VT AIR
OT Network Security für Netzbetreiber
Durch die zunehmende Digitalisierung des Netzbetriebs nehmen die Risiken und die damit einhergehende Frage nach der Sicherheit für Netzbetreiber zu. Mit VT AIR Network Security lässt sich das IT-Sicherheitsniveau in kritischen OT-Systemen auf ein neues Level heben.
Brandmauer für OT-Anlagen
Netzbetreiber stehen vor der Herausforderung, dass mit zunehmender Digitalisierung die Gefahr von Cyberangriffen steigt. Die Bedrohung reicht von unbefugten Zugriffen bis hin zu gezielten Angriffen auf kritische OT-Anlagen. Es ist unbestritten, dass Hacker, die Zugang zum laufenden Betrieb von Versorgungssystemen erhalten, im schlimmsten Fall die Strom- oder Wasserversorgung lahmlegen können. Daher ist es von entscheidender Bedeutung, Netzbetreiber gezielt vor solchen Angriffen zu schützen. Insbesondere die kritischen OT-Netze erfordern eine robuste Firewall der nächsten Generation. Aus diesem Grund setzen immer mehr Energieversorger und Stadtwerke auf VT AIR OT Network Security. Mit VT AIR können Cyberangriffe in Echtzeit erkannt und sofort blockiert werden.
VT AIR. Erprobte OT Network Security
Advantage. Advanced Industrial Router
1
VPN/WebGUI/Zentrales Management
2
VT AIR optional mit SHDSL/VDSL/LTE/SFP
3
Der VT AIR 310 ist ISMS-konform
4
VT AIR mit Intrusion Detection/Protection
Einfach smart
Der VT AIR 310 von Voleatech ist ein ISMS-konformer Advanced Industrial Router, der speziell für OT Network Security in anspruchsvollen industriellen Umgebungen und kritischen Infrastrukturen entwickelt wurde. Als deutsches Technologieprodukt bietet er eine Reihe herausragender Funktionen, die ihn von herkömmlichen Routern auf dem Markt unterscheiden.
Der VT AIR 310 zeichnet sich unter anderem durch seine Modularität aus, die es ermöglicht, ihn je nach Anforderung anzupassen. Mit optionalen Erweiterungen wie 2x DSL (SHDSL oder VDSL) und 5G/LTE/3G bietet er maximale Flexibilität. Ein großer Vorteil ist die Möglichkeit der Nachrüstung, die eine Anpassung an zukünftige Bedürfnisse ermöglicht. Darüber hinaus besticht der VT AIR 310 durch seine ausgezeichnete Performance, maximale Sicherheit und benutzerfreundliche Bedienung. Mit seiner modernen, mehrsprachigen Weboberfläche ist es einfach, alle Einstellungen bequem vorzunehmen.
VT AIR. Jede Menge Features
Application Control ermöglicht es Ihnen, Firewall-Regeln auf der Anwendungsebene zu erstellen. Herkömmliche Firewalls, die lediglich Ports, Protokolle und IP-Adressen identifizieren, können Anwendungen nicht erkennen und steuern. Eine VT AIR Next Generation Firewall ermöglicht es Ihnen jedoch, Firewall-Regeln basierend auf Anwendungen zu erstellen.
Das Intrusion Detection and Prevention System (IDS/IPS) der VT AIR Firewall verbessert die Netzwerksicherheit erheblich, indem es einen vollständigen und umfassenden Echtzeit-Netzwerkschutz gegen eine breite Palette von Netzwerkbedrohungen, Schwachstellen, Exploits und Gefährdungen in Betriebssystemen und Anwendungen bietet. VT AIR überprüft den Netzwerkverkehr mithilfe leistungsfähiger und umfassender Regeln sowie Signatursprache zur Erkennung komplexer Bedrohungen, mit dem Programm Suricata. Suricata ist ein Open Source-basiertes Intrusion Detection System und Intrusion Prevention System. Automatische Signaturaktualisierungen werden regelmäßig bereitgestellt, um sicherzustellen, dass die VT AIR Firewall ständig auf dem neuesten Stand ist.
VT AIR unterstützt die Beschleunigung von TCP- und UDP-Verbindungen durch Network Flow Fastpath. Hierbei wird die NFTables Flowtable Offload-Technik verwendet, um den Netzwerkverkehr mit der bekannten Netzwerksicherheit um den Faktor 2-3 zu beschleunigen. Durch Flowtables kann die Paketweiterleitung mithilfe eines Zustands beschleunigt werden, der nach dem Verbindungsaufbau nicht mehr den gesamten Netzwerkstack durchläuft.
Die Multi-Faktor-Authentifizierung (MFA) hat sich als Standard etabliert, um unbefugten Zugriff auf unternehmenskritische Informationen zu verhindern. VT AIR unterstützt die Multi-Faktor-Authentifizierung nach dem TOTP-Standard sowohl für die Weboberfläche als auch für OpenVPN, um die Infrastruktur optimal zu schützen.
VT AIR ist eine Stateful Firewall. Eine Stateful Firewall ist eine Netzwerk-Firewall, die den Betriebsstatus und die Eigenschaften von Netzwerkverbindungen verfolgt, die diese durchlaufen. Die Firewall ist so konfiguriert, dass legitime Netzwerkpakete für verschiedene Verbindungstypen unterschieden werden. Pakete werden mit NFTables analysiert (Deep Package Inspection) und anhand von Firewall-Regeln erlaubt oder geblockt, um einen optimalen Schutz des Netzwerkverkehrs zu gewährleisten.
Advanced Web Protection kombiniert fortgeschrittene Analysefunktionen, Blacklists und ACLs, um Ihren Webverkehr optimal zu schützen. Durch den integrierten Virenscanner wird eine effektive Sicherheit für den Webverkehr gewährleistet. VT AIR verwendet hierfür das Programm Squid, das sich durch seine vielfältigen Funktionen und hohe Sicherheit auszeichnet. Der Webfilter kann sowohl als Proxy als auch als transparenter HTTP/HTTPS-Proxy konfiguriert werden.
Mit XDP können Netzwerkfunktionen (eBPF) ausgeführt werden, sobald ein Paket die Netzwerkkarte erreicht und bevor es nach oben in das Netzwerksubsystem des Kernels verschoben wird, was zu einer deutlichen Erhöhung der Paketverarbeitungsgeschwindigkeit führt. Diese Technik erlaubt es uns, deutlich schnellere Firewall-Geschwindigkeiten zu erreichen. Generell sind alle unsere VT AIR Appliances mit VT AIR XDP Offloader ausgestattet.
Der Standard IEEE 802.1X bietet eine generelle Methode für die Authentifizierung und Autorisierung in IEEE-802-Netzen. Die Authentifizierung eines Teilnehmers erfolgt am Netzwerkzugang, sei es an einem physischen Port im LAN, einem logischen IEEE 802.1Q VLAN oder einem WLAN. Hierbei überprüft der Authenticator die vom Teilnehmer (Supplikant) übermittelten Authentifizierungsinformationen mithilfe eines Authentifizierungsservers (RADIUS-Server) und gestattet oder verweigert gegebenenfalls den Zugriff auf die Dienste, die vom Authenticator angeboten werden, wie LAN, VLAN oder WLAN.
VT AIR hat sowohl einen 802.1X Authenticator, als auch einen 802.1X Supplicant.
Ein Captive Portal ist eine Einrichtung, die typischerweise in öffentlichen drahtlosen Netzwerken verwendet wird, um den Zugriff von Endgeräten wie Laptops oder Smartphones auf das dahinter liegende Netzwerk oder das Internet an die Zustimmung des Nutzers zu bestimmten Nutzungsregeln zu knüpfen. Zudem kann der Anbieter des Netzwerks den Zugang mit einem bestimmten Benutzerkonto verbinden. VT AIR bietet Ihnen die Möglichkeit, pro Interface ein Captive Portal einzurichten, das eine individuelle HTML-Seite zur Authentifizierung verwendet.
VT AIR wird mit einem integrierten Kea DHCP Server für IPv4 und IPv6 geliefert. Ob statische oder dynamische DHCP-Adressen und mehrere Netzwerke – VT AIR ermöglicht es Ihnen, Ihre Clients problemlos mit Adressen zu versorgen. Der Kea DHCP Server ist auch für High Availability geeignet und kann mit mehreren VT AIRs einen automatischen Failover bilden.
VT AIR wird mit dem bekannten Unbound DNS-Server ausgeliefert, der sowohl als eigenständiger DNS-Server als auch als forwarding DNS-Server betrieben werden kann. Unbound ermöglicht die Definition beliebiger Host Overrides und die Weiterleitung von Domains. Zur Steigerung der Sicherheit nutzt VT AIR verschiedene DNS-Blocklisten mit verschiedenen Kategorien. Auch verschlüsseltes DNS und DNSSEC sind problemlos möglich.
Docker ist eine Plattform-als-Service-Produkte, die mithilfe von Virtualisierung auf Betriebssystemebene Software in Containern bereitstellt. Diese Container sind voneinander isoliert und enthalten ihre eigene Software, Bibliotheken und Konfigurationsdateien. Sie können über präzise definierte Kanäle miteinander kommunizieren. VT AIR unterstützt und verwaltet Docker über die benutzerfreundliche Web-GUI.
HAProxy ist eine kostenlose Open-Source-Software, die als hochverfügbarer Load Balancer und Proxyserver für TCP- und HTTP-basierte Anwendungen fungiert, indem sie Anfragen auf mehrere Server verteilt. VT AIR bietet umfassende Unterstützung für die Konfiguration und den Betrieb eines HAProxy über die benutzerfreundliche Weboberfläche.
ntopng ist eine Software zur Überwachung des Datenverkehrs in Computernetzwerken. Es wurde als leistungsstarker und ressourcenschonender Ersatz für ntop entwickelt. Durch die Nutzung von ntopng auf VT AIR können Sie den Netzwerkverkehr pro Interface, Host oder Netzsegment analysieren und überwachen.
Das Network Time Protocol ist die häufigste Methode zum Synchronisieren der Software-Uhr eines Systems mit Internet-Zeitservern. Es wurde entwickelt, um die Auswirkungen der variablen Netzwerklatenz zu mildern und kann die Zeit über das öffentliche Internet in der Regel auf zehn Millisekunden beschränken. Die Genauigkeit in lokalen Netzwerken ist mit bis zu einer Millisekunde sogar noch besser. VT AIR kommt mit einem NTP-Server für die Netzwerkclients.
Das Simple Network Management Protocol (SNMP) ist ein Internet-Standardprotokoll zur Sammlung und Organisation von Informationen über verwaltete Geräte in IP-Netzwerken sowie zur Änderung dieser Informationen, um das Verhalten der Geräte zu beeinflussen. VT AIR unterstützt SNMPv1/v2 sowie das verschlüsselte SNMPv3 für erhöhte Sicherheit. Holen Sie sich alle Attribute der Firewall mit SNMP ab. Mit den speziellen VT AIR SNMP-MIBs haben Sie die volle Kontrolle für Ihr Monitoring.
Für ein dynamisches Routing wird FRR benutzt, welches BGP und OSPF (v4 oder v6) erlaubt.
VT AIR bietet hohe Firewall-Performance mit NFTables, Flowtable Offload Technology und zukünftig XDP/eBPF.
VT AIR ist vollständig ausgestattet mit High-Availability-Funktionalität. Nutzen Sie virtuelle IPs (VRRP) zwischen mehreren VT AIRs, um einen Failover ohne Ausfall zu gewährleisten. Die VT AIR-Konfiguration wird automatisch vom Leader auf die Follower übertragen, und auch DHCP kann im HA-Betrieb genutzt werden, um einen Ausfall zu kompensieren. High Availability ist unerlässlich für kritische Installationen, und VT AIR ermöglicht einen reibungslosen Betrieb.
VT AIR bietet eine Vielzahl an Möglichkeiten, Interfaces zu nutzen und zu konfigurieren. Es werden Real Interface, VLAN, QinQ, Bond, Bridge, PPP, PPTP, GRE, IPIP, SIT SHDSL, VDSL und MacVLAN unterstützt. Zudem lassen sich verschiedenste Einstellungen vornehmen: IPv4/IPv6, Static IP, DHCP Client, SLAAC, Mac, MTU, MSS, Link Mode, 802.1x (Suplicant) … und vieles mehr.
VT AIR bietet sowohl statische als auch dynamische Routen. Gateways können durch Ping-Überwachung kontrolliert und intelligent in Routing-Tabellen zusammengeführt werden, entweder im Failover- oder Load-Balancing-Modus. Ebenso lässt sich durch Firewall-Regeln ein Policy-Routing festlegen oder Clients können einer Routing-Tabelle zugewiesen werden. Für dynamisches Routing wird FRR verwendet, das BGP und OSPF (v4 oder v6) ermöglicht.
QoS wird mit dem Linux-Tool Traffic Control (TC) realisiert und erlaubt es eingehenden (Ingress) oder ausgehenden (Egress) Traffic nach Kategorien und Regeln zu klassifizieren. QoS kann ganz bequem über Firewall-Regeln an Clients zugewiesen werden.
Internet Protocol Security (IPsec) ist eine Protokoll-Suite, die eine sichere Kommunikation über potenziell unsichere IP-Netze wie das Internet ermöglicht. VT AIR bietet umfassenden Support für IPSec mit Strongswan. Ob im Tunnel- oder Transportmodus, mit oder ohne Interface – mit VT AIR können Sie Ihre Standorte bequem und sicher vernetzen.
OpenVPN ist eine kostenfreie Software zur Einrichtung eines Virtuellen Privaten Netzwerks (VPN) über eine verschlüsselte TLS-Verbindung. VT AIR unterstützt OpenVPN sowohl als Client als auch als Server, was es Ihnen ermöglicht, schnell und unkompliziert ein VPN für Ihre Mitarbeiter einzurichten.
WireGuard ist eine freie Software zum Aufbau eines virtuellen privaten Netzwerkes (VPN) über eine verschlüsselte Verbindung. WireGuard ermöglicht einen sehr schnellen und modernen VPN. VT AIR unterstützt WireGuard nativ, egal ob für Clients, Site To Site oder Mesh.
WebVPN erlaubt es sich auf einen RDP/VNC/SSH oder Telnet Server über ein WebVPN Portal über den Browser zuzugreifen. VT AIR erlaubt Usern ohne Client mit dem Browser auf die Geräte zuzugreifen.
Die moderne, benutzerfreundliche und dynamische Weboberfläche, die in zahlreichen Sprachen verfügbar ist, ermöglicht es Ihnen, alle Einstellungen bequem und einfach vorzunehmen – im Sinne des Nutzers.
VT AIR bietet eine moderne REST-API-Schnittstelle, die es Ihnen ermöglicht, alle Einstellungen bequem und einfach vorzunehmen. Unabhängig davon, ob es sich um 1 oder 1000 Geräte handelt, können die Einstellungen auf den Geräten in Sekundenschnelle über die REST-API geändert werden.
VT AIR stellt Ihnen ein zentrales Managementportal zur Verfügung, das es Ihnen ermöglicht, alle Geräte an einem Ort zu sehen und problemlos darauf zuzugreifen. Dank unseres sicheren und innovativen Konnektors können Sie direkt über das Portal auf die Weboberfläche oder die Befehlszeile zugreifen sowie Updates unmittelbar einspielen.
Cyber-Security –
the next big thing
Die Digitalisierung eröffnet Wirtschaft und Gesellschaft ungeahnte Chancen und Freiheiten – sie stellt uns aber auch vor neue Herausforderungen, denn mit den Möglichkeiten wachsen die Risiken. Cyber-Bedrohungen sind eine echte Gefahr – Cyber-Security die Antwort.
VT AIR 310. Top Level Technologie
| VT AIR 310 | |
|---|---|
| Industrie | |
 |
|
| Nutzer | |
| Industrial | |
| Geeignet für | |
|
|
| Performance | |
| Packages Per Second | ~1.300.000 pps |
| iPerf3 | |
| Firewall | 16.00 Gb/s |
| App Control/Intrusion Protection | 1.50 Gb/s |
| IPSec VPN | 1.36 Gb/s (AES-256 GCM) |
| OpenVPN | 320 Mb/s (AES-256 GCM) |
| Wireguard | 1.06 Gb/s |
| IMIX | |
| Firewall | 2.60 Gb/s |
| App Control/Intrusion Protection | 772 Mb/s |
| IPSec VPN | 520 Mb/s (AES-256 GCM) |
| OpenVPN | 96 Mb/s (AES-256 GCM) |
| Wireguard | 424 Mb/s |
| Hardware | |
| CPU | 4 Core ARM64 |
| Storage | 16GB eMMC |
| Memory | 4GB DDR4 |
| Netzwerkports |
2x 10Gb SFP+ |
| Anderes |
|
