LINUX / UNIX Consulting & Training


Über uns :: Consulting :: Training :: Security :: Zertifizierungen :: Was ist LINUX?

VoIP :: Produkte :: Partner/Referenzen :: Kontakt :: Feedback :: Home

 



 Produkte
 

Firewall

 

 

  

Produkte
   

xenit-box (Firewall)

Die Aufgabe der Firewall ist es, durch verschiedene Mechanismen die Sicherheit im Unternehmensnetz zu erhöhen. Sie stellt den einzigen Zugang des internen Netzes zum öffentlichen Netzwerk dar. Durch die Konzentration des Zugangs auf eine einzelne Komponente werden das Sicherheits-Management sowie die Überwachungs- und Kontrollfunktionen wesentlich vereinfacht. Die Firewall besteht aus mehreren Komponenten, die je nach Benutzeranforderung an die Dienste und die Sicherheit individuell konfiguriert werden.

Firewall Bestandteile:
  • Paketfilter
    • Der Paketfilter analysiert die Header der ankommenden und ausgehenden Pakete (IP, TCP, UDP, ICMP). Dadurch kann er applikationsunabhängig nach Sender/Empfänger IP-Adresse und Sender/Empfänger Port filtern. Aufgrund der Filterregeln wird dann über jedes Paket entschieden. Falls die Filtereinstellungen das Weiterleiten nicht erlauben, wird das Paket zurückgewiesen. Dieser Filter ist sehr performant, da der Funktionsumfang einfach gehalten ist. Der Paketfilter allein bietet nur beschränkten Schutz, da er nicht nach Inhalten filtert. Für diesen Zweck werden zusätzlich Application Level Firewalls verwendet. Es gibt aber bereits die Möglichkeit unerwünschte Dienste wie Instant Messaging oder Tauschbörsennutzung zu unterbinden, indem man die Verbindungen über die dazugehörigen Ports verbietet.

  • Application Level Firewall (ALF) / Proxy-Server (SQUID)
    • Die Application Level Firewall bildet das Gegenstück zum Paketfilter. Eine solche ALF wird zwischen das interne und externe Netz geschaltet und schottet beide Netze voneinander ab. In Richtung Client spielt der Proxy den Server und nimmt alle Verbindungen entgegen. Gegenüber dem Server spielt er den Client und schickt die Anfragen. Beide Parteien kennen nur den Proxy als Verbindungspartner. Dies hat den Vorteil, dass der Aufbau des internen Netzwerkes geheim bleibt. Es ist weiterhin möglich, zusätzlich einen Scanner für Viren einzubauen. Der Proxy Dienst kann in einem anonymen Modus oder aber in einem Authentifizierungs-Modus verwendet werden.

  • DoS-Schutz
    • Die xenit-box basiert auf einem gehärteten Linux Grundsystem, welches Sie vor diversen DoS Attacken schützt. Unter aderem SYN Attack, IP Spoofing, Ping Flood, DDoS, SMURF und FRAGGLE.

  • Traffic Shaping und QoS
    • Mit Traffic Shaping wird es möglich für bestimmte Dienste oder Rechner feste Bandbreiten zu reservieren, Prioritäten zu setzen oder die Bandbreite dynamisch zuzuteilen. Zum Beispiel eine feste garantierte Bandbreite für VoIP und eine Einschränkung der Bandbreite für die surfenden Mitarbeiter.

  • WLAN
    • Der WLAN Access Point ist die zentrale Netzkomponente für ein Wireless LAN. Der WLAN Access Point wird aus Sicherheitsgründen nicht ins »trusted» Intranet integriert, sondern bekommt eine eigene Zone. Da die herkömmlichen Sicherheitsmechanismen von WLAN unsicher sind, wird der Funkverkehr wahlweise mit VPN oder Radius abgesichert.

  • VPN-Gateway
    • xenit-box ist ein vollumfängliches VPN-Gateway. Heimarbeitern lassen sich einfach an das Firmennetzwerk anbinden, verschiedene Standorte können durch einen VPN Tunnel übers Internet miteinaner verbunden werden oder Ihr Wireless LAN kann durch ein VPN geschützt werden. Das xenit-box VPN-Gateway setzt auf den IPSec Standard und unterstützt diverse aktuelle Verschlüsselungsalgorithmen. Unter anderem DES, 3DES, MD5, SHA-1, SHA-2, AES, Twofish, Blowfish und Serpent. Alle IPSec-Standard-konformen VPN Clients sind unterstüzt. Zur Authentifizierung können Passphrase(PSK), RSA-Keys oder X.509 Zertifikate eingesetzt werden.

  • Management
    • Das Webinterface ermöglicht dem Administrator die Konfiguration und den Unterhalt der xenit-box über einen Browser vorzunehmen sowie die Analyse.

  • Viren Filter
    • Der Viren Filter überprüft alle eingehenden und ausgehenden Mail-Datenpakete auf Viren.

  • Caching
    • Eine Funktion des Web-Proxy ist es, Daten, die aus dem Internet geladen werden (Internetseiten), zwischenzuspeichern (cachen). Wird ein zweites Mal auf diese Daten zugegriffen, kann stattdessen die Kopie herangezogen werden, so dass keine zusätzliche Kommunikation mit dem Internet erforderlich ist. Dies vermindert den Netzwerk Traffic erheblich und kann so zur Senkung der Kosten beitragen.

  • Intrusion Detection System
    • Das Intrusion Detection System (IDS), erkennt Eindringlinge und vermeidet Attacken auf ihre IT-Systeme und Netze. Nach Möglichkeit können Gegenmassnahmen eingeleiten werden. Alles, was im Netzwerk anormal ist, wird von dem IDS-System erkannt und protokolliert. Dazu benutzt das IDS Sensoren, die anormalen Datenverkehr aufspüren und mit vorgegebenen Mustern vergleichen. Weiterhin steht ein Werkzeug zur Verfügung, welches die protokollierten Daten grafisch aufbereitet, um sie besser auswerten zu können.


 

LINUX and IT works

 
 
     

 

   © 2002 by XenIT GmbH •  webmaster@xenit.ch