Virtual Private Network Projektarbeit Im Tunnel durch das Internet Virtual Private Network + Firewallkonzept Reinhard Baldauf Timo Chrusciel Eno Vaso

- VPN  "Virtual Private Network" Was ist ein VPN ? - VPN  "Virtual Private Network" - verbindet lokale Netze (Intranets) über unsichere öffentliche Netze - Rechner sind „virtuell“ wie in einem LAN verbunden Sicherheit durch VPN: - Authentifizierung des Kommunikationspartners - Integrität der Information (Daten sind nicht verändert worden) - Abhörsicherheit durch Verschlüsselung - Identitätsverbergung der Kommunikationspartner  2002 VPN+Firewall

Der Datentransfer zwischen den einzelnen Computern wird verschlüsselt. End To End Architektur Der Datentransfer zwischen den einzelnen Computern wird verschlüsselt. Einsatzgebiet:  Hochsensible Intranet Umgebungen  Für Wartungsarbeiten an Firewalls od. Internetservern  2002 VPN+Firewall

Site To Site Architektur VPN-Gateway I VPN-Gateway II Beide VPN-Gateway´s befinden sich permanent im Internet (z.B. Standleitung) Einsatzgebiet:  Filialvernetzung  Standortvernetzung  2002 VPN+Firewall

End To Site Architektur VPN-Gateway Der VPN-Gateway befindet sich permanent im Internet, oder verbindet sich per Request zu gewissen Zeiten ins Internet. Einsatzgebiet:  Teleworker  Aussendienstmitarbeiter  2002 VPN+Firewall

Was sind die Vor- und Nachteile eines VPN ? Kostenersparniss große Verfügbarkeit und Reichweite hohe Flexibilität und Skalierbarkeit einfache (zentrale) Administrierbarkeit bereits redundant ausgelegte Infrastruktur VoIP ( sichere Telefonie ) keine schriftlich garantierte Bandbreite Aufwand zur permanenten Aufrechterhaltung der Sicherheit  2002 VPN+Firewall

VPN-Verbindung in Site-to-Site-Architektur Der Versuchsaufbau Bedingungen: VPN-Verbindung in Site-to-Site-Architektur Nutzung verschiedener VPN-Gateway-Betriebssysteme Verwendung des IPSec-Protokolls Es sollte ausschließlich eine Kommunikation zwischen den zwei lokalen Netzen über den VPN-Tunnel möglich sein  2002 VPN+Firewall

Der Versuchsaufbau Suse LINUX 7.3 mit FreeS/WAN und IPTables Windows 2000 Professional Windows 2000 Server Windows 2000 Professional  2002 VPN+Firewall

Das Internet Security Protokoll (IPSec) Keine speziellen Verschlüsselungsalgorithmen oder Schlüsselaustauschverfahren - Liefert nur den Rahmen für eine modulare Sicherheitsstruktur Grundlegende Idee: Jedes einzelne Datenpaket vor Verfälschung zu schützen und/oder zu verschlüsseln  2002 VPN+Firewall

Das Internet Security Protokoll (IPSec) Problem Authentifizierung: Wie kann ich erkennen, ob der Partner auf der anderen Seite auch wirklich derjenige ist, mit dem ich kommunizieren will? (Ausweis zeigen lassen oder was?) Lösung: Gemeinsamer geheimer Schlüssel (Pre-Shared-Key) Public-Key-Verfahren (pro Teilnehmer ein öffentlicher Schlüssel, ein geheimer Schlüssel) Zertifikate (digitaler Ausweis)  2002 VPN+Firewall

Ablauf eines Verbindungsaufbaus 1. Verhandlungsphase, Tunneletablierung - Authentifizierung der Partner Verhandlung, welche Verfahren zur Verschlüsselung und/oder Datenintigrität benutzt werden sollen Protokoll: IKE (Internet Key Exchange) /ISAKMP 2. Datenaustausch über die definierte Verbindung AH (Authentication Header) oder ESP (Encapsulating Security Payload)  2002 VPN+Firewall

Schematische Darstellung des Datenflusses 1. Informationen verschlüsseln 2. Einpacken 3. Paket schließen und versiegeln 1. Versiegelung prüfen, unbeschädigt? 2. Paket auspacken 3. Informationen entschlüsseln  2002 VPN+Firewall

Darstellung unverschlüsselter/verschlüsselter Pakete  2002 VPN+Firewall

protokollieren  zwischen Internet und Intranet (gängig) Firewall Aufgaben Kommunikation protokollieren  zwischen Internet und Intranet (gängig) kontrollieren  d.h. nur unter bestimmten Bedingungen zulassen überwachen  d.h. Inhalt on-the-fly scannen (selten) Policy Vor Installation eines Firewalls! accept- bzw. deny-policy  Entscheidung über eine Policy-Strategie Kontrollmechanismen  Beschreibung, was durchgelassen wird  2002 VPN+Firewall

Host sichtbar  von Internet auf Intranets Risiken ohne Firewall Host sichtbar  von Internet auf Intranets Port-Konzept  Ein Host, viele Eingangstüren Sniffing  ein schwacher Host gefährdet gesamtes Intranet Spoofing  Vertrauen innerhalb Intranet (IP-Adresse) in Internet unzureichend  2002 VPN+Firewall

in Firewall  Host Security im Intranet vernachlässigt Risiken mit Firewall Zu strikte Policy  Benutzer unzufrieden, gehen eventuell eigene Wege (Modems) Zu großes Vertrauen in Firewall  Host Security im Intranet vernachlässigt Intranet-interne Risiken  durch Firewall nicht gelöst. Host-Security! Black-Box Mentalität  Firewall muss laufend gewartet und überwacht werden Anpassungsbedürftig  Neuere Dienste des Internets oft nicht möglich  2002 VPN+Firewall

Einige Definitionen Paket-Filter: Kontrollmechanismen, die einzelne IP-Pakete durchlassen oder blockieren Proxy: (Stellvertreter) Application-Level-Gateways bzw. Circuit-Level-Gateways, die Anwendungen weiterleiten DMZ: Netzwerk zwischen Intra- und Internet (Demilitarized zone) Bastion: System(e) des Firewalls, welche von Internet aus sichtbar sind (außer Router). Meistens im DMZ integriert und von dort aus Internetdienste anbietet Dual-homed Host: Bastion mit 2 Netzwerk-Interfaces (Gegensatz: single-homed Host) Wrapper: Programm, das anderes Programm “vertritt” und Zusatzfunktionen umsetzt (GUI, ...)  2002 VPN+Firewall

Paketfilter (“Screening”) Der Filter muss für jedes Paket getrennt und von Neuem entscheiden, ob es erlaubt oder blockiert wird, in beide Richtungen. Er sieht nur die einzelnen Pakete! OK IP-Paket OK IP-Paket OK IP-Paket IP-Paket OK deny IP-Paket IP-Paket deny Intranet Internet Filter deny = Ablehnen  2002 VPN+Firewall

Firewall-Lösung mit Paketfiltern Der erste Schritt: Zunächst die Brandschutzmauer so bauen, dass keine Durchkommen möglich ist. (Tools: iptables bei Linux und die Sicherheitsrichtlinie bei Windows 2000) tcp tcp LAN LAN udp udp w w w Alle Pakete werden einfach verworfen.  2002 VPN+Firewall

Firewall-Lösung mit Paketfiltern Der zweite Schritt: Die notwendigen Löcher in die Firewall bauen, dass die Authentifizierung des Gateways möglich ist. Einbindung an IP-Adressen und an die externen Schnittstellen. LAN LAN udp Port 500 udp Port 500 w w w Den Schlüsselaustausch (IKE) durch das Zulassen des UDP-Protokoll am Port 500 ermöglichen. IKE= Internet Key Exchange  2002 VPN+Firewall

Firewall-Lösung mit Paketfiltern Der dritte Schritt: Die notwendigen Löcher in die Brandschutzmauer bauen, dass die verschlüsselte Verbindung zwischen Gateways möglich ist. LAN LAN esp esp w w w ESP-Protokoll (Encapsulating Security Payload) zulassen.  2002 VPN+Firewall

Firewall-Lösung mit Paketfiltern Der vierte Schritt: LOG-Protokoll einrichten. Die erstellten Firewallregeln testen. Clients bauen eine Verbindung auf. Prüfen, ob etwas anderes außer zugelassene Protokolle die Firewall durchdringen. sonstige sonstige VPN-Tunnel LAN LAN esp esp w w w ESP-Protokoll wird zugelassen, alles andere wird verworfen.  2002 VPN+Firewall

Firewall-Lösung mit Paketfiltern Der letzte Schritt: Den normalen Betrieb überwachen. Das LOG-Protokoll auswerten. VPN-Tunnel LAN LAN esp esp w w w extern 200.0.0.2 extern 200.0.0.1 Normaler Betrieb  2002 VPN+Firewall

Vielen Dank für Ihre Aufmerksamkeit ... Reinhard Baldauf Timo Chrusciel Eno Vaso E N D E  2002 VPN+Firewall