Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

10/2003 Andreas Ißleiber CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Security Workshop der GWDG 6.10.2003 – 8.10.2003 VPN.

Ähnliche Präsentationen


Präsentation zum Thema: "10/2003 Andreas Ißleiber CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Security Workshop der GWDG 6.10.2003 – 8.10.2003 VPN."—  Präsentation transkript:

1 10/2003 Andreas Ißleiber CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Security Workshop der GWDG – VPN Andreas Ißleiber

2 CISCO S YSTEMS CISCOYSTEMS CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Gründe für den Einsatz von VPN VPN Sicherer Zugang aus unsicheren Netzen Integration von Aussenstellen in das lokale Netz des Instituts Normierung von Heimarbeitsplätzen bzgl. IP-Adressbereiche und Zugang Sichern von Datenverbindungen auch im Intranet Administration geschützter Systeme Zusammenlegung von IP-Addressbereichen 10/2003 Andreas Ißleiber

3 CISCO S YSTEMS CISCOYSTEMS CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Aufgaben moderner VPN Lösungen VPN Gesicherte Verbindung zwischen zwei Komminukationspartner schaffen Verschlüsselung der Verbindung Vertraulichkeit schaffen Manipulation der Daten verhindern Authentifikation der Kommunikationspartner erzwingen Schlüsselgenerierung übernehmen (möglichst automatisch) Accounting (Zugangskontrolle nach der Anmeldung) 10/2003 Andreas Ißleiber

4 CISCO S YSTEMS CISCOYSTEMS CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL VPN Verfahren VPN Grundlegende Unterteilung in Layer2/Layer3 Protokolle ! Die Applikationen erkennen i.d.R. nicht die Existenz einer VPN Verbindung 10/2003 Andreas Ißleiber

5 CISCO S YSTEMS CISCOYSTEMS CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL VPN PPTP (Point to Point Tunneling Protocol) IP PPTP (GRE) PPP Nutzdaten PPP IP / IPX / AT PPTP- Header UDP IP Layer-2 Layer-1 wird häufig in Windows-basierenden Netzwerken verwendet ist integraler Bestandteil von MS-Betriebssystemen Realisierung der Verschlüsselung von PPP-Paketen Stärkere Verschlüsselung durch MPPE (Microsoft Point-to-Point Encryption, RSA- RC4) möglich Benötigt als Transportprotokoll IP Erlaubt nur einen Tunnel Nutzdaten werden bei Verwendung einer modifizierten GRE (Generic Routing Encapsulation, RFC 2784) in PPTP eingepackt 10/2003 Andreas Ißleiber

6 CISCO S YSTEMS CISCOYSTEMS CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL VPN L2TP (Layer 2 Tunneling Protocol) IP L2TP PPP Nutzdaten PPP IP / IPX / AT L2TP-Header UDP IP Layer-2 Layer-1 ist eine Kombination von PPTP und dem von Cisco stammenden Protokoll L2F (Layer 2 Forwarding) Erlaubt mehrere Tunnel Kann auch über nicht IP Trägerprotokolle eingesetzt werden (ATM,X.25, Frame Relay) 10/2003 Andreas Ißleiber

7 CISCO S YSTEMS CISCOYSTEMS CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL VPN Vor- und Nachteile bei Layer 2 Verfahren: - PPTP/L2TP Verfahren nutzen PPP als Authentifizierung - In manchen Varianten Klartextübertragung von Username/Passwort -/+ (PAP)Erweiterungen für die Authentifizierung = CHAP + (MS-CHAP) bessere Veschlüsselung mit Microsoft Point-to-Point Encryption (MPPE) - Bei CHAP und PAP sind Passwörter auf den Rechnern gespeichert - Kein Schutz vor Datenmanipulation + Einsatz hinter Systemen mit NAT möglich + Übertragung(Tunneln) von non-IP-Protokollen (Netbeui, IPX/SPX etc.) + Durch Integration in MS-OS -> große Verbreitung und einfache Handhabung 10/2003 Andreas Ißleiber

8 CISCO S YSTEMS CISCOYSTEMS CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL VPN IPsec als weit verbreiteter Standard Als Zusatz im IPv4 Komplett Integriert in IPv6 Nur IP-Protokolle können übertragen werden Hohe Standardisierung und Verbreitung Zwei Pakete werden hinzugefügt: - AH: Authentication Header (RFC 2402) - AH ist für die Authentizität eines Pakets zuständig - ESP:Encapsulated Security Payload (RFC 2406) - ESP dient der Verschlüsselung des Datenpaketes, kann aber auch zur Authentizität verwendet werden IPSec ist ein Rahmenwerk. Es können unterschiedliche Verschlüsselungsalgorithmen eingesetzt werden In der Regel wird DES (56 Bit) bzw. 3DES (3 * 56 Bit = 168 Bit) verwendet DES (Data Encryption Standard) gehört zu den symmetrischen Verschlüsselungsverfahren, da für die Ver- und Entschlüsselung der gleiche Schlüssel benutzt wird 10/2003 Andreas Ißleiber

9 CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL VPN Was leistet IPsec Gewährleistung der Authentizität der Gesprächspartner Integrität der übertragenen Daten Vertraulichkeit der übertragenen Daten Schutz gegen Replay-Angriffe (Aufnehmen und Wiederspielen von Daten) Schlüssel Management Die zwei unterschiedlichen Modi bei IPSec … IPSec kann in zwei unterschiedlichen Modi betrieben werden Transport modus (Meist zwischen zwei Systemen (PCs)) Tunnelmodus (Als Tunnel zwischen zwei, oder mehreren Standorten) 10/2003 Andreas Ißleiber

10 CISCO S YSTEMS CISCOYSTEMS CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL IPsec im Transportmodus VPN Zu verschlüsselndes IP Paket Im Transport-Modus wird durch ESP nur der Datenteil verschlüsselt Der ESP Header wird nach dem IP-Header und vor den entsprechenden Nutzdaten angeordnet Der originale IP-Kopf bleibt erhalten, weshalb die IP-Adressen der Kommunikationspartner gelesen werden können ESP im Transport Modus AH liegt hinter dem Original-IP-Header IP-Kopf bleibt erhalten AH im Transport Modus 10/2003 Andreas Ißleiber

11 CISCO S YSTEMS CISCOYSTEMS CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL AH im Tunnel Modus IPsec im Tunnelmodus Zu verschlüsselndes IP Paket IP-Header und Nutzdaten werden verschlüsselt Die IP-Adressen der eigentlichen Kommunikationspartner bleibt verborgen, da diese mit verschlüsselt werden Es wird ein neuer IP-Header erzeugt, der nur die IP-Adressen der VPN Gateways beinhaltet und nicht der eigentlichen Kommunikationspartner ESP im Tunnel Modus 10/2003 Andreas Ißleiber VPN

12 CISCO S YSTEMS CISCOYSTEMS CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL VPN Schlüsselverwaltung bei IPSec (Internet Key Exchange (IKE)) Schlüsselverwaltung Der Schlüsselaustausch dient zum Austausch von Sessionkeys. Ziel: Schlüssel nicht über das Netz zu Übertragen IPSec sieht die Schlüsselverwaltung in zwei verschiedenen Arten vor: Manuell: der symmetrische Schlüssel wird statisch auf jedem Client hinterlegt Pre Shared Key (PSK) Automatisch: der symmetrische Schlüssel wird automatisch erzeugt, bzw. in Intervallen erneuert. Symmetrische Schlüssel Ein Schlüssel wird zur Ver- und Entschlüsselung benutzt Schnelles Verfahren im Vergleich zur asymmetrischen Verschlüsselung Es werden simple Operationen (Addition, Subtraktion, Shift Register auf Interger Zahlen verwendet) Symmetrische Schlüsselverfahren sind: 3DES (DES), RC5, IDEA, Twofish Asymmetrische Schlüssel Es werden unterschiedliche Schlüssel für die Ver- und Entschlüsselung verwendet Public Key und Private Key Im Vergleich zu symmetrischen Schlüsseln deutlich langsamer 10/2003 Andreas Ißleiber

13 CISCO S YSTEMS CISCOYSTEMS CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL VPN Schlüsselaustausch nach Diffie-Hellman Verfahren zum Austausch eines gemeinsamen und geheimen Schlüssels, bei diesem der eigentliche Schlüssel NICHT! übertragen wird. Das Verfahren basiert auf dem Problem, diskrete Logarithmen zu ermitteln bei Verwendung von sehr großen Primzahlen. Beispiel (Mit kleinen! Zahlen) Alice und Bob einigen sich auf die Zahlen p = 7 und g = 3. p und q werden über das unsichere Netz übertragen. Als private Schlüssel suchen sich Alice (x = 2) und Bob (y = 5) aus. Es können die beiden öffentlichen Schlüssel berechnet werden: Alices public key a = g^x (mod p) = 3^2 (mod 7) = 9 – (1 * 7) = 2 (mod 7) Bobs public key b = g^y (mod p) = 3^5 (mod 7) = 243 – (34 * 7) = 5 (mod 7) Alice berechnet den shared secret key1: k1 = b^x = 5^2 (mod 7) = 25 – (3 * 7) = 4 (mod 7) Bob berechnet den shared secret key2: k2 = a^y = 2^5 (mod 7) = 32 – (4 * 7) = 4 (mod 7) Beide Parteien haben nun 4 als Schlüssel errechnet und können diesen verwenden. In der Praxis wird der Wert für p natürlich erheblich größer gewählt (Bsp: 768, 1024 oder 2048 Bit lang). DH Verfahren wird auch bei SSH2 eingesetzt. 10/2003 Andreas Ißleiber Schlüsselverwaltung bei IPSec (Internet Key Exchange (IKE))

14 CISCO S YSTEMS CISCOYSTEMS CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Vergleich Layer 2/3 Protokolle VPN FähigkeitL2TPPPTPIPSec OSI Schicht223 NATJa/NeinJaNein PKI (Nutzung von Zertifikaten)Nein/JaNeinJa AuthentifizierungJa Nein Multiprotokollfähig (IPX/SPX,AT,Netbeui)Ja Nein Non-IP-TrägerprotokollfähigJaNein Sicherheit+-++ Verwaltungsaufwand /2003 Andreas Ißleiber

15 CISCO S YSTEMS CISCOYSTEMS CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Betriebsarten von VPN End-To-End Quasi direkte Verbindung zwischen zwei PCs Beide Systeme müssen VPN-fähig sein Bei lokalem NAT auf Benutzerseite funktioniert IPSec nicht mehr Klassischer Anwendungsfall: Windows OS mit PPTP/L2TP VPN Internet verschlüsselt 10/2003 Andreas Ißleiber

16 CISCO S YSTEMS CISCOYSTEMS CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Betriebsarten von VPN End-To-Site (RAS, Remote Access) Der (die) User nutzen einen RAS-ähnlichen Zugang zum Intranet Das lokale OS muss VPN fähig sein (VPN Client) Bei lokalem NAT auf Benutzerseite funktioniert IPSec nicht mehr (Lösung: NAT-T in einigen VPN-Systemen enthalten) Ohne weitere Sicherheitsmassnahmen erreicht der ansich unsichere Heim- PC das sichere Intranet VPN Internet Intranet unverschlüsselt verschlüsselt VPN Gateway 10/2003 Andreas Ißleiber

17 CISCO S YSTEMS CISCOYSTEMS CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Betriebsarten von VPN Site-To-Site VPN Intranet unverschlüsselt verschlüsselt (tunnelmode) Internet Häufiges Einsatzscenario um Standorte zu verbinden auch mit günstigen Systemen realisierbar (T-DSL Router) für Heimarbeitsplätze Kommunikationspartner (IP-Adressen) sind direkt nicht sichtbar (tunnel) VPN Gateway 10/2003 Andreas Ißleiber

18 CISCO S YSTEMS CISCOYSTEMS CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Mögliche Einsatzscenarien in Instituten Firewall vor dem VPN Gateway VPN Institutsnetz unverschlüsselt verschlüsselt Regeln auf FW müssen definiert werden VPN Tunnel wird hinter der FW terminiert -> Kommunikationspartner müssen vertrauenswürdig sein Zugangskontrolle der Quelladressenauf FW möglich Internet Firewall (FW) Regeln für IPSec müssen eingerichtet werden (Prot. Nr. 50 (ESP), UDP Port 500) verschlüsselt VPN Gateway 10/2003 Andreas Ißleiber

19 CISCO S YSTEMS CISCOYSTEMS CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Mögliche Einsatzscenarien in Instituten Firewall parallel zum VPN (Kombinationsgerät) VPN Institutsnetz unverschlüsselt verschlüsselt FW wird i.d.R. automatisch für VPN Zugang konfiguriert VPN Tunnel terminiert häufig (logisch) hinter der FW Einfachere Wartung Prinzipielles Problem: Wird FW kompromitiert, ist auch das VPN betroffen und umgekehrt (keine Trennung der Systeme) Internet Firewall (FW) Kombination (FW & VPN) verschlüsselt VPN Gateway 10/2003 Andreas Ißleiber

20 CISCO S YSTEMS CISCOYSTEMS CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Mögliche Einsatzscenarien in Instituten Firewall hinter VPN Gateway VPN Institutsnetz unverschlüsselt verschlüsselt Bei unsicheren Kommunikationspartnern können Zugangsregeln auf der FW für das internes Netz eingestellt werden (… klassischer Fall = Heim PC) -> Schutz des Intranets durch den VPN Partner Kommunikationspartner erhält ggf. IP-Adresse, welche nicht durch FW geschützt ist und aus dem Interner sichtbar wird Zugriff aus dem Internet in den Tunnel (rückwärts) auf ist möglich !! Im Falle eines kompromitierten Rechners ist der Zugriff auf das interne Netz möglich Firewall (FW) verschlüsselt VPN Gateway 1 1 Internet /2003 Andreas Ißleiber

21 CISCO S YSTEMS CISCOYSTEMS CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Mögliche Einsatzscenarien in Instituten VPN Gateway in DMZ der Firewall (WAN-seitig) VPN Institutsnetz unverschlüsselt verschlüsselt Kontrolle der Zugangs-IP-Adressen des VPN durch FW (in DMZ) möglich VPN ist nur über DMZ-Regelwerk der FW erreichbar (erschweren von direkten Attacken auf das VPN) Firewall (FW) VPN Gateway Internet DMZ verschlüsselt 10/2003 Andreas Ißleiber

22 CISCO S YSTEMS CISCOYSTEMS CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Mögliche Einsatzscenarien in Instituten Zugang nach VPN durch FW schützen (LAN-seitig) VPN Institutsnetz unverschlüsselt verschlüsselt LAN-Seite des VPN ist durch Firewall geschützt FW kann auch durch weiteren unabhängigen Port von ersetzt werden VPN ist WAN-seitig direkt im Intenet sichtbar Durch Regelwerk von kann auch der Zugang aus dem Internet durch den Tunnel zu in beide Richtungen verhindert/eingeschränkt werden Durch Vergabe von privaten IP-Adressen für die VPN Partner, kann auch ohne FW der Internetzugriff von in beide Richtungen verhindert werden Fazit: Dieses Beispiel ist für Institute besonders geeignet Firewall des Instituts (FW) VPN Gateway 1 Internet Firewall WAN LAN 10/2003 Andreas Ißleiber

23 CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Die richtige VPN Lösung für das Institut finden … VPN Die Beantwortung folgender Fragen sind bei der Auswahl entscheidend: Wie viele Benutzer werden das VPN in Anspruch nehmen? Wie schnell ist der Internetzugang ? Welche Art des Zugangs werden die User verwenden? Verbinden sich die User zeitweise oder permanent ? Welche Zielnetze sind via VPN zu erreichen ? Wie groß ist das zu erwartende Datenvolumen? Ist eine Backup-Verbindung notwendig? Benötige ich eine Redundanz ? Wie komplex ist die Integration (auch etwaiger Clients auf PCs) ? Soll das VPN eine Mischform des Zugangs ermöglichen (Site-to-Site & End-to-Site) ? Soll das VPN System skalierbar sein ? Welche Authentifizierung soll möglich sein (Zertifikate, Smartcard, PKI) ? Muss das VPN zu einer bestehenden User-Datenbank authentifizieren können (RADIUS, ADS, YP) ? Einsatz standardisierter Systeme oder Bastel-Lösungen (…kann der Kollege das VPN Gateway auch administrieren ?) 10/2003 Andreas Ißleiber

24 CISCO S YSTEMS CISCOYSTEMS CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Alternativen zu VPN SSH Standardisiert Große Verbreitung Oft als Bastellösungen eingesetzt, wenn reales VPN dadurch ersetzt werden soll Tunneln von PPP möglich (PPP-over-SSH) Nachteile der höheren Protokolle, da Layer 7 PGPNet Standleitungen Teuer Unflexibel Einfach in der Handhabung Portale WebPortale mit Authentifizierung Server als Portal VPN 10/2003 Andreas Ißleiber

25 CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Alternativen zu VPN Zugang aus unsicheren Netzen über ein PORTAL zu zentralen Ressourcen VPN Terminalserver als PORTAL - Windows 2003, Terminalserver - stark eingeschränkte Rechte über Group Policies - PORTAL Server vermittelt den(die) Benutzer auf weiteren Terminalserver (CITRIX, o. RDP) - worldwide open NUR! Für RDP Port - lokale Authentifizierung (keine Anbindung an ADS) - in weiterem Schritt: Authentifizierung über SmartCard Internet Intranet Zugang aus unsicherem Netz Zugang über beliebigen Provider Firewall mit einfachem Regelwerk: -Zugang ausschliesslich über RDP Port Firewall mit einfachem Regelwerk: - ausschliesslich RDP Port ist erlaubt - Nur! Die IP des Portalserver ist darf passieren SmartCard Aufbau einer Terminalsession zu den geschützten Terminalservern 10/2003 Andreas Ißleiber Portal

26 CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Gefahren, Probleme und Kardinalfehler bei Einsatz von VPN VPN Der Zugang hinter einem VPN Gateway sollte durch eine Firewall abgesichert sein Bei Road-Warrior kann nicht die gewährleistet werden, dass der Rechner nicht kompromitiert ist Daraus folgt das Grundprinzip: Heim-PCs sind NICHT sicher. Der Zugang via VPN ins interne Netz muss immer kontrollierbar sein Bei aktiven Verbindungen (transport mode) ist ggf. eine gleichzeitige, lokale Verbindung des Clients zum Internet möglich (… -> Split Tunneling) Der PC und sein sicherer Tunnel ist sichtbar Keine lokal gespeicherten private Keys verwenden (… kein PSK) local storage von Passwörten auf den PCs verhindern 10/2003 Andreas Ißleiber

27 CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Fazit … VPN oDie allumfassende VPN Ideallösung für Institute gibt es nicht oEs sollten VPN Systeme eingesetzt werden, die auch mit Zertifikaten umgehen können (… im Hinblick auf zukünftige PKI Strukturen im Institut) oVPN mit integriertem FW-Regelwerk (Kontext und Userabhängig) sind vorzuziehen oder in Kombination mit FW eingesetzt werden oIPSec (… 3DES) ist das Protokoll der Wahl oBei Integration externer PCs (Clients), ist ein VPN Client einzusetzen, der nicht nur von Experten installiert werden kann oZugang zum Institutsnetz sollte vor- und nach dem VPN Gateway gesichert werden (WAN- & LAN-seitig) oVPN sollte eine Anbindung an existierende Userdatenbanken für die Authentifizierung erlauben (RADIUS,DS (ADS),YP) 10/2003 Andreas Ißleiber

28 CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL VPN 10/2003 Andreas Ißleiber … Fragen Vielen Dank! und Diskussionen! Vortrag ist unter: … rschung/veranstaltung en/workshops/security _ws_2003/vortraege … zu finden ? ?


Herunterladen ppt "10/2003 Andreas Ißleiber CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Security Workshop der GWDG 6.10.2003 – 8.10.2003 VPN."

Ähnliche Präsentationen


Google-Anzeigen