VPN- und Firewalltechnologien sichere MPLS-basierte Netze für medizinische Anwendungen Olaf Jacobi Leiter Internet Vertrieb / Marketing IBH IT-Service GmbH Gostritzer Str. 61-63 01217 Dresden info@ibh.de www.ibh.de
Inhaltsverzeichnis 1. Das Netzwerk als Grundlage aller Prozesse 2. VPN- und Firewalltechnologien 3. Die Entwicklung der WAN-Verbindungen 4. MPLS Netzwerke im praktischen Einsatz 5. Leistungen im IBH Rechenzentrum 6. Optimierungspotential mit IBH nutzen 2
DAS NETZWERK ALS GRUNDLAGE ALLER PROZESSE 3
Unternehmensnetz(e) Sprache Video Daten Speicher Broadcast Netzwerk Telefonie- Netzwerk IP- Netzwerk Datenspeicher Netzwerk 4
Konvergentes Unternehmensnetz Sprache Video Daten Speicher Broadcast Netzwerk Telefonie- Netzwerk IP- Netzwerk Network Datenspeicher Netzwerk 5
Triebfedern der Konvergenz Einheitliches Netzwerk sichert einen einfachen Informationsfluß Reduktion der Komplexität Einsparungen bei den Betriebsausgaben Einsparungen bei den Investitionsausgaben Ausnutzung der höheren Geschwindigkeit von IP-Netzen Zugriff auf alle strategischen Unternehmensinformationen 6
VIRTUAL PRIVATE NETWORKS UND FIREWALLTECHNOLOGIEN 7
Die Gefahren sind real Bitkom/Forsa Statistik 8
Bedrohungsszenarien Wandel der Hacker-Aktivitäten und Motivationen Früher: technische Herausforderung Ansporn für die Computer-Freaks Jetzt: monetäre Beweggründe Zunehmende Professionalisierung Vermietung von Botnetzen Installation von Adware Gezielter Einsatz von Trojanern Entwicklung von Rootkits 9
Aktuelle Betrachtung Bitkom Pressegespräch 20.1.09: Die Computerkriminalität hat sich stark und schnell professionalisiert - weg vom jugendlichen Hacker hin zu komplexen, kriminellen Organisationen. Die Bedrohung für Verbraucher und Unternehmen steigt, auch die Strafverfolgungsbehörden stehen vor einer besonderen Herausforderung, denn die Technologien und Bedrohungsszenarien verändern sich permanent. Bitkom Pressekonferenz 8.10.09: BKA-Präsident Jörg Ziercke Neue Tatphänomene ersetzen zunehmend klassische Delikte. Es gibt kaum noch Kriminalitätsbereiche, in denen Betrüger auf das Internet verzichten. Wie reagiert Ihr Unternehmen darauf? 10
Herausforderungen durch neue Angriffsszenarien http://i.cmpnet.com/v2.gocsi.com/pdf/csisurvey2008.pdf 11
IT-Sicherheit im medizinischen Umfeld Wie ist die Situation? Zunehmende Beschäftigung mit dem Thema Datensicherheit dokumentierte Sicherheitsstrategie ist vorhanden Externe Sicherheitsrisiken größer als interne Größte Furcht vor Datenverlust infolge menschlichen Versagens Budgets wachsen deutlich langsamer als die Bedrohungen (Deloitte-Studie The time is now 2009 Life Sciences & Health Care Security Study ) 12
Einflußnehmende Faktoren für die geschäftliche Sicherheit Zusammenarbeit und Kommunikation TelePresence / Video / IM / Email Mobility Web 2.0 / Web Services / SOA Das neue Bedrohungsumfeld The Eroding Perimeter Spam / Malware / Profit-Driven Hacking Data Loss and Theft Sicherheit und Geschäftserfolg IT Risiko Management Einhaltung von Regularien Sicherheit als Geschäftsgrundlage 13
Einfluss der Anwendungen Von Datenbanken und Clients Früher proprietäre Systeme und Protokolle Zunehmende Standardisierung Bandbreitengarantie oder nicht? Web 2.0 Anwendungen Performancetolerant Virtualisierte Server und Desktops Citrix XenApp Allgemeines Aufsetzen auf Internettechnologie 14
Security Entwicklung der vergangenen Jahre Basis- Sicherheit Spezialisierte Geräte Integrierte Sicherheit Übergreifende Zusammenarbeit Selbstverteidigende Netze Sicherheit im Router integriert Einstellungen per Konsole Security Appliances Erweiterte Sicherheitsfunktionen im Router Separate Management- Software Sicherheit integriert auf Routern, Switchen, Appliances und Endgeräten FW + VPN + IDS Erkennung von Anomalien Integriertes Management Network Admission Control Programm Cisco Trust Agent AntiVirus- und CSA- Policies werden durch das Netzwerk überprüft Zusammenarbeit mehrerer Partner Ende-zu-Ende Schutz Applikationsorientiert (per Port) proaktiver Selbstschutz Erweiterte Services Frühe 1990er Späte 1990er 2001-2003 2004 Heute 15
Cisco Self-Defending Network Lösungen für geschäftsfähige Sicherheit Systemmanagement Regelwerk Reputation Identität Sicherheit für Anwendungen Sicherheit für Inhalte Netzwerksicherheit Endpunktsicherheit Das selbstverteidigende Netzwerk: Systematischer Ansatz für den Einsatz der jeweils besten Lösung Geschäftsregularien durchsetzen und kritische Werte schützen Administrativen Aufwand eingrenzen und TCO reduzieren Sicherheits- und Compliance-Risiko reduzieren 16
Das Portfolio auf einen Blick Netzwerk und Endpunkt-Sicherheit Sicherheit im Netzwerk Sicherheit in das Netzwerk integrieren Dienste zusammenfassen für f r bessere Handhabbarkeit Skalierbarkeit hinsichtlich Leistungsfähigkeit und Serviceumfang Besondere Produkte: Adaptive Security Appliance Integrated Services Router Aggregation Services Router Cisco Switch Security Modules Endpoint Security Komplexe NAC und Identitätsdienste Schutz der Endpunkte und Kontrollmechanismen host-basierte IPS and AV Besondere Produkte: CSA Desktop CSA Server NAC Appliance 17
Das Portfolio auf einen Blick Sicherheit für Inhalte und Anwendungen Content Security auf Reputation aufbauende Verteidigungslinie Fähigkeit zur Abwehr verschiedener Angriffsszenarien und techniken alle Angriffsmöglichkeiten glichkeiten ausschalten Besondere Produkte: IronPort Email IronPort Web Intrusion Prevention Systems Application Security Layer 7: Schutz für f r Anwendungen und Daten XML Datenüberpr berprüfung und - inspektion Erweiterte Paketüberpr berprüfung Besondere Produkte: ACE XML Gateway Web Application Firewall 18
Das Portfolio auf einen Blick System- und Sicherheitsmanagement Sicherheitsmanagement Optimale Ressourcennutzung durch Automation Sicherheitsrichtlinien und Monitoring aufeinander abstimmen Ausnutzen von Identitätsinformationen tsinformationen im Rahmen der Umgebungsbedingungen Umfassenden Überblick für f r ein detailliertes IT Risikomanagement schaffen Besondere Produkte: Cisco Security MARS Cisco Security Manager CiscoSecure ACS 19
Cisco Integrated Services Router Sicherheit für Standorte/WAN Secure Network Solutions Business Continuity Secure Voice Secure Mobility Compliance Integrated Threat Control Advanced Firewall Content Filtering Intrusion Prevention Flexible Packet Matching Network Admission Control 802.1x Network Foundation Protection Sichere Konnektivität Steuerung und Verwaltung GET VPN DMVPN Easy VPN SSL VPN Role-Based SDM NetFlow IP SLA Access
Cisco Security Router Portfolio Cisco 7600 Catalyst 6500 Cisco 7200 Cisco 7301 Leistung und Serviceumfang Maximaler Featureumfang und Ausbaufähigkeit bei höchster Leistung Cisco 3800 ISR Hohe Integration und Leistung für parallel betriebene Dienste Cisco 2800 ISR Erweiterte Integration von Sprache, Video, Daten und Sicherheit Cisco 1800 ISR Cisco 800 ISR Integration von WLAN, Security und Daten Hauptstandort Filialstandort Mini-Standort SMB Mini-Büro und Teleworker
Cisco IOS Firewall Stateful Firewall: Komplexe Paketinspektion von Layer 3 bis Layer 7 Flexible Embedded ALG (Application Layer Gateway): Dynamische Protokoll- und Anwendungswerkzeuge für nahtlose, fein gegliederte Kontrolle Application Inspection and Control: Sichtbarmachen der Steuer- und Datenkanäle, um Protokoll- und Anwendungskonformität sicherzustellen Virtuelle Firewall: Trennung zwischen virtuellen Umgebungen und überlappenden IP-Bereichen Intuitives GUI Management: Unkompliziertes Einrichten der Sicherheitsrichtlinien sowie Anpassungen mit SDM und CSM Belastbarkeit: Hochverfügbarkeit für Nutzer und Anwendungen zusammen mit stateful Failover WAN Schnittstellen: Nahezu alle gängigen WAN/LAN Interfaces Eine Auswahl der beherrschten Protokolle HTTP, HTTPS, JAVA Email: POP, SMTP, IMAP, Lotus P2P und IM (AIM, MSN, Yahoo!) FTP, TFTP, Telnet Sprache: H.323, SIP, SCCP Datenbank: Oracle, SQL, MYSQL Citrix: ICA, CitrixImaClient Multimedia: Apple, RealAudio IPsec VPN: GDOI, ISAKMP Microsoft: MSSQL, NetBIOS Tunneling: L2TP, PPTP http://www.cisco.com/go/iosfw Presentation_ID 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 22
Intrusion Prevention Systems (IPS) Prüft Datenverkehr auf Paketebene Intelligente Lösung reduziert false positives Koordiniert Abwehrmaßnahmen mit vorhandener Netzwerkausstattung Anwendungsmissbrauch: Inspiziert und kontrolliert IM, P2P, Backdoor Partnerschaft mit Trend Micro: für aktuellste Signaturen P2P/IM Missbrauch DoS/ DDoS Trojaner/ Backdoors Viren/Würmer rmer Anti-Spam Port 80 Missbrauch Spyware/ Adware Bots/ Zombies
Cisco IOS Intrusion Prevention (IPS) Übergreifende Verteidigungslinie gegen Würmer und Viren Cisco IOS IPS stoppt Angriffe am Eingangstor, hilft WAN Bandbreite einsparen, und schützt Router und entfernte Netze vor DoS Attacken Appliance-Modell ermöglicht kostengünstigen Einsatz auch in kleinen und mittleren Unternehmen sowie in Filialstandorten Unterstützt voll selektierbare Untergruppe von 2000+ Signaturen bei Zugriff auf die gleiche Signaturdatenbank wie Cisco IPS Sensoren Erlaubt manuell erstellte Signaturen, um schnell auf neue Bedrohungen reagieren zu können Filialstandort Stoppt Angriffe, ehe sie das WAN überlasten Internet Firmenzentrale Kleines Büro Home Office Anwendung von IPS, um Würmer aus Home-Office PCs wegzusperren Cisco.com/go/iosips
Überblick: Sichere Verbindungen mit Cisco IOS VPN-Lösungen vom Marktführer
Cisco ASA 5500 Series Zusammenspiel robuster, markterprobter Technologien Markterprobte, bewährte Technologien Adaptive Verteidigung, Sichere Verbindungen Firewall Technologie Cisco PIX IPS Technologie Cisco IPS Content Security Trend Micro App Inspection, Use Enforcement, Web Control Application Security + IPS Malware/Content Schutz, Anomaly Detection Content Security Services VPN Technologie Cisco VPN 3000 Unified Communications Cisco Sprache/Video Netzwerkintelligenz Cisco Network Services ASA 5500 Series Verkehrs- /Zugangskontrolle, proaktives Verhalten Access Control, etc. Sichere Verbindungen SSL & IPsec VPN
Cisco ASA 5500 Series Lösungen vom Desktop bis zum Data Center Cisco ASA 5500 Modelle integriert Firewall, SSL/IPsec, IPS, und Content Security erweiterbare Multi-Prozessor Architektur ermöglicht hohe Servicedichte, Leistungsfähigkeit und maximalen Investitionsschutz flexibles Management für f r niedrige TCO einfach benutzbare, webbasierte Oberfläche diverse Zertifizierungen und Auszeichnungen und die vielen Details ASA 5520 ASA 5550 ASA 5540 Ne ASA 5580-20 ASA 5580-40 ASA 5510 ASA 5505 Filiale/ Büro Home- Office Internet- Übergang Campus Data Center
Malware stoppen: Sichtbarkeit und Kontrolle Firewall und VPN Intrusion Prevention Content Security Endpunkt- Security Verkehrs-/ Zugriffskontrolle Verschlüsselung sselung Entdeckung Präzise Eindämmung Email Antipam Webfilter Host IPS AntiViruslösungen Zentralisiertes Management von Sicherheitsvorgaben und Monitoring
Self-Defending Networks: Lösungen zur Minimierung der Gefahr Gesetzeskonformität ASA, CSA, IPS, App FW, CSM, MARS CSA, IronPort, NAC, Trustsec Datenverlust Ein A systematischer Systems Approach Ansatz, to Streamline um IT-Risiken Risk zu begrenzen Management und um for Sicherheit Security und and Einhaltung Compliance von gesetzlichen Vorgaben beherrschbar zu machen Malware IPS, CSA, MARS, App FW, Ironport NAC, ACS, TrustSec, Securent Identität und Zugang
Security basiert auf Know-How IBH bietet mit einem umfangreich zertifizierten Team von Technikern zeitgemäße Lösungen Cisco Premier Partnerschaft Cisco Security zertifiziert Kombination aus Best Practices, Lösungsszenarien und marktführenden Produkten Wir schätzen Ihr Vertrauen und begleiten Ihren Weg durch eine unsichere (IT-)Welt! 30
ENTWICKLUNG DER WAN-VERBINDUNGEN 31
Entwicklung WAN Bandbreiten und Realisierung ISDN/Standleitungen Private Punkt-zu-Punkt-Verbindungen Damals: 64kbit, 128kbit/s (ISDN), 2Mbit/s (E1) 34Mbit/s (E3) Frame Relay ATM Bandbreite bis zu 45Mbit/s Attraktiv für Überbuchung der Bandbreite (committed information rate vs. excess information rate) Typische Bandbreite auf Basis STM-1 bis 155Mbit/s Nützliche Leistungsmerkmale für synchrone Transporttechniken (PDH, SDH) Notwendige Technik = sehr teuer 32
Geschwindigkeiten im WAN Bandbreite heute Zunehmende Nutzung von Glasfaserverbindungen Ethernet als universeller Standard Bandbreiten bis zu 10Gigabit/s praktisch nutzbar Verbindungen in der Fläche DSL-Technologien weit verbreitet asymmetrisch und symmetrisch Bis zu 5,7Mbit/s pro Kupferdoppelader realisierbar Optimales Bandbreitenmanagement niedrige Betriebskosten durch erprobte Hard- und Software 33
Transfermengen Bandbreite Beispiel-Leitungsart Leitungsart Max. Datentransfer je Richtung / Monat 128kbit/s Rückkanal ADSL Asymmetrisch 41,50 GByte 384kbit/s UMTS Asymmetrisch 124,50 GByte 768kbit/s Rückkanal ADSL Asymmetrisch 248,90 GByte 2Mbit/s SDSL, G.SHDSL, Standleitung Symmetrisch 648,00 GByte 3,6Mbit/s HSDPA download Asymmetrisch 1,17 TByte 5,8Mbit/s HSUPA upload Asymmetrisch 1,88 TByte 10Mbit/s G.SHDSL, Metro Ethernet Symmetrisch 3,24 TByte 100Mbit/s Metro Ethernet Symmetrisch 32,50 TByte 1.000Mbit/s (1GBit/s) 10.000Mbit/s (10GBit/s) Metro Ethernet Symmetrisch 324,00 TByte Metro Ethernet Symmetrisch 3.240,00 TByte 34
Transfergeschwindigkeiten Transfervolumen Dauer Transfervolumen Transferdauer je Bandbreite 2Mbit/s 10Mbit/s 100Mbit/s 1000Mbit/s 1MByte 4 Sekunden 0,8 Sekunden 0,08 Sekunden 0,008 Sekunden 10MByte 40 Sekunden 8 Sekunden 0,8 Sekunden 0,08 Sekunden 50MByte 3,3 Minuten 40 Sekunden 4 Sekunden 0,4 Sekunden 100MByte 6,7 Minuten 1,3 Minuten 8 Sekunden 0,8 Sekunden 1GByte 1,1 Stunden 13,3 Minuten 1,3 Minuten 8 Sekunden 100GByte 4,6 Tage 22,2 Stunden 2,2 Stunden 13,3 Minuten Roundtrip-Zeiten Leitungsbandbreiten (Punkt-zu-Punkt Direktverbindung) 128kbit/s 2Mbit/s 10Mbit/s 100Mbit/s 1000Mbit/s Latenzzeit (Roundtrip-Zeit) 94ms (188ms RTT) 6ms (12ms RTT) 1,2ms (2,4ms RTT) 0,12ms (0,24ms RTT) 0,012ms (0,024ms RTT) 35
MPLS im Detail Multiprotocol Label Switching Verbindungsorientierte Übertragung von Datenpaketen in einem verbindungslosen Netz Hop-by-Hop Weiterleitung und IP-Lookup für günstigsten Weg je Router entfallen Zwischen Eingangspunkt (Ingress-Router) und Ausgangspunkt (Egress-Router) lediglich Auswertung der MPLS-Paketlabels Besondere Merkmale: Traffic Engineering / gezielte Steuerung Breitbandige / verzögerungsarme Verbindungen Layer-2-VPN / Layer-3-VPN / VPN LAN Service (VPLS) 36
MPLS-NETZE IN DER PRAXIS 37
Netzbetreiber LambdaNet 38
WAN-Lösung MPLS VIPNet LambdaNet 39
Virtuelles IP Netzwerk Ein Produkt von LambdaNet kostengünstige, voll vermaschte Verbindung einzelner IP-Netze skalierbare Bandbreiten bis 1.000Mbit/s bis zu 4 Serviceklassen für gemeinsamen Betrieb von Daten, Sprache und Video Technische Daten: Verfügbarkeit bis zu 99,95% Wiederherstellungszeit ab 4 Stunden Round-Trip-Time (RTT): Innerdeutsch: < 30ms Innereuropäisch: < 65ms 40
Verfügbarkeitsangaben & SLA Verfügbarkeit und Zuverlässigkeit nach ITIL Verfügbarkeit = (Betriebszeit Ausfallzeit) / Betriebszeit was bedeutet eine solche Angabe in der Praxis? Verfügbarkeit Ausfallzeit pro Jahr Tage Stunden Minuten 95% 18,25 438,00 26.280 98% 7,30 175,20 10.512 99% 3,65 87,60 5.256 99,5% 1,83 43,80 2.628 99,9% 0,37 8,76 526 99,99% 0,04 0,88 53 99,999% 0,00 0,09 5 Zuverlässigkeit [MTBF] = (Betriebszeit Ausfallzeit) / Ausfälle Verfügbarkeit 98%, 4 Ausfälle/Jahr MTBF = 2.146h 41
MPLS lite Ein Produkt von IBH maßgeschneiderte Zugangslösung auf Basis preiswerter DSL-Anschlüsse skalierbare Bandbreiten bis 20Mbit/s Technische Daten: Verfügbarkeit bis zu 99,5% L2TP-Verbindung zum IBH Netzknoten Konfiguration mit den privaten IP-Adressen des Kundennetzes 42
MPLS lite im Überblick 43
IBH als Projektpartner MPLS, MPLS lite und Internet-Verbindung IBH hat Kontakte zu diversen MPLS-Carriern Ermöglicht Erstellung optimierter Angebote MPLS-Netz = privates Netz Ein Internet-Übergang wird benötigt IBH bietet die Leistung in seinen 2 eigenen Rechenzentren an Redundante Internet-Verbindungen mit 1.000Mbit/s Managed Security kann in den Händen von IBH liegen Verschlüsselung der Datenübertragungswege Betrieb und Wartung von Firewallsystemen 44
Modernes WAN-Design 45
Erweiterte Sicherheit durch VPN Ideale Ergänzung der der MPLS-Infrastruktur Weltweites Internet MPLS lite Netz DSL- & VPN-Router (von IBH) IBH Rechenzentrum Internet- Übergang Cisco ASA-Cluster MPLS Netz Grenz- Router (des Carriers) Individuelle VPN-Router (des Kunden) 46
Kostenbeispiel 47
MAßGESCHNEIDERTE LEISTUNGEN IM IBH RECHENZENTRUM 48
Rechenzentrum von IBH Moderne Infrastruktur in zwei Rechenzentren 2 Standorte: Gostritzer Str. und Backup-RZ Verbindung per Glasfaser (10GBit/s) Zuverlässige, redundante USV-Anlage Serversysteme und Datenspeichersysteme in modernster Bauform (z.b. Blade-Server) Redundante Netzwerkstruktur Redundante Internetverbindung Maximale Verfügbarkeit und Performance Realität! 49
IBH Internet- Backbone Metro-Ethernet Redundante Wege Performante Uplinks Zuverlässige Peerings Weiterer Ausbau auf 10GBit/s 50
OPTIMIERUNGSPOTENTIAL NUTZEN MIT DER IBH IT-SERVICE GMBH 51
IBH als kompetenter Partner IBH passt sich dem Bedarf seiner Kunden an Großkunden Eigene IT-Abteilung erledigt Routineaufgaben IBH steht für spezielle IT-Themen und Support zur Verfügung Mittelstand und kleinere Unternehmen Keine eigene IT-Abteilung (oder ein Mitarbeiter macht es nebenbei) IBH steht für alle IT-Themen zur Verfügung IBH übernimmt auch regelmäßig administrative Aufgaben (Monitoring, Updates, Account-Pflege ) 52
IBH Geschäftsfelder 53
Zertifizierungen Partnerschaften Die Mitarbeiter von IBH Stand heute: 19 KollegInnen umfangreich zertifiziert für den Einsatz verschiedener Herstellertechnologien 54
Datenschutz Alle Kunden müssen darauf vertrauen können, dass Ihre Daten gut geschützt sind der Datenschutz hat bei IBH einen besonders hohen Stellenwert Grundsätzlich gilt, dass ein Kunde für den Schutz seiner Daten selbst verantwortlich ist Organisationsverantwortung Alle IBH-Servicetechniker wie auch im Auftrage von IBH arbeitende Servicetechniker namhafter Hersteller sind gemäß BDSG 5 (Datengeheimnis) und 11 (Wartung) verpflichtet Sollte diese Verpflichtung nicht ausreichend sein, so können Sie auch von uns verlangen, dass die bei Ihnen eingesetzten Techniker gemäß den landesspezifischen Zusatzbedingungen für den Datenschutz oder nach der ärztlichen Schweigepflicht nachweisbar bei uns oder bei Ihnen in der Einrichtung verpflichtet werden. 55
Vielen Dank für Ihre Aufmerksamkeit! www.ibh.de