NORDICNET

Everything you need for internet activity

Tarnkappen-Technologie für Ihr Netzwerk
Komplette Kontrolle über ein- und ausgehenden Datentranfer im Stealthmode.


Firewall

Ihr Netzwerk liegt offen! Es ist einfacher als Sie denken.

Die Firewall überwacht den durch sie hindurch laufenden Datenverkehr und entscheidet anhand festgelegter Regeln, ob bestimmte Netzwerkpakete durchgelassen werden, oder nicht. Auf diese Weise versucht die Firewall das private Netzwerk bzw. das Netzsegment vor unerlaubten Zugriffen zu schützen.

Unter Verwendung verschiedener Komponenten erweitern wir simple Firewallroutinen zu einem kompletten Gateway mit IPS (Intrusion Prevention System).

- Paketfilter
- VPN
- SSH-Zugriff
- WebProxy
- URL-Filter
- DHCP-Dienst
- DNS- Server
- Zeitserver (NTP)
- Dynamisches-DNS
- Port-Forwarding
- Intrusion Detection-, Intrusion Prevention System
- Schutz vor Denial of Service (DoS) und Distributed DoS (DDoS)
- Traffic -Shaping, -Controll und -Report
- System- und Netzwerkstatus
- System- und Netzwerkdiagramme
- Umfangreiche Logauswertung mit Filterung nach verschiedenen Kriterien

VPN

Die Sicherheit Ihres Netzwerkes endet am Router!

Im Internet lassen sich Daten nur über eine verschlüsselte Verbindung wirklich geschützt übertragen – ein so genanntes Virtual Private Network (VPN). Auf diese Weise nutzen Sie das Internet praktisch als Verlängerung des eigenen LAN. Verwendet wird hier die aus dem Online-Banking bekannte SSL/TLS-Verschlüsselung.

Allgemein versteht man unter einem VPN ein Netzwerk, welches private Daten über ein öffentliches Netzwerk transportiert, und zwar üblicherweise verschlüsselt. Hierbei wird ein sogenannter Tunnel zwischen 2 Endpunkten aufgebaut über den dann die Daten in gesicherter Umgebung übertragen werden.

Die zwei am häufigsten eingesetzeten VPN-Szenarios sind Net2Net und RoadWarrrior.

Net2Net:
- Verbinden lokaler Netze mehrerer Geschäftsstellen über das Internet
- jeder Client aus Netz1 kann jeden Client aus Netz2 erreichen (und umgekehrt)
- auch mehr als 2 Netze möglich

RoadWarrrior:
- Arbeiten von Unterwegs mit vollem Netzzugriff (Egal wo Sie sich auf der Welt befinden.)
- Clients agieren so als wären sie im lokalen Netzwerk eingebunden
- Clients bekommen alle NetBIOS Broadcasts etc.
- Clients können problemlos auf Netzwerkfreigaben zugreifen oder sich auf nur lokal zugängliche Dienste einloggen


Kein Port-Forwarding notwendig. Zugriff Zertifikat basierend.

Proxy

- vorgelagerter Proxy möglich
- Protokolleinstellungen anpassbar
- Cacheverwaltung
- Zeitbeschränkungen
- Transfergrenzen
- Netzwerkbasierte Zugriffskontrolle (Subnetze, MAC-Adresse oder IP-Adressen)
- Download-Drosselung (incl. inhaltsbasierte Drosselung - Multimedia, CD-Images, Binärdateien)
- MIME-Type Filter
- Web-Browser-Prüfung (mit Möglichkeit nur bestimmte zuzulassen)
- Datenschutz (gefälschter Useragent und Referer für externe Web-Sites)
- URL-Filter-Intergration
- Authentifizierungsmethode (LDAP, Windows, Radius, Lokal, keine)

URL-Filter

Umfangreicher Internetinhaltsfilter

- angepasste Blacklist (nach Domains oder Einzelurl)
- angepasste Whitelist (nach Domains oder Einzelurl)
- angepasste Ausdrucksliste
- Sperrkategorien (Gewalt, Porno, Spiele, Video,...)
- Sperrung von Dateierweiterungen (ausführbare Dateien, Archivdateien, Audio/Video-Dateien)
- Netzwerkbasierte Zugriffskontrolle (Ungefilterte IP-Adressen, Gesperrte IP-Adressen)
- angepasste Whitelist für gesperrte Clients
- Zeitbasierte Zugriffskontrolle (Benutzerkontingente)
- SafeSearch
- Protokollierung incl. Username
- automatische Blacklistaktualisierung
- Blacklisteditor

Traffic-Graphs

IP-Traffic in Realtime

Überblick des gesamten Traffic über ein beliebiges Interface. Es kann entweder der gesamte Traffic oder der Traffic über einzelne Ports/Portbereiche erfasst werden. Zusätzlich kann auch für einzelne Rechner oder Subnetze der Traffic ausgewertet werden, entweder für alle Daten zusammen oder aufgeteilt nach den einzelnen Protokollen (tcp, udp, icmp).

Traffic Shaping

Traffic-Shaping beseitigt ruckelnde Internet-Verbindungen und verhilft wichtigem Datenverkehr zu mehr Durchsatz.

Beim Download großer Dateien oder auch beim Versand einer E-Mail mit umfangreichem Attachment geht auf der Leitung zum Internet gar nichts mehr. Schuld daran ist, dass die Daten normalerweise sequentiell – also hintereinander auf die Reise geschickt werden.

Das Traffic-Shaping analysiert den anfallenden Datenverkehr in beide Richtungen und priorisiert die Datenpakete so, dass immer genügend Transferreserven für Ihre systemkritischen Anwendungen vorhanden sind und Ihre Mitarbeiter diese nicht ausbremsen können.

Intrusion Detection-, Intrusion Prevention System

Ein Intrusion Detection System (IDS) ist ein System zur Erkennung von Angriffen, die an ein Computersystem oder Computernetz gerichtet sind. Das IDS kann eine Firewall ergänzen oder auch direkt auf dem zu überwachenden Computersystem laufen und so die Sicherheit von Netzwerken erhöhen.

Als
Intrusion Prevention Systeme (IPS) werden Intrusion Detection Systeme (IDS) bezeichnet, die über die reine Generierung von Ereignissen (Events) hinaus Funktionen bereitstellen, die einen entdeckten Angriff verhindern können.

IPS wird inline (im Übertragungsweg) eingesetzt und kann im Alarmfall den Datenstrom unterbrechen oder verändern.
Weiterhin verfügt es über Module, die aktiv die Regeln von Firewallsystemen beeinflussen. Somit kann indirekt der Datenstrom unterbrochen oder verändert werden.

Schutz vor Denial of Service (DoS) und Distributed DoS (DDoS)

Bei einer DoS-Attacke wird versucht, einen Dienst, einen Rechner oder auch eine ganzes Netzwerk zu blockieren.
Der Angreifer muss in der Regel nur versuchen, am entsprechenden Opfer einen so hohen Traffic zu erzeugen, dass es dem Opfer nicht mehr möglich ist auf andere Anfragen zu antworten.

DDoS-Attacke wie DoS, jedoch unter Zuhilfenahme von Bot-Netzen.
Der Angreifer verfügt damit über eine höhere Bandbreite.

Ein DoS Angriff kann allerdings auch auf den TCP-Stack des Zielservers erfolgen, ein sogenannter SYN-Flood.
Dabei versucht der Angreifer durch zufälliges Generieren einer idealer Weise nicht existenten IP-Adresse die Verbindungstabelle für offene Verbindungen zu füllen, indem er TCP/SYN Pakete für den Verbindungsaufbau generiert. Der angegriffene Rechner versucht zu antworten, kann diese Rechner aber aufgrund der nicht existenten IP-Adresse nicht erreichen. Die Verbindung wird aber in der Tabelle für die wartenden Verbindungen vorerst bleiben. Dies wiederholt der Angreifer solange bis die Tabelle voll ist und der Server diese löschen muss. Ist zwischendurch eine gültige Anfrage von einem existierenden Rechner gekommen wird diese auch entfernt, da der Server nicht zwischen diesen beiden unterscheiden kann. Für den normalen Besucher sieht es aus, als ob der Server nicht erreichbar ist.