Die sichere Datenbertragung

1
Die sichere Datenübertragung

• Martin Schmitz
• Systems Engineer
• April 2006

2
Das Unternehmen SonicWALL

• Gegründet in 1991
• Erste integrierte Security Appliance wurde 1997
  vorgestellt
• Führender Anbieter von Sicherheitslösungen für
  kleine, mittlere und große verteilte Netzwerke
• Ca 400 Mitarbeiter weltweit
• Mehr als 700.000 Appliances verkauft
• Gewinner des American Business Awards

3
SonicWALL Niederlassungen
SonicWALL weltweit im Einsatz!
4
Der SonicWALL Lösungsumfang
Inspection
Protection
Connection
5
SonicWALL Firewall Produktpalette
Preis
Leistung
6
Agenda
Lösungsansatz Sichere Datenübertragung Wie
kann man sicherstellen, dass unternehmenskritisch
e Daten sicher übertragen werden? Stichworte
VPN (VPN mit Client, SSL VPN), Secure Wireless
7
Der sichere mobile Arbeitsplatz
8
Remote Access - Heute

• Die meisten Organisationen verwenden IPSec VPN
  Clients für Remote Access
• IPSec hat die folgenden technischen Limitationen
• IPSec benötigt einen "fat" Software Client,
  welcher auf dem Remote Device installiert und
  konfiguriert werden muss
• Manchmal treten Schwierigkeiten auf, wenn man den
  Tunnel von einem firewallgeschützen Fremdnetzwerk
  aufbaut.

9
Anforderungen
Produkt Features

• Bedürfnisse
• Sicherer und unkomplizierter Remote Access
• Leichtes Verteilen, Konfigurieren und Management

• Funktionen
• Zugriff auf E-Mail, Dateien und Anwendungen auf
  dem Firmen- LAN
• Personalisiertes Portal
• Keine NAT Traversal Probleme
• Kein Bedarf an vorinstallierten Fat Clients
• Granulare Policy Konfiguration
• Intuitives Management über Web interface
• Granulares Logging

10
Anforderungen
Produkt Features

• Bedürfnisse
• Solide Sicherheit
• Niedrige Total Cost of Ownership

• Funktionen
• Transparente Benutzer Authentifizierung (lokale
  Datenbank, LDAP, RADIUS, AD, Windows NT Domain)
• SSL Encryption (DES, 3DES, ARC4)
• Cryptographic Hardware Acceleration
• Endpoint Cache Cleaner
• UTM Schutz, wenn eine SonicWALL Firewall
  verwendet wird
• Keine Beschränkung der gleichzeitigen Tunnel
• Kein Bedarf an vorinstalliertem Fat Client
• Reduziert den Admin-Aufwand

11
SSL-VPN
12
Was ist SSL VPN Remote Access?

• Jederzeit und überall Zugriff auf Netzwerk
  Ressourcen
• Nur ein Web-Browser wird benötigt
• Sehr leicht zu benutzen für den Anwender
• Sichere Verbindung durch SSL Verschlüsselung

13
IPSec VPN Customer Solution Areas
SSL-VPN IPSec VPN
Site-to-Site IPSec VPN
Corporate Headquarters
Employees using corporately managed and
controlled laptops
SSL-VPN IPSec VPN
End point terminals not corporately controlled
and managed
Authorized partners and customers
Telecommuters Contractors
SSL VPN Customer Solution Areas
14
SonicWALL SSL-VPN 200/2000

• Dedizierte SSL-VPN Appliance
• Bezahlbarer, einfacher, sicherer Remote Access
• Kompatibel mit Firewall Appliances
• Authentisierung durch SSL-VPN Appliance
• Interne Datenbank, Radius, LDAP oder Active
  Directory
• Grösstmögliche Sicherheit in Verbindung mit
  SonicWALL Firewalls
• Nutzung aller Vorteile des aktivierten UTM
  Dienstes

15
Remote Access Markt nach Preissegmenten
Vernachlässigter Markt
Juniper Networks (Neoteris) AEP Networks
(Netilla) F5 Networks Aventail Whale Cisco Check
Point Nokia
NEW
SSL-VPN 2000
SSL-VPN 200
Preis
US 2,500 Niedrigster Preis
0
16
Mobiler Remote Access Markt
Application Security Gateways (established SSL
VPN products)
Enterprise
Remote Control/ Remote Access Software
SSL VPN SMB market opportunity
IPSec VPN
IPSec VPN
KMU
High Availability/ scalability
Extensive group management
Reverse proxy for Legacy and c/s apps
True packet level access
Very easy to use for admin end user
Automated thin client installation
Control remote users machines
Adherence to layered Security at central site
Access corp network from remote location
Endpoint security enforcement
Remote cleanup/ accessibility from non-owned
resource
Access remote machines
Note Does not include site-to-site VPN
17
Welche Zugriffsmöglichkeiten bestehen?

• Via Standard Web Browser
• Dateien und Dateisysteme (beinhaltet Support für
  FTP und Windows Network File Sharing)
• Web-basierte Anwendungen
• Microsoft Outlook Web Access und andere
  Web-enabled Anwendungen
• HTTP und HTTPS Intranet
• Via SonicWALLs NetExtender (ActiveX Client)
• Alle TCP/IP basierten Anwendungen inklusive
• E-mail Zugriff via Client auf dem Benutzer Laptop
  (Microsoft Outlook, Lotus Notes, etc.)
• Kommerzielle und individuelle Anwendungen
• Flexibler Netzwerk Zugriff wie vom Netzwerk
  Administrator eingestellt
• Via eines installierbaren ActiveX oder Java
  Clients
• Auf Desktop Maschine installiert oder auf einem
  Server gehostete Anwendungen
• Volle Fernverwaltung von entfernten Desktops
  oder Server Maschinen
• Terminal Services, VNC, Telnet und SSH
• Transparenter Download durch den Web Browser
  des Anwenders

18
Einsatzszenarien
SSL-VPN in einer DMZ
SSL-VPN im LAN
19
Szenarien
SonicWALL Umgebung
Non-SonicWALL Umgebung
Anderer Verkehr
Anderer Verkehr
SSL VPN Verkehr
SSL VPN Verkehr
SSL VPN Verkehr
SSL VPN Verkehr
Limitiert durch Scan Funktionalität der
Fremd-Firewall
Gateway Anti-Virus, IPS,Anti-Spyware, Content
Filter
NetExtender erweitert die Endpunkt-Sicherheit
der Client Verkehr wird durch den SSL Tunnel
geleitet
20
SSL-VPN in einer existierenden DMZ
21
SSL-VPN im LAN
22
Einsatz One-Armed Mode in der DMZ
Router
1
Remote Users
Internet Zone
SNWL Firewall
SSL-VPN Appliance
2
3
DMZ Zone
Encrypted
Network Nodes
Decrypted
LAN Zone
23
Einsatz One-Armed Mode im LAN
Router
1
Remote Users
SNWL Firewall
Internet Zone
Switch
SSL-VPN Appliance
2
3
LAN Zone
Encrypted
Network Nodes
Decrypted
LAN Zone
24
SSL VPN Live Demo

• https//sslvpn.demo.sonicwall.com

25
(No Transcript)
26
(No Transcript)
27
(No Transcript)
28
(No Transcript)
29
(No Transcript)
30
(No Transcript)
31
(No Transcript)
32
SSL-VPN
Administration
33
(No Transcript)
34
(No Transcript)
35
(No Transcript)
36
(No Transcript)
37
(No Transcript)
38
(No Transcript)
39
(No Transcript)
40
Herzlichen Dank
41
IPSec-VPN
42
GroupVPN

• IPSec Keying Modi
• PreShared Secret
• 3rd Party Certificate
• Client Authentication
• Authentication der VPN Clients via XAUTH
• Allow Unauthenticated VPN Client Access

43
Wizard

• Leichte Konfiguration für sicheren Zugriff

Auf ein entferntes SonicWALL VPN Gateway
44
Wizard

• Leichte Konfiguration für sicheren Zugriff

Auf ein entfernetes SonicWALL VPN Gateway
Mit Domain Name von entfernetem SonicWALL VPN
Gateway
Ein Name, ein Click und Sie sind fertig!
45
Wizard

• Leichte Konfiguration für sicheren Zugriff

Verbindung wird zum Default Gateway erzeugt
Ein Click und Sie sind fertig!
46
Group Policy Management

• Benutzerzugriff kann auf Netzwerke und
  Subnetzwerke konfiguriert und beschränkt werden

• Zuordnung von Benutzern zu Gruppen mit dem Recht
  auf bestimmte Netzwerke zuzugreifen

• Verwendung von interner Datenbank, Radius oder
  Active Directory Gruppen

• Requires SonicOS Enhanced
• GroupVPN Destination Objekt pro User

47
Group Policy Management

• Unterschiedliche Benutzer können unterschiedliche
  Segment des Firmen- netzwerkes verwenden.

PRO Series
48
Group Policy Management

• Unterschiedliche Benutzer können unterschiedliche
  Segment des Firmen- netzwerkes verwenden.

• Engineer
• Accessing Engineering resources

PRO Series
Engineer
49
Group Policy Management

• Unterschiedliche Benutzer können unterschiedliche
  Segment des Firmen- netzwerkes verwenden.

• Engineer
• Accessing Engineering resources

• Marketing Manager
• Accessing Marketing resources

PRO Series
Marketing Manager
50
Group Policy Management

• Unterschiedliche Benutzer können unterschiedliche
  Segment des Firmen- netzwerkes verwenden.

• Engineer
• Accessing Engineering resources

• Marketing Manager
• Accessing Marketing resources

• VP of Finance
• Accessing Finance and HR resources

PRO Series
VP of Finance
51
Pocket Global VPN Client

• Pocket Global VPN Client (Pocket GVC) stellt eine
  einfach zu verwendende Lösung für
  Handheld-Devices wie PDAs welche Microsoft Pocket
  PC 2003 verwenden zur Verfügung, um sicheren,
  verschlüsselten Zugriff auf das interne Netzwerk
  der Firma oder auf das Internet zu ermöglichen
  sei es per PPP oder GPRS.

52
Erweiterung der SonicWALL VPN Lösung

• SonicWALL Pocket Global VPN Client 3.0 (Pocket
  GVC)
• Jetzt verfügbar für Microsoft Pocket PC 2003
• Gleiches look and feel wie Global VPN Client
  für PCs
• Unterstützt WAN, PPP und GPRS Adapter
• Terminiert Tunnel auf jedem SonicWALL Gerät der
  3. oder 4. Generation für Remote Access
• Voll kompatibel mit SonicWALL Wireless Produkten
• Verwendet das bestehende Global VPN Client
  Lizensierungsmodell
• Adressiert die wachsende Nachfrage in vertikalem
  Business wie z.B. Gesundheitswesen, Produktion,
  Restaurants und Transportorganisationen

53
Benutzeroberfläche
54
Benutzeroberfläche
55
Secure Wireless
56
SonicWALL Secure Wireless mit TZ 150W und TZ 170W

• Standalone-Lösung
• Schützt Wired und Wireless-User
• Basierend auf einer bewährten Plattform
• FW/VPN-Gateway und AccessPoint
• Bietet Security Enforcement und Management
• W-LAN für ca. 25 Anwender

57
SonicWALL Secure Distributed Wireless Solution

• Security Appliance
• Integrierte Firewall und VPN Security Appliance
  mit Secure Wireless Switch und Kontrollfunktionali
  tät
• Zentrales Management von LAN und WLAN
• Management von bis zu 128 SonicPoints
• Solution Enablers
• SonicPoint und SonicPoint G
• Tri-Mode 802.11a/b/g und Dual Mode 802.11b/g
  abhängig vom Modell des Access Points
• Unterstützt IEEE 802.3af Power over Ethernet
  (PoE)
• Bietet sichere, nahtlose und skalierbare
  Wireless Abdeckung
• PoE Injector
• IEEE 802.3af-kompatibler Stromversorgung
• Stromversorgung des SonicPoints über Ethernet
  Kabel
• Wireless Karte
• Hohe Übertragungsrate 802.11a/b/g
• 108 Mbps 802.11a/g Modus mit SonicPoints

58
Warum Wireless mit SonicWALL?

• Größtmögliche Sicherheit durch WiFi-Sec
  Enforcement (Verschlüsselung mit 3DES oder AES)
• Zentrales Management
• Einrichten von Guest Services möglich
• Einsetzbar als HotSpot
• Einfache Administration
• Viele optionale Services (Content Filtering /
  AntiVirus / AntiSpyware / Intrusion Prevention
  etc.)
• Hohe Geschwindigkeit (802.11 g)
• Roaming - Unterstützung

59
SonicWALL Secure Wireless

• Einfach, kosteneffizient und sicher
• SonicPoint 802.11a/b/g Access Points verbunden
  mit Gerät der PRO Serie / TZ-Serie
• IPSec VPN Security
• Viren, Würmer, Trojaner, Attacken Abwehr durch
  Gateway Anti-virus/IPS
• Content Filtering des Wireless Traffic
• Wireless Roaming
• Bandbreitenkontrolle

60
Wireless Guest Services

• Bietet Wireless Internet Access für Kunden und
  Partner
• Die Gäste haben vollen Internet-, aber keinen
  LAN-Zugang
• Einfaches Einrichten eines Hotspots in Lobby oder
  Konferenzraum
• Ideal für Cafes, Arztpraxen, Tankstellen, Hotels
  etc.

Ermöglicht allgegenwärtigen Wireless Zugang
61
Gastservice (WGS)
Trusted WLAN

• Vorlagen für Gästekonten
• Limited Admin Konto für Management
• Benutzerdefinierte Authentifizierungs Seite

Wired LAN
SonicPoint
Wired clients
PoE Injector
Corporate Servers (File, Print, RADIUS, etc.)
SonicPoint
Trusted WLAN
PoE Switch
DMZ
Wireless Guest Zone
Public Servers (Web, FTP, SMTP, etc.)
62
Gastservice

• Generierung

• Vorlage

63
Erstellung von Guest-Vouchers
64
Wireless HotSpot Services
Authentication Back-End

• Management und Authentifizierung der HotSpot
  Nutzer passiert vollständig auf dem
  Authentifizierungs Backend
• Beliebige Methode zum Erzeugen und Management der
  Benutzer
• Nicht abhängig von bestimmten Abrechnungs oder
  Datenbank Systemen
• Beliebiges Design und Branding der Web Site

Authentication Server
Web Server
HotSpot Site 1
HotSpot Site 2
65
Herzlichen Dank