Inhalt:
Zieldefinition Erforderliche Komponenten Integrierbarbeit; Abbildung in bestehende Strukturen Sicherheit Der „Client“ Datenfluss im gesicherten Verwaltungsumfeld Zusammenspiel aller Komponenten am Beispiel: GWDG in Göttingen Betriebssystem- & Softwareverteilung Zukunft, Ausblicke, Erweiterungen
5/2003Andreas Ißleiber
Sicherheitsarchitektur für Verwaltungsdatenverarbeitung
in Hochschulnetzen
A.Ißleiber, H.Koke, H.Sheikhikhou
Sicherheitsarchitektur für Verwaltungsdatenverarbeitung
in Hochschulnetzen
5/2003
Andreas Ißleiber
Unsere Ziele:
1) Sicheren Zugang zu zentralen Verwaltungsdiensten
Ausfallsicherheit, Redundanzen schaffen
Zentralisierung der Sicherheitsrichtlinien
2) Integrierbarkeit in bestehende Strukturen
Kosteneinsparung durch Nutzung existierender Netzstrukturen
Erweiterbarkeit, Anpassung an wachsende Bedürfnisse
3) Einfaches, zentrales Management
Zentrale Benutzerführung
Softwareverteilung
Vereinheitlichung, hinsichtlich der Clients Standards bilden
Vereinfachung der Pflege von Verwaltungssoftware
Sicherheitsarchitektur für Verwaltungsdatenverarbeitung
in Hochschulnetzen
5/2003
Andreas Ißleiber
Erforderliche Komponenten:
1) Zentraler Terminalserver, der die Anwendungen zur Verfügung stelltsowie den Zugriff auf das Internet erlaubt
2) Directory Service für zentrale Benutzerauthentifizierung und Vergabe von Zertifikaten: Bsp. Microsoft ADS
3) Thin Clients als standardisiertes Benutzersystem
4) VPN-Gateways zur sicheren Datenübertragung zwischen beteiligten Institutionen (Rechenzentren)
5) Firewalls zur Absicherung zentraler, sicherheitsrelevanter Server
Sicherheitsarchitektur für Verwaltungsdatenverarbeitung
in Hochschulnetzen
5/2003
Andreas Ißleiber
Integrierbarbeit; Abbildung in bestehenden Strukturen
1.) Netzwerk
Durch Einsatz von Verschlüsselungen ist der Einsatz in „unsicheren“ Netzen möglichKeine Trennung mehr zwischen Verwaltungs- und Öffentlichem Netz -> Kostenersparnis
Zugriff auf „sicherheitsrelevante“ Daten auch aus Fremdnetzen möglich
2.) Anwenderrechner (Clients)
Bisherige Rechnerumgebung kann zunächst beibehalten bleiben (-> sanfte Migration) Lokale Anwendungen bleiben erhalten Ziel ist die zentrale Verteilung von Betriebssystem und Software
3.) Server
Zentraler Terminalserver: Verwaltungs-Server müssen lediglich Zugriff vom Terminalserver erlauben
4.) Accounts
Bestehenden Accounts werden direkt in ein modernen Directory Service integriert Einsatz eines Metadirectory bei unterschiedlichen Quell-Systemen -> „Single Sign-On“
Sicherheitsarchitektur für Verwaltungsdatenverarbeitung
in Hochschulnetzen
5/2003
Andreas Ißleiber
Sicherheit:
1.) Absicherung der Datenübertragung
Durch Einsatz von VPN-Gateways wird die Kommunikation zwischen den Diensteanbietern gesichert
Der Anwender PC (Thin Client) baut eine verschlüsselte Sitzung zum TS auf (RDP 5.x) Personal Firewall schützt Client vor unerlaubten Zugriffen Zentrale Richtlinienverwaltung für Personal Firewalls Zentrale Firewalls reduzieren Zugriffe auf „erlaubte“ IP-Adressen
2.) Absicherung des Anwenderrechners (Clients)
Jeder Rechner besitzt ein eigenen Virenscannermit täglichen Aktualisierungsanfragen für neue Virensignaturen
Zugriff auf elementare Sicherheitsprogramme (Firewall, Virenscanner) ist dem Benutzer nicht möglich
Bei Einsatz von ADS -> Einschränkung des Zugriffs über Gruppenrichtlinien Servicepacks/Updates der BS automatisiert über eigenen SUS (Software Update Server) laden
3.) Schutz vor unerlaubten Zugriff auf Verwaltungsdaten
Benutzername/Passwort-Abfrage auf Terminalserver Accounts sind im Verzeichnisdienst abgebildet SAP-Gui mit eigener Benutzer/Passwort-Abfrage Terminalserver sind durch Firewall und Virenscanner geschützt Verwendung von „privaten IP-Adressen“ für die Server
Sicherheitsarchitektur für Verwaltungsdatenverarbeitung
in Hochschulnetzen
5/2003
Andreas Ißleiber
Der Client• Standardisierte Client „Thin Client“, Embedded XP oder LINUX
Pro:- schnelle Verbreitung im Verwaltungsumfeld- geringer Wartungsaufwand- schneller, einfacher Austausch im Fehlerfall- kein Benutzereingriff auf lokales System erforderlich/möglich- prinzipbedingt keine lokale Speicherung von Verwaltungsdaten
Contra:- geringere Flexibilität bzgl. lokalen Anwendungen- Einsatz lokaler Virenscanner und Personal Firewalls schwer möglich
• Standardcomputer (PC) als ClientPro:
- Nutzung bestehender Systeme (sanfte Migration)- lokale Anwendungen können genutzt werden- einfachere Integration von Zertifizierungssystemen (Smartcard,
USB)Contra:
- Anfälliger auf Viren wg. lokalen Anwendungen- höherer Wartungsaufwand- Mehr Angriffspunkte für Manipulation des Anwenders am lokalen
System
Thin Clients
PCSmartcard Leser
Terminalserver
SAP-Server
UNI Netz (GÖNET)
Internet
MS Active Directory
1
23
4
56
7
Verwaltung imInstitut 1
Verwaltung imInstitut 2
Verwaltung imInstitut 3
2
8
Verbindung zum Internet
Verschlüsselte Übertragung
Datenfluss im gesicherten Verwaltungsumfeld
Sicherheitsarchitektur für Verwaltungsdatenverarbeitung
in Hochschulnetzen
5/2003
Andreas Ißleiber
(1) Client baut eine verschlüsselte Verbindung auf
(4) Verbindung wird durch ein „unsicheres“ Netz geführt
(5) Eine Terminalserversitzung wird aufgebaut: Dabei werden Bildinformationen
verschlüsselt zum Client geschickt
(6) Benutzername/Passwortwird gegen MS AD geprüft
(2) PC-Client kann nebender TS Sitzung auch lokale
Anwendungen nutzen und eineVerbindung zum Internet
herstellen
(3) Alternative Authentifikation über Smartcards
(private Schlüssel)
9
Mailserver
(8) Client kann über TS ins Internet ggf. Sicherheits-problem -> weiterer TS (9) nutzt Mailserver
SUS Server RIS Server
(10) Einsatz optionale Komponenten:- SUS, Software Update Server
- RIS, Remote Installation Server
10
(7) Client kann Anwendungenauf dem TS nutzen
z.B. eine SAP Sitzungzum SAP-Server
aufbauen und lokal drucken
(1) Client baut eine verschlüsselte Verbindung auf
(4) Verbindung wird durch ein „unsicheres“ Netz geführt
(5) Eine Terminalserversitzung wird aufgebaut:Dabei werden Bildinformationen
verschlüsselt zum Client geschickt
(6) Benutzername/Passwortwird gegen MS AD geprüft
(2) PC-Client kann nebender TS Sitzung auch lokale
Anwendungen nutzen und eineVerbindung zum Internet
herstellen
(3) Alternative Authentifikation über Smartcards
(private Schlüssel)
(8) Client kann über TS ins Internet ggf. Sicherheits-problem -> weiterer TS (9) nutzt Mailserver
(10) Einsatz optionale Komponenten:- SUS, Software Update Server
- RIS, Remote Installation Server
(7) Client kann Anwendungenauf dem TS nutzen
z.B. eine SAP Sitzungzum SAP-Server
aufbauen und lokal drucken
5/2003
Andreas Ißleiber
s 0 I
S
4
(1) Clients: Teilweise "Thin Clients" oder PC mit Terminalserver Client
(2) Zentrale Terminalserver und Redundanz, stellen die Anwendungen (MS .net 2003)
(3) Zentraler Verzeichnisdienst (Active Directory); Accounts(4) VPN-Gateways zur sicheren, verschlüsselten
Datenübertragung(5) Firewall zur Vermeidung von unerlaubten Zugriffen(6) Zentrale SAP Server(7) Internetzugang
Cisco 12000SERIES
WIN-Router
SCisco 3600 SERIES
VPN Gateway 3030
Cisco 7500SERIES
GÖNET Router
Cisco 7500SERIES
GÖNET Router
Cisco 7500SERIES
GÖNET Router
Internet
CISCO PIX 525
SCisco 3600 SERIES
VPN Gateway 3030
SCisco 3600 SERIES
VPN Gateway 3030
Ethernet Switch
GWDG
MRZ
DV der UNI
VPN-Tunnel
Firewall
2/2003, A.Issleiber (GWDG)
SAP-Server
ca. 300 Clients
MicrosoftActive Directory
MicrosoftActive DirectoryRedundanz
Sichere, verschlüsselte Verbindungenzwischen den Institutionen
über ansich unsichere Netze
Terminalserver
Clients
Clients
1
1
1
6
23
4
4
4
5
7
Zusammenspiel aller Komponenten am Beispiel: GWDG in Göttingen
Sicherheitsarchitektur für Verwaltungsdatenverarbeitung
in Hochschulnetzen
Sicherheitsarchitektur für Verwaltungsdatenverarbeitung
in Hochschulnetzen
5/2003
Andreas Ißleiber
Betriebssystem-, Softwareverteilung
Client mit PXE-Netzkarte (Preboot EXecution Environment)
CD- oder RIPrep-Image Remote Installation PREParation
RIS- und DHCP-Server
(4) Der Client nimmt Verbindung zum Startserver auf und lädt den Clientinstallations-Assistenten
(CIW) herunter
4
(5) Nach Authentifizierung wird das Image heruntergeladen
5
(6) Nach Abschluss der Installation ist der Client in der Domäne eingefügt. Der Benutzer kann sich mit
seinem Domänenkonto am Clientcomputer anmelden und bekommt, den Gruppenrichtlinien
entsprechende, Rechte.
6
(1) RIS Client startet, Bootvorgang von Netzkarte oder Diskette
1(2) DHCP Broadcast des Client. Als Antwort wird
u.A. die IP des RIS-Servers übertragen
2Erweiterung DHCP mit IPdes RIS Servers
(3) PXE Karte erzeugt Nachfrage beim RIS-Server
3
Sicherheitsarchitektur für Verwaltungsdatenverarbeitung
in Hochschulnetzen
5/2003
Andreas Ißleiber
Zukunft, Ausblicke, Erweiterungen
1. Einführung von Authentifizierung nur! über Zertifikate
2. Zertifikate über Smartcard oder USB Sticks
3. Einrichtung einer CA und Vergabe von Benutzer-Zertifikaten: Bsp. Microsoft ADS
4. Einrichtung eines Metadirectories im heterogenen Umfeld
5. Einsatz von „NLB“ „Network Load Balancing“ für Terminalserver, damit Redundanz und hohe Verfügbarkeit geschaffen werden kann
Vielen Dank!
Sicherheitsarchitektur für Verwaltungsdatenverarbeitung
in Hochschulnetzen
5/2003
Andreas Ißleiber
Zeit für ...
Fragen & Diskussionen
Vortrag im Netz:
http://www.gwdg.de/~aisslei/vortraege/dv-netz.ppt
eMail: [email protected]
? ??
?
? ?
??
??? ?
?
?
?