USP NETWORK AUTHENTICATION SYSTEM
VON INNEN GESTÄRKT. Beim Firmennetz wird zuallererst die Schnittstelle zum öffentlichen Netz gesichert. Die internen Anschlüsse werden jedoch oft vernachlässigt oder als sicher betrachtet, weil sie in den eigenen Räumen liegen. Damit steht für schädliche Software und unbefugte Benutzer die Hintertüre weit offen. Das USP Network Authentication System (NAS) schiebt hier einen Riegel vor effizient und unkompliziert. Risiken bei internen Anschlüssen entstehen zum Beispiel, wenn Gäste ihren Computer im Sitzungszimmer ans Netz schliessen. So können selbst unabsichtlich Würmer oder Viren übertragen werden. Auch ein Mitarbeiter, der extern unterwegs war, kann mit seinem Gerät Malware einschleppen. Sein Computer hatte Kontakt mit anderen Netzen, erhielt aber in der Zwischenzeit kein Sicherheitsupdate. In einzelnen Fällen ist auch Industriespionage im Spiel. Natürlich ist es keine Option, die Mobilität, Drahtlostechnologien oder den Austausch mit Dritten zu unterbinden. Das NAS bietet sofort und einfach Abhilfe, ohne das Netz zu belasten. Es erlaubt Ihnen eine sichere Kommunikation mit Partnern und Besuchern. Gleichzeitig machen Sie damit bereits heute einen Schritt hin zum internationalen Standard IEEE 802.1x, der in einigen Jahren flächendeckend eingeführt werden kann.
DIE LÖSUNG IST EINFACH UND RASCH ZUR HAND. Schnelle Integration Komplette Überprüfung Das USP Network Authentication System unterstützt herstellerunabhängig alle Endgerätetypen und Netzwerkinfrastrukturen. Das System lässt sich schnell und kostengünstig in kleine wie auch weltweite Netzwerke integrieren: auf einem eigenen Server oder als Appliance in Ihrer Systemlandschaft. So wird der Schutz des Netzwerks mit einem Schlag substanziell verbessert. Das NAS überprüft alle Endgeräte, die sich im Einsatz befinden. Geräte ohne Virenschutz und fixen Sicherheitsstandard haben je nach Ihren Bedürfnissen nur beschränkt oder gar keinen Zugriff auf Ihre IT-Ressourcen. Die Kriterien dazu legen Sie fest. Auch die Tatsache, dass jeder angeschlossene Teilnehmer registriert wird, verbessert die Sicherheit und schreckt kriminelle Energie ab. Übersicht über das Inventar Die Lösung kann an eine zentral geführte Inventardatenbank angeschlossen werden. Diese enthält Informationen über alle Endgeräte, die aktuell im Netz sind oder seit Inbetriebnahme des NAS angeschlossen waren. Die hohe Datenqualität verschafft Ihnen jederzeit einen kompletten Überblick über Ihr Firmennetzwerk, den Sie je nach Fragestellung unterschiedlich auswerten können. Dies ist auch sehr hilfreich für den Support, die Durchsetzung einer zentralen Einkaufspolitik sowie die Corporate Governance im Bereich Sicherheit.
FÜR DIE SICHERHEIT GIBT ES KLARE, VERBINDLICHE REGELN. Authentisierung aller Endgeräte Das USP Network Authentication System überprüft ausnahmslos alle Geräte, die sich mit dem Unternehmensnetz verbinden wollen, und vergleicht sie mit Ihrer Sicherheitspolicy. Dies geschieht aufgrund von Zertifikaten oder der Hardwareadresse. Ein Netzwerkscan findet alle Endgeräte, die permanent in Betrieb sind und sich lange oder gar nicht authentisieren müssen. So werden unbekannte oder risikoreiche Geräte identifiziert und in einen Quarantänebereich überführt, von wo aus sie bearbeitet werden können. Frei konfigurierbares Regelwerk Das NAS verfügt über ein Regelwerk, das Sie einfach und frei definieren können. Sie weisen damit allen Ports der Endgeräte oder Endgerätegruppen einen definierten Status zu: alarmieren, blockieren, isolieren oder auch konstant offen. Geräte, die mit Ihren Regeln nicht konform sind, werden dann z. B. automatisch blockiert, in ein Gastnetz oder in eine Quarantänezone überführt. Der Zugangsentscheid kann auch manuell gefällt werden. Das Regelwerk erlaubt eine feingliedrige Konfiguration, die Ihnen den gewünschten Schutz bietet und trotzdem alle Freiheiten für den Geschäftsalltag offenlässt.
Clients auf Aktualität geprüft Das USP Network Authentication System unterstützt das Statement of Health Protocol IF-TNCCS-SOH, welches die Aktualität des Virenschutzes und den Stand des Betriebssys temes prüft. So erkennen Sie etwa, ob das Endgerät automatisch mit Betriebssystem-Updates versorgt wird. Je nach Auswertung wird das Endgerät in Abstimmung mit der Sicherheitspolicy ganz, nur bedingt oder gar nicht zugelassen. Managed Service Das NAS können Sie als Paket mit attraktivem Lizenzpreis oder als abonnierbaren Service mit Fernwartung beziehen. Mit diesem erhalten Sie zu fix kalkulierbaren, tiefen Kosten hohe Sicherheit. Ihr IT-Personal wird entlastet, weil alle operativen Aufgaben von Spezialisten übernommen werden. Zudem bietet Ihnen der Managed Service ein periodisches Reporting und die neusten Produktefeatures. Ein Service Level Agreement regelt den professionellen Support, der Ihnen rund um die Uhr zur Verfügung steht.
UNITED SECURITY PROVIDERS PROTECTING WHAT MATTERS. Führende Spezialisten für Informationssicherheit haben sich vereint, um Lücken in der Netzwerk- und der Applikationssicherheit zu schliessen: United Security Providers. Mit über 80 hoch qualifizierten Fachkräften packen wir als Schweizer Branchenleader diese Aufgabe immer häufiger auch international an. Im Zentrum steht die optimale Sicherheit Ihrer Geschäftsprozesse, sowohl punkto Vertraulichkeit wie auch punkto Verfügbarkeit. Lösungen von United Security Providers schützen Ihre bestehende IT-Infrastruktur wirksam und bieten Ihnen gleichzeitig Möglichkeiten, die Komplexität zu vereinfachen. So geniessen Sie wertvolle Bewegungsfreiheit, um Ihre Prozesse bei Bedarf auf sich verändernde Kundenbedürfnisse und Marktanforderungen auszurichten und Ihre Wettbewerbsposition zu stärken. Seit 1994 vertraut eine wachsende Anzahl Kunden auf United Security Providers: renommierte Schweizer Finanzdienstleister, Verwaltungen, multinationale Unternehmen sowie Transportund Logistikunternehmen, die Spitzenprodukte und Spitzenleistungen verlangen. Wir bieten dies 7 24 Stunden in der Woche und betreiben missionskritische Netzwerk- und Sicherheitsin frastrukturen an über 200 weltweit verteilten Standorten. Unsere sorgfältig ausgewählten Geschäftspartner unterstützen Sie bei der Auswahl und der Integration der für Sie passenden Lösung. So ist United Security Providers auch international in Ihrer Nähe.
USP NETWORK AUTHENTICATION SYSTEM DIE FUNKTIONSWEISE. 1 Mitarbeitender Angreifer Firmennetz Diverse Geräte wollen sich an das interne Netzwerk anschliessen. Gast Endgerät, z.b. Firmendrucker 2 Firmennetz USP Network Authentication System TM POLICY REGELN: Erlaubt? Alarm? Blockieren? Isolieren? Helpdesk Der Access Switch benachrichtigt das NAS, dass ein neues Gerät ans Netzwerk angeschlossen wurde. Das NAS überprüft anhand der definierten Policy und der Inventardatenbank, ob es ein be- rechtigtes Gerät ist und welche Regel angewendet werden muss. Über den Helpdesk ist es möglich, Gästegeräte temporär für einen Netzwerkzugriff freizu schalten. 3 Firmennetz USP Network Authentication System TM Zugriff verweigert QUARANTÄNEZONE (überprüfen) MITARBEITERZONE (Vollzugriff) GASTZONE (Teilzugriff) Das NAS sendet die Information (Zugriff erlaubt/verweigert sowie Zuweisung in die entsprechende Zone) an den Switch. Dieser setzt den Befehl um.
USP NETWORK AUTHENTICATION SYSTEM TECHNISCHE INFORMATIONEN. Kommunikation mit der Netzwerk-Infrastruktur SNMP v1, v2c oder v3 (standardmässig: SNMP v2c) SNMP Traps SNMP MIB-II (IP-MIB, IF-MIB, Bridge-MIB) SNMP Q-Bridge-MIB oder vendorspezifische MIBs für VLAN Informationen IEEE 802.1x IEEE 802.1Q VLAN Dynamic VLAN Assignment DNS Zone Transfer (RFC 1995) IEEE 802.1x Support IEEE 802.1x RADIUS (RFC 3580) EAP (RFC 3748, RFC 2716) RADIUS Proxy Support Ein zentrales System kann problemlos mehrere tausend Switches/Routers und mehrere zehntausend Endgeräte überwachen, die maximale Grösse hängt nur von der eingesetzen Hardware und den durchschnittlichen Latenzzeiten im Netzwerk ab Logging und Alerting Alle wichtigen Ereignisse werden im Log festgehalten (Logfiles sowie Logtabelle in Datenbank) Weiterleitung von Logmeldungen und Alerts mittels Syslog oder SNMP Trap Event-Scripting mit beliebig definierbaren Aktionen (z.b. Versenden von E-Mails/SMS oder Eröffnen eines Trouble-Tickets in einem Ticketingsystem) Schnittstellen für den Datenaustausch User-Interface HTTPS, SSLv3/TLS (RFC 4346) Web-GUI mit rollenbasiertem Berechtigungsmodell Vordefinierte Rollen: Helpdesk, Support, Admin, Reporting Import Schnittstelle mit Support für mehrere unabhängige Quellsysteme JDBC, ODBC, SQL, XML Import von Flatfiles (CSV files) via SFTP Management-Interface Management Web-GUI (HTTPS) SSHv2 Zentrale Konfigurationsverwaltung in Web-GUI integriert Reporting In das Web-GUI integrierte Reporting-Engine Outputformat HTML, PDF oder Textfiles Möglichkeit zur Anbindung von Reporting-Tools wie z.b. Business Objects, Crystal Reports etc. Performance und Verfügbarkeit Plattformen und Betriebssysteme Gespiegelte Datenhaltung in geografisch entfernten Standorten Multi-Threaded-Architektur, gute Skalierbarkeit bei Einsatz von Multi-Core CPUs Java -Plattform, Standard Edition, Version 5 (oder höher) Servlet 2.4/JSP 2.0 Web Container (z.b. Tomcat 5.x) Linux, UNIX oder Windows Server
United Security Providers Bahnhofstrasse 4 Postfach CH-3073 Gümligen United Security Providers Förrlibuckstrasse 220 Postfach CH-8031 Zürich Fon +41 31 959 02 02 Fax +41 31 959 02 59 www.united-security-providers.ch Fon +41 44 496 61 11 Fax +41 44 496 61 99 www.united-security-providers.ch