R-SEC Leistungsbeschreibung

Transkript

1 Mit dem Produkt R-SEC bietet R-KOM den IP-Netzwerken ihrer Kunden umfassende Schutzmechanismen und minimiert somit die Gefahren vor vielfältigen Bedrohungen aus dem Internet. Darüber hinaus können mit R-SEC kostengünstige und sichere VPN Verbindungen aufgebaut und sicherer Zugriff auf das Firmennetzwerk gewährt werden. Zur Realisierung von R-SEC wird ein Firewallsystem, das aus einer oder mehreren Firewalls besteht konfiguriert, eingesetzt und gewartet. 1 Zielsegment R-SEC richtet sich an professionelle Internetnutzer, die ihre IT - Infrastruktur nach dem aktuellen Stand der Technik vor Bedrohungen aus dem Internet wie etwa Schadprogrammen (Viren, Würmer, Spyware) oder unerlaubtem Zugriff (Hacker) schützen wollen. Gleichzeitig deckt R-SEC den Bedarf nach einer sicheren und kostengünstigen Anbindung von Außenstellen, Heimarbeitsplätzen und Außendienstmitarbeitern an das Firmennetzwerk. R-SEC skaliert dabei nahtlos von kleineren Lösungen für Heimarbeitsplätze bis hin zu Hochverfügbarkeitslösungen die auch problemlos größere Durchsatzraten bewältigen. 2 Voraussetzungen Voraussetzung für den Einsatz von R-SEC ist ein permanent verfügbarer Internetanschluss mit mindestens einer festen IP-Adresse pro Firewallsystem, die exklusiv für die Firewall zur Verfügung steht. Diese IP-Adresse muss aus dem Internet ohne Einschränkung erreichbar sein. 3 Spezifikation von R-SEC Begriffsdefinitionen: Firewall: Hardware, die den Datenverkehr zwischen dem Internet und dem Firmennetz überwacht um verdächtige Aktivitäten zu melden und zu blockieren. Firewallsystem: Ein Firewallsystem besteht aus einer einzelnen Firewall oder aus mehreren, zu einem Cluster konfigurierten Firewalls. Netzwerk: Ein Netzwerk beschreibt im Folgenden immer ein IP-v4 Netzwerk, entsprechend ist unter einer IP-Adresse eine IP-v4 Adresse zu verstehen. Der Begriff intern wird für das auf Kundenseite liegende, zu schützende Netzwerk verwendet, extern für das Netzwerk über das die Verbindung ins öffentliche Internet hergestellt wird. Dienst: IP-v4 basierter Dienst, dem feste TCP und/oder UDP Portnummern zugeordnet werden können. Zur Realisierung von R-SEC wird dem Kunden während der Vertragslaufzeit ein Firewallsystem von R-KOM zur Verfügung gestellt, konfiguriert und gewartet, mit dem die im Rahmen des R-SEC Produktes verfügbaren und vom Kunden gewünschten Dienste realisiert werden. Die zugehörigen Firewalls werden standardmäßig an den Internetanschlüssen des Kunden betrieben, wodurch für den Kunden bestimmte Pflichten entstehen. Die Dimensionierung der eingesetzten Firewalls geschieht in Absprache mit dem Kunden und richtet sich nach der Anzahl der zu schützenden Rechner und der Bandbreite des Internetanschlusses. Hierfür empfiehlt R-KOM folgende Größen: Variante R-SEC Basic R-SEC Basic+AV R-SEC Business R-SEC Premium R-SEC Enterprise Benutzeranzahl ca. 5 ca. 10 bis ca. 25 bis ca. 75 ab ca. 100 Bandbreite ADSL ADSL bis 4 Mbit/s bis 10 Mbit/s bis 48 Mbit/s Im Zusammenhang mit VPN-Konfigurationen sind für Außenstellen spezielle R-SEC Varianten mit dem Namenszusatz Branch verfügbar. R-SEC stellt dem Kunden, in Abhängigkeit von der gewählten Variante, verschiedene Leistungsmerkmale zur Verfügung. Leistungsmerkmale, die mit einem (*) gekennzeichnet sind, gelten als so genannte Basisleistungsmerkmale. AntiSPAM(*): Durch die Verwendung von öffentlichen DNSBL (DNS Black Lists) und ORDBL (Open Relay Database Lists) sowie vom Hersteller der Firewall gepflegten URL-Listen können unerwünschte Werbe s (SPAM) gekennzeichnet oder geblockt werden. Die dazu notwendigen Datenbanken werden regelmäßig über das Internet aktualisiert. AntiVirus(*): Das Firewallsystem bietet die Möglichkeit FTP, HTTP, POP3, IMAP und SMTP Traffic nach bekannten Virensignaturen zu durchsuchen und ggf. zu unterbinden. Die Virensignaturdatenbank wird regelmäßig über das Internet aktualisiert. lbs030-2 Seite: 1 von 6

2 DHCP-Server(*): Hiermit können den an das Firewallsystem angeschlossenen Geräten (Clients) automatisch IP- Adressdaten aus einem festzulegenden IP-Netz zugeteilt werden. Voraussetzung ist, dass diese Geräte (Clients) das DHCP Protokoll wie in IEEE RFC 2131 spezifiziert unterstützen. DMZ: DMZ steht für demilitarisierte Zone und bezeichnet ein an das Firewallsystem angeschlossenes, zu schützendes, vom internen abweichendes Netz, auf das vom öffentlichen Internet aus kontrolliert zugegriffen werden soll. Zum Aufbau einer DMZ ist jeweils ein dedizierter physikalischer Ethernet Port an der Firewall oder eine VLAN-Konfiguration notwendig. Dynamisches Routing: Bei Bedarf kann das Firewallsystem an einem beim Kunden verwendeten dynamischen Routingprotokoll teilnehmen. Unterstützt werden dabei RIP V1 & V2 und OSPF. Hochverfügbarkeit: Bei dieser Option werden zwei oder mehr Firewalls parallel in einem Cluster betrieben, so dass bei einem Ausfall einer Firewall die jeweils andere Firewall ohne Unterbrechung übernimmt. Intrusion Prevention(*): Ist dieses Feature aktiv, untersucht das Firewallsystem den durch sie laufenden Traffic nach bekannten Angriffsmustern und kontrolliert die sachgemäße Benutzung bekannter Dienste. Werden hier Unregelmäßigkeiten festgestellt, protokolliert das Firewallsystem den Traffic und kann ihn unterbinden. Die hierzu notwendige Datenbank mit Angriffssignaturen wird regelmäßig aus dem Internet aktualisiert. Logging: Hierbei wird dem Kunden auf einem dedizierten Logging-Server Speicherplatz für seine Logging Daten zur Verfügung gestellt. Die Logging-Daten werden verschlüsselt zu diesem Server übertragen. Dieser erstellt periodisch (täglich, wöchentlich,...) vom Kunden definierbare Berichte etwa über die Nutzung des WWW, den Anteil an SPAM- Mails oder an geblockten Attacken. Diese Berichte stehen dem Kunden anschließend im Kundenportal über einen SSLverschlüsselten Webzugang zum Download als PDF, HTML, Text oder RTF Datei zur Verfügung. Gleichzeitig kann über ein Webfrontend der aktuelle Zustand des Firewallsystems überwacht und Traffic in Echtzeit betrachtet werden. Mail-Filter(*): Nachrichten, die durch das Firewallsystem laufen, können basierend auf Schlüsselwörter geblockt oder gekennzeichnet werden. NAT(*): Network Address Translation. Damit ist sowohl die Übersetzung offizieller externer IP-Adressen nach internen (ggf. privaten) IP-Adressen möglich, als auch die sog. Port Address Translation (PAT), d.h. die Zuordnung externer IP- Adressen und Ports zu internen IP-Adressen/Ports. Für die VoIP Protokolle H.323 und SIP sowie RTP wird jeweils NAT Traversal unterstützt. Dieses Feature steht im Transparent L2 Mode nicht zur Verfügung. Paketfilter(*): Über Paketfilter können gezielt bestimmte Dienste gesperrt oder erlaubt werden. Durch den vorhandenen Stateful Inspection Mechanismus darf eingehender Antworttraffic ohne zusätzliche Regeln passieren. PKI (Public Key Infrastructure): Zur zertifikatsbasierenden Authentifizierung von VPN Verbindungen kann eine PKI, basierend auf einer eigenen, privaten CA (Certificate Authority) von der R-KOM verwaltet werden, über die Client- Zertifikate ausgegeben werden. R-KOM übernimmt hierbei die Verwaltung/Erneuerung der Zertifikate sowie der CRL (Certificate Revoke List). Policy based routing(*): Ermöglicht das Routing von Paketen nicht nur anhand der Zieladresse, sondern darüber hinaus anhand weiterer Kriterien wie Quell IP-Adresse, Quell-, Zielport oder Protokoll. Port Forwarding(*): Bezeichnet die Weiterleitung von Traffic an einen bestimmten IP-Port einer an einem Interface konfigurierten IP-Adresse an den selben Port einer anderen IP-Adresse. Dieses Feature steht im Transparent L2 Mode nicht zur Verfügung. Durch Managementzugänge belegte Ports der Management-IP-Adresse können nicht weitergeleitet werden. Dabei handelt es sich um die TCP-Ports (20, 21, 22 und 443). PPPoE Einwahl(*): PPPoE ist das Protokoll über das die Einwahl über einen ADSL-Anschluss stattfindet. Auf Kundenwunsch kann die Firewall so konfiguriert werden, dass sie sich bei Bedarf ins Internet einwählt. Eine Überwachung des Firewallsystems ist dann nur noch möglich, wenn das Firewallsystem eingewählt ist. Die R-KOM kann hierbei nicht verantwortlich gemacht werden für die dadurch ggf. zusätzlich entstehenden Kosten, die eine Einwahl beim Provider der ADSL-Verbindung verursacht. Remote Access VPN: Bei dieser VPN Konfiguration können sich einzelne Rechner via IPSec einwählen. Dazu kann die von FortiNet vertriebene VPN Client Software verwendet werden, oder auch jede andere IPSec kompatible Software. Die Installation und Verwaltung der Client Software ist nicht im Leistungsumfang der R-SEC Produkte enthalten. Dem Kunden entstehen hierdurch ggf. zusätzliche Kosten. Site-to-Site VPN: Bezeichnet den Aufbau einer getunnelten, verschlüsselten IP Verbindung mittels IPSec zwischen zwei vorgegebenen IP Netzen. Die Adressen aller beteiligten IP-Netze müssen paarweise disjunkt sein. Die Authentifizierung geschieht via IKE über ein pre-shared Secret oder basierend auf X.509 Zertifikaten, siehe auch Leistungsmerkmal PKI. lbs030-2 Seite: 2 von 6

3 Für den häufigen Fall einer sog. hub-and-spoke VPN-Konfiguration bestehend aus einer Zentrale (hub) mit einer oder mehreren Außenstellen (spoke), wobei der Zugriff ins Internet für alle Außenstellen über die Zentrale und deren Firewall erfolgt, sind die Firewall-Varianten mit dem Namenszusatz Branch verfügbar. Traffic Management: Darüber kann bestimmten Diensten eine garantierte Mindestbandbreite sowie eine maximale Bandbreite zugeteilt werden. Zusätzlich ist eine Priorisierung mittels DiffServ möglich. Transparent L2 Mode: Wird diese Option gewählt, arbeitet das Firewallsystem als Layer-2 Gerät (Bridge) und ist nicht als IP-Hop sichtbar. Eine bestehende Layer-3 Netztopologie bleibt also unverändert. Zur Verwaltung der Firewalls ist dennoch eine feste IP-Adresse notwendig (siehe Voraussetzungen). Die Leistungsmerkmale NAT sowie Port Forwarding sind in diesem Modus nicht möglich. Überwachung: Das Firewallsystem wird in das zentrale Netzwerkmanagementsystem des R-KOM NOC eingebunden von wo aus die Erreichbarkeit 24 Stunden am Tag und an 365 Tagen im Jahr überwacht wird. Unterbringung der Geräte bei der R-KOM: Hierbei wird die zur Realisierung des R-SEC Produkts notwendige Hardware im Rechenzentrum der R-KOM installiert. Virtuelle Firewalls: Hiermit können auf der selben Firewall parallel voneinander unabhängige Firewallsysteme betrieben werden, etwa für voneinander unabhängige Abteilungen. VLANs: Die R-SEC Firewallsysteme unterstützen VLANs nach dem IEEE Standard 802.1q. Über einen 802.1q fähigen Switch können damit zusätzliche physikalische Interfaces geschaffen werden. Web Filter(*): Bietet die Möglichkeit zur Filterung des http-traffics. Es können Seiten mit aktiven Inhalten wie Java oder Active X generell geblockt werden, aber auch konkrete URLs oder Seiten mit bestimmten Schlüsselwörtern können geblockt werden. Über eine Whitelist können bestimmte URLs von dieser Regelung ausgenommen werden. Web Rating(*): Hierbei handelt es sich um eine Erweiterung zur Web Filter Option, die eine Klassifizierung der URLs ermöglicht. Basierend darauf können dann etwa Websiten, die als pornografisch klassifiziert wurden, geblockt werden. Die Klassifizierung geschieht unter Zuhilfenahme einer permanent aktualisierten Datenbank. Web-Traffic Authentifizierung: Ist diese Option aktiv, so wird der Zugriff auf den http-dienst nur dann erlaubt, wenn sich der Benutzer gegenüber dem Firewallsystem zuvor authentifiziert hat. Die Authentifizierung geschieht im Webbrowser über ein Login-Fenster. Zeitgesteuerte Regeln(*): Diese aktivieren oder deaktivieren vorhandene Regeln zu festgelegten Zeiten. Verfügbare Leistungsmerkmale der verschiedenen Firewall-Varianten: Die Varianten R-SEC Business, R-SEC Premium sowie R-SEC Enterprise unterstützen alle hier genannten Leistungsmerkmale. Für R-SEC Basic sind nur die Leistungsmerkmale Paketfilter, Portforwarding, DHCP-Server, Site-to-Site VPN sowie PAT (im Leistungsmerkmal NAT ) verfügbar. R-SEC Basic ist beschränkt auf maximal 2 gleichzeitige VPN Verbindungen. Für R-SEC Basic+AV sind zusätzlich zu den für R-SEC Basic verfügbaren Leistungsmerkmalen Remote- Access-VPN, AntiVirus und Intrusion Prevention verfügbar. R-SEC Basic+AV ist beschränkt auf 5 gleichzeitige VPN Verbindungen. Die Varianten mit dem Namenszusatz Branch unterstützen die Leistungsmerkmale der zugrundeliegenden Variante mit Ausnahme von AntiVirus, Web Rating, AntiSPAM und Intrusion Prevention. Diese Leistungen können im Rahmen einer VPN Konfiguration vom zentralen Firewallsystem erbracht werden. 4 Standardleistungsumfang R-SEC umfasst, in Abhängigkeit von der gewählten Produktvariante, folgende Leistungen: Grundkonfiguration des Firewallsystemes in Absprache mit dem Kunden. Folgende Leistungsmerkmale bzw. deren Konfiguration sind dabei optional und ohne Aufpreis verfügbar o Transparent L2 Mode o 10 Paketfilter, optional mit Zeitangabe o Konfiguration von NAT o DHCP Server o PPPoE Einwahl o 5 Port Forwarding Regeln o Intrusion Prevention o AntiVirus o AntiSPAM lbs030-2 Seite: 3 von 6

4 o 10 Mail-Filter Regeln o 10 Web Filter Regeln o Web Rating o Logging o Das Anlegen von bis zu 10 Benutzern bei einer Remote Access VPN Konfiguration Vor-Ort-Installation im R-KOM Kundennetz (ab R-SEC Business) Überwachung der Erreichbarkeit an 24 Stunden am Tag und 365 Tagen im Jahr Softwareupdates am Firewallsystem Austausch der Firewall bei einem Hardwaredefekt Eine Änderung eines Basisleistungsmerkmals pro Monat R-HELP Kategorie blau Zusätzliche Regeln und Leistungsmerkmale werden nach der jeweils aktuellen Preisliste R-SEC abgerechnet. Bereitstellung: Das zur Realisierung von R-SEC notwendige Firewallsystem wird entsprechend der Konfigurationsangaben des Kunden konfiguriert. An R-KOM Internetanschlüssen wird R-SEC ab der Variante Business beim Kunden installiert und in Betrieb genommen, ansonsten zugeschickt oder zur Abholung bereitgestellt. Gegen gesonderte Berechnung ist für alle R-SEC Varianten eine Installation vor Ort möglich. Schnittstelle und Übergabepunkt im Verantwortungsbereich des Kunden sind die Ethernet Ports, an denen Equipment betrieben wird, das nicht von der R-KOM verwaltet wird. Kundenanschluss: Der Anschluss des Kundennetzwerkes an das Firewallsystem erfolgt über die durch die Konfiguration vorgegebenen Ethernet Ports. 5 Zusatzleistungen gegen gesondertes Entgelt R-KOM erbringt nach Beauftragung im Rahmen der technischen und betrieblichen Möglichkeiten gegen gesondertes Entgelt folgende Zusatzleistungen: Firewall-Dienste: Die unter Punkt 3 Spezifikation von R-SEC aufgelisteten Leistungsmerkmale können gegen gesondertes Entgelt beauftragt werden, sofern das entsprechende Merkmal von der gewählten Variante unterstützt wird. Verlegung: Die räumliche Verlegung der R-SEC Firewallsysteme liegt im Verantwortungsbereich des Kunden. Die mit einer Verlegung ggf. erforderlichen Konfigurationsänderungen an dem Firewallsystem sind vom Kunden, nach der jeweils aktuellen Preisliste R-SERVICE, zu vergüten. Höherwertiger Entstörungsservice: Für R-SEC bietet R-KOM auch den Entstörungsservice unter den R-HELP-Kategorien grün und rot an (siehe R-HELP Leistungsbeschreibungen). 6 Beauftragung, Bereitstellung und Kündigung von R-SEC R-KOM erstellt durch die Ausfertigung des Angebots-/Vertragsblattes R-SEC ein Angebot auf der Basis der Kundenanfrage und übersendet dieses dem Kunden in doppelter Ausfertigung zur Unterschrift. Beiliegend erhält der Kunde pro Firewallsystem ein Spezifikationsblatt, in dem die Leistungsmerkmale des R-SEC Dienstes festgehalten sind. Der Kunde beauftragt R-KOM mit der Bereitstellung des R-SEC-Dienstes durch seine Unterschrift auf dem Angebots- /Vertragsblatt R-SEC sowie auf dem Spezifikationsblatt und sendet beides an R-KOM zurück. Das Spezifikationsblatt nennt die vom Kunden gewünschte Konfiguration des Firewallsystems. Zusätzlich benennt der Kunde auf dem Spezifikationsblatt eine Liste mit Personen, die autorisiert sind Änderungen am R-SEC Dienst zu beauftragen. R-KOM prüft die Realisierbarkeit des R-SEC Produkts und ergänzt ggf. das Angebots-/Vertragsblatt R-SEC um den verbindlichen Bereitstellungstermin und bestätigt die Bestellung mit der Gegenzeichnung (das Vertragsverhältnis kommt zustande). Anschließend erhält der Kunde eine Ausfertigung des Angebots-/Vertragsblattes R-SEC für seine Unterlagen. Sollte die Realisierbarkeit nicht möglich sein wird der Kunde hierüber schriftlich informiert und ggf. ein alternatives Produkt angeboten. lbs030-2 Seite: 4 von 6

5 7 Abkürzungsverzeichnis CA Certification Authority, Zertifizierungsstelle: Vergabestelle für Zertifikate. CRL Certificate Revocation List: Eine Liste von für ungültig erklärten Zertifikaten. DiffServ Differentiated Services: Ein Modell zur Realisierung von Trafficpriorisierung. DHCP Dynamic Host Configuration Protocol: Protokoll zur automatischen Vergabe von IP-Adressen. DNS Domain Name Service: Dienst zur Zuordnung von Domainnamen zu IP-Adressen. DNSBL Domain Name Service Black List: Eine mit DNS Technik realisierte Liste von Servern, die unerwünschte SPAM- Nachrichten verbreiten. DMZ Demilitarized Zone: Bezeichnung für ein von der Firewall geschütztes Kundennetzwerk, auf das vom Internet aus kontrolliert zugegriffen werden darf. FTP File Transfer Protocol: Protokoll zur Dateiübertragung. HTTP Hypertext Transfer Protocol: Protokoll zur Übertragung von Webinhalten. IDP Intrusion Detection and Prevention: Mechanismus zur Angriffserkennung und unterdrückung. IKE Internet Key Exchange: Protokoll zum Schlüsselaustausch beim Aufbau von VPN Verbindungen. IMAP Internet Message Access Protocol: Protokoll zum Abholen von Nachrichten. IPSec IP Secure: Ein Standard zur Verschlüsselung und Authentifizierung von Daten in IP Netzen. NAT Network Address Translation: Bezeichnet allgemein das Umschreiben von IP-Adressen. ORDBL Open Relay Database Black List: Liste von Mail-Servern, die auf einfache Art und Weise zum Verschicken von SPAM Nachrichten missbraucht werden können. OSPF Open Shortest Path First: Dynamisches Routingprotokoll. PAT Port Address Translation: Bezeichnet das Umsetzen von Port und IP-Adresse auf eine andere IP-Adresse. POP3 Post Office Protocol Version 3: Protokoll zum Abholen von Nachrichten. PPPoE Point to Point Protocol over Ethernet: Protokoll zum Verbindungsaufbau bei ADSL Anschlüssen. PKI Public Key Infrastructure: Infrastruktur bestehend aus der Zertifizierungsstelle und den ausgegebenen Zertifikaten. PSK Pre-Shared Key: Geheimer Schlüssel. RIP Routing Information Protocol: Dynamisches Routingprotokoll. RTBL Real Time Blacklist: Liste mit Mail-Servern, die unerlaubte SPAM-Nachrichten verschicken. RTF Rich Text Format: Dateiformat für formatierten Text. RTP Real-Time Transport Protocol: Protokoll zur Übertragung von Echtzeitdaten. SIP Session Initiation Protocol: Protokoll zum Aufbau von VoIP Verbindungen. SMTP Simple Mail Transfer Protocol: Protokoll zum Versenden von Nachrichten. SPAM Eine unerwünschte Werbenachricht. Stateful Packet Inspection Mechanismus in Firewalls, der Antworttraffic einer vorausgegangenen Anfrage zuordnen kann. TCP Transmission Control Protocol: lbs030-2 Seite: 5 von 6

6 UDP URL VLAN VoIP VPN Zertifikat Protokoll zur Übertragung von IP Daten. User Datagram Protocol: Protokoll zur Übertragung von IP Daten. Uniform Ressource Locator: Format zur Spezifikation von zb Webadressen, wie Virtual Local Area Network: Ein virtuelles lokales Netzwerk innerhalb eines physikalischen Netzwerks. Voice over IP: Telefonieren über IP-Datennetze. Virtual Private Network: Verschlüsselte Zusammenschaltung von IP Netzen. Die durch eine Zertifizierungsstelle beglaubigte Identität. lbs030-2 Seite: 6 von 6