Embed Size (px)
Citation preview
Reinhard Baldauf Timo Chrusciel Eno Vaso
Im Tunnel durch das Internet
Projektarbeit
Virtual Private Network
+
Firewallkonzept
Was ist ein VPN ?
- VPN "Virtual Private Network" - verbindet lokale Netze (Intranets) über unsichere öffentliche Netze- Rechner sind „virtuell“ wie in einem LAN verbunden
Sicherheit durch VPN:
- Authentifizierung des Kommunikationspartners- Integrität der Information (Daten sind nicht verändert worden)- Abhörsicherheit durch Verschlüsselung- Identitätsverbergung der Kommunikationspartner
2002 VPN+Firewall
Der Datentransfer zwischen den einzelnen Computern wird verschlüsselt.
Einsatzgebiet:
Hochsensible Intranet Umgebungen Für Wartungsarbeiten an Firewalls od.
Internetservern
End To End Architektur
2002 VPN+Firewall
Beide VPN-Gateway´s befinden sich permanent im Internet (z.B. Standleitung)
Einsatzgebiet:
Filialvernetzung Standortvernetzung
VPN-GatewayI
VPN-Gateway II
Site To Site Architektur
2002 VPN+Firewall
End To Site Architektur
Der VPN-Gateway befindet sich permanent im Internet, oder verbindet sich per Request zu gewissen Zeiten ins Internet.
Einsatzgebiet:
Teleworker Aussendienstmitarbeiter
VPN-Gateway
2002 VPN+Firewall
Was sind die Vor- und Nachteile eines VPN ?
• Kostenersparniss • große Verfügbarkeit und Reichweite • hohe Flexibilität und Skalierbarkeit • einfache (zentrale) Administrierbarkeit • bereits redundant ausgelegte Infrastruktur• VoIP ( sichere Telefonie )
• keine schriftlich garantierte Bandbreite• Aufwand zur permanenten Aufrechterhaltung der Sicherheit
2002 VPN+Firewall
Bedingungen:
- VPN-Verbindung in Site-to-Site-Architektur
- Nutzung verschiedener VPN-Gateway-Betriebssysteme
- Verwendung des IPSec-Protokolls
- Es sollte ausschließlich eine Kommunikation zwischen den zwei lokalen Netzen über den VPN-Tunnel möglich sein
Der Versuchsaufbau
2002 VPN+Firewall
Windows 2000Professional
Suse LINUX 7.3mit FreeS/WANund IPTables
Windows 2000Professional
Windows 2000Server
Der Versuchsaufbau
2002 VPN+Firewall
- Keine speziellen Verschlüsselungsalgorithmen oder Schlüsselaustauschverfahren
- Liefert nur den Rahmen für eine modulare Sicherheitsstruktur
Grundlegende Idee: - Jedes einzelne Datenpaket vor Verfälschung zu schützen und/oder zu verschlüsseln
Das Internet Security Protokoll (IPSec)
2002 VPN+Firewall
Problem Authentifizierung:
Wie kann ich erkennen, ob der Partner auf der anderen Seite auch wirklich derjenige ist, mit dem ich kommunizieren will?
(Ausweis zeigen lassen oder was?)
Lösung:
- Gemeinsamer geheimer Schlüssel (Pre-Shared-Key)
- Public-Key-Verfahren (pro Teilnehmer ein öffentlicher Schlüssel, ein geheimer Schlüssel)
- Zertifikate (digitaler Ausweis)
Das Internet Security Protokoll (IPSec)
2002 VPN+Firewall
1. Verhandlungsphase, Tunneletablierung
- Authentifizierung der Partner
- Verhandlung, welche Verfahren zur Verschlüsselung und/oder
Datenintigrität benutzt werden sollen
Protokoll:
IKE (Internet Key Exchange) /ISAKMP
2. Datenaustausch über die definierte Verbindung
Protokoll:
AH (Authentication Header) oder ESP (Encapsulating Security Payload)
Ablauf eines Verbindungsaufbaus
2002 VPN+Firewall
1. Informationen verschlüsseln2. Einpacken3. Paket schließen und versiegeln
1. Versiegelung prüfen, unbeschädigt?2. Paket auspacken3. Informationen entschlüsseln
Schematische Darstellung des Datenflusses
2002 VPN+Firewall
Darstellung unverschlüsselter/verschlüsselter Pakete
2002 VPN+Firewall
Firewall
Kommunikation• protokollieren zwischen Internet und Intranet (gängig)• kontrollieren d.h. nur unter bestimmten Bedingungen zulassen• überwachen d.h. Inhalt on-the-fly scannen (selten)
Aufgaben
• Vor Installation eines Firewalls!• accept- bzw. deny-policy Entscheidung über eine Policy-
Strategie • Kontrollmechanismen Beschreibung, was durchgelassen
wird
Policy
2002 VPN+Firewall
Risiken ohne Firewall
• Host sichtbar von Internet auf Intranets
• Port-Konzept Ein Host, viele Eingangstüren
• Sniffing ein schwacher Host gefährdet gesamtes Intranet
• Spoofing Vertrauen innerhalb Intranet (IP-Adresse) in Internet unzureichend
2002 VPN+Firewall
Risiken mit Firewall
• Zu strikte Policy Benutzer unzufrieden, gehen eventuell eigene Wege (Modems)
• Zu großes Vertrauenin Firewall Host Security im Intranet vernachlässigt
• Intranet-interne Risiken durch Firewall nicht gelöst. Host-Security!
• Black-Box Mentalität Firewall muss laufend gewartet und überwacht werden
• Anpassungsbedürftig Neuere Dienste des Internets oft nicht möglich
2002 VPN+Firewall
Einige Definitionen
• Paket-Filter: Kontrollmechanismen, die einzelne IP-Pakete durchlassen oder blockieren
• Proxy: (Stellvertreter) Application-Level-Gateways bzw. Circuit-Level-Gateways, die
Anwendungen weiterleiten
• DMZ: Netzwerk zwischen Intra- und Internet (Demilitarized zone)
• Bastion: System(e) des Firewalls, welche von Internet aus sichtbar sind (außer Router). Meistens im DMZ integriert und von dort aus Internetdienste anbietet
• Dual-homed Host: Bastion mit 2 Netzwerk-Interfaces (Gegensatz: single-homed Host)
• Wrapper: Programm, das anderes Programm “vertritt” und Zusatzfunktionen umsetzt (GUI, ...)
2002 VPN+Firewall
Paketfilter (“Screening”)
IP-PaketIP-Paket
OK
OK
deny
OK
deny
IP-Paket
IP-Paket
IP-Paket
deny = Ablehnen
Internet Intranet
Filter
IP-Paket
OK
Der Filter muss für jedes Paket getrennt und von Neuem entscheiden, ob es erlaubt oder blockiert wird, in beide Richtungen. Er sieht nur die einzelnen Pakete!
2002 VPN+Firewall
Firewall-Lösung mit Paketfiltern
Firewall
Firewall
w w w
tcp
udp
tcp
udp
Der erste Schritt: Zunächst die Brandschutzmauer so bauen, dass keine Durchkommen möglich ist. (Tools: iptables bei Linux und die Sicherheitsrichtlinie bei Windows 2000)
Alle Pakete werden einfach verworfen.
LANLAN
2002 VPN+Firewall
Firewall-Lösung mit Paketfiltern
Firewall
Firewall
w w wudp
Port 500
udp
Port 500
Der zweite Schritt: Die notwendigen Löcher in die Firewall bauen, dass die Authentifizierung des Gateways möglich ist. Einbindung an IP-Adressen und an die externen Schnittstellen.
Den Schlüsselaustausch (IKE) durch das Zulassen des UDP-Protokoll am Port 500 ermöglichen.
LANLAN
IKE= Internet Key Exchange 2002 VPN+Firewall
Firewall-Lösung mit Paketfiltern
Firewall
Firewall
w w wesp esp
Der dritte Schritt: Die notwendigen Löcher in die Brandschutzmauer bauen, dass die verschlüsselte Verbindung zwischen Gateways möglich ist.
ESP-Protokoll (Encapsulating Security Payload) zulassen.
LANLAN
2002 VPN+Firewall
Firewall-Lösung mit Paketfiltern
Firewall
Firewall
w w wesp esp
Der vierte Schritt: LOG-Protokoll einrichten. Die erstellten Firewallregeln testen. Clients bauen eine Verbindung auf. Prüfen, ob etwas anderes außer zugelassene Protokolle die Firewall durchdringen.
ESP-Protokoll wird zugelassen, alles andere wird verworfen.
LANLANVPN-Tunnel
sonstige sonstige
2002 VPN+Firewall
Firewall-Lösung mit Paketfiltern
Firewall
Firewall
w w wesp esp
Der letzte Schritt: Den normalen Betrieb überwachen. Das LOG-Protokoll auswerten.
Normaler Betrieb
LANLAN VPN-Tunnel
extern 200.0.0.1 extern 200.0.0.2
2002 VPN+Firewall
Vielen Dank für Ihre Aufmerksamkeit ...
Reinhard Baldauf
Timo Chrusciel
Eno Vaso
2002 VPN+Firewall E N D E
