Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Sicherheit mit DHCP- und DDNS- Diensten Einführung in redundante DDNS- und DHCP-Server auf der Basis von Linux.

Ähnliche Präsentationen


Präsentation zum Thema: "Sicherheit mit DHCP- und DDNS- Diensten Einführung in redundante DDNS- und DHCP-Server auf der Basis von Linux."—  Präsentation transkript:

1 Sicherheit mit DHCP- und DDNS- Diensten Einführung in redundante DDNS- und DHCP-Server auf der Basis von Linux

2 Agenda Ausgangssituation Einleitung DHCP und DDNS Ist- und Sollzustand Das Projekt Sicherheit Bedarfsanalyse Zielsetzung Grafiken Das Konzept Umsetzung Ausblick CCM-Server

3 Ausgangssituation Rathaus Reinickendorf Ca PC, ca.15-Server Heterogene Netzwerkumgebung WAN-Netz, Glasfaser, ISDN Internetanbindung Switche, UDP-Forwarding div. Datenbanken, div.Frontends Betrieb ca bis Kundenbetreuung Schulungsräume Fernwartung und Autoinstaller CCM Technischer Support Anbindung LIT

4 Einleitung Die Anforderungen an heterogene Netzwerke steigt mit der Anzahl der Anwendungen. Lösungen für Digitale Signaturen und Sicherheit erfordern zusätzliche Kapazitäten. Informationen über Ist- und Sollzustand der IT- Ressourcen sind erforderlich, um Ausfallzeiten zu reduzieren. Die Entwicklung der IT-Infrastruktur ist Voraussetzung für einen fehlerfreien Datenaustausch. Diese Anforderungen können durch den Einsatz redundanter Dienste, wie DHCP und DDNS, verbessert werden. Anwendungen und Sicherheits- überlegungen können einfließen, ohne die bestehende Infrastruktur zu verändern. Die verbesserte Integration von DHCP und DDNS Diensten vermindert die Ausfallzeiten und senkt den Verwaltungsaufwand. DHCP und DDNS sind Dienste, die auch in Zukunft weiter in heterogenen Netzen notwendig sind. Die dezentrale Verwaltung von Serverdiensten (z.B. DDNS, DHCP) lokal und in den Außenstellen reduziert den aufkommenden Datenverkehr zwischen Rathaus und Außenstellen. Die Kosten für die IT-Infrastruktur werden dadurch positiv beeinflußt. Die Menge der Daten von Anwendungen und der für Konfiguration und Verwaltung lassen sich besser skalieren.

5 DDNS und DHCP I DHCP-Server (Dynamic Host Configuration Protocol) stellen in einem IT- Netz einen Dienst zur Konfiguration und Authentifizierung zur Verfügung. Sie übermitteln beim Start der Arbeitsplatzrechner Konfigurationsdaten. Dem Arbeitsplatzrechner wird u. a. eine netzwerkbasierte Startumgebung, die eigene IP-Adresse, die IP-Adressen von Servern zugewiesen. Ein wesentlicher Nachteil dieses Dienstes ist, das nur der DHCP-Server diese Informationen kennt und diese nicht automatisch an andere Server weiterleitet, sondern nur an die Arbeitsplatzrechner. Das bedeutet für eine große IT-Umgebung, dass Arbeitsplatzrechner auf Ressourcen (Server, Drucker, etc.) z. B. außerhalb ihres Geschäftsbereiches keinen Zugriff haben. Die Vermittlung von Informationen verschiedener Geschäftsbereiche oder lokal getrennter Netze ist die Aufgabe von DNS (Domain Name Server). Ein DNS-Server enthält alle IP-Adressen der Arbeitsplatzrechner und ist in der Lage diese Informationen anderen DNS-Servern anderer Geschäftsbereiche oder Lokalitäten zu übermitteln. Ein wesentlicher Nachteil dieses Dienstes ist, dass bei Änderungen aufwendige Tabellen manuell gepflegt werden müssen.

6 DDNS und DHCP II Mit einem DDNS (Dynamic Domain Name Server) übermittelt der DHCP- Server alle Informationen an den DNS-Server. Die Arbeitsplatzrechner erhalten alle Informationen für den Zugriff auf die gesamte IT-Infrastruktur und deren Ressourcen. Es fällt keine aufwendige manuelle Konfiguration von DNS-Servern an. DDNS-Server haben zudem den Vorteil, dass sie durch Master-Slave- Systeme redundant sind. Es ist möglich mit mehreren DHCP- und DDNS- Servern eine ausfallsichere Anmeldung der Arbeitsplatzrechner zu gewährleisten. DDNS- und DHCP-Server unterstützen das zukünftige Protokoll IPv6 und verschiedene Algorithmen der Verschlüsselung für sicheren Datentransfer.

7 Rathaus und Außenstelle

8 Lokal

9 Ist- und Sollzustand IstzustandSollzustand (Verbesserungen) Es gibt einen zentralen DHCP-Server im Rathaus. Bei einem Ausfall können sich ca. 560 Mitarbeiter nicht mehr am Arbeitsplatz anmelden. Der Einsatz von mehreren DHCP-Servern, um die Redundanz und damit die Ausfall- sicherheit der DHCP-Server ist gewährleistet. Es gibt einen DNS-Server für den gesamten Bezirk. Ein DNS-Server, der Ausfall führt zu erheblichen Problemen bei 1107 Arbeits- plätzen. Der Einsatz mehrerer DDNS-Server im Bezirk, um die Ausfallsicherheit von DNS- Servern zu integrieren. Keine verschlüsselten Daten bei allen Anwendungen und bei Passwörtern. Verschlüsseln der DDNS-Daten, womit das Abhören von Daten, IP-Adressen und Rechnernamen deutlich erschwert wird. Der Zugriff der Außenstellen auf Netzwerkressourcen bezirksweit wird über nur einen zentralen DNS-Server im Rathaus realisiert. Die Anmeldungen und der Zugriff auf Netzwerkressourcen verkürzt sich, weil Anfragen der Arbeitsplatzrechner lokal beantwortet werden.

10 Das Projekt DNS-Server DDNS ist die automatische Vergabe von IP-Adressen von einem DHCP- Server an einen dynamischen DNS-Server. DDNS minimiert den Verwaltungsaufwand für DNS-Server und DHCP- Server. Die Konfiguration der DNS-Server geschieht einmalig. Die Konfiguration der DHCP-Server wird durch kleinere Verwaltungsbereiche vereinfacht. Die Aufteilung auf mehrere DNS-Server und DHCP-Server vermindert die Netzlast. Kleinere Zonendateien (Verwaltungseinheiten) der DNS-Server verbessern das Antwortverhalten. Zusätzlich werden die Cache- Informationen der einzelnen DNS-Server durch das Forwarding (Anfragen an andere DNS-Server) optimiert. Die Redundanz wird mit einem zentralen DNS-Server erreicht, der alle Zonen als Slave Zonen (Backup) enthält. Falls lokale DNS-Server ausfallen, sogar der Ausfall mehrerer DNS-Server ist möglich, kann das Tagesgeschäft weitergehen.

11 Das Projekt DHCP-Server Die dezentrale Verteilung der IP-Adressen durch DHCP-Server verbessert das Antwortverhalten und reduziert die Netzlast. Die Arbeitsplatzrechner erhalten ihre Daten (IP-Adressen, Router, etc.) lokal in den Außenstellen. Ein lokaler DHCP-Server in den Außenstellen und zwei weitere DHCP- Server im Rathaus sorgen für Redundanz im Rathaus und in den Außenstellen. Beim Ausfall eines lokalen DHCP-Servers der Außenstellen beantworten die DHCP-Server im Rathaus die Anfragen. Das Konzept sieht zwei DHCP-Server im Rathaus vor, um ggf. ein erhöhtes Aufkommen durch die Außenstellen und im Rathaus abzufangen.

12 Sicherheit I Die Daten in einem heutigen IP basierten Netzwerk, wie im Bezirk, werden unverschlüsselt im Klartext übertragen. Das bedeutet mit dem Einsatz sog. Sniffer ist das Abhören der Daten problemlos möglich. Die Inhalte erscheinen als klar lesbarer Text auf dem Bildschirm. Dies ist besonders kritisch, wenn Paßwörter im Klartext übertragen werden. Die Problematik stellt sich mit Sicherheit auch bei Ihnen im Hause. Das Verfälschen von Daten ist ein zusätzliches Sicherheitsrisiko. Sind einem Angreifer die IP-Adressen (Computeradressen) der Sender und Empfänger bekannt, können die Daten verfälscht werden, sog. Man in the Middle Attacks ermöglichen das. Das Verändern von Ziel und Empfängeradressen, um an bestimmte Inhalte bestimmter Arbeitsplatz- rechner zu gelangen, nennt man Spoofing. Daten können in einem IT-Netz verschlüsselt übertragen werden. Damit sind die Daten für Angreifer nicht mehr lesbar. Damit Sender und Empfänger sich eindeutig identifizieren gibt es das Signaturgesetz. Die Datenverbindungen werden signiert. Damit sind Sender und Empfänger sicher, das keiner Fremder die Daten verfälscht oder abhört.

13 Sicherheit II Der Einsatz von DDNS-Servern mit verschlüsselten Daten verhindert das Ausspionieren der rechnerrelevanten Daten, wie Sender- und Empfänger- adresse. Einem Angreifer ist es nicht mehr möglich die Adresse und den Namen von bestimmten Arbeitsplatzrechnern zu ermitteln. DDNS verhindert Spoofing und verringert die Erfolgschancen einer Man in the Middle Attack. Der Einsatz von DDNS-Servern mit DHCP-Servern ist besonders dann sinnvoll, wenn die IT-Netz in jeder Außenstelle mit DHCP und DDNS ausgestattet werden. Die Konfigurationsdaten der DHCP-Server verbleiben in der Außenstelle und werden nicht im gesamten Netz sichtbar. Die Abfragen der Arbeitsplatzrechner an Servern, etc. wird dann von den DDNS-Servern in verschlüsselter Form vorgenommen und ist damit sicher vor dem Abhören. Die Empfangs- und Zieladressen sind nur in verschlüsselter Form vorhanden.

14 Bedarfsanalyse Ausfallsicherheit aller DHCP- und DNS- Server im Rathaus und den Außenstellen Optimieren der Zugriffszeiten von Arbeits- platzrechnern auf Netzwerkressourcen Verschlüsselter Datenverkehr zwischen den Außenstellen und dem Rathaus Ergänzung: Installation, Konfiguration und Update der Arbeitsplatzrechner mit lokalen CCM-Servern in den Außenstellen

15 Zielsetzung DDNS-Server im Rathaus und den Außenstellen mit Redundanz für alle Server DHCP-Server mit Redundanz in den Außen- stellen und im Rathaus Einführung Verschlüsselter Daten zwischen den Außenstellen und dem Rathaus

16 Gesamtzahl der Arbeitsplätze: 1107

17

18 DNS Lokal

19 DNS Forwarder (Rathaus)

20 DNS SLAVE (Backup)

21 DHCP Lokal

22 DHCP Rathaus und Backup

23 Das Konzept Ausgangssituation DNS- und DHCP-Server sind im Fehlerfall nicht mehr verfügbar Es sind ausreichende Leitungskapazitäten im Rathaus und den Außenstellen vorhanden zum Einsatz der Dienste DHCP und DDNS Zielstellung Bereitstellen der Hard- und Software für die Linux-Server mit den DHCP und DDNS Diensten Aufbau einer Testumgebung im Rathaus mit den vorhandenen Betriebssystemen Umsetzung Priorität Optimierung der Zugriffszeiten von Arbeitsplatzrechnern auf die Ressourcen der IT-Infrastruktur Redundante Systeme im Bereich DHCP und DDNS Verschlüsseln der Daten Installation und Konfiguration mit einer Fall-Back-Strategie

24 Umsetzung 1. Umsetzung: Einrichten eines DHCP-Servers für eine ausgewählte Außenstelle Einrichten eines DDNS-Servers für eine ausgewählte Außenstelle Konfiguration der Arbeitsplatzrechner mit dem neuen DDNS-Server In Betriebnahme in der ausgewählten Außenstelle 2. Umsetzung: Einrichten eines zentralen DHCP- und DDNS-Servers im Rathaus Umsetzen des bestehenden DNS-Servers auf den DDNS-Server Konfiguration der Arbeitsplatzrechner mit dem neuen DDNS-Server Einführen der Verschlüsselten der DDNS-Daten In Betriebnahme im Rathaus 3. Umsetzung: Einrichten weiterer DHCP- und DDNS-Server in den Außenstellen Konfiguration der Arbeitsplatzrechner mit dem neuen DNS-Server Installation Backup DHCP-Server und Backup DNS-Server

25 Ausblick Ausbau der DHCP- und DNS-Server zu CCM- Servern für weitere Redundanz Druckerserver in den Außenstellen, um den Datenverkehr zwischen Rathaus und Außenstellen weiter deutlich zu reduzieren Aufbau einer Public Key Infrastruktur für mehr Sicherheit im Bezirksamt

26 CCM-Server mit SuSE 9.0 Linux Installation SuSE 9.0 mit KDE Installation TFTP-Server Installation DHCP-Server Einrichten der CCM-User Installation CCM-Server Installation SMB-Server Konfiguration CCM ccmlocator.lst Konfiguration CCM-Server


Herunterladen ppt "Sicherheit mit DHCP- und DDNS- Diensten Einführung in redundante DDNS- und DHCP-Server auf der Basis von Linux."

Ähnliche Präsentationen


Google-Anzeigen