USP ENTERPRISE NETWORK SERVICES
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
USP Enterprise Network Services
Copyright © 2008 United Security Providers Dezember 2008 Version 1.2
Technical Whitepaper
USP ENTERPRISE NETWORK
SERVICES
SICHERE, WELTWEITE VERNETZUNG VON FIRMENSTANDORTEN
USP Enterprise Network Services
Copyright © 2008 United Security Providers Dezember 2008 Version 1.2
Inhaltsverzeichnis
Über dieses Dokument 3
Zusammenfassung 4
Lösungsübersicht 5
Managed Services 9
Reporting 14
Technische Angaben 16
Factsheet 18
Kontakt
United Security Providers AG
Bahnhofstrasse 4 · Postfach · CH-3073 Gümligen
Tel +41 31 959 02 02 · Fax +41 31 959 02 59
Förrlibuckstrasse 220 · Postfach · CH-8031 Zürich
Tel +41 44 496 61 11 · Fax +41 44 496 61 99
info@united-security-providers.ch
www.united-security-providers.ch
Seite 2
USP Enterprise Network Services
Copyright © 2008 United Security Providers Dezember 2008 Version 1.2
Über dieses Dokument
Dieses Dokument stellt dem Leser die Enterprise Network Services von
United Security Providers vor. Dabei wird der Schwerpunkt auf die si-
chere Vernetzung von Firmenstandorten gelegt.
Das Dokument richtet sich an Leser, welche sich für die WAN-Lösungen
von United Security Providers interessieren. Dieses Whitepaper behan-
delt die Lösungen von United Security Providers in drei Teilen:
Im ersten Teil werden die Produkte von United Security Providers vor-
gestellt, die zur Vernetzung von Firmenstandorten eingesetzt werden.
United Security Providers entwickelt die Hardware-Komponenten selber,
welche benötigt werden, um Firmenstandorte untereinander zu vernet-
zen. Dadurch ist sichergestellt, dass optimal auf Kundenbedürfnisse re-
agiert werden kann.
Im zweiten Teil dieses Dokumentes sind die professionellen Services,
welche United Security Providers im WAN-Umfeld bietet, vorgestellt. Die
Kunden können verschiedene Managed Services beziehen, deren Leis-
tungsmerkmale zentral in einem Service Level Agreement beschrieben
sind.
Im dritten Teil wird verdeutlicht, dass der Kunde jederzeit die Kontrolle
über seine Netzwerkinfrastruktur hat. Aufgezeigt werden die umfassen-
den Möglichkeiten des USP Kundenportals wie auch des PDF Reportings.
Seite 3
USP Enterprise Network Services
Copyright © 2008 United Security Providers Dezember 2008 Version 1.2
Zusammenfassung
Ein zuverlässiges und sicheres Datennetz ist für Firmen mit mehreren
ENS Standorten im Zeitalter der globalen Vernetzung zur Hauptschlagader
geworden. Moderne Unternehmen sind auf die Nutzung des Internets
angewiesen und benötigen dabei ein hohes Mass an Sicherheit, sei es
• Zuverlässiges,
bei der Vernetzung weltweit verteilter Firmenniederlassungen, bei der
sicheres Da-
Anbindung mobiler Mitarbeiter und Heimarbeitsplätzen oder bei der Ver-
tennetz
netzung von Geschäftspartnern wie Kunden und Lieferanten.
• Reduktion der
Komplexität Globale Firmennetze besitzen heute eine hohe Komplexität, nicht zuletzt
auf ein SLA da verschiedene Technologien kombiniert werden müssen, um den regi-
• Single Point of onalen Bedürfnissen gerecht zu werden. Die professionelle Betreuung
Contact für durch Spezialisten bringt hier weiterreichende Vorteile mit sich. United
das gesamte Security Providers agiert als Single Point of Contact für alle das Netz-
Firmennetz werk betreffende Anfragen. Die Komplexität wird für unsere Kunden auf
ein einfaches Service Level Agreement (SLA) reduziert.
United Security Providers arbeitet weltweit mit lokalen Netzbetreibern
zusammen. Das Management der Datenleitungen ist dabei für den Kun-
den transparent und wird vollständig von United Security Providers ab-
gedeckt. Netzwerk- und Sicherheitskomponenten werden dezentral vom
Security Operations Center in der Schweiz überwacht, auf Wunsch rund
um die Uhr.
Der Einsatz von ENS bietet folgende Vorteile:
• Kostenersparnisse dank massgeschneiderten Lösungen von United
Security Providers.
• Reduktion der Komplexität des Firmennetzes für unsere Kunden
dank einer einzigen, transparenten SLA.
• Der Kunde hat die Kontrolle über seine Netzwerk-Infrastruktur und
die Einhaltung der SLA dank dem USP Kundenportal.
• Verbesserte Verfügbarkeit und Sicherheit: Unsere Netzwerk-
Sicherheitsexperten überwachen den Zustand des Netzwerks und
können so sehr zeitnah auf Probleme und Risiken reagieren, auf
Wunsch sogar 7 x 24h.
• Die firmeninterne IT wird durch die Auslagerung von Netzwerk- und
Sicherheitsaufgaben entlastet. So können Kunden auf ihre Kernpro-
zesse fokussieren.
Seite 4USP Enterprise Network Services
Copyright © 2008 United Security Providers Dezember 2008 Version 1.2
Lösungsübersicht
Ausgangslage
Übersicht
Enterprise Network Services (ENS) verbinden nicht nur mehrere Stand-
• Ausgangslage orte miteinander, sondern bieten auch ein hohes Mass an Sicherheit.
• Basisplattfor- Die Verbindungen über das Internet werden durch moderne Technolo-
men gien geschützt. Zudem wird der Zustand des Netzwerks ständig über-
wacht, sowohl auf Sicherheits- wie auch auf allgemeine Health-Aspekte.
• Sichere Ver-
bindung ENS verbindet Firmenstandorte unter Verwendung von Datenleitungen
• Service Level lokaler Netzbetreiber. Dadurch ist ENS optimal auf lokale Gegebenheiten
Agreement abgestimmt. Die entstehende Komplexität federt United Security Provi-
ders ab. Der Kunde schliesst mit uns ein Service Level Agreement (SLA)
ab. United Security Providers überwacht die Einhaltung des SLA und
kontaktiert im Störfall die regionalen Netzbetreiber direkt.
ENS zeichnet sich durch eine breite Palette von verschiedenen Diensten
aus, welche einzeln bezogen werden können. Dadurch lassen sich die
ENS-Lösungen von United Security Providers optimal auf die Bedürfnisse
der Kunden abgestimmt. Ändern sich die Bedürfnisse der Kunden, kann
die Lösung zeitnah angepasst werden.
Als Plattformen für die ENS Palette dienen OpenSource-basierte Ap-
pliancies von United Security Providers. Diese Gateways zeichnen sich
durch eine schnelle Integration in die bestehende Infrastruktur aus. Das
Unternehmens-Netzwerk kann so schnell und zuverlässig betrieben wer-
den.
Basisplattformen
Als Eckpfeiler der Enterprise Network Services von United Security Pro-
viders dienen drei schlüsselfertige Gateway Appliances.
Abbildung 1: ENS Produktfamilie
Seite 5USP Enterprise Network Services
Copyright © 2008 United Security Providers Dezember 2008 Version 1.2
• USP Satellite: Ein platzsparender Netzwerk- und Sicherheitsgateway.
Diese kostengünstige Lösung stellt eine ideale Plattform für Standorte
mit bis zu 20 Benutzern dar. Die obersten beiden Appliances in
Abbildung 1 zeigen zwei USP Satellites.
• USP Secure Edge: Er bildet die Basisplattform der Produktefamilie. Er
deckt alle Bedürfnisse eines modernen UTM Gateways ab und kann
an Standorten mit bis zu 500 Benutzern eingesetzt werden. In
Abbildung 1 sind in der Mitte zwei USP Secure Edges abgebildet.
• Der USP Enterprise Hub ist der leistungsstärkste Gateway der Pro-
duktfamilie. Er schützt Unternehmensnetzwerke an Standorten mit
besonders hohen Anforderungen oder an grossen Standorten mit bis
zu 5000 Benutzern. Die untersten beiden Appliances in Abbildung 1
sind USP Enterprise Hubs.
Alle Plattformen basieren auf OpenSource Modulen. Die Appliances wer-
den fertig vorkonfiguriert geliefert und können dezentral bei den Stand-
orten vom Kunden installiert werden. Nach der Installation werden die
Appliances zentral durch Security Operations Center von United Security
Providers betrieben.
Der USP TLS Client ist ein schlanker und zuverlässiger VPN-Client für
Microsoft Windows Systeme. Er ermöglicht einen vollständigen Remote
Access auf der Basis von TLS, was ihn gegenüber herkömmlichen Lö-
sungen, welche meist auf IPSec oder L2TP basieren, auszeichnet, da
TLS VPN flexibler, einfacher und im allgemeinen schneller als IPSec VPN
ist. Der USP TLS Client kommt vor allem bei Heimarbeitsplätzen oder
bei Travelling Users zum Einsatz.
Sichere Verbindung
United Security Providers arbeitet mit lokalen Providern zusammen und
agiert gegenüber dem Kunden als Virtual Network Operator. Der Kunde
muss sich so nicht mit den Gegebenheiten an seinen Standorten und
deren Vernetzung befassen. United Security Providers kann von einer
grossen Anzahl internationaler Netzbetreiber unterschiedliche Technolo-
gien und Infrastrukturen in Enterprise Network Services integrieren.
ENS unterstützt verschiedene Netzwerkkonzepte zur sicheren Verbin-
dung von Standorten, was zu einer hohen Flexibilität führt:
• IPSec VPN: IPSec setzt auf der dritten Schicht (Vermittlungsschicht)
des OSI-Referenzmodells auf. IPSec bietet aktuell den besten Schutz
punkto Vertraulichkeit, Authentizität und Integrität. IPSec ist durch
seine Komplexität relativ fehleranfällig, was aber durch den professi-
onellen Security Operations Center von United Security Providers
weitgehend abgefedert wird.
• TLS VPN: TLS ist die Weiterentwicklung von SSL. TLS ist in der
Transportschicht des OSI-Referenzmodells angesiedelt. Durch die gu-
te Abstraktion können sämtliche IP-basierten Protokolle durch
SSL/TLS getunnelt werden, was die Technologie für VPN sehr attrak-
tiv macht. Der Verbindungsaufbau ist für die Serverseite sehr rechen-
intensiv. Nachdem die Verbindung etabliert ist, fällt die subjektive
Empfindung der Verbindungsgeschwindigkeit allerdings deutlich bes-
ser aus als bei IPSec.
• MPLS: MPLS arbeitet auf der zweiten Schicht des OSI-
Referenzmodells, wodurch verschiedenste Arten von Daten übertra-
Seite 6USP Enterprise Network Services
Copyright © 2008 United Security Providers Dezember 2008 Version 1.2
gen werden können. Den Datenpaketen wird ein zusätzliches Label
angefügt, welches der Vermittlung auf den Routern dient. VLANs sind
somit das Pendant zu MPLS in lokalen Netzen. Im Gegensatz zu IPSec
oder TLS VPN bietet MPLS keine sicherheitstechnischen Funktionen.
MPLS kann weder authentisieren noch verschlüsseln.
Die verschiedenen Technologien lassen sich kombinieren, so dass ein
Unternehmen ein heterogenes, sicheres Datennetz über das Internet
aufbauen kann.
Abbildung 2: Heterogenes, sicheres Datennetz
Service Level Agreement (SLA)
Das SLA wird zwischen dem Kunden und United Security Providers ab-
geschlossen. Das SLA deckt sämtliche belange des gesamten ENS Servi-
ce ab, unabhängig davon, welche Managed Services der Kunde aus-
wählt, um das Firmennetzwerk optimal auf seine Bedürfnisse abzustim-
men. Die Komplexität, welche durch eine globale Vernetzung von Fir-
menstandorten zwangsläufig entsteht, wird für den Kunden auf ein Ser-
vice Level Agreement reduziert.
Das SLA wird zwischen dem Kunden und United Security Providers ab-
geschlossen. Das SLA deckt sämtliche belange des gesamten ENS Servi-
ce ab, unabhängig davon, welche Managed Services der Kunde aus-
wählt, um das Firmennetzwerk optimal auf seine Bedürfnisse abzustim-
men. United Security Providers ist gegenüber den Kunden für die Ein-
halten des SLAs verantwortlich. Der Kunde kann die Einhaltung mit Hilfe
des USP Kundenportals jederzeit und überall online überprüfen.
Seite 7USP Enterprise Network Services
Copyright © 2008 United Security Providers Dezember 2008 Version 1.2
Abbildung 3: ENS wird vollständig durch das SLA abgedeckt
Das SLA wird den Bedürfnissen des Kunden angepasst. Der Kunde
abonniert nur die von ihm benötigten Managed Services. Die zur Aus-
wahl stehenden Managed Services werden im nächsten Abschnitt dieses
Dokumentes erläutert.
Nicht nur die eigentlichen Services können den Bedürfnissen angepasst
werden. Auch übergreifende Parameter wie Supportzeiten und Verfüg-
barkeiten werden den Kundenwünschen angeglichen. United Security
Providers agiert als Single Point of Contact für die gesamte WAN-
Infrastruktur ihrer Kunden, auf Wunsch sogar rund um die Uhr.
Seite 8USP Enterprise Network Services
Copyright © 2008 United Security Providers Dezember 2008 Version 1.2
Managed Services
ENS besteht aus einer Vielzahl von komplementären Services. Die Ser-
Managed vices sind beliebig kombinierbar. Dadurch entstehen für die Unterneh-
Services mungen individuelle, auf die jeweiligen Bedürfnisse zugeschnittene Lö-
sungen. Als Fundamente der Managed Services dienen die Basiskompo-
• Network nenten von United Security Providers. Das SLA definiert den Umfang al-
Operations ler Leistungen, welche in ihrer Gesamtheit die WAN Infrastruktur des
• Firewall Service Unternehmens bilden.
• Application
Proxy Network Operations
• Application
In globalen Unternehmen treffen die individuellen Anforderungen ein-
Filter
zelner Standorte aufeinander. Oft ist es nicht möglich, mit einem einzi-
• Virtual Private gen Netzbetreiber alle Standorte kosteneffizient und leistungsgerecht
Network abzudecken. United Security Providers betreibt keine eigene Netzwerk-
infrastruktur und kann so mit jedem Carrier zusammenarbeiten. Unter-
• Remote Access nehmen profitieren dadurch doppelt: einerseits von massgeschneiderten
• Link Balancing Netzwerklösungen zu attraktiven Preisen, andererseits von klaren,
durchgängigen SLAs mit einem Partner.
• Traffic Shaping
• Certificate Au- Firewall-Service
thority Service
• Surfscan Alle Unternehmen müssen sich mit Firewalls gegen die Gefahren aus
dem Internet schützen. Diese Bedrohungen verändern sich stetig. Es ist
• URL Filter daher von grosser Wichtigkeit, dass die Firewall immer auf dem neusten
Stand ist und Einbruchsversuche umgehend erkannt bzw. die nötigen
Gegenmassnahmen eingeleitet werden.
Der auf den USP Gateways angebotene Firewall Service umfasst eine
grosse Palette von Funktionalitäten:
• Stateful Inspection Firewall: Auf der Vermittlungsschicht (Layer 3)
des OSI-Referenzmodells werden Datenpakete analysiert. Dabei
kann die Firewall auf den Zusammenhang zwischen Paketen und
den Client-Sessions schliessen und hat so die Möglichkeit, unge-
wöhnliches Verhalten, beispielsweise DoS-Attacken, zu blockieren.
• Network Address Translation (NAT): NAT ermöglicht den Zugriff von
internen Rechnern auf das Internet, ohne dass die internen Rechner
eine öffentliche IP-Adresse benötigen. Dadurch sind sie von aussen
nicht sichtbar und somit schwerer anzugreifen.
• Port Forwarding: Anfragen von aussen auf einen bestimmten Port
können von der Firewall auf eine dafür vorgesehene interne Adresse
umgeleitet werden. Angriffe auf bestimmte Ports werden dadurch
erschwert.
• Multi-Zone Configuration: Das Firmennetz kann in verschiedene Zo-
nen unterteilt werden, so dass beispielsweise Server, welche von
aussen sichtbar sind, logisch und physikalisch von internen Servern
getrennt sind.
Seite 9USP Enterprise Network Services
Copyright © 2008 United Security Providers Dezember 2008 Version 1.2
• Dynamic Host Configuration Protocol DHCP Unterstützung: Die Fire-
wall kann für interne Maschinen als DHCP Server agieren und so den
Clients automatisch eine Netzwerkkonfiguration zuweisen.
• DHCP Relay: Die Firewall hat einen integrierten DHCP Relay Agent.
Wenn es also die Netzwerkkonfiguration nötig macht, können DHCP
Daten an die Clients hinter der Firewall weitergeleitet werden.
• Intrusion Detection and Prevention System: Das IPS erkennt an-
hand von Mustern des Datenverkehrs Angriffe und versucht diese zu
verhindern. Angriffe mit bekannten Mustern werden dadurch stark
erschwert.
• DoS Protection: Denial of Service Attacken werden von der Firewall
erkannt. Entsprechend wird das System gegen solche Attacken ge-
schützt.
• Multilink Routing: Die USP Gateways können mehrere physikalische
Datenleitungen zu einer logischen zusammenfassen. Fällt ein Link
aus, übernehmen die anderen Links sofort den gesamten Datenver-
kehr. Die Zuverlässigkeit des Datennetzes steigt damit deutlich.
• Gateway und Link Failover: Sowohl Gateways als auch Links können
redundant betrieben werden: Eine Gateway-Link-Kombination ist
der Master, die andere Slave. Fällt eine Komponente des Masters
aus, übernehmen die Ersatzkomponenten umgehend die Arbeit des
Masters, so dass die Endbenutzer nichts von dem Ausfall zu spüren
bekommen.
Application Proxy
Zahlreiche Sicherheitsvorfälle werden durch Sicherheitslücken in An-
wendungen oder Software-Anomalien ausgelöst. Der Application Proxy
arbeitet auf der obersten Schicht des OSI-Referenzmodells und agiert
somit zwischen dem Client und dem Webserver. Der Application Proxy
nimmt Request von den Clients entgegen und leitet diese stellvertetend
an den Webserver weiter. Dadurch wird angreifbarer Programmcode von
Webapplikationen besser geschützt, gleichzeitig wird eine Kontrolle der
besuchten Webinhalte ermöglicht, was wiederum für Marketingzwecke
verwendet werden kann.
Der in den USP Gateways eingesetzte Application Proxy umfasst folgen-
de Funktionen:
• Application-Level Proxy für http und FTP: Der Application Proxy
agiert als Vermittler zwischen Client und Server bei der Verarbei-
tung der Protokolle http und FTP.
• Caching: Diverse Technologien (ICPv2, HTCP, CARP, Cache Digests,
Caching für DNS Lookups) ermöglichen effiziente Datenübertragun-
gen.
• Transparent Proxy: Der Proxy wird transparent betrieben, wodurch
Konfigurationsänderung auf der Seite der Clients entfallen.
• Authentifikation über Microsoft Active Directory: Benutzer können
über ein AD authentifiziert werden.
• Extensive Access Controls: Die Zugriffssteuerung auf Webseiten und
Dienste erfolgt über ACLs, was für eine ausgesprochen hohe Flexibi-
lität sorgt.
Seite 10USP Enterprise Network Services
Copyright © 2008 United Security Providers Dezember 2008 Version 1.2
VPN-Service
Unternehmen mit mehreren Standorten sind auf zuverlässige und siche-
re Datennetze angewiesen. United Security Providers bietet mit VPN ei-
nen etablierten Service an und betreut Firmen bei der Konzeption, der
Implementation und schliesslich auch beim Betrieb der Netzwerklösung.
Der VPN-Service wird für die gesamte Produktpalette angeboten und
bietet folgende Funktionalitäten:
• Sichere Verbindungen: Um sichere Verbindungen zu gewährleisten,
wird sowohl IPSec wie auch SSL/TLS unterstützt.
• Verschiedene Verschlüsselungen: Zahlreiche Verschlüsselungsme-
thoden werden unterstützt wie 3DES, AES128, AES256, Blowfish,
Twofish, CAST.
• Verschiedene Authentisierungsmethoden: Eine breite Palette von
Authentifizierungsmethoden wird unterstützt wie MD5, SHA1, SHA2,
RIPEMD.
• NAT-Traversal: Dadurch wird ermöglicht, dass Clients verschiedener
Standorte mit NAT-Adressen eine direkte Verbindung (peer-to-peer)
aufbauen können.
• X.509v3 Zertifikat- und CRL-Support oder Preshared Key: Wahlwei-
se kann mit Zertifikaten oder mit vorgängig ausgetauschten Schlüs-
seln gearbeitet werden, um die Identität der Gegenstelle zu prüfen.
• Verschiedene Methoden zur Benutzerauthentifikation: Benutzer
können über LDAP, RADIUS oder TACACS+ authentifiziert werden.
• DynDNS Support: Damit gewährleistet werden kann, dass auch
Standorte ohne fixe IP per VPN erreicht werden können, unterstützt
der VPN Service dynamische Adressen über DynDNS Services.
• Dead Peer Detection (DPD): Wird längere Zeit auf der VPN-Strecke
keine Datenverkehr registriert, wird automatisch überprüft, ob die
Verbindung noch etabliert ist. Andernfalls kann sie automatisch wie-
derhergestellt werden.
• Multilink Routing: Der VPN-Service kann mehrere physikalische
Links zu einem logischen zusammenfassen, wodurch sowohl die Per-
formance als auch die Verfügbarkeit der Verbindung steigt.
• Gateway und Link Failover: Fällt ein Link oder ein Gateway aus,
wechselt der VPN Service automatisch auf das Ersatzgerät bzw. auf
den Ersatzlink, ohne dass die VPN-Verbindung vom Benutzer neu
aufgebaut werden muss.
Remote Access
Mehr und mehr können die Kundenerwartungen nur erfüllt werden,
wenn der sichere Zugang zum Firmennetz rund um die Uhr und ortsu-
nabhängig gewährleistet werden kann. Remote Access zu Firmennetz-
werken wird zusammen mit dem Produkt USP TLS Client angeboten:
• SSL/TLS Unterstützung: Zur sicheren Datenübertragung wird das
moderne SSL/TLS Protokoll verwendet.
• Verschiedene Verschlüsselungen: Auch hier stehen zahlreiche Ver-
schlüsselungsmethoden zur Verfügung wie 3DES, AES128, AES256,
Blowfish, Twofish, CAST.
Seite 11USP Enterprise Network Services
Copyright © 2008 United Security Providers Dezember 2008 Version 1.2
• Verschiedene Authentifizierungsmethoden: Nebst der Authentifizie-
rung über X.509 Zertifikate werden auch die Dienste LDAP, Radius
und Active Directory unterstützt.
• Intelligenter Verbindungsaufbau: Die maximale Paketgrösse wird
automatisch ermittelt, so dass eine optimale Datentransferrate ver-
wendet wird. Zusätzlich werden auch allfällige Proxies automatisch
detektiert.
• Nahtlose Netzwerkintegration: Die Netzwerkkonfiguration erfolgt
über DHCP, so dass die Netzwerkintegration der beiden Seiten rei-
bungslos erfolgt.
• Zentrales Management: Sowohl die Policies als auch die Konfigurati-
onen werden zentral auf dem Server verwaltet.
• User Management: Verschiedene Benutzer lassen sich in Gruppen
aufteilen, so dass sie entsprechend andere Zugriffsrechte und ande-
re Konfigurationen erhalten.
Link Balancing
Die USP Gateways können, unabhängig von der Bandbreite und der Zu-
gangstechnologie, mehrere physikalische Links zu einem logischen Link
kombinieren. Während des normalen Betriebs können alle Links parallel
verwendet werden, wodurch die Bandbreite erhöht wird. Im Fehlerfall
hat das Unternehmen die Gewährleistung, dass die noch vorhandenen
Links den gesamten Datenverkehr übernehmen und so das Unterneh-
mensnetz weiterhin benutzbar ist.
• Provider unabhängig: Die verschiedenen Links können von unter-
schiedlichen Carrier mit unterschiedlichen Technologien betrieben
werden
• Automatisches Failover: Fällt ein Link aus, werden die unverschlüs-
selten Sessions automatisch auf die noch vorhandenen Datenleitun-
gen umgelegt, so dass das Failover für den Benutzer transparent
geschieht.
Traffic Shaping (Quality of Service)
Genügend freie Kapazität im Datennetz einer Firma ist eine grundlegen-
de Voraussetzung, um mit einer Netzwerkinfrastruktur arbeiten zu kön-
nen. Oftmals sind für Kapazitätsengpässe gar nicht die geschäftsrele-
vanten Anwendungen verantwortlich, weshalb sich ein Ausbau der
Bandbreite nicht lohnt. Mit Traffic Shaping wird ein Service zur Steue-
rung und Kontrolle der Datenübertragung geboten. Der Service erlaubt
die dynamische Priorisierung des Datenverkehrs nach diversen Krite-
rien:
• Anwendungen: Datentransfer kann aufgrund der verursachenden
Anwendung priorisiert werden.
• Protokoll und Portnummer: Die Priorisierung kann aufgrund des Pro-
tokolls und/oder der Portnummer definiert werden.
• URL oder Wildcard: Traffic zu einer URL oder einer URL-Familie kann
priorisiert werden.
• Hosts: Die Priorisierung kann aufgrund des Host Namens, der IP Ad-
resse oder der MAC Adresse gemacht werden.
• Inbound oder Outbound: Eingehender und Ausgehender Datenver-
kehr kann unterschiedlich priorisiert werden.
Seite 12USP Enterprise Network Services
Copyright © 2008 United Security Providers Dezember 2008 Version 1.2
Certificate Authority Service
Werden mobile Anwendungen von Firmenmitarbeitern genutzt, rückt
zwangsläufig die Authentizität der Benutzer in den Mittelpunkt: Sowohl
Benutzer als auch Internet-Dienste müssen identifiziert werden können.
Der Authority Service von United Security Providers stellt Zertifikate für
Entitäten aus und verwaltet deren Gültigkeit:
• Certificate Revocation Lists: Die Gültigkeit von Zertifikaten wird per
CRL publiziert, so dass ein Zertifikat jederzeit überprüft werden
kann.
• 24h Service: Kompromittierte Zertifikate können rund um die Uhr
vom Kundenverantwortlichen gesperrt werden lassen.
Surfscan
Oft wird schadhafter Code über das Internet unwissentlich in das Unter-
nehmensnetz eingeschleust. Surfscan bildet hier eine erste Schranke
am Perimeter des Unternehmensnetzes um solche Angriffe aus dem In-
ternet abzuwehren:
• HTML Scan: Internetseiten werden vom User unbemerkt überprüft.
• Scan von Downloads: Downloads (Executables, Archive) werden auf
Viren überprüft.
• Automatische Aktualisierung: Die Signaturen der Scan Engine wer-
den täglich automatisch aktualisiert.
URL Filter
Internetseiten mit kriminellen, gefährlichen oder pornographischen In-
halten boomen. Der URL Filter schützt die Mitarbeitenden vor dem an-
surfen solcher Seiten, indem die Adressen mit einer Datenbank vergli-
chen werden. Ist die eingegebene Adresse in der Datenbank vermerkt,
wird die Internetseite geblockt und dem Mitarbeitenden nicht angezeigt:
• Kategorisiert: Die geblockten Seiten sind in Kategorien aufgeteilt.
Firmen können die Kategorien selber auswählen, deren Inhalte sie
nicht zulassen möchten.
• Automatische Aktualisierung: Die URL Listen werden täglich auto-
matisch aktualisiert
• Blacklists: Firmen können selber weitere Seiten zu den bereits ge-
blockten hinzufügen
• Whitelists: Wird eine Seite irrtümlich geblockt, kann diese über eine
Whitelist wieder frei gegeben werden.
Seite 13USP Enterprise Network Services
Copyright © 2008 United Security Providers Dezember 2008 Version 1.2
Reporting
Mit Hilfe des Reportings haben unsere Kunden jederzeit die Übersicht
Reporting über den Status ihres WAN Netzwerkes. Dank detaillierten Auswertun-
gen kann die Effizienz der Netzwerkinfrastruktur punktuell angepasst
und verbessert werden.
• PDF Status
Reports
Die Einhaltung der garantierten Services ist für jede Firma von grossem
• Serviceportal Interesse. United Security Providers bietet mit den USP Kundenportal
ein Werkzeug, mit welchem die Einhaltung des SLAs von den Kunden
zeitnah überwacht werden kann.
Der Kunde kann wählen, ob er die Stautsberichte lieber online verfügbar
haben will oder einmal pro Monat ein Bericht im PDF Format zugestellt
bekommen möchte.
PDF Status Report
Der Status Report bietet eine bequeme Möglichkeit, die wichtigen In-
formationen schnell und kompakt zu analysieren.
Abbildung 4: Auszug eines Status Reports
Seite 14USP Enterprise Network Services
Copyright © 2008 United Security Providers Dezember 2008 Version 1.2
Der Report gibt Auskunft über die bezogenen Services und gibt einen
Überblick, über die Service Requests, welche von der Firma ausgegan-
gen sind.
• Network Status Information: Pro Link wird der ein- und ausgehende
Datenverkehr aufgezeigt. Der Verkehr ist nach Protokollen aufge-
schlüsselt.
• Traffic Shaping Information: Anhand der Traffic Shaping Information
kann überprüft werden, ob die aktuellen Settings sinnvoll sind oder
angepasst werden müssen. Der Report ist nach Anwendungen auf-
geschlüsselt und zeigt so alle relevanten Informationen an.
• Trouble Ticket Overview: Diese Übersicht zeigt den Status der letz-
ten Trouble Tickets welche an das Security Operations Center ge-
richtet wurden.
USP Kundenportal
Das USP Kundenportal bietet die Möglichkeit, sehr zeitnah den Status
der Netzwerkumgebung anzuzeigen. Ähnlich den PDF-Reports bietet
auch die Online Version textuelle und grafische Auswertungen der bezo-
genen Services.
Abbildung 5: Auszug aus einem Online-Report
• Sicherer Zugang: Der Zugang zum Serviceportal ist über eine zwei-
stufige Authentisierung abgesichert, so dass die Angaben zu den
Firmennetzen bestmöglich geschützt bleiben.
• Hohe Verfügbarkeit und Aktualität: Den Status des Firmennetzes ist
24h täglich einsehbar.
• Plattform unabhängig: Das Serviceportal ist kompatibel zu den ge-
bräuchlichen Browsern (Netscape, Internet Explorer).
Seite 15USP Enterprise Network Services
Copyright © 2008 United Security Providers Dezember 2008 Version 1.2
Technische Angaben
Mengengerüst
USP Enterprise Hub Bis zu 5000 Benutzer
USP Secure Edge Bis zu 500 Benutzer
USP Satellite Bis zu 20 Benutzer
USP Enterprise Hub
Abmessung Breite: 427mm
Tiefe: 480mm
Höhe 44mm
Entspricht 19“-Bauweise
Prozessor Pentium 4/Celeron-D Core 2 Duo, bis zu 2.6
GHz, 800/1066 MHz FSB Speed
Chipset Intel 945G+ICH7R
Speicher DDRII 533/667, Dual Channel, bis zu 4 GB
Netzwerk 4x Intel 82571EB 1GBit
4x Intel 82541PI 1GBit
Slots 1x 32Bit 33 MHz PCI Slot
1x 32Bit 33 MHz mini PCI socket
BIOS Award System BIOS, 4MB Flash ROM
HDD 1x3.5” 80 GB SATA
Schnittstellen • RS-232, RJ45
• 2x USB (Front)
• 1x USB (Rear)
• Compact Flash Slot
• VGA 16 Pin
• 2x PS/2 4 Pin
• Parallel Port 26 Pin
Zertifizierungen / • CE FCC Class A
Compliances • UL
• RoHS
Seite 16USP Enterprise Network Services
Copyright © 2008 United Security Providers Dezember 2008 Version 1.2
USP Secure Edge
Abmessung Breite: 426mm
Tiefe: 419mm
Höhe: 43mm
Entspricht 19“-Bauweise
Prozessor VIA C7/Eden, bis zu 2 GHz, 400 MHz FSB
Chipset VIA 8237R+, VIA CN700
Speicher Maximal 1GB, DDR II 400/533 MHz
Netzwerk 4x Intel 8254PI 1 GBit
Slots 1x 32Bit / 33MHz PCI Riser Card
BIOS Award System BIOS, 4MB Flash ROM
HDD 1x3.5” 80 GB SATA
Schnittstellen • RS-232 RJ45 (Front)
• 2x USB 2.0 (Front)
• VGA 16 Pin
• GPIO (4 in 4 out)
Zertifizierungen / • CE FCC Class A
Compliances • UL
• RoHS
USP Satellite
Abmessung Breite: 158 mm
Tiefe: 156 mm
Höhe: 24 mm
Prozessor AMD Geode LX800, 500 MHz
Speicher 256MB DDR DRAM
Netzwerk 3x Via VT6105M 10 / 100
Slots • 1x miniPCI Slot
• 1x LPC Bus
BIOS tinyBIOS
HDD 4 GB Flashcard
Schnittstellen • RS-232 DB9
• 2x USB 2.0
Compliances • RoHS
Seite 17USP Enterprise Network Services
Copyright © 2008 United Security Providers Dezember 2008 Version 1.2
Factsheet
• Caching für DNS Lookups
Operating System • Transparent Proxy
• Hardened Linux OS Version 2.6.x
Networking VPN
• VLAN-Support • Unterstützt TLS, IPSec, MPLS
• Support für multiple Uplinks • Failover Unterstützung
• Uplink Monitoring mit automatischem • Verschlüsselung: 3DES, AES128, AES256,
Failover Blowfish, Twofish, CAST
• Statische oder DHCP- • Dead Peer Detection
Netzwerkkonfiguration • X.509v3 Zertifikat- und CRL-Support oder
• Policy Routing Preshared Key
• Port Forwarding • Benutzerauthentifikation über LDAP, RADI-
• Default Gateway Redirect US und TACACS+
• Dynamisches Multilink Routing • DynDNS Support
• Service Monitoring/Watchdog • NAT-Traversal
• MD5, SHA1, SHA2 und RIPEMD Authentifizierung
Firewall • Roadwarrior Support mit USP TLS Client
• Stateful Inspection • User- oder gruppenbasierte Verteilung von
• DHCP Server DNS- und Routing-Einstellungen an Clients
• DHCP Relay • User- oder gruppenbasierte Zugriffskontrol-
• NAT le von Clients
• Multizone Unterstützung
• Port Forwarding Traffic Shaping
• DoS Protection • Shaping auf Anwendungsebene
• Multilink Routing • Shaping auf Protokollebene
• Support für transparente Zonen • Shaping auf einzelne Portnummern
• Intrusion Detection and Prevention • Shaping nach URLs oder Wildcards sowie
• VoIP/SIP support nach Hostnamen oder Listen von Hosts
• Shaping basierend auf MAC- oder IP-Adressen
High Availability • Differenziertes Shaping für Inbound- und
• Hot Standby (aktiv/passiv) Outbound-Traffic
• Synchronisierung
Surfscan
• Tägliche Aktualisierung
Link Balancing
• Scannen von HTML Code
• Multilink Unterstützung
• Scannen von Archiven
• Kombination von mehreren Links zu ei-
• Scannen von Downloads
nem logischen Link
• Providerunabhängig URL Filter
• Automatisches Failover • Tägliche Aktualisierung
• Session Failover bei unverschlüsselten • Verschiedene Kategorien
Verbindungen • Benutzerspezifische Kategorien
• Blacklists
Application Proxy Service • Whitelists
• Application-Level Proxy für HTTP und FTP
Reporting
• Caching über ICPv2, HTCP, CARP und
• Monatliche Reports
Cache Digests
• Online Portal
• Benutzerauthentifikation über Microsoft
• Traffic Statistiken
Active Directory Service
• Latency-Auswertung
• Extensive access controls
• HTTP Server Acceleration
Seite 18Sie können auch lesen
