Sicheres WLAN mit Open Source

Transkript

1 Jürgen Quade/ Michael Becker hsnr.de t-online.de Hochschule Niederrhein 1

2 Inhalt 1. WLAN: Chancen und Risiken 2. Systemarchitektur und die Zutaten 3. Anspruchsvoller Aufbau 4. Einfach nutzen Einfach betreiben Fazit und Ausblick 2

3 WLAN: Chancen und Risiken Einführung Chancen: Kabellos ins Internet. Kabellos ins Firmennetz (Intranet). Standortunabhängigkeit. Risiken: Funkverkehr ist abhörbar (unsicher!!!). Zugang nicht nur für Berechtigte. 3

4 Sicherung Einführung Privat (und wenig sensible Daten): WEP-Verschlüsselung. WPA. MAC-Adresse als Zutrittskontrolle (Autorisierung). Kommerziell (Stand 2005): VPN. Nur VPN. Wirklich nur VPN. 4

5 Virtual Private Network - VPN Einführung Sichere Kommunikation über unsichere (öffentliche) Kommunikationswege. Daten werden getunnelt. VPN Mechanismen: Authentifizierung. Autorisierung. Kryptografie (Verschlüsselung). 5

6 IPSec Einführung Protokoll, welches die Eigenschaften eines VPN erfüllt. IP-Standard (Protokoll AH und ESP). Interoperabilität (Windows, Linux, MacOS X, BSD-Varianten). Komplexität versus Flexibilität: Verschiedene Authentifizierungsmechansimen. Verschiedene Verschlüsselungsmechanismen. Tunnel- und/ oder Transport-Modus. 6

7 Technische Lösung: VPN (IPSec) Einführung Kommerzielle Lösung Teuer! Abhängigkeit zum Hersteller und Lieferanten. Meist nur Internet oder Intranet. Open Source Lösung Minimale Kosten für Hard- und Software. Preiswerte Wartung. Als Errichter ist Know-How notwendig. Umständliche Konfiguration des Windows-OS. 7

8 Systemarchitektur und die Zutaten 8

9 Notwendige Komponenten Systemarchitektur Access-Points. VPN-Gateways (Übergabepunkt zwischen Client und Inter-/ Intranet). Linux-PC (IPSec, Iptables, StrongSwan). Public Key Infrastructure (PKI). OpenSSL. OpenCA. Clientsoftware (insbes. Windows). IPSOne. 9

10 System aus Sicht des Nutzers Systemarchitektur 10

11 System aus Sicht des Nutzers Systemarchitektur unsicher sicher 11

12 Hardwareausstattung Systemarchitektur Handelsübliche WLAN-Access-Points Szene-Gadget. Preis: ~65 / Stück. Linux-Betriebssystem!!! 11 Mbit und 54 MBit. 12

13 Hardwareausstattung Systemarchitektur VPN-Gateway diskless PCs Linux-Systemsoftware auf CDROM 2.4 Ghz Taktfrequenz 512 Mbyte Hauptspeicher 2 Netzwerkkarten (Router) 13

14 Anspruchsvoller Aufbau 14

15 Aufgaben des Errichters Sicht des Errichters Netzplanung (Struktur, IP-Adressbereiche). Access-Points konfigurieren. IP-Adresse DHCP Firewall VPN-Gateways installieren. eventuell mastern einer Live-CD PKI aufsetzen. 15

16 Netzplanung Sicht des Errichters Vollvermaschung: Von jedem AP aus ist jedes VPN-Gateway zu erreichen. (Privaten) IP-Adressbereich auswählen Ein Class C Netz verbindet die Infrastrukturkomponenten Access-Points und VPN-Gateways Jeder AP verteilt IP-Adressen aus einem eigenen Class C Netz 16

17 Sicht des Errichters Die WLAN-Infrastruktur verwendet das Netz: / 16 17

18 Netzplanung Sicht des Errichters Access-Point konfigurieren Name (einheitlicher Namensraum bestehend aus waran + Class-C-Netz + Standort) IP-Adresse Firewall DHCP-Server 18

19 VPN-Gateway Sicht des Errichters Notwendige Softwarekomponenten: z.b. Knoppix/ Debian Kernel 2.4 iptables StrongSwan IPSec-Konfiguration (inklusive Zertifikate) Firewall- und Router-Konfiguration 19

20 VPN-Gateway Sicht des Errichters Zusätzlich an der Hochschule Niederrhein Lösung als VPN-Gateway on CD (Live-CD) Auto-Update Konfigurationssystem (auf der gleichen Live-CD, Dual-Boot) 20

21 VPN-Gateway: Firewall-Konfiguration Sicht des Errichters Zum Beispiel: http (per transparent Proxy) https smtp/ smtps ssh passive ftp pop3/ pop3s imap/ imap3 smtp dns icmp (ping) 21

22 Public Key Infrastructure (PKI) Sicht des Errichters Zwei Komponenten: Registration Authority (RA) Zur Entgegennahme von Anträgen auf Ausstellung eines Zertifikats Certification Authority (CA) Zur eigentlichen Erstellung der Zertifikate (insbesondere um das Zertifikat digital zu unterschreiben). 22

23 Public Key Infrastructure (PKI) Sicht des Errichters Problembereiche einer PKI: Berechtigungsprüfung der Antragsteller. Erstellung der Zertifikate und des privaten Schlüssels (priv. Schlüssel sollte beim Antragsteller erzeugt werden). Zertifikatsausgabe (Zertifikatsdatei inkl. Passwort zum Auspacken des Zertifikats). Update (Renewal) ablaufender Zertifikate. 23

24 Sicht des Errichters 24

25 Public Key Infrastructure (PKI) Sicht des Errichters Certification Authority TinyCA (für einfache Installationen) OpenCA (für größere Installationen) Hochschule Niederrhein: Anfangs TinyCA Zusätzlich eigene, auf OpenSSL basierende Skripte Übergang zu OpenCA 25

26 Infrastruktur Sicht des Errichters Logserver (syslog-ng) protokolliert (zentral) den Verbindungsaufbau der Clients (Notebooks) mit. Updateserver Certificate Revocation List Sicherheitsrelevante Updates für die Gateway- Rechner (Zusätzlicher Router) 26

27 Client-Software Sicht des Errichters Eigenentwicklung: IPSOne für Windows 2000/ XP Graphischer Wrapper für ipsecpol/ ipsecmd. Import von PKCS12-Zertifikaten. Einfache One-Klick -Applikation. Per XML konfigurierbar. Open Source! Autor: Michael Becker. 27

28 Client-Software Sicht des Errichters Skript für Linux Auswahl des empfangsstärksten Access-Points. Anpassung von / etc/ ipsec.conf Start des VPN-Tunnels 28

29 Realisierungsprobleme Sicht des Errichters Vollvermaschung (von jedem Access-Point ist jedes VPN-Gateway erreichbar) Lösung: Zentraler leftnexthop -Router. RP-Filter/ ARP Problem Bei deaktiviertem RP-Filter und mehreren Netzwerkkarten im gleichen physikalischen Netzwerksegment u. U. falsche ARP-Replies. Lösung: ARP-Filter aktivieren. 29

30 Realisierungsprobleme Sicht des Errichters Dual-Boot-Live-CD derzeit Bootscriptor, demnächst Grub. Auto-Update: Programme auf der CD-Rom müssen überschrieben werden derzeit translucency, demnächst UnionFS 30

31 Realisierungsprobleme Sicht des Errichters Kernel 2.6 Nativer IPSec-Stack unterstützt keine virtuellen Interfaces. Erschwertes Aufstellen von Firewall-Regeln LinuxForum, 12:15 Uhr Harald Welte: Firewalling, VPN (und mehr) mit Linux 2.6.x. 31

32 Grenzen Sicht des Errichters Fehlende Unterstützung für virtuelle IP- Adressen des nativen Windows IPSec- Stacks. Zugang von extern (Adresskollisionen mit Roadwarriorn, die ihrerseits hinter NAT- Routern sitzen). Roaming bisher nicht möglich. 32

33 Einfach nutzen... 33

34 Die User benötigen... Sicht des Users Notebook mit WLAN-Karte. Zertifikat (Zugangsberechtigung) Installations- und Konfigurationssoftware Windows: Linux Support Tools IPSOne (im Projekt erstellte Software, Alternative zum Müller-Tool ) Skript... 34

35 Zertifikate Sicht des Users WLAN- Personalausweis. Personalisiert. Durch Passwort gesichert. Jederzeit (zentral) deaktivierbar. Zeitlich befristet. Nach Standard X

36 Einfache Handhabung auch unter Windows Sicht des Users Installation Support Tools installieren IPSOne installieren Zertifikat importieren (4 Klicks) 36

37 Einfache Handhabung auch unter Windows Sicht des Users Nutzung IPSone starten Zielnetz (Internet oder Intranet) aussuchen 37

38 Einfach betreiben... 38

39 Aufwand für den Betreiber Sicht des Betreibers Erstellung und Verteilung der Zertifikate Support VPN-Gateways: Quasi wartungsfrei. Im Fall von relevanten Security-Bugs: Patch plus System mastern. Access-Points: Quasi wartungsfrei. 39

40 Probleme Sicht des Betreibers Windows-Konfiguration Personal-Firewalls Netzwerkbrücken (Bridges) 40

41 Fazit und Ausblick 41

42 Fazit Fazit Absicherung von WLAN-Infrastrukturen im kommerziellen Umfeld: IPSec. Mit Open-Source lassen sich komplexe Infrastrukturen realisieren: preiswert stabil flexibel 42

43 Fazit Fazit Sichere Anbindung der Notebooks. Zugang zu internen (Rechner-) Ressourcen (Intranet). Preiswerte Hardware (Access-Points). Kostengünstig keinerlei Lizenzkosten! 43

44 Fazit Fazit Benötigte Open-Source Komponenten: Linux Kernel 2.4/ 2.6 (z.b. Debian) IPSec-Stack / IKE-Daemon StrongSwan Racoon... Firewalling (Iptables) Zertifikatsverwaltung/ PKI (z.b. openssl, OpenCA). Clientsoftware (z.b. IPSOne, Linux-Skripte) 44

45 Fazit - Erfahrungswerte Fazit Komplexität von IPSec ist eine hohe Einstiegshürde. Große Deployments empfehlen sich Zertifikate Zertifikatsverwaltung ist weit mehr als nur ein technisches Problem. Anwenderkomfort muss für eine breite Nutzung weiter gesteigert werden. 45

46 Fazit - Erfahrungswerte Fazit Windows Keine native Unterstützung von DHCP-over- IPSec. Keine native Unterstützung von IKE-ModeConfig. Linux Keine One-Klick -Client-Software. DHCP-over-IPSec nicht einsatzbereit. 46

47 Ausblick Fazit Weiterentwicklung IPSOne. Entwicklung eines One-Klick-Linux-Clients VPN-Gateway Live CD. Übergang zu Kernel 2.6 Native 2.6 bietet keine virtuellen IPSec-Devices. Kernel-Patch für virtuelle IPSec-Devices ist in Entwicklung. Logfile-Auswertung. 47

48 Weitere Informationen: / waran.hsnr.de / ipsec.hsnr.de 48