mPIX VPN Dienstbeschrijving
Copyright © The Voip Company 2011
Pagina 1 van 8
Inhoudsopgave Inhoudsopgave .................................................................................................. 2 1 mPIX VPN ....................................................................................................... 3 2 Productbeschrijving .......................................................................................... 4 2.1 mPIX en IP-VPN ........................................................................................ 5 2.2 Kwaliteit ................................................................................................... 7 2.3 Service level ............................................................................................. 7 3 Technische specificaties ................................................................................. 8 3.1 Beperkingen van de mPIX .......................................................................... 8 3.2 Basis inrichting van de mPIX ....................................................................... 8 3.3 Verantwoordelijkheden CSP ........................................................................ 8 3.4 Beheer van de mPIX .................................................................................. 9
Copyright © The Voip Company 2011
Pagina 2 van 8
1 mPIX VPN Oplossingen op het gebied van ICT worden steeds complexer. Bedrijven investeren massaal in automatisering van hun bedrijfsprocessen. Evenredig met de vraag naar oplossingen groeit ook de vraag naar veilige en betrouwbare oplossingen. Helaas blijkt ook steeds vaker dat beveiliging van sommige bedrijfsnetwerken niet optimaal geregeld is. Oplossingen op gebied van beveiliging zijn kostbaar en kennis is meestal niet voorhanden. Een goede beveiliging vraagt om grote investeringen en specialistische kennis. De grootste dreiging van een niet goed beveiligd netwerk is zonder meer de toegang die derden (hackers) verkrijgen tot het netwerk, en daarmee bedrijfsgevoelige informatie. Daarnaast zijn ook virussen, trojans en dialers een groot probleem voor organisaties. Deze dreigingen kunnen, indien de beveiliging niet optimaal is, complete netwerken plat leggen. Deze problemen kosten bedrijven jaarlijks miljarden euro’s. Voor deze bedreigingen is het in ieder geval noodzakelijk om gebruik te maken van een professionele firewall, de mPIX. De mPIX kan gebruikt worden om een IP-VPN met het internet te verbinden, maar ook om meerdere IP-VPN’s of colocaties te koppelen. Het gebruik van de mPIX maakt het mogelijk om centraal de beveiliging van uw netwerk(en) te realiseren zonder de hoge kosten voor aanschaf van de apparatuur. De mPIX VPN dienst van The VOIP Company voorziet in de behoefte van bedrijven voor een centrale firewall oplossing.
Alle internet toegang wordt via één centrale firewall oplossing beheerd De mPIX VPN oplossing is door de partner (of klant) zelf te configureren. Tegen lage maandlasten is Cisco Enterprise firewall functionaliteit beschikbaar U heeft geen zorgen over het onderhoud van het mPIX platform (hardware, software updates, performance, licenties) aangezien deze door The VOIP Company worden verzorgd.
Naast de enkelvoudige mPIX VPN is er ook een redundant uitgevoerde mPIX VPN. De firewall wordt dan dubbel uitgevoerd op twee verschillende co-locaties, zodat er een automatische terugval naar de backup firewall is bij een storing op de firewall. Hiermee kunt u voor de klant tegen een gering meerprijs extra zekerheid inbouwen.
Copyright © The Voip Company 2011
Pagina 3 van 8
2 Productbeschrijving De volgende mPIX mPIX mPIX
mPIX diensten zijn leverbaar: VPN Plus VPN VPN Redundant
In de onderstaande tabel wordt een overzicht gegeven van de producteigenschappen van de verschillende mPIX producten. De mPIX VPN Redundant is wat betreft functionaliteit exact gelijk aan de mPIX plus VPN. Producteigenschappen mPIX VPN Doorvoersnelheid van ~5 Gbps V 1 miljoen concurrent sessies V 100% gescheiden t.o.v. elkaar V Per mPIX meerdere interfaces mogelijk V Per interface een IP-VPN mogelijk V Per MPIX resource management (voorkomt dat 1 mPIX alle resources verbruikt) V URL filtering V Inkomende en uitgaande security rules Java applet webinterface SSH en telnet beheer mogelijk DoS bescherming Logging naar syslog server Ondersteuning SNMP VOIP compatible Blokkering van programma’s die gebruik maken van http protocol Uitgebreide inspection rules voor http en ftp Uitgebreide real time log viewer Time-based security policy Security policies tijdelijk op enabled of disabled zetten Verbeterde ondersteuning PPTP Standaard inside interface Standaard outside interface Mogelijkheid tot extra interfaces Redundant uitgevoerd In de
Copyright © The Voip Company 2011
mPIX plus VPN mPIX VPN redundant V V V V V
V V V V V
V V
V V
V V V V V V V
V V V V V V V
V V V V V V V
X
V
V
X X X
V V V
V V V
X X V V Optie X
V V V V Optie X
V V V V Optie V
Pagina 4 van 8
De mPIX Plus VPN biedt de volgende extra features t.o.v. de mPIX VPN:
Blokkering van programma’s die gebruik maken van het http protocol voor communicatie, zoals AOL Instant Messenger, Microsoft Messenger, Yahoo Messenger, peer-to-peer applications (zoals KaZaA en Gnutella), en andere applications (zoals GoToMyPC) Uitgebreide inspection rules op gebied van http en ftp waardoor misbruik van deze protocollen nog verder wordt voorkomen. Uitgebreide real time log viewer waarbij realtime op IP adres, woorden of poorten kan worden gefilterd. Time-based security policies Security policies kunnen nu tijdelijk worden aan- of uitgezet. Verbeterde ondersteuning voor PPTP, alleen tcp poort 1723 hoeft nog maar open.
mPIX VPN Redundant is een redundant uitgevoerde mPIX plus VPN. Het redundant zijn houdt in dat:
Er twee instanties van de Firewall module actief zijn op twee verschillende machines. Deze machines zijn fysiek gescheiden op twee verschillende colocaties. De configuratie van de Firewall wordt eenmalig uitgevoerd. Deze wordt automatisch geactiveerd op beide instanties. Als de primaire firewall module niet bereikbaar (i.v.m. onderhoud of storing) neemt de secundaire firewall het over. 2.1 mPIX en IP-VPN
De mPIX VPN dienst wordt altijd geleverd in combinatie met een IP-VPN. Door het toepassen van een mPIX is het mogelijk een IP-VPN te combineren met een complete firewall. De mPIX kan door de partner (of klant) zelf ingesteld worden en The VOIP Company hoeft alleen in de eerste opzet de toegang tot de mPIX te activeren. Hierdoor kunnen wijzigingen en toevoegingen direct en op ieder willekeurig moment doorgevoerd worden. De beleving van dit product is gelijk aan een lokale firewall, alleen zijn de investeringen en onderhoud hiervan voor de verantwoordelijkheid van The VOIP Company.
Copyright © The Voip Company 2011
Pagina 5 van 8
2.2 Kwaliteit Door het gebruik van hoogwaardige Cisco apparatuur is de kwaliteit van de dienst uitmuntend. Cisco heeft jarenlange expertise op het gebied van firewalls en heeft met de bestaande PIX (Private Internet eXchange) een groot aandeel in de firewall markt. De bewezen technologie van de PIX is door Cisco gebruikt in de mPIX module zoals deze door The VOIP Company gebruikt wordt. Hierdoor en door het The VOIP Company backbone netwerk, is het mogelijk de dienst aan te bieden met de hoogste kwaliteit zoals deze van The VOIP Company verwacht kan worden. Continu wordt het backbone netwerk van The VOIP Company gemonitord en waar nodig wordt er (pro)actief gereageerd door The VOIP Company. Door deze monitoring kan The VOIP Company trends en analyses vergelijken en zodoende zorgen voor voldoende capaciteit. Het grote verschil van de mPIX t.o.v. andere oplossingen is dat er op klantlocatie geen extra apparatuur geplaatst hoeft te worden. Ook wordt al het verkeer door de firewall op een centrale locatie geleid en is het niet noodzakelijk iedere locatie te voorzien van een eigen firewall. Hierdoor heeft een IP-VPN wolk één security policy. Elke locatie behoudt zijn maximale download bandbreedte, omdat de verbinding van de mPIX naar het internet maximaal is. 2.3 Service level Support en storingen The VOIP Company mPIX wordt geleverd met SLA N (Beschikbaarheid = 99,6 % | SLA Next business day). De CSP kan iedere werkdag (maandag t/m vrijdag) tussen 09.00 en 17.00 uur een incident bij de supportdesk melden. De responstijd bedraagt binnen kantoortijden minder dan 4 uur. Levertijden De levertijd van The VOIP Company mPIX VPN is twee werkdagen. Dit is exclusief een oplevering van een bijbehorend IP-VPN. Onderhoudsvenster Voor werkzaamheden rond de The VOIP Company mPIX gelden de onderhoudsvensters zoals opgenomen in de CSP overeenkomst van The VOIP Company.
Copyright © The Voip Company 2011
Pagina 6 van 8
3 Technische specificaties De mPIX is een complete firewall welke eigenschappen als statefull packet inspection, (advanced) NAT, inkomende en uitgaande rules en de robuustheid van een Cisco Firewall combineert in 1 product. Een aantal aanvullende voordelen van dit product is het feit dat de hardware (en het onderhoud hierop) geregeld worden door The VOIP Company. Tevens wordt het software onderhoud en de aanvullende contracten met Cisco door The VOIP Company geregeld en hoeft de klant hiervoor verder niets te doen. Het operationeel beheer (security rules, NAT rules e.d.) wordt geheel door de partner (of klant) geregeld en kunnen realtime via de management interface ingegeven worden. De dienst wordt door The VOIP Company geleverd en wordt direct in de backbone (op het Cisco 6500/7600 platform) d.m.v. de FireWall Service Modules aangeboden. Voordeel hiervan is dat de performance van de mPIX ongeëvenaard is (~5Gbps). Er kunnen ongeveer 1 miljoen concurrent sessies opgebouwd worden (100.000 sessie p/s). 3.1 Beperkingen van de mPIX Doordat de mPIX machine zijn resources moet verdelen over meerdere mPIX firewalls, zijn er enkele functies die wel op een dedicated PIX en/of ASA firewall van Cisco bestaan, maar op de mPIX niet beschikbaar zijn. Dit heeft te maken met de intensieve CPU belasting die deze functies met zich mee brengen. Deze functies zijn: IPSEC termination, dit wil zeggen dat een mPIX niet als eindpunt van een VPN verbinding kan dienen. PPTP of LT2P termination, dit wil zeggen dat een mPIX niet als een windows VPN server kan dienen. 3.2 Basis inrichting van de mPIX Bij de bestelling van de mPIX zal The VOIP Company een basis inrichting van de mPIX uitvoeren. De basis instellingen zijn: mPIX mag beheerd worden vanuit het hele inside netwerk. Beheer vanuit outside staat default uit. Echo en echo-reply staan default aan op de inside interface. Echo-reply staat default aan op de outside interface. Alle inside netwerken worden standaard naar het outside publieke IP adres vertaald van de mPIX bij verbindingen naar het internet. Default mogen alle inside netwerken naar buiten op basis van IP adres. Default staat alles naar binnen dicht. Logging is default niet geconfigureerd. 2 interfaces ( inside (security 100), outside (security 0)) 3.3 Verantwoordelijkheden CSP De CSP dient The VOIP Company te voorzien van essentiële informatie voor de te leveren The VOIP Company mPIX. De CSP dient de volgende informatie aan te leveren: De IP-VPN waar de mPIX aan dient te worden gekoppeld. De gebruikersnaam en het wachtwoord waarmee de CSP of klant straks zijn mPIX gaat beheren. Als er meer dan 1 publiek IP adres nodig is kan dit via de normale wijze worden besteld. Als de mPIX vanuit buiten moet kunnen worden beheerd, dan moet het beheer IP adres in IRMA worden aangegeven. Copyright © The Voip Company 2011
Pagina 7 van 8
Naast het voorzien van essentiële informatie is de CSP na oplevering van de mPIX verantwoordelijk voor het beheren en inrichten van de mPIX. 3.4 Beheer van de mPIX Het beheren van de mPIX wordt door de CSP gedaan. De mPIX is standaard te bereiken vanuit het inside netwerk. The VOIP Company voorziet u van een gebruikersnaam en wachtwoord waarmee u kunt inloggen.
Copyright © The Voip Company 2011
Pagina 8 van 8
