Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, Göttingen Fon: Fax: von Neue VPN Gateways bei der GWDG Andreas Ißleiber

2 VPN Gateway, Hardware, Daten VPN Gateway, Hardware, Daten 2 x CISCO ASA 5520, 1 x ASA 5510

3 VPN Gateway, Software Clients The Cisco VPN Client supports: Windows : XP, Vista (x86/32-bit only), and Windows 7 (x86/32-bit only); Windows x64 (64-bit) support requires Cisco AnyConnect VPN ClientCisco AnyConnect VPN Client Linux (Intel) Mac OS X 10.x & 10.x Solaris UltraSparc (32 and 64-bit) iPhone/iPod Web-VPN (SSL) ShrewSoft VPN-Client für 64-Bit Systeme AnyConnect Client (JAVA basierend)

4 VPN-Gateway, VPN-Session Institutsnetz (GÖNET) unverschlüsselt Internet GÖNET- Firewall (FW) verschlüsselt VPN-Gateway verschlüsselt IP-Adresse des Benutzers: (beliebiger Provider) Zugewiesene IP-Adresse des VPN-Tunnels: Benutzer IP-Pool: verschlüsselt Benutzer Integrierte Firewall

5 VPN Gateway, Realms RealmPool-StartPool-EndSubnetmask ad-service dfn exmed gwdg gwdg.de gwdg-stud stud.uni-goettingen.de ipam mbpc mpibpc oracle service sub telework goemobilenone Realms und IP-Pools:

6 VPN Gateway, Besonderheiten, lokale Einstellungen Local Lan Access/Split Tunneling & Firewalleinstellungen: Verschlüsselter IPSec Tunnel Benutzer IP Client: IP-VPN Client: Institutsnetz (GÖNET) VPN Gateway DSL-Router des Benutzers IP: Internet/Provider Lokaler Rechner IP: Firewalleinstellungen: Prot. 50/51 (o. IPSec PathThrough) UDP Port 500 UDP Port TCP Port 4500 TCP Port !rückwärts!

7 vpn2.gwdg.de ( ) CISCO-ASA-5520 Port2Port6Port8 Failover Verbindung failover (GE 0/3) extern (GE 0/0) goemobil e (GE 0/1) gr-gwdg1 (Gi 4/14) Port10 ip route Management (management0/0) GÖNET (Internet) S0775-L5-01 ( ) vpn1.gwdg.de ( ) CISCO-ASA-5520 Port1 Port24 Port5 Management (management0/0) Port7 Extern (GE 0/0) goemobil e (GE 0/1) failover (GE 0/3) Port9 VPN Gateway, Anbindung, Redundanz Schrank L5

Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, Göttingen Fon: Fax: von vpn1.gwdg.de ( ) CISCO-ASA-5520 Port24 Management (management0/0) VPN Gateway Struktur (Routing, MBPC) Extern (GE 0/0) goemobil e (GE 0/1) gr-gwdg1, GWDG Router GÖNET (Internet) gr-mbpc1 (MBPC Router) ip route interface Vlan208 (MBPC) description VLAN Biophysikalische Chemie ip address secondary ip address secondary ip address secondary ip address secondary ip address secondary ip address secondary ip address secondary ip address secondary ip address secondary ip address secondary ip address secondary ip address secondary ip address secondary ip address secondary ip address secondary ip address (vlan 249) (vlan 23) ip route (outside) x.x (diverse Abteilungen) (DNS Server) ip route default ip route default PC mit VPN Client (MBPC) IP Pool: DNS: (vpn.gwdg.de) MBPC Firewall Internet Local LAN Access für: / /

AnyConnect Client: Java basierter Client Kann den CISCO VPN Client ersetzen SSL (nicht IPSec) Geringerer Durchsatz Sehr einfache Installation (nahezu alle OS …auch 64Bit) 9

10 WebVPN (SSL): - Gruppenabhängiges Layout … & Rechtevergabe - Vordefinition von URLs - Zugang zu digital libraries - Portalfunktionalität - Zugang via RDP, VNC, SSH, Telnet, NFS, CIFS

WebVPN (SSL): Laufwerksverbindung (CIFS) 11

VPN Gateway, Einwahl, Statistiken Spitzenwert bislang: 276 User via IPSec (parallel) 47 User via SSL VPN (parallel) Anteil Studierende > 75 % Größte Nutzergruppe: GoeMobile 12

Details zu IPSec und weiteren Verschlüsselungsverfahren Vorträge Security Workshop GWDG VPN 2003Security Workshop GWDG VPN 2003 Weitere Planungen: Inbetriebnahme einer weiteren ASA 5510 als WebVPN (SSL) Konfiguration einer passiven Redundanz mit dem zweiten VPN Gateway (ASA 5520) 13

14 CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL … Fragen Vielen Dank! und Diskussionen! ? ?