!" # $!%!& ' ( )* ++,,, (' -. ('

Transkript

1 !" # $!%!&' ()*++,,,(' -.('

2 Inhaltsverzeichnis Sicherheit und Kosteneffizienz mit VPN Grundlegende Sicherheitsaspekte Historisches Wachstum LAN & WAN Verbindungen mit der Internet-Wolke Realisierung verschlüsselter Verbindungen VPN-Verbindungsarten und Merkmale Ausnutzung von VPN für neue Technologien 2

3 Infrastrukturen 1 Firmeninterne LANs Seit langem verbreitet, insbesondere basierend NetBIOS und Novell IP hat sich in den letzten Jahren durchgesetzt Firmenzentrale Filialstandort A Si Si WAN WAN (= ISDN-Wählverbindung) (= Leased Line) 3

4 Klassische WANs Vorteile: Infrastrukturen 2 Anmietung der direkten Leitungswege direkte Verbindung der Netze hohe Integrität der Verbindung Nachteile: langfristige Rahmenverträge mit einem Carrier (TDN, regulierte Preise der digitalen Standleitungen) hohe Kosten wenig flexibel und skalierbar Daten werden außer Haus unverschlüsselt übertragen 4

5 Infrastrukturen 3 Entwicklung der LANs + WANs Forderungen: Zugang für Wartung direkte Einwahl langsam, Tor von hinten Zugang für Mitarbeiter direkte Einwahl langsam, wenig Kontrollmöglichkeit Internet-Zugang Jede Filiale mit extra Lösung? Welcher Schutz vor Hacks, DoS, Viren & Würmer? Zentrales Management Einheitlichkeit der Plattformen und Geräte Einfache Administration mit Standardmitteln 5

6 IP-Sicherheit 1 Firmeninterne weltweite Netze Aufbau eines firmeninternen LAN-Verbundes Benutzung der Internet-Technologie TCP/IP Routing LAN-Kopplung analog dem Internetzugang Mitarbeitereinwahl analog dem privaten Internetzugang bei ISPs Benutzung von Internet Informationssystemen: WWW, USENET News, , FTP u.a.m. Aufsetzen der gesamten Firmenkommunikation auf Internet-Technologien 6

7 IP-Sicherheit 2 Intranet LAN-Kopplung Router für den Internetzugang bilden das Intranet Router Carrier L2-Netz Internet Router Firmen-LAN 1 Firmen-LAN 2 7

8 Extranet IP-Sicherheit 3 Mitarbeiter- und Partnerzugang zum Firmennetz Network Access Server dienen der Einwahl der Mitarbeiter und Partner PC + Modem Firmen-LAN NAS Router Carrier L2-Netz Internet PC + ISDN-TA PC + ISDN-NIC Router SOHO-LAN 8

9 Internet als Standardbasis Eine Idee zu WAN im Wandel: ISDN- Netz Ersetzt durch Internet ISDN- Netz Router Carrier L2-Netz Router LAN Zentrale LAN Filiale 1 Internet Internet 9

10 Standardprodukte VPN-Lösungen <-> Standardpakete zunehmende Integration in OS vielfältige Paketangebote Appliances Software Hardware Pakete (Firewall+VPN+...) Cisco VPN Concentrator Cisco VPN Client 10

11 Nutzung der DSL-Strukturen Verfügbarkeit preiswerter Anschlußleitungen SDSL ADSL 11

12 Sicherheit? 1 Home Office, 1 23'4 /' /' 12

13 Einführung Kryptografie 1 Verschlüsselung - Nachrichten für Unbeteiligte unlesbar und unmanipulierbar machen Kryptografie ist Wissenschaft von der Verschlüsselung von Informationen Es geht also um den Schutz vor Eindringlingen Passiver Eindringling (hört nur zu) Aktiver Eindringling (kann Nachrichten ändern) Ziel: Erzeugung von Weißem Rauschen 13

14 Kryptografie 2 Ziel der Kryptografie Die Geheimhaltung des Verfahrens funktioniert heute nicht mehr Verwendung möglichst komplexer parametrisierter Verfahren und Schutz der Schlüssel Beispiele: DES mit 56-bit Schlüssellänge 2 56 = 7,2 * > 72 Billarden Varianten IDEA mit 128-bit Schlüssellänge = 3,4 * Varianten 3DES mit 168-bit Schlüssellänge (3 x 56bit) = 3,8 * Varianten 14

15 Definitionen Kryptografie 3 Plaintext oder Klartext --> zu verschlüsselnde Nachrichten Ciphertext oder Chiffretext, auch Kryptogramm --> Ergebnis der Verschlüsselung Key Plaintext Encryption Decryption Ciphertext 15

16 Verfahren der Kryptographie Verschlüsselungsverfahren a) symmetrische Verfahren doc Partner A Partner B doc z.b. DES (56 bit) 3DES (3x56 bit) Encrypt gleiche Schlüssel Decrypt b) asymmetrische Verfahren doc Partner X Partner B doc Encrypt Schlüssel 1 Decrypt Schlüssel 2 Beispiel PGP: 2 Teile - privater und öffentlicher Schlüssel 16

17 Symmetrische Verfahren Die Symmetrie als Nachteil bei symmetrischen Verfahren wird derselbe Schlüssel zum Ver- und Entschlüsseln genutzt Einige der symmetrischen Verfahren verwenden zwar intern unterschiedliche Schlüssel für E und D, allerdings sind diese leicht algorithmisch ineinander umwandelbar (IDEA) Diese Symmetrie bewirkt die logistischen Probleme Ausweg: Asymmetrische Verfahren 17

18 Asymmetrische Kryptosysteme Grundlagen Zwei verschiedene Schlüssel K1 und K2 C = E K1 (P) und P = D K2 (C) also D K2 (E K1 (P)) = P evtl. D K1 (E K2 (P)) = P K1 und K2 sind in keiner Weise aus einander oder dem Ciphertext herleitbar K1 Plaintext Encryption Decryption K2 Ciphertext 18

19 Public Key Kryptographie 1 Asymmetrische Verfahren ermöglichen Public Key Kryptographie K1 wird geheimgehalten (private key) K2 wird veröffentlicht (public key) Will P1 an P2 eine verschlüsselte Nachricht senden, wird diese mit dem public key K2 von P2 kodiert Da nur P2 den zu K2 passenden private key K1 kennt, kann nur P2 die Nachricht entschlüsseln Selbst P1 kann die Nachricht nicht mehr entschlüsseln! 19

20 Public Key Kryptographie 2 Asymmetrische Verschlüsselungsverfahren 1) Jede Person generiert ein Schlüsselpaar was mit einem Schlüssel verschlüsselt wird, kann mit dem anderen wieder entschlüsselt werden 2) Eine Hälfte wird bekannt gemacht ( Public Key ) 3) Andere Hälfte geheim gehalten ( Private Key ) Verschlüsselung Authentisierung Jeder kann Daten mit Public-Key für mich verschlüsseln Ich kann mit dem Private-Key Daten zertifizieren 20

21 Hybride Verfahren 1 Viele symmetrische Verfahren sind sehr performant und teilweise in Hardware implementierbar Die bekannten asymmetrischen Verfahren sind extrem aufwendig (ca. drei Größenordnungen langsamer als symmetrische) Man will Public Key Kryptographie mit der Performance der symmetrischen Verfahren Man will eine Nachricht für mehr als einen Empfänger verschlüsseln können Die Lösung: Hybride Verfahren 21

22 Kryptographie-Standards Verschlüsselungverfahren Symmetrisch DES 56 Bit Key Block cipher 3DES 3*56 Bit Key Block cipher IDEA 128 Bit Key Block cipher RC4 Stream cipher RC5 Stream cipher Asymmetrisch RSA 512 bis 4096 Bit DH (Diffie-Hellman) Secure Hash (Message Digest) MD5 RIPE MD

23 Überblick IP Network IP 2 1 Application Transport Data Link Physical Tunneling-Technologien 1 Encapsulation/Decapsulation an den Tunnelendpunkten Layer 2 Tunneling Protocol (L2TP) für bel. Protokolle (benutzt PPP) Layer 3 Tunneling von IP mit IP Security Protocol ---> IPsec Router Application Transport 3 IP IP Tunnel-Protokoll (IPsec) 3ESP Tunnel Endp. Tunnel Endp. Data Link Physical Data Link Physical 23

24 IPsec 1 Überblick IP hat keine inhärenten Sicherheitsmechanismen Es gibt keine Garantie, daß ein IP-Datagramm vom angegebenen Absender stammt die ursprünglichen Daten enthalten sind keine andere Person die Daten angeschaut hat RFC 2041 definiert IPsec-Architektur: Authentifizierung der Datenquelle und Datenintegrität vertraulicher Dateninhalt Schutz vor wiederholter Sendung begrenzte Verkehrsflußvertraulichkeit 24

25 IPsec 2 Datenintegrität Sicherstellen, daß Daten während der Übertragung nicht verändert wurden Authentizität der Herkunft Empfänger kann die Herkunft der Daten verifizieren ist eng an die Integrität der Daten gebunden Vertraulichkeit der Daten Verschlüsselung von Informationen Anti-Replay Empfänger kann duplizierte / mehrfach gesendete Pakete erkennen und zurückweisen 25

26 VPN 1 Virtual Private Network (VPN) Es verbreitet sich zunehmend der Ansatz, das Internet als einen Einwahlmechanismus in private Netze zu betrachten, so wie Modem oder ISDN --> Tunneling durch das Internet Da dem Internet weniger vertraut wird als klassischen Carriern wird hier von vornherein eine Verschlüsselung vorgesehen Tunneling + Kryptographie = VPN 26

27 VPN 2 VPN-Varianten Access VPN Remotezugriff via Dial In (analog / ISDN /DSL etc.) zur Anbindung mobiler Nutzer, SOHOs Intranet VPN Nutzung Festverbindungen in öffentliche Netze Verknüpfung örtlich getrennter LANs Filialen Zugriff nur für firmeninterne Mitarbeiter Extranet VPN wie Intranet VPN, aber: Zugriff für Kunden, Zulieferer, Partner etc. 27

28 VPN 3 Lokale Internetzugänge als Einwahlsystem VPN- Router ISP Internet ISP ISP ISP Tunnel PC + Modem + VPN Client PC + ISDN-TA + VPN Client PC + ISDN-NIC + VPN Client Firmen-LAN Statt VPN-Router auch Tunnel-Server (Extranet-Server) im internen Netz möglich VPN- Router (SOHO-)LAN 28

29 VPN 4 Verwendetes Protokoll: IPSec VPN-Implementationen basieren heutzutage fast ausschliesslich auf IPSec IPSec - Industriestandard-Protokollsuite, beschrieben in diversen Internet RFCs Grundlegende Beschreibung in RFC Security Architecture for the Internet Protocol Die 2 wesentlichen Bestandteile: Authentication Header (AH) Encapsulating Security Payload (ESP) Darüberhinaus Nutzung weiterer Standards 29

30 E Virtual Private Network (VPN) VPN über Internet und/oder privaten SFV 128K SFV HB wv B DD 2 Mbit/s SU Internet F IPsec (RFC) FW PC S E Extranet-Server 30

31 VPN 6 Virtual Private Network mit SFV und Backup über Internet PC D64S2 E VPN S D2MS SU VPN HB VPN PC PC Internet wv PC VPN PC PC VPN PC B DD PC S VPN F PC S 31

32 Forderungen Virtual Private Networks Forderungen der Anwender Verfügbarkeit von Informationen Sicherheit der Informationsübertragung Gewährleistung der Vertraulichkeit Forderungen des IT-Departments Freigabe von Informationen nur für authentifizierten Zugriff Schutz vor Datenklau handhabbare Administration Die Lösung: konvergente Netze Praktische Beispiele 32

33 Praktische Anwendung integrierter Lösungen (Lufthansa Boeing 747 mit Breitband Internet) Via sicherer VPN - Verbindung mit dem Unternehmensnetzwerk verbunden. Sprach- und Daten- Dienste stehen in vollem Funktionsumfang zur Verfügung Internet Zugang Mobile Geräte mit Internet & Bildschirme am Sitz Satellit Provider Netzwerk Virtual Private Network A 33

34 Hot Spots on the road Hot Spot Bahnhofs-Lounge Hot Spot Autobahn Raststätte oder Hotel Via sicherer VPN - Verbindung mit dem Unternehmensnetzwerk verbunden. Sprachund Daten- Dienste stehen in vollem Funktionsumfang zur Verfügung A Carrier Hot Spot Flughafen-Lounge 34

35 Mobilität im Unternehmen Directory-basiertes Telefon-Login Von wo auch immer sich der Anwender in dem Unternehmensnetzwerk XML basiertes Login anmeldet Identifizierung ist er unter bei seiner Rufnummer zentralem erreichbar Directoryund verfügt Alle über persönlichen alle Applikationen Einstellungen zur Verfügung Mobiler Office Einsatz Entfall weiterer Administration spart Kosten Directory Web Server London Frankfurt München Call Mgr Data Center DHCP Server 35

36 Mobilität des Mitarbeiters PC-basiertes Softphone CallManager cluster IP WAN Vollzeit Heimarbeitsplatz Teilzeit Heimarbeitsplatz Campus Internet, DSL, Cable,... Hotels, etc. Der mobile Anwender ist unter seiner Rufnummer überall erreichbar Software VPN- enabled, Cisco SAFE garantiert die Sichere Kommunikation 36

37 Reisebüros ISDN IP Sie brauchen Sprache und Daten Verteilte Lokationen Kleine Agenturen, < 20 Mitarbeiter Applikationen Stonevoice 37

38 Lager- / Fertigungsstätten ISDN IP 38

39 Globale Unternehmenseinflüsse Markt Globalisierung Konvergenz Sicherheit Wirtschaftlichkeit Präsenz Mobilität Offene Standards Investmentschutz und Kostenmanagement 39

40 Wie reagieren? Kostenbewußtsein IT als Servicedienstleistung im Unternehmen Homogenisieren der Infrastruktur Vereinfachung der Administration Erweiterung der Nutzbarkeit Ausnutzung aller Ressourcen Nutzung vorhandener technischer Möglichkeiten effektivere Gestaltung von Prozessen Das Netzwerk entwickelt sich zur wichtigsten, gemeinsamen Kommunikationsplattform 40

41 Netzwerke heute Sprache Video Daten Speicher Telefon- Netzwerk Multimedia- Netzwerk IP Netzwerk Storage Area Network 41

42 Intelligentes Informationsnetz Sprache Video Daten Speicher Telephone Network Broadcast Network IP Network Storage Area Network 42

43 Wie ist das realisierbar? Kleine PBX Installation Neue NeueApplikationen Grosse PBX Installation Voice Apps Produktivitäts Apps Kostenreduzierung durch Managed Service SIP Service, Mobilität Storage Video Konferenz Daten Netzwerk CRM Konvergente Netzinfrastruktur Sicherheit, Skalierbarkeit, Verfügbarkeit 43

44 Nutzung moderner Technologien zahlt sich aus Kosteneinsparung Ein Netzwerk Grundstückskosten Gesprächskosten Anbindung kleiner Aussenstellen Reporting, Billing, Kosten Kontrolle Verringerung der PC Kosten Kein Medienbruch Produktivitäts Zuwachs quantitativ Mitarbeiter Produktivität (Anwendungen) Audio Conferencing Unified Messaging Personal Assistant Web Access Computer Telephony Integration Weitere Vorteile qualitativ Kunden Zufriedenheit Mitarbeiter Zufriedenheit Geografische Flexibilität Wettbewerbsvorteile Schnelle & zentrale Implementierung von Anwendungen 44

45 Wer realisiert? IBH hilft managen... Internet-Services Wege, Dienste und Funktionen Security-Services VPN- Tunnel Firewallsysteme Zugangsschutz/Ressourcenmanagement Voice-over-IP-Installationen Konzeption, Planung Migration Management / Monitoring 45

46 99,999% Security Sicherheit und Verfügbarkeit auf Platz 1 Security-Services & -Workshops IBH berät zu Sicherheitskonzepten Integration von Lösungen Analyse der Anforderungen Matching mit technischen Möglichkeiten Nutzung vorhandener Ressourcen erprobte Lösungen Live Einsatz VoIP bei IBH ab Q2/ x 7 Support + Störungshotline 46

47 ... IBH ist Ihr Partner für Standleitungsservices Konzeption der Anbindung von Firmenniederlassungen Vermietung der notwendigen Verbindungswege zu attraktiven Preisen Empfehlungen und kompetente Abstimmung zum Technikeinsatz VPN-Lösungen Über Grenzen hinweg auch auf Basis von DSL-Produkten mit Zuführung zu IBH vielfältige Erfahrungen und Zertifizierungen wichtiger Partner, wie Cisco Systems VoIP-Services 47

48 Managed-/Hosted Voice Solution(s) Hosted IP-Telefonie PBX SRST QSIG Billing Call Center Managed IPT mit zentr. Services wie Voic , UM, Call Center Full Managed IPT A 48

49 Es ist Ihre Wahl... für einen zuverlässigen Partner alle Dienste aus einer Hand durch Partnerschaften ergänztes, gut abgestimmtes Portfolio Engagiertes, gut zusammenarbeitendes Team von Support, Services & Sales direkter Kontakt zu den richtigen Leuten jahrelange Erfahrung Lassen Sie uns gemeinsam Ihr Netzwerk für Daten und Sprache erschließen, um die Synergien für Ihre Geschäftsprozesse nutzbar zu machen! 49

50 50

51 Fragen? Kommentare? Diskussion Fragen und Antworten 51

52 Vielen Dank! Fragen Sie! Wir antworten.