QTrust Server. Multilevel UTM-Appliance. We know the difference. STRATEGIE



Ähnliche Dokumente
Qtrust Server. mulitlevel utm-appliance. we know the difference. STRATEGIE

QTRUST SERVER Multilevel Security-Appliance

Internet LUFA. Topologiebeschreibung LUFA Speyer Gesamtübersicht. Co Location in einem RZ. LUFA Speyer Topologiebeschreibung Projekt Nr.

Root-Server für anspruchsvolle Lösungen

How-to: Mailrelay und Spam Filter. Securepoint Security System Version 2007nx

OLXTeamOutlook 1.5 für Outlook 2003, 2002/XP, 2000 und 97/98

ANYWHERE Zugriff von externen Arbeitsplätzen

Rechtssichere -Archivierung

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Software zur Anbindung Ihrer Maschinen über Wireless- (GPRS/EDGE) und Breitbandanbindungen (DSL, LAN)

SZENARIO BEISPIEL. Implementation von Swiss SafeLab M.ID mit Citrix. Redundanz und Skalierbarkeit

IAC-BOX Netzwerkintegration. IAC-BOX Netzwerkintegration IACBOX.COM. Version Deutsch

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

Virtual Desktop Infrasstructure - VDI

Konfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version Deutsch

Nutzung von GiS BasePac 8 im Netzwerk

iphone 4 - Einrichtung des VPN Clients (Cisco VPN Client) / Verbinden des iphones mit einem Exchange

12. Firewall Inhaltsverzeichnis Skalierbarkeit. Stand: Dez Firewall...1. paedml 3.0. Firewall. Kapitel

Kurzanleitung So geht s

Daten Monitoring und VPN Fernwartung

Transparente Hausverwaltung Marketingschmäh oder doch: eine neue Dimension der Dienstleistung?

Guide DynDNS und Portforwarding

Treuhand Cloud. Die Arbeitsumgebung in der Cloud

Einfaches und rechtssicheres Kunden-WLAN

HISPRO ein Service-Angebot von HIS

Proxyeinstellungen für Agenda-Anwendungen

Konfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung

Proxy. Krishna Tateneni Übersetzer: Stefan Winter

Memeo Instant Backup Kurzleitfaden. Schritt 1: Richten Sie Ihr kostenloses Memeo-Konto ein

Virtual Private Network

Benutzerhinweise IGW/920-SK/92: Einsatz als VPN-Client

Einsatzbearbeitung im Sanitätsdienst

Aufbau und Funktion eines VPN- Netzwerkes

Kurzanleitung BKB-E-Banking-Stick

ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

Firmware-Update, CAPI Update

Öffnen Sie den Internet-Browser Ihrer Wahl. Unabhängig von der eingestellten Startseite erscheint die folgende Seite in Ihrem Browserfenster:

Lexware professional und premium setzen bis einschließlich Version 2012 den Sybase SQL-Datenbankserver

HISPRO Ein Service-Angebot von HIS

Technische Grundlagen von Internetzugängen

Einrichtungsanleitung Router MX200

Albert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen

4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen

Powermanager Server- Client- Installation

SharePoint Demonstration

WINDOWS 8 WINDOWS SERVER 2012

Collax PPTP-VPN. Howto

FTP-Leitfaden RZ. Benutzerleitfaden

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

Anleitung zur Nutzung des SharePort Utility

Umstieg auf Microsoft Exchange in der Fakultät 02

Lizenz-Server überwachen

Bojendaten Übertragung mit UMTS

Benachrichtigungsmöglichkeiten in SMC 2.6

How-to: VPN mit PPTP und dem Windows VPN-Client. Securepoint Security System Version 2007nx

FTP-Leitfaden Inhouse. Benutzerleitfaden

IP Integration Sysmess Multi und Compact Firmware 3.6,X, July 2014

EasyWk DAS Schwimmwettkampfprogramm

Lizenzen auschecken. Was ist zu tun?

Firewalls für Lexware Info Service konfigurieren

Installation und Sicherung von AdmiCash mit airbackup

Formular»Fragenkatalog BIM-Server«

Herzlich Willkommen bei der nfon GmbH

Netzwerk-Migration. Netzwerk-Migration IACBOX.COM. Version Deutsch

Avira Antivirus Pro + PRIVATE WiFi Encrypted VPN

Stammdaten Auftragserfassung Produktionsbearbeitung Bestellwesen Cloud Computing

Aufgabe 12.1b: Mobilfunknetzwerke

Anleitung. Update/Aktualisierung EBV Einzelplatz Homepage. und Mängelkatalog

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina)

LAN Schutzkonzepte - Firewalls

LabView7Express Gerätesteuerung über LAN in einer Client-Serverkonfiguration. 1. Steuerung eines VI über LAN

Speicher in der Cloud

SANDBOXIE konfigurieren

2. Kommunikation und Synchronisation von Prozessen 2.2 Kommunikation zwischen Prozessen

Fragen und Antworten

How-to: VPN mit L2TP und dem Windows VPN-Client. Securepoint Security System Version 2007nx

Wenn keine Verbindung zwischen den Computern besteht, dann bist du offline.

Schuldner- und Insolvenzberatung

Informationen zum Sicheren Netz der KVen (SNK) und KV-SafeNet/ KV-FlexNet. Juli 2015 Düsseldorf IT-Beratung der KV Nordrhein

Quick Guide Mitglieder

How-to: VPN mit IPSec und Gateway to Gateway. Securepoint Security System Version 2007nx

Abgesetzte Nebenstelle TECHNIK-TIPPS VON per VPN

SafeRun-Modus: Die Sichere Umgebung für die Ausführung von Programmen

Secure Mail Lösungen. Für jedes Unternehmen die passende Lösung.

Erste Schritte mit Deinem Protonet Server

Analyse zum Thema: Laufzeit von Support-Leistungen für ausgewählte Server OS

Verwendung des Terminalservers der MUG

Anleitung WOBCOM Anti-Spam System

Virtual Private Network. David Greber und Michael Wäger

Firewalls für Lexware Info Service konfigurieren

LOG-FT BAG Filetransfer zum Austausch mit dem Bundesamt für Güterverkehr (BAG) Kurzanleitung

Collax -Archivierung

Wir bringen Ihre USB Geräte ins Netz Ohne Wenn und Aber!

Endpoint Web Control Übersichtsanleitung. Sophos Web Appliance Sophos Enterprise Console Sophos Endpoint Security and Control

Kommunikationsübersicht XIMA FORMCYCLE Inhaltsverzeichnis

Er musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt

Transkript:

QTrust Server Multilevel UTM-Appliance STRATEGIE We know the difference. Reduzierung von Komplexität erhöht die Sicherheit. Sicherheit versus Funktion Ein Balance-Akt. Sicherheit ist kein kaufbares Feature sondern eine Reihe von aufeinander abgestimmten Prozessen und Lösungen.

2 3 Der QTrust Server verfolgt eine simple Sicherheitsstrategie: Angriffsmöglichkeiten verhindern BZW. reduzieren UND bei erfolgreichen Angriffen die negativen Auswirkungen minimieren Der QTrust Server übernimmt als Stellvertreter der Zielapplikation die Kommunikation und schützt nach dem Sandboxprinzip die dahinterliegenden Systeme. Das Sandboxprinzip ist vergleichbar mit einem Sandsack, der eine Gewehrkugel aufhält. Der wird durch Absorption unschädlich gemacht. In Zusammenhang mit dem QTrust Server bedeutet dies, dass ein, dem es gelingt, eine Applikation auf dem QTrust Server zu übernehmen, keinen unmittelbaren Zugriff auf die eigentlichen Server und die dort gespeicherten Daten erhält. Der QTrust Server übernimmt somit die Aufgaben einer kompletten DMZ (De-Militarisierte-Zone) komprimiert in einem einzigen System. Ermöglicht wird ein gleiches, wenn nicht sogar höheres Niveau an Sicherheit durch die Nutzung einer Technologie, die ein physikalisches System in eine Reihe von getrennten Applikations-Einheiten separiert. Inzwischen muss man bei der Komplexität der Anwendungen zwingend davon ausgehen, dass die eingesetzte Software nicht fehlerfrei, d.h. angreifbar ist. Auch gewünschte und notwendige Kommunikation kann für erfolgreiche Angriffe missbraucht werden. Als Beispiel : Ein eingebauter Filter erkennt SPAM schon bevor unerwünschte Email auf dem eigentlichen Server ankommt, so werden Server und Anwender entlastet. Ein Virenscanner erkennt Viren bereits an der Schnittstelle zum, bevor diese in das interne Netzwerk gelangen. Dies schützt das ganze Netzwerk, nicht nur einzelne Rechner. Dabei ist eines der Grundgesetze der Sicherheit nicht zu vernachlässigen: Je einfacher, desto sicherer. Ziel der Entwicklung war es, ein Produkt zu schaffen, welches den höchsten Sicherheitsanforderungen entspricht, jedoch einfach einzusetzen und zu verwalten ist. Im Unterschied zu gewöhnlichen Systemen verhindert der QTrust Server einen direkten Datenaustausch von außen nach innen bei allen Konfigurationen ohne Ausnahme. Sämtliche internen Datendienste, die zur Kommunikation mit der Außenwelt vorhanden sind, werden durch den QTrust Server entkoppelt und geprüft. Eine Kommunikation erfolgt nur zwischen QTrust Server und der Außenwelt. Die eigentlichen Datendienste und -quellen, wie z.b. der Server, liegen geschützt hinter dem QTrust Server versteckt. DAS QTrust PRINZIP Diese vollständig integrierte Lösung in Form einer Multilevel Security Appliance vereint die wichtigsten Netzwerk-Sicherheitsfunktionen in einem einzigen, leicht zu verwaltenden und hochsicheren System. Dabei wird in mehreren Schichten des ISO/OSI Modells gearbeitet, wobei auf jeder Ebene weitere Sicherheitseigenschaften hinzugewonnen werden. Beispiel: Standard System Standard System Standard System nach Angriff Die Folge: Totalverlust Standard System Standard System nach Angriff Die Folge: Totalverlust Standard System Standard System nach Angriff Die Folge: Totalverlust der QTrust Server Der QTrust Server integriert eine Vielzahl von Sicherheitsmechanismen in einem System und bietet gleichzeitig verschiedene Mechanismen für mobile oder standortübergeifende Anbindung. Über die klassische -Funktionalität (IP-Filter, VPN-Gateway) hinaus werden Daten auch auf Applikationsebene kontrolliert. Hierzu wird der Datenfluss zwischen allen internen und externen Netzwerken unterbrochen, auf Berechtigung geprüft, gepuffert und auf Angriffe untersucht. Ein Application-Filter prüft ein- und ausgehende Datenpakete. Einbruchsversuche werden erkannt, geloggt und weitergemeldet. Der QTrust Server wird intern durch die sichere Applikationsumgebung PitBull von der Argus Systems Group abgesichert. Basierend auf der Trusted Operating System (TOS) Technologie führt PitBull Prozesse der und Gateway Beispiel: QTrust System QTrust System QTrust System nach Angriff Isolierung des Schadens ermöglicht QTrust System QTrust System nach Angriff Isolierung des Schadens ermöglicht QTrust System QTrust System nach Angriff Isolierung des Schadens ermöglicht Klassische DMZ Konfiguration DMZ Clients... Legende: Zugriff erfolgreich Unmittelbarer Zugriff möglich Absicherung durch QTrust Server QTrust Server Intern:

Klassische DMZ Konfiguration 4 DMZ 5 Anwendungen in einzelnen, voneinander getrennten Bereichen aus, die untereinander nur sehr eingeschränkt kommunizieren können. Innerhalb der Bereiche kann nur auf vordefinierte Ressourcen zugegriffen werden. Angriffe auf den QTrust Server selbst und die darauf laufenden Dienste können so unterbunden und kontrolliert werden. Clients Dadurch kann ein Hacker maximal den angegriffenen Dienst beeinflussen, aber nicht andere Dienste übernehmen... oder Zugriff auf die angeschlossenen Netzwerke erhalten. Eine vergleichbare, hochsichere Konfiguration war bisher nur durch Verteilung der Dienste auf einzelne, unabhängige Legende: Server möglich. Teuer, komplex und aufwendig in der Administration kommen solche Lösungen meist nur bei sehr hohen und Zugriff hochsicheren erfolgreich Anforderungen zum Einsatz, wie z.b. bei Banken und Versicherungen (u.a. bei Online- Banking). Unmittelbarer Zugriff möglich QTrust Server Funktionalität Der QTrust Server unterbindet jede direkte Kommunikation zwischen externen und internen Netzwerken. Für jede erlaubte Verbindung werden die Datenpakete auf dem QTrust Server von Proxy-Diensten angenommen, untersucht, gepuffert und weitergeleitet. Dienste in internen Netzwerken oder in DMZs (Demilitarised Zones) werden so über den QTrust Server nach außen gespiegelt oder abgebildet. : Die internen primären Server werden auf dem QTrust Server gespiegelt und nach außen publiziert. Für das agiert der QTrust Server als virtueller Primary Server (VP). Absicherung durch QTrust Server QTrust Server Intern: SMTP (mit SPAM-Filter und Virenscanner): Die MX-Einträge der Domänen, für die Email empfangen wird, zeigen auf den QTrust Server, der die eingehenden Emails verifiziert, auf SPAM und Viren untersucht und dann an die internen server weiterleitet. Ausgehende Emails werden genauso behandelt. Die Integration von Blacklisten sorgt für eine deutliche Reduzierung von Spam-s, welche rechtlich korrekt gar nicht erst angenommen werden. Legende: Zugriff erfolgreich Unmittelbarer Zugriff möglich SPAM Filter Viren-Scanner... Intern: Clients... Intern: HTTP/HTTPS defense Funktionalität: Der QTrust Server agiert als virtueller HTTP/HTTPS Server (Proxy), der die Daten der internen server nach außen zur Verfügung stellt. Geschützt werden können alle Formen von -Applikationen. Dabei wird jeder Zugriff auf die -Applikation geprüft. Angriffe werden anhand des IDS/IPS Systems erkannt und falls gewünscht geblockt. Mod-Security und spezielle QTrust Technologien verhindern erfolgreiche Angriffe wie SQL-Injections und Buffer Overflows. HTTP - HTTPS Umsetzung: Ein interner HTTP Server kann nach außen als HTTPS Server gespiegelt werden und so eine sichere Verbindung erlauben, ohne dass der interne Server HTTPS können muss. Diese Funktionalität macht es leichter, die Struktur der Infrastruktur einfacher zu halten und entlastet die eigentlichen Systeme. FTP: Für interne FTP Server agiert der QTrust Server ebenfalls als transparenter Proxy. Datei-Inhalte werden nach schädlichem Code durchsucht und gefiltert. Der QTrust Server vereint diese einzelnen Server auf einem integrierten System. Auf Basis der PitBull Technologie wurde die Linux Distribution QLinx entwickelt, die ebenso wie alle Sicherheits-Dienste über eine konsole einfach und ohne Linux-Kenntnisse administriert werden kann. Eine eigene Paketverwaltung in QLinx erlaubt eine einfache, automatische und sichere Verwaltung und Installation von System- und Sicherheitsupdates. Als Hardware-Plattform werden für die gesamte QTrust Produktfamilie Systeme von Hewlett Packard eingesetzt. Dies gewährleistet ein hohes Niveau an Ausfallsicherheit, Support und Service. IDS / IPS: Auf Basis des Intrusion Detection Systems Snort ermöglicht der QTrust Server das dauerhafte oder temporäre Blocken von n. Eine Honeypot Konfiguration hilft hier erheblich, frühzeitig zu erkennen und auszuschließen. Für besonders hohe Anforderungen an die Verfügbarkeit stehen QTrust Server auf Plattform der Stratus ftserver zur Verfügung. Als in der Anschaffung und Wartung günstige, einfach zu administrierende und skalierbare Appliance bietet der QTrust Server ein hohes Maß an Sicherheit für Unternehmen aller Größen.

6 7 SCHUTZ DER INTERNEN NETZE Für die Kommunikation aus den internen Netzen heraus werden folgende Protokolle transparent, d.h. ohne Änderung an den internen Clients, unterstützt. Der QTrust Server nimmt erlaubte Datenverbindungen an, untersucht die Daten auf Viren und leitet sie dann weiter. HTTP / -Proy Das Surfen im birgt viele und immer neue Gefahren: Trojaner, Viren, Keyboard-Logger und vieles mehr. Der QTrust Server als transparenter Proxy mit integrierter TrendMicro Viruswall verhindert diese Angriffe, ohne dass irgendeine Einstellung auf den Clients verändert werden muss. Gleichzeitig wird der Wartungsaufwand auf den Clients verringert. QTrust Server einfache Administration und sinnvolle Prozesse Die Konfigurations-Parameter des QTrust Server und aller Dienste werden in einer internen Datenbank gespeichert. Über ein komfortables -Interface mit verschiedenen Berechtigungsstufen wird das System administriert. Bei der Erstinstallation hilft ein Einrichtungsassistent. Über das -Interface können Log-Dateien angesehen und zur Auswertung heruntergeladen werden. Verschiedene Statistiken geben Auskunft über den aktuellen Systemstatus. Zur automatischen Weiterverarbeitung von Protokoll-Dateien kann ein Netzlaufwerk angegeben werden auf das die täglichen Dateien gesichert werden. Wichtige Sicherheitsupdates werden vom QTrust Server automatisch installiert ohne dass Administrationsaufwand notwendig ist. Die Konfiguration lässt sich jederzeit bequem auf einen USB Stick sichern und von diesem auch wiederherstellen so kann problemlos auf andere Hardware gewechselt werden. Aufgrund der Schutzmaßnahmen, welche die PitBull Technologie ermöglicht, kann zudem sicher gestellt werden, dass keine kritischen Konfigurationsdaten von nicht-authorisierten Personen verändert werden, so dass nach einem Ausfall des Systems das System mit minimalem Aufwand wieder in Betrieb genommen werden kann. FTP: Besonders öffentliche FTP Server können schnell infizierte Dateien zur Verfügung stellen. Auch hier scannt der QTrust Server alle übertragenen Dateien, ohne dass der Anwender dies umgehen kann. Darüber hinaus übernimmt der QTrust Server noch weitere Funktionen, welche die Geschäftsprozesse eines Unternehmens effizienter gestalten: Schutz vor SPAM und Viren: Alle ein- und ausgehenden Emails werden ohne Ausnahme auf SPAM und Viren untersucht. Der SPAM Filter ist lernfähig und erkennt auch neue SPAM-Techniken automatisch. Als SPAM erkannte Emails werden entsprechend gekennzeichnet und können dann vom internen server entsprechend weiterverarbeitet werden. Für häufige Fragen kann kostenlos über das QLine Portal eine Knowledge-Base genutzt werden. Erweiterter Service Paketfilter (): Einzelne Verbindungen können IP Protokoll basiert gefiltert und/oder protokolliert werden. IPSec / VPN Gateway: Mit dem QTrust Server können stark verschlüsselte VPNs zwischen verschiedenen Firmenstandorten oder Partnerunternehmen aufgebaut werden. Gleichzeitig dient er als VPN Gateway für Mitarbeiter, die auf Dienstreise oder von Zuhause aus autorisierten Zugriff auf firmeninterne Daten und Ressourcen brauchen. Es werden die am weitesten verbreiteten Standards unterstützt: IPSec, VTUN, openvpn und PPTP. QGroup bietet für den QTrust Server einen erweiterten Supportvertrag mit der Möglichkeit an, Problemtickets über das QLine Portal online zu eröffnen (eticket). Durch den Abschluss eines umfangreichen Service Vertrags kann die gesamte Administration des QTrust Servers an QGroup ausgelagert werden. Dies reicht von der Erstkonfiguration über die regelmäßige Wartung bis hin zur Echtzeitüberprüfung der Erreichbarkeit einzelner Dienste. QTrust 2go: Zusätzlich zu den vorhandenen VPN Protokollen beinhaltet jeder QTrust die volle QTrust 2go Funktionalität. QTrust 2go verbindet dabei die Sicherheitsmerkmale des AXSionics Passports mit einer auf einem Trusted OS laufenden Authentifizierungsplattform dem QTrust Server mit dem Ziel, User aus dem sicher auf das Unternehmensnetzwerk zugreifen zu lassen. DHCP Server: Der QTrust Server kann als DHCP Server für die internen Netzwerke eingesetzt werden. Load Balancer: Werden in den internen Netzwerken aus Verfügbarkeitsgründen oder zur Lastverteilung mehrere server eingesetzt, agiert der QTrust Server als Load Balancer. Die externen Anfragen werden automatisch an die internen Server verteilt. Alle Systeme der QTrust Produktfamilie basieren auf Server-Hardware von Hewlett Packard, der ProLiant Serie. Entsprechend den Anforderungen kann zwischen vier Ausbaustufen mit entsprechenden Serviceverträgen und Garantieleistungen des Herstellers gewählt werden. Der Service und Support ist somit weltweit verfügbar, vorhandene Investitionen in HP Hardware können berücksichtigt werden.

Mehr Infos gibt es unter http://www.qtrust.de QGROUP Berner Straße 58 60437 Frankfurt am Main Telefon: +49 69 90 50 59 0 Telefax: +49 69 90 50 59 29 e-: info@qgroup.de www.qgroup.de

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback