Virtualisierung von Netzwerken in einem Universitätsklinikum unter Berücksichtigung der IT-Sicherheit – ein Paradigmenwechsel?
Dr. Bernhard Wentz und Jochen Kaiser
2
Universitätsklinikum Erlangen in Zahlen
22 Kliniken10 selbständige Abteilungen1 Institut6 zentrale Einrichtungen12 interdisziplinäre Zentren
97 Stationen (davon 13 Intensiv)29 Polikliniken109 Spezialsprechstunden
1.352 Betten (31.12.2005)55.505 stationäre Fälle (2005)166.385 ambulante Fälle (2005)
5.459 Mitarbeiter, davon 849 im ärztlichen Dienst, 1869 im Pflegedienst (31.12.2005)
3
Universitätsklinikum (Innenstadt)
AnästhesieChirurgie Med. Klinik 4
Kinderklinik
Virologie
Dermatologie
Kopfklinik
Mikrobiologie
NOZ (Med. Kliniken 1 & 2, Radiologie)
FrauenklinikMIK ZL
Verwaltung
HNO
Versorgungszentrum (Apotheke & Küche)
VerwaltungZahnkliniken
Strahlentherapie
RRZE
Verwaltung
Pathologie
Zentralarchiv
4
Administrative und Klinische IT-Anwendungssystemefür die Patientenversorgung
SAP/R3 mit FI, CO, MM, IM, etc. und IS-H
KVPERS, AZEA-WIN, AZEA-PEP, AZEA-ASS
MCC ISOP
SwissLab und Lauris, PAS, LDS C-LAB
RadCentre, SIENET, ClinicWinData, Pia
Soarian
e*Gate und viele andere Systeme
Viele Server und noch mehr Endgeräte (PCs)über ein Netzwerk verbunden
5
„Medizinisches Versorgungsnetz“Zum Betrieb der administrativen und klinischen Anwendungssysteme ist eine Vernetzung der Server und Endgeräte erforderlich
LAN (Local Area Network)
Seit Anfang der 90er Jahre sukzessive Verlegung von Netzwerkkabeln (passive Komponenten) zwischen den klinischen Einrichtungen (durch die Stadt Erlangen)innerhalb der klinischen Einrichtungen und deren Zusammenschluss durch Vermittlungsgeräte (aktiveKomponenten wie Switches und Router)
Medizinische Versorgungsnetz im Universitätsklinikum Erlangen als LAN-Infrastruktur aus passiven und aktiven Netzkomponenten „von der Netzwerk-Dose über die Kabel bis zum Vermittlungsgerät“
6
Netzwerkdose und Twisted Pair Kabel (passiv)
TP-Kabel mit RJ-45 Stecker
Netzwerkdose RJ-45 Buchse
Für Anschluss von Endgeräten
8
Switches (aktiv)Aktive Netzwerk-Komponenten
Switch-Port als aktive Schnittstelle zum Endgerät (z.B. PC)
9
Verbindung zwischen aktiven KomponentenKupferkabel-Verbindungen derzeit bis 1 GBit/s möglich (später auch 10 GBit/s)Glasfaserverbindungen bei längeren Strecken und höheren Geschwindigkeiten
10
Heterogene Netz-Infrastruktur am Universitätsklinikum Erlangen
Technologiewandel im Netzwerkbereich bedingte Verwendung unterschiedlicher Netztechnologien (Migration von FDDI über ATM nach Ethernet)
Komponenten verschiedener Hersteller (Cisco, 3Com, Fore)
Mit derzeit über 150 aktiven Komponenten verteilt über die ganze Stadt Erlangen
12
Schutz durch IT-Sicherheitsmaßnahmen
Motiviert durch den Anschluss des Medizinischen Versorgungsnetzes an das sog. Wissenschaftsnetz der Universität Erlangen-Nürnberg und damit ans Internet
Definition einer Sicherheitszone für das gesamte Medizinische Versorgungsnetz
Zugang zum Internet ist durch ein Firewall-System(Checkpoint Firewall 1) geschützt, d.h.:
Von „außen“ ist kein Zugang möglich (Ausnahme VPN)Von „innen“ initiiert sind nur bestimmte Standard-Dienste erlaubt (Web, E-Mail, etc.).
Organisatorische MaßnahmenKontrollierte Zugänge zu Netzwerkschränken„Policies“ für die Vermeidung von Angriffen „von innen“Konsolidierung der dezentralen Rechnerbetreuung
13
Neue Anforderungen an das NetzMedizinisches Versorgungsnetz soll erhalten bleiben
Vereinheitlichung der Netzwerktechnik und Austausch überalterter Komponenten dringend erforderlich!
Neue Netze im Umfeld PatientenversorgungZusammenschluss spezieller Medizingeräte (Intensivstation o. Modalitäten)WLAN-Backbone für Mobile Endgeräte im UniversitätsklinikumGebäudeleittechnik und Überwachung technischer Geräte (Schließsysteme, USV, Klimaanlagen, etc.)
Neue Netze für Patienten-DiensteMultimediaterminals (Internet, Fernsehen, etc.)Funknetz für Anschluss von Patienten-NotebooksFernsehen via Netzwerk inkl. Live-Übertragung GottesdienstVideo on Demand via Netzwerk
Netze für wissenschaftliche Arbeitsgruppen in der Medizin
=> Einrichtung neuer Netze (LANs)aufgrund der IT-Sicherheitsanforderungen von einander getrenntDefinition und Einrichtung von verschiedenen Sicherheitszonen!
14
Neue Netze – Neue Netz-Hardware oder Virtualisierung?
Ein neues LAN ist durch Aufbau einer neuen Infrastruktur umsetzbar (neue Dosen, neue Kabel, neue aktive Vermittlungskomponenten)
kostenintensiv
Virtualisierung: Aufbau logischer LANs auf der vorhandenen Netzwerkinfrastruktur
VLAN (Virtuelles LAN)
16
Ethernet
1976 Veröffentlichung von Robert Metcalfe (Xerox)Ethernet Frame („Paket“)Zugriffsverfahren CSMA/CDDefiniert in IEEE 802.3OSI Layer 2
VerkabelungKoaxialkabel (Bus)Twisted Pair KupferGlasfaser
Geschwindigkeit10/100 MBit/s 1 GBit/sbis 10 GBit/s definiert
17
Ethernet Virtualisierung - VLAN
Beispiel: Viele private Paket-Versende-Diensten verwenden Infrastruktur der Post:
Paket ist gekennzeichnet mit Empfänger, VersenderKennzeichnung für „privates Paket-Unternehmen“
Basis der Virtualisierung: Kennzeichnung der Ethernetpakete
Ethernet Paket wird erweitert um das sog. VLAN-Tag
Erweiterung des Ethernet Protokolls
Definition in 2003 in IEEE 802.1Q
VLANs durch Konfiguration der aktiven Komponenten der selben Netwerk-Infrastruktur umsetzbar
18
Ethernet Erweiterung mit VLAN-Tag
Ethernet-Frame wird um 4 Bytes erweitert (VLAN-Tag)
VLAN-Tag enthält u.a. die Nummer des VLAN (VLAN-ID)
Ältere Geräte können VLAN-Tag nicht interpretieren
20
Aktuelle Netzplanung für UK Erlangen
Homogenisierung des Netzwerks
Ablösung der alten ATM- und LAN-Emulation-Strukturen durch VLAN-fähige Switches für Ethernet bis zu 10 Gigabit/s
Integration vorhandener VLAN-fähigerKomponenten
Konfiguration neuer virtueller Netzwerke durch VLAN-Technologie
22
IT-Sicherheit unter Berücksichtigung von VLANs
Neue VLANs Definition neuer Sicherheitszonen
Grund für Umsetzung der VLANs war Trennung, Falls Übergänge zwischen VLANs erforderlich sind,ist auch der Schutz durch ein Firewall-System notwendig.
Firewall-Schutz bei Zugang eines VLANs ins Internet
Welche neuen Probleme bringt eine VLAN-Infrastruktur mit sich?
23
Neue IT-Sicherheitsrisiken bei VLANs –Konfiguration der VLAN-Switches
Konfiguration eines Switch-PortTagged: VLAN-Tag wird weitergeschickt an eine andere aktive Komponente (Switch). Untagged: Der Switch leitet das VLAN-Tag nicht weiter. Standard Modus für den Anschluss eines Endgerätes (PC)
Risiken durch KonfigurationsfehlerEin Switchport wird fälschlicherweise als taggedkonfiguriert alle VLAN-Tags kommen beim Endgerät anKontrollinstanzen können das verhindern
24
Weitere IT-Sicherheitsrisiken bei VLANs
Höherer Komplexitätsgrad HerstellerfehlerBugs in Hard- und Software ermöglichen VLAN-Hopping
DoS Attacken Überlauf der MAC-Adressen-Tabelleeines Switches
Switches schalten dann in den Hub-Modus („Down-Grading“), alle Protokolle werden an alle angeschlossenen Netze gesendet („Flooding“)Durch Konfiguration bei neueren Switches vermeidbar.
26
Überblick Realisierung
Sicherheitsprobleme und LösungsansätzeUnautorisierter Fremdzugang zum Netzwerk
Verschlüsselungsverfahren
Authentifizierung (bei WLAN optimal gelöst)
Angriffe auf die Netzinfrastruktur/Bugs in den Netzprodukten
„Sicherheit“ wird gleichberechtigtes Paradigma
Intrusion Prevention Systeme als Ergänzung zum Firewalling
Fehlkonfiguration des Netzwerks
Qualitätssicherung (durch automatische Verfahren)
durch automatische Richtlinienüberwachung
Ergänzende organisatorische Maßnahmen
Ausbildung
Richtlinien für Dienstbetreiber
27
Umsetzungsform 1: Getrennte Komponenten
switch
switch
Firewall
switch switch
Geteilte Komponenten
Einzelkomponenten
29
Vorteile der Virtualisierung anhand von Beispielen: Mobile Systeme
Mobile Systeme: Laptopsysteme, Palmtops etc.
Mobile Systeme werden auf Dienstreisen oder auch zu Hause in unsicheren Netzen betrieben
Keine administrative Kontrolle durch das MIK
Gefahrenpotentiale:Verteilung von Malware
Mögliche Absicherung: eigenes Laptopnetz als private VLAN realisiert
30
Vorteile der Virtualisierung anhand von Beispielen: Wissenschaftliche Mitarbeiter
Wissenschaftliche Mitarbeiter sind oftmals nicht Angestellte desUniversitätsklkinikums sondern der Universität!
kein Zugriff auf Patientendaten erlaubt!
Aber: Ein Schwerpunkt des Universitätsklinikums ist ForschungIntegration und Unterstützung
Ganze Institute der Universität sind im bzw. wollen in das Kliniknetz
Gefahrenpotential:Unberechtigter Zugriff auf das KliniknetzVerbreitung von Malware
31
Vorteile der Virtualisierung anhand von Beispielen: Kooperation mit Institutionen
Bestehende Partnerschaften & InteressentenISI KfH SoarianprojektgruppeTeststellungen mit Support von Firmen
Gefahrenpotential:Unberechtiger Zugriff auf das Intranet/PatientendatenVerteilung von Malware
Absicherung durch zwei Firewallsysteme:KlinikumPartner
32
Vorteile der Virtualisierung anhand von Beispielen: Modalitäten/Medizingeräte
Modalitäten/Medizingeräte können nicht ausreichend abgesichert werden (Aktualisierungen/Virenschutz)
Modalitäten werden zweckentfremdet benutzt:MailnutzungSonstige medizinische Applikationen
Anfällig für Malware-Infektionen (Würmer)
Schutz der Modalitäten durch ein Spezialnetz mit Firewallschutz
33
Vorteile der Virtualisierung anhand von Beispielen: Telemedizinnutzung
Vermehrtes Interesse an Telemedizinprojekten:Stroke-UnitsTempobay
Fragestellung: wo müssen die entsprechenden Serverkomponenten platziert werden?Zentral oder Dezentral?
Demilitarisierte Zonen im Kliniknetz
34
IT-Sicherheitsmaßnahmen für VLANs
Aufrechterhaltung der Integrität der aktiven Komponenten Trennung der VLANs muss gewährleistet sein
Intensivierung Konfigurationsmanagement:Sicherheitsverletzungen durch Fehler in der Netzwerkverwaltung schnellstmöglich korrigieren
VLANs unterschiedlicher Sicherheitszonen müssen voneinander durch Firewalls getrennt werden.
Übergänge zum Internet müssen grundsätzlich durch Firewall-Systeme geschützt werden.
Netzwerk-Infrastruktur des UK Erlangen muss durch technische aber auch organisatorische Maßnahmengeschützt werden.
35
Alternative Konzepte für Virtualisierung
Nutzung von IPSEC-Technologie um für bestimmte Anwendergruppen virtuelle Netzbereiche zu erstellen. Nachteile: hoher Konfigurationsaufwand, Fehlermanagement, Performanceeinbußen
MPLS (VPNs im Backbone) helfen nur bedingt, da Komponenten im Accessbereich auch wieder gemeinsam genutzt werden.
Umsetzung von virtuellen Netzen auf höheren OSI-Ebenendurch noch zu entwickelnde Protokolle unter Nutzung des Basis-Netzwerkes lediglich als Trägernetzwerk (ApplicationGateways etc.)
36
Zusammenfassung
Im Zuge der Erneuerung und Homogenisierung der Netzwerk-infrastruktur wird die Basis für die übergreifende Einrichtung von VLANs im Universitätsklinikum Erlangen erstellt.
Zusätzlich zum Medizinischen Versorgungsnetz, das auch als VLAN umgesetzt werden soll, werden weitere Netze als VLANs für neue Dienste eingerichtet.
Für die VLANs werden unterschiedliche Sicherheitszonendefiniert und geeignete IT-Sicherheitsmaßnahmen getroffen - abhängig von Aufgaben und Funktion des jeweiligen Netzes
Bei Zugang eines VLANs zum Internet und bei Kommunikation zwischen VLANs werden geschützte Übergange realisiert.