1. bn-its
  2. IT-Infrastruktur
  3. Internetzugang

Internetzugang

Internetzugang - bn-its GmbH

Die Absicherung des Internetzugangs ist ein wichtiger Baustein im IT-Sicherheitskonzept und sollte heute in keinem Unternehmen fehlen. Abhängig von den Sicherheitsanforderungen bieten wir Ihnen mehrere Lösungsvarianten von einer Kombination aus Firewall und UTM-Appliance bis hin zu einem mehrstufigen Firewall-Konzept mit dediziertem Application Layer Gateway inkl. AD-Integration. Die Kombination von Firewall-Systemen unterschiedlicher Hersteller sorgt für eine weitere Erhöhung der Sicherheit.

mehrstufiges Firewall-Konzept mit ALG

Um das interne Netz gegen Gefahren aus dem Internet zu schützen kommt ein mehrstufiges Firewall-Konzept zum Einsatz. Eingesetzt werden stateful Hardware-Firewalls (in diskreter Hardware bereitgestellt), die Session- und Zonen-basiert arbeiten. Der externe Paketfilter dient als Internetgateway und zur Absicherung des Application Layer Gateways (ALG) vor Angriffen aus dem Internet. Der interne Paketfilter bildet den Übergabepunkt zwischen dem internen Netz und dem ALG (Inside-DMZ). Das ALG wird hierbei z.B. auf Basis einer Sophos UTM SG/XG Firewall, ebenfalls in diskreter Hardware betrieben und sorgt für die Trennung von Inside- und Outside-DMZ.  In der Inside-DMZ stellt das ALG über einen Proxydienst die Protokolle http, https und ftp-over-http bereit. Zwischen den einzelnen Netzbereichen (internes Netz, Inside-DMZ, Outside-DMZ und Internet) gibt es somit keine geroutete Verbindung. Die Netzanbindung der Komponenten erfolgt hierbei unter Verzicht von VLANs über dedizierte physische Verbindungen.

Das Konzept berücksichtigt somit die Empfehlungen des BSI zur sicheren Anbindung von lokalen Netzen an das Internet
(siehe ISi-LANA)

Netzwerkschema Internetzugang - bn-its GmbH
Netzwerkschema

Implementierung von Virenschutzmechanismen

Ein Zugriff aus dem internen Netz auf Inhalte im Internet ist nur über das ALG möglich. Das ALG verfügt über Antivirus-Komponenten mit zwei Engines um Viren, Würmer, Trojaner und andere Malware abzuwehren. Ein erweiterter Schutz vor Zero-Day-Attacken wird mit der Advanced Threat Protection (ATP) realisiert. Das ALG erkennt hierbei Botnet-Verbindungen und blockt diese, ebenso wie den Zugriff auf bekannte Phishing URLs. Mittels IPS-Mustern und Deep Packet Inspection werden anwendungs- und protokollbezogene Probes und Angriffe zuverlässig identifiziert und abgewehrt. Die umfangreiche Signaturdatenbank mit Mustern und Regeln wird alle 15 Minuten aktualisiert.
Des Weiteren bietet das ALG einen Web-Filter mit dem der Zugriff auf einzelne Seiten und/oder ganze Kategorien von Seiten unterbunden werden kann.

Optional hochverfügbar

Optional besteht die Möglichkeit, alle aktiven Komponenten komplett redundant vorzuhalten. Der interne Paketfilter und das ALG werden hierbei als Active-Passive-Cluster (oder auch als Active-Active Cluster) betrieben. Die Redundanz des externen Paketfilter's wird mittels VRRP (Virtual Router Redundancy Protocol) bereitgestellt.

Dokumentation

Unser Konzept für einen sicheren Internetzugang beinhaltet selbstverständlich eine umfassende und ausführliche Dokumentation aller Konfigurationen, einschließlich sämtlicher IP-Adressen, Netze, Zugangsdaten etc. Ein entsprechendes Netzwerkschema ist ebenfalls in der Dokumentation enthalten.

Referenzen

Raiffeisenbank Aschaffenburg eG
Raiffeisenbank im Oberland eG
Raiffeisenbank Isar-Loisachtal eG
Rüsselsheimer Volksbank eG
Volksbank Darmstadt - Südhessen eG
Volksbank Raiffeisenbank Bad Kissingen eG
Volksbank Raiffeisenbank Bayern Mitte eG
Volksbank Raiffeisenbank Nordoberpfalz eG
VR Bank Hessenland eG
VR Bank Neuburg-Rain eG
vr bank Südthüringen eG
VR-Bank Dornstetten-Horb eG
VR-Bank Mittelfranken Mitte eG
VR-Bank Südpfalz eG