Anforderungen:

1. Ein Unternehmen mit einem Zentral- und mehreren Filialstandorten möchte diese mittels IPSec VPN via Internet untereinander verbinden, sodass auf zentral gehostete Applikationen zugegriffen werden kann (ERP-Systme, Datenbanken, FileServer, IntranetServer). Ausserdem soll IP-Telefonie zwischen den Standorten möglich sein.
2. Um mehr Flexibilität zu ermöglichen, sollen Mitarbeiter sowohl per SSL als auch per IPSec auf Anwendungen zugreifen können. Die Authentisierung und Verschlüsselung soll einem hohen Sicherheitsstandard genügen und daher zertifikatsbasierend mit Hilfe von USB-Tokens umgesetzt werden.
3. Angriffe von Außen und auf sensible Bereiche, wie das Produktions- und Forschungsnetz, sollen in Echtzeit erkannt und gestoppt werden. Sowohl die Anbindung als auch die Hardware in der Zentrale ist ausfallsicher aufzubauen.
4. Die Firmenpolicy für die Internetnutzung schreibt vor, dass unerwünschte Inhalte ausgefiltert werden und gleichzeitig FTP und HTTP-Verkehr auf Viren, Spyware und Phishing-Angriffe gefiltert wird.
5. SPAM und Viren im Mailverkehr sollen bereits am Perimeter abgefangen werden und nicht erst zum Mailgateway des Unternehmens gelangen.

Lösung:

• Astaro Security Gateway mit integriertem IPSec- und SSL-VPN Gateway und IPS/IDS Funktionen
• Der gesamte VPN-Datenverkehr wird nach der Entschlüsselung oder vor der Verschlüsselung für sämtliche Standort-Verbindungen durch die Firewall gefiltert. Dazu können neben Netzwerk-Objekten auch Zertifikate oder CN-Strings in Zertifikaten als Quell- oder Zieladressen verwendet werden. Astaro erreicht dadurch eine beispielhafte granulare Zugangskontrolle an den Tunnelendpunkten und macht somit die konsequente Durchsetzung von Sicherheitsvorgaben möglich.

Prinzipskizze: