VPN Client-Probleme in der Praxis (am Beispiel einer Schweizerischen Grossbank)

Transkript

1 VPN Client-Probleme in der Praxis (am Beispiel einer Schweizerischen Grossbank) Pietro Brossi Studiengangleiter Kommunikation & Informatik Dozent für Kommunikation, IT-Strategie und Software Pakete Zürcher Hochschule Winterthur Überblick / Thematik Gliederung Präsentation a) Business-Anforderungen und Rahmenbedingungen b) Konzeptionelle Architekturen der Lösungsansätze, technische Elemente und Background Informationen c) Praxisbeispiel REMAX v6 d) Technische Konzeption und Kommunikations-Architektur e) Problemzonen/ Support-Schwierigkeiten/ Benützererfahrungen f) Alternative Lösungen / Sicherheitstechnische Aspekte g) Verbesserungspotentiale und Ausblick

2 Business Anforderungen Management / Standard Bankers Zugriff auf , Kalenderfunktionen und Planungstools / Reiseinformationen Abfragen auf Intranet Web-/Informationsdienste Börsen- und Devisenkurse / Handelsinformationssysteme Spezielle Applikationen im Tätigkeitsbereich des Management Keine Kundendaten / Kontoinformationen Mobile Computing - The Facts Pflichtenheft aus Sicht IT / Security Officer Remote Access Policy für alle Benützer Ein standardisiertes Notebook Modell Tauglich für mehr als 4'000 Notebook-Benützer Smartcard Integration (Cryptocard mit PKI) Mind. 10'000 online-stunden pro Monat Thin Clients / One Click Client (easy use) Globale Zugriffskontrolle und Überwachung (24 x 7 x 360), zentrale User-Administration in Zürich

3 XX GD SUSANNE MUSTER Mobile Computing - Requirements User Requirements Ease of Use Business Requirements Cost Effective IT Requirements Standards Security Requirements Authentication Mobile Support Working Tool Release Integration Smartcard Support Broadband Support Worldwide Access DMZ Integration Encryption Low Cost Charging 7 / 24 Availability High Availability Access Control 7 / 24 Support Process Integration IPSEC Standard Full Integration Investment Cost Audit Trail SLA Service Level Operation cost PC Security National/Internat. Ease of use Functionality Standards Security Globale PKI Infrastruktur CRL & Certificate Status Service LDAP Directory Services Server & Directory (Windows Active Directory) CA / IT Security Dep A Dep B HR HR HR SmartCard Interface (SCI) SmartCard User Authentication Local Administration per Center/Region Local Administration per Center/Region

4 Smartcard Infrastruktur Certificate Authority Card Information Server Authentication with RA card PIN mailer new User Registration Smartcards Issuer Certificate DB Certificate Automatic Password handover = = or PASS User Technische Implementierung Bei den VPN Gateways werden die Verbindungen mittels der von der Bank zur Verfügung gestellten Entrust PKI Infrastruktur authentisiert. Um die Administration der Benutzer möglichst einfach und zentral verwalten zu können, werden diese in einem LDAP Verzeichnis ausgelagert. Das VPN Gateway überprüft mittels Trust Chain (Smartcard basierend) und CRL-Liste die Gültigkeit des sich anmeldenden Benutzers. Aus sicherheitsrelevanten sowie organisatorischen Gründen wurde der Betrieb der VPN Gateways und die Benutzeradministration getrennt. Wurden die Benutzer erfolgreich authentisiert, wird diesen anhand ihrer persönlichen Berechtigung und ihres momentanen Standortes der Zugriff auf die internen Server erlaubt.

5 User Authentication - Entrust API Model GSS-API, PKCS#11, PKCS#7, PKCS#15, MS-CAPI,... legacy application SSO-Ready applications Entrust Engine LDAP, OCSP certs, CRL update Directory Scripting IT_SecBase Certificates Private Keys UserID/PWD PIN's Für VPN-Lösungen wären auch möglich: Certificate Management Protokoll CMP (RFC 2510/2511) Simple Certificate Enrollment Protokoll SCEP (PKCS#10) Web-Based via SSL (PKCS#12) Security Konzept DMZ VPN Gateways Paketfilter Firewall Internal VPN Management International CA LDAP Server User Smart Card RAS

6 Übersicht Kommunikation Technische Komponenten Zentral sind drei Check Point VPN Gateways installiert (Sun R-280 Hardware, Solaris 8). Nahezu 4000 Notebooks sind mit Check Point VPN-1 SecureClient und deren darin integrierten Desktop Firewall ausgerüstet. Zwei der zentralen VPN Gateways terminieren die VPN Kommunikation der Remote Notebooks aus dem Internet und eine den Zugang von Seiten internationaler Benützer. Dabei werden analoge, digitale und mobile Transportmedien, sowie auch LAN, ADSL und CableModem Anbindungen unterstützt.

7 Remote Access Prinzip Schema Remote Access 1 2 Providernet Internet ADFSA IPSEC / VPN Tunnel PKI Authorisation 7 DMZ 8 Corp. Network Lösungsansatz Mit dem Projekt NewM@x (REMAX v6) sollte eine an die Grenzen gestossene Remote Access Lösung modernisiert und abgelöst werden, die aber eine gute Benützerakzeptanz hat. WLAN soll als weitere Option geprüft werden. Die Sicherheit dieser Lösung wird zusätzlich erhöht, indem vor- respektive nachgelagerte DMZ Firewalls verschiedener Hersteller durchlaufen werden. Um auf Daten Server zuzugreifen, welche dem schweizerischen Bankengesetz unterstehen, muss der Benutzerstandort (VPN Endpunkt) eindeutig der geographischen Schweiz zugeordnet werden können. Über "Access Control" werden (je nach Benutzer und geografischem Standort) unterschiedliche Zugriffsrechte auf interne Daten / Applikationen gewährt.

8 Technische Problemzonen (Projekt) Integrationsprobleme mit dem Bank-internen LAN Release Management und den Software- Verteilungszyklen Hohe Kosten durch komplexes System-Engineering und intensive Testverfahren CRL + PKI Anbindung musste mehrmals optimiert und verbessert werden (operationelle Aspekte, Komplexität des Gebrauchs von VPN, Chipcards) WLAN Technologie mittelfristig unumgänglich aber komplex und mit grossen Sicherheitsrisiken Internationale Rollout Szenarien unklar (rechtlich) Problemkreise aus Sicht Benützer Software Instabilitäten unter NT 4.0, teilweise auch Win2000 Fehlerhafte Treiber und Probleme nach SW-Updates Benützer Authentifizierung oft schwierig und fehlerhaft Schmutzige Chipkarten verhindern korrektes Einlesen des PKI- Schlüssels Gesperrte Chipkarten können in off-site Standorten nicht entsperrt werden Unzuverlässige Telekommunikationsübertragungen, schlechte oder häufig unterbrochene Links (vor allem mit analog Modems) Überlastung der Modembank beim RAS-Server (dial-in point) Falsche Einstellungen bei den Benützer-Standards oder verstellte Parameter durch fehlerhafte Benützereingaben Fehlender Support bei grossen Zeitzonenverschiebungen

9 HelpDesk / Support-Probleme / Kosten Ca. 30 HelpDesk Anrufe pro Monat Probleme derzeit meistens im Zusammenhang mit xdsl Diensten und Geräten, die zuhause installiert sind oder wegen inkompatiblen Modems Maximal 60 parallele Sessions auf dem RAS Server Verfügbarkeit von 99.9x % durch redundante Auslegung der kritischen Komponenten CHF 40.- flat-fee pro Benützer pro Monat CHF -.40 pro Minute für Toll-free Nummer Internationale Transferraten ungenügend für heutige Benützeransprüche (zu langsam) und immer noch unzuverlässig Viele wechselnde TeleComm Anbieter im Ausland (SOHO) Vision dedizierter VPN Access Bank LAN Access Standard LAN Servers LAN LAN VPN FW carrier remote access gateway & firewall intranet LAN internet internet access Kostengünstige Lösung durch Ersatz teurer Mietleitungen Schnell, modular und flexibel ausbaubar Einsatzgebiet für Small Office, Ausstellungsevents, etc. Lösung muss innerhalb des TeleComm-Dep Service-Portfolio plaziert werden Domain Server

10 Remote Access Architektur International remote access with global Provider Access PDA Integration Data Servers Carrier / Internet Bank Notebooks Internet Demilitarized Zone intranet Bank Notebooks Domestic remote Access Swiss Carrier Carrier / Internet remote access gateway & firewall LAN UBSW WAN GAN Domain Server LAN SOHO Integration NGMC Laptops Funktionalitäten Chipkarte / Client Neuer erweiterter One Click Client Plattform für HighSpeed Integration wie CableModem, ADSL, ISDN-Bündelung Integration der neuen PKI / SmartCard Interface (SCI) und Certificate Revocation List (CRL) Lösung basiert auf neuer 32 kb Smartcard Personal-Firewall Funktion auf den lokalen Notebooks Eine standartisierte Remote Access Plattform für die unterschiedlichsten remote Anforderungen "LiveUpdate" / Phonebook update Benützer Betriebs Support & Administration Support über zentrales User Support Center

11 Techn. Optimierung der Anforderungen Breitband Unterstützung. Ermöglicht sehr schnellen Zugriff auf alle angebotenen Produkte bzw. Dienstleistungen. Remax 6 erkennt automatisch mit welchem HW-Device der Laptop/PDA gekoppelt ist. Von den jeweiligen Möglichkeiten, wird immer die Schnellste ausgewählt. Folgende Link-Arten werden unterstützt: Analog, ISDN, GSM und Breitband. HSCSD Erkennung Sofern der Zugang über GSM gewählt wird, prüft der One-Click-Client, ob das Mobiltelefon die Technologie "HSCSD" unterstützt. Triff dies zu, so wird dieser automatisch aktiviert. Dadurch sind Übertragungsraten von bis zu 43.2 kb/s möglich. Liveupdate Jedes Mal, wenn eine Verbindung mit Remax 6 aufgebaut wird, kontrolliert das Programm, ob eine aktuellere Version des Telefonbuches vorhanden ist. Falls JA, werden die lokalen Einträge aktualisiert. Personal Firewall Auf dem NGMC ist ein Personal Firewall installiert. Somit können die Laptops gegen Attacken aus dem Internet geschützt, indem neue Security-Policies nachgeladen werden. 32k Smartcard Mit Remax 6 wurde gleichzeitig eine neue SmartCard eingeführt. Sie hat die vierfache Speicherkapazität und ist nicht mehr weiss, sondern grün. Emergency Rufnummer Im Telefonbuch sind Emergency Rufnummern gespeichert. Diese befinden sich immer zuoberst im Telefonbuch. Diese verwendet man, falls keine der anderen Rufnummern funktioniert. Extrem hohe Kosten, da diese Nummern jedes Mal direkt die Zentrale in der Schweiz anwählen! One Click Client Ergonomischer One Click Client 4 stufiges Connection Setting Menu automatische Device-Erkennung Live Update für aktuelle Tel. Nummern Broadband Integration Integrierte HelpFunktion

12 Aktuelle Applikationen Kalender / Terminplanung Web-Server (Intranet Informationen) Bank Informationsdatenbanken, Businessprozess unterstützende Systeme Quotes / Exchange Rates / Travel Info Remote Support von Bank-internen Systemen (IT-Supporter) Desktop Firewall Um einen unerlaubten Zugriff auf den Notebooks zu verhindern, wird eine Desktop Policy auf den SecureClient geladen. Diese wird zentral von den Administratoren konfiguriert und beim nächsten Verbindungsaufbau auf dem SecureClient angepasst. Das CheckPoint VPN-1 Gateway überprüft mittels Secure Configuration Verification (SCV), ob diese Sicherheits Policy erfolgreich auf dem SecureClient installiert wurde. Trifft dies nicht zu, wird die Verbindung abgebrochen und eine Fehlermeldung im Check Point SmartView Tracker generiert. Die vordefinierte Desktop Policy erlaubt ausschliesslich verschlüsselten Verkehr zwischen dem Desktop Client und dem VPN Gateway. Der Benutzer hat keinerlei Möglichkeiten diese Desktop Policy zu verändern, zu umgehen oder auszuschalten.

13 Alternative SCG Nortel / SecureID Lösung Im internationalen Bereich eine andere (einfachere) Lösung im Einsatz Secure Communications Gateway (SCG) Extranet Access Client von Entrust mit SecureID Token (challenge-response) statt PKI Internationale toll-free Einwählpunkte dank ISP-Abkommen mit preferred Carrier RADIUS Server zur Unterstützung der Benützerindentifikation VPN-Tunnel auf Basis L2TP/IPSec (proprietär) Travel Laptop Service Projekt Spezielle Laptop Konfiguration für Berater im internationalen Einsatz Hohe sicherheitstechnische Anforderungen und zusätzliche Massnahmen zum Personen- und Datenschutz Unterstützung für Mobile-Communication Verschlüsselungsmechanismen auf HD Datenübertragung ebenfalls komplett verschlüsselt

14 PDA Visionen GPRS Nur Monitordaten über VPN Bluetooth Internet Banknet Terminal Server Web Server Pocket PC Blackberry Palm Synch Server Mail Server Der Road Warrior kann von seinem PDA Device aus über einen sicheren Kanal auf dedizierte Bank-Informationen zugreifen. User Anforderungen Technische Anforderungen Sicherheits Anforderungen Business Case Calendar Server Mobile/ PDA Vision Offene Punkte / Fragen Vielen Dank für Ihre Aufmerksamkeit!