IT Security mit dem universellen VPN Gateway- und Client

Communication.
S e c u r i t y.
IG
E
A
TI RE N T
ONS
Integration.
L
I N T E LT W
S O F OLU
S
¦IT Security mit dem
universellen VPN Gatewayund Client-Konzept
Lösung
Security VPN
HOBLink VPN
ist die modulare Software-Lösung
mit umfangreicher SecurityPolicy –
einsetzbar als VPN Gateway und
Universal VPN Client.
Konfiguration, Management und
Administration erfolgen
SSL-gesichert, lokal/zentral
mit HOB Enterprise Access.
Software&Services
Sicher: VPN hat Zukunft. Aber...
...VPN ist nicht gleich VPN. Wirklich sicher wird ein VPN erst mit „End-to-End-Kommunikation“.
Steigende
VPN-Nachfrage
Enterprise Access nutzen. Diese Module werden als Plug-In installiert, wenn HOB Enterprise Access bereits im Einsatz ist, d.h. dass
bereits vorhandene Objekte und Benutzereinstellungen verwendet werden können.
3,58
2,76
2004
2005
2,09
2003
1,74
2002
Experten sind sich einig über die Vorteile von
VPNs. Doch es gibt Unterschiede zwischen
Provider VPNs (Trusted VPN) und einem
End-to-End VPN (Secured VPN). Und unterschiedliche Meinungen darüber, ob ein IPSec
VPN oder die Client-lose SSL-Technologie die
bessere Lösung sei. Die Antwort kommt aus
der Praxis:
mit SSL werden einzelne Applikationen
gesichert – deshalb sehr gut geeignet für Server Based Computing mit HOBLink JWT und
HOBLink J-Term;
mit VPN wird die Kommunikation entfernter Filial-/Partnernetze, Heimarbeitsplätze und der Remote-Clients gesichert.
+20%
+32%
+30%
Mit HOBLink VPN ist man flexibel in
Hardware-Auswahl und Installation, sowie
der Integration in bestehende Szenarien.
Vorhandene Server können als VPN Gateway
genutzt werden.
HOBLink VPN ist skalierbar und mit
Produkt Keys einfach zu erweitern.
Vielseitige LogView-Möglichkeiten für das
Eingrenzen von Ereignissen.
Investitionen in Milliarden EUR
Investitionswachstum
Quelle: Frost & Sullivan
Steigendes Vertrauen in die Sicherheit von VPNSoftware und die Möglichkeit, Kosten zu senken,
schlagen sich in den Wachstumszahlen nieder.
Weil das so ist, hat HOB für beide Technologien die Software-Lösung:
für VPN das in dieser Broschüre vorgestellte HOBLink VPN;
für die SSL-Technologie HOBLink Secure.
HOBLink VPN – eine Investition, die sich
bezahlt macht. Mit Sicherheit:
HOBLink VPN enthält eine umfangreiche
Security Policy und NAT, anhand eines Regelwerkes individuell gestaltbar.
Der HOBLink Security Manager als Komponente von HOBLink VPN erzeugt Zertifikate nach X.509.
Bereits in der kleinsten Version kann der
Administrator die VPN Module Konfiguration, Management und LogView von HOB
Devices
Security
VPN IPSec ist dafür die Technologie. Mitarbeiter und Partnerfirmen sind sicher in Unternehmensprozesse eingebunden.
HOBLink VPN: D a s m o d u l a r e K o n z e p t
Management Immer mehr Unternehmen führen geografisch verteilte LANs und mobile Mitarbeiter
zu unternehmensweiten Netzen zusammen
– mit dem Internet als idealer Kommunikations-Plattform, die aber in jeder Kommunikationsphase sicher sein muss. Interne Netzressourcen dürfen nach außen nicht sichtbar
werden.
CentralSite
Gateway
RemoteSite
Gateway
Security Policy
Security Manager
Remote
Client
IPSec
NAT
Konfiguration/Administration
HOB Enterprise
Access
Database
(LDAP)
Rules
Event & System
Management
...HOBLink VPN als modulare Softwa
Interoperabilität Einheitliches
Look & Feel
– für alle Software-Module:
einfachere, übersichtlichere
Administration aller Module
mit vertrauten Oberflächen
und Objekten.
HOBLink VPN –
der Nutzen:
Integration von Außendienstmitarbeitern, Heimarbeitsplätzen und Filialen
in das Internet.
Gesicherte Kommunikation
mit starker Verschlüsselung
und Authentisierung.
Provider- und Standortunabhängigkeit.
Security Policy und FirewallFunktionalität.
Leitungskonsolidierung:
reduzierte Kosten und optimierte Prozesse.
Flexible Dimensionierung
der Hardware.
Zentrale, einfache Administration mit Vererbung von
Objekten u. Einstellungen.
Steigerung der Unternehmenssicherheit.
Interoperabilität
– Für HOBLink VPN kann der
Anwender die Hardware selbst
dimensionieren und auch vorhandene Komponenten einsetzen. HOBLink VPN Gateway
und Clients lassen sich auch in
CISCO- und Checkpoint-Umgebungen implementieren – das
sichert bisherige Investitionen
und bewahrt Optionen für den
VPN-Ausbau.
Sicherheit und Schutz
– vollständige IP-Datenflusskontrolle anhand einer Security
Policy/Regelwerk und NAT.
– Datenübertragung nach IPSe
VPN-Standard (RFC2401-ff)
– Pre shared Keys, digitale Signaturen und Zertifikats-Manager Unterstützung.
– Konfiguration und Verwaltun
ausschließlich via SSL.
Gateways
– für das Nutzen preisgünstiger DSL-Anschlüsse
mit Flatrate.
RemoteSite
VPN Gateway
CentralSite
VPN Gateway
HOBLink VPN: die
Corporate N
LAN
are-Lösung mit universellem Gateway-/C
Roaming: Flexibilität y
ec
ng
Flexibilität
– HOBLink VPN Gateway und
Clients sind identisch; unterschiedlich ist nur die Konfiguration.
– Die Roaming-Funktion gestattet
den Betrieb ohne feste IP-Adressen –
dadurch können preisgünstige
Internetanschlüsse genutzt werden.
– Anwender sind providerunabhängig – bei der Auswahl regionaler
Provider eröffnet sich zusätzliches
Einsparpotenzial.
Network
N
Mobilität & Sicherheit
für Clients
– mobile Clients und Einzelarbeitsplätze nutzen HOBLink VPN
Client. Dieser Universal Client
beinhaltet eine eigene Security
Policy und Regelwerk. Man kann
mehrere VPN-Tunnels aufbauen
(Split Tunneling) bzw. mit Firewall-Funktionalität den Client
schützen.
Roaming für Gateway
und Clients
– Nutzen von dynamischen
IP-Adressen, z. B. mit DSL,
ISDN, GPRS, UMTS u. a.
Remote Client
Mobile User
Internet
Remote Client
Home User
Software-Lösung.
Zentrales
Management
– bei anderen Konzepten
oft eine Schwachstelle; bei
HOBLink VPN beispielhaft
gelöst mit einem Modul
von HOB Enterprise Access.
Verteilen von Updates und
neuer/geänderter Konfigurationen, zeitlich abgestimmte Schlüsselverteilung und Darstellung der
System-Konfiguration sind
einige Stichworte. Alle
Aktionen können gezielt
mit LOGView eingesehen
werden – Zeiträume lassen
sich definieren. Mehr über
Möglichkeiten und Nutzen
entnehmen Sie bitte der
Seite HOB Enterprise
Access in dieser Broschüre.
Client-Konzept sollte Grundlage sein.
IPSec-Security + SSL HOBLink VPN erfüllt den hohen Sicherheitsanspruch der IT-Manager. Das ausgefeilte
Sicherheitskonzept enthält Funktionalitäten,
die andere Lösungsansätze so nicht bieten.
Alle Daten werden verschlüsselt übermittelt –
von Beginn an.
Ve r t r a u l i c h k e i t
gewährleistet durch Verschlüsselung: Bei
HOBLink VPN stehen alle gängigen Verschlüsselungsmethoden zur Wahl:
– AES mit 128/256 Bit (seit 2001 neuer
Standard anstelle von DES);
– 3DES, DES, RC4, Blowfish, CAST,
DES_IV32, DES_IV64.
Wir empfehlen AES: Die Server-CPU wird sehr
wenig belastet, der Durchsatz ist im Vergleich
zu 3DES deutlich höher. Investitionen in bei
3DES-Verschlüsselung häufig notwendige
teure Hardware-Beschleuniger-Karten sind
bei AES nicht nötig.
Ein Zertifikatsmanager
ist Bestandteil der HOBLink VPN CD. Mit
ihm kann der Administrator SSL- und VPNSchlüssel erzeugen, verwalten und gesichert
übertragen. Damit sind auch die Voraussetzungen für den Aufbau der eigenen PKI
(Public Key Infrastructure) geschaffen.
Authentizität
der angegebenen Datenquelle (= Absender
der Botschaft) wird gesichert durch das Verwenden von Pre-Shared-Keys und digitalen
Signaturen (DSA, RSA).
Firewallfunktionalität
mit NAT und Security Policy. Deren individuell erstellbares Regelwerk gilt für alle
Gateways und VPN Clients und ermöglicht
die vollständige Kontrolle des gesamten IPDatenverkehrs.
SSL-basierend
sind Management, Konfiguration und
Administration von HOBLink VPN Gateway
und Client mit den Basismodulen von HOB
Enterprise Access.
Das Administrieren der VPN-Infrastruktur
erfolgt ausschließlich SSL-gesichert –
zentral und entfernt.
Integrität
Damit das Verändern transferierter Daten
nicht möglich ist, unterstützt HOBLink VPN
sowohl AH (Authentication Header) als auch
ESP (Encapsulation Security Payload) mit
den Hash-Methoden MD5 und SHA1.
HOB Enterprise Access-Integration von HOBLink VPN.
Alles unter Kontrolle:
Unabhängig von ISPs (Inter-
Administrator
EA Server & Database
VPN Device
net Service Provider) mit dem
End-to-End-Firmen VPN bedeutet mehr Flexibilität, mehr
SSL
Management
Aktionen
Sicherheit und auch Kostenop-
Gateway
timierung durch freie Wahl
des regional günstigsten ISP.
Konfiguration
Gateways, Betrieb, Verwaltung
und NMS verbleiben in Eigenregie des Unternehmens. Ideal
dafür: Der Einsatz von HOB
Link VPN und HOB Enterprise
Access. Ein weitere Pluspunkt
für diese Lösung.
LogView
SSL
SSL
Einstellungen
Einstellungen
Ereignisse
SSL
Client
HOBLink VPN + Enterprise Access
Management VPN, SSL, Client-to-any-Host –
„Ein großes Manko mancher IP-Sec basierender VPN-Lösungen ist ohne Zweifel das
Fehlen eines praktikablen zentralen Managements“. So im Artikel einer IT-Fachzeitschrift 2002.
Mit HOBLink VPN hat sich das geändert.
Keine hohen Aufpreise, keine getrennten
Admin-Module: Stattdessen eine vielseitige
zentrale Lösung für
– Konfiguration
– Management
– LogView/Administration.
Die Enterprise Access Module für HOBLink
VPN:
– VPN Konfiguration
– VPN Remote-Management
– VPN LogView/Administration
– Optional: HOBLink Security Manager
für das Erzeugen von SSL- und VPNZertifikaten (nach X509).
G r u n d s ä t z l i c h : HOBLink VPN Gateway und HOBLink VPN Client mit identischen Funktionalitäten (eingeschlossen das
Regelwerk) und vollständiger Integration
in HOB Enterprise Access – einfach zu administrieren und zu konfigurieren. Management, Konfiguration und Administration
basieren auf SSL.
Das Installieren von HOBLink VPN auf PCHardware hat u. a. den Vorteil höchster
Skalierbarkeit.
HOBLink VPN: Regelwerkerstellung für
Objekte, Firewalls und BandbreitenManagement.
für alles eine zentrale Verwaltung:
Das kann derzeit so nur HOBLink VPN
mit HOB Enterprise Access.
VPN Remote-Management.
Damit werden Updates und neue Konfigurationen in Richtung Remote Site Gateways
und Clients verteilt, ebenso die zeitlich abgestimmte Schlüsselverteilung zu anderen
Gateways/Clients, sowie die Darstellung der
Systemkonfiguration.
Weitere Funktionen in Stichworten:
– VPN starten und stoppen
– Startoptionen bearbeiten
– System booten
– Update, Patch installieren
– neuen Lizenzcode einspielen
V P N L o g V i e w (Administration)
Ein Modul mit hervorragender Funktionalität: Der Administrator kann alle Vorgänge
zu Regeln einsehen, deren Auditing aktiviert wurde. Zeitliches Eingrenzen dabei ist
möglich, soll die zu übertragende Datenmenge gering gehalten werden.
Anschließend kann nach einzelnen Informationen – z. B. IP Adresse, Protokoll,
Regel-Nummer, Aktion usw. – gefiltert
werden.
VPN Konfiguration.
Zentrales Anlegen und Verwalten aller
Benutzer- und Konfigurationsdaten – ein
erheblicher Vorteil vor allem bei einer
großen Zahl von Benutzern und Netzobjekten. Abgelegt werden sie auf der HOB Enterprise Access Datenbank. Sind Anwenderdaten auf LDAPv3 Servern bereits angelegt,
können sie übernommen werden. Zeitraubendes mehrfaches Anlegen entfällt. Die
Konfiguration wird in einer Baumstruktur
entweder im LDAP-Server oder in der EADatenbank abgelegt. Das Vererben der Konfigurationsdaten entlastet den Administrator – Neuaufnahme von Gateways und
Clients, Ändern des Regelwerkes und dessen
Plausibilitätsprüfung sind Systemsache
ohne manuellen Aufwand.
Die Konsole für Konfiguration, Management und Administration ist für intuitives
Arbeiten ausgelegt – gut, weil einfach für
den Administrator.
Ist HOB Enterprise Access bereits mit
HOBLink JWT/HOBLink J-Term im Einsatz, werden die VPN-Module einfach als
Plug-In installiert. Definierte Objekte und
Benutzereinstellungen bleiben erhalten.
Die einheitliche Software-Infrastruktur für VPN-/SSL-Security und
Client-to-any-Server-Computing:
Das gibt es nur von HOB.
HOBLink VPN
Komprimiert Leistungsumfang ___ System- und Einsatzvoraussetzungen
Spezifikation/Leistungsumfang
IPSec
Komprimierung
Verschlüsselungen
Authentifizierungen
IPSec Parameter
IKE Modi – Phase 1
IKE Modi – Phase 2
IKE Verschlüsselung
IKE Hash-Funktionen
IKE Identifikation
IKE Authentifizierung
IKE Diffie Hellmann Groups
IKE Parameter
AH und ESP im Tunnelmode
DEFLATE, V.42bis
AES, 3DES, RC4, Blowfish, CAST, DES, DES_IV32, DES_IV64
HMAC_MD5, HMAC_SHA1
Replay-Detection, PFS (Perfect Forward Secrecy), SA Lifetime
Main Mode, Aggressive Mode, Hybrid Aggressive Mode (XAUTH)
Quick Mode
AES, 3DES, Blowfish, CAST, DES
MD5, SHA1
IP-Adresse, DN (HOB Enterprise Access Full Qualified Distinguished Gateway Object Name)
Symmetrisch: Preshared Secret, DSA-Zertifikate, RSA-Zertifikate
Asymmetrisch: DSA + User/Passwort (hybrid XAUTH)
768 – 8192 bit MODP
SA Lifetime, timeout, retries
VPN Geräte
Betriebssysteme
Kompatibilität
Gateway, Client
Windows 2000, Windows XP, Windows NT4
CISCO, Checkpoint
Konfiguration
Administration
Sichere Administration
Lokal oder über HOB Enterprise Access
LogView (lokal und remote), Remote-Management
SSL-Verschlüsselung
Grundfunktion
Security Policy
Split Tunneling
NAT (Network Address
Translation)
Regelwerk: PASS, DROP, Reject, IPSec
Paketfilter: Quelladresse, Zieladresse, Portnummer
Über Regelwerk konfigurierbar
Statisch, dynamisch
System-/Einsatzvoraussetzungen
PC Hardware
Netzwerk-Interface
Standard PC Server (empfohlen HP / DELL / IBM) mit > 1GHz, 256 MB RAM,
Festplatte 40 GB (120 MB benötigtes Volumen auf der Festplatte), CD-Laufwerk
LAN-Adapter:
10/100 Mbps Ethernet Wireless (WiFi) GbE TokenRing u. a.
WAN (abhängig von der Konfiguration):
ISDN BRI 10/100 Mbps Ethernet (DSL) Analog GPRS/UMTS u. a.
Ein offenes Wort:
Technische Daten sind nur
eine Seite jeder VPN-Lösung.
Die andere: Kompetenz und
Zuverlässigkeit der Berater,
Objektivität und HerstellerUnabhängigkeit bei Hardware-Komponenten. Auch
darauf können Sie sich bei
HOB verlassen.
LD
L
SS
N
VP
Zugriff auf alle Daten-/
Applikationsserver
(zSeries, iSeries, Windows
Terminal Server,
Linux-/Unix-Server) mit
zentraler Administration,
multipler LDAP-Unterstützung
und High Security.
nux
Li
ix
Un
0
327
S
WT
0
525
Praxis
Integrieren.
Konsolidieren.
Optimieren.
HOBLink und HOBCOM
ermöglichen das Nutzen
von Daten und Applikationen
aller Host-/Server-Systeme
mit zentraler Administration
und High Security.
Software&Services
Software&Services
IG
E
T IA R E N T
ONS
¦Server-based Computing:
Plattformunabhängigkeit
für Windows Terminal Server
L
I N T E LT W
S O F OLU
S
S e c u r i t y.
Lösung
Windows Terminal Server Computing
optimieren:
Ter
m
ina
l
Ser
vic
es
Unterstützung von RDP4/RDP 5.x mit
plattformunabhängiger Multi-UserAnbindung an alle geschäftskritischen
Datenbestände und Applikationen
auf Windows Terminal Servern.
Ausbau-Komponenten für zentrale
Administration, universelle LDAPUnterstützung und High Security.
en nix
ts
Web-to-any-Server
AP
Integration.
Communication.
nce
d
IT Infrastruktur optimieren:
HOBLink J-Term HOB Enterprise Access
¦Web-to-any-Server Windows Terminal Server
Database Host/Server Linux/Unix Integration
Kryptografie Virtual Private Networking
ha
Lösung
S e c u r i t y.
L
I N T E LT W
S O F OLU
S
En
S e c u r i t y.
Integration.
Communication.
Server-based-Computing
¦Integration aller Server/
Hosts und Clients mit
zentraler Administration.
L
I N T E LT W
S O F OLU
S
Enterprise IT
Integration.
Communication.
IG
E
T IA R E N T
ONS
IG
E
T IA R E N T
ONS
Intelligent Software Solutions: Mit HOB zu sicheren Entscheidungen über IT-Investitionen durch Dokumentation Information Test.
Java
SSL
U
x
inu li
s L in C
WindowS X Th
Mac O
Software&Services
HOBLink J-Term – einfach besser.
HOB Software: Lösungen, die so kein anderer
Hersteller zu bieten hat.
HOBLink JWT hat anderen Wichtiges voraus.
S e c u r i t y.
L
I N T E LT W
S O F OLU
S
¦IT Security mit Konzept:
plattformunabhängig,
für Internet und Intranet.
Integration.
Communication.
S e c u r i t y.
Database
Lösung
Security SSL
Sicherheit im Netz
Application Server Computing
bis zu Web-to-Host durch
Autorisierung, Authentifizierung,
Administration, Verschlüsselung.
Unternehmensweit. Über alle
Plattform- und Systemgrenzen.
L
I N T E LT W
S O F OLU
S
¦Integration verteilter
Datenbanken als Grundlage für e-Business.
Lösung
Universelle Datenbank-Integration
VSAM DL/1
IMS/DB
Universeller Zugriff auf alle
relationalen Datenbanken und
hierarchischen Datenbestände
über die Standardschnittstellen
ODBC und JDBC
mit direktem Import der Daten in
Anwendungsprogramme.
DB2
MS SQL Server
Informix
Sybase Oracle
Software&Services
S e c u r i t y.
Universelle Datenbank-Integration:
Direkter Import der Daten aller relationalen
Datenbanken und hierarchischen Datenbestände in Anwendungsprogramme. Unterstützung
aller wichtigen Schnittstellen, Verbindungen,
Datenbanken und Server-Plattformen.
HOBLink Secure – weniger Sicherheit ist nicht
sicher genug.
E-Mail
Verteilte Datenbanken integrieren – rundum
sicher gelöst.
[email protected]
[email protected]
Telefon Hotline 09103 715-161
Fax Hotline
09103 715-299
L
I N T E LT W
S O F OLU
S
¦HOBCOM: Mainframes
für Internet/IntranetUmgebungen optimieren.
Lösung Host
Software&Services
High Security:
Das plattformübergreifende Security-Konzept:
SSL-basierend, 256 Bit-Verschlüsselung, Komprimierung, Zertifikatserstellung/-verwaltung,
Proxy-Einsatz.
HOB GmbH & Co. KG
Tel. 09103 715-0 · Fax 09103 715-271
Schwadermühlstraße 3
90556 Cadolzburg
Integration.
Communication.
Optimierungs
Integration.
Communication.
IG
E
T IA R E N T
ONS
Windows Terminal Server Computing:
Die erste und einzige plattformunabhängige,
RDP-basierende Lösung: Zentrale Administration, LDAP-Unterstützung, Universal Printer
Support, Web Secure Proxy für mehr Sicherheit.
IG
E
T IA R E N T
ONS
Praxis-Beispiele:
Ein informativer Überblick auf alle HOB Software-Lösungen und ihren Einsatz in IT-Umgebungen mit allen Host-/Server-Systemen, ClientPlattformen und Netzwerk-Verbindungen.
IG
E
T IA R E N T
ONS
Web-to-any-Server:
Zugang aller Clients aus einer Anwendung zu
allen Servern. Zentrale Konfiguration/Administration und LDAP-Unterstützung, Easy Print,
High Security:
HOBCOM
für /390 und zOS-Mainframes:
Ohne aufwändige Umstellungen
erweitert HOBCOM die
Mainframe-Funktionalität
in heterogenen Umgebungen mit
Internet/Intranet-Anbindung,
durch LDAP-Unterstützung,
mehr Druckmöglichkeiten,
verbessertes Session-Handling,
TCT-GUI und vieles mehr.
Software&Services
HOBCOM:
Diese Host-Software optimiert die MainframeFunktionalität in Internet-/Intranet-Umgebungen. Nach 20 Jahren ständiger Weiterentwicklung, parallel zu den Evolutionsstufen der IBM
Mainframes, ist heute HOBCOM unverzichtbar
für wichtige Anwendungsbereiche.
HOBCOM. Weil Mainframes Zukunft haben.
Auslandsniederlassungen:
Eindhoven, Malta,
Paris, Wien, Minneapolis
Software&Services