Adele Firewall

 

Unified-Security-Gateway SOHO X-One und Business L

 

  • Sicherheitslösung für KMU
  • All-in-one-Device aus Metall mit lüfterlosem Design
  • Modular aufgebaute Sicherheits-Features ohne weitere Zusatzkosten (z.B. Contentfilter, AntiSPAM, Anti Virus Engine, IDS, IPS, Sandbox, usw.)
  • Überlegenes Dual WIFI mit 2-Faktor-Authentifikation / Gäste Netz (BYOD)
  • Linux basiertes Betriebsystem
  • 5 Jahre Garantie
  • Preise auf Anfrage oder Offerte

Bei den Performance-Modellen SOHO-X One und Business L ist alles enthalten: ein umfassender Schutz (siehe Details), VPN-Konnektivität (OpenVPN (Client to Host), IPSec VPN (Host to Host)), ein integrierter WLAN-Controller und ein integrierter WLAN-Access-Point (AP). Das lüfterlose Design dieser Modelle ist ebenfalls ein grosses Plus. Die Haupteinsatzgebiete sind Home- und Remote-Offices, kleine Niederlassungen und kleine bis Mittlere Unternehmen. Zu den weiteren Highlights zählen, dass sie diese beiden Modelle zu SOHO Servern erweitern können. Sie stellen sich ihre Produkte so zusammen, wie sie sie auch tatsächlich benötigen, quasi eine Firewall mit Systemhärtung inklusive. Adele FireWall ist eine ultimative Sicherheitslösung für jeden erdenklichen Einsatz im KMU Bereich.

 

Unlimitierte Mobilität

Mobile Geräte gehören heute in jedem Unternehmen dazu. Wo immer sich die Mitarbeitenden befinden – ob am Flughafen, an einem Kundenmeeting oder im Urlaub – sie sollen schnell reagieren können und stets einen einfachen Zugriff auf die unternehmenskritischen Ressourcen haben. OpenVPN für mobile Geräte unter iOS, Android und Windows sorgt für sorgenfreien Zugang auf die Netzwerkressourcen.

 

Die Ideale Lösung für vertikale Märkte

Die FireWall Serie ist die ideale Lösung für Kunden in vertikalen Märkten, beispielsweise für Unternehmensketten, deren Mitarbeitende in Echtzeit Zugriff auf Geschäftsinformationen brauchen, während Ressourcen effizienter zugeteilt und Kunden- bzw. Transaktionsdaten jederzeit gut geschützt werden sollen.

 

Adele Firewall Technologiemerkmale

Das Hauptaugenmerk von Adele Firewall liegt natürlich auf der Sicherheit. Gerade bei einem solch umfangreichen Thema gibt es nicht nur einen einzigen Weg, um ein maximales Mass an Sicherheit zu erlangen. Der Kernel der Firewall wird mit grsecurity gepatcht. Dies schützt den Kernel proaktiv gegen eine Vielzahl an Attacken – vornehmlich gegen zero-day-Exploits, in dem ganze Klassen an potentiellen Fehlern und Exploit-Vektoren eliminiert werden. Pufferüberläufe auf dem Stack (stack buffer overflows) sind nahezu unmöglich auszunutzen und strenge Zugriffsrichtlinien verhindern, dass ein Angreifer nach einer Attacke Schaden anrichten kann. 

Adele Firewall nutzt eine Stateful-Packet-Inspection-Firewall (SPI), welche auf das Linux Paketfilter-Framework netfilter aufsetzt. Das Netzwerk der Firewall wird in vier verschiedene Segmente unterteilt. Dieses Sicherheitsschema impliziert ein perfektes und sicheres System im Netzwerk.

Da Wireless-Clients von Natur aus ein grösseres Gefahrenpotential bieten, muss für jedes System in diesem Teil der Zugang zum Internet gesondert erlaubt werden (2-Faktor-Authentifizierung).

 

Eine Firewall für jeden Zweck – Die Sicherheit eines einzelnen zählt genauso viel, wie die Sicherheit vieler

Die Konfirguation bleibt auch mit vielen Regeln immer noch übersichtlich. Auch komplexe Konfigurationen sind möglich, ohne die Kontrolle zu verlieren. Zusätzlich kann der ausgehende Netzwerkverkehr für jedes Segment geregelt werden. Diese Funktion geben  die vollständige Kontrolle über das Netzwerk. Adele nutzt eine Stateful-Packet-Inspection-Firewall (SPI), welche auf einem Paketfilter-Framework aufsetzt. Das Sicherheitsschema impliziert einen perfekten Platz für jedes System im Netzwerk. Jedes Segment kann nach Bedarf zugeschaltet werden, abhängig vom Einsatzort und -zweck und alle Systeme in einem Segment werden mit der gleichen Sicherheitspolicy behandelt.

 

Adele Firewall Paketmanagementsystem

Vom technischen Standpunkt aus ist Adele Firewall ein schlankes und gehärtetes Firewall-System, welches einen Paketmanager mitbringt. Die primäre Aufgabe ist es, Systemupdates mit nur einem Klick einspielen zu können. Somit ist es ganz leicht Sicherheitslücken zu schließen und Bugfixes sowie neue Funktionen zu installieren. Dies macht Adele Firewall sicherer und schneller – oder einfach: nur besser als andere Firewall Produkte.

 

Webproxy

Der Webproxy in Adele Firewall, die Open-Source-Software Squid, ist der Linux und UNIX-Welt nicht unbekannt und steht unter der GNU General Public License. Nicht nur ISPs, Universitäten, Schulen und grosse Firmen nutzen diesen Proxy, denn seine Vielfältigkeit, Stabilität und ausgereifte Entwicklung macht ihn auch für kleine Heimnetzwerke zu einem nutzvollen Partner. Ergänzend zur zustandsgesteuerten Paketfilterung auf TCP/IP Ebene der Firewall können somit auch Inhalte, die über das HTTP-Protokoll übertragen werden, analysiert und geregelt werden. Dabei können sowohl HTTP-, HTTPS- sowie FTP-Inhalte über Squid angefordert werden.

  • Sicherheit: Der Client fragt nicht selbst, er lässt seinen Proxy fragen. Die Antwort des Servers geht wieder an den Proxy und nicht an den Client. Der Client tritt somit nicht selbst in Erscheinung. Ein damit verbundener Angriff würde also in erster Linie den Proxy und nicht den Client treffen. Es stehen auch Funktionen zum Datenschutz zur Verfügung, was einen Vorteil gegenüber einem reinen NAT Router darstellt.
  • Authentifizierung: Über Access-Listen kann Squid auch veranlasst werden, Zugriffe nur nach einer Benutzerauthentifizierung zuzulassen. Hierbei stehen LDAP, identd, Windows, Radius oder Lokale Authentifizierungsmethoden zur Verfügung, womit sich der Webproxy zum Beispiel an einen Microsoft Windows Domänencontroller anbinden lässt und nur Mitarbeitern der Zugang zum Internet gewährt werden kann.
  • Kontrolle der Zugriffe: Soll der Internetzugriff nur zu speziellen Tageszeiten oder auch komplett für einzelne oder mehrere Clients eingeschränkt werden, kann dies über die “Netzwerkbasierten Zugriffskontrolle” geschehen, welche man im Webinterface findet.
  • Protokollierung: Da jeder Zugriff über den Proxy protokolliert werden kann, bieten sich Möglichkeiten zur Überprüfung der Zugriffe im Nachhinein an und es können auch Statistiken und Abrechnungen erstellt werden. Durch das Analyseprogramm Calamaris lassen sich die Logdateien in unterschiedlichsten Kriterien über das IPFire Webinterface übersichtlich darstellen.
  • Bandbreitenmanagement: Das Downloadmanagement lässt eine Kontrolle der Bandbreite für spezifizierte Bereiche zu. So können inhaltsbasierte Drosselungen zum Beispiel für Binärdateien, CD-Images oder Multimediadaten ebenso konfiguriert werden wie eine Download Drosselung der einzelnen Zonen oder für Hosts in den jeweiligen Zonen

 

Contentfilter

Der Content-Filter verhindert den Zugriff auf infizierte, schadhafte oder unerwünschte Websites. SquidGuard ist ein URL-Filter, der über den Redirektor-Mechanismus an den Proxy angebunden ist. Das Herz stellen Blacklists dar, die von offizieller Seite erstellt, eine Reihe von klassifizierten Webseiten enthalten und über das Webinterface automatisch auf dem neuesten Stand gehalten werden. Es stehen unterschiedliche, freie Quellen für vorgefertigte Blacklists zur Verfügung, die erlauben unter anderem jugendgefährdende Inhalte, Shopping-, Warez-, Social-Networking- oder gewaltverherrlichende Seiten zu filtern.

Individuelle Erweiterungen einzelner Domains oder URLs können für Blacklists und ebenso für Whitelists über das Webinterface eingerichtet werden. Adele FireWall bietet auch einen Blacklist-Editor, der das Editieren und erstellen eigener Blacklists über das Webinterface anbietet.

Mögliche Anwendungsbereiche für SquidGuard für Adele Firewall sind:

  • Sperren oder Einschränken spezieller Internet Inhalte in Abhängigkeit von Uhrzeit, Benutzer und verwendetem Rechner
  • Verhinderung des Zugriffs auf bestimmte Seiten
  • Ausblenden von Werbung

 

Transparenter Virenscanner

Das Paketmanagement bietet das Addon “SquidClamAV” zur Erweiterung an. Somit steht dem Webproxy ein Virenscanner zur Verfügung, der in Echtzeit den Datenverkehr nach Viren mit Hilfe des bekannten ClamAV prüft. Der zusätzliche Schutz zu einem herkömmlichen Virenscanner besteht vor allem darin, dass die Dateien nicht erst auf den Client-Rechner gelangen, bevor der Virenscan ausgeführt werden kann. Potentielle Schädlinge werden vor dem Download durch SquidClamAV geblockt.

 

Kryptographie

Kryptographie ist die Basis für viele Dienste wie VPNs und sicherer Kommunikation im Internet. Daher legt Adele Firewall einen besonderen Wert auf dieses Thema.

 

Einbruchdetektierung

Ein Intrusion Dection System, kurz IDS, dient zur Erkennung von Angriffen gegen Computersysteme oder Computernetze. Dabei analysiert das IDS den Netzwerktraffic und durchsucht diesen nach Angriffsmustern. Wird zum Beispiel ein einfacher Portscan auf dem System ausgeführt um angebotene Dienste auszuspähen, dann wird dies sofort erkannt. Ein IPS, Intrusion Prevention System, hat zusätzlich zu der Erkennung die Aufgabe Aktionen auszuführen. Dabei nimmt es Informationen zum Angriff vom IDS entgegen und handelt entsprechend. Bei dem Beispiel des Portscans würde es den Angreifer blocken damit keine Daten mehr ausgetauscht werden.

Arbeiten beide Systeme zusammen nennt man dies ein IDPS (Intrusion detection and prevention system). Das Netzwerk Intrusion Dection System (NIDS) analysiert den Datenverkehr und sofern es etwas Auffälliges findet, logt es dieses. Adele Firewall bietet die Möglichkeit, die erkannten Angriffe im Webinterface detailliert darzustellen. Automatische Gegenmassnahmen können mit Guardian erreicht werden.

 

Quality of Service

Ein Quality of Service, oder kurz QoS, ist in der Lage, die Qualität eines Dienstes über eine Internetleitung sicherzustellen. Das bedeutet, dass auf einer stark belasteten Internetverbindung einem Dienst, wie zum Beispiel einem VoIP-Telefonats, ein gewisses Mass an Bandbreite zugesichert werden kann, damit alle Sprachdaten ohne Verzögerung und verlustfrei übertragen werden können. Das geht allerdings zu Lasten der anderen Datenströme auf der Leitung, welche es aber durchaus vertragen, dass Daten langsamer übertragen werden, wie z.B. ein Upload auf einen FTP-Server.

Ein QoS bietet aber nicht nur bei Echtzeitdiensten Vorteile und macht sie besser benutzbar, sondern bringt auch kleine Verbesserungen mit, die sich angenehm bemerkbar machen. Dazu gehören unter anderem

  • Schnellerer Verbindungsaufbau: Verbindungen werden immer rasch aufgebaut und dann nach Dienst eingeordnet und wenn möglich abgebremst. Das verbessert das Arbeitsgefühl.
  • Stabilere Verbindungen: da jedem Dienst ein Mindestmass an Bandbreite zugesichert wird.

 

Für die Klassifizierung der Pakete, die das System wissen lässt mit welcher Art von Daten es zu tun hat, kommt ein Layer-7-Filter zum Einsatz. Dabei wird auch der Inhalt und nicht nur Quell-Ports, -IPs und Ziel-Ports und -IPs eines Pakets untersucht. Mit dem Wissen, ob es sich z.B. um einen langen Download oder um ein Echtzeitprotokoll handelt, kann es Entscheidungen zur optimalen Auslastung der Internetverbindung treffen.

Zusammengefasst ist das Endergebnis eines QoS, eine Leitung mit geringer Latenzzeit und geringer Paketverlustrate. Eine Funktion, die man schnell nicht mehr vermissen möchte, wo die Bandbreite knapp ist.

 

 

Unified-Security-Gateway Business X-One

  • Sicherheitslösung für Professionals
  • All-in-one-Device aus Metall mit lüfterlosem Design, U-Rack Slim Line
  • 2 x Fiber Optical WAN, 10 GBit/s und 8 LAN, 1 GBit/s, optional 8 LAN, 10 GBit/s
  • Modular aufgebaute Sicherheits-Features ohne weitere Zusatzkosten (z.B. Contentfilter, AntiSPAM, AntiVirus Engine, IDS, IPS, Sandbox, Loadbalancer, usw.)
  • FreeBSD basiertes Betriebsystem
  • Web Application Firewall
  • 5 Jahre Garantie
  • Preise auf Anfrage oder Offerte

Zusätzlich zu den Modellen  SOHO-X One und Business L hat dieses Modell Multi-WAN und CARP Cluster Support. Die Komponenten eines SOHO sind in diesem Modell nicht Bestandteil.

 

Sicherheit 4.0 – Das Schweizer Messer der Cyber-Sicherheit