Abb. Funktionsweise des Firewall-Service

Transkript

1 SICHERHEITSLÖSUNGEN FIREWALL-SERVICE Firewall-Service Abb. Funktionsweise des Firewall-Service Die Teilnahme an öffentlichen Netzen wie etwa dem Internet hat den Einsatz von Firewall-Systemen erforderlich gemacht. Dabei werden mindestens zwei Zonen gebildet, deren eine für das interne LAN zuständig ist, während die zweite den zum Internet verbundenen öffentlichen Bereich umfasst. Zwischen den Zonen sind nur aus dem internen LAN heraus initiierte Übergänge möglich, die durch umfangreiche Regelwerke auf die individuellen und organisatorischen Bedürfnisse der zu schützenden Zone, in diesem Fall das interne LAN, abgestimmt werden können. Sollen Dienste wie eine eigene Internet-Präsenz oder ein eigener Mail-Server zur aktiven Teilnahme vom Internet aus erreichbar sein, erfolgt der Zugangswunsch aus dem öffentlichen Netz. Um die entsprechenden Services von außen erreichen zu können und das interne LAN gleichzeitig zu schützen, macht es Sinn, sie dafür in einer eigenen Zone zu realisieren, die ausschließlich den Zugang aus dem öffentlichen Netz erlaubt. Eine solche Zone wird DMZ (demilitarisierte Zone) genannt. Der Zugang aus dem internen LAN in diese vorbeugend geschützte Zone erfolgt dann gezielt und überwacht über eine direkte Verbindung nach abgestimmten Regeln. KD Firewall-Service 2013, HSE Medianet GmbH 1

2 SICHERHEITSLÖSUNGEN FIREWALL-SERVICE Eigenschaften Basisleistung Betrieb eines vom Kunden bereitgestellten Firewall-Systems. Die Bereitstellung umfasst auch alle zu einem hochverfügbaren Dienst notwendigen Serviceverträgen mit dem Firewall-Hersteller. Medianet ist solange von seiner Serviceerbringungspflicht befreit, solange das Firewall-System ohne Verschulden seitens Medianet nicht funktionstüchtig ist (down time). Medianet erhält die Administrationsrechte exklusiv. Erstkonfiguration des Firewall Systems Abschottung gegen bekannte Angriffe aus dem Internet Erstellen der Sicherheitsregeln für Standardports nach Absprache (HTTP, HTTPS, SMTP, POP3, IMAP, simap, spop3, FTP, ICMP, Telnet, SSH) Erstellung und Implementierung eines kundenspezifischen Firewall-Regelwerkes bis maximal 10 Regeln (keine VPN-Konfiguration, HA-, QoS- und LoadSharing-Funktionen) Fernbetreuung des Firewall-Systems (Monitoring) Regelung zeitnah durchgeführt. 2 Stunden telefonischer Inbetriebnahme-Support zur Abstimmung mit einem LAN- Spezialisten des Kunden inklusive 24 Stunden Hotline für Störungsannahme Störungsbearbeitung per Fernzugriff während der Geschäftszeiten von Mo. Fr. zwischen 07:00 Uhr bis 17:00 Uhr Zentrale Sicherung der Standard-Firewall-Konfiguration inkl. kundenspezifischer Erweiterungen Wiederherstellung des Firewall-Services nach Hardware-Ausfall innerhalb des Medianet-Gebietes bis spätestens zum nächsten Arbeitstag, während der Geschäftszeiten von Mo. - Fr. zwischen 07:00 und 17:00 Uhr Änderungen des Firewall-Regelwerkes werden zeitnah während der Geschäftszeiten durchgeführt und nach Aufwand pro angefangener Stunde berechnet. Erweiterungsmöglichkeiten BasisleistungPlus Alarmmeldung bei Ausfall (proaktiv) Telefonischer Support (z.b. Regeländerungen, Konfigurationsanpassungen oder Beratung im Zusammenwirken mit dem Kunden-LAN) wird nach Aufwand berechnet (Abrechnung mindestens 30 min., danach je 15 min.) und werden während der Geschäftszeiten von Mo. Fr. zwischen 07:00 und 17:00 Uhr durchgeführt. 8 Stunden Telefonischer Support im Jahr enthalten Zeitnahe Störungsbeseitigung (365 Tage / 24 Stunden) Auswertung und Analyse von Reports nach Aufwand KD Firewall-Service Alle Preise zuzüglich der gesetzlich gültigen Umsatzsteuer. Es gelten die Allgemeinen Geschäftsbedingungen der HSE Medianet GmbH für Telekommunikationsdienste und Serviceleistungen sowie die Service Leistungsbeschreibungen. Diese sind unter einzusehen. 2 HSE Medianet GmbH

3 SICHERHEITSLÖSUNGEN FIREWALL-SERVICE MIT HARDWARE Firewall-Service mit Hardware Abb. Funktionsweise des Firewall-Service mit Hardware Die Teilnahme an öffentlichen Netzen wie etwa dem Internet hat den Einsatz von Firewall-Systemen erforderlich gemacht. Dabei werden mindestens zwei Zonen gebildet, deren eine für das interne LAN zuständig ist, während die zweite den zum Internet verbundenen öffentlichen Bereich umfasst. Zwischen den Zonen sind nur aus dem internen LAN initiierte Übergänge möglich, die durch umfangreiche Regelwerke auf die individuellen und organisatorischen Bedürfnisse der zu schützenden Zone, in diesem Fall das interne LAN, abgestimmt werden können. Sollen Dienste wie eine eigene Internet-Präsenz oder ein eigener Mail-Server zur aktiven Teilnahme vom Internet aus erreichbar sein, erfolgt der Zugangswunsch aus dem öffentlichen Netz. Um die entsprechenden Services von außen erreichen zu können und das interne LAN gleichzeitig zu schützen, macht es Sinn, sie dafür in einer eigenen Zone zu realisieren, die ausschließlich den Zugang aus dem öffentlichen Netz erlaubt. Eine solche Zone wird DMZ (demilitarisierte Zone) genannt. Der Zugang aus dem internen LAN in diese vorbeugend geschützte Zone erfolgt dann gezielt und überwacht über eine direkte Verbindung nach abgestimmten Regeln. KD Firewall-Service mit Hardware 2013, HSE Medianet GmbH 1

4 SICHERHEITSLÖSUNGEN FIREWALL-SERVICE MIT HARDWARE Eigenschaften Basisleistung Gestellung einer physischen Firewall während der Mietzeit Erstinstallation des Firewall Systems Abschottung gegen bekannte Angriffe aus dem Internet Erstellen der Sicherheitsregeln für Standardports nach Absprache (HTTP, HTTPS, SMTP, POP3, IMAP, simap, spop3, FTP, ICMP, Telnet, SSH) Erstellung und Implementierung eines kundenspezifischen Firewall-Regelwerkes bis maximal 10 Regeln (keine VPN-Konfiguration, HA-, QoS- und LoadSharing-Funktionen) Fernbetreuung des Firewall-Systems (Monitoring) Prüfung der Software-Stände auf Aktualisierungsnotwendigkeit und ggf. Einbringung halbjährlich. Sicherheitsrelevante Updates werden außerhalb der vorgenannten Regelung zeitnah durchgeführt. 2 Stunden telefonischer Inbetriebnahme-Support zur Abstimmung mit einem LAN- Spezialisten des Kunden inklusive 24 Stunden Hotline für Störungsannahme Störungsbearbeitung per Fernzugriff während der Geschäftszeiten von Mo. Fr. zwischen 07:00 Uhr bis 17:00 Uhr Zentrale Sicherung der Standard-Firewall-Konfiguration inkl. kundenspezifischer Erweiterungen Wiederherstellung des Firewall-Services nach Hardware-Ausfall innerhalb des Medianet-Gebietes bis spätestens zum nächsten Arbeitstag, während der Geschäftszeiten von Mo. - Fr. zwischen 07:00 und 17:00 Uhr Änderungen des Firewall-Regelwerkes werden zeitnah während der Geschäftszeiten durchgeführt und nach Aufwand pro angefangener Stunde berechnet. Erweiterungsmöglichkeiten BasisleistungPlus Alarmmeldung bei Ausfall (proaktiv) Telefonischer Support (z.b. Regeländerungen, Konfigurationsanpassungen oder Beratung im Zusammenwirken mit dem Kunden-LAN) wird nach Aufwand berechnet (Abrechnung mindestens 30 min., danach je 15 min.) und werden während der Geschäftszeiten von Mo. Fr. zwischen 07:00 und 17:00 Uhr durchgeführt. 8 Stunden Telefonischer Support im Jahr enthalten Zeitnahe Störungsbeseitigung (365 Tage / 24 Stunden) Auswertung und Analyse von Reports nach Aufwand KD Firewall-Service mit Hardware Alle Preise zuzüglich der gesetzlich gültigen Umsatzsteuer. Es gelten die Allgemeinen Geschäftsbedingungen der HSE Medianet GmbH für Telekommunikationsdienste und Serviceleistungen sowie die Service Leistungsbeschreibungen. Diese sind unter einzusehen. 2 HSE Medianet GmbH

5 SICHERHEITSLÖSUNGEN FIREWALL-SERVICE NEXT GENERATION Firewall-Service Next Generation Abb. Funktionsweise des Firewall-Sservice Next Generation Die Teilnahme an öffentlichen Netzen wie etwa dem Internet hat den Einsatz von Firewall-Systemen populär gemacht. Dabei werden mindestens zwei Zonen gebildet, deren eine für das interne LAN zuständig ist, während die zweite den zum Internet verbundenen öffentlichen Bereich umfasst. Zwischen den Zonen sind nur aus dem internen LAN heraus initiierte Übergänge möglich, die durch umfangreiche Regelwerke auf die individuellen und organisatorischen Bedürfnisse der zu schützenden Zone, in diesem Fall das interne LAN, abgestimmt werden können. Die wesentlichen Merkmale des Firewall-Service Next Generation der Medianet lassen sich neben vielen weiteren wie folgt aufzeigen: Identifikation von Anwendungen, nicht nur von Ports: Portübergreifende Identifikation der Anwendung, unabhängig von Protokoll, Verschlüsselung (SSL oder SSH) oder Umgehungsmethode. Die Anwendungsidentität wird somit zentraler Bestandteil des gesamten Regelwerks. Identifikation von Benutzern, nicht nur von IP-Adressen: Nutzung von in Unternehmensverzeichnissen gespeicherten Benutzer- und Gruppendaten für Transparenz, Sicherheits-Richtlinien, Reporting und forensische Untersuchungen, unabhängig davon, wo sich der Benutzer gerade befindet (anonymisierbar). App-ID: Klassifizierung von Anwendungen auf allen Ports und zu jedem Zeitpunkt. Die Medianet-Lösung kennt die überwiegende Mehrheit aller gebräuchlichen Applikationen und ist damit in der Lage, einzelne Dienste und Applikationen zu erkennen und spezifisch auf sie zu reagieren. Prüfung des Inhalts in Echtzeit: Schutz des Netzwerks gegenüber Exploits oder Sicherheitslücken und in Anwendungsdaten eingebetteter Malware, unabhängig von ihrem Ursprung. Vereinfachte Richtlinienverwaltung: Sichere Verwendung von Anwendungen durch ein einfaches graphisches Frontend, das alle sicherheitsrelevanten Einstellungen in einer einheitlichen Richtlinie zusammenfasst. AntiViren-Schutz (optional) Während die zuvor beschriebenen Möglichkeiten nur die Kommunikationsbeziehungen zwischen den verschiedenen Zonen beschreiben, empfehlen sich auch Maßnahmen auf der Funktionsebene (Applikation). So kann der Firewallservice durch den Einsatz von AntiViren-Software in die Lage versetzt werden, die aktuell bekannten Viren zu kennzeichnen oder herauszufiltern. Dazu ist zu beachten, dass bisher noch keine zuverlässige Technologie bekannt ist, die bisher unbekannte Schädlinge aufspüren kann. Tritt ein neuer Schädling auf, muss er als solcher identifiziert sowie eine Abwehrregel erarbeitet und diese dann auch implementiert werden. In der Zeit bis zur Implementierung einer sol - chen Abwehrregel wird der Virus oder Schädling nicht erkannt und gelangt durch die Firewall. Daher kommt ein Lizensierungsmodell zum Einsatz, das regelmäßige Regelanpassungen (Updates) für einen bestimmten Zeitraum beinhaltet. IPS - Intrusion Prevention System (optional) Das Internet ist Segen und Fluch zugleich. Während die Nutzung weltweit verfügbarer Serviceleistungen sicherlich sinnvoll ist und neue Wege möglich macht, eröffnet die gleiche Technologie Tür und Tor für Missbrauch. Die Nut- KD Firewall-Service Next Generation 2013, HSE Medianet GmbH 1

6 SICHERHEITSLÖSUNGEN FIREWALL-SERVICE NEXT GENERATION zung von Diensten wie Facebook, Twitter aber auch SharePoint oder anderen Dienste sozialer Netzwerke beinhaltet in aller Regel die Gefahr des Ausspionierens des Nutzers bis hin zum Hinterlassen von Schadsoftware (Trojaner u. ä.). Unter dem Stichwort Web 2.0 überfluten Serviceangebote den Markt, die den Schutz von Unternehmen immer auf - wändiger machen. Medianet bietet optional die Möglichkeit, solche Dienste nutzerbezogen zu identifizieren, zu kontrollieren und zu verhindern. Die eingesetzte Technologie kennt derzeit über 950 Anwendungen (Applikationen), die eine engmaschige Nutzungssteuerung bereits im Lieferumfang möglich macht. Das Nutzerverhalten kann individuell oder in Gruppen gesteuert werden und ist in bestehende Authentifizierungssysteme wie LDAP, edirectory, OpenLDAP, Microsoft Active Directory integrierbar (Richtlinienmanagement). Gleichzeitig können die Paketinhalte auf schwierig kontrollierbare Angriffspotentiale wie JavaScript, HTML-Viren und andere untersucht werden, um das Gefahrenpotential solcher Schwachstellen wirkungsvoll zu mindern. Diese Technologie erweitert die auf IP-Adresse und Port-basierende Technologie wesentlich und ermöglicht eine völlig neue Generation von Firewall-Systemen mit folgenden Vorteilen: Risikomanagement durch richtlinienbasierte Nutzungskontrolle von Anwendungen Beibehaltung der Kontrolle und Sicherheit bei Nutzung neuer webbasierter Anwendungen Einhaltung von Compliance-Vorgaben Eigenschaften KD Firewall-Service Next Generation Basisleistung Erstinstallation des Firewall Systems Abschottung gegen bekannte Angriffe aus dem Internet Erstellen der Sicherheitsregeln für Standardports nach Absprache (HTTP, HTTPS, SMTP, POP3, IMAP, simap, spop3, FTP, ICMP, Telnet, SSH) Erstellung und Implementierung eines kundenspezifischen Firewall-Regelwerkes bis maximal 10 Regeln (keine VPN-Konfiguration, HA-, QoS- und LoadSharing-Funktionen) Einstellen von URL-Filtering, wenn gewünscht, nach Kategorien (z.b.auctions, adultand-pornography, games, streaming-media, usw.) Fernbetreuung des Firewall-Systems (Monitoring) Prüfung der Software-Stände auf Aktualisierungsnotwendigkeit und ggf. Einbringung halbjährlich. Sicherheitsrelevante Updates werden außerhalb der vorgenannten Regelung zeitnah durchgeführt. 2 Stunden telefonischer Inbetriebnahme-Support zur Abstimmung mit einem LAN- Spezialisten des Kunden inklusive 24 Stunden Hotline für Störungsannahme Störungsbearbeitung per Fernzugriff während der Geschäftszeiten von Mo. Fr. zwischen 07:00 Uhr bis 17:00 Uhr Zentrale Sicherung der Standard-Firewall-Konfiguration inkl. kundenspezifischer Erweiterungen Wiederherstellung des Firewall-Services nach Hardware-Ausfall innerhalb des Medianet-Gebietes bis spätestens zum nächsten Arbeitstag, während der Geschäftszeiten von Mo. - Fr. zwischen 07:00 und 17:00 Uhr Änderungen des Firewall-Regelwerkes werden zeitnah während der Geschäftszeiten durchgeführt und nach Aufwand pro angefangener Stunde berechnet. Alle Preise zuzüglich der gesetzlich gültigen Umsatzsteuer. Es gelten die Allgemeinen Geschäftsbedingungen der HSE Medianet GmbH für Telekommunikationsdienste und Serviceleistungen sowie die Service Leistungsbeschreibungen. Diese sind unter einzusehen. 2 HSE Medianet GmbH

7 SICHERHEITSLÖSUNGEN FIREWALL-SERVICE NEXT GENERATION Erweiterungsmöglichkeiten optional BasisleistungPlus AntiViren Software Datei- und Datenfilterung Alarmmeldung bei Ausfall (proaktiv) Telefonischer Support (z. B. Regeländerungen, Konfigurationsanpassungen oder Beratung im Zusammenwirken mit dem Kunden-LAN) wird nach Aufwand berechnet (Abrechnung mindestens 30 min., danach je 15 min.) und werden während der Geschäftszeiten von Mo. Fr. zwischen 07:00 und 17:00 Uhr durchgeführt. 8 Stunden Telefonischer Support im Jahr enthalten Zeitnahe Störungsbeseitigung (365 Tage / 24 Stunden) Auswertung und Analyse von Reports Erweiterung des Firewallservice um einen Viren-Scanner für die Protokolle HTTP (Web), FTP (Datenübertragung) und SMTP ( ). Die Datenfilterung gestattet Administratoren, Richtlinien zu implementieren, die die Risiken bei Datei- und Datenübertragungen minimieren. Dateiübertragungen und Downloads können kontrolliert werden, indem die Datei (und nicht nur die Dateinamenerweiterung) überprüft wird, um festzustellen, ob sie zulässig ist oder nicht. Ausführbare Dateien, die typischerweise in Drive-by-Downloads verwendet werden, können blockiert werden, wodurch das Netzwerk vor einer nicht erkannten Malware-Verbreitung geschützt wird. Schließlich können die Datenfilterfunktionen die Übertragung vertraulicher Datenmuster (Kreditkarten- und Sozialversicherungsnummern) erkennen und kontrollieren. Anwendungen nach Benutzern und Gruppen aktivieren Bisher basieren Sicherheitsrichtlinien auf die Erkennung von IP-Adressen. Aufgrund der zunehmenden Nutzungsdynamik der Benutzer und der Anwendungsprogramme erweist sich die alleinige Verwendung von IP-Adressen für die Überwachung und Kontrolle von Benutzeraktivitäten als unwirksam. User-ID sorgt für eine nahtlose Integration von Firewalls der nächsten Generation in die volle Breite marktüblicher Unternehmensverzeichnisse. Ein netzwerkbasierter User-ID-Agent kommuniziert mit dem Domänencontroller und bildet die Benutzerdaten auf die IP-Adressen ab, die die Benutzer zu einem bestimmten Zeitpunkt verwenden. Webfilter IPS Intrusion Prevention System Dieser WEB-Filter ermöglicht, das Surf-Verhalten von Benutzern einzuschränken. Dabei können sowohl vom Hersteller gepflegte Kategorien zum Blockieren ausgewählt, wie auch jede auszuschließende URL individuell direkt eingegeben werden. Webfilter eignen sich exzellent zum Einhalten von Kodexvorgaben und Vermeiden von Verletzungen gesetzlicher Vorgaben (Compliance und Governance). Erweiterung Firewallservice um IPS-Fähigkeiten Anfälligkeit für Schwachstellen ausnutzende Programme senken (blocking vulnerabilty exploits) Schutz gegen Viren, Spionagesoftware (Spyware) und Würmer Schutz gegen HTML- und JavaScript-Viren Analyse auch für per Deflate-Algorithmus komprimierte Dateien (Zip, Gzip, etc.) inkl. Updates Schutz gegen Schadsoftware (Malware) täglich Schutz gegen vulnerabilty exploits wöchentlich KD Firewall-Service Next Generation 2013, HSE Medianet GmbH 3

8 SICHERHEITSLÖSUNGEN FIREWALL-SERVICE NEXT GENERATION KD Firewall-Service Next Generation Alle Preise zuzüglich der gesetzlich gültigen Umsatzsteuer. Es gelten die Allgemeinen Geschäftsbedingungen der HSE Medianet GmbH für Telekommunikationsdienste und Serviceleistungen sowie die Service Leistungsbeschreibungen. Diese sind unter einzusehen. 4 HSE Medianet GmbH