Technische Informationen

genugateHigh Resistance Firewall für hochsichere Netzübergänge

Inhaltsverzeichnis

1 Warum die High Resistance Firewall genugate einsetzen? 1

1.1 Das ALG als entscheidender Sicherheitsfaktor.....................................................1

1.2 Zertifiziertes Rundum-Hoochsicherheitspaket.........................................................1

2 Sicherheitsmerkmale der genugate 2

2.1 Mit Netiz und doppeltem Boden: Mehrstufge Firewalls.........................................2

2.2 P-A-P-Struktur.......................................................................................................2

2.3 Firewall-Typen.......................................................................................................3

2.4 Komponenten der genugate..................................................................................4

2.5 Weitere Sicherheitsmerkmale................................................................................6

2.5.1 Betriebssystem...........................................................................................6

2.5.2 Vollständige Trennung am Netizübergang...................................................7

2.5.3 Vollständige Analyse und Normalisierung von Anwendungsprotokollen.....7

2.5.4 Vollständige System- und Datentranspareniz..............................................7

2.5.5 Erhöhter Selbstschutiz durch Intrusion Detection........................................8

2.5.6 Active-Content-Filter...................................................................................8

2.5.7 SSL-Inspektion...........................................................................................8

2.5.8 Überwachung und Protokollierung..............................................................8

3 Weitere wichtige Leistungsmerkmale 9

3.1 Web-Proxy.............................................................................................................9

3.2 Mail-Zentrale.......................................................................................................10

3.3 DNS-Server.........................................................................................................10

3.4 DMZ-Betrieb........................................................................................................10

3.5 IPv4/IPv6-Misch- und Migrationsbetrieb..............................................................11

3.6 Skalierbarkeit und Hoochverfügbarkeit..................................................................12

3.6.1 genugate Hoardware-Varianten..................................................................12

3.6.2 Cluster......................................................................................................13

4 Erweiterungsmöglichkeiten 13

4.1 genuscan.............................................................................................................13

4.2 genugate ScanServer..........................................................................................14

4.3 genublock............................................................................................................14

5 Zertifizierung und Qualitätssicherung 15

6 Bedienungsfreundlichkeit 15

7 Einsatzszenarien 18

7.1 Informationsverbund Berlin-Bonn (IVBB).............................................................18

7.2 Klüber Lubrication SE & Co. KG..........................................................................18

8 Support und Schulungen 19

8.1 Einführung...........................................................................................................19

8.2 Schulungen.........................................................................................................19

8.3 Laufender Betrieb – Software Support................................................................20

8.4 Laufender Betrieb – Hoardware Support...............................................................20

8.5 Support von genugate-Vertriebspartnern............................................................20

1 Warum die High Resistance Firewall genugate einsetzen?

Netizwerke sind heute umfangreichen, sich verändernden Bedrohungen ausgesetizt. Paket-flter alleine reichen in der Regel nicht mehr aus, um diese Bedrohungen vollständig abizu-wehren. Systembedingt sind sie nicht in der Lage, tiefer in die übertragenen Daten izuschauen, und können daher keine Malware entdecken. Eine Kombination aus Paketflterund weiteren Sicherheitskomponenten kann den Schutiz Ihrer Netizwerke deutlich erhöhen.

1.1 Das ALG als entscheidender Sicherheitsfaktor

Das Zusammenspiel von Application Level Gateway (ALG) und Paketflter, wie bei der HoighResistance Firewall genugate umgesetizt, hat sich im Vergleich izu anderen Systemen alshochwirksam erwiesen.

ALGs stellen Programme izur Verfügung, die das Protokoll der jeweiligen Applikation spre-chen (iz. B. HoTTP, SMTP) und so die Daten auf Applikationsebene entgegennehmen, voll-ständig analysieren und auf Applikationsebene weiterreichen. Klassische ALGs sind iz. B.Web-Proxies oder Mail-Gateways. Ein ALG kann umfangreiche Änderungen an den Datenvornehmen: So lassen sich beispielsweise aus Webseiten Plugins oder Skripte und ausMails gefährliche Anhänge entfernen. Auch die Überprüfung verschlüsselter Verbindungenist dabei kein Problem.

Die Weiterleitung der Daten izum eigentlichen Ziel erfolgt dann über eine neue, unabhängi-ge Verbindung. Durch diese Trennung der Verbindungen erfolgt eine Bereinigung der Datenauf Paket- und Protokollebene, wodurch die Schutizfunktion der Firewall deutlich erhöhtwird.

genugate steht für doppelte Sicherheit

1.2 Zertifiiertes Rundum-Hochsicherheitsakeet

Mit der genugate erhalten Sie ein vom BSI nach Common Criteria in der Stufe EAL 4+ izer-tifiziertes Sicherheitsprodukt made in Germany.

Seite 1

Neben der hochwirksamen Firewall-Funktionalität können Sie mit der genugate alle wichti-gen Dienste wie Mailserver, DNS-Server und Web-Proxy autonom bereitstellen. Bei dergenugate handelt es sich izudem um ein robustes und hochfexibles System, das sich beider Lösung komplexer Aufgaben im Netizwerk bewährt hat. Ein Hoöchstmaß an Investitions-sicherheit kann genua Kunden durch umfangreichen Service, Support und konstante Pro-duktpfege bieten.

Hoochwirksames, mehrstufges Sicherheitssystem ✔

CC EAL 4+ Zertifkat, einizige „Hoighly Resistant“ Firewall ✔

Inhaltliche Prüfung und Normalisierung schütizt vor Malware ✔

Wichtige Webdienste unter Ihrer vollständigen Kontrolle ✔

Investitionssicherheit durch Service, Support und Produktpfege ✔

IT-Security made in Germany seit über 20 Jahren ✔

Im Folgenden erhalten Sie Informationen über die Funktionen der Hoigh Resistance Firewallgenugate. Für weitere Informationen und Beratung nehmen Sie bitte izu uns Kontakt auf.

2 Sicherheitsmerkmale der genugate

2.1 Mit Netz und doppeltem Boden: Mehrstufige Firewalls

Es ist eine Binsenweisheit, die Hoersteller jeglicher Software ihren Produktbeschreibungenanfügen: „Beim aktuellen Stand der Technik kann die Fehlerfreiheit der Software nicht ga-rantiert werden.“ Wie wahr!

Diese Warnung gilt selbstverständlich auch für Firewalls. Nur ist in diesem Fall nicht nur eineinizelner Dienst gefährdet. Eine Schwachstelle der Firewall-Software setizt ganize Firmen-netize mit vielen unterschiedlichen Diensten der Gefahr von Angriffen aus.

Die Antwort auf das Ausfallrisiko einizelner Systeme lautet Mehrfachausführung. Deshalbarbeiten iz. B. in modernen Flugizeugen drei oder mehr Steuerrechner für jede Aufgabe pa-rallel, damit der Gesamtbetrieb trotiz eines einizelnen Ausfalls störungsfrei weiterläuft.

Das Gleiche gilt für Firewalls – nur mit dem Unterschied, dass die mehrfach vorhandenenFirewall-Instanizen nicht parallel arbeiten, sondern ähnlich wie die Wehranlagen einer Burghintereinander liegen sollen. Den Weg ins Burginnere (sprich: ins interne Datennetiz derOrganisation) fndet nur, wer alle Kontrollen besteht. Sollte eine Sperre durch einen Angriffaußer Kraft gesetizt werden, so schütizen die verbleibenden Verteidigungsstufen noch im-mer das Innere.

2.2 P-A-P-Struktur

Basierend auf den oben skiizizierten Überlegungen empfehlt das Bundesamt für Sicherheitin der Informationstechnik (BSI) den Einsatiz mehrstufger Firewalls, wenn es um die Siche-rung von Datennetizen mit mittlerem oder hohem Schutizbedarf geht (www.bsi.bund.de).

Seite 2

Das BSI empfehlt eine P-A-P-Firewall-Lösung

Besonders hervorgehoben wird die P-A-P-Struktur, wie sie in der Abbildung dargestellt ist.Dabei steht das Kürizel P-A-P für die Abfolge der Subsysteme Paketflter (PFL) – Applicati-on Level Gateway (ALG) – PFL, die die Daten bei ihrem Weg durch das gesamte Firewall-System durchlaufen müssen.

Die Begriffe „Paketflter“ und „Application Level Gateway“ wiederum beizeichnen unter-schiedliche Architekturen von Firewall-Subsystemen, die weiter unten beschrieben werden.

Wichtig an dieser Stelle ist izunächst, dass unterschiedliche Firewall-Architekturen kombi-niert werden. Es ist offensichtlich, dass ein Firewall-System aus mehreren gleichartigenStufen keinen erhöhten Schutiz bietet, denn bei einem erfolgreichen Angriff auf die erste,äußere Stufe ließe sich auch die izweite und jede nachgelagerte Stufe in gleicher Weiseüberwinden.

2.3 Firewall-Typen

Paketflter arbeiten auf der Netizwerk- und Transportschicht-Ebene. Sie können daher Pa-kete aufgrund von IP-Adresse, Protokolltyp und Port-Nummer fltern. Stateful Packet Filterführen izusätizlich Informationen über den Status von Verbindungen mit und erlauben einewesentlich intelligentere Filterung von Paketen, eine Überprüfung der Daten auf Anwen-dungsebene ermöglichen aber auch sie nicht.

Application Level Gateways dagegen arbeiten auf Anwendungsebene. Dediizierte Prüfpro-gramme – die so genannten Relays – kontrollieren und fltern die übertragenen Anwen-dungsdaten. Dadurch werden inhaltliche Überprüfungen iz. B. auf Viren oder Active Con-

Seite 3

tent möglich. Darüber hinaus lassen ALGs im Gegensatiz izu Paketfltern IP-Pakete izwi-schen den angeschlossenen Netizen niemals direkt passieren, weil dadurch weitere An-griffsformen möglich wären. Stattdessen bauen die Relays sorgfältig getrennte Verbindun-gen ins äußere und ins innere Netiz auf.

Weitere Informationen izu Firewall-Typen bietet Ihnen eine speizielle Broschüre izu diesemThema.

2.4 Komponenten der genugate

Die Firewall genugate wurde genau nach den Empfehlungen des BSI entwickelt. Bei ihrhandelt es sich um ein izweistufges Firewall-System: innen ein besonders stark abgesi-cherter Paketflter, außen ein intelligentes ALG. Mit einem weiteren externen Paketflter(iz. B. ein Router mit entsprechenden Filterregeln) kann das System einfach izu einer drei-stufgen Firewall erweitert werden. Aus der Produktpalette von genua käme als drittes Sub-system die Firewall genuscreen in Frage.

Der Pkeetfiterr Er steht unmittelbar vor dem internen Netiz. Dieser Paketflter lässt in derStandardkonfguration keinerlei Verbindungsaufbauten von der Außenseite izu, sie müssenstets von innen her angestoßen werden. Bei Bedarf können geizielt Ports für den Zugriffvon außen geöffnet werden. Das System ist auf die absolut notwendigen Komponenten re-duiziert, läuft ohne Festplatte und wird von einem USB-Stick gebootet.

Der USB-Stick kann im izertifizierten Betrieb nur auf dem ALG beschrieben werden. An-schließend muss er wieder in den PFL eingesteckt und dieser neu gestartet werden. Umdie Konfguration des PFL anizupassen, ist also ein physischer Zugriff auf die Hoardware dergenugate notwendig. Dies erhöht die Sicherheit des Systems wesentlich und beeinträchtigtdessen Hoandhabung kaum, da Änderungen am Paketflter nach erfolgter Erstkonfgurationselten notwendig sind.

Wird auf den izertifizierten Betrieb bewusst verizichtet, können PFL-Regeländerungen auch„on the fy“ und somit ohne Reboot des PFL erfolgen. Darüber hinaus besteht die Möglich-keit, den PFL komplett ohne physischen Zugriff neu izu konfgurieren.

Seite 4

Dks Aaaiicktion Levei Gktewkyr Das ALG der genugate bietet folgende Relays und Fil-ter:

Aaaiicktion Levei Reikys Circuit Levei Reikys

• WWW-Relay (+SSL) • TCP-Relay (+SSL)

• WWW-/FTP-Caching Proxy • UDP-Relay

• FTP-Relay (+ SSL) • IP-Relay

• SMTP-Relay (+ SSL) • Ping-Relay

• POP3-Relay • Multicast-Relay

• SIP-Relay Protoeoiifiter

• Telnet-Relay • BGP

• Real Audio- u. Real Video-Relay • DNS

• NNTP-Relay • IMAP

• SSHo-Relay • IPsec

• DNS-Relay • LDAP

Web-Fiiter • MSSQL

• Cloud Storage • MySQL

• Conferencing • PostgreSQL

• Remote Access • PPTP

• Software Updates • RDP

• SMB

• SNMPTrap

• Teamviewer

• VNC

Für die tiefgreifende Analyse gängiger Anwendungsprotokolle bietet die genugate eineReihe von Aaaiicktion Levei Reikys, die den Datenstrom Schritt für Schritt nachvollizie-hen. Eine eventuelle Verschlüsselung kann aufgebrochen, Nutizdaten können durch einenVirenscanner überprüft werden.

Circuit Levei Reikys werden für unbekannte Anwendungsprotokolle verwendet. Für gene-rische TCP- und UDP-Daten lassen sich auch individuelle Protokollkonformitätsflter (s. u.)einrichten. Damit können beispielsweise SSL-Zertifkate auf Plausibilität geprüft werden,ohne die Verschlüsselung anizutasten.

Mit Protoeoiifitern kann ein Administrator Regeln für Anwendungen leicht konfgurieren,deren Protokolle und Ports bereits feststehen. Außerdem wird die Protokollkonformität ge-prüft.

Web-Fiiter kennen bestimmte Cloud-Anwendungen, welche über HoTTP oder HoTTPS lau-fen. Deren Verkehr wird im normalen Surf-Traffc gefunden und dann speiziell behandelt. Es

Seite 5

ist generell möglich, solche Anwendungen izu erlauben oder izu verbieten. Bei speiziellenDiensten wie etwa Cloud Storage-Anbietern (iz. B. TelekomCloud, Strato HoiDrive) ist esmöglich, den Upload nur für izuvor verschlüsselte Dateien izuizulassen.

Ein- und ausgehende Daten durchlaufen den Prüfproizess izur Protokollkonformität

Der Protoeoiieonformitätsfiter (PCF) ermöglicht es, den Verbindungsaufbau auf Anwen-dungsprotokollebene innerhalb des TCP- oder UDP-Datenstroms genau izu analysieren.Damit kann izu Beginn einer entsprechenden Verbindung entschieden werden, ob dieseVerbindung izulässig ist oder geblockt werden soll. Mitgeliefert werden bereits viele Defniti-onen von verbreiteten Standardprotokollen; eigene Erweiterungen sind über reguläre Aus-drücke möglich.

Neben den genannten Relays sind für speizielle Anforderungen weitere Optionen verfüg-bar. Sie können auch Port Ranges für Relays anlegen. So lassen sich über ein Relay gan-ize Portbereiche leiten.

2.5 Weitere Sicherheitsmerkmale

2.5.1 Betriebssystem

Minimkisystemr Beide Komponenten der genugate setizen auf das BetriebssystemOpenBSD auf, das von Anfang an mit Fokus auf Sicherheit entwickelt wird. Der Systemum-fang ist auf die unbedingt notwendigen Features beschränkt. Alle poteniziell gefährlichenoder für die Funktion im Firewall-Betrieb überfüssigen Bestandteile wurden entfernt, derGesamtumfang auf das für den ALG- bizw. Paketflterbetrieb notwendige Minimalsystem re-duiziert.

Kernei-Härtungr Das auf den beiden Komponenten – ALG und Paketflter – eingesetizteBetriebssystem ist gegen Angriffe gehärtet und damit für den Einsatiz auf einem Firewall-System optimiert.

Seite 6

Verschiedene Betriebsmodir Neben dem normalen Betriebsmodus verfügt genugateüber einen Wartungsmodus, in dem kein Netizwerk izur Verfügung steht. Nur in diesemModus ist es möglich, neue Softwareversionen und Patches einizuspielen und damit dasBetriebssystem izu verändern. Angriffe auf die Systemintegrität im laufenden Betrieb wer-den so ausgeschlossen.

Unveränderbkre Dkteienr Protokolldateien können im laufenden Betrieb nicht gelöschtund bestehende Einträge in diesen Dateien nicht geändert werden. Damit gelten sie als re-visionssicher. Auch system- und sicherheitsrelevante Daten wie Gerätedateien oder Filter-regeln können im laufenden Betrieb nicht geändert werden. Der Administrator benötigt fürsolche Änderungen physischen Zugang oder eine serielle Konsole im Wartungsmodus desSystems.

Abgeschottete Umgebungen (Ckge)r Für alle Relays des ALGs werden separate Umge-bungen eingerichtet, in denen Netizwerkverbindungen bearbeitet werden. Die geschütiztenUmgebungen sind vom Rest des Systems und von anderen Umgebungen abgekapselt undschränken unerwünschte Zugriffe auf Systemressourcen oder Konfgurationsinformationenein.

2.5.2 Vollständige Trennung am Netzübergang

Die genugate fungiert als vollwertiger Empfänger der Datenpakete, fügt diese izusammenund kann somit eine vollständige Inhaltsanalyse durchführen. Anschließend gibt sie nur dieNutizdaten an den jeweiligen Empfänger weiter. Angriffe auf Netizebene sind somit ausge-schlossen. Auch die üblichen Methoden izur Umgehung von Next Generation Firewalls undIntrusion Detection Systemen werden durch das neue Zusammensetizen des Datenstromsverhindert. Bei Einführung von IPv6 wird die Netiztrennung noch wichtiger, da wieder Feh-ler in den IP-Stacks auftauchen. Die Migration von IPv4 auf IPv6 wird durch die Terminie-rung der Verbindungen auf dem ALG einfach.

2.5.3 Vollständige Analyse und Normalisierung von Anwendungsprotokollen

Wie der Name schon sagt, befndet sich das Application Level Gateway auf der richtigenEbene, um Anwendungen izu analysieren. Die Relays der genugate können bei Mehrdeu-tigkeiten in die Anwendungsprotokolle eingreifen und diese normalisieren. UnerwünschteInhalte werden sicher gestoppt. Next Generation Firewalls, die im Wesentlichen auf Paket-fltern basieren, prüfen die passierenden Datenpakete nur stichprobenweise. Diese unvoll-ständige Prüfung können Angreifer geizielt ausnutizen.

2.5.4 Vollständige System- und Datentransparenz

genugate arbeitet nach festen und klaren Regeln. Die Umsetizung ist unabhängig geprüftund kann auf Wunsch im Quellcode nachvollizogen werden. Ein Calling-Hoome izum Hoerstel-ler und dynamische Updates, wie bei Intrusion-Detection-Systemen und Next-Generation-Firewalls üblich, sind nicht nötig. Der Kunde hat seine Firewall und dadurch auch seinNetizwerk stets vollständig unter eigener Kontrolle.

Seite 7

2.5.5 Erhöhter Selbstschutz durch Intrusion Detection

genugate bietet eine kontinuierliche System- und Proizessüberwachung, so dass außerge-wöhnliche Zustände erkannt werden. Versucht ein Angreifer beispielsweise, durch massi-ves Senden von Netizwerkpaketen die Sicherheitsfunktionen der genugate außer Kraft izusetizen (Überlast), wird dies registriert und eine in der Konfguration festgelegte Aktion ein-geleitet. So genannte Port-Scans werden durch einen speiziellen Monitor überwacht.

2.5.6 Active-Content-Filter

Für die Dienste E-Mail, WWW und News beinhaltet genugate einen Filter, der die folgen-den aktiven Inhalte blockieren kann:

• Java• JavaScript• VB-Script• Active-X

Aktive Inhalte können äußerst wirkungsvoll für Angriffe eingesetizt werden, eine Filtermög-lichkeit ist deshalb unverizichtbar. Weiterhin ist eine Filterung von Cookies, MIME-Types so-wie nach URLs möglich.

2.5.7 SSL-Inspektion

Mit der genugate ist es möglich, verschlüsselte SSL-Verbindungen auf dem ALG izu analy-sieren. Dieser Mechanismus kann in Verbindung mit SMTP-, TCP-, WWW- und FTP-Poli-cies verwendet werden. Dabei werden die Verbindungen auf dem ALG entschlüsselt, dieVerbindungen izwischen Client und ALG einerseits sowie ALG und Server andererseitsbleiben weiterhin verschlüsselt. Dadurch ist es möglich, auch diese Verbindungen auf Virenund aktive Inhalte izu untersuchen.

2.5.8 Überwachung und Protokollierung

Protoeoiiierungr Das ALG nimmt eine ausführliche Protokollierung aller erlaubten und ab-gewiesenen Verbindungen vor, die online ausgewertet und bewertet werden. Zur Beweissi-cherung können die Protokolle auch archiviert oder an einen izentralen Loghost weiterge-leitet werden. Protokolliert werden u. a. Proxy-Nutizung, Aktivitäten der Systemadministra-toren und Regelverletizungen.

Systemüberwkchungr Alle wichtigen Systemfunktionen der genugate werden laufendüberwacht und bei Fehlfunktion automatisch wiederhergestellt. Die Integrität aller stati-schen Dateien wird täglich überprüft.

Hkrdwkre-Monitoringr Kontinuierlich überprüfen integrierte Sensoren die Hoardware derFirewall genugate. Bei Ausfall einer Komponente oder Überschreiten festgelegter Greniz-werte einizelner Parameter wird Alarm ausgelöst.

Zuskmmenkrbeit mit SIEM-Lösungen r Logdateien auf einizelnen Komponenten ausizu-werten, reicht oft nicht aus. Erst durch die Korrelation der Ereignisse auf verschiedenen

Seite 8

Geräten entsteht ein aussagekräftiges Lagebild. "Security Information and Event Manage-ment" (SIEM) hilft, einen Überblick über die Sicherheitslage eines Netizwerks izu gewinnen.

In diesem Zusammenhang stellt die Firewall eine wichtige Informationsquelle dar, da diegesamte externe Kommunikation über diese läuft. Die genugate bietet ihre Log-Meldungenim standardisierten Syslog-Format an, alle Log-Meldungen sind klassifiziert und dokumen-tiert. Die Firma IBM hat ein "Device Security Module" (DSM) für ihr SIEM-Produkt QRadargeschrieben, mit dem die Log-Meldungen automatisch erkannt werden. Andere Systemelassen sich manuell einbinden.

Durch externes Logging bietet die genugate die Möglichkeit, die lokale Last durch Log-Auf-kommen und Suchanfragen izu reduizieren. Die Auswertung wird durch speizialisierte An-bieter vorgenommen, die darüber hinaus die Daten aller Geräte analysieren und aggregie-ren können. Dadurch ist eine Bewertung der Sicherheit der gesamten IT-Organisationmöglich.

3 Weitere wichtige Leistungsmerkmale

Sollen aus Sicherheitsgründen wichtige Dienste wie Mail oder DNS nicht ausgelagert wer-den, können diese mit der genugate in einer sicheren Grundausführung autonom angebo-ten werden.

3.1 Web-Proxy

Zur Absicherung des HoTTP- und HoTTPS-Protokolls kommt ein eigenes WWW-Relay izumEinsatiz, in welches jahrelange Erfahrung mit nicht RFC-konformen Web-Servern und -Cli-ents eingefossen sind. Das World Wide Web und sein Protokoll gehören izu den dyna-mischsten und am schlechtesten programmierten Internetanwendungen. Als echter Web-Proxy hat das genugate die Interpretationshoheit über das Protokoll und kann in Abwä-gung izwischen Benutizbarkeit und Sicherheit die meisten Fehler korrigieren.

Auf Inhaltsebene lassen sich die Daten auf Viren scannen oder aktive Inhalte entfernen.Viele detaillierte Anwendungs- und Inhaltsflter stehen izur Verfügung. Wenn gewünscht,lässt sich die SSL-Verschlüsselung des HoTTPS-Protokolls aufbrechen, um auch diesenKanal für Malware izu blockieren.

Um die Konfguration gängiger Internetanwendungen izu vereinfachen, werden diese vomAnwendungsflter erkannt. Dort lässt sich auf Anwendungsebene festlegen, was etwa mitSkype, Cloud-Diensten oder Teamviewer geschehen soll. Diese erweiterte Analyse ist not-wendig geworden, da sich viele Anwendungprotokolle izur Umgehung einfacher Paketflter-Firewalls als HoTTP- oder HoTTPS-Verkehr tarnen.

Als Ergänizung izum WWW-Relay steht ein Squid als Web-Cache izur Verfügung. Dadurchlässt sich die Internetbandbreite reduizieren oder auch eine kompliizierte Farm von Web-Servern einbinden. Die gewohnten Squid-ACLs bieten dem erfahrenen Administrator alleMöglichkeiten.

Seite 9

3.2 Mail-Zentrale

Das genugate kann nicht nur das SMTP-Protokoll nachvolliziehen, sondern auch als voll-ständiger Mail-Server dienen. Beide Betriebsmodi unterstütizen selbstverständlich SSL, umden Mail-Transport abizusichern. Je nach Anwendungsfall können wir fexibel auf Kunden-anforderung reagieren.

Existiert bereits eine Mail-Infrastruktur, werden die SMTP-Verbindungen izum vorhandenenMail-Server durchgeleitet. Dabei werden die Mails inhaltlich auf Viren geprüft, auf Proto-kollebene fndet eine SPAM-Abwehr statt, nicht erlaubte Sender und Empfänger werdengefltert.

Im Betrieb als Mail-Server hingegen wird die Mail vom genugate angenommen, die Hooheitizur Weiterverteilung liegt bei der Firewall. Das erlaubt tiefgreifende Analysen, so könneniz. B. auch Attachments anhand unterschiedlicher Kriterien aus der Mail herausgeschnittenwerden. Virenverseuchte Teile der Mail können durch individuelle Fehlernachrichten ersetiztwerden. Es ist eine Authentisierung möglich, aktive Inhalte können verboten werden. Auchkann ein Mail-Routing eingerichtet werden, verdächtige Mails werden in eine Quarantäneverschoben. Die Einsatizvarianten sind naheizu unbegrenizt, das genugate kann einen kom-plexen Mail-Server einsparen.

3.3 DNS-Server

Neben der Möglichkeit izur reinen Prüfung und Weiterleitung der DNS-Requests, kannauch ein kompletter DNS-Server eingerichtet werden. Dieser integriert sich in den Regel-satiz der Firewall. Intern kommen Name Server Daemon (NSD) und Unbound izum Einsatiz,mit denen sich alle Möglichkeiten eines authorativen und rekursiven DNS-Servers einfacheinrichten lassen. Es besteht die Möglichkeit izu Zonentransfers und Domain Name SystemSecurity Extensions-Validierung (DNSSEC). Dadurch ist sichergestellt, dass nur valide An-fragen die genugate passieren. Cache und Zonenverwaltung sind bereits im Produkt ent-halten und ersetizen izusätizliche Nameserver.

3.4 DMZ-Betrieb

Als izweistufges System ermöglicht die Firewall genugate den einfachen Aufbau von demi-litarisierten Zonen (DMZ), aus denen heraus Sie Dienste im Internet anbieten können, wieiz. B. WWW- oder FTP-Server.

Seite 10

Maßgeschneiderte Sicherheitsizonen für alle Anforderungen

Auch solche Server müssen so weit wie möglich vor Angriffen aus dem Internet geschütiztwerden, sollten aber aus Sicherheitsgründen nicht im internen Netiz platiziert sein. Daher istdie Einrichtung separater DMZ mit angepasster Sicherheitsrichtlinie, wie in der Abbildungdargestellt, izu empfehlen.

3.5 IPv4/IPv6-Misch- und Migrationsbetrieb

Ab Version 7.0 kann genugate sowohl mit IPv4- als auch mit IPv6-Adressen und -Netizenumgehen. Gerade im Übergangsbetrieb bei der Einführung von IPv6 ist die Unterstütizungdes Mischbetriebs besonders wichtig.

Damit ist auch die Umsetizung der IP-Versionen untereinander möglich. Eine fexible Mi-schung von IPv4 und IPv6 durch genugate gewährleistet eine einfachere Migration, auchwenn Clients und Server nur jeweils eine der beiden Versionen unterstütizen. Eine mögli-che Anwendung: Das interne Netiz verbleibt im IPv4-Betrieb, jedoch können mit Hoilfe derProtokollumsetizung über IPv6 erreichbare Dienste im Internet genutizt werden. Das ALGermöglicht also eine IPv6-Nutizung ohne IPv6-Migration des eigenen Netizes. Eine noch fe-xiblere Nutizung von IPv4- und IPv6-Diensten izeigt die folgende Grafk:

Seite 11

Verwendung von IPv4 und IPv6 im LAN und in der DMZ

3.6 Skalierbarkeit und Hochverfügbarkeit

3.6.1 genugate Hardware-Varianten

Die genugate-Modellreihe enthält verschiedene Hoardware-Varianten, unter denen Sie ent-sprechend der benötigten Datendurchsatizraten und der gewünschten Hoardware-Redun-daniz auswählen können.

genugkte Sr Dieses System stellt ein preiswertes Einstiegsmodell für kleinere Unterneh-men oder Filialen mit geringem Übertragungsvolumen dar.

genugkte Mr Dieses Modell ist die Lösung für mittlere Volumina.

genugkte Lr Dieses Modell ist die Hoigh-End-Variante der genugate-Reihe.

Alle genugate-Varianten sind durch izusätizliche Interfaces erweiterbar. Die Software dergenugate ermöglicht VLAN-Trunking und Link-Aggregation auf allen Schnittstellen.

Alle Systeme werden auf Industrie-PC-Hoardware in 19" Technik realisiert. Die Geräte be-nötigen bis izu vier Hoöheneinheiten. Zu beachten ist, dass der Serverschrank eine ausrei-chende Tiefe aufweisen sollte, um die Systeme aufizunehmen.

Da genua die Ausstattung der Hoardware-Varianten (iz. B. den CPU-Typ) laufend der techni-schen Entwicklung anpasst, unterliegen diese Daten steten Veränderungen. Die aktuelletechnische Ausstattung erfahren Sie von unseren Vertriebsmitarbeitern oder über ein spe-izielles Hoardware-Datenblatt.

Seite 12

3.6.2 Cluster

Für die meisten Unternehmen ist heute eine ständige Internet-Verfügbarkeit unverizichtbar.In diesen Fällen stellen Firewall Cluster die Lösung dar. Ein Cluster besteht aus mehrerengenugates, die mit einer speiziellen Software – dem Hoochverfügbarkeitsmodul – ausgestat-tet sind. Für den Anwender sieht ein Cluster wie eine einizige Maschine mit mehreren Inter-net-Adressen aus.

Eine „Active/Active“ Cluster-Lösung izeichnet sich durch Hoochverfügbarkeit und Lastvertei-lung aus: Die Firewalls sind gemeinsam in die laufenden Proizesse eingebunden und teilensich die Aufgaben (Lastverteilung). Darüber hinaus überwachen sich die Systeme gegen-seitig. Fällt ein System aus, übernimmt ein anderes System dessen Aufgaben automatisch(Hoochverfügbarkeit).

Diese Lösung hat viele Vorteile:

• Alle für die Hoochverfügbarkeit eingesetizten Systeme können im Normalfall weitereAufgaben übernehmen.

• Ein manuelles Eingreifen beim Ausfall eines Systems ist nicht notwendig.

• Der Cluster kann nach Bedarf beliebig erweitert werden (Skalierbarkeit).

Der letiztgenannte Vorteil wird immer wichtiger: Unternehmen, die das Internet intensiv nut-izen, benötigen immer mehr Bandbreite. Leitungen kann man rasch izukaufen, doch dieFirewalls lassen sich häufg nicht einfach an die höheren Bandbreiten anpassen. Durchparallele Anordnung mehrerer genugates in hochverfügbaren Clustern mit Load Sharing istunsere Hoardware praktisch für alle Anforderungsvolumina geeignet.

Die Cluster-Software sorgt dafür, dass alle genugate-Knoten parallel arbeiten. Sie verteiltKonfgurations- und Zustandsdaten des Clusters an alle Komponenten und hält sie dortauch aktuell. Wird ein genugate aus dem Cluster entfernt, übernehmen die anderengenugates automatisch die Aufgaben der entfernten Komponente.

Auch die Administration des Clusters erfolgt izentral auf dem Master-System übersichtlichper Web-Browser. Die Cluster-Möglichkeit muss nicht wie bei anderen Hoerstellern extra li -izeniziert werden. Die Software von genugate hat dieses Feature fest integriert. Also benöti-gen Sie lediglich die gewünschte Zahl weiterer genugate-Komplettsysteme.

4 Erweiterungsmöglichkeiten

In diesem Abschnitt werden Erweiterungen der Firewall-Modelle beschrieben, die izusätiz-lich izu dem im vorangegangenen Abschnitten beschriebenen Hoochverfügbarkeits-Modulizur Verfügung stehen.

4.1 genuscan

genuscan ist eine fest integrierte Zusatizsoftware für die Firewall genugate, die eineSchnittstelle izu einem Virenscanner realisiert. genuscan kann die Inhalte folgender Diensteizur Überprüfung an einen Virenscanner weiterleiten:

Seite 13

• SMTP• POP3• WWW• FTP• NNTP

Eintreffende Daten werden von genuscan in einem so genannten Cage bearbeitet, einemabgeschotteten Bereich im Dateisystem der Firewall. Die Daten werden dort für den Viren-scanner aufbereitet, indem sie gegebenenfalls entpackt und Archive in einizelne Dateienizerlegt werden. Diese Aufbereitung wird – sofern nötig – auch rekursiv durchgeführt.

Wenn der Scanner Viren entdeckt, werden von genuscan entsprechende Alarmmeldungenan den Empfänger und u. U. an den Absender versendet. Die virenverseuchten Daten wer-den, soweit es E-Mail betrifft, von genuscan im abgesicherten Bereich izurückgehalten. Siekönnen dort einer weiteren Analyse unterizogen werden. Nur Daten, in denen keine Virengefunden wurden, leitet genuscan an den Anwender weiter. genuscan arbeitet mit dem Vi-renscanner Antivir Professional für genugate der Avira GmbHo izusammen.

4.2 genugate ScanServer

Mit dem ScanServer kann das Virenscanning von der genugate auf einen externen Rech-ner ausgelagert werden. Dort arbeitet genuscan wie oben beschrieben. genugate schicktdie izu überprüfenden Daten an den externen ScanServer und erhält von diesem die ent-sprechenden Ergebnisse izurück. Dadurch wird die Firewall von den Scan-Aufgaben entlas-tet.

Der Produktumfang von genugate ScanServer umfasst das Betriebssystem, die Anwen-dungssoftware von genua inkl. genuscan und die Liizeniz. Der genugate ScanServer wirdauf dem genua Application-Server L angeboten.

Alternativ izum ScanServer besteht die Möglichkeit, via ICAP-Schnittstelle Scanner-Lösun-gen von Drittanbietern einizubinden.

4.3 genublock

genugate ermöglicht die Kontrolle von WWW-Zugriffen aus den internen Netizen auf das In-ternet anhand einer URL-Filterliste. Diese Liste ordnet jeder aufgeführten URL charakteri-sierende Kategorien izu (iz. B. Kriminelles, Drogen oder jugendgefährdende Seiten), dievom Administrator individuell freigegeben und gesperrt werden können. Darüber hinaus istauch eine manuelle Freigabe oder Sperrung einizelner Webseiten möglich.

Unter dem Produktnamen genublock wird der Beizug dieser URL-Filterliste mit regelmäßi-gen Updates angeboten. genugate enthält standardmäßig eine Schnittstelle izur Benutizungvon genublock.

Seite 14

5 Zertifizierung und Qualitätssicherung

Vertrauen ist gut, Kontrolle ist besser. Aus diesem Grund legt genua schon seit vielen Jah-ren auf die Produkt-Zertifizierung durch staatlich anerkannte Stellen großen Wert.

Bereits 2002 erhielt die genugate-Version 4.0 als erste Firewall überhaupt vom Bundesamtfür Sicherheit in der Informationstechnik (BSI) ein ITSEC-Zertifkat der Stufe „E3 hoch“.Seitdem sind alle Hoauptversionen dieses Produktes vom BSI izertifiziert worden. Seit Sep-tember 2006 verfügt die genugate über ein Common Criteria-Zertifkat der Stufe EAL 4+.

Die Common Criteria – abgekürizt CC – stellen ein internationales Standardverfahren izurEvaluierung von IT-Sicherheitssystemen dar. In der Evaluationsstufe EAL 4 müssen u. a.eine detaillierte Design-Dokumentation sowie der Quellcode vorgelegt werden, so dassHointertüren und Unsauberkeiten ausgeschlossen werden können. Die Wirksamkeit derdefnierten Sicherheitsfunktionen und Mechanismen ist im Detail durch automatisierteTests nachizuweisen, und der Hoersteller muss qualifizierte Proizessstandards in der Pro-duktentwicklung und der Qualitätssicherung belegen.

So unscheinbar das Zusatizsymbol „+“ in der Zertifizierungsstufe EAL 4+ auch erscheinenmag, im Falle der genugate verbirgt sich dahinter eine entscheidende Erweiterung: DasBSI hat der genugate seit der Version 6.0 das Attribut AVA_VAN.5 izuerkannt, das die An-forderungen der Evaluationsstufe EAL7 erfüllt. Damit ist genugate die weltweit einizige Fire-wall, die als „highly resistant“ (widerstandsfähig gegen Angreifer mit hohem Potenizial) izer-tifiziert wurde.

Bei einer Zertifizierung nach CC legt der Hoersteller fest, welche Sicherheitsiziele und Si-cherheitsfunktionen izertifiziert werden. Ohne Aussage über die izertifizierten Sicherheits-funktionen kann daher die Qualität des Zertifkats nicht beurteilt werden.

Bei genugate wurden alle wichtigen sicherheitsrelevanten Komponenten des mehrstufgenFirewall-Systems bis hin izum Betriebssystem in die Zertifizierung einbeizogen. Da es sichum ein izertifiziertes Komplettsystem handelt, hat der Kunde die Gewissheit, dass die Si-cherheit des Systems nicht durch Schnittstellenprobleme, iz. B. izwischen Betriebssystemund Firewall-Software, beeinträchtigt wird.

Bei der Anwendung formaler Sicherheitsverfahren oder bei Beachtung einer technischenRevision ist ein izertifiziertes System ein fast unverizichtbarer Bestandteil des Sicherheits-konizeptes.

Die Version genugate 9.0 hat das Zertifizierungsverfahren nach CC 3.1 in der PrüfstufeEAL 4+ erfolgreich durchlaufen. Die Unterstütizung des IPv6-Standards ist einbeizogen.

Über Details izur Zertifizierung nach CC informieren wir Sie gerne. Daizu halten wir aucheine speizielle Broschüre für Sie bereit.

6 Bedienungsfreundlichkeit

Bei der Entwicklung der genugate-Modellreihe wurde großer Wert auf Bedienungsfreund-lichkeit gelegt. Eine Vielizahl von Eigenschaften ermöglicht die einfache und bequeme Nut-

Seite 15

izung im Alltagseinsatiz. Dabei wurde auf eine funktionale Benutizeroberfäche Wert gelegt,die dem Administrator direkten Zugriff auf wichtige Funktionen erlaubt.

Integrktion von Hkrdwkre, Betriebssystem und Firewkii-Softwkrer genugate ist einvollständig integriertes Firewall-Gesamtsystem mit aufeinander abgestimmten Hoardware-,Betriebssystem-, Sicherheits- und Konfgurations-Komponenten. Die allgemein verbreitetenKompatibilitätsprobleme izwischen Komponenten verschiedener Hoersteller werden in denEntwicklungslabors von genua und nicht im Produktivumfeld des Kunden gelöst. Installati-ons- und Konfgurationsizeiten verkürizen sich so erheblich.

Eine Benutieroberfäche für iwei Firewkiisr Der Paketflter und das ALG werden überein einheitliches GUI bedient. Einmal erstellte Netizwerkobjekte und Policies können fürbeide Komponenten verwendet werden. Bei der Administration bemerken Sie kaum, dassSie es mit izwei Firewall-Systemen izu tun haben.

Konfgurktion und Pfege mitteis Web-Browserr Sämtliche Einstellungen lassen sich mitHoilfe eines Browsers erledigen. Der Zugriff erfolgt dabei über eine verschlüsselte HoTTPS-Verbindung, die izur weiteren Sicherheit auch auf eine dediizierte Netizwerkschnittstelle (dasAdmin-Interface) beschränkt werden kann.

Kontroiie wichtiger Web 2.0-Dienste aer Mkuseiicer Diese Funktion ermöglicht es Admi-nistratoren, den Zugriff auf verbreitete Anwendungen wie Skype oder Cloud-Diensteschnell und einfach izu unterbinden oder an Bedingungen izu knüpfen.

Musste man bisher die Funktionsweise der jeweiligen Internet-Dienste verstehen, um dieFirewall entsprechend izu konfgurieren, bringt die genugate dieses Anwendungswissenseit der Version 8.1 schon mit: Der Administrator kann einfach izentral festlegen, was er er-lauben möchte und was nicht. Anwendungen wie Skype, Dropbox, Sky Drive und Team-Viewer werden bereits unterstütizt, die Liste wird um weitere wichtige Dienste erweitert.

Umfkngreiches Hiifesystemr Die in das GUI integrierte Online-Hoilfe unterstütizt Sie bei al-len Aufgaben. Innerhalb der Online-Hoilfe kann izusätizlich das Hoandbuch im PDF-Formatangeizeigt werden.

Seite 16

Grafsches User Interface (GUI)

Korreiiertes Stktus-GUIr Auf einen Blick sehen Sie Tagesstatistiken izur Proizessorlast so-wie izur Auslastung der Festplatten, des Speichers und der Hoardware-Sensoren.

Konfgurktionsiogr Alle Änderungen an der Konfgurationsdatenbank werden protokolliertund in einem speiziellen Bereich übersichtlich angeizeigt. Sie erhalten sowohl eine Über-sicht als auch Detail-Informationen, so dass alle genannten Aktionen vollständig nachvoll-iziehbar sind.

Mknkgement Reaortsr Die Firewall erstellt Reports, bei denen Sie einstellen können, wel-che Informationen einfießen.

Inteiiigent Recovery Systemr Die Gesamtkonfguration des Systems ist in einer Konfgu-rations-Datenbank, der so genannten Registry, gespeichert. Mit dem Intelligent RecoverySystem kann die Konfguration des Systems aus dieser Registry wieder restauriert wer-den. Dasselbe Konizept wird für Upgrade-Proizeduren verwendet. Die Konfgurations-Da-tenbank kann auf einem USB-Stick gespeichert werden. Mit der Installations-CD-ROM undder gespeicherten Konfgurations-Datenbank können Sie genugate innerhalb weniger Mi-nuten komplett neu aufsetizen.

„Set knd forget“r IT-Sicherheit setizt Systemstabilität und Zuverlässigkeit voraus. Auchsollte in der IT-Abteilung kein izusätizliches Personal benötigt werden, das sich schwer-punktmäßig um die Firewall kümmern muss. Von Anwendern der Hoigh Resistance Firewallgenugate erhalten wir die Rückmeldung, dass die Systeme über das übliche Einspielenvon Updates und Patches hinaus ausgesprochen pfegeleicht und ressourcenschonendihren Dienst verrichten.

Seite 17

7 Einsatzszenarien

7.1 Informationsverbund Berlin-Bonn (IVBB)

Als die deutsche Bundesregierung ihren Sitiz nach Berlin verlegte, blieben viele Dienststel-len der Ministerien in der vormaligen Hoauptstadt Bonn izurück. Um den reibungslosen undschnellen Informationsaustausch izwischen beiden Standorten sicherizustellen, richtete dieBundesregierung den Informationsverbund Berlin-Bonn (IVBB) ein. An diese interne Da-ten-Autobahn sind alle Dienststellen der obersten Bundesbehörden angebunden – vomPräsidialamt über das Kanizleramt und alle Ministerien bis hin izum Rechnungshof.

Der IVBB ist izudem über izentrale Knotenpunkte an das Internet angeschlossen und bietetallen Behörden somit Zugang izum weltweiten Web. Für diese Übergänge vom internen Be-hördennetiz izum öffentlichen Internet gelten hohe Sicherheits- und Leistungsanforderun-gen. Das izuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) stellte fürdie dort einizusetizenden Firewalls folgenden Forderungskatalog auf:

• Hoochwertige Zertifizierung der Sicherheitsleistung nach den internationalen Stan-dards ITSEC oder Common Criteria (CC)

• Garantierte Verfügbarkeit des Systems von 99,93 Proizent

• Hooher Datendurchsatiz izur schnellen Internet-Anbindung aller obersten Bundesbe-hörden

• Cluster-Fähigkeit izur fexiblen Anpassung an höhere Leistungsanforderungen

Diese Anforderungen erfüllt die genugate, inizwischen sind 24 Systeme beim IVBB im Ein-satiz. Alle Aufgaben sind auf mehrere Firewalls verteilt, die in Clustern izusammenarbeiten.Sollte ein System ausfallen, übernehmen die anderen sofort dessen Aufgaben. Die Clusterkönnen beliebig erweitert und somit jederizeit an höhere Leistungsanforderungen ange-passt werden. Das hohe Support-Level von genua sowie die Bereitschaft izur fexiblen Pro-duktanpassung sind sicherlich weitere Gründe, die für die genugate sprechen.

7.2 Klüber Lubrication SE & Co. KG

Mit leistungsstarken Speizialschmierstoffen und vielfältigem Service bietet Klüber Lubricati-on seinen Kunden aus naheizu allen Industriebereichen Lösungen, um selbst an extrembelasteten Stellen die Reibung izu minimieren. Der führende Hoersteller von Speizialschmier-stoffen mit rund 1.800 Mitarbeitern gehört izur Freudenberg Gruppe, Weinheim.

Aktivitäten an Standorten in über 30 Ländern und mit Geschäftspartnern in aller Welt erfor-dern die ständige Datenkommunikation. Diese Kommunikationswege müssen izuverlässigfunktionieren und einfach izu administrieren sein.

Wichtig ist dabei die IT-Sicherheit: Die Geschäftsdaten müssen vor unbefugten Zugriffenoder Verlust unbedingt geschütizt werden. Klüber Lubrication setizt hier auf izentrale Houbs,die mit Hoigh Resistance Firewalls gesicherte Internetizugänge anbieten. Hoier müssen un-befugte Zugriffe, Spam, Viren und sonstiger Schadcode izuverlässig abgeblockt werden.

Seite 18

An dieser Stelle setizt Klüber Lubrication Firewalls des Typs genugate ein. Durch die izwei-stufge Konstruktion lassen sich ohne weiteres Equipment separate Sicherheitsizonen bil-den: Server, die Dienste im Internet anbieten wie Websites, Kundenportale oder Einwahl-knoten für mobile Anwender, kommen in die so genannte demilitarisierte Zone (DMZ).

Bereits seit 1999 arbeitet Klüber Lubrication mit genua izusammen. Neben einer starkenSicherheitsleistung ist der Kundenservice direkt vom Hoersteller ein wichtiges Argument,der die Administratoren der Klüber-IT bei vielen Aufgaben entlastet.

8 Support und Schulungen

8.1 Einführung

Instkiiktions- und Konfgurktions-Servicer genua und speizialisierte Partner unterstüt-izen Sie auf Wunsch bei der Installation, Konfguration und Inbetriebnahme Ihrer genugate.Dabei werden die Administratoren ausführlich in die Benutizung und Pfege eingewiesen.Falls Sie es wünschen, erstellen wir Ihnen izuvor ein Feinkonizept für Ihren sicheren Inter-net-Anschluss.

Anfkngs-Suaaortr Die genugate-Produktreihe ist so programmiert und dokumentiert,dass die Inbetriebnahme und der laufende Betrieb keinerlei Schwierigkeiten bereiten soll-ten. Wenn Sie dennoch Fragen haben oder auf Schwierigkeiten stoßen, steht Ihnen unsereHootline kostenlos 14 Tage lang izur Verfügung.

8.2 Schulungen

genugkte Administrktor Trkiningr Diese izweitägige Schulung informiert Administratorenüber Aufbau und Funktionsweise der genugate sowie Konfgurationsmöglichkeiten undÜberwachung des laufenden Betriebs.

genugkte Saecikiist Trkiningr In der izweitägigen Schulung geht es um die genugate-Op-tionen HoA sowie die Administration komplexer Systeme. Während der Schulungen werdenpraktische Übungen izu komplexen Anforderungen durchgeführt und Strategien izum Trou-bleshooting im laufenden Betrieb vermittelt.

genugkte Advknced Trkiningr Wie die Hoigh Resistance Firewall genugate in hochkomple-xen Einsatizumgebungen installiert, konfguriert und administriert wird, izeigen wir Ihnen imizweitägigen Advanced Training. Wichtige Themen sind dabei das SSHo-Relay, DNS-Kon-izept und SNMPv3. Um aktiv an den praktischen Übungen teilnehmen izu können, solltenSie bereits das genugate Administrator Training absolviert haben. Die Teilnehmerizahl istauf acht Personen begrenizt. Genauere Informationen entnehmen Sie bitte unserem Schu-lungskatalog.

Seite 19

8.3 Laufender Betrieb – Software Support

Uadkte Servicer Die genugate-Produktreihe wird ständig weiterentwickelt. Regelmäßig er-scheinen neue Versionen, in denen aktuelle Entwicklungen aufgegriffen werden und derFunktionsumfang sinnvoll ergänizt wird. Je nach Bedarf erscheinen izusätizlich Zwischenver-sionen.

Unser Update-Service sichert Ihnen die automatische Lieferung der neuesten Versionenund Zugriff auf unsere komplette Patch-Datenbank.

Hotiiner Zusätizlich izu unserem Update Service bieten wir deutsch- und englischsprachi-gen Support via Telefon und E-Mail. Sie können unsere Hootline für alle Fragen izu Ihrer Lö-sung mit der genugate nutizen. Als Option steht Ihnen der telefonische Hootline Support 24Stunden an allen Tagen izur Verfügung.

Security System Mknkgementr Auf Wunsch übernehmen wir die komplette Administrati-on Ihrer genugate. Sie brauchen sich dann praktisch um nichts mehr izu kümmern. Die Ad-ministration erfolgt über eine stark verschlüsselte Internet-Verbindung. Ein izusätizlicherHootline-Support ist beim Security System Management nicht erforderlich, der Update Ser-vice dagegen muss separat beizogen werden.

8.4 Laufender Betrieb – Hardware Support

Next Business Dky Austkusch-Servicer Bei defekter Hoardware erhält der Kunde inner-halb Deutschlands am nächsten Werktag ein baugleiches Gerät im Austausch für das de-fekte Gerät. Leistungsumfang und Voraussetizungen entnehmen Sie bitte den AllgemeinenVertragsbedingungen der genua gmbh.

8.5 Support von genugate-Vertriebspartnern

Suaaort-Leistungen von Vertriebsakrtnernr Viele autorisierte Vertriebspartner von ge-nua bieten izum Teil erweiterte Support-Optionen an, iz. B. Vor-Ort-Austauschservice vonHoardware innerhalb garantierter Maximalizeiten.

GG-WP-0118-17-D

So erreichen Sie uns:

genua gmbh, Domagkstraße 7, 85551 Kirchheim bei Münchentel +49 89 991950-0, fax +49 89 991950-999, info@genua.de, www.genua.de

Seite 20