Virtualisierung von Netzwerken in einem Universitätsklinikum unter Berücksichtigung der IT-Sicherheit – ein Paradigmenwechsel?

Dr. Bernhard Wentz und Jochen Kaiser

2

Universitätsklinikum Erlangen in Zahlen

22 Kliniken10 selbständige Abteilungen1 Institut6 zentrale Einrichtungen12 interdisziplinäre Zentren

97 Stationen (davon 13 Intensiv)29 Polikliniken109 Spezialsprechstunden

1.352 Betten (31.12.2005)55.505 stationäre Fälle (2005)166.385 ambulante Fälle (2005)

5.459 Mitarbeiter, davon 849 im ärztlichen Dienst, 1869 im Pflegedienst (31.12.2005)

3

Universitätsklinikum (Innenstadt)

AnästhesieChirurgie Med. Klinik 4

Kinderklinik

Virologie

Dermatologie

Kopfklinik

Mikrobiologie

NOZ (Med. Kliniken 1 & 2, Radiologie)

FrauenklinikMIK ZL

Verwaltung

HNO

Versorgungszentrum (Apotheke & Küche)

VerwaltungZahnkliniken

Strahlentherapie

RRZE

Verwaltung

Pathologie

Zentralarchiv

4

Administrative und Klinische IT-Anwendungssystemefür die Patientenversorgung

SAP/R3 mit FI, CO, MM, IM, etc. und IS-H

KVPERS, AZEA-WIN, AZEA-PEP, AZEA-ASS

MCC ISOP

SwissLab und Lauris, PAS, LDS C-LAB

RadCentre, SIENET, ClinicWinData, Pia

Soarian

e*Gate und viele andere Systeme

Viele Server und noch mehr Endgeräte (PCs)über ein Netzwerk verbunden

5

„Medizinisches Versorgungsnetz“Zum Betrieb der administrativen und klinischen Anwendungssysteme ist eine Vernetzung der Server und Endgeräte erforderlich

LAN (Local Area Network)

Seit Anfang der 90er Jahre sukzessive Verlegung von Netzwerkkabeln (passive Komponenten) zwischen den klinischen Einrichtungen (durch die Stadt Erlangen)innerhalb der klinischen Einrichtungen und deren Zusammenschluss durch Vermittlungsgeräte (aktiveKomponenten wie Switches und Router)

Medizinische Versorgungsnetz im Universitätsklinikum Erlangen als LAN-Infrastruktur aus passiven und aktiven Netzkomponenten „von der Netzwerk-Dose über die Kabel bis zum Vermittlungsgerät“

6

Netzwerkdose und Twisted Pair Kabel (passiv)

TP-Kabel mit RJ-45 Stecker

Netzwerkdose RJ-45 Buchse

Für Anschluss von Endgeräten

7

Patch-Feld im Netzwerkschrank (passiv)Endpunkt der Netzwerkdosen-Verkabelung

8

Switches (aktiv)Aktive Netzwerk-Komponenten

Switch-Port als aktive Schnittstelle zum Endgerät (z.B. PC)

9

Verbindung zwischen aktiven KomponentenKupferkabel-Verbindungen derzeit bis 1 GBit/s möglich (später auch 10 GBit/s)Glasfaserverbindungen bei längeren Strecken und höheren Geschwindigkeiten

10

Heterogene Netz-Infrastruktur am Universitätsklinikum Erlangen

Technologiewandel im Netzwerkbereich bedingte Verwendung unterschiedlicher Netztechnologien (Migration von FDDI über ATM nach Ethernet)

Komponenten verschiedener Hersteller (Cisco, 3Com, Fore)

Mit derzeit über 150 aktiven Komponenten verteilt über die ganze Stadt Erlangen

11

12

Schutz durch IT-Sicherheitsmaßnahmen

Motiviert durch den Anschluss des Medizinischen Versorgungsnetzes an das sog. Wissenschaftsnetz der Universität Erlangen-Nürnberg und damit ans Internet

Definition einer Sicherheitszone für das gesamte Medizinische Versorgungsnetz

Zugang zum Internet ist durch ein Firewall-System(Checkpoint Firewall 1) geschützt, d.h.:

Von „außen“ ist kein Zugang möglich (Ausnahme VPN)Von „innen“ initiiert sind nur bestimmte Standard-Dienste erlaubt (Web, E-Mail, etc.).

Organisatorische MaßnahmenKontrollierte Zugänge zu Netzwerkschränken„Policies“ für die Vermeidung von Angriffen „von innen“Konsolidierung der dezentralen Rechnerbetreuung

13

Neue Anforderungen an das NetzMedizinisches Versorgungsnetz soll erhalten bleiben

Vereinheitlichung der Netzwerktechnik und Austausch überalterter Komponenten dringend erforderlich!

Neue Netze im Umfeld PatientenversorgungZusammenschluss spezieller Medizingeräte (Intensivstation o. Modalitäten)WLAN-Backbone für Mobile Endgeräte im UniversitätsklinikumGebäudeleittechnik und Überwachung technischer Geräte (Schließsysteme, USV, Klimaanlagen, etc.)

Neue Netze für Patienten-DiensteMultimediaterminals (Internet, Fernsehen, etc.)Funknetz für Anschluss von Patienten-NotebooksFernsehen via Netzwerk inkl. Live-Übertragung GottesdienstVideo on Demand via Netzwerk

Netze für wissenschaftliche Arbeitsgruppen in der Medizin

=> Einrichtung neuer Netze (LANs)aufgrund der IT-Sicherheitsanforderungen von einander getrenntDefinition und Einrichtung von verschiedenen Sicherheitszonen!

14

Neue Netze – Neue Netz-Hardware oder Virtualisierung?

Ein neues LAN ist durch Aufbau einer neuen Infrastruktur umsetzbar (neue Dosen, neue Kabel, neue aktive Vermittlungskomponenten)

kostenintensiv

Virtualisierung: Aufbau logischer LANs auf der vorhandenen Netzwerkinfrastruktur

VLAN (Virtuelles LAN)

15

OSI-Referenzmodell

TCP

IP

Ethernet

HL7

16

Ethernet

1976 Veröffentlichung von Robert Metcalfe (Xerox)Ethernet Frame („Paket“)Zugriffsverfahren CSMA/CDDefiniert in IEEE 802.3OSI Layer 2

VerkabelungKoaxialkabel (Bus)Twisted Pair KupferGlasfaser

Geschwindigkeit10/100 MBit/s 1 GBit/sbis 10 GBit/s definiert

17

Ethernet Virtualisierung - VLAN

Beispiel: Viele private Paket-Versende-Diensten verwenden Infrastruktur der Post:

Paket ist gekennzeichnet mit Empfänger, VersenderKennzeichnung für „privates Paket-Unternehmen“

Basis der Virtualisierung: Kennzeichnung der Ethernetpakete

Ethernet Paket wird erweitert um das sog. VLAN-Tag

Erweiterung des Ethernet Protokolls

Definition in 2003 in IEEE 802.1Q

VLANs durch Konfiguration der aktiven Komponenten der selben Netwerk-Infrastruktur umsetzbar

18

Ethernet Erweiterung mit VLAN-Tag

Ethernet-Frame wird um 4 Bytes erweitert (VLAN-Tag)

VLAN-Tag enthält u.a. die Nummer des VLAN (VLAN-ID)

Ältere Geräte können VLAN-Tag nicht interpretieren

19

VLAN – Beispielkonfiguration

20

Aktuelle Netzplanung für UK Erlangen

Homogenisierung des Netzwerks

Ablösung der alten ATM- und LAN-Emulation-Strukturen durch VLAN-fähige Switches für Ethernet bis zu 10 Gigabit/s

Integration vorhandener VLAN-fähigerKomponenten

Konfiguration neuer virtueller Netzwerke durch VLAN-Technologie

21

22

IT-Sicherheit unter Berücksichtigung von VLANs

Neue VLANs Definition neuer Sicherheitszonen

Grund für Umsetzung der VLANs war Trennung, Falls Übergänge zwischen VLANs erforderlich sind,ist auch der Schutz durch ein Firewall-System notwendig.

Firewall-Schutz bei Zugang eines VLANs ins Internet

Welche neuen Probleme bringt eine VLAN-Infrastruktur mit sich?

23

Neue IT-Sicherheitsrisiken bei VLANs –Konfiguration der VLAN-Switches

Konfiguration eines Switch-PortTagged: VLAN-Tag wird weitergeschickt an eine andere aktive Komponente (Switch). Untagged: Der Switch leitet das VLAN-Tag nicht weiter. Standard Modus für den Anschluss eines Endgerätes (PC)

Risiken durch KonfigurationsfehlerEin Switchport wird fälschlicherweise als taggedkonfiguriert alle VLAN-Tags kommen beim Endgerät anKontrollinstanzen können das verhindern

24

Weitere IT-Sicherheitsrisiken bei VLANs

Höherer Komplexitätsgrad HerstellerfehlerBugs in Hard- und Software ermöglichen VLAN-Hopping

DoS Attacken Überlauf der MAC-Adressen-Tabelleeines Switches

Switches schalten dann in den Hub-Modus („Down-Grading“), alle Protokolle werden an alle angeschlossenen Netze gesendet („Flooding“)Durch Konfiguration bei neueren Switches vermeidbar.

Teil 2

Virtualisierung

Realisierungsansätze

26

Überblick Realisierung

Sicherheitsprobleme und LösungsansätzeUnautorisierter Fremdzugang zum Netzwerk

Verschlüsselungsverfahren

Authentifizierung (bei WLAN optimal gelöst)

Angriffe auf die Netzinfrastruktur/Bugs in den Netzprodukten

„Sicherheit“ wird gleichberechtigtes Paradigma

Intrusion Prevention Systeme als Ergänzung zum Firewalling

Fehlkonfiguration des Netzwerks

Qualitätssicherung (durch automatische Verfahren)

durch automatische Richtlinienüberwachung

Ergänzende organisatorische Maßnahmen

Ausbildung

Richtlinien für Dienstbetreiber

27

Umsetzungsform 1: Getrennte Komponenten

switch

switch

Firewall

switch switch

Geteilte Komponenten

Einzelkomponenten

28

Umsetzungsform 2: Geteilte Komponenten

switch switch

switch

Firewall

29

Vorteile der Virtualisierung anhand von Beispielen: Mobile Systeme

Mobile Systeme: Laptopsysteme, Palmtops etc.

Mobile Systeme werden auf Dienstreisen oder auch zu Hause in unsicheren Netzen betrieben

Keine administrative Kontrolle durch das MIK

Gefahrenpotentiale:Verteilung von Malware

Mögliche Absicherung: eigenes Laptopnetz als private VLAN realisiert

30

Vorteile der Virtualisierung anhand von Beispielen: Wissenschaftliche Mitarbeiter

Wissenschaftliche Mitarbeiter sind oftmals nicht Angestellte desUniversitätsklkinikums sondern der Universität!

kein Zugriff auf Patientendaten erlaubt!

Aber: Ein Schwerpunkt des Universitätsklinikums ist ForschungIntegration und Unterstützung

Ganze Institute der Universität sind im bzw. wollen in das Kliniknetz

Gefahrenpotential:Unberechtigter Zugriff auf das KliniknetzVerbreitung von Malware

31

Vorteile der Virtualisierung anhand von Beispielen: Kooperation mit Institutionen

Bestehende Partnerschaften & InteressentenISI KfH SoarianprojektgruppeTeststellungen mit Support von Firmen

Gefahrenpotential:Unberechtiger Zugriff auf das Intranet/PatientendatenVerteilung von Malware

Absicherung durch zwei Firewallsysteme:KlinikumPartner

32

Vorteile der Virtualisierung anhand von Beispielen: Modalitäten/Medizingeräte

Modalitäten/Medizingeräte können nicht ausreichend abgesichert werden (Aktualisierungen/Virenschutz)

Modalitäten werden zweckentfremdet benutzt:MailnutzungSonstige medizinische Applikationen

Anfällig für Malware-Infektionen (Würmer)

Schutz der Modalitäten durch ein Spezialnetz mit Firewallschutz

33

Vorteile der Virtualisierung anhand von Beispielen: Telemedizinnutzung

Vermehrtes Interesse an Telemedizinprojekten:Stroke-UnitsTempobay

Fragestellung: wo müssen die entsprechenden Serverkomponenten platziert werden?Zentral oder Dezentral?

Demilitarisierte Zonen im Kliniknetz

34

IT-Sicherheitsmaßnahmen für VLANs

Aufrechterhaltung der Integrität der aktiven Komponenten Trennung der VLANs muss gewährleistet sein

Intensivierung Konfigurationsmanagement:Sicherheitsverletzungen durch Fehler in der Netzwerkverwaltung schnellstmöglich korrigieren

VLANs unterschiedlicher Sicherheitszonen müssen voneinander durch Firewalls getrennt werden.

Übergänge zum Internet müssen grundsätzlich durch Firewall-Systeme geschützt werden.

Netzwerk-Infrastruktur des UK Erlangen muss durch technische aber auch organisatorische Maßnahmengeschützt werden.

35

Alternative Konzepte für Virtualisierung

Nutzung von IPSEC-Technologie um für bestimmte Anwendergruppen virtuelle Netzbereiche zu erstellen. Nachteile: hoher Konfigurationsaufwand, Fehlermanagement, Performanceeinbußen

MPLS (VPNs im Backbone) helfen nur bedingt, da Komponenten im Accessbereich auch wieder gemeinsam genutzt werden.

Umsetzung von virtuellen Netzen auf höheren OSI-Ebenendurch noch zu entwickelnde Protokolle unter Nutzung des Basis-Netzwerkes lediglich als Trägernetzwerk (ApplicationGateways etc.)

36

Zusammenfassung

Im Zuge der Erneuerung und Homogenisierung der Netzwerk-infrastruktur wird die Basis für die übergreifende Einrichtung von VLANs im Universitätsklinikum Erlangen erstellt.

Zusätzlich zum Medizinischen Versorgungsnetz, das auch als VLAN umgesetzt werden soll, werden weitere Netze als VLANs für neue Dienste eingerichtet.

Für die VLANs werden unterschiedliche Sicherheitszonendefiniert und geeignete IT-Sicherheitsmaßnahmen getroffen - abhängig von Aufgaben und Funktion des jeweiligen Netzes

Bei Zugang eines VLANs zum Internet und bei Kommunikation zwischen VLANs werden geschützte Übergange realisiert.

37

Unser Dank geht anHerrn Uwe Hillmer

Herrn Peter Brall

Vielen Dank

für Ihre

Aufmerksamkeit! ☺