Your Federal Quarterly Tax Payments are due April 15th Get Help Now >>

K.2 _Virtual_Private_Network by nfy87895

VIEWS: 0 PAGES: 2

									K.2 _Virtual_Private_Network



   Fürchten Sie den Lauscher vor Ihrer Eingangstür?
   Ob Aktualisierung der Kundendaten für den Außendienst, der Zugang zu eMail und Kalender oder der Zugriff auf
   kritische Systeme durch den Field Service: für einen reibungslosen geschäftlichen Ablauf ist der externe Netzzugang
   ins eigene LAN (Local Area Netwok) immer häufiger eine unverzichtbare Voraussetzung.
   Neben mobilen Mitarbeitern mit ihren Notebooks sind auch Satellitenbüros, Home Offices oder unterschiedliche
   Produktionsstandorte darauf angewiesen, Verbindung zu zentralen Unternehmens-, Produkt-, oder Produktionsda-
   ten zu haben.
   Da aufgrund der Mobilität des Anwenders oder der örtlichen wie wirtschaftlichen Rahmenbedingungen eine dezidier-
   te Festverbindung oft nicht in Frage kommt, wird die Netzeinwahl häufig über öffentliche Netze realisiert.
   Bei der Einwahl per ISDN oder analogem Telefonnetz                                     Eine solche sichere Anbindung, Virtual Private Network
   wird der Verbindung zwar eine Leitung explizit zugewie-                                (VPN) genannt, stellt durch die Verschlüsselung und
   sen, ein effektiver Schutz gegen Verlust der Vertraulich-                              Signierung der Kommunikation sicher, dass kein Dritter
   keit durch Abhören ist jedoch nicht gegeben.                                           die Inhalte der Übertragung einsehen oder verfälschen
                                                                                          kann.
   Diese Bedrohung verschärft sich, wenn das Internet als
   universelles Zugangsmedium verwendet werden soll.                                      ConSecur unterstützt Sie bei der
   Auf der einen Seite bietet die Internetnutzung über GSM,
   GPRS, WLAN, UMTS, DSL oder ISDN ein hohes Maß an                                        1 _Festlegung der für Ihre Kommunikationsbedürfnis-
   Flexibilität, auf der anderen Seite sind die Daten im                                      se besten VPN-Strategie,
   Internet enorm gefährdet.                                                               2 _Auswahl geeigneter und wirtschaftlicher VPN-
   Ziel muss es daher sein, den Datenfluss zu verschlüs-                                      Produkte und Systeme,
   seln und die Authentizität der Kommunikationspartner                                    3 _Realisierung und Integration der VPN-Lösung in
   sicherzustellen. Bei der Nutzung des Internets ist dar-                                    Ihre Systeme und Betriebsprozesse sowie
   über hinaus zu verhindern, dass ein Angreifer z. B. das
   Notebook des Anwenders als Hintertür zum zu schüt-                                      4 _Betreuung des VPN-Systems im laufenden Betrieb.
   zenden LAN verwenden kann.                                                             Wesentliche Anforderungen an eine moderne VPN-
                                                                                          Lösung werden im Folgenden erläutert.
                                                        LAN                     DMZ                                    Internet
                                                                                                                                    Home-Office



                                                                             Router /Firewall
                                                                               VPN-Zugang

                                                                                                VPN-Tunnel



                                Arbeitsplatz-                                                                          Internet
                                                                                                 RA
                                  rechner                                                             S-
                                                                                                         Ein
                                                                                                             w   ah
                                                                                                                   l




                                                    interner Server:
                                                Datenbank, ERP,Intranet      Mail-/WWW-Server                                 externer
                                                                                                                             Mitarbeiter




    ConSecur_Leistungen
        Projektplanung                                                                             Installation
        w Analyse des Bedarfs                                                                      w Installation/Integration/Test vor Ort
        w Analyse der vorhandenen Netzwerkstruktur                                                 w Schulung
        w Konzepterstellung                                                                        Aufwand                                        2 -3 Tage
        Aufwand:                                                          3 -5 Tage
                                                                                                   Gesamt-Projektaufwand (zzgl. HW / SW)          5 -8 Tage
        Beschaffung VPN-System
        w wie im Konzept spezifiziert                           nach Aufwand
    Dieses unverbindliche Projektbeispiel geht von einem einzelnen VPN-Gateway aus.

            ConSecur GmbH, Schulze-Delitzsch-Str. 2, 49716 Meppen, Tel.: +49 5931 9224-0, Fax: +49 5931 9224-44, eMail: info@consecur.de
 K.2 _Virtual_Private_Network



Das methodische Vorgehen
Wesentlicher Bestandteil der ConSecur Methode ist die Berücksichtigung des Kommunikationsbedarfs und der be-
sonderen Anforderungen des Kunden. Wichtig ist, alle Lösungsmöglichkeiten in Betracht zu ziehen. Es muss z.B.
nicht immer ein VPN mit einer dedizierten IPsec-Client-Software notwendig sein. SSL-VPNs bieten die Absicherung
von einzelnen Diensten wie z.B. Intranet oder eMail. Die übliche Client-Software wie Web-Browser oder eMail-
Clients verfügen bereits über die für zertifikatsbasierte Authentisierung und Verschlüsselung notwendigen Module
und erlauben in der Regel die Nutzung von Zertifikaten auf SmartCards.
Neben den kundenspezifischen Ansprüchen gibt es einige grundlegende Merkmale, die eine sichere, effiziente und
wirtschaftliche VPN-Lösung auszeichnen und somit Bestanteil eines VPN-Konzepts sein sollte.

Zentrale Verwaltung und Konfiguration der Komponenten
Wichtigstes Kriterium ist nach der Sicherheit das leichte Management der VPN-Lösung. Durch eine zentrale, grup-
penbasierte Administration werden, besonders im mobilen Umfeld, Ausfallzeiten und der Administrationsaufwand
erheblich reduziert.

Starke Authentisierung mit Zertifikaten, Smart Cards oder One Time Password Token.
Für einen sicheren Zugang ist eine starke Authentisierung unabdingbar. Vorzugsweise ist eine Zwei-Faktoren-
Authentisierung zu verwenden. Diese kann in Form einer Smart Card oder eines One Time Password Tokens reali-
siert werden.
w Bei der Smart Card wird ein privater Schlüssel auf der Karte selbst erzeugt und kann diese nicht verlassen. Alle
   kryptographischen Operationen werden auf der Karte selbst ausgeführt. Somit ist jede Karte ein Unikat das zu-
   sätzlich noch mit einem Passwort geschützt wird.
w Ein One Time Password Token erzeugt laufend anhand seiner internen Uhr und eines geheimen Schlüssels neue
   Passwörter. Der geheime Schlüssel ist dem Authentisierungsserver bekannt. Somit ist er in der Lage die Einmal-
   passwörter zu verifizieren.
   Einmalpasswörter bieten Vorteile in Szenarien, wo zusätzlich zum VPN der Zugang zu Diensten abgesichert wer-
   den soll, welche nicht auf IP-basieren oder keine starke Authentisierungsmethode vorsehen, wie z. B. RAS-Ein-
   wahl oder administrativer SSH-Zugang zu Routern innerhalb des Unternehmens.

Transparenz der VPN-Verbindungen für den Benutzer.
Der Benutzer sollte so arbeiten können, wie er das innerhalb seines Unternehmens gewohnt ist. Deshalb ist eine
weitgehende Transparenz der VPN-Verbindungen zu fordern. Dies wird durch eine IPsec-konforme Implementierung
erreicht. Der Benutzer merkt idealerweise nach erfolgter Authentisierung keinen Unterschied zum LAN, abgesehen
von Bandbreiten- und Performanceeinschränkungen des Zugangsnetzes.
Beim Zugriff auf einzelne Dienste über ein SSL-VPN arbeitet der Benutzer mit den ihm vertrauten Anwendungen wie
z.B. Browser oder eMail-Client wie gewohnt.

Beschränkung des Zugriffs auf bestimmte Systeme und Dienste.
Einen zusätzlichen Gewinn an Sicherheit bringt die Möglichkeit der Beschränkung des VPN-Zugriffs auf bestimmte
Systeme und Dienste. Damit wird gewährleistet, dass der Fernzugriff schon auf der VPN-Ebene konform zur Si-
cherheits-Policy gestaltet werden kann.

Integration einer Personal Firewall zur Abwehr von Angriffen aus dem Internet
Ein VPN realisiert eine transparente Verbindung ins LAN des Unternehmens. Damit wird der VPN-Client Bestandteil
des LAN. Gelingt es einem Angreifer z. B. eine Spyware auf dem Client zu installieren, so dient dieser als Hintertür
für Angriffe auf das Unternehmensnetz. Lokale Schutzmaßnahmen (sog. Personal Firewall) schützen gegen diese Art
von Bedrohungen.




         ConSecur GmbH, Schulze-Delitzsch-Str. 2, 49716 Meppen, Tel.:+49 5931 9224-0, Fax: +49 5931 9224-44, eMail: info@consecur.de

								
To top