Bintec Network Security § Security Overview § Stateful Inspection Firewall § VPN § Director Produkt Marketing Dr. A. A. Bloom
Bintec Network Security § Security Overview § Stateful Inspection Firewall § VPN
Bintec-Sicherheits-Strategie SAFERNETTM – Technologie § Konsequente Weiterentwicklung § Security Overview § Stateful Inspection Firewall FIREWALL § VPN § Stateful Inspection Firewall § H. 323 Proxy Internet Firewall VPN § IPSec § PPTP
Packet Filter Firewall § Schicht 3 - IP Adressen, Ports, etc. § Satz an Filter- und Zugriffsregeln Bintecs Safer. Net Technologie Server Internet Firewall schnell, flexibel preiswert applikationsunabhängig § Stateful Inspection Firewall § VPN IP falsch IP in Ordnung Vorteile § Security Overview
Schutz durch die Firewall § Die Firewall schränkt den Netzwerkzugang zwischen äußerem (unsicher) und inneren (sicher) Netzwerk durch das Überprüfen des Datenstromes ein. § Security Overview § Schützt gegen Eindringlinge § VPN § Blockt Angriffe ab § Überwacht den Datenverkehr § Fungiert als Eingangsschleuse § Versteckt das interne Netz Firewall § Stateful Inspection Firewall
NAT (Network Address Translation) Mit NAT wird eine Übersetzung der IP-Adressen zwischen den Interface vorgenommen. Dabei können die Ports als Unterscheidungsmerkmale NAT -Tabelle hergenommen werden. Die Übersetzungs-Regeln werden in einer Tabelle abgelegt. IP Port 62. 146. 2. 97 6470 § Bessere Ausnutzung des knappen Adressraums 6100 unter IPv 4 IP Port 164. 192. 168. 3 6471 § sichtbar, damit kein direkter Zugriff möglich § Abbildung eines privaten Netzes auf eine dynamisch zugewiesene IP-Adresse 164. 192. 168. 1 6472 164. 192. 168. 2 6472 164. 192. 168. 4 6472 6100 Privates Netz ist aus dem öffentlichen Netz nicht 164. 192. 168. 4 6200 6151 X. 2 X. 3 X. 4 164. 192. 168. X Internet 62. 146. 2. 97 § Security Overview § Stateful Inspection Firewall § VPN
Keepalive Monitoring § Einzelne WAN Partner können in Abhängigkeit von einzelnen Rechnern angesteuert werden § Security Overview § Stateful Inspection Firewall § VPN
Silent Deny unterdrückt die ICMP Rückmeldung bei geschlossenen oder geschützten Ports (NAT) an den Absender des verworfenen Datenpakets. § Security Overview § Stateful Inspection Firewall Silent Deny: OFF § VPN Silent Deny: ON § Hiermit lässt sich das Ausspionieren (Portscanner) des hinter dem Internetgateway liegenden Netzwerkes verhindern. § Bruteforce Angriffe werden erschwert. § Der Datenverkehr auf der Leitung wird reduziert.
DNS Proxy - Server Funktion § Bintec Router ermöglichen den Aufbau eines kleinen DNS Servers im LAN § In der Proxy Funktion müssen nicht alle Anfragen ins Internet an einen externen DNS Server weitergeleitet werden. Bereits angefragte URL´s werden zusammen mit der IP Adresse zwischengespeichert. § Die DNS Funktion kann auch als URL Blocker verwendet werden. (Jokerfunktion verfügbar!) § Spart Bandbreite und erhöht Datendurchsatz ! § LMHOST Dateien gehören der Vergangenheit an! § Security Overview § Stateful Inspection Firewall § VPN
H. 323 Proxy § Der H. 323 Proxy ermöglicht die Kommunikation mit VOIP durch NAT hindurch. § Security Overview § Zusammen mit Qo. S können Festverbindungen gleichzeitig für die Übertragung von Sprache und Daten verwendet werden. § VPN § Netmeeting wird unterstützt - Sprache und Bild. Kein Application- und Desktopsharing aus Sicherheitsgründen für die LAN´s! § Stateful Inspection Firewall
Bintec Network Security § Security Overview § Stateful Inspection Firewall § VPN
Stateful Inspection Firewall § Prüft alle Pakete bis in die Applikationsschicht auf den Status § Nutzt den Status der Verbindung Kein Eintrag Aktive Verbindung Internet § Security Overview Dynamische Status Tabelle. . . Neuer Eintrag Firewall Vorteile schnell, flexibel sperrt unerwünschte Daten prüft Verbindungsstatus Server § Stateful Inspection Firewall § VPN
Bintecs Stateful Inspection Firewall Die Bintec Lösung: § Security Overview § Einfach zu konfigurieren, einfach zu realisieren, einfach zu benutzen § Stateful Inspection Firewall § Unterstützung von NAT/PAT Verstecken des internen Netzwerks § Für Proxies vorbereitet Vereint die Vorteile der Stateful Inspection und der Application Level Firewall Technologie Internet § VPN
Bintec Network Security § Security Overview § Stateful Inspection Firewall § VPN
Vom Privatnetz zum VPN § Exklusive Nutzung § Keine exklusive Nutzung § Nur eigene Daten über das Medium § Tunneling (einkapseln) § Security Overview § Stateful Inspection Firewall § VPN Branch Office Zentral Festverbindu e ng X 4 x 00 Branch Office Zentral e Festverbindu ng X 4 x 00 Internet Festverbindu ng Branch Office
Vorteile von VPN‘s § Geringere initiale Anschaffungskosten es werden weniger Ports benötigt § Geringere Betriebskosten geringe bzw. keine Verbindungsgebühren für Ortsgespräche § Geringere Kosten für den Ausbau mehr Bandbreite statt mehr Ports § Ideal für neue Breitband-Technologien nur ein Anschluß mit genug Bandbreite für mehrere VPN Verbindungen (ADSL, SDSL, ATM, Kabelmodem) § Security Overview § Stateful Inspection Firewall § VPN
Die Bintec - Lösung Bintec bietet zwei Versionen des VPNs an: § IPSec § Security Overview § PPTP § Stateful Inspection Firewall IPSec oder PPTP VPN § VPN Server
VPN über IPSec Die VPN Lizenz mit IPSec bietet folgende Möglichkeiten: § Security Overview § Authentisierung: Passworte X. 509 v 3 Zertifikate PKI Anbindung § Stateful Inspection Firewall § Verschlüsselung: DES, 3 DES, Blowfish, Twofish CAST, AES § VPN
Was kann IPSec ? § Eine sichere Datenkommunikation im LAN, WAN und im Internet gewährleisten § Authentifizierung der Datenquelle § Authentifizierung der Datenintegrität § Vertraulichkeit des Dateninhalts § Schutz vor Paketwiederholungen § Security Overview § Stateful Inspection Firewall § VPN
Vorteile von IPSec § Security Overview § für Benutzer und Applikation transparent § Stateful Inspection Firewall § im Router oder Firewall implementiert, kann es im „grenzüberschreitenden“ Datenverkehr für hohe Sicherheit sorgen § Overhead kleiner (als in Transport-/Anwendungsschicht) § ideal für den Aufbau von VPN‘s, Intranets/Extranets § schützt jede Art von Internetverkehr(http, ftp, smtp. . . ) § Sicherheit pro Datenfluß und pro Verbindung § sehr flexibel § interoperabel zwischen verschiedenen Herstellern § VPN
Pre-Shared Keys PC PC 4 3 PC PC 5 2 § Security Overview § Stateful Inspection Firewall PC PC 1 Internet 7 VPN 12 3 4 5 6 7 8 PC 8 § VPN 6 Server
Pre-Shared Keys PC 1 PC PC 1 1 § Security Overview § Stateful Inspection Firewall PC PC 1 Internet 1 VPN PC 1 1 § VPN 1 Server
Pre-Shared Keys PC 1 PC PC 1 1 § Security Overview § Stateful Inspection Firewall 1 PC PC 1 Internet 1 VPN PC 1 1 § VPN 1 Server
PKI - Public Key Infrastructure (X. 509 v 3) § “Eine Zertifizierungsstelle ist eine natürliche oder juristische Person, die Zuordnung von öffentlichen Signaturschlüsseln zu natürlichen Personen bescheinigt und dafür eine Genehmigung gemäß § 4 besitzt. ” § Quelle: § 2(2) Gesetz zur digitalen Signatur § Wichtigste Aufgaben einer Zertifizierungsstelle: § Überprüfen der Identität § Verteilen und Generieren von Zertifikaten § Überprüfung eines Zertifikates § Löschen von Zertifikaten § Security Overview § Stateful Inspection Firewall § VPN
Key Management ? intern Certificate Authority oder extern ? § Security Overview § Stateful Inspection Firewall § Zahlreiche SW-Anbieter: Entrust, § Zahlreiche “Trusted Third § VPN Baltimore, Netscape, Verisign, Parties”: Trust Center (Co. Ba Cyber. Trust, u. a. Dtl. ), Tele. Sec (DTAG), u. a. § Absolute Kontrolle § Hohes Maß an Akzeptanz § Hohe Anfangsinvestition § Bieten meist öffentliche § Komplexe Infrastruktur notwendig Verzeichnisse § Qualifiziertes Personal § Minimale Anfangsinvestition § Maximale Flexibilität § Relativ hohe laufende Kosten § Universelle Akzeptanz der § Relativ inflexibel Zertifikate? § Sicherheit oft intransparent § Abhängigkeit von Dritten
Applikationen mit IPSec § Security Overview § Stateful Inspection Firewall § VPN
Anwendungen mit IPSec § Filialvernetzung über das Internet § Security Overview § Remote Access über das Internet § Stateful Inspection Firewall § Aufbau von Extranet-Verbindungen mit Partnern § VPN § Verbessern der Sicherheit beim e-commerce § Sichere Verbindungen im LAN
Externe und/oder interne Tunnel Externe Tunnel § Verbindung Zentrale und Filiale § Security Overview § Verbindung Roadwarrior und Zentrale § Stateful Inspection Firewall § Verbindung Extranet (Partner) § VPN Zentrale Interne Tunnel VPN Internet VPN Filial e VPN Außendien st Extra NET VPN WLAN Partner § WLAN Kunden § Sensitive Daten Lieferant en
IPSec für geschützte WLANs Drucker X 4100 IP-Sec Gateway X 4100 Wireless-Bridge mit Access Point Wireless Bridge IP-Sec Gateway § Security Overview Drucker § Stateful Inspection Firewall § VPN PC mit IPSec-Client IPSec schützt WLAN-Applikationen: § Funkbrücken (WLAN Bridges) § zwischen WLAN-Teilnehmern § zwischen WLAN und LAN, usw. Laptop mit IPSec-Client
Dyn. DNS - Szenario ISDN Firewall a b c § Security Overview Zentrale VPN § Wake-up Anruf über ISDN VPN Internet Filiale a b c § Login beim ISP § Registrierung bei Dyn. DNS Server § IP-Addressen Anfrage bei Dyn. DNS § Sichere Verbindung via VPN § Verbindung schließen Szenario: Filiale hat DSL-Anschluss, Verbindungsaufbau ist nur über Zentrale erlaubt § Stateful Inspection Firewall § VPN
IP Adresse im D-Kanal ISDN Firewall § Security Overview Zentrale VPN Internet VPN Filiale § Stateful Inspection Firewall § VPN § Anruf beim Partner über ISDN. § Dabei Mitgabe der eigenen dynamischen IP Adresse (im DKanal falls möglich, sonst B-Kanal). § VPN Aufbau vom Partner zur nun bekannten IP Adresse § Szenario: Zwei Kommunikationspartner mit dynamischen IP Adressen
IPSec Solutions made by Bintecs Lösungen für Zentrale, Branch Office and SOHO X 8500 § Central Site – X 8500/X 4000 § Security Overview X 4000 FAMILIE § Branch Office – X 2000/X 3200/X 4000 § VPN X 3200 X 1000 § SOHO – X 1000/X 1200 § Remote Access – IPSec Security Client IPSec Client § Stateful Inspection Firewall X 1200
DANKE FÜR IHRE AUFMERKSAMKEIT! § Security Overview § Stateful Inspection Firewall § VPN § Director Produkt Marketing Dr. A. A. Bloom
Скачать презентацию Bintec Network Security Security Overview Stateful
c12791885274a649ba898eaa9afd6c3c.ppt