beemNet

beemNet ist ein privates Netzwerk, das alle verbundenen Geräte und Netzwerke vor Cyber-Bedrohungen aus dem Internet schützt und gleichzeitig den Datenschutz durch gezielte Anonymisierung und Verschlüsselung verbessert.

Kunden können aus vier Security Editions wählen, die jeweils auf unterschiedliche Schutzbedürfnisse innerhalb des beem Hub zugeschnitten sind:

• Essential
• Standard
• Plus
• Premium

Jede Security Edition baut auf der vorherigen auf, wobei die höheren Stufen alle Funktionen der niedrigeren enthalten.

Die Essential und Standard Security Editions sind als hoch standardisierte "Activation-Business"-Angebote konzipiert. Beginnend mit der Standard Security Edition wird ein dedizierter beem-Tenant bereitgestellt, der nahtlose Upgrades auf höhere Security Editions ermöglicht.

Zugang zu beemNet

Der Zugang zum beemNet wird durch Benutzer- und Standortlizenzen ermöglicht. Standortlizenzen sind beemNet-Optionen, die mit dem Standortanschluss kombiniert werden und diesen so in das beemNet integrieren. Benutzerlizenzen mit einem Mobil-Abo werden in den Dienst integriert, indem eine von Swisscom angebotene beemNet-Option für den jeweiligen Anschluss aktiviert und der Anschluss mit einer Benutzeridentität verknüpft wird. Damit stehen dem authentifizierten Benutzer die zugehörigen Funktionalitäten zur Verfügung.

Benutzer, die über keine Mobilfunkverbindung verfügen oder deren Mobilfunkverbindung nicht mit dem Dienst kombiniert werden kann, können mit einer separat von Swisscom angebotenen Benutzerlizenz ohne Mobilfunkvertrag ("Protect-Lizenz") in den Dienst integriert werden.

Infrastruktur

Swisscom betreibt in der Schweiz vier geografisch redundante Points of Presence (PoPs) mit eingebauten automatischen Failover-Mechanismen, die eine kontinuierliche Serviceverfügbarkeit über alle Standorte hinweg sicherstellen.

Firewall als Dienstleistung (FWaaS) und Secure Web Gateway (SWG)

FWaaS bietet die Möglichkeit, Anwendungen anhand verschiedener Merkmale zu identifizieren, z. B. Layer-7 Deep Packet Inspection (DPI), URL, Protokoll- und Portnummern, Ziel-IP-Adressen und mehr. Dies wird in Kombination mit einer umfassenden, regelbasierten Kontrolle eingesetzt. Der DNS-Proxy sichert DNS-Einträge durch Informationen von autoritativen DNS-Servern und DNS-Reputation-Feeds, um den Zugriff auf nicht vertrauenswürdige oder bösartige Websites zu blockieren. URL- und IP-Reputation, Kategorisierung und Filterung ermöglichen sicheres Surfen und blockieren schädliche Websites. Der TLS/SSL-Proxy öffnet und prüft den verschlüsselten Datenverkehr, um Bedrohungen zu erkennen und Datenlecks zu verhindern. IPS erkennt und verhindert Schwachstellen auf der Grundlage von Signaturen und Anomalien. Durch die Aktualisierung von Schwachstellensignaturen und die Erkennung von Anomalien in Echtzeit wird ein kontinuierlicher Schutz gewährleistet.

Abbildung: Versa SASE Forwarding Component, die die mehrschichtige Sicherheits- und Datenverkehrsverarbeitungspipeline innerhalb der Infrastruktur von beemNet veranschaulicht.

Effiziente Verwaltung, Schutz und Überwachung bilden die Grundlage für eine sichere Webzugriffskontrolle. Vordefinierte Richtlinien und Bandbreitenpriorisierung optimieren den Webverkehr. Die Bedrohungsabwehr bietet umfassenden Schutz vor bösartigen Websites und ermöglicht eine schnelle Reaktion auf neue Angriffsmuster. Die Echtzeit-Prävention von Datenlecks sichert unautorisierte Datenübertragungen und gewährleistet die Einhaltung von Vorschriften. Sicherheit für mobile Mitarbeiter ermöglicht einen geschützten Webzugriff von jedem Standort und Gerät aus. Die Echtzeitüberwachung sorgt für eine nahtlose Kontrolle und Blockierung unangemessener Inhalte, um einen sicheren und kontrollierten Webzugang zu gewährleisten. Zusammen bilden diese Komponenten eine ganzheitliche Sicherheitslösung für einen sicheren und verwalteten Internetzugang:

• Statefull Firewall
• Sichtbarkeit der Anwendung
• Firewall der nächsten Generation
• IP-Filterung

Die Anwendungsidentifikationsfunktion von FWaaS identifiziert alle Anwendungen mit Funktionen wie Layer 7 Deep Packet Inspection (DPI), URL, Protokoll- und Portnummern, Ziel-IP-Adressen und mehr, kombiniert mit einer umfassenden richtlinienbasierten Kontrolle.

Stateful Packet Inspection (SPI)

Stateful Packet Inspection (SPI) ist eine zentrale Sicherheitsfunktion, die in unsere SASE-Plattform integriert ist und einen intelligenten, kontextbezogenen Firewall-Schutz für den gesamten internetgebundenen Datenverkehr bietet. Im Gegensatz zur zustandslosen Filterung, bei der nur einzelne Pakete ausgewertet werden, verfolgt SPI den gesamten Zustand und Kontext von Netzwerksitzungen und ermöglicht es der Plattform, fundierte Entscheidungen über die Legitimität des Datenverkehrs zu treffen. In unserer Lösung wird SPI durch Internet Protection Rules durchgesetzt, die pro beem-Tenant angewendet werden und den Datenverkehr dynamisch auf der Grundlage einer Kombination von Übereinstimmungskriterien (z. B. Anwendungen, Benutzer, Geolocation, IP-Adressen und Protokolle) und vordefinierten Sicherheitsmaßnahmen (z. B. "Zulassen", "Ablehnen" oder "profilbasierte Prüfung") bewerten. SPI stellt sicher, dass der Datenverkehr nicht nur nach Quelle und Ziel, sondern auch auf der Grundlage von Verhaltensmustern und der Einhaltung von Protokollen bewertet wird. So kann es beispielsweise die korrekte Sequenz eines TCP-Handshakes erkennen und validieren oder Abweichungen vom normalen Sitzungsverhalten feststellen und verdächtige oder fehlerhafte Verbindungen automatisch ablehnen. Die Inspektionslogik ist in die Firewall-Enforcement-Engine eingebettet und arbeitet mit ihr zusammen:

• Anwendungs- und URL-Filterung
• IPS (Intrusion Prevention System)
• Deep Packet Inspection (DPI)
• TLS/SSL-Entschlüsselung
• IP-Reputation und DNS-Sicherheit
• Rollen- und identitätsbasierte Zugriffsrichtlinien

Dieser mehrschichtige Ansatz ermöglicht es SPI, Session Hijacking, Protokollmissbrauch und gefälschte Verbindungen hocheffektiv zu erkennen und gleichzeitig die Leistung durch optimierte Verarbeitung am Point of Presence (PoP) aufrechtzuerhalten. Als Teil der beemNet-Architektur spielt SPI eine Schlüsselrolle bei der Bereitstellung eines sicheren und richtlinienkonformen Internetzugangs sowohl für Festnetz- als auch für Mobilfunknutzer, abgestimmt auf die Sicherheitsstufen von Swisscom.

Deep Packet Inspection (DPI)

Deep Packet Inspection (DPI) ist eine wichtige Inspektionstechnik, die in unserer SASE-basierten beemNet-Infrastruktur zum Einsatz kommt. Es analysiert die gesamte Nutzlast von Datenpaketen, nicht nur die Header-Informationen, um komplexe Verkehrsmuster und Bedrohungen in Echtzeit zu erkennen und zu kontrollieren. DPI ermöglicht erweiterte Transparenz und Filterung durch Überprüfung des Inhalts des Internetdatenverkehrs und ermöglicht so die Durchsetzung auf der Grundlage von:

• Protokollkonformität und Anomalien
• Anwendungssignaturen und -verhalten
• Eingebettete Malware, Spyware oder andere Bedrohungen
• Mögliche Datenlecks (DLP)
• Verstösse gegen Richtlinien und unangemessene Inhalte

In unserer Lösung wird DPI primär ab Security Level 2 aktiviert. Auf dieser Stufe wird der Datenverkehr, einschliesslich verschlüsselter Verbindungen, durch den TLS/SSL-Proxy entschlüsselt und inline geprüft. DPI funktioniert in Verbindung mit:

• Stateful Packet Inspection (SPI)
• URL- und IP-Filterung
• Antivirus- und Antimalware-Engines
• Systeme zur Erkennung und Abwehr von Eindringlingen (IDS/IPS)

DPI ist unerlässlich für die Erkennung komplexer Bedrohungen, die herkömmliche Firewalls umgehen, und ermöglicht die Anwendung detaillierter Sicherheitskontrollen. Seine Wirksamkeit beruht auf kontinuierlichen Aktualisierungen der Protokollerkennung, der Bedrohungssignaturen und der Verhaltensheuristiken. Als Teil des beemNet-Sicherheitssacks trägt DPI wesentlich dazu bei, bösartige Inhalte zu blockieren, Nutzungsrichtlinien durchzusetzen und die Einhaltung gesetzlicher Vorschriften zu gewährleisten - und das alles unter Beibehaltung einer nahtlosen Benutzererfahrung.

DNS-Proxy und Sicherheit

DNS Proxy & Security ist eine umfassende Lösung zum Schutz von Netzwerken und Clients auf DNS-Ebene, die fortschrittliche Filterfunktionen, Bedrohungsinformationen und Funktionen zur Datenverkehrsverwaltung kombiniert. Es umfasst die folgenden Kernkomponenten: DNS-Weiterleitung, DNS-Split-Proxy, DNS-Proxy, DNS-Bedrohungs-Feeds und DNS-Firewall.

• Der DNS-Proxy spielt eine zentrale Rolle bei der Sicherung des DNS-Verkehrs. Es nutzt Informationen von autoritativen DNS-Servern und kontinuierlich aktualisierten DNS-Reputations-Feeds, um den Zugriff auf nicht vertrauenswürdige, unbekannte oder bösartige Domänen zu blockieren, einschliesslich solcher, die mit Command & Control (C&C)-Infrastrukturen in Verbindung stehen, die von Angreifern verwendet werden. Ausserdem verbessert es die DNS-Auflösungsgeschwindigkeit und vereinfacht die DNS-Verwaltung.
• DNS Security & Filtering schützt vor einer Vielzahl von DNS-basierten Bedrohungen, darunter DNS-Hijacking, Reflection- und Amplification-Angriffe, Spoofing, Phishing, Malware, Ransomware und Botnets. Dieser Schutz wird direkt auf der DNS-Ebene durchgesetzt und verhindert Bedrohungen, bevor sie das Netzwerk oder die Endgeräte erreichen.
• Der DNS-Forwarder wird verwendet, wenn ein DNS-Server eine Anfrage nicht über seine lokalen DNS-Einträge auflösen kann und die Anfrage an einen externen Resolver weiterleiten muss.
• Der DNS Split Proxy erhöht die Effizienz, indem er interne (z. B. innerhalb einer Unternehmensdomäne) und externe DNS-Anfragen trennt und so eine optimale Routing- und Auflösungsleistung gewährleistet.
• DNS-Bedrohungsmeldungen sind dynamische, globale Datensätze, die in Echtzeit Informationen über bösartige Domänen liefern. Diese Feeds werden kontinuierlich mit Daten von Hunderten von Sensoren weltweit aktualisiert, sodass neu registrierte oder verdächtige Domains proaktiv blockiert werden können, bis ihre Reputation überprüft wurde.
• Die DNS-Firewall prüft jede DNS-Anfrage und blockiert den Zugriff auf Domänen, die als gefährlich eingestuft werden, wie z. B. Phishing-Seiten oder kompromittierte Webserver, wodurch eine weitere Sicherheitsebene hinzugefügt wird. Zusammen bilden diese Komponenten eine robuste DNS-Sicherheitsarchitektur, die nicht nur die Domain-Auflösung beschleunigt, sondern auch die Angriffsfläche erheblich reduziert, indem sie den Zugriff auf schädliche Domains so früh wie möglich verhindert.

URL & IP-Reputation

beem NGFW bietet eine Vielzahl von URL- und IP-Kategorisierungs- und Filterfunktionen in mehr als 80 URL-Kategorien, um sicheres Surfen zu ermöglichen und gleichzeitig bösartige Websites zu blockieren. Die URLs werden nach Reputation, Risiko und Vertrauenswürdigkeit kategorisiert. Neben vordefinierten Klassen unterstützt beem benutzerdefinierte Klassen, die bei Bedarf erstellt und verwaltet werden können. Hunderte Millionen von Domains und mehr als 13 Milliarden URLs werden bewertet und klassifiziert, um eine maximale Bedrohungsabdeckung zu gewährleisten.

86 vordefinierte URL-Kategorien – darunter generative KI und allgemeine Internetinhalte zur Steigerung der Mitarbeiterproduktivität, der Ausschluss ungeeigneter Seiten wie Glücksspiel oder Pornografie zur Vermeidung rechtlicher Risiken sowie Bandbreitenmanagement durch die Kontrolle von Sprach- und Videoanwendungen.

• Die URL-Datenbank wird in regelmässigen Abständen über Sicherheitspaket-Updates aktualisiert, ohne dass VOS- oder Software-Upgrades erforderlich sind.
• Echtzeit-Cloud-Abfragen von URL-Kategorien für diejenigen, die im VOS-Cache nicht kategorisiert sind
• Benutzerdefinierte URL-Kategorien basierend auf Regex und/oder fester Zeichenfolgenübereinstimmung
• Anpassbare Captive-Portal-Screens für die Durchsetzung von Richtlinien und Umleitungen
• Unterstützung für Block, Inform, Ask, Justify, Override und Authenticate vonseiten

TLS & SSL Proxy & Decryption

• Schützt vor Bedrohungen, die im verschlüsselten Datenverkehr verborgen sind, indem es den TLS/SSL-Datenverkehr aufbricht und untersucht und zusätzliche Sicherheitsrichtlinien zum Schutz von Bedrohungen und Daten anwendet.
• Leitet verschlüsselten Datenverkehr auf der Grundlage von Anwendungssignaturen weiter, scannt verschlüsselte Inhalte auf Malware und Exploit-Prävention und erkennt und verhindert Datenlecks, um die Compliance des Unternehmens zu gewährleisten.
• Unterstützung für transparent oder Split-Proxy-Modi.
• Unterstützt die TLS-Versionen 1.0, 1.1, 1.2 und 1.3 und ist vielen Sicherheitsanbietern bei der Unterstützung von TLS v1.3 voraus. Empfehlung zur Verwendung von TLS 1.3 mit TLS-Proxy: beem empfiehlt die Verwendung von TLS 1.3 für höhere Sicherheit, da es Verbesserungen zur Gewährleistung der Vertraulichkeit und Integrität der Kommunikation enthält.
• Perfect Forward Secrecy (PFS) verwendet ephemere Schlüssel, um Vertraulichkeitsprobleme zu lösen. PFS ist bei TLS 1.3 obligatorisch. Durch die Generierung eines eindeutigen Sitzungsschlüssels für jede Sitzung, die ein Benutzer initiiert, wirkt sich selbst die Kompromittierung eines einzelnen Sitzungsschlüssels nur auf die Daten aus, die in der durch diesen speziellen Schlüssel geschützten Sitzung ausgetauscht werden.
• Teile des Handshakes (Serverzertifikatwerte wie CNAME und SAN) werden verschlüsselt. Dadurch wird verhindert, dass böswillige Dritte (die auf die Prüfung von Serverzertifikaten angewiesen sind) die Verbindung abhören können.

Intrusion Detection System (IDS)

Ein Intrusion Detection System (IDS) ist eine passive Überwachungskomponente, die zur Analyse des Netzwerkverkehrs und zur Identifizierung verdächtiger oder unbefugter Aktivitäten eingesetzt wird. Es arbeitet ausserhalb des Bandes, d. h. es empfängt eine gespiegelte Kopie des Datenverkehrs, anstatt inline mit dem Datenfluss zu arbeiten. Der IDS überprüft den Datenverkehr mithilfe folgender Funktionen:

• Signaturbasierte Erkennung: Vergleicht Verkehrsmuster mit einer regelmässig aktualisierten Datenbank bekannter Bedrohungssignaturen.
• Anomaliebasierte Erkennung: Identifiziert Abweichungen von festgelegten Traffic-Baselines, um neue oder Zero-Day-Angriffe zu erkennen. Administratoren können Sicherheitslückenprofile definieren, die Erkennungsregeln, Schwellenwerte und Reaktionsmassnahmen (z. B. Warnmeldungen oder Protokollierung) festlegen.
  Diese Profile können sein:
• Vordefiniert, deckt typische Anwendungsfälle wie Client-Schutz, Malware-Erkennung oder betriebssystemspezifische Bedrohungen ab.
• Massgeschneidert, wobei die Regeln an die organisatorischen Anforderungen angepasst werden (z. B. nach CVSS-Score, Betriebssystem oder Verkehrsrichtung gefiltert). Der IDS protokolliert Ereignisse und erfasst optional Paketdaten zur weiteren Analyse. Diese Protokolle und Erfassungen werden in der Regel an ein zentrales Analysesystem weitergeleitet, um sie sichtbar zu machen und miteinander zu verknüpfen. zwischen VLANs oder kritischen Systemen) erhalten Unternehmen einen umfassenden Einblick in den Ost-West-Datenverkehr und können so laterale Bewegungen oder Insider-Bedrohungen erkennen.

Intrusion Prevention System (IPS)

Ein Intrusion Prevention System (IPS) ist ein Inline-Sicherheitsmechanismus, der bösartige Aktivitäten nicht nur erkennt, sondern aktiv blockiert. Im Gegensatz zu IDS sitzt IPS direkt im Datenverkehrspfad und kann Pakete in Echtzeit verwerfen oder ablehnen. Der gesamte Datenverkehr wird vor der Weiterleitung durch das IPS geleitet, sodass sofort auf erkannte Bedrohungen reagiert werden kann. Zu den Nachweismethoden gehören:

• Signaturbasierte Erkennung: Vergleicht eingehenden Datenverkehr mit einer kuratierten Datenbank bekannter Angriffssignaturen.
• Anomaliebasierte Erkennung: Vergleicht das Echtzeit-Verkehrsverhalten mit festgelegten Basiswerten, um ungewöhnliche Aktivitäten zu erkennen. Zu den Massnahmen, die vom IPS durchgesetzt werden können, gehören:
• Löschen bösartiger Pakete oder ganzer Sitzungen
• Zurücksetzen von Verbindungen auf Client- oder Serverseite
• Protokollierung von Ereignissen mit optionaler Paketerfassung
• Generieren von Warnmeldungen für Sicherheitsteams Das System verwendet Schwachstellenprofile – Sammlungen von Erkennungsregeln, die nach Kriterien wie den folgenden kategorisiert sind:
• CVSS-Bewertungsspanne
• Betriebssystem oder Anwendung
• Angriffsvektor oder Protokoll
• Regeltyp (Signatur oder Anomalie) Profile können vordefiniert oder mithilfe eines Regel-Editors, der eine Filterung nach Bedrohungs-ID, Schweregrad oder Erkennungswahrscheinlichkeit ermöglicht, individuell erstellt werden. Darüber hinaus können Administratoren ihre eigenen benutzerdefinierten Regeln in Standardformaten (z. B. Snort-kompatibel) hochladen, die kompiliert und auf den Datenverkehr angewendet werden. Um Dienstunterbrechungen zu vermeiden, unterstützt das System die asynchrone Regelkompilierung, d. h. neue Regeln können im Hintergrund vorbereitet werden, während die bisherigen Regeln weiterhin aktiv bleiben. Für eine detaillierte Steuerung können Schwellenwerte und Ausnahmen konfiguriert werden, sodass beispielsweise bestimmte IP-Adressen bestimmte Regeln umgehen können oder Aktionen basierend auf Trefferquoten innerhalb definierter Zeitintervalle eingeschränkt werden können. Ein IPS spielt eine entscheidende Rolle bei der Verhinderung der Ausnutzung von Schwachstellen und stellt sicher, dass unbefugter Datenverkehr abgefangen wird, bevor er geschützte Ressourcen erreicht.

Malware- und Antiviren-Scanning

Der Malware-Schutz ist ein Kernelement des beemNet-Sicherheitsstacks und wurde entwickelt, um schädliche Software zu erkennen und zu blockieren, bevor sie Endgeräte oder Netzwerke gefährden kann. Dazu gehören Bedrohungen wie Viren, Würmer, Trojaner, Ransomware, Spyware und anderer unerwünschter Code, der versuchen kann, Daten zu stehlen oder Dienste zu stören. Um einen robusten Schutz zu gewährleisten, integriert beemNet die Malware-Erkennung direkt in seine Pipeline zur Überprüfung des Datenverkehrs. Diese Überprüfung wird in Echtzeit durchgeführt und gilt sowohl für Web- als auch für E-Mail-Protokolle. Sie unterstützt:

• Multi-Protokoll-Überprüfung: Überprüft den Datenverkehr über häufig verwendete Protokolle wie HTTP, FTP, SMTP, POP3, IMAP und MAPI.
• Bidirektionale Analyse: Überprüft sowohl Upload- als auch Download-Streams, um Malware zu identifizieren, die versucht, in das Netzwerk einzudringen oder es zu verlassen.
• Dateitypfilterung: Filterung nach Dateiformat, MIME-Typ oder Signatur, um die Zustellung schädlicher Inhalte zu verhindern.
• Richtlinienbasierte Durchsetzung: Wendet vordefinierte oder benutzerdefinierte Aktionen (z. B. "Alarm", "Verweigern", "Ablehnen") in Übereinstimmung mit den Security Policies des Unternehmens an.

Diese Fähigkeit ist ab der Security Level2 verfügbar und spielt eine Schlüsselrolle beim Schutz von Benutzern in allen angeschlossenen Netzwerken.

Administratoren können benutzerdefinierte Malware-Schutzprofile konfigurieren und dabei Folgendes festlegen:

• Die Protokolle und Anweisungen zum Scannen (z. B. nur herunterladen oder in beide Richtungen).
• Dateitypen oder Kategorien, die in den Scanbereich aufgenommen werden sollen.
• Durchsetzungsmassnahmen für erkannte Bedrohungen: "Warnung", "Zulassen", "Ablehnen", "Zurückweisen". Profile können auch Tags und Metadaten für Filterung, Berichterstellung und Richtlinienzuweisung enthalten. Protokolle aus der Malware-Erkennung können zur Korrelation und Incident Response an eine zentrale Analyseplattform weitergeleitet werden. Malware-Schutz ist eine grundlegende Funktion zum Verhindern von Kompromittierungen, Datenlecks und Systemstörungen auf allen verbundenen Geräten und Diensten.

Antivirus (AV)

Antivirus-Scans (AV) sind eine Kernfunktion von Netzwerk- und Endpunkt-Sicherheitsplattformen, die darauf ausgelegt sind, bekannte Malware anhand von Mustererkennung und Verhaltensanalysen zu erkennen und zu verhindern. Es dient als erste Verteidigungslinie gegen weit verbreitete Bedrohungen wie dateibasierte Viren, Trojaner, Ransomware und anderen Schadcode. AV-Engines arbeiten in der Regel auf der Grundlage von:

• Signaturbasierte Erkennung: Abgleich von Dateien und Payloads mit einer Datenbank bekannter Malware-Hashes und -Muster.
• Heuristik und Verhaltensanalyse: Identifizierung verdächtiger Verhaltensweisen wie Selbstreplikation, Code-Injektion oder abnormaler Dateisystemzugriff.
• Echtzeit-Updates: Kontinuierlich aktualisierte Signaturdatenbanken, um neu entdeckte Bedrohungen zu bekämpfen. Der Virenscan ist integriert in:
• Überprüfung des Webdatenverkehrs (HTTP, HTTPS)
• E-Mail-Scannen (SMTP, POP3, IMAP, MAPI)
• Datei-Downloads und -Uploads
• Offline-Datei-Scans in Cloud-Speichern oder über API-gesteuerte Inspektions Sicherheitsrichtlinien können konfiguriert werden, um Durchsetzungsmassnahmen festzulegen, wenn Malware erkannt wird:
• Zulassen (nur protokollieren)
• Alarm (Benachrichtigung auslösen)
• Ablehnen (Zustellung blockieren)
• Ablehnen (Verbindung aktiv trennen)
• "Empfohlene Massnahme" (basierend auf Risikobewertung oder voreingestellten Richtlinien) Die AV-Prüfung ist eine wichtige Komponente in umfassenden Verteidigungsstrategien, insbesondere in Kombination mit Sandboxing, Reputationsdiensten und Systemen zur Erkennung von Anomalien. Bei korrekter Konfiguration bietet die AV-Überprüfung einen wirksamen Basisschutz bei minimaler Beeinträchtigung der Leistung.

Application Layer Gateway (ALG)

Das Application Layer Gateway (ALG) ist eine Netzwerkfunktion, die die korrekte Verarbeitung von Anwendungsprotokollen erleichtert, die dynamische Portzuweisungen und eingebettete IP-Adressierung erfordern, insbesondere wenn der Datenverkehr einer NAT (Network Address Translation) oder einer Firewall-Prüfung unterliegt. Bestimmte Protokolle wie FTP, SIP, PPTP, TFTP und IKE ESP richten sekundäre Datensitzungen ein oder enthalten IP- und Port-Informationen in ihrer Nutzlast. Ohne ALG schlagen diese Sitzungen häufig fehl, wenn sie NAT-Geräte oder strenge Firewalls passieren, da dynamische Verbindungen nicht korrekt übersetzt oder zugelassen werden.

ALG arbeitet nach folgenden Grundsätzen:

• Interpretation des Kontrollverkehrs bestimmter Anwendungsprotokolle
• Ändern eingebetteter IP-Adressen und Ports nach Bedarf für NAT-Traversal
• Dynamisches Erstellen temporärer Firewall-Regeln (Pinhole-Regeln), um legitimen Rückverkehr zuzulassen
• Aufrechterhaltung der Sitzungserkennung zum Entfernen von Regeln bei Beendigung von Sitzungen

Anwendungsbeispiel: FTP im aktiven Modus

Im aktiven FTP-Modus werden zwei Sitzungen erstellt:

• Eine Steuerungssitzung (z. B. Port 21) zur Verwaltung von Befehlen wie Verzeichnislisten oder Dateiaktionen.
• Eine Datensitzung, bei der der Server eine Verbindung zum Client herstellt, um Dateien zu übertragen.

Ohne ALG können Firewalls oder NAT-Geräte die eingehende Datensitzung nicht erkennen oder zulassen, insbesondere wenn sich der Client hinter einer privaten IP-Adresse befindet. ALG überprüft den Kontrollkanal, extrahiert die erforderlichen IP-/Port-Informationen, schreibt sie entsprechend um und öffnet eine kleine Öffnung in der Firewall oder dem NAT-Gerät, damit die Sitzung erfolgreich durchgeführt werden kann.

Optimierung des Datenverkehrs

Obwohl beem weitgehende Sicherheitsfunktionen einsetzt, gewährleistet es dennoch eine reibungslose und reaktionsschnelle Benutzererfahrung. Dies wird durch eine intelligente Überprüfung des Datenverkehrs erreicht: beem unterscheidet zwischen Daten, die geprüft werden müssen, und solchen, die bereits als sicher eingestuft sind. Vertrauenswürdiger Datenverkehr wird direkt an sein Ziel geleitet, anstatt erneut geprüft zu werden, damit keine unnötigen Systemressourcen verbraucht werden. Durch die Eliminierung solcher Redundanzen wird die Bandbreitennutzung von beemNet optimiert und damit die bestmögliche Nutzererfahrung erzielt.

Der Optimierungsprozess umfasst alle Swisscom-eigenen Dienste (z. B. Voice over IP oder Content-Streaming via Blue TV) sowie den sicheren Verkehr von vertrauenswürdigen Drittanbietern (z. B. Kommunikations- oder Unterhaltungsplattformen). Die Optimierung basiert auf statischen IP-Adressen, die Swisscom als sichere und nicht geteilte Quellen klassifiziert hat.

Massgeschneiderte Optimierung

Die Optimierung des Datenverkehrs wird von Swisscom aktiv gesteuert. Auf Wunsch kann Swisscom individuelle Optimierungsregeln für einzelne Unternehmen und Organisationen definieren. Diese Funktion steht ausschliesslich für Geräte zur Verfügung, die über die beem App mit dem beemNet verbunden sind (agent-based). Alle anderen Geräte (agentenless) folgen dem allgemeinen Optimierungsregelwerk.

In zukünftigen beem-Versionen werden Administratoren, die die Security Edition Plus oder Premium verwenden, in der Lage sein, ihre eigenen Optimierungsregeln zu erstellen und zu verwalten.

INFO

Optimierter Datenverkehr erscheint nicht bei den protokollierte Daten in Concerto (SASE Web Monitoring).

Integration des Zugangsnetzes

Integration mit beem Office über die beemNet-Option

Die Integration von beem Office mit beemNet wird durch eine standortspezifische beemNet-Option erreicht. Dadurch werden alle Geräte an diesem Bürostandort durch den beemNet-Sicherheitsperimeter geschützt. Der beem Office Router (z.B. Centro Business Router) stellt die Verbindung zu den beemNet PoPs her und ermöglicht einen sicheren, richtliniengesteuerten Internetzugang für alle angeschlossenen Geräte.

Integration mit Smart Business Connect (ohne BNS)

Smart Business Connect-Leitungen können durch Aktivierung einer beemNet-Option für die jeweilige Verbindung in beemNet integriert werden. Die Integration unterstützt derzeit nur Smart Business Connect-Leitungen ohne die Option Business Network Solution (BNS). Diese Einschränkung gilt für die erste Einführungsphase der beemNet-Integration.

Die Integration mit NATEL® GO erfolgt über die Option beemNet

Mobilfunknutzer mit einem NATEL® GO-Vertrag können durch die Aktivierung einer Benutzerlizenz in das beemNet-Ökosystem integriert werden. Sobald eine Verbindung zu einer Benutzeridentität hergestellt wurde, wird der Datenverkehr über die beem App gesichert, wodurch eine verschlüsselte, richtlinienkonforme Kommunikation über jedes Netzwerk (z. B. WLAN, Mobilfunk) gewährleistet ist.

Integration mit dem Swisscom Mobilfunknetz über Protect & Connect-Benutzerlizenzen

Benutzer ohne ein Business Mobile-Abonnement können mit einer Protect & Connect-Lizenz eingebunden werden. Damit erhalten sie Zugriff auf die beemNet-Dienste auf bis zu einem Gerät und können die beem App nutzen. Die Protect & Connect-Lizenz stellt sicher, dass der Datenverkehr durch die Swisscom-Sicherheitsschicht geleitet wird, wobei alle Security Leveln und -kontrollen angewendet werden.

Verschleierung der IP-Adresse des Endpunkts

Die Funktion "Endpoint IP Address Cloaking" sorgt dafür, dass die IP-Adressen von Client-Geräten und Standorten, die mit beem gesichert sind, verborgen werden. Erreicht wird dies durch den Einsatz von "Carrier-Grade Network Address Translation (CGNAT)", einer Technik, die den in RFC 6598 spezifizierten gemeinsamen Adressraum nutzt, der für Netze von Dienstanbietern wie Swisscom vorgesehen ist. Durch den Einsatz von CGNAT behandelt beem die IP-Adressen der Kunden als privat und hält sie vor dem öffentlichen Internet verborgen. Folglich sehen Website-Betreiber und ähnliche Einrichtungen nur eine generische öffentliche IP-Adresse aus einem gemeinsamen Pool öffentlicher IP-Adressen, so dass die tatsächlichen IP-Adressen der beem-Besucher verborgen und sicher bleiben. Dies verhindert, dass Websites die IP-Adressen einzelner Geräte sehen und verfolgen können. Dadurch werden Datenschutz und Sicherheit erhöht und ein besserer Schutz gegen gezielte Angriffe wie Denial-of-Service (DoS) und Social Engineering geboten.

Maskierung der Identität der Quelle (Benutzer)

Um die Privatsphäre der Benutzer zu schützen und Endpunkte vor gezielten Angriffen zu schützen, wird die öffentliche IP-Adresse der Benutzergeräte beim Zugriff auf das Internet verschleiert. Dadurch wird sichergestellt, dass die tatsächliche Quelladresse für externe Stellen nicht sichtbar ist, was die Rückverfolgbarkeit und die Angriffsfläche verringert. Selbst bei aktivierter Cloaking-Funktion stellen wir stets sicher, dass die im Internet angezeigte gemeinsame öffentliche IP-Adresse eine Schweizer Adresse ist.

Einheitliches Bedrohungsmanagement

E-Mail-Sicherheit für SMTP, IMAP, MAPI und POP3

Die E-Mail-Sicherheit wird über einen Proxy bereitgestellt, der E-Mail-Protokolle wie SMTP, IMAP, POP3 und MAPI überprüft. Die Inspektion umfasst:

• Signaturbasierte Malware-Erkennung
• Spam- und Phishing-Filterung
• Inhalt und Anhang scannen
• Blockierung bösartiger Absender und Domänen

Feste IPs sind für die Kommunikation von Server zu Server erforderlich. Diese Funktion ist ab der Premium Security Edition verfügbar und ergänzt umfassendere Data Loss Prevention (DLP)-Strategien.

Ausgehender Datenverkehr

Internetzugang über beemNet

Der gesamte ausgehende Internetverkehr wird über die beemNet-Infrastruktur geleitet, wobei Richtlinien auf DNS-, IP- und Anwendungsebene durchgesetzt werden. Benutzer profitieren von URL-Filterung, Deep Packet Inspection (DPI), TLS/SSL-Entschlüsselung und Bedrohungsbewertungsdiensten. Swisscom kann die Bandbreite pro Gerät oder Standort drosseln, um ein einheitliches Schutzniveau in ihrer gemeinsam genutzten Infrastruktur zu gewährleisten.

WARNING

Dienste, die öffentliche IPs benötigen (z.B. dynDNS), sind aufgrund des IP-Cloaking nicht mit beemNet kompatibel.

Eingehender Datenverkehr (Zugang zu privaten Anwendungen und Netzwerken)

Der Edge Interceptor

Der gesamte eingehende Datenverkehr in eine beemNet-geschützte Umgebung wird standardmässig verweigert, um Cyber-Bedrohungen abzuwehren. Im Umkehrschluss bedeutet dies aber auch, dass der legitime Zugang zu beemNet-gesicherten Netzwerken blockiert wird - zum Beispiel, wenn ein Mitarbeiter von zu Hause aus arbeitet und Zugriff auf einen beemNet-geschützten Firmenserver benötigt.

Um einen solchen Zugriff zu ermöglichen, bietet beem die Funktion Edge Interceptor an, die einen ZTNA-basierten sicheren Zugriff auf Unternehmensnetzwerke, Server und Anwendungen ermöglicht. Er fängt den eingehenden Datenverkehr ab und leitet ihn, wenn erlaubt, sicher durch das beemNet an sein richtiges Ziel.

Im Gegensatz zur herkömmlichen Portweiterleitung, die ein inhärentes Sicherheitsrisiko darstellt, fungiert der Edge Interceptor als sicherer Zugangspunkt, der die beemNet-Sicherheits- und ZTNA-Richtlinien durchsetzt, ohne die bestehenden Firewall-Einstellungen zu beeinflussen.

Die folgenden Anleitungen enthalten Schritt-für-Schritt-Anweisungen zur Konfiguration des sicheren Zugangs zu Ihren beemNet-geschützten Servern und privaten Anwendungen. Suchen Sie unten Ihre produktspezifische Anleitung und folgen Sie dem entsprechenden Konfigurationsverfahren.

Unterscheidung zwischen On- und Off-Net

Bei der Konfiguration des Edge Interceptors ist es wichtig, zwischen On-Net- und Off-Net-Verbindungen zu unterscheiden, da beide unterschiedliche Auswirkungen auf den Einrichtungsprozess haben. Die Begriffe On- und Off-Net beziehen sich darauf, wo der Datenverkehr stattfindet: Der On-Net-Verkehr bleibt innerhalb des beemNet, während der Off-Net-Verkehr über das beemNet hinausgeht.

On-Net

On-Net bedeutet, dass sich ein Benutzer, ein Gerät oder eine Anwendung innerhalb des beemNet mit Swisscom Produkten wie beem Office, Smart Business Connect oder Protect & Connect verbindet. In diesem Fall bleibt der Datenverkehr vollständig innerhalb des sicheren Backbones von Swisscom und gelangt nie ins öffentliche Internet. Es handelt sich um eine interne, sichere Zone, da alle Benutzer und Geräte über ihre beemNet-Produktidentität verifiziert werden.

On-Net Beispiele:

• Ein Ingenieur arbeitet an einem Smart Business Connect-Unternehmensstandort und greift auf einen Server am geschützten Standort des anderen Unternehmens zu.
• Ein Mitarbeiter greift von unterwegs mit seinem Laptop auf eine Unternehmensanwendung zu, während er mit einer Protect & Connect Mobile SIM-Karte online ist.
• Zwei Unternehmensniederlassungen, die beide mit beem Office arbeiten, senden sich gegenseitig Dateien zu.

Ausserhalb des Netzes

Der Off-Net-Zugang hingegen wird von ausserhalb des beemNet-Ökosystems über das öffentliche Internet initiiert. In diesem Fall agiert der Edge Interceptor wie ein schützendes Gateway und wendet ZTNA-basierte Zugangsregeln an, bevor er den Zugang erlaubt. Obwohl der Off-Net-Verkehr einen risikoreicheren Weg durch das öffentliche Internet nimmt, ermöglicht der Edge Interceptor einen sicheren und kontrollierten eingehenden Verkehr und externen Zugang.

Beispiele ausserhalb des Netzes:

• Ein Angestellter arbeitet aus der Ferne über Hotel-Wi-Fi und verwendet die beem App, um auf eine Unternehmensanwendung zuzugreifen.
• Ein Geschäftspartner muss über seinen eigenen Internet-Provider eine Verbindung zu einem beemNet-geschützten Firmen-NAS herstellen.
• Der Cloud-Server eines Unternehmens auf AWS erhält Datenverkehr von Online-Kunden, deren Anfragen gefiltert und sicher ins beemNet weitergeleitet werden.

INFO

Für beem Office und Smart Business Connect ist der Zugriff auf private Anwendungen mit den beem Security-Editionen Standard, Plus und Premium möglich.

Für Enterprise Connect ist der Zugriff auf private Anwendungen mit den Plus und Premium beem Security Editionen verfügbar.

Mit der Erweiterung der beemNet-Funktionen werden weitere Produkte und Konfigurationsoptionen eingeführt.

Konfigurationsleitfäden für eingehenden Verkehr

beem Office, Smart Business Connect und Enterprise Connect XS

Anleitung zur On-Net-Konfiguration

Über die On-Net-Konfiguration

Dieser Leitfaden erklärt, wie man einen sicheren On-Net-Zugang mit einem Centro Business Router konfiguriert und in die Sicherheits- und ZTNA-Richtlinien von Concerto integriert. Da On-Net-Verbindungen vollständig innerhalb des beemNet funktionieren, sind keine VPNs oder Tunnel erforderlich. Der Zugriff auf Ihre beemNet-geschützten Systeme erfolgt über sicher exponierte IP-Adressen.

Sowohl angeforderte als auch unangeforderte eingehende Verbindungen können nach dem gleichen Verfahren (Teil 2) eingerichtet werden, müssen aber jeweils separat konfiguriert werden.

Teil 1: Centro Business Router Portweiterleitung

• Öffnen Sie das Centro Business Router Admin Dashboard.
  Navigieren Sie zu Netzwerk → Port Forwarding.
• Klicken Sie auf Neue Regel hinzufügen
• Wählen Sie eine öffentliche IP.
• Wählen Sie einen Hafen.
• Wählen Sie die LAN-IP des Zielsystems.
• Für Lokaler Anschluss wählen Sie "Gleicher Anschluss" oder "Benutzerdefiniert".
• Konfigurationen speichern.

Teil 2: Concerto IP Konfiguration

• Öffnen Sie Concerto und navigieren Sie zu Konfigurieren → Echtzeitschutz → Private App Protection und klicken Sie auf Add +, um den Einrichtungsprozess zu starten.

• Schritt 1 Anwendungen: Überspringen Sie diesen Schritt.

• Schritt 2 Benutzer & Gruppen:

  • Um den eingehenden Datenverkehr zu aktivieren, wählen Sie User groups. Wählen Sie in den Anpassungsoptionen "Verwaltetes Profil - saml-oneidb" und wählen Sie die Benutzergruppe, für die Sie den eingehenden Datenverkehr aktivieren möchten.
  • Um unbegrüssten eingehenden Verkehr zu aktivieren, wählen Sie User device groups und wählen Sie die Option "VSIA_VSPA-Default".

• Schritt 3 "Endpunkt-Haltung": Überspringen Sie diesen Schritt.

• Schritt 4 "GEO-Standorte": Überspringen Sie diesen Schritt.

• Schritt 5 "Netzwerkschicht 3-4": Öffnen Sie die Registerkarte "Zieladresse" und klicken Sie auf Add Adress Group. Geben Sie die feste öffentliche IP-Adresse Ihres Centro Business Routers ein (inklusive Subnetz z.B. ".xx/32") und definieren Sie einen Namen und ein Tag.

• Schritt 6 "Sicherheitserzwingung": Wählen Sie Allow

• Schritt 7 "Überprüfen und Bereitstellen": Überprüfen und speichern Sie Ihre Konfigurationen.

Wenn Sie den Einrichtungsvorgang abgeschlossen haben und wieder auf der Seite "Privater App-Schutz" sind, klicken Sie auf Publish, um die Einrichtung abzuschliessen.

Off-Net-Konfiguration

Über die Off-Net-Konfiguration

Der Off-Net-Zugang wird durch die Einrichtung von Site-to-Site VPN-Tunneln für alle beemNet-Gateways hergestellt. Die beemNet-Infrastruktur besteht aus vier geografisch redundanten Points of Presence (PoPs) in der Schweiz, die jeweils mit einem automatischen Failover-Mechanismus ausgestattet sind. Daraus ergeben sich insgesamt acht Gateways - vier aktive und vier Standby-Gateways -, die alle über sichere Tunnel verbunden sein müssen, um optimale Konnektivität und Redundanz zu gewährleisten.

Dieser Prozess ist komplex und aufwendig und kann (zum jetzigen Zeitpunkt) nicht mit einer schlanken und benutzerfreundlichen Schnittstelle umgesetzt werden. Wenden Sie sich daher bitte an Swisscom, wenn Sie Off-Net-Verbindungen einrichten möchten. Einmal eingerichtet, können Sie die Sicherheits- und Zero-Trust-Richtlinien Ihres Unternehmens wie gewohnt in Concerto verwalten.

Unternehmen Connect Central Internet

Über die zentrale Internetkonfiguration von Enterprise Connect

In dieser Anleitung wird erläutert, wie Sie mit dem Enterprise Connect Dashboard und Concerto einen sicheren Zugang einrichten. Dazu wird ein ausgehender VPN-Link erstellt, um einen sicheren Netzwerkpfad einzurichten, eine Portweiterleitung konfiguriert, um eingehenden Datenverkehr von einer öffentlichen IP-Adresse an den richtigen internen Server zu leiten, und die Sicherheits- und ZTNA-Richtlinien von Concerto angewendet, um eingehenden Datenverkehr und Zugriff zuzulassen.

Sowohl der Zugang für angeforderten als auch für nicht angeforderten Datenverkehr kann mit demselben Verfahren (Teil 3) konfiguriert werden, muss aber separat eingerichtet werden.

Teil 1: Aktivieren Sie beemNet und aktivieren Sie Outbound Link für Access VPN

• Öffnen Sie das Enterprise Connect Dashboard und navigieren Sie zu "Netzwerkdienste" → "Einstellungen".
• Suchen Sie die Kachel "beem" und vergewissern Sie sich, dass der Status "Ein" ist.
• Navigieren Sie zu Sicherheit und klicken Sie auf die Kachel Ausgehende Links.
• Klicken Sie auf +, um einen VPN-spezifischen ausgehenden Link zu erzeugen. Akzeptieren Sie diese Konfiguration, indem Sie auf das Häkchen klicken und dann speichern.
• Gehen Sie zur Kasse in der oberen rechten Ecke und übermitteln Sie Ihre Konfigurationen.

Teil 2: Konfigurieren der Portweiterleitung

• Öffnen Sie das Enterprise Connect Dashboard und navigieren Sie zu "Netzwerkdienste" → "Sicherheit".
• Klicken Sie auf die Kachel S-SPAT-Links und dann auf +, um eine neue Regel hinzuzufügen:
  • Geben Sie einen Namen und Ihre öffentliche IP ein.
  • Wählen Sie Source VPN.
  • Geben Sie die private IP-Adresse des Zielservers ein.
  • Wählen Sie Protokoll TCP/UDP.
  • Konfigurieren Sie die "Ziel-Herkunfts-Ports".
  • Konfigurieren Sie "Übersetzte Ziel-Ports".
• Bestätigen Sie mit dem Häkchen und gehen Sie zur Kasse in der oberen rechten Ecke, um Ihre Konfigurationen abzuschicken.

Teil 3: Eingehende Verbindungen zulassen

• Öffnen Sie Concerto und navigieren Sie zu Konfigurieren → Echtzeitschutz → Private App Protection und klicken Sie auf Add +, um den Einrichtungsprozess zu starten.

• Schritt 1 Anwendungen: Überspringen Sie diesen Schritt.

• Schritt 2 Benutzer & Gruppen:

  • Um den eingehenden Datenverkehr zu aktivieren, wählen Sie User groups. Wählen Sie in den Anpassungsoptionen "Verwaltetes Profil - saml-oneidb" und wählen Sie die Benutzergruppe, für die Sie den eingehenden Datenverkehr aktivieren möchten.
  • Um unbegrüssten eingehenden Verkehr zu aktivieren, wählen Sie User device groups und wählen Sie die Option "VSIA_VSPA-Default".

• Schritt 3 "Endpunkt-Haltung": Überspringen Sie diesen Schritt.

• Schritt 4 "GEO-Standorte": Überspringen Sie diesen Schritt.

• Schritt 5 "Netzwerkschicht 3-4": Öffnen Sie die Registerkarte Zieladresse und klicken Sie auf Add Adress Group. Geben Sie die IP-Adresse der ausgehenden VPN-Verbindung ein, wie in Teil 1 konfiguriert.

• Schritt 6 "Sicherheitserzwingung": Wählen Sie Allow

• Schritt 7 "Überprüfen und Bereitstellen": Überprüfen und speichern Sie Ihre Konfigurationen.

Wenn Sie den Einrichtungsvorgang abgeschlossen haben und wieder auf der Seite "Privater App-Schutz" sind, klicken Sie auf Publish, um die Einrichtung abzuschliessen.

Es wird empfohlen, die englischen Konfigurationsanleitungen zu verwenden. Concerto kann von Webbrowsern oder anderen Anwendungen automatisch übersetzt werden, was zu Ungenauigkeiten oder Inkonsistenzen mit den übersetzten Konfigurationsanleitungen auf docs. führen kann.