IT Security mit dem universellen VPN Gateway- und Client
Transcription
IT Security mit dem universellen VPN Gateway- und Client
Communication. S e c u r i t y. IG E A TI RE N T ONS Integration. L I N T E LT W S O F OLU S ¦IT Security mit dem universellen VPN Gatewayund Client-Konzept Lösung Security VPN HOBLink VPN ist die modulare Software-Lösung mit umfangreicher SecurityPolicy – einsetzbar als VPN Gateway und Universal VPN Client. Konfiguration, Management und Administration erfolgen SSL-gesichert, lokal/zentral mit HOB Enterprise Access. Software&Services Sicher: VPN hat Zukunft. Aber... ...VPN ist nicht gleich VPN. Wirklich sicher wird ein VPN erst mit „End-to-End-Kommunikation“. Steigende VPN-Nachfrage Enterprise Access nutzen. Diese Module werden als Plug-In installiert, wenn HOB Enterprise Access bereits im Einsatz ist, d.h. dass bereits vorhandene Objekte und Benutzereinstellungen verwendet werden können. 3,58 2,76 2004 2005 2,09 2003 1,74 2002 Experten sind sich einig über die Vorteile von VPNs. Doch es gibt Unterschiede zwischen Provider VPNs (Trusted VPN) und einem End-to-End VPN (Secured VPN). Und unterschiedliche Meinungen darüber, ob ein IPSec VPN oder die Client-lose SSL-Technologie die bessere Lösung sei. Die Antwort kommt aus der Praxis: mit SSL werden einzelne Applikationen gesichert – deshalb sehr gut geeignet für Server Based Computing mit HOBLink JWT und HOBLink J-Term; mit VPN wird die Kommunikation entfernter Filial-/Partnernetze, Heimarbeitsplätze und der Remote-Clients gesichert. +20% +32% +30% Mit HOBLink VPN ist man flexibel in Hardware-Auswahl und Installation, sowie der Integration in bestehende Szenarien. Vorhandene Server können als VPN Gateway genutzt werden. HOBLink VPN ist skalierbar und mit Produkt Keys einfach zu erweitern. Vielseitige LogView-Möglichkeiten für das Eingrenzen von Ereignissen. Investitionen in Milliarden EUR Investitionswachstum Quelle: Frost & Sullivan Steigendes Vertrauen in die Sicherheit von VPNSoftware und die Möglichkeit, Kosten zu senken, schlagen sich in den Wachstumszahlen nieder. Weil das so ist, hat HOB für beide Technologien die Software-Lösung: für VPN das in dieser Broschüre vorgestellte HOBLink VPN; für die SSL-Technologie HOBLink Secure. HOBLink VPN – eine Investition, die sich bezahlt macht. Mit Sicherheit: HOBLink VPN enthält eine umfangreiche Security Policy und NAT, anhand eines Regelwerkes individuell gestaltbar. Der HOBLink Security Manager als Komponente von HOBLink VPN erzeugt Zertifikate nach X.509. Bereits in der kleinsten Version kann der Administrator die VPN Module Konfiguration, Management und LogView von HOB Devices Security VPN IPSec ist dafür die Technologie. Mitarbeiter und Partnerfirmen sind sicher in Unternehmensprozesse eingebunden. HOBLink VPN: D a s m o d u l a r e K o n z e p t Management Immer mehr Unternehmen führen geografisch verteilte LANs und mobile Mitarbeiter zu unternehmensweiten Netzen zusammen – mit dem Internet als idealer Kommunikations-Plattform, die aber in jeder Kommunikationsphase sicher sein muss. Interne Netzressourcen dürfen nach außen nicht sichtbar werden. CentralSite Gateway RemoteSite Gateway Security Policy Security Manager Remote Client IPSec NAT Konfiguration/Administration HOB Enterprise Access Database (LDAP) Rules Event & System Management ...HOBLink VPN als modulare Softwa Interoperabilität Einheitliches Look & Feel – für alle Software-Module: einfachere, übersichtlichere Administration aller Module mit vertrauten Oberflächen und Objekten. HOBLink VPN – der Nutzen: Integration von Außendienstmitarbeitern, Heimarbeitsplätzen und Filialen in das Internet. Gesicherte Kommunikation mit starker Verschlüsselung und Authentisierung. Provider- und Standortunabhängigkeit. Security Policy und FirewallFunktionalität. Leitungskonsolidierung: reduzierte Kosten und optimierte Prozesse. Flexible Dimensionierung der Hardware. Zentrale, einfache Administration mit Vererbung von Objekten u. Einstellungen. Steigerung der Unternehmenssicherheit. Interoperabilität – Für HOBLink VPN kann der Anwender die Hardware selbst dimensionieren und auch vorhandene Komponenten einsetzen. HOBLink VPN Gateway und Clients lassen sich auch in CISCO- und Checkpoint-Umgebungen implementieren – das sichert bisherige Investitionen und bewahrt Optionen für den VPN-Ausbau. Sicherheit und Schutz – vollständige IP-Datenflusskontrolle anhand einer Security Policy/Regelwerk und NAT. – Datenübertragung nach IPSe VPN-Standard (RFC2401-ff) – Pre shared Keys, digitale Signaturen und Zertifikats-Manager Unterstützung. – Konfiguration und Verwaltun ausschließlich via SSL. Gateways – für das Nutzen preisgünstiger DSL-Anschlüsse mit Flatrate. RemoteSite VPN Gateway CentralSite VPN Gateway HOBLink VPN: die Corporate N LAN are-Lösung mit universellem Gateway-/C Roaming: Flexibilität y ec ng Flexibilität – HOBLink VPN Gateway und Clients sind identisch; unterschiedlich ist nur die Konfiguration. – Die Roaming-Funktion gestattet den Betrieb ohne feste IP-Adressen – dadurch können preisgünstige Internetanschlüsse genutzt werden. – Anwender sind providerunabhängig – bei der Auswahl regionaler Provider eröffnet sich zusätzliches Einsparpotenzial. Network N Mobilität & Sicherheit für Clients – mobile Clients und Einzelarbeitsplätze nutzen HOBLink VPN Client. Dieser Universal Client beinhaltet eine eigene Security Policy und Regelwerk. Man kann mehrere VPN-Tunnels aufbauen (Split Tunneling) bzw. mit Firewall-Funktionalität den Client schützen. Roaming für Gateway und Clients – Nutzen von dynamischen IP-Adressen, z. B. mit DSL, ISDN, GPRS, UMTS u. a. Remote Client Mobile User Internet Remote Client Home User Software-Lösung. Zentrales Management – bei anderen Konzepten oft eine Schwachstelle; bei HOBLink VPN beispielhaft gelöst mit einem Modul von HOB Enterprise Access. Verteilen von Updates und neuer/geänderter Konfigurationen, zeitlich abgestimmte Schlüsselverteilung und Darstellung der System-Konfiguration sind einige Stichworte. Alle Aktionen können gezielt mit LOGView eingesehen werden – Zeiträume lassen sich definieren. Mehr über Möglichkeiten und Nutzen entnehmen Sie bitte der Seite HOB Enterprise Access in dieser Broschüre. Client-Konzept sollte Grundlage sein. IPSec-Security + SSL HOBLink VPN erfüllt den hohen Sicherheitsanspruch der IT-Manager. Das ausgefeilte Sicherheitskonzept enthält Funktionalitäten, die andere Lösungsansätze so nicht bieten. Alle Daten werden verschlüsselt übermittelt – von Beginn an. Ve r t r a u l i c h k e i t gewährleistet durch Verschlüsselung: Bei HOBLink VPN stehen alle gängigen Verschlüsselungsmethoden zur Wahl: – AES mit 128/256 Bit (seit 2001 neuer Standard anstelle von DES); – 3DES, DES, RC4, Blowfish, CAST, DES_IV32, DES_IV64. Wir empfehlen AES: Die Server-CPU wird sehr wenig belastet, der Durchsatz ist im Vergleich zu 3DES deutlich höher. Investitionen in bei 3DES-Verschlüsselung häufig notwendige teure Hardware-Beschleuniger-Karten sind bei AES nicht nötig. Ein Zertifikatsmanager ist Bestandteil der HOBLink VPN CD. Mit ihm kann der Administrator SSL- und VPNSchlüssel erzeugen, verwalten und gesichert übertragen. Damit sind auch die Voraussetzungen für den Aufbau der eigenen PKI (Public Key Infrastructure) geschaffen. Authentizität der angegebenen Datenquelle (= Absender der Botschaft) wird gesichert durch das Verwenden von Pre-Shared-Keys und digitalen Signaturen (DSA, RSA). Firewallfunktionalität mit NAT und Security Policy. Deren individuell erstellbares Regelwerk gilt für alle Gateways und VPN Clients und ermöglicht die vollständige Kontrolle des gesamten IPDatenverkehrs. SSL-basierend sind Management, Konfiguration und Administration von HOBLink VPN Gateway und Client mit den Basismodulen von HOB Enterprise Access. Das Administrieren der VPN-Infrastruktur erfolgt ausschließlich SSL-gesichert – zentral und entfernt. Integrität Damit das Verändern transferierter Daten nicht möglich ist, unterstützt HOBLink VPN sowohl AH (Authentication Header) als auch ESP (Encapsulation Security Payload) mit den Hash-Methoden MD5 und SHA1. HOB Enterprise Access-Integration von HOBLink VPN. Alles unter Kontrolle: Unabhängig von ISPs (Inter- Administrator EA Server & Database VPN Device net Service Provider) mit dem End-to-End-Firmen VPN bedeutet mehr Flexibilität, mehr SSL Management Aktionen Sicherheit und auch Kostenop- Gateway timierung durch freie Wahl des regional günstigsten ISP. Konfiguration Gateways, Betrieb, Verwaltung und NMS verbleiben in Eigenregie des Unternehmens. Ideal dafür: Der Einsatz von HOB Link VPN und HOB Enterprise Access. Ein weitere Pluspunkt für diese Lösung. LogView SSL SSL Einstellungen Einstellungen Ereignisse SSL Client HOBLink VPN + Enterprise Access Management VPN, SSL, Client-to-any-Host – „Ein großes Manko mancher IP-Sec basierender VPN-Lösungen ist ohne Zweifel das Fehlen eines praktikablen zentralen Managements“. So im Artikel einer IT-Fachzeitschrift 2002. Mit HOBLink VPN hat sich das geändert. Keine hohen Aufpreise, keine getrennten Admin-Module: Stattdessen eine vielseitige zentrale Lösung für – Konfiguration – Management – LogView/Administration. Die Enterprise Access Module für HOBLink VPN: – VPN Konfiguration – VPN Remote-Management – VPN LogView/Administration – Optional: HOBLink Security Manager für das Erzeugen von SSL- und VPNZertifikaten (nach X509). G r u n d s ä t z l i c h : HOBLink VPN Gateway und HOBLink VPN Client mit identischen Funktionalitäten (eingeschlossen das Regelwerk) und vollständiger Integration in HOB Enterprise Access – einfach zu administrieren und zu konfigurieren. Management, Konfiguration und Administration basieren auf SSL. Das Installieren von HOBLink VPN auf PCHardware hat u. a. den Vorteil höchster Skalierbarkeit. HOBLink VPN: Regelwerkerstellung für Objekte, Firewalls und BandbreitenManagement. für alles eine zentrale Verwaltung: Das kann derzeit so nur HOBLink VPN mit HOB Enterprise Access. VPN Remote-Management. Damit werden Updates und neue Konfigurationen in Richtung Remote Site Gateways und Clients verteilt, ebenso die zeitlich abgestimmte Schlüsselverteilung zu anderen Gateways/Clients, sowie die Darstellung der Systemkonfiguration. Weitere Funktionen in Stichworten: – VPN starten und stoppen – Startoptionen bearbeiten – System booten – Update, Patch installieren – neuen Lizenzcode einspielen V P N L o g V i e w (Administration) Ein Modul mit hervorragender Funktionalität: Der Administrator kann alle Vorgänge zu Regeln einsehen, deren Auditing aktiviert wurde. Zeitliches Eingrenzen dabei ist möglich, soll die zu übertragende Datenmenge gering gehalten werden. Anschließend kann nach einzelnen Informationen – z. B. IP Adresse, Protokoll, Regel-Nummer, Aktion usw. – gefiltert werden. VPN Konfiguration. Zentrales Anlegen und Verwalten aller Benutzer- und Konfigurationsdaten – ein erheblicher Vorteil vor allem bei einer großen Zahl von Benutzern und Netzobjekten. Abgelegt werden sie auf der HOB Enterprise Access Datenbank. Sind Anwenderdaten auf LDAPv3 Servern bereits angelegt, können sie übernommen werden. Zeitraubendes mehrfaches Anlegen entfällt. Die Konfiguration wird in einer Baumstruktur entweder im LDAP-Server oder in der EADatenbank abgelegt. Das Vererben der Konfigurationsdaten entlastet den Administrator – Neuaufnahme von Gateways und Clients, Ändern des Regelwerkes und dessen Plausibilitätsprüfung sind Systemsache ohne manuellen Aufwand. Die Konsole für Konfiguration, Management und Administration ist für intuitives Arbeiten ausgelegt – gut, weil einfach für den Administrator. Ist HOB Enterprise Access bereits mit HOBLink JWT/HOBLink J-Term im Einsatz, werden die VPN-Module einfach als Plug-In installiert. Definierte Objekte und Benutzereinstellungen bleiben erhalten. Die einheitliche Software-Infrastruktur für VPN-/SSL-Security und Client-to-any-Server-Computing: Das gibt es nur von HOB. HOBLink VPN Komprimiert Leistungsumfang ___ System- und Einsatzvoraussetzungen Spezifikation/Leistungsumfang IPSec Komprimierung Verschlüsselungen Authentifizierungen IPSec Parameter IKE Modi – Phase 1 IKE Modi – Phase 2 IKE Verschlüsselung IKE Hash-Funktionen IKE Identifikation IKE Authentifizierung IKE Diffie Hellmann Groups IKE Parameter AH und ESP im Tunnelmode DEFLATE, V.42bis AES, 3DES, RC4, Blowfish, CAST, DES, DES_IV32, DES_IV64 HMAC_MD5, HMAC_SHA1 Replay-Detection, PFS (Perfect Forward Secrecy), SA Lifetime Main Mode, Aggressive Mode, Hybrid Aggressive Mode (XAUTH) Quick Mode AES, 3DES, Blowfish, CAST, DES MD5, SHA1 IP-Adresse, DN (HOB Enterprise Access Full Qualified Distinguished Gateway Object Name) Symmetrisch: Preshared Secret, DSA-Zertifikate, RSA-Zertifikate Asymmetrisch: DSA + User/Passwort (hybrid XAUTH) 768 – 8192 bit MODP SA Lifetime, timeout, retries VPN Geräte Betriebssysteme Kompatibilität Gateway, Client Windows 2000, Windows XP, Windows NT4 CISCO, Checkpoint Konfiguration Administration Sichere Administration Lokal oder über HOB Enterprise Access LogView (lokal und remote), Remote-Management SSL-Verschlüsselung Grundfunktion Security Policy Split Tunneling NAT (Network Address Translation) Regelwerk: PASS, DROP, Reject, IPSec Paketfilter: Quelladresse, Zieladresse, Portnummer Über Regelwerk konfigurierbar Statisch, dynamisch System-/Einsatzvoraussetzungen PC Hardware Netzwerk-Interface Standard PC Server (empfohlen HP / DELL / IBM) mit > 1GHz, 256 MB RAM, Festplatte 40 GB (120 MB benötigtes Volumen auf der Festplatte), CD-Laufwerk LAN-Adapter: 10/100 Mbps Ethernet Wireless (WiFi) GbE TokenRing u. a. WAN (abhängig von der Konfiguration): ISDN BRI 10/100 Mbps Ethernet (DSL) Analog GPRS/UMTS u. a. Ein offenes Wort: Technische Daten sind nur eine Seite jeder VPN-Lösung. Die andere: Kompetenz und Zuverlässigkeit der Berater, Objektivität und HerstellerUnabhängigkeit bei Hardware-Komponenten. Auch darauf können Sie sich bei HOB verlassen. LD L SS N VP Zugriff auf alle Daten-/ Applikationsserver (zSeries, iSeries, Windows Terminal Server, Linux-/Unix-Server) mit zentraler Administration, multipler LDAP-Unterstützung und High Security. nux Li ix Un 0 327 S WT 0 525 Praxis Integrieren. Konsolidieren. Optimieren. HOBLink und HOBCOM ermöglichen das Nutzen von Daten und Applikationen aller Host-/Server-Systeme mit zentraler Administration und High Security. Software&Services Software&Services IG E T IA R E N T ONS ¦Server-based Computing: Plattformunabhängigkeit für Windows Terminal Server L I N T E LT W S O F OLU S S e c u r i t y. Lösung Windows Terminal Server Computing optimieren: Ter m ina l Ser vic es Unterstützung von RDP4/RDP 5.x mit plattformunabhängiger Multi-UserAnbindung an alle geschäftskritischen Datenbestände und Applikationen auf Windows Terminal Servern. Ausbau-Komponenten für zentrale Administration, universelle LDAPUnterstützung und High Security. en nix ts Web-to-any-Server AP Integration. Communication. nce d IT Infrastruktur optimieren: HOBLink J-Term HOB Enterprise Access ¦Web-to-any-Server Windows Terminal Server Database Host/Server Linux/Unix Integration Kryptografie Virtual Private Networking ha Lösung S e c u r i t y. L I N T E LT W S O F OLU S En S e c u r i t y. Integration. Communication. Server-based-Computing ¦Integration aller Server/ Hosts und Clients mit zentraler Administration. L I N T E LT W S O F OLU S Enterprise IT Integration. Communication. IG E T IA R E N T ONS IG E T IA R E N T ONS Intelligent Software Solutions: Mit HOB zu sicheren Entscheidungen über IT-Investitionen durch Dokumentation Information Test. Java SSL U x inu li s L in C WindowS X Th Mac O Software&Services HOBLink J-Term – einfach besser. HOB Software: Lösungen, die so kein anderer Hersteller zu bieten hat. HOBLink JWT hat anderen Wichtiges voraus. S e c u r i t y. L I N T E LT W S O F OLU S ¦IT Security mit Konzept: plattformunabhängig, für Internet und Intranet. Integration. Communication. S e c u r i t y. Database Lösung Security SSL Sicherheit im Netz Application Server Computing bis zu Web-to-Host durch Autorisierung, Authentifizierung, Administration, Verschlüsselung. Unternehmensweit. Über alle Plattform- und Systemgrenzen. L I N T E LT W S O F OLU S ¦Integration verteilter Datenbanken als Grundlage für e-Business. Lösung Universelle Datenbank-Integration VSAM DL/1 IMS/DB Universeller Zugriff auf alle relationalen Datenbanken und hierarchischen Datenbestände über die Standardschnittstellen ODBC und JDBC mit direktem Import der Daten in Anwendungsprogramme. DB2 MS SQL Server Informix Sybase Oracle Software&Services S e c u r i t y. Universelle Datenbank-Integration: Direkter Import der Daten aller relationalen Datenbanken und hierarchischen Datenbestände in Anwendungsprogramme. Unterstützung aller wichtigen Schnittstellen, Verbindungen, Datenbanken und Server-Plattformen. HOBLink Secure – weniger Sicherheit ist nicht sicher genug. E-Mail Verteilte Datenbanken integrieren – rundum sicher gelöst. [email protected] [email protected] Telefon Hotline 09103 715-161 Fax Hotline 09103 715-299 L I N T E LT W S O F OLU S ¦HOBCOM: Mainframes für Internet/IntranetUmgebungen optimieren. Lösung Host Software&Services High Security: Das plattformübergreifende Security-Konzept: SSL-basierend, 256 Bit-Verschlüsselung, Komprimierung, Zertifikatserstellung/-verwaltung, Proxy-Einsatz. HOB GmbH & Co. KG Tel. 09103 715-0 · Fax 09103 715-271 Schwadermühlstraße 3 90556 Cadolzburg Integration. Communication. Optimierungs Integration. Communication. IG E T IA R E N T ONS Windows Terminal Server Computing: Die erste und einzige plattformunabhängige, RDP-basierende Lösung: Zentrale Administration, LDAP-Unterstützung, Universal Printer Support, Web Secure Proxy für mehr Sicherheit. IG E T IA R E N T ONS Praxis-Beispiele: Ein informativer Überblick auf alle HOB Software-Lösungen und ihren Einsatz in IT-Umgebungen mit allen Host-/Server-Systemen, ClientPlattformen und Netzwerk-Verbindungen. IG E T IA R E N T ONS Web-to-any-Server: Zugang aller Clients aus einer Anwendung zu allen Servern. Zentrale Konfiguration/Administration und LDAP-Unterstützung, Easy Print, High Security: HOBCOM für /390 und zOS-Mainframes: Ohne aufwändige Umstellungen erweitert HOBCOM die Mainframe-Funktionalität in heterogenen Umgebungen mit Internet/Intranet-Anbindung, durch LDAP-Unterstützung, mehr Druckmöglichkeiten, verbessertes Session-Handling, TCT-GUI und vieles mehr. Software&Services HOBCOM: Diese Host-Software optimiert die MainframeFunktionalität in Internet-/Intranet-Umgebungen. Nach 20 Jahren ständiger Weiterentwicklung, parallel zu den Evolutionsstufen der IBM Mainframes, ist heute HOBCOM unverzichtbar für wichtige Anwendungsbereiche. HOBCOM. Weil Mainframes Zukunft haben. Auslandsniederlassungen: Eindhoven, Malta, Paris, Wien, Minneapolis Software&Services