Allgemein ist ein Virtual Private Network (VPN) ein Netzwerk, das private Daten verschlüsselt über ein öffentliches Netzwerk transportiert. Hierzu wird zwischen zwei Parteien ein privater Tunnel aufgebaut, dessen Kommunikation für Dritte nicht zu entziffern ist.

Dank der enormen Kostenvorteile von VPN gegenüber Standleitungen haben sich diese Technologien für Remotezugriffe aller Art weit verbreitet. Ob entfernte Standorte, Zweigstellen, Geschäftspartner oder Dienstleister angebunden oder Außendienstmitarbeitern die Unternehmensressourcen sicher zur Verfügung gestellt werden sollen, IPSec VPNs über das Internet sind heute die erste Wahl.

Über die Verschlüsselung hinaus (Standard sind heute 3DES und AES-256) sorgt ein intelligentes Schlüsselmanagement für die notwendige Sicherheit. So darf bspw. nicht von einem zufällig kompromitierten Schlüssel auf vorherige oder folgende geschlossen werden können.

Neben der Sicherheit müssen die VPN-Lösungen heute auch den gestiegenen Anforderungen der Kunden bzgl. Verfügbarkeit und Performance genügen. Darüber hinaus sollten VPNs genauso leicht zu administrieren sein, wie die heutigen Firewalls selbst, trotz der Komplexität von IPSec.

Wir setzen seit den Anfängen von Check Point die Software des israelischen Herstellers erfolgreich bei unseren Kunden ein. VPN-Projekte begleiten wir dabei von der Planung über die Realisierung bis hin zum Betrieb. Nutzen Sie das Expertenwissen unserer zertifizierten Consultants und insbesondere ihre langjährige Projekterfahrung für Ihr VPN-Projekt.

Die Check Point Lösungen im einzelnen

Site-to-site IPSec VPNs

Site-to-site VPNs werden zwischen zwei VPN-Gateways aufgebaut, z. B. zwei Check Point VPN-1s oder auch einer VPN-1 und eine VPN-1 Edge.

Selbstverständlich können mit der VPN-1 auch Site-to-site VPNs zu Gegenstellen anderer Hersteller (auch OpenSource-Produkte), deren Implementierungen sich an die IPSec-Standards (RFC) halten, aufgebaut werden.

Diese Tunnel werden in der Regel permanent aufrechterhalten, so dass sie den Benutzern jederzeit zur Verfügung stehen. Im Idealfall bemerken die Benutzer gar nicht, dass es sich um ein entferntes Netzwerk handelt.

VPN-1 ist sowohl für das Check Point eigene Betriebssystem SecurePlatform sowie für Solaris, Nokia IPSO, Red Hat Linux und Windows 2000 Server verfügbar.

Hochverfügbarkeit und Lastverteilung können bei allen Betriebssystemen durch den Einsatz von Cluster XL zuverlässig erreicht werden.

Die VPN-1 Edge ist eine kleine Appliance, die für die Anbindung von Außenstellen mit bis zu 100 Benutzern designt ist. Sie bietet intern die gleichen Check Point Technologien (z. B. Stateful Inspection, VPN) wie die „große“ VPN-1.

Die Edge kann im Unternehmen komplett vorkonfiguriert werden, so dass sie vom Personal vor Ort nur noch ausgepackt und angeschlossen werden muss. Die Kommunikation mit dem zentralen Check Point Management erfolgt verschlüsselt und wird über ein vorher eingespieltes Zertifikat authentifiziert.

Die Safe@Office ist die Alternative zur VPN-1 Edge, wenn kein zentrales Policy-Management benötigt wird.

Für den Einsatz einer größeren Anzahl von Safe@Office Boxen steht für deren zentrale Administration das Sofaware Managment Portal (SMP) zur Verfügung.

Remote access IPSec

VPNsFür Remotezugriffe bietet Check Point drei Clients für die gängigen Windows Betriebsysteme an. Darüber hinaus ist der SecureClient auch für MacOS verfügbar.

Die Authentifizierung kann sowohl mittels Passwort als auch mittels passwortgeschütztem Zertifikat, dass. z. B. auf einem eToken gespeichert sein kann, erfolgen. Letzteres ist eine starke oder 2-Faktor-Authentifizierung (Wissen und Besitz) und wird daher von uns bevorzugt in Projekten eingesetzt.

SecuRemote ist ein reiner VPN-Client, der Remotebenutzern sicheren Zugriff auf kritische Unternehmensressourcen bietet. Er verschlüsselt und authentifiziert die Daten automatisch, um sie vor Lauschangriffen Dritter und böswilligen Datenmanipulationen zu schützen.

SecureClient erweitert SecuRemote um eine Personal-Firewall auf Netzwerkebene. Die Policy wird dabei zentral auf dem Firewall-Management verwaltet und lässt sich somit ideal in das Sicherheitskonzept des Unternehmens integrieren.

Zusätzlich ist SecureClient in der Lage, nur sicher konfigurierte Client PCs in das Unternehmensnetzwerk einzulassen. Mit Hilfe der dafür verwendeten Secure Configuration Verification (SCV) können die Administratoren diverse Prüfungen der PC-Konfiguration vornehmen, z. B. ob der Virenscanner den Vorgaben entspricht und ein aktuelles Virenpattern installiert hat.

Der Integrity SecureClient erweitert wiederum den SecureClient um die jetzt noch fehlende Applikationskontrolle. Diese stellt jederzeit die Integrität des Client-PCs sicher und verhindert so die Ausbreitung von schadhaften Komponenten, die evtl. über erlaubte Netzwerkprotokolle auf den PC gelangt sind.

Remote access SSL VPNs

Nicht immer ist es allen Benutzern möglich, ein IPSec VPN in das eigene Unternehmen aufzubauen, z. B. weil sie den eigenen PC nicht zur Hand haben.

Die Connectra bietet diesen Benutzern die Möglichkeit, mittels eines normalen Internet Browsers ein vom Unternehmen selbst gestaltetes Portal aufzurufen, dass mittels SSL-Verschlüsselung gesichert ist. Im Portal der Connectra können die gängigen Unternehmensressourcen wie E-Mail, Intranet-Anwendungen wie Citrix etc. bequem zur Verfügung gestellt werden.

Alternativ zur Connectra kann ein SSL-verschlüsseltes VPN auch direkt zur Firewall des Unternehmens aufgebaut werden. Der gesicherte Zugriff auf die freigeschalteten Unternehmensressourcen erfolgt dabei über den als Browser-Plugin realisierten SSL Network Extender.