverkehr(http, ftp, smtp...) Sicherheit pro Datenfluß und pro Verbindung sehr flexibel interoperabel zwischen verschiedenen Herstellern Security Overview Stateful Inspection Firewall VPN
Pre-Shared Keys Security Overview Stateful Inspection Firewall VPN PC VPN PC Server Internet
Pre-Shared Keys Security Overview Stateful Inspection Firewall VPN PC VPN PC Server 1 Internet
Pre-Shared Keys Security Overview Stateful Inspection Firewall VPN Server PC VPN PC 1 Internet
PKI - Public Key Infrastructure (X.509v3) “Eine Zertifizierungsstelle ist eine natürliche oder juristische Person, die die Zuordnung von öffentlichen Signaturschlüsseln zu natürlichen Personen bescheinigt und dafür eine Genehmigung gemäß § 4 besitzt.” Quelle: §2(2) Gesetz zur digitalen Signatur Wichtigste Aufgaben einer Zertifizierungsstelle: Überprüfen der Identität Verteilen und Generieren von Zertifikaten Überprüfung eines Zertifikates Löschen von Zertifikaten Security Overview Stateful Inspection Firewall VPN
Key Management ? Certificate Authority - intern oder extern ? Zahlreiche SW-Anbieter: Entrust, Baltimore, Netscape, Verisign, CyberTrust, u.a. Absolute Kontrolle Hohe Anfangsinvestition Komplexe Infrastruktur notwendig Qualifiziertes Personal Maximale Flexibilität Universelle Akzeptanz der Zertifikate? Zahlreiche “Trusted Third Parties”: Trust Center (CoBa Dtl.), TeleSec (DTAG), u.a. Hohes Maß an Akzeptanz Bieten meist öffentliche Verzeichnisse Minimale Anfangsinvestition Relativ hohe laufende Kosten Relativ inflexibel Sicherheit oft intransparent Abhängigkeit von Dritten Security Overview Stateful Inspection Firewall VPN
Applikationen mit IPSec Security Overview Stateful Inspection Firewall VPN
Anwendungen mit IPSec Filialvernetzung über das Internet Remote Access über das Internet Aufbau von Extranet-Verbindungen mit Partnern Verbessern der Sicherheit beim e-commerce Sichere Verbindungen im LAN Security Overview Stateful Inspection Firewall VPN
Externe und/oder interne Tunnel Externe Tunnel Verbindung Zentrale und Filiale Verbindung Roadwarrior und Zentrale Verbindung Extranet (Partner) Interne Tunnel WLAN Sensitive Daten Security Overview Stateful Inspection Firewall VPN VPN Extra NET Internet Außendienst Filiale VPN Zentrale Partner Kunden\ Lieferanten WLAN
IPSec für geschützte WLANs IPSec schützt WLAN-Applikationen: Funkbrücken (WLAN Bridges) zwischen WLAN-Teilnehmern zwischen WLAN und LAN, usw. Security Overview Stateful Inspection Firewall VPN X4100 IP-Sec Gateway Drucker Wireless BridgeWireless-Bridge mit Access Point PC mit IPSec-Client X4100 IP-Sec Gateway Drucker Laptop mit IPSec-Client
DynDNS - Szenario Wake-up Anruf über ISDN Login beim ISP Registrierung bei DynDNS IP-Addressen Anfrage bei DynDNS Sichere Verbindung via VPN Verbindung schließen Szenario: Filiale hat DSL-Anschluss, Verbindungsaufbau ist nur über Zentrale erlaubt Security Overview Stateful Inspection Firewall VPN Firewall ISDN Firewall DynDNS Server VPN Internet VPN a b c a b ca b c Filiale Zentrale
IP Adresse im D-Kanal Anruf beim Partner über ISDN. Dabei Mitgabe der eigenen dynamischen IP Adresse (im D- Kanal falls möglich, sonst B-Kanal). VPN Aufbau vom Partner zur nun bekannten IP Adresse Szenario: Zwei Kommunikationspartner mit dynamischen IP Adressen Security Overview Stateful Inspection Firewall VPN Firewall ISDN Firewall VPN Internet VPN Filiale Zentrale
IPSec Solutions made by Bintec Bintecs Lösungen für Zentrale, Branch Office and SOHO Central Site – X8500/X4000 Branch Office – X2000/X3200/X4000 SOHO – X1000/X1200 Remote Access – IPSec Security Client X8500 X1000 X1200 IPSec Client X3200 X4000 FAMILIE Security Overview Stateful Inspection Firewall VPN
DANKE FÜR IHRE AUFMERKSAMKEIT! Security Overview Stateful Inspection Firewall VPN Director Produkt Marketing Dr. A. A. Bloom