Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Reinhard BaldaufTimo ChruscielEno Vaso Im Tunnel durch das Internet Projektarbeit Virtual Private Network + Firewallkonzept.

Ähnliche Präsentationen


Präsentation zum Thema: "Reinhard BaldaufTimo ChruscielEno Vaso Im Tunnel durch das Internet Projektarbeit Virtual Private Network + Firewallkonzept."—  Präsentation transkript:

1 Reinhard BaldaufTimo ChruscielEno Vaso Im Tunnel durch das Internet Projektarbeit Virtual Private Network + Firewallkonzept

2 Was ist ein VPN ? - VPN "Virtual Private Network" - verbindet lokale Netze (Intranets) über unsichere öffentliche Netze - Rechner sind virtuell wie in einem LAN verbunden Sicherheit durch VPN: - Authentifizierung des Kommunikationspartners - Integrität der Information (Daten sind nicht verändert worden) - Abhörsicherheit durch Verschlüsselung - Identitätsverbergung der Kommunikationspartner 2002 VPN+Firewall

3 Der Datentransfer zwischen den einzelnen Computern wird verschlüsselt. Einsatzgebiet: Hochsensible Intranet Umgebungen Für Wartungsarbeiten an Firewalls od. Internetservern End To End Architektur 2002 VPN+Firewall

4 Beide VPN-Gateway´s befinden sich permanent im Internet (z.B. Standleitung) Einsatzgebiet: Filialvernetzung Standortvernetzung VPN-Gateway I VPN-Gateway II Site To Site Architektur 2002 VPN+Firewall

5 End To Site Architektur Der VPN-Gateway befindet sich permanent im Internet, oder verbindet sich per Request zu gewissen Zeiten ins Internet. Einsatzgebiet: Teleworker Aussendienstmitarbeiter VPN-Gateway 2002 VPN+Firewall

6 Was sind die Vor- und Nachteile eines VPN ? Kostenersparniss große Verfügbarkeit und Reichweite hohe Flexibilität und Skalierbarkeit einfache (zentrale) Administrierbarkeit bereits redundant ausgelegte Infrastruktur VoIP ( sichere Telefonie ) keine schriftlich garantierte Bandbreite Aufwand zur permanenten Aufrechterhaltung der Sicherheit 2002 VPN+Firewall

7 Bedingungen: - VPN-Verbindung in Site-to-Site-Architektur - Nutzung verschiedener VPN-Gateway-Betriebssysteme - Verwendung des IPSec-Protokolls - Es sollte ausschließlich eine Kommunikation zwischen den zwei lokalen Netzen über den VPN-Tunnel möglich sein Der Versuchsaufbau 2002 VPN+Firewall

8 Windows 2000 Professional Suse LINUX 7.3 mit FreeS/WAN und IPTables Windows 2000 Professional Windows 2000 Server Der Versuchsaufbau 2002 VPN+Firewall

9 - Keine speziellen Verschlüsselungsalgorithmen oder Schlüsselaustauschverfahren - Liefert nur den Rahmen für eine modulare Sicherheitsstruktur Grundlegende Idee: - Jedes einzelne Datenpaket vor Verfälschung zu schützen und/oder zu verschlüsseln Das Internet Security Protokoll (IPSec) 2002 VPN+Firewall

10 Problem Authentifizierung: Wie kann ich erkennen, ob der Partner auf der anderen Seite auch wirklich derjenige ist, mit dem ich kommunizieren will? (Ausweis zeigen lassen oder was?) Lösung: - Gemeinsamer geheimer Schlüssel (Pre-Shared-Key) - Public-Key-Verfahren (pro Teilnehmer ein öffentlicher Schlüssel, ein geheimer Schlüssel) - Zertifikate (digitaler Ausweis) Das Internet Security Protokoll (IPSec) 2002 VPN+Firewall

11 1. Verhandlungsphase, Tunneletablierung - Authentifizierung der Partner - Verhandlung, welche Verfahren zur Verschlüsselung und/oder Datenintigrität benutzt werden sollen Protokoll: IKE (Internet Key Exchange) /ISAKMP 2. Datenaustausch über die definierte Verbindung Protokoll: AH (Authentication Header) oder ESP (Encapsulating Security Payload) Ablauf eines Verbindungsaufbaus 2002 VPN+Firewall

12 1. Informationen verschlüsseln 2. Einpacken 3. Paket schließen und versiegeln 1. Versiegelung prüfen, unbeschädigt? 2. Paket auspacken 3. Informationen entschlüsseln Schematische Darstellung des Datenflusses 2002 VPN+Firewall

13 Darstellung unverschlüsselter/verschlüsselter Pakete 2002 VPN+Firewall

14 Firewall Kommunikation protokollieren zwischen Internet und Intranet (gängig) kontrollieren d.h. nur unter bestimmten Bedingungen zulassen überwachen d.h. Inhalt on-the-fly scannen (selten) Aufgaben Vor Installation eines Firewalls! accept- bzw. deny-policy Entscheidung über eine Policy-Strategie Kontrollmechanismen Beschreibung, was durchgelassen wird Policy 2002 VPN+Firewall

15 Risiken ohne Firewall Host sichtbar von Internet auf Intranets Port-Konzept Ein Host, viele Eingangstüren Sniffing ein schwacher Host gefährdet gesamtes Intranet Spoofing Vertrauen innerhalb Intranet (IP-Adresse) in Internet unzureichend 2002 VPN+Firewall

16 Risiken mit Firewall Zu strikte Policy Benutzer unzufrieden, gehen eventuell eigene Wege (Modems) Zu großes Vertrauen in Firewall Host Security im Intranet vernachlässigt Intranet-interne Risiken durch Firewall nicht gelöst. Host-Security! Black-Box Mentalität Firewall muss laufend gewartet und überwacht werden Anpassungsbedürftig Neuere Dienste des Internets oft nicht möglich 2002 VPN+Firewall

17 Einige Definitionen Paket-Filter:Kontrollmechanismen, die einzelne IP-Pakete durchlassen oder blockieren Proxy:(Stellvertreter) Application-Level-Gateways bzw. Circuit-Level-Gateways, die Anwendungen weiterleiten DMZ: Netzwerk zwischen Intra- und Internet (Demilitarized zone) Bastion: System(e) des Firewalls, welche von Internet aus sichtbar sind (außer Router). Meistens im DMZ integriert und von dort aus Internetdienste anbietet Dual-homed Host: Bastion mit 2 Netzwerk-Interfaces (Gegensatz: single-homed Host) Wrapper: Programm, das anderes Programm vertritt und Zusatzfunktionen umsetzt (GUI,...) 2002 VPN+Firewall

18 Paketfilter (Screening) IP-Paket OK deny OK deny IP-Paket deny = Ablehnen Internet Intranet Filter IP-Paket OK Der Filter muss für jedes Paket getrennt und von Neuem entscheiden, ob es erlaubt oder blockiert wird, in beide Richtungen. Er sieht nur die einzelnen Pakete! 2002 VPN+Firewall

19 Firewall-Lösung mit Paketfiltern w w w tcp udp tcp udp Der erste Schritt: Zunächst die Brandschutzmauer so bauen, dass keine Durchkommen möglich ist. (Tools: iptables bei Linux und die Sicherheitsrichtlinie bei Windows 2000) Alle Pakete werden einfach verworfen. LAN 2002 VPN+Firewall

20 Firewall-Lösung mit Paketfiltern w w w udp Port 500 udp Port 500 Der zweite Schritt: Die notwendigen Löcher in die Firewall bauen, dass die Authentifizierung des Gateways möglich ist. Einbindung an IP-Adressen und an die externen Schnittstellen. Den Schlüsselaustausch (IKE) durch das Zulassen des UDP-Protokoll am Port 500 ermöglichen. LAN IKE= Internet Key Exchange 2002 VPN+Firewall

21 Firewall-Lösung mit Paketfiltern w w w esp Der dritte Schritt: Die notwendigen Löcher in die Brandschutzmauer bauen, dass die verschlüsselte Verbindung zwischen Gateways möglich ist. ESP-Protokoll (Encapsulating Security Payload) zulassen. LAN 2002 VPN+Firewall

22 Firewall-Lösung mit Paketfiltern w w w esp Der vierte Schritt: LOG-Protokoll einrichten. Die erstellten Firewallregeln testen. Clients bauen eine Verbindung auf. Prüfen, ob etwas anderes außer zugelassene Protokolle die Firewall durchdringen. ESP-Protokoll wird zugelassen, alles andere wird verworfen. LAN VPN-Tunnel sonstige 2002 VPN+Firewall

23 Firewall-Lösung mit Paketfiltern w w w esp Der letzte Schritt: Den normalen Betrieb überwachen. Das LOG-Protokoll auswerten. Normaler Betrieb LAN VPN-Tunnel extern extern VPN+Firewall

24 Vielen Dank für Ihre Aufmerksamkeit... Reinhard Baldauf Timo Chrusciel Eno Vaso 2002 VPN+Firewall E N D E


Herunterladen ppt "Reinhard BaldaufTimo ChruscielEno Vaso Im Tunnel durch das Internet Projektarbeit Virtual Private Network + Firewallkonzept."

Ähnliche Präsentationen


Google-Anzeigen