genuscreen

genuscreen
Firewall und VPN-Appliance
Technische Informationen
Inhaltsverzeichnis
1 genuscreen: Firewall und VPN-Appliance
1
2 Firewall
1
2.1
Features des Packet Filters...................................................................................1
2.2
Paket-Normalisierung............................................................................................ 2
2.3
Network Address Translation (NAT).......................................................................2
2.4
Dynamische Protokolle.......................................................................................... 3
3 VPN – Virtual Private Network
3
3.1
IPsec im Routing Mode (Layer 3)..........................................................................3
3.2
IPsec im Bridging Mode (Layer 2).........................................................................4
3.3
Anbindung mobiler Devices via L2TP und IKEv2..................................................4
3.4
VPN über SSH-Port Forwarding (Layer 4).............................................................4
4 Weitere Leistungsmerkmale
4
4.1
Bridging................................................................................................................. 4
4.2
Verschiedene Topologien.......................................................................................5
4.3
Bandbreiten-Management (QoS)..........................................................................5
4.4
Virtuelles Routing.................................................................................................. 5
4.5
Hochverfügbarkeit................................................................................................. 6
4.6
Investitionssicherheit durch IPv6-Integration.........................................................6
4.7
Geeignet für praktisch jede Einsatzumgebung......................................................7
5 System-Management
7
5.1
Zentrales Management mit genucenter.................................................................7
5.2
Dezentrales Management.....................................................................................8
5.3
Analyse und Debugging........................................................................................8
6 Zertifizierung und Zulassung
9
6.1
Zertifizierung......................................................................................................... 9
6.2
Zulassung.............................................................................................................. 9
7 Hardware
9
8 Einsatzszenarien
9
8.1
genuscreen als Zonen-Firewall.............................................................................9
8.2
Transparente Kopplung durch ein verschlüsseltes Netz......................................10
8.3
Network Mode vermeidet SA-Engpass................................................................11
8.4
Einsatz in der VS-NfD-Umgebung.......................................................................13
9 Support
13
9.1
Einführung........................................................................................................... 13
9.2
Schulungen......................................................................................................... 13
9.3
Laufender Betrieb – Software Support................................................................13
9.4
Laufender Betrieb – Hardware Support...............................................................14
9.5
Support von Vertriebspartnern............................................................................14
10
Kontakt und Vertrieb
14
11
Glossar
15
1
genuscreen: Firewall und VPN-Appliance
Der Datenaustausch zwischen mehreren Standorten via Internet ist komfortabel und kostengünstig, muss aber vor vielen neugierigen Blicken zuverlässig abgeschirmt werden.
Auch Ihr Netzwerk müssen Sie gegen Gefahren aus dem Internet absichern. Eine häufige
Anforderung ist darüber hinaus die Einrichtung von Schutzzonen für besonders sensible
Systeme innerhalb großer Netze.
Genau für diese Aufgaben haben wir die Firewall & VPN-Appliance genuscreen entwickelt:
Die Sicherheitslösung erzeugt stark verschlüsselte Virtual Private Networks (VPN) für die
Datenkommunikation über öffentliche Netze. Hierüber können Sie auch sensible Informationen ganz sicher übertragen. Als leistungsstarke Firewall filtert genuscreen zudem den
Datenverkehr an Schnittstellen ganz genau und lässt lediglich ausdrücklich erwünschte
Verbindungen zu – alle anderen Anfragen werden konsequent abgeblockt. Dass die Firewall & VPN-Appliance genuscreen höchste Sicherheitsanforderungen erfüllt, belegen die
Zulassung für die verschlüsselte Übertragung von Daten bis zur Geheimstufe VS-NfD und
die Zertifizierung nach Common Criteria (CC) EAL 4+.
Abb. 1: Rack Server-Lösung genuscreen L
Auf den folgenden Seiten erhalten Sie einen kompakten Überblick über Funktionen und
Einsatzmöglichkeiten der Firewall und VPN-Appliance genuscreen.
2
Firewall
Die Firewall ist als Stateful Packet Filter ausgelegt.
2.1 Features des Packet Filters
Stateful Tracking
Die individuellen Verbindungen werden anhand verschiedener Kriterien kontrolliert. Zu diesen Kriterien zählen:
•
•
•
Anzahl der Verbindungen pro Source IP-Adresse
Anzahl der Verbindungen pro Zeitintervall
Anzahl von Source IP-Adressen, die Verbindungen aufbauen
Seite 1
DOS-Schutz
Bei Denial of Service-Attacken werden von einer IP-Adresse unvollständige TCP-Verbindungen aufgebaut. Die genuscreen wehrt derartige Angriffe ab, indem sie Pakete erst weiterreicht, nachdem eine vollständige TCP-Verbindung etabliert wurde.
Spoofing Protection
Angreifer mit gefälschter Source IP-Adresse könnten Netzattacken durchführen, ohne ihre
wahre Herkunft offen zu legen, oder Zugriffe auf Netzwerkdienste erhalten, die nur bestimmten IP-Adressen vorbehalten sind. Dank genuscreen haben Sie die Möglichkeit, sich
vor solchen Attacken zu schützen.
Filtern anhand der TCP-Flags
TCP-Pakete können anhand der TCP-Flags überprüft und gefiltert werden.
Globaler IPv6-Schalter
Mit dieser Funktion lässt sich jeglicher IPv6-Traffic unterbinden.
2.2 Paket-Normalisierung
Manche Anwendungen, aber auch Angreifer, erzeugen IP-Pakete, die nicht eindeutig interpretiert werden können. Ein Beispiel ist eine sich gegenseitig ausschließende Flag-Kombination im TCP-Header wie SYN und RST bzw. SYN und FIN.
Die Paket-Normalisierung wird verwendet, um den Paketinhalt zu sanieren, so dass es auf
der Empfängerseite keine Mehrdeutigkeiten bei der Interpretation des Inhalts geben kann.
TCP-Pakete mit ungültiger Flag-Kombination werden verworfen und fragmentierte Pakete
zusammengesetzt. Dies dient unter anderem der Abwehr verschiedener Attacken, z. B. IPFragmentierungsangriffen durch überlappende Fragmente.
Einige ausgewählte Funktionen der Paket-Normalisierung:
•
•
•
•
Fragmentierte Pakete werden zusammengesetzt
Doppelte Fragmente werden verworfen
Überlappende Fragmente werden abgeschnitten
Zeitstempel im TCP-Header werden mit einer Zufallszahl moduliert
2.3 Network Address Translation (NAT)
Unter dem Protokoll IPv4 werden die öffentlichen IP-Adressen immer knapper. Deshalb ist
es erforderlich, in einem internen Netz private IP-Adressen einzusetzen. Damit über das
Internet kommuniziert werden kann, müssen die privaten Adressen am Gateway zum Internet in öffentliche Adressen übersetzt werden. Diese Übersetzung erfolgt durch ein NATVerfahren (Network Address Translation).
Auch die Firewall und VPN-Appliance genuscreen setzt NAT ein. Sie unterstützt unter anderem folgende Funktionen:
Seite 2
Redirection
Durch Redirection ist es möglich, hereinkommenden Verkehr zu einer Maschine hinter dem
NAT-Gateway zu senden und somit Dienste nach außen (z. B. Internet) zur Verfügung zu
stellen.
1:1 Mapping
Es ist möglich, ein 1:1 Mapping zwischen einer internen und einer externen IP-Adresse zu
definieren, um beispielsweise die Dienste eines Web-Servers aus dem internen Netz explizit mit seiner externen Adresse bereitzustellen.
2.4 Dynamische Protokolle
Ein Merkmal dynamischer Protokolle ist die dynamische Port-Zuteilung. Somit kann der jeweiligen Verbindung nicht standardmäßig ein fester Port zugeteilt werden. Dies kann unter
anderem zu Problemen beim Einsatz von NAT führen, da die dynamisch vergebenen Ports
nicht der bereits etablierten Verbindung zugeordnet werden können. Außerdem kann dies
auch zur Folge haben, dass ein großer Port-Range geöffnet und damit eine mögliche Sicherheitslücke geschaffen wird.
genuscreen unterstützt spezifische dynamische Protokolle, um das beschriebene Problem
zu verhindern. Dazu zählen:
•
•
3
SIP für VoIP
FTP für Datenübertragung
VPN – Virtual Private Network
Zur sicheren Datenübertragung über das Internet können mit genuscreen performante
VPN-Netze aufgebaut werden. Dabei werden ausschließlich starke Verschlüsselungsalgorithmen und große Schlüssellängen eingesetzt.
Es gibt folgende Möglichkeiten, VPN-Netze aufzubauen:
•
•
•
•
Transport-Mode von genua
VPN-Tunnel mit IPsec im Bridging Mode
Anbindung mobiler Systeme mit L2TP oder IKEv2
VPN-Tunnel für TCP-Verbindungen über SSH
3.1 IPsec im Routing Mode (Layer 3)
Die Firewall und VPN-Appliance genuscreen kann als Layer 3 basiertes IPsec-Gateway
eingesetzt werden. Sollte sich genuscreen hinter einem NAT-Router befinden, kann mittels
NAT-Traversal die Verbindung ermöglicht werden. Bei NAT-Traversal wird UDP-Port 4500
für die VPN-Verbindung benutzt. Es kann ohne direkte transparente IP-Verbindung zwischen den Partnern eine Kommunikation aufgebaut werden.
Für den Schlüsselaustausch (IKE – Internet Key Exchange) zwischen Appliances von
genua wird ISAKMP/OAKLEY verwendet.
Seite 3
Bei IPsec wird pro Host bzw. Netz, das verschlüsselt kommuniziert, eine SA (Security Association) ausgehandelt. Bei einer Vielzahl von Hosts/Netzen entstehen somit sehr viele
SAs. Jede SA verbraucht Ressourcen am VPN-Gateway. Soll die Zahl der SAs reduziert
werden kann alternativ eine IPsec-Verbindung hergestellt werden, die durch IP-in-IP-Tunnel (Gateway-to-Gateway) im Transport Mode betrieben wird.
Die Kommunikationspartner der genuscreen werden im Network Mode nicht mehr einzeln
angesprochen, sondern hinter dem Ziel-Gateway zu Gruppen zusammengefasst. Dadurch
sinkt die Anzahl der auszuhandelnden Sas (Security Association) erheblich zugunsten einer besseren Performance und Skalierbarkeit.
3.2 IPsec im Bridging Mode (Layer 2)
Ohne lange Ausfallzeiten und Konfigurationsänderungen an der logischen IP-Adressstruktur ist es möglich, die VPN-Gateway-Funktionalität mittels Bridging Mode zu realisieren.
Hierbei wird die genuscreen (sozusagen unsichtbar) auf Layer 2 in ein bestehendes Netzwerk integriert und die zu übertragenden Daten werden transparent verschlüsselt.
3.3 Anbindung mobiler Devices via L2TP und IKEv2
genuscreen kann auch VPN-Verbindungen mobiler Clients via L2TP und IKEv2 annehmen.
Damit lassen sich Handys und Tablets problemlos an Ihre Netze anbinden. Verbindungen
zu genuscreen werden dabei stets durch IPsec geschützt.
3.4 VPN über SSH-Port Forwarding (Layer 4)
SSH (Secure Shell) bietet die Möglichkeit, weitere TCP-Verbindungen authentisiert und
verschlüsselt zu tunneln.
Authentisierung und Verschlüsselung erfolgen dabei mit kryptografisch starken Algorithmen, die der Qualität von IPsec in keiner Weise nachstehen. Das SSH-Protokoll lässt sich
jedoch deutlich flexibler als IPsec einsetzen, z. B. bei Verbindungen über Firewalls und
NAT-Router hinweg.
Zum einen erhöht eine derartige personenbezogene Komponente die Hürde eines missbräuchlichen Zugriffs und zum anderen lässt SSH die Weiterleitung von TCP-Verbindungen
nur durch ausdrücklich freigeschaltete Tunnel zu. Da keine „geroutete“ Verbindung besteht,
weist diese Betriebsart gegenüber IPsec ein zusätzliches Sicherheitsmerkmal auf.
Interessant ist auch, dass überlappende Netze (gleicher IP-Bereich) ohne Probleme über
SSH-VPN-Verbindungen gekoppelt werden können.
4
Weitere Leistungsmerkmale
4.1 Bridging
Eines der Hauptmerkmale der Firewall und VPN-Appliance genuscreen ist die einfache Integration in bestehende Netztopologien mittels Bridging.
Seite 4
Im Bridging Mode wird genuscreen unsichtbar auf Layer 2 in ein Netzwerk eingebunden,
ohne in die bestehende LAN-Struktur eingreifen zu müssen. Somit brauchen weder bestehende logische Adressschemata aufgelöst, noch neue IP-Adressen zugewiesen oder Einstellungen am Routing geändert werden.
Die einfache Einbindung mit Hilfe der Bridging-Funktionalität gilt sowohl für den Einsatz im
Firewall-Betrieb, als auch für den Betrieb als VPN-Gateway. Somit entstehen für Angreifer
unsichtbare Barrieren. genuscreen kann auch als unsichtbares Gateway eingesetzt werden, um Daten verschlüsselt auszutauschen. Die volle Funktionalität der Firewall bzw. des
VPN-Gateways bleibt dabei erhalten.
4.2 Verschiedene Topologien
Die Netztopologie ist entscheidend für die Performance, aber auch für die Ausfallsicherheit
eines Netzwerks: Nur wenn alternative Wege zwischen den Knoten existieren, bleibt bei
Ausfällen einzelner Verbindungen die Funktionsfähigkeit erhalten.
Mit genuscreen können Sie die für Ihre Infrastruktur passende Topologie wie z. B. Vollvermascht oder Stern (auch mit mehreren zentralen Gateways) realisieren.
4.3 Bandbreiten-Management (QoS)
genuscreen kann auch mit Sprache umgehen und das verbreitete VoIP-Protokoll SIP absichern. Da es bei VoIP auf zuverlässige Performance ankommt, profitieren Sie vom ausgefeilten Bandbreiten-Management unseres Produktes.
Aber nicht nur beim Einsatz von VoIP ist ein kluges Management der vorhandenen Bandbreite unverzichtbar. Auch andere wichtige Protokolle werden von genuscreen auf Wunsch
beim Datentransfer bevorzugt.
Die Bandbreite der Netzwerkverbindung wird auf mehrere Warteschlangen aufgeteilt. Basierend auf einigen Kriterien (Quelladresse, Zieladresse, Port, Protokoll) wird der Verkehr
den unterschiedlichen Warteschlangen zugeordnet. Diesen Queues können verschiedene
Prioritäten zugewiesen werden. Somit ist es möglich, interaktiven Verkehr (wie z. B. SIP)
vor nicht zeitkritischem Verkehr (wie z. B. Web-Traffic) zu verarbeiten.
4.4 Virtuelles Routing
genuscreen unterstützt Virtuelles Routing und damit multiple Instanzen einer RoutingTabelle auf derselben Hardware. Dabei sind die Routing-Instanzen voneinander unabhängig, sodass dieselben oder überlappende IP-Adressen konfliktfrei und klar getrennt neben einander verwendet werden können.
Dadurch können z. B. Netze mit gleichem IP-Bereich über eine einzige genuscreen in verschiedene Virtuelle Routing Domains (VRD) geroutet werden. Die einzelnen Virtuellen
Routing Domains sind strikt voneinander getrennt, sodass z. B. Ein Administrator-Interface
wirksam isoliert werden kann und so auch bei Fehlkonfigurationen kein Zugriff aus anderen Domains möglich ist.
Seite 5
4.5 Hochverfügbarkeit
Mit genuscreen können hochverfügbare Lösungen einfach und flexibel skalierbar realisiert
werden.
Abb. 2: genuscreen im Hot Standby-Betrieb
Hot Standby-Betrieb
In einer Master-Slave-Konfiguration mit zwei oder mehreren Instanzen werden Ausfallzeiten vermieden. Der Austausch eines Geräts ist ohne Verlust der Funktionalität möglich.
Die Übernahme der Interfaces erfolgt über das CARP-Protokoll (Common Address Redundancy Protocol): Wenn der Master ausfällt, übernimmt der Slave die virtuellen CARPAdressen des Masters. Die Übernahmezeit ist mit weniger als zwei Sekunden extrem kurz.
4.6 Investitionssicherheit durch IPv6-Integration
Das rapide Internet-Wachstum führt zusammen mit den Beschränkungen von IPv4 zu Engpässen, die durch IPv6 beseitigt werden sollen. Mit der Erweiterung der Adresskapazitäten
wurde auch die Chance genutzt, das Internet Protocol an moderne Erfordernisse anzupassen.
Die Umstellung des Internet auf IPv6 läuft bereits und wird sich in den kommenden Jahren
beschleunigen. Inzwischen gibt es bereits Bereiche, die nur mittels IPv6 erreichbar sind,
andere Teile, die über beide Protokolle angebunden sind, und große Teile, die ausschließlich auf IPv4 basieren.
Dies hat Konsequenzen für Ihre IT-Infrastruktur: So müssen z. B. für IPv6 die Filterregeln
für Firewalls neu erstellt werden. Bei einer Firewall, die nicht ausdrücklich mit IPv6 umge hen kann, ist das Verhalten bezüglich IPv6-Datenverkehr ungewiss.
Mit Blick auf die aktuellen Entwicklungen bieten wir mit genuscreen eine Lösung, die sicher
mit IPv4 und IPv6 umgehen kann – Sie tätigen eine Investition in ein Produkt, das sowohl
heutigen als auch zukünftigen Standards entspricht.
Seite 6
4.7 Geeignet für praktisch jede Einsatzumgebung
Dank Enterprise Features wie Logging an Syslog-Server, Überwachung mit SNMPv3 oder
Netflow ist genuscreen für den Einsatz in großen Unternehmensnetzen geeignet.
Interessant für den Einsatz in kleineren Netzen: genuscreen bietet einen eigenen DHCPServer, mit dem Sie Client-Computern dynamisch IP-Adressen zuweisen können. Auf zusätzliche Hardware kann für diesen Zweck verzichtet werden.
5
System-Management
5.1 Zentrales Management mit genucenter
Die Konfiguration und Verwaltung beliebig vieler genuscreens kann über die Central Management Station genucenter erfolgen, die über eine einfach zu bedienende Web-Oberfläche
verfügt.
genucenter bietet folgende Features:
Roll Out Management
Das Roll Out Management von genucenter ermöglicht das erstmalige Initialisieren zahlreicher Systeme mit einer bestimmten Konfiguration und Software.
Zentrales Konfigurations- und Software-Management
Software- und Konfigurations-Updates werden von genucenter zentral bereitgestellt. Diese
werden von genuscreen automatisch (Pull) oder nach Aufforderung (Push) geladen. Somit
kann eine große Zahl von Systemen einfach und komfortabel verwaltet werden.
•
Zentrales Konfigurations-Management
Die Web-Oberfläche von genucenter bietet jederzeit eine Übersicht über die aktuelle Konfiguration der Systeme. Durch das Anlegen verschiedener Profile können
Systeme mit gleichen Anwendungszwecken simultan konfiguriert werden.
•
Zentrales Software-Management
Über die Web-Oberfläche von genucenter kann ein Upgrade einzelner Geräte
systematisch durchgeführt werden.
Zentrales Monitoring
genucenter überwacht einzelne genuscreens. Dabei werden folgende Informationen übersichtlich dargestellt:
•
•
•
Erreichbarkeit
Probleme
Systemzustand
Seite 7
Zentrales Logging für alle genuscreens
•
Zum Speichern von Konfigurations-, Zustands- und Log-Informationen aller Appliances sowie zu deren Auswertung bietet genucenter eine zentrale Datenbank.
Aufgrund einer Backup-Funktion besteht die Möglichkeit zur Datenbanksicherung
und Restauration.
Mandantenfähigkeit
•
genucenter ist mandantenfähig, so dass Gruppen von Systemen mit unterschiedlicher Einsatzcharakteristik gebildet werden können.
Ausfallsicherheit
•
Es ist möglich, genucenter redundant auszulegen, so dass notwendige Updatesund Änderungen der Konfiguration ohne Ausfallzeiten vorgenommen werden können.
5.2 Dezentrales Management
Natürlich ist es möglich, jede genuscreen separat zu verwalten. Hierfür stehen dem Administrator folgende Möglichkeiten zur Verfügung:
Konfiguration über die Web-Oberﬂäche
•
Über eine sichere https-basierte Verbindung kann genuscreen mit Hilfe einer übersichtlichen, komfortabel zu bedienenden Web-Oberfläche konfiguriert und verwaltet werden.
Direkter Zugriff
•
Falls gewünscht, lässt sich genuscreen alternativ per SSH oder vor Ort über eine
Konsolenverbindung konfigurieren.
5.3 Analyse und Debugging
Ein vollständiger Zugriff auf genuscreen ist jederzeit per gesicherter SSH-Verbindung möglich. Damit können Administratoren eine Vielzahl von Analyse-, Tracing- und Debug-Möglichkeiten nutzen. Dazu bietet genuscreen Tools, mit denen sich Probleme im Netzwerk
oder System erkennen und analysieren lassen.
Zu diesen Tools zählen:
• tcpdump zur Traffic-Analyse
• Analysen in lokalen Netzen
• IPsec-Debugging
• Detailierte Log-Analysen
• Netzwerk-Debugging
• Netzwerk-Probing
Seite 8
6
Zertifizierung und Zulassung
6.1 Zertifizierung
genua lässt wichtige Produkte nach internationalen Standards zertifizieren, um die Qualität
der implementierten Sicherheitsfunktionen nachzuweisen. Dadurch können die Produkte
auch in Umgebungen mit höchsten Sicherheitsanforderungen eingesetzt werden.
Die Firewall und VPN-Appliance genuscreen 5.0 ist nach CC in der Stufe EAL 4+ zertifiziert. Die Prüfung beim Bundesamt in der Informationstechnik (BSI) erfordert die Vorlage
einer umfassenden Dokumentation und des Quellcodes sowie ausführlicher Tests und gibt
unseren Kunden Gewähr, mit genuscreen eine hochwertige Sicherheitslösungen zu erwerben.
6.2 Zulassung
Zulassungen können im Gegensatz zu Zertifizierungen nicht vom Hersteller beantragt werden. Zulassungsverfahren werden von staatlicher Seite angestoßen, wenn Behörden diese
Produkte einsetzen möchten. Den Antrag stellt ein Bedarfsträger, die Zulassung wird vom
BSI bearbeitet und erteilt.
genuscreen 5 ist vom BSI für den verschlüsselten Datentransfer mit IPsec bis zur Geheimhaltungsstufe VS-NUR FÜR DEN DIENSTGEBRAUCH (VS-NfD) zugelassen, ebenso für
NATO Restricted und UE Restraint.
Für weitere Informationen zu den Themen Zertifizierung und Zulassung nehmen Sie bitte
Kontakt mit uns auf. Wir beraten Sie umfassend.
7
Hardware
Als Hardware bieten wir verschiedene Modelle, von der wartungsfreien Appliance ohne
Lüfter und Festplatte bis hin zu verschiedenen Rack Server-Lösungen.
Detaillierte Hardware-Informationen finden Sie unter www.genua.de/genuscreen.
8
Einsatzszenarien
8.1 genuscreen als Zonen-Firewall
Viele Firmen-Netzwerke sind über eine Internet-Firewall an das Internet angebunden. Das
interne LAN besteht meist aus einer flachen hierarchischen Struktur, die keine weiteren Si cherheitsübergänge aufweist. In diesen Fällen verfügen die internen Benutzer oft über viele Rechte, die sie gar nicht benötigen. Um auch die interne Sicherheit erheblich zu verbes sern, sollte das LAN in physikalisch getrennte Zonen unterteilt werden. Dies ist durch den
Einsatz von genuscreen möglich.
Wird ein Bridging Packet Filter als Firewall verwendet, kann man die bestehende Netzstruktur vollständig erhalten. Die Firewall wird lediglich an die entsprechende Stelle im
Netzwerk zur Abtrennung eines Teilnetzes integriert.
Seite 9
In der folgenden Abbildung sind einige Einsatzmöglichkeiten zu sehen. Hier werden ein
SAP-Server, die Daten der Personalabteilung und eine Liegenschaft vom internen LAN
durch je eine genuscreen getrennt. Somit können Clients aus dem internen LAN nicht
mehr ohne Weiteres auf Daten der Personalabteilung zugreifen. Auch das Netz der Liegenschaft ist physikalisch separiert und die Benutzer des Liegenschaft-Netzes können nur
noch als erlaubt definierte Aktionen im internen Netz der Zentrale ausführen. Natürlich gilt
dies auch für die Benutzer des internen LANs.
Abb. 3: Zonenbildung mit genuscreen
8.2 Transparente Kopplung durch ein verschlüsseltes Netz
Der Aufbau eines VPN verursacht meist erheblichen Aufwand. Es sind nicht nur Einstellungen am VPN-Gateway für das angeschlossene Netzwerk, sondern auch Eingriffe in die logische IP-Adressstruktur der betroffenen LANs vorzunehmen.
Im Netzwerk, das über ein VPN-Gateway kommunizieren soll, müssen
•
•
•
neue Default (VPN) Gateways definiert werden
dem Gateway IP-Adressen zugewiesen werden
u. U. neue Netzwerkmasken vergeben werden
Dies hat zur Folge, dass ein Netz für längere Zeit nicht erreichbar ist oder innerhalb des
Netzwerkes keine Verbindungen aufgebaut werden können.
Als Lösung bietet sich genuscreen als Bridging VPN-Gateway an.
Seite 10
Abb. 4: genuscreen als Bridging VPN-Gateway
Der Vorteil: Das Ergebnis ist eine vollwertige VPN-Verbindung zwischen LAN A und LAN B.
Diese ist für beide Netzwerke vollkommen transparent und erfordert keinerlei Konfiguration
in LAN A oder B. Somit ist innerhalb kürzester Zeit eine verschlüsselte Verbindung über öf fentliche oder unverschlüsselte Netze möglich.
8.3 Network Mode vermeidet SA-Engpass
In einer SA (Security Association) werden wichtige Daten für VPN-Beziehungen ausgehandelt. Dazu zählen:
•
•
•
Security Identifier, eine eindeutige 32-Bit Zahl
Schlüssel zur Verschlüsselung der Daten
Anzahl der Pakete, die über diese SA bereits ausgetauscht wurden
Eine SA wird normalerweise zwischen allen Netzen oder Hosts aufgebaut. Bei vielen Kommunikationspartnern kommt es somit leicht zu einem SA-Engpass, da alle möglichen Permutationen an Netzen/Hosts eine eigene SA benötigen. Dies führt u. a. zu PerformanceEinbußen an den VPN-Gateways, da das Aushandeln von SAs viel Rechenzeit benötigt.
SAs werden im Kernel in der SAD (Security Association Database) verwaltet.
Da SAs in sehr kurzen Abständen neu ausgehandelt werden, sind viele SAs parallel vorhanden, die auch ständig erneuert werden müssen. Man kann zwar den Zeitraum der SAGültigkeit verlängern, nimmt dadurch aber auch Sicherheitsrisiken in Kauf. Es kommt zu einer Verringerung des Sicherheitsniveaus.
In der folgenden Abbildung ist dies grafisch verdeutlicht. Dort sind jeweils drei Netze hinter
drei VPN-Gateways dargestellt. Es müssen nun SAs für alle Netze ausgehandelt und verwaltet werden, also für die Beziehungen A1-B1, A1-B2, A1-B3, A2-B1 usw. Dadurch ent stehen pro Gateway 18 SAs.
Seite 11
Abb. 5: Beispiel für einen SA-Engpass
Mit genuscreen lässt sich ein solcher SA-Engpass vermeiden. Jetzt müssen SAs nicht
mehr pro VPN-Partner ausgehandelt werden, sondern nur noch pro Gateway. Somit werden im Beispiel-Szenario nicht mehr 27, sondern nur noch drei Beziehungen ausgehandelt
und aufrecht erhalten. Grafisch ist dies in der nächsten Abbildung dargestellt. Ein klarer
Vorteil für Organisationsstrukturen, die stark- oder vollvermaschte VPNs aufweisen.
Abb. 6: SA-Engpass wird mit genuscreen vermieden
Seite 12
8.4 Einsatz in der VS-NfD-Umgebung
Die Firewall & VPN Appliance genuscreen ist vom BSI für die Verarbeitung und Übertragung von VS-NfD-Daten zugelassen. Für eine Verwendung innerhalb der Geheimhaltungsstufe VS-NUR FÜR DEN DIENSTGEBRAUCH (VS-NfD) werden zusätzlich mindestens
eine Central Management Station genucenter zur Administration, eine genuscreen als Gegenstelle und eine weitere genuscreen als Prägestation sowie SmartCards benötigt.
9
Support
9.1 Einführung
Installations- und Konfigurations-Service: genua und spezialisierte Vertriebspartner unterstützen Sie auf Wunsch bei der Installation, Konfiguration und Inbetriebnahme der Firewall und VPN-Appliance genuscreen und der Central Management Station genucenter. Dabei werden die Administratoren ausführlich in die Benutzung und Pflege des Systems eingewiesen.
Anfangs-Support: Die Firewall und VPN-Appliance genuscreen ist so dokumentiert, dass
die Inbetriebnahme und der laufende Betrieb keinerlei Schwierigkeiten bereiten sollten.
Wenn Sie dennoch Fragen haben oder auf Schwierigkeiten stoßen, steht Ihnen unsere
Hotline kostenlos 14 Tage lang zur Verfügung.
9.2 Schulungen
genuscreen Specialist Training: Diese Schulung informiert Administratoren über Aufbau
und Funktionsweise der Firewall und VPN-Appliance genuscreen sowie Konfigurationsmöglichkeiten und Überwachung des laufenden Betriebs.
Weitere Informationen finden Sie unter
https://www.genua.de/loesungen/workshops-trainings.html
9.3 Laufender Betrieb – Software Support
Update Service: Die Firewall und VPN-Appliance genuscreen wird ständig weiterentwickelt. Regelmäßig erscheinen neue Versionen, in denen aktuelle Entwicklungen aufgegriffen werden und der Funktionsumfang sinnvoll ergänzt wird. Je nach Bedarf erscheinen zu sätzlich Zwischenversionen.
Unser Update Service sichert Ihnen die automatische Lieferung der neuesten Versionen
und Zugriff auf unsere komplette Patch-Datenbank.
Hotline Service: Zusätzlich zu unserem Update Service bieten wir deutsch- und englischsprachigen Support via Telefon und E-Mail. Sie können unsere Hotline für alle Fragen zu
Ihrer Lösung mit der genuscreen nutzen. Der telefonische Hotline Support steht Ihnen auf
Wunsch 24 Stunden an allen Tagen zur Verfügung.
Seite 13
Security System Management: Diese Leistung umfasst die ständige Überwachung und
Wartung unserer Systeme, die bei Kunden für IT-Sicherheit sorgen, über stark verschlüsselte Internet-Verbindungen.
9.4 Laufender Betrieb – Hardware Support
Next Business Day Austausch-Service: Bei defekter Hardware erhält der Kunde innerhalb Deutschlands am nächsten Werktag ein baugleiches Gerät im Austausch für das defekte Gerät. Leistungsumfang und Voraussetzungen entnehmen Sie bitte den Allgemeinen
Vertragsbedingungen der genua gmbh.
9.5 Support von Vertriebspartnern
Support-Leistungen von Vertriebspartern: Viele autorisierte Vertriebspartner von genua
bieten zum Teil erweiterte Support-Optionen an, z. B. Vor-Ort-Austauschservice von Hardware innerhalb garantierter Maximalzeiten.
10
Kontakt und Vertrieb
genuscreen und genucenter sind über autorisierte Fachhändler und über genua erhältlich.
Eine aktuelle Liste unserer Partner finden Sie unter:
https://www.genua.de/partner/partnersuche.html
Unser Vertrieb nennt Ihnen gerne Ihren nächstgelegenen Vertriebspartner.
GS-WP-0616-14-D
So erreichen Sie uns:
genua gmbh, Domagkstraße 7, 85551 Kirchheim bei München
tel +49 89 991950-0, fax +49 89 991950-999, [email protected], www.genua.de
Seite 14
11
Glossar
IPsec
Internet Protocol Security – Sicherheitsprotokoll, das bei der
Kommunikation über IP-Netze Vertraulichkeit, Authentizität und
Integrität gewährleisten soll. Es kann zum Aufbau von virtuellen
privaten Netzwerken (VPN) verwendet werden.
OSI-Modell
Open System Interconnection Modell – Schichtenmodell zur
Kommunikation informationsverarbeitender Systeme, mit dem
sich die Funktionsweise von Netzprotokollen veranschaulichen
lässt.
PFL
Paketfilter: Firewall, die auf der Basis von IP-Adressen und
Portnummern Filterregeln umsetzt. Ist die Verbindung nach den
Regeln zulässig, lässt der PFL die Daten der Verbindung wie ein
Router passieren. Angriffe auf IP-Ebene kann ein PFL daher nur
abwehren, wenn zusätzliche Schutzmechanismen greifen. So
genannte „Stateful Inspection“ gewährt zusätzlichen Schutz. Ein
klassischer PFL hat keinen Zugriff auf Anwendungsdaten und
kann daher keine Angriffe auf Anwendungsebene (z. B. Viren)
erkennen.
SMTP
Simple Mail Transfer Protocol – Netzprotokoll, das zum Austausch
von E-Mails in Computernetzen dient.
SSH
Secure Shell – Netzwerkprotokoll, mit dem sicher eine
verschlüsselte Netzwerkverbindung zu einem entfernten
Computer hergestellt werden kann.
TCP
Transmission Control Protocol – Netzprotokoll für eine zuverlässige Übertragung, die verbindungs- und stromorientiert ist.
Transport Mode
Im Transport Mode kommunizieren zwei Hosts direkt via Internet
miteinander. Dabei gewährleistet IPsec die Authentizität und
Integrität der Daten. Per Verschlüsselung lässt sich zudem
verhindern, dass Unbefugte die transportierten Inhalte mitlesen.
Da die Kommunikation über ein frei zugängliches Netz stattfindet,
lassen sich jedoch Ursprung und Ziel des Datenstroms nicht
verschleiern.
Tunnel Mode
Der Tunnel Mode kommt zum Einsatz, wenn zumindest einer der
beteiligten Rechner nicht direkt angesprochen, sondern als
Security Gateway genutzt wird. In diesem Fall bleibt der
Kommunikationspartner hinter dem Gateway anonym. Tauschen
gar zwei Netze über ihre Security Gateways Daten aus, dann
Seite 15
lässt sich von außen gar nicht mehr bestimmen, welche Rechner
miteinander kommunizieren. Es lassen sich Authentifizierung,
Integritätskontrolle und Verschlüsselung einsetzen.
VPN
Seite 16
Virtual Private Network – Technik zur Verbindung externer
Rechner mit einem lokalen Netzwerk, bei der das Internet als
Transportmedium dient. Die Daten werden dabei verschlüsselt.

Download Report