Sicherheit ist keine Option E-Ticket fuer Systems 2008
lasch1
lasch2
lasch3
lasch4

Limes MF - Fallbeispiele

Praktisches Fallbeispiel Firma Mayer - 10 Mitarbeiter

Die Firma Mayer hat sich auf das Design exklusiver Holzmöbel spezialisiert. Sie beschäftigt insgesamt 10 Mitarbeiter: Drei Designer, vier Verkäufer, eine Sekretärin, einen Buchhalter und einen Geschäftsführer. Die Designer nutzen das firmeninterne Netzwerk zum Austausch von Dokumenten, Skizzen und Ideen. Alle Dateien, Arbeiten und Projekte sind zentral gespeichert um flexibel und schnell verfügbar zu sein.

Da der Vertrieb extern stattfindet, sind alle Verkäufer mit einem Notebook ausgestattet. Von jedem Standort aus können sie dank VPN (Virtual Private Network) sicher auf das zentrale Firmennetzwerk zugreifen. VPN kann man sich bildlich wie einen Tunnel vorstellen, der vom Standpunkt des Mitarbeiters zum Firmensitz gegraben wird. Durch diesen Tunnel können Daten absolut sicher ausgetauscht werden. Diese sensiblen Daten können nicht mitgelesen oder auf dem Weg gestohlen werden.

Die Sekretärin, der Buchhalter und der Geschäftsführer arbeiten fast ausschließlich im Büro und nutzen ebenfalls das Netzwerk sehr intensiv. Alle Mitarbeiter freuen sich über saubere Email-Postfächer, denn Spam-Mails (unerwünschte Werbeemails) gehören der Vergangenheit an. Auch um die Sicherheit ihrer Daten braucht sich die Firma Mayer keine Sorgen zu machen. Viren und Würmer werden gezielt erkannt. Hacker können dank moderner Technologien schnell erfasst und gestoppt werden. Dieses überaus sichere und praktische Netzwerk ermöglicht der Limes MF.

Doch was kostet dieser Luxus?

In diesem Fall haben wir einen Limes MF 150 empfohlen. Er ist für Unternehmen mit bis zu 10 Mitarbeitern ausgelegt und ist vom Funktionsumfang allen anderen Limes MF Appliances ebenbürtig. Bei der Firma Mayer entschied man sich für das Mietpreismodell. Die Kaution betrug € 298,--, die monatlichen Kosten belaufen sich auf € 75,--. Umgerechnet kostet der Luxus eines sicheren Netzwerkes also € 0,11 in der Stunde, pro Mitarbeiter folglich € 0,01. Abgesehen von allen automatischen Updates ist in diesem Preis auch ein 24h Vor-Ab-Austauschservice inkludiert.

Praktisches Fallbeispiel Cloud N_9 Ltd. - 100 Mitarbeiter

Das Unternehmen Cloud N_9 Ltd. produziert hochwertige Lautsprecher und hat seinen Firmensitz in Großbritannien. Der Hauptsitz des Unternehmens beschäftigt 70 Personen. Die übrigen 30 Angestellten verteilen sich auf drei Firmenniederlassungen in Schweden, Dänemark und Deutschland. Alle Niederlassungen sind mittels VPN sicher mit dem Hauptsitz des Unternehmens verbunden. Dadurch können alle 100 Mitarbeiter schnell und gleichzeitig auf die selben Ressourcen zugreifen. Die Marketingabteilung veröffentlicht zum Beispiel neue Preislisten, und sofort können die Mitarbeiter in Schweden, Dänemark und Deutschland diese verwenden.

Der Hauptsitz und die Niederlassungen sind jeweils mit einer entsprechenden Limes MF Appliance ausgerüstet. Diese ermöglichen ein sicheres, schnelles und internationales Netzwerk - und das zu einem erstaunlichen Preis/Leistungsverhältnis. Dass das Unternehmen Cloud N_9 Ltd. dank des Limes MF auch vor allen anderen Gefahren (Viren, Würmer, etc.) und Unannehmlichkeiten (Spam, etc.) geschätzt ist, versteht sich von selbst. Doch wie hoch waren die Kosten?

In diesem Fall haben wir einen Limes 1000 für den Hauptfirmensitz und je einen Limes 150 für die Niederlassungen empfohlen. Der Limes 1000 ist für bis zu 100 Mitarbeitern ausgelegt, der Limes 150 für bis zu 10. Bei dem Unternehmen Cloud N_9 entschied man sich für das Mietpreismodell. Die Kaution betrug insgesamt € 1.793,--, die monatlichen Kosten belaufen sich auf € 682,--. Umgerechnet kostet der Luxus eines sicheren Netzwerkes also € 0,95 in der Stunde, pro Mitarbeiter folglich unter € 0,01. Abgesehen von allen automatischen Updates ist in diesem Preis auch ein 24h Vor-Ab-Austauschservice inkludiert.

Wirtschaftliches Fallbeispiel Preis / Leistungsverhältnis des Limes MF


 In diesem Fallbeispiel wollen wir verdeutlichen, wie hoch der Schaden durch Internet-Kriminalität in einem Unternehmen sein kann. Absichtlich werden sehr geringe Werte angenommen, es wird sehr vorsichtig kalkuliert. Nehmen wir an, dass jeder Mitarbeiter dem Unternehmen 20,-- in der Stunde effektiv kostet. Der durch Spam verursachte Schaden beläuft sich auf 5 Minuten täglich pro Mitarbeiter. Bei 10 Mitarbeitern bedeutet das 50 Minuten täglich, 250 Minuten wöchentlich und 1000 Minuten pro Monat - also 16,66 Stunden. Dies verursacht einen Schaden von 333,-- im Monat.

Angenommen in einer Zeitspanne von 3 Jahren bricht in dem Unternehmen einmal ein Virus aus. Dieser zerstört Daten, an denen Mitarbeiter insgesamt 100 Stunden gearbeitet haben. Der entstandene Schaden beläuft sich auf 2000,--. Bricht man diesen Betrag auf 36 Monate runter, bedeutet dies 55,50 pro Monat. Im ganzen entstand dem Unternehmen in 3 Jahren ein Schaden in der Höhe von 13.988,--, im Monat in der Höhe von 388,50. Im Vergleich dazu kostet eine Limes MF Appliance für Unternehmen mit bis zu 10 Mitarbeitern 75,-- monatlich. Der Limes MF spart also bei dieser äusserst vorsichtigen Kalkulation 80% an Kosten. Darüber hinaus schützt er Sie noch vor all den anderen Gefahren - nicht nur vor Spam und Viren.

Technisches Fallbeispiel Fa. Elektracar


Zentrale in Westeuropa (68 AP), Produktion in Osteuropa (120 MA, ERP) und Vertrieb in USA (22 AP), externe Zugänge für R&D und Vertrieb.

Zentrale: Limes 1000 - Netzwerk segmentiert in externe Zone (Internet), Server DMZ extern (Mail-, Web-Server), Server DMZ f. wireless access und interne Zone. Die interne Zone wird durch VLANS in 4 Teilbereiche für Geschäftsführung, Vertrieb, Marketing und Technik unterteilt.

In der externen Zone verwendet man einen lokalen Kabelbetreiber und einen x/DSL Anbieter um durch 2 verschiedene Internetanbindungen immer online zu sein. In der GUI der Limes Appliances kann man das connection bonding ganz bequem und schnell konfigurieren. Getestet wird die Konfiguration durch einfaches Abziehen der Netzwerkstecker von den entsprechenden Interfaces. - Statisches NAT, eine Kombination von SNAT und DNAT, wird in der externen Server-DMZ benötigt.
 
Durch die Funktion von IP-Aliases und dem Forwarden von SMTP, HTTP und HTTPS in die externe Server DMZ werden Web und Mailserver ans Internet angeschlossen. Zusätzlich aktiviert man für diese Zone einen Applikationsfilter für das SMTP Protokoll um vor Viren und Spam sicher zu sein. Die Spamerkennungsrate pendelt sich nach nur kurzer Einlernphase durch den integrierten bayesian Filter Algorithmus und aktiviertes Greylisting sehr schnell bei zufrieden stellenden 99,2 % ein. Die im Limes integrierte IDS wird für externe Zone und Server DMZ ativiert und warnt sofort vor Einbruchsversuchen und unerlaubten Zugriffen auf den Mailserver. Das interne Netzwerk unterteilt man in vier unabhängige VLANS und man verwendet die IDs 808 für die Geschäftsführung, 809 für den Vertrieb, 810 für die Marketingabteilung und 811 für die Technik. In diesen 4 VLANS verwendet man interne IP Adressen in Verbindung mit SNAT. Für die VLANS mit den IDs 809,810 und 811 wird der Mailzugriff via POP3 auf den firmeninternen Server in der externen DMZ freigegeben. Zusätzlich wird beschlossen P2P Dienste auf Applikationsebene für diese Segmente zu blocken und man erlaubt Webzugriffe über den im Limes integrierten Proxy. Für den Webzugriff soll man sich authentifizieren und man wählt in der Limes GUI den Punkt "Windows Authentication, Domain/Samba". Dort konfiguriert man auch die Weiterleitung der Authentifizierung auf den bereits vorhandenen Windows Domänencontroller.

Das VLAN für die Geschäftsführung wird als wenig restriktiv eingestuft. Durch die Verwendung von http/FTP/SMTP/IMAP/POP3 Scanning und die Aktivierung am Limes filtert man den externen Traffic jedoch gegen Viren, Spam und andere Malware. Mobiler Zugang zum firmeninternen Netz erhalten die Mitglieder der Geschäftsführung natürlich auch. In der Client2Site Konfiguration am Limes werden die Accounts eingerichtet. Die benötigte Software lädt man von der Limes Appliance samt zugehörigem Zertifikat einfach herunter. Einer der Geschäftsführer verwendet ein etwas exotischeres Notebok und zwar unter Mac OS 10.3. Trotzdem ist mit wenigen Installationsschritten auch dieses Notebook im VPN integriert. Eine eigene DMZ hat man für WLAN Zugriffe eingerichtet und einen Access Point daran angeschlossen. Dabei kommt WPA II Verschlüsselung zum Einsatz. Nach erfolgreicher Anmeldung an den Access Point kann man jedoch noch nicht auf Firmenresourcen zugreifen. Da die Verbreitung von Notebook und PDA im Unternehmen hoch sind wird für Mitglieder aller 4 VLANS VPN Client2Limes benutzt um über die WPA II verschlüsselte WLAN Verbindung sicher auf Daten zugreifen zu können.

Anders die Situation in den USA. Dort hat man ein Vertriebsbüro an der East Coast eröffnet. Ca. 20 Mitarbeiter sollen hier Technology made in Europe vermarkten und müssen ohne Probleme auf das ERP und auf das CRM System des Unternehmens zugreifen. Auch hat man den Fileservice in Europa zentral aufgesetzt und in die firmeneigene Backupstruktur integriert. In USA verwendet man einen Limes 500, glücklicherweise wird der amerikanische Kaltgerätestecker gleich mitgeliefert. Natürlich ist die Limes 500 appliance auf 110/220 Volt Betrieb ausgelegt und adaptiert sich automatisch an die geographischen Besonderheiten. In Europa konnte man das Gerät schon vorkonfigurieren. Anders als in der Zentrale offenbart sich die Konfiguration des amerikanischen DSLs. Dort verwendet man klassisch Ethernet. Ein Protokoll wie PPoE oder PPTP gibt es nicht. Das hat der Provider bereits mitgeteilt und freundlicherweise auch gleich die externe statische IP Adresse mitgeschickt. Der amerikanische Vertrieb wird über limes2limes VPN mit dem österreichischen Vertriebs VLAN gekoppelt. Da man Bandbreite im VPN für ERP/CRM und Fileservice sparen möchte wird auch in Amerika der Limes Proxy für http Verbindungen schon vorkonfiguriert. Durch das VPN kann sich der Vertriebsmitarbeiter an die Windowsdomäne anmelden und auf die Resourcen in Europa zugreifen. Durch die Verwendung von WINS in Verbindung mit DHCP am Limes gestaltet sich die Installation der Limes 500 Appliance sehr einfach.

Viel einfacher hingegen die Situation in Osteuropa. Am Produktionsstandort gibt es nur wenige PC Arbeitsplätze und man benutzt vorwiegend eine CAD Anwendung um Pläne auszudrucken oder zu visualisieren. Das dort vorhandene Produktionsnetzwerk steuert vorwiegend grosse Maschinen an und nur wenige Mitarbeiter kommunizieren über das Internet. Ebenfalls kommt in Osteuropa ein Limes 500 zum Einsatz. Der Standort ist durch einen lokalen Kabelprovider angebunden. Auch dort hat man eine statische IP Adresse für das externe Interface bekommen und ein Limes2Limes VPN mit dem VLAN811 in der Zentrale auf das vorhandene interne Netzwerk eingerichtet. Die Mitarbeiter in Osteuropa haben Zugang zum Mailserver, Zugang zum freien Internet benötigt man dort nicht. Ein grosses Thema allerdings ist die Verwendung der zentralen VoIP Anlage. SIP muss jederzeit verfügbar sein. Daher wird am Limes Traffic Shaping aktiviert und 30% der verfügbaren Bandbreite für diesen Dienst reserviert.