Konzeption eines Versuchsaufbaus zur Praxis der Netzsicherheit

Größe: px
Ab Seite anzeigen:

Download "Konzeption eines Versuchsaufbaus zur Praxis der Netzsicherheit"

Transkript

1 Belegarbeit Konzeption eines Versuchsaufbaus zur Praxis der Netzsicherheit bearbeitet von Martin Weißbach geboren am 27. November 1983 in Dresden Technische Universität Dresden Fakultät Informatik Institut für Systemarchitektur Lehrstuhl Rechnernetze Betreuer: Dr.-Ing. Stephan Groß Hochschullehrer: Prof. Dr. rer. nat. habil. Dr. h. c. Alexander Schill Eingereicht am 01. Februar 2010

2

3 Erklärung Ich erkläre, dass ich die vorliegende Arbeit selbständig, unter Angabe aller Zitate und nur unter Verwendung der angegebenen Literatur und Hilfsmittel angefertigt habe. Dresden, den 01. Februar 2010

4

5 Inhaltsverzeichnis 1. Einleitung 7 2. Technologien Firewalltechnologien Paketfilter Proxy-Firwalls Hybrid Firewalls Virtuelle Private Netzwerke (VPN) VPN Typen Tunneling Tunnel-Modelle Tunneling-Protokolle SSL-VPN Szenario Szenariobeschreibung Sicherheitsanalyse Resultierender Netzplan Strukturanalyse Schutzbedarfsfeststellung Sicherheitsmechanismen Versuchsaufbau Grundlegender Aufbau Konfiguration der virtuellen Maschinen Konfiguration der VM fwvpn Konfiguration der VM server Konfiguration der VM server Konfiguration der VM Intranet Installation der virtuellen Maschinen Grundinstallation Zertifikate und Zertifikatserstellung Installation der VM fwvpn Installation der VM server Installation der VM server Installation der VM Intranet

6 6 Inhaltsverzeichnis 4.4. Einrichtung des Versuchsaufbau DVD Inhalt Fazit 59 A. Anhang 61 A.1. Aufgaben für den Studentenversuch A.1.1. Aufgabe 1 - Analyse des Szenarios A.1.2. Aufgabe 2 - Ausarbeitung der Sicherheitsmechanismen.. 61 A.1.3. Aufgabe 3 - Einrichten des virtuellen Netzwerks A.1.4. Aufgabe 4 - Installation und Einrichten der Dienste... 63

7 1. Einleitung Im Rahmen dieser Belegarbeit sollen praxistaugliche Ansätze für Sicherheitslösungen in verteilten Rechnersystemen mit Fokus auf Firewalltechnologien und Virtuelle Private Netzwerke vorgestellt werden. Ziel der vorliegenenden Arbeit ist es, zum praktischen Vertiefen dieser Kenntnisse, einen Studentenversuch zu entwerfen, in dem die Technologien Anwendung finden. Die vorliegende Arbeit soll als Grundlage für die Musterlösung des Studentenversuchs dienen, die im Anhang befindlichen Aufgabenstellungen sind als Vorlage für mögliche Aufgabenstellungen des Studentenversuchs gedacht. Als Szenario dient ein Netzwerk, wie es an einer fiktiven Informatik Fakultät vorkommen könnte. Mitarbeiter und Studenten der Fakultät sollen komfortabel auf verschiedene Dienste zugreifen können. Zugriff soll hier sowohl vom internen Netz als auch von außerhalb möglich sein. Für das Verwalten von Projekten soll ein Dienst zur Verfügung gestellt werden, der auch von Projektpartnern aus Industrie und Wirtschaft zugreifbar ist. Das Szenario wird bezüglich seiner Sicherheit analysiert, ausgehend davon werden entsprechende Sicherheitsmechanismen abgeleitet. Das praktische Ergebnis dieser Arbeit bildet die Umsetzung des Szenarios und der erarbeiteten Sicherheitsmechanismen in einem Versuchsaufbau auf Basis der Virtualisierungsumgebung VirtualBox. In Kapitel 2 werden Grundlagen im Bereich Firewall und Virtuelle Private Netzwerke vermittelt. In Kapitel 3 wird das praktisch umzusetzende Szenario vorgestellt, die Sicherheitsanalyse durchgeführt und Sicherheitsmechanismen erarbeitet. Kapitel 4 beschreibt die praktische Umsetzung des Szenarios im Versuchsaufbau. Kapitel 5 zieht ein Fazit über die praktische Umsetzung der in Kaptiel 3 erarbeiteten Sicherheitsmaßnahmen im Versuchsaufbau. Der Anhang enthält die genannten Aufgabenstellungen.

8 8 Inhaltsverzeichnis

9 2. Technologien Das folgende Kapitel vermittelt Grundkenntnisse über die Technologien Firewall und Virtuelle Private Netzwerke (VPN), um aufbauend auf diesen Kenntnissen entsprechende Sicherheitsmechanismen für das im folgenden Kapitel vorgestellte Szenario erarbeiten zu können Firewalltechnologien Eine Firewall ist nach [FG05, Seite 33] ein Produkt, welches anhand definierter Regeln den Netzwerkverkehr filtert, mit der Absicht, dass nur erwünschte Netzwerkpakete ihr Ziel erreichen. Firewalls gibt es sowohl als reine Software als auch in Form von Hardwarelösungen, sogenannte Firewall Appliances [FG05], welche beispielsweise von Herstellern wie Cisco 1, Check Point 2 oder auch Juniper Networks 3 als kommerzielle Produkte angeboten werden. Als freie Softwarelösung ist vor allem das Werkzeug iptables des Open Source Packet Filtering Framework des Netfilter 4 Projekts zu nennen. In den folgenden Abschnitten werden Firewalls zugrundeliegende Technologien näher betrachtet. Dabei wird zu Beginn auf Paketfilter und deren Grenzen in Bezug auf Filterung, im weiteren auf Proxy-Firewalls und Hybrid Lösungen eingegangen. Die Darstellungen basieren auf [FG05] Paketfilter Unter Paketfilterung wird nach [D. 97, Seite 66] der Vorgang verstanden, bei dem der Datenstrom von und zu einem Netzwerk selektiv gesteuert wird. Das heißt, ein Paketfilter hat die Aufgabe zu entscheiden, ob ein Paket passieren darf oder blockiert wird, was in der Regel beim Routing zwischen zwei Netzwerken geschieht. Dazu verfügen Paketfilter über mindestens zwei Netzwerkschnittstellen, zwischen welchen die Pakete weitergeleitet werden, was auch als (IP-)Forwarding bezeichnet wird. Die Entscheidung, ob ein Paket passieren darf oder nicht, geschieht dabei anhand von Regeln

10 Firewalltechnologien Es wird zwischen statischen und dynamischen Paketfiltern unterschieden, welche in den folgenden Abschnitten beschrieben werden. Statische Paketfilter Ein statischer Paketfilter ist dadurch gekennzeichnet, dass er die Filterregeln der Reihe nach abarbeitet, bis anhand einer Regel das Paket entweder an das Zielsystem weitergeleitet oder verworfen wird. Es werden keine Statusinformationen über den aktuellen Datenfluß gehalten, stattdessen muss jedes Paket einzeln betrachtet werden, völlig unabhängig davon, welche Pakete bereits vorher verarbeitet wurden. So könnte eine Filterregel lauten, nur Pakete mit bestimmten Ziel IP Adressen weiterzuleiten. Erreicht nun ein IP Paket den Paketfilter, so überprüft dieser, ob die Ziel IP Adresse mit der in den Filterregeln akzeptierten übereinstimmt. Stimmt die Adresse nicht überein, wird das Paket nicht weitergeleitet, sondern verworfen. Nun bringen statische Paketfilter aufgrund ihrer Statuslosigkeit einige Nachteile mit sich. Zum einen müssen immer zwei Regeln, einmal für ankommende und einmal für abgehende Pakete, definiert werden, zum anderen dürfen die Quellports nicht eingeschränkt werden. Ein Beispiel soll dies verdeutlichen: Verbindet sich ein Client (Browser) über eine Firewall mit einem Webserver, so geschieht dies standardmäßig auf (Ziel- )Port 80 [BLFF]. Beim Verbindungsaufbau wird auf Seiten des Browsers ein (Quell-)Port oberhalb von verwendet, beispielsweise Port Damit der Client mit dem Webserver kommunizieren kann, bedarf es bei einem statischen Paketfilter nun zweier Regeln. Zum einen muss der Paketfilter mit einer Filterregel für den Paketstrom vom Client zum Webserver, zum anderen mit einer Filterregel für den Paketstrom vom Webserver zum Client bedacht werden. Für jede der Richtungen werden Filterregeln benötigt, weil der statische Paketfilter keine Statusinformationen speichert. Wenn der Client in unserem Beispiel eine Anfrage an den Webserver stellt, beispielsweise eine bestimmte Seite anfordert, so weiß der statische Paketfilter nicht, dass die als Antwort auf die vorhergehende Anfrage des Clients folgenden Pakete, zu einer bereits bestehenden Verbindung gehören. Der Paketfilter behandelt die Pakete also ohne einen Kontext. Deshalb muss für diese Pakete eine Regel definiert werden, die das Annehmen von Paketen von diesem Server erlaubt. Das Problem verkompliziert sich außerdem dadurch, dass alle (Quell-)Ports, ab Port 1024 aufwärts, für Pakete vom Webserver, Richtung Client, geöffnet sein müssen, da der Quellport des Clients einen beliebigen Wert von annehmen kann. Dieses Problem lässt sich mit dynamischen Paketfiltern lösen. 5 Die Ports werden nach auch als well-known Ports bezeichnet. Sie sind fest vergeben und können nicht als Quellports genutzt werden.

11 Paketfilter 11 Dynamische Paketfilter Auch dynamische Paketfilter arbeiten die Filterregeln nacheinander ab und entscheiden dann, was mit den Paketen passiert. Dynamische Paktfilter erlauben aber im Gegensatz zu statischen Paketfiltern eine zustandsorientierte Filterung. Das heißt, es werden Statusinformationen über bestehende Verbindungen gehalten und fließen bei der Entscheidung, ob ein Paket verworfen oder weitergeleitet wird, ein. Dynamische Paketfilter führen zu diesem Zweck eine Statustabelle, die Informationen über aktuelle Verbindungen speichert. Zu diesen Statusinformationen gehören der Protokolltyp (z.b. TCP, UDP), Quell- und Ziel-IP-Adresse, Verbindungszusatzinformationen (z.b. TCP Flags), bei TCP und UDP der Quell- und Zielport sowie bei ICMP der Nachrichtencode. Damit werden nicht mehr zwei Regeln für ausgehende und eingehende Verbindungen benötigt, sondern lediglich eine. Der Paketfilter kann anhand von Statusinformationen unterscheiden, ob ausgehende und eingehende Verbindung zusammengehören und auf dieser Grundlage Entscheidungen treffen. Für das bereits genannte Beispiel der Kommunikation zwischen Client und Webserver wird deshalb nur eine Filterregel für die ausgehende Verbindung vom Client (Browser) zum Webserver benötigt. Schickt der Client (Browser) eine Anfrage an den Webserver, so wird das Paket vom Paketfilter weitergeleitet. Gleichzeitig speichert der Paketfilter die Quell-IP-Adresse des Clients, die Ziel-IP-Adresse des Webservers sowie den Quellport des Clients (im Beispiel Port 1024) und den Zielport des Webservers (im Beispiel Port 80). Antwortet nun der Webserver dem Client auf die Anfrage, kann der Paketfilter anhand der gespeicherten Daten erkennen, dass die Antwort zu einer vorangegangenen Anfrage gehört und die Pakete weiterleiten. Die eingehende Antwort vom Webserver zum Client bedarf also keiner zusätzlichen Regel. Antwortpakete vom Webserver werden also nur dann akzeptiert, wenn in der Statustabelle Informationen über eine vorangegangene Anfrage gefunden werden. Somit ist die Regel für die eingehende Verbindung vom Webserver zum Client, durch die gespeicherten Statusinformationen, implizit im Paketfilter gespeichert. Mit Verbindungsende, bei TCP durch das im TCP Header gesetzte FIN Flag signalisiert, wird der Eintrag wieder aus der Statustabelle entfernt, spätestens jedoch nach einem Timeout (dies gilt für TCP und UDP). Neben dem Vorteil, dass für eine eingehende und ausgehende Verbindung nur eine Regel benötigt wird, müssen außerdem für Antwortpakete keine Portbereiche freigeschaltet werden, da anhand der Statustabelle ersichtlich ist, für welche Ports Antwortpakete zu erwarten und zugelassen sind. Auch dynamische Paketfilter haben Nachteile. Dies zeigt sich vor allem an Protokollen, die auf Anwendungsebene, Schicht 7 im ISO/OSI Modell, Ports für die weitere Kommunikation aushandeln. [FG05] erwähnt hier beispielsweise das File Transfer Protocol (FTP). FTP sieht vor, dass zwei Verbindungen aufgebaut werden. Eine Verbindung

12 Firewalltechnologien dient der Steuerung der Datenübertragung, auch Kontrollverbindung genannt, die andere dem eigentlichen Datenaustausch. Die Kontrollverbindung wird dabei für die gesamte FTP Sitzung aufrecht erhalten. Sollen Daten übertragen werden, wird eine Verbindung zur Übertragung der Daten aufgebaut, was wahlweise von Seiten des FTP Servers, auch als aktiv, sowie von Seiten des Clients, auch als passiv bezeichnet, geschehen kann. Bei einer FTP Sitzung im aktiven Modus wird eine solche Verbindung durch Kommandos wie GET oder PUT zum Starten einer Datenübertragung oder durch Betrachten eines Ordners auf dem FTP Server mittels DIR Befehls, gestartet. Hierfür wird vom FTP Client von seinem Betriebssystem ein freier Port angefordert, auf welchem der Client für die eingehende Datenverbindung des Servers lauscht. Um dem Server mitzuteilen, auf welchen Port er sich für den Aufbau der Datenverbindung verbinden kann, wird mittels PORT Kommando dieser dem Server über die Kontrollverbindung mitgeteilt, worauf der FTP Server sich nun verbindet. Findet nun die Kommunikation zwischen Client und Server über einen dynamischen Paketfilter statt, so weiß der Paketfilter nicht, auf welchem Port eine eingehende Verbindung zum Client zu erwarten ist, da er nicht die Kommunikation der Kontrollverbindung auf Schicht 7 überwacht und damit auch nicht den mittels PORT Kommando übermittelten Port erfährt. Die Funktionalität dynamischer Paketfilter reicht hier also nicht mehr aus, da es nicht genügt nur die IP bzw. TCP Header zu analysieren, stattdessen müssen auch die Nutzdaten (auch Payload) der übertragenen Daten auf Schicht 7, wie in diesem Fall die über die Kontrollverbindung übertragenen Befehle, analysiert werden. Abhilfe für dieses Problem schaffen hier sogenannten Stateful Inspection Firewalls. Stateful Inspection Stateful Inspection bedeutet, dass nicht nur bis Schicht 3 (Netzwerkschicht) oder 4 (Transportschicht), sondern der Datenverkehr bis in Schicht 7 (Anwendungsschicht) untersucht wird, um so Informationen zu gewinnen, mit denen die Filter dynamisch angepasst werden können. Am FTP Beispiel würde dies bedeuten, dass die Kontrollverbindung auf Schicht 7 zwischen FTP Client und Server überwacht wird. Wenn nun das PORT Kommando über die Kontrollverbindung geschickt wird, erkennt dies der Paketfilter und passt die Statustabelle entsprechend an. Der Paketfilter lässt dann eingehende Verbindungen vom FTP Server zum Client auf dem durch Auswerten des PORT Kommandos ermittelten Port zu. Neben FTP existieren viele weitere Protokolle, welche auf Stateful Inspection Funktionalität der Firewall angewiesen sind. Hierzu gehören beispielsweise die meisten Multimediaprotokolle wie H.323, CoolTalk oder Real Audio, da hier einfache dynamische Paketfilter versagen. Wenn eine Firewall nicht in der Lage ist, den Datenverkehr dieser Protokolle stateful zu filtern, müssen häufig große Portbereiche geöffnet werden, um eine Kommunikation bzw. einen Datenaustausch zu ermöglichen, was aber wiederum zu einer Gefährdung der Sicherheit

13 Proxy-Firwalls 13 führt Proxy-Firwalls Neben Paketfiltern existieren die sogenannten Proxy-Firewalls. Sie unterscheiden sich von Paketfiltern vor allem in der zugrundeliegenden Technologie. Während Paketfilter transparent im Client-Server Modell agieren, brechen Proxy-Firewalls dieses auf, indem sie sowohl als Client als auch als Server agieren. Dabei kommuniziert der Client nicht mehr direkt mit dem Server, sondern baut eine Verbindung zur Proxy-Firewall auf, so dass die Proxy-Firewall als Server für den Client fungiert. Die Firewall leitet die Anfrage des Clients nicht einfach weiter, sondern agiert jetzt selbst als Client, indem sie stellvertretend für diesen eine Verbindung zum Zielserver aufbaut. Dieser Ansatz hat diverse Konsequenzen. So muss der Proxy-Server alle zu filternden Protokolle unterstützen. Die Proxy-Firewall ist für den Client nicht mehr transparent, da der Client direkt mit der Firewall kommuniziert. Weiterhin ist IP Forwarding (siehe Abschnitt 2.1.1) im Gegensatz zu Paketfiltern deaktiviert, da die Firewall als Initiator bzw. Endpunkt von Verbindungen agiert und die Pakete somit nicht per Forwarding weitergeleitet werden müssen. Das ist vorteilhaft, da somit sicherstellt ist, dass Client und Server niemals auf direktem Weg miteinander kommunizieren und damit internes und externes Netz voneinander getrennt sind. Ein weiterer Vorteil von Proxy-Firewalls ist, dass sie die jeweiligen Protokolle vollständig implementieren, was ein erweitertes Filtern gestattet. So kann beispielsweise eine Proxy Firewall, die das Simple Mail Transfer Protocol (SMTP) zum Versenden von s unterstützt, bestimmte Absenderadressen blockieren oder Mails bestimmter Größe abweisen. Nachteilig an Proxy-Firewalls ist, dass für jedes benötigte Protokoll ein Proxy vorhanden sein muss, der das Protokoll unterstützt. Ist kein Proxy für das benötigte Protokoll vorhanden, muss ein sogenanntes Relay verwendet werden, welches auf Schicht 4 (Transportschicht) arbeitet. Auch hier findet keine direkte Kommunikation zwischen Client und Server statt. Client und Server kommunizieren mit dem Relay, welches die Pakete empfängt und aufbaut. Kann ein Protokoll auf diese Weise nicht verarbeitet werden, besitzen Proxy Firewalls eine direkt packet Funktion, die analog zu Paketfiltern die Netzwerkpakete direkt weiterleitet. Ein weiterer Nachteil ist, dass Proxy Firewalls eine vergleichsweise schlechte Performance haben Hybrid Firewalls Neben den genannten Firewallarten existieren auch Mischformen, sogenannte Hybrid Firewalls. Nach [FG05] finden sich in der Praxis meist hybride Technologien auf Paketfilterbasis. Darunter werden Firewalls verstanden, die um Proxy-Firewall Funktionalität für die wichtigsten Anwendungsprotokolle, wie

14 Virtuelle Private Netzwerke (VPN) HTTP oder SMTP, erweitert wurden. Somit werden die Vorteile der beiden Technologien kombiniert. Weiterhin existieren auch hybride Technologien auf Proxy-Firewallbasis. Bei dieser Variante bildet eine Proxy-Firewall die Grundlage, welche zusätzlich um Funktionalität für dynamische Paketfilterung erweitert wird Virtuelle Private Netzwerke (VPN) Nach [Lip07] ist ein VPN (Virtuelles Privates Netzwerk) ein Netzwerk, welches ein anderes öffentliches Netzwerk nutzt, um private Daten zu transportieren. Das Gegenstück zum VPN bildet ein echtes privates Netzwerk, wie es beispielsweise bei einem Unternehmen, in Form eines unternehmenseigenen, exklusiv genutzten Netzwerk, vorkommt. Im Folgenden wird auf unterschiedliche VPN Typen, sowie die grundlegende Funktionsweise von VPNs eingegangen. Im Anschluss daran werden verschiedene Tunneling-Protokolle sowie SSL-VPNs betrachtet. Die Darstellungen basieren auf [Lip07] VPN Typen Es exisitieren, abhängig vom Einsatzgebiet, verschiedene Arten von VPNs: das Remote-Access VPN, das Site-to-Site VPN sowie das Extranet VPN. Remote Access VPN Ein Remote Access VPN dient, wie der Name bereits vermuten lässt, dem Remote Zugriff, also dem Zugriff von entfernten Systemen auf das eigene Netzwerk. Ursprünglich wurden sogenannte Remote Access Concentrator (RAC), ein System, welches an das öffentliche Telefonnetz angeschlossen wird, um eine Einwahl in diese Netzwerke zu ermöglichen, dafür verwendet. Dazu müssen alle digitalen (z.b. ISDN) sowie analogen Verfahren (z.b. diverse Modemprotokolle) vom RAC unterstützt werden, was diese Systeme komplex und teuer macht. Ein weiterer Nachteil der RAC ist, dass die Technologie immerfort an neue technische Gegebenheiten angepasst werden muss. Andere Dienste wie beispielsweise DSL können aber mit einem RAC gar nicht verarbeitet werden, weshalb hier zusätzlicher technischer Aufwand entsteht. Die Lösung für diese Probleme bieten Remote Access VPNs, welche eine kostengünstige und einfache Alternative zu RACs sind. Dazu wird auf dem entfernten Rechner ein VPN Client installiert, welcher die Aufgabe hat, die Einwahl in das private Netzwerk vorzunehmen. Auf der Gegenseite, dem privaten Netzwerk, in das sich der VPN Client einwählen möchte, muss dafür ein sogenannter VPN Gateway zum Einsatz kommen. Dieser terminiert die VPN Verbindung und leitet die vom VPN Client kommenden Pakete in das private Netzwerk weiter bzw. sendet die vom privaten Netzwerk kommenden Pakete über die VPN

15 Tunneling 15 Verbindung an den VPN Client. Die dabei entstehende Verbindung zwischen Client und VPN Gateway ist eine rein logische Verbindung, welche auch als Tunnel bezeichnet wird und auf der physikalischen Verbindung aufsetzt. Damit ist die VPN Verbindung zum einen unabhängig von der Art der Zugangstechnologie wie beispielsweise ISDN, zum anderen aber auch unabhängig vom Internet Service Provider, da der VPN Tunnel unabhängig von der zugrundeliegenden Technologie ist. Site-to-Site VPN Während bisherige Weitverkehrsnetze durch Standardfestverbindungen wie ATM (Asynchronous Transfer Mode) oder Frame Relay realisiert wurden, so werden diese mittlerweile durch sogenannte Site-to-Site-VPNs, auch als Branch-Office- VPNs bezeichnet, ersetzt. Site-to-Site VPNs zeichnen sich dadurch aus, dass sie die relativ hohen Verbindungsgebühren, die durch die bisherige Verwendung von Technologien wie ATM oder Frame Relay entstanden sind, durch eine kostengünstige VPN Verbindung ersetzen. Statt kostenintensiver, direkter Verbindungen zwischen privaten Netzen, realisiert ein VPN die Verbindung zwischen den privaten Netzen über das Internet. Nach [FG05, Seite 182] besteht ein großer Unterschied zu Remote Access VPNs darin, dass die VPN Verbindung nur zwischen den VPN Gateways der privaten Netze besteht. Die Anwender im privaten Netzwerk sind nicht am Aufbau der VPN Verbindung beteiligt. Site-to-Site VPNs sind damit für den Anwender transparent, da keine VPN-Client-Software auf dem Rechner installiert sein muss. Extranet VPN VPNs bilden rein private Netzwerke, auf die nur Angehörige der eigenen Firma oder Organisation zugreifen können und eigene Standorte miteinander verbinden. Extranet VPNs öffnen hingegen das private Netzwerk auch für externe Teilnehmer und gewähren Zugriff auf private Ressourcen. Sie ähneln strukturell Remote Access VPNs oder Site-to-Site VPNs, können aber auch eine Kombination aus beiden sein. Um einen kontrollierten Zugriff auf das private Netzwerk zu ermöglichen, bedarf es einer gesonderten Behandlung des Datenverkehrs von externen Teilnehmern. In der Praxis übernimmt diese Aufgabe entweder der VPN Gateway des privaten Netzwerks oder eine zwischen VPN Gateway und Intranet geschaltete Firewall Tunneling Grundlage für (fast) alle VPNs bildet das sogenannte Tunneling, bei dem Netzwerkpakete eines Protokolls in Netzwerkpakete eines anderen (auch gleichen)

16 Virtuelle Private Netzwerke (VPN) Protokolls eingekapselt und über dieses Netzwerk übertragen werden. Dabei werden die Netzwerkpakete (Schicht 3 im OSI/ISO Modell) mit einem Tunnel-Header versehen, welcher Auskunft über das verwendete Tunneling- Protokoll gibt. In der Praxis existieren verschiedene Protokolle, die das Tunneling realisieren. Hier wären besonders das Layer 2 Tunneling Protocol (L2TP), das IP-Security Protocol (IPSec) und Multi Protocol Label Switching (MPLS) zu erwähnen, auf welche später noch Bezug genommen wird. Das so entstandene neue Netzwerkpaket, bestehend aus dem zu tunnelnden Paket und dem Tunnel-Header, wird nun mit einem neuen Header der Netzwerkschicht versehen und zum Emfänger geschickt. Beim Empfänger angekommen, wird das originale Paket entpackt und entsprechend im Netz weitergeleitet. Sender und Empfänger werden, da sie den Tunnel terminieren, auch als Tunnel- Endpunkte bezeichnet und können gewöhnlich sowohl normalen als auch Tunnel- Netzwerkverkehr verarbeiten. Ein- und Auskapselung der Pakete wird auch als Encapsulation bzw. Decapsulation bezeichnet Tunnel-Modelle Es können drei Tunneling-Modelle unterschieden werden: Intra-Provider-Modell, Provider-Enterprise-Modell und Ende-zu-Ende-Modell. Das Intra-Provider-Modell ist dadurch gekennzeichnet, dass das Tunneling zwischen den Providern stattfindet. Der Nutzer am Ende benötigt keine spezielle Hard- oder Software und nutzt den Tunnel transparent, ohne beim Tunneling involviert zu sein. Dazu richten die Provider jeweils VPN Gateways ein, um den Tunnel zu terminieren. Das Provider-Enterprise-Modell kennzeichnet sich dadurch, dass sowohl der Provider als auch der Endanwender am Tunneling beteiligt sind. Im Unterschied zum Intra-Provider-Modell muss der Endanwender hier eine spezielle Hard- oder Software installieren, um den Tunnel zu terminieren. Beim Ende-zu-Ende Modell ist der Provider schließlich nicht mehr in das Tunneling invovliert, da dies allein vom Endanwender realisiert wird Tunneling-Protokolle Wie bereits erwähnt, existieren verschiedene Tunneling-Protokolle, wobei die bereits genannten Protokolle IP-Security Protocol (IPSec), Layer 2 Tunneling Protocol (L2TP) und Multi Protocol Label Switching (MPLS) eine besondere Rolle spielen, da diese standardisiert sind und in Neuinstallationen andere Tunneling Protokolle zunehmend verdrängen. Im Folgenden werden die Tunneling Protokolle IPSec und L2TP näher beleuchtet. MPLS ist nicht Gegenstand der Betrachtung, da es fast ausschließlich von Providern eingesetzt wird, so dass Endanwender mit dieser Technologie nicht in direkte Berührung kommen.

17 Tunneling-Protokolle 17 Layer 2 Tunneling Protocol Das Layer-2-Tunneling-Protocol ist, wie der Name bereits verrät, ein Protokoll der Sicherungsschicht (Schicht 2 im OSI/ISO Modell) und findet vor allem im Provider-Enterprise-Modell (siehe Abschnitt 2.2.3) Verwendung. Den Tunnelendpunkt auf Seiten des Providers bildet der sogenannte L2TP Access Concentrator (LAC), welcher im Remote Access Concentrator implementiert ist. Am anderen Ende des Tunnels befindet sich der L2TP Network Server (LNS), welcher auf einem Router bzw. VPN Gateway installiert ist. Der Tunnelaufbau findet dabei vom LAC zum LNS statt, wobei zwei Arten von Tunneling unterschieden werden: das Compulsory Tunneling bzw. das Voluntary Tunneling. Erhält der Provider einen eingehenden Ruf, so kann er anhand bestimmter Merkmale des Rufs, beispielsweise einer Benutzer-ID, erkennen, ob der Ruf in das Netz des Providers geleitet oder zum Endanwender getunnelt werden soll. Ist der Ruf für den Endanwender bestimmt, spricht man vom Compulsory Tunneling, auf deutsch etwa zwangsweises Tunneling, da der Aufruf zum Client getunnelt wird, ohne dass dieser die Möglichkeit hat zuzustimmen oder abzulehnen. Damit der Endanwender den Tunnel terminieren kann, benötigt er, wie oben beschrieben, einen L2TP Network Server (LNS). In der Regel wird dieses Equipment vom Provider zur Verfügung gestellt und verwaltet, so dass der Anwender sich darum nicht kümmern muss. Neben der Anwendung im Provider-Enterprise-Modell, kann das Layer-2- Tunneling-Protocol auch im Ende-zu-Ende-Modell verwendet werden. Dabei wird der L2TP Access Concentrator (LAC) durch einen Virtuellen LAC (L2TP Access Concentrator) in Form von Software ersetzt. Hier spricht man vom Voluntary Tunneling, da der Tunnelaufbau zwischen den Clients mit Zustimmung beider Seiten, quasi freiwillig, passiert. Im Gegensatz zum im folgenden Abschnitt beschriebenen IP Security Protocol werden vom Layer-2-Security-Protocol keine Sicherheitsmechanismen für die Übertragung von Daten zur Verfügung gestellt. Sicherheitsmechanismen müssen auf anderen Ebenen wie beispielsweise der Anwendungsebene zur Verfügung gestellt werden. So sieht L2TP beispielsweise keine Mechanismen zur Datenverschlüsselung vor. IP Security Protocol Das IPSec Protokoll ist auf der Netzwerkschicht, Schicht 3 im OSI/ISO Modell, angesiedelt. Es wurde ursprünglich für das Internet Protokoll (IP) in Version 6 entwickelt, kann aber auch mit IP Version 4 verwendet werden. Das Protokoll gewährleistet sowohl Authentisierung des Datenursprungs, Datenintegrität [FG05, Seite 169] sowie Datenvertraulichkeit [Lip07, Seite 187]. Datenvertraulichkeit heißt, es wird sichergestellt, dass Daten nur berechtigten Personen bekannt werden [Pfi09b, Seite 21]. Datenintegrität bedeutet, es wird garantiert, dass diese Daten richtig, vollständig und aktuell sind oder dies erkennbar nicht

18 Virtuelle Private Netzwerke (VPN) der Fall ist [Pfi09b, Seite 21]. Im IPSec Protokoll wird dies durch die Protokolle IP Authentication Header (AH) und IP Encapsulation Security Protocol realisiert, die Authentifizierungs- und Verschlüsselungsmechanismen zur Verfügung stellen. Beide Protokolle werden am Ende dieses Abschnitts näher betrachtet, zuvor wird auf die grundlegende Funktionsweise von IPSec eingegangen. IP Security Betriebsmodi IPSec kennt zwei Betriebsmodi, den Tunnel Modus sowie den Transport Modus. Im Tunnel Modus werden komplette IP Pakete verschlüsselt, anschließend in neue IP Pakete eingebettet und letztendlich übertragen. Da komplette IP Pakete verschlüsselt werden, ist ein potentieller Angreifer nicht in der Lage, Informationen aus abgehörten Paketen zu beziehen, auch keine über den internen Aufbau des Netzes, da die IP Header mitverschlüsselt werden. Im Gegensatz zum Layer-2-Tunneling Protocol kann IPSec im Tunnel Modus lediglich IP Pakete tunneln. Im Transport Modus hingegen werden nur die Nutzdaten eines IP Pakets, nicht das komplette IP Paket einschließlich Header, verschlüsselt und übertragen. Hier bleiben ausschließlich die Nutzdaten für einen Angreifer verborgen, nicht aber die Informationen des IP Headers. Dennoch wird Datenintegrität für den Header gewährleistet, da eine Prüfsumme über das gesamte IP Paket gebildet wird und somit ein unbefugtes Modifizieren des Headers erkannt werden kann. Der Tunnel Modus wird meist als Basis für das Ende-zu-Ende-Modell verwendet. Dazu müssen alle Teilnehmer über eine IPSec Implementierung verfügen. Der Provider selbst ist nicht in das Tunneling involviert und transportiert aus seiner Sicht lediglich IP Pakete. IPSec Security Association Grundlage für IPSec bilden die sogenannten Security Association (SA). Security Association verwalten Informationen wie beispielsweise den verwendeten Verschüsselungsalgorithmus und bestimmen das Verhalten des Protokolls. Jeder Endpunkt einer IPSec Verbindung verwaltet jeweils eine Security Association für den eingehenden (Inbound SA) und eine für den ausgehenden Datenverkehr (Outbound SA) zu jeder Gegenstelle. Falls Pakete mit unterschiedlichen Sicherheitsanforderungen verschickt werden müssen, werden mehrere Security Association benötigt. Alle SAs eines Endpunktes werden gemeinsam in einer Datenbank, der sogenannten Security Association Database (SAD), gespeichert. Für das Erstellen und Löschen von Sicherheitsassoziationen ist das Internet Key Exchange (IKE) Protokoll verantwortlich, welches außerdem das automatisierte Austauschen von Verschlüsselungsparametern zwischen den Teilnehmern realisiert [FG05, Seite 177]. Damit IPSec Pakete der jeweiligen SA zugeordnet werden können, vefügt jedes

19 Tunneling-Protokolle 19 IPSec Paket über einen Security Parameter Index (SPI), der die Zuordnung zur Security Association speichert. IPSec Paketverarbeitung Die Paketverarbeitung beim IP Security Protocol wird anhand sogenannter Security Policies gesteuert. Security Policies sind Sicherheitsstrategien, die festlegen, was mit ankommenden bzw. abgehenden Paketen zu tun ist. Die Strategien setzen sich aus Regeln zusammen, die sich in einer Datenbank, der sogenannten Security Policy Database (SPD) befinden. Zu versendende Pakete werden von der Transportschicht (Schicht 4) durchgereicht. Anschließend wird anhand der Security Policy Database (SPD) geprüft, was mit dem Paket geschehen soll. Pakete werden entweder verworfen (discard), umgewandelt (apply) oder ohne Umwandlung durch einen IPSec Dienst versandt (bypass). Besteht für das zu versendende Paket eine Security Association, so liefert die Security Policy Database einen Verweis auf diese. Das Paket wird dann entsprechend der Informationen der Security Association verarbeitet und versandt. Existiert keine Security Association, wird das bereits erwähnte IKE Protokoll aufgerufen um diese zu erzeugen, anschließend wird das Paket übertragen. Bei ankommenden Paketen hingegen wird geprüft, ob für diese eine Security Association aufgebaut wurde. Falls keine Security Association vorhanden ist, wird das Paket verworfen, ansonsten entsprechend der Informationen der Security Association umgewandelt. Handelt es sich beim ankommenden Paket nicht um ein IPSec Paket, wird in der Security Policy Database (SPD) geprüft, ob eine der Policies auf das Paket anwendbar ist. Wenn eine Policy anwendbar ist und keine Security Association besteht, wird das Paket verworfen. Ist keine Policy anwendbar, wird das Paket an die nächsthöhere Verarbeitungsschicht durchgereicht. IP Authentication Header und IP Encapsulation Security Protocol Wie zu Beginn des Abschnitts erwähnt, wird in IPSec Datenvertraulichket und Datenintegrität durch die Protokolle IP Encapsulation Protocol (ESP) und IP Authentication Header (AH) gewährleistet. Das AH Protokoll gewährleistet Datenintegrität, indem über das komplette IP Paket samt IP Header eine Prüfsumme vom Absender berechnet wird. Für die Berechnung der Prüfsumme wird neben den Daten im IP Paket, auch ein von Absender und Empfänger gemeinsam genutzer Schlüssel verwendet [FG05, Seite 170], dieser wurde zuvor durch das bereits erwähnte IKE (Internet Key Exchange) Protokoll ausgetauscht [FG05, Seite 177]. Die berechnete Prüfsumme wird anschließend in den AH Header geschrieben, welcher wiederum zwischen IP Header und Nutzdaten im IP Paket platziert wird. Der Empfänger des Pakets kann anhand der im Header stehenden Prüfsumme und des gemeinsamen Schlüssels ebenfalls die Prüfsumme berechnen und mit der im AH Header empfangenen vergleichen. Sind die Prüfsummen gleich,

20 Virtuelle Private Netzwerke (VPN) ist sichergestellt, dass das Paket während des Transports nicht modifiziert wurde. Errechnet der Empfänger eine andere Prüfsumme, muss davon ausgegangen werden, dass das Paket modifiziert und die Datenintegrität verletzt wurde. Während das IP Authentication Header Protocol lediglich Authentisierung und Datenintegrität gewährleistet, kann mit dem IP Encapsulation Security Protocol (ESP) zusätzlich Datenvertraulichkeit garantiert werden [Lip07, Seite 184] [FG05, Seite ]. Um Datenvertraulichkeit zu gewährleisten, verschlüsselt ESP, je nach verwendetem Betriebsmodus, entweder das komplette IP Paket (Tunnel-Modus) oder nur die Nutzlast (Transport-Modus) [FG05, Seite 170]. Der zum Verschlüsseln benötigte Schlüssel wird ebenfalls vom IKE Protokoll ausgetauscht [FG05, Seite 177] SSL-VPN Im Gegensatz zu Layer-2-Security-Protocol und IP Security Protocol ist SSL- VPN kein Protokoll, sondern bezeichnet die Technologie mittels einer SSL (Secure Socket Layer) bzw. TLS (Transport Layer Security) Verbindung ein VPN zu errichten. Der größte Unterschied zu L2TP oder IPSec realisierten VPNs ist, dass ein SSL-VPN streng genommen nicht auf Tunneling basiert, da SSL kein Tunneling- Protokoll ist (siehe Abschnitt 2.2.4). Aus diesem Grund werden SSL-VPNs teilweise nicht als echte VPNs akzeptiert. Wird der Tunneling Aspekt hingegen vernachlässigt und das Thema VPN auf eine sichere Verbindung zwischen zwei Anwendungen reduziert, so kann man die Technologie dennoch für Remote- Access- oder Extranetanwendungen verwenden. Im Folgenden wird kurz auf die Protokolle Secure Socket Layer (SSL) bzw. Transport Layer Security (TLS) eingegangen. Anschließend wird die Funktionsweise von SSL-VPNs erklärt. SSL und TLS Secure Socket Layer (SSL) ist ein Protokoll das auf dem Transmission Control Protocol (TCP) aufsetzt und ursprünglich von der Firma Netscape als Erweiterung des Hyptertext Transfer Protokolls (HTTP) entworfen wurde. Ziel war es, eine optionale Sicherheitskomponente zu schaffen um beispielsweise Geschäftsanwendungen sicher über das Internet nutzen zu können. Um dies zu realisieren, unterstützt SSL Authentfizierung- sowie Verschlüsselungsalgorithmen. Beim Aufbau einer SSL Sitzung für SSL-VPN authentifizieren sich Client und Server gegenseitig und einigen sich auf das einzusetzende Verschlüsselungsverfahren. Danach wird die verschlüsselte Verbindung aufgebaut um im Anschluss die Nutzdaten sicher übertragen zu können. Die Arbeit an SSL endete mit Version 3.0 und mündete in die Entwicklung des Transport Layer Security (TLS) Protocol. Das TLS Protokoll ist ausführlich in [DR] beschrieben.

21 SSL-VPN 21 Funktionsweise SSL-VPNs werden mittels spezieller SSL-VPN Gateways realisiert. Der Client baut dabei über SSL bzw. TLS eine authentifizierte und verschlüsselte Verbindung zum SSL-VPN Gateway auf, der Zugriff auf Anwendungen des privaten Netzwerks gestattet. Im Unterschied zu IPSec wird aber nicht nur eine einzige Verbindung (bei gleicher Sicherheitsstufe) für alle Anwendungen aufgebaut, sondern für jede Applikation eine eigene Verbindung erstellt. Es werden mehrere SSL-VPN Modi unterschieden: Browser-based, Enhanced browser-based, Client-based und Network-based Clients. Browser-based Modus Beim Browser based Modus fungiert der Internetbrowser des Anwenders als Client, dies ist der einfachste Modus. Hier können nur Anwendungen genutzt werden, die selbst auf SSL oder dem Hypertext Transfer Protokoll (HTTP) basieren. In allen anderen Fällen muss der SSL-VPN Gateway über Funktionalitäten zur Übersetzung von Anwendungen verfügen. Vorteil ist hier, dass das VPN mit jeden Webbrowser genutzt werden kann ohne zusätzliche Clientsoftware installieren zu müssen. Häufig wird der Zugriff auf die Anwendungen im privaten Netzwerk über ein spezielle Startseite, auch Portal genannt, zur Verfügung gestellt. Über dieses Portal kann der Benutzer dann die Anwendungen, beispielsweise mittels Hyperlink, starten. Enhanced browser-based Modus Wie der Name bereits verrät, handelt es sich beim Enhanced browser-based Modus um einen erweiterten Browser-based Modus. Es können hier auch Anwendungen im privaten Netzwerk genutzt werden, die selbst nicht browserbasiert sind. Dazu stellt der SSL-VPN Gateway spezielle Anwendungen, beispielsweise in Form von Java Applets, zur Verfügung. Diese Applets können vom Client heruntergeladen und im Browser ausgeführt werden. Aufgabe der Applets ist es, Eingaben von anderen Anwendungen entgegenzunehmen und diese über die SSL gesicherte HTTP Verbindung zum SSL-VPN Gateway zu übertragen. Dazu öffnen die Applets auf Seiten des Clients einen Port über den mit dem Applet kommuniziert werden kann [FG05, Seite ]. Nachteilig ist hier, dass der SSL-VPN Gateway auch nur die Applikationen sicher übertragen kann, für welche die entsprechenden technischen Vorraussetzungen existieren. Client-based Modus Auf dem Client-based Modus basierende SSL-VPNs verzichten auf die Benutzung des Browsers als Client und setzen spezielle Client Programme ein, die vom Nutzer auf dem lokalen Rechner installiert werden müssen. Diese Programme hängen sich in den TCP/IP Protokollstapel ein, um TCP bzw. UDP Pakete sowie teilweise IP Pakete für die SSL Verarbeitung umzuleiten. Weiterhin existieren Clients, die bereits auf Netzwerkadapter Ebene ansetzen.

22 Virtuelle Private Netzwerke (VPN) Network-based Clients Modus Im Network-based Clients Modus wird der Client nicht mehr als Software vom Anwender installiert, sondern vom Gateway als Anwendung, beispielsweise als Java Applet, geladen. Damit können die Vorteile des Browser-based- sowie des Client-based-Modus kombiniert werden. Nachteilig ist hier, dass der Anwender Administratorrechte benötigt, um dem Applet Zugriff auf den TCP/IP Protokollstapel zu gewähren. Alle Modi haben gemein, dass zwischen Client und SSL-VPN Gateway die zu übertragenden Daten in das HTTP Protokoll eingebettet werden müssen, da SSL lediglich HTTP transportiert. Der SSL-VPN Gateway extrahiert die Anwendungsdaten aus dem HTTP Protokoll und übernimmt die Kommunikation mit dem Applikationsserver im internen Netzwerk. Dies ist ein Nachteil für SSL-VPNs, da der SSL-VPN Gateway nur die Protokolle verarbeiten kann, die auch von diesem unterstützt werden. IPSec basierte VPNs haben hier den Vorteil gegenüber SSL-VPNs, alle Anwendungen verarbeiten zu können, die auf dem IP Protokoll basieren, da kein zusätzlicher Aufwand notwendig ist. Vorteil von SSL-VPNs hingegen ist, dass sie verhältnismäßig leicht zu installieren sind [FG05, Seite 193]. Nachdem Grundlagen im Bereich Firewall und Virtuelle Private Netzwerke vermittelt wurden, soll im folgenden Kapitel das Szenario vorgestellt werden.

23 3. Szenario In diesem Kapitel wird das Szenario vorgestellt. Als Szenario dient ein Netzwerk, wie es an einer fiktiven Informatikfakultät vorkommen könnte. Zu Beginn des Kapitels wird das Szenario näher beschrieben und im Anschluss bezüglich seiner Sicherheit analysiert. Ziel ist es Sicherheitsmechanismen zu erarbeiten, die später im Versuchsaufbau praktisch umgesetzt werden Szenariobeschreibung Im Rahmen eines Fakultät Neubaus soll das Netzwerk der Fakultät neu konzipiert werden. Um Informationen für die Öffentlichkeit zur Verfügung zu stellen, verfügt die Fakultät über einen Internetauftritt. Dieser soll uneingeschränkt von überall erreichbar sein. Studenten, Mitarbeiter und interessierte Außenstehende sollen freien Zugang zum Internetauftritt und allen dort verfügbaren Informationen haben. Da innerhalb der letzten Jahre die tägliche Anzahl an Zugriffen auf den Webserver stark gestiegen ist, wird der alte Server durch einen neuen, leistungsstärkeren Server beim Umzug ersetzt. Der Webserver soll natürlich nicht nur von außerhalb, sondern auch vom Intranet der Fakultät für Mitarbeiter und Studenten erreichbar sein. Weiterhin stellt die Fakultät Mitarbeitern und Studenten eine Mailbox zur Verfügung, auch hier sollen s von überall empfangen und versandt werden können. Mitarbeiter und Studenten wollen ihre Mailbox nicht nur innerhalb der Fakultät, sondern auch von daheim oder unterwegs abrufen und s versenden können. Da auch hier die Anforderungen an die Serverhardware gestiegen sind, wird ebenfalls ein neuer Mailserver angeschafft. Um dem Zuwachs an Studenten gerecht zu werden, sollen auch die PC Pools der Fakultät erweitert und mit neuer Technik versehen werden. Mit dem Neubau der Fakultät werden deshalb neue Rechner gekauft, welche die bisherigen im PC Pool ersetzen. Der PC Pool wird hauptsächlich von Studenten verwendet, welche für die Nutzung über ein studentisches Login verfügen sollen. Mitarbeiter der Fakultät sollen über ein eigenes, vom studentischen Intranet getrenntes, LAN verfügen. Dazu werden alle Rechner der Mitarbeiter zu einem Mitarbeiter LAN vernetzt. Für Außenstehende, beispielsweise Gäste, soll es die Möglichkeit geben, Zugriff auf das Internet mittels temporären Gastlogin zu erhalten. Um den Administrationsaufwand der einzelnen Rechner im Netzwerk, beispielsweise im PC Pool, gering zu halten, ist es weiterhin notwendig, die Nutzer mit Login und Passwort zentral zu verwalten. Diese Aufgabe übernimmt ein

24 Sicherheitsanalyse Verzeichnisdienst, welcher auf einem weiteren Server betrieben wird [Prob]. Alle persönlichen Nutzerverzeichnisse befinden sich auf einem zentralen Fileserver. Da im Rahmen von Forschung und Entwicklung sowie Lehre, Projekte bearbeitet werden, wird weiterhin ein Server benötigt, auf dem diese verwaltet werden können. Angedacht ist hier ein Dienst zur Versionsverwaltung wie beispielsweise Subversion (SVN) 1. Um die Projekte zu verwalten, sollen alle Mitglieder Zugriff auf ihr Projekt auf dem Projektserver erhalten. Da Studenten im Rahmen von Praktika und Tätigkeiten als Hilfskraft an Projekten mitarbeiten, sollen auch sie für die Dauer des Projekts Zugriff zum Projektserver über das Internet bekommen. Gelegentlich kommt es vor, dass auch Projektpartner aus der Wirtschaft Einblick in das Projekt wünschen bzw. Zugang benötigen um aktiv am Projekt mitzuwirken. Auch Studenten und Mitarbeitern soll, um ein möglichst flexibles Arbeiten zu ermöglichen, von zu Hause oder unterwegs, Zugriff auf den Projektserver gewährt werden. Für alle anderen Personengruppen darf kein Zugriff auf den Projektserver möglich sein, um die sensiblen Projektdaten zu schützen. Wartungs- und Administrationstätigkeiten an den einzelnen Systemen werden von Mitarbeitern der Fakultät übernommen Sicherheitsanalyse Im Folgenden werden die Sicherheitsanforderungen an das Netzwerk untersucht. Die Analyse orientiert sich dabei an den vom Bundesamt für Sicherheit in der Informationstechnik (BSI) 2 veröffentlichten IT-Grundschutz-Standards, im Speziellen dem BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise [fsidi08a] und den dazu verfügbaren IT-Grundschutz-Profilen [fsidi08b], [fsidi04a] und [fsidi04b]. Die in diesem Standard beschriebenen Verfahren der Strukturanalyse sowie Schutzbedarfsfeststellung sollen im Folgenden näher betrachtet und angewandt werden. Zur besseren Übersichtlichkeit wird zunächst das Ergebnis der Sicherheitsanalyse in Form eines Netzplans dargestellt. Anschließend wird gezeigt, wie dieses Ergebnis erzielt wurde Resultierender Netzplan Abbildung 3.1 stellt den Netzplan dar. Dieser zeigt den grundlegenden Aufbau des im Szenario beschriebenen Netzwerks, nachdem entsprechende Sicherheitsmechanismen für dieses Szenario erarbeitet und auf das Szenario angewandt wurden. Dabei wurde zu Beginn die Struktur des Netzwerks anhand der Strukturanalyse, Abschnitt 3.2.2, untersucht und aus den damit gewonnenen Erkenntnissen der Schutzbedarf, Abschnitt 3.2.3, festgestellt. Anschließend wurden entsprechende Sicherheitsmechanismen, Abschnitt 3.2.4, abgeleitet https://www.bsi.bund.de

25 Resultierender Netzplan 25 Internet VPN Gateway Firewall Demilitarisierte Zone 1 LAN Demilitarisierte Zone 2 LAN Webserver Mailserver Fileserver Demilitarisierte Zone 1 Projektserver Demilitarisierte Zone 2 Mitarbeiter LAN Studenten LAN (PC Pool) Verzeichnisdienst Abbildung 3.1.: Netzplan

26 Sicherheitsanalyse Strukturanalyse Die Strukturanalyse verfolgt den Zweck strukturelle Informationen zu erheben, welche im weiteren Vorgehen bei der Erstellung des Sicherheitskonzepts, im Speziellen der Schutzbedarfsfeststellung, benötigt werden. Weiterhin ist sie auch bei Überprüfung, Wartung, Fehlersuche und Instandsetzung notwendig [fsidi08a]. Das Verfahren sieht vor, alle IT-Systeme des Netzwerks zu erfassen. Der Begriff IT-System wird dabei wie folgt definiert [fsidi08a, Seite 45-46]: Der Begriff IT-System umfasst dabei nicht nur Computer im engeren Sinn, sondern auch aktive Netzkomponenten, Netzdrucker, TK- Anlagen, etc. Die technische Realisierung eines IT-Systems steht im Vordergrund, beispielsweise Einzelplatz-PC, Windows Server 2003, Client unter Windows XP, Unix-Server, TK-Anlage usw. An dieser Stelle soll nur das System als solches erfasst werden (z. B. Unix- Server), nicht die einzelnen Bestandteile, aus denen das IT-System zusammengesetzt ist (also nicht Rechner, Tastatur, Bildschirm etc.) Weiterhin sollen auch alle Anwenderrollen des Systems erfasst werden, was jeweils in tabellarischer Form geschieht [fsidi08a, Seite 46]. Unter Rollen werden hier die verschiedenen Anwender mit unterschiedlichen Rechten verstanden. Ausgangspunkt für die folgende Strukturanalyse bildet im Fall des zu konzipierenden Netzwerks die Szenariobeschreibung, aus welcher die aufgeführten Rollen und IT-Systeme entnommen wurden. Tabelle 3.1 listet alle Anwenderrollen des Netzwerks mit den folgenden Elementen auf: einer Bezeichnung für die Rolle des Anwenders (z.b. Mitarbeiter ), einer kurzen Beschreibung der Rolle. Wie der Tabelle 3.1 zu entnehmen ist, wurden vier Rollen ermittelt. Die Rolle Mitarbeiter umfasst dabei sowohl Mitarbeiter die forschend tätig sind als auch Mitarbeiter die Administrativ- bzw. Wartungsaufgaben übernehmen. Die Rollen Mitarbeiter, Student und Außenstehende sehen sowohl Zugriff vom Intranet als auch vom Internet auf das Fakultätsnetzwerk vor, wobei der Zugriff für Außenstehende begrenzt ist, wie Tabelle 3.2 zu entnehmen ist. Zugriff für die Rolle Projektpartner ist nur über das Internet möglich und ist ebenfalls, wie in Tabelle 3.2 dargestellt, beschränkt. Tabelle 3.2 listet alle anhand der Szenariobeschreibung ermittelten IT-Systeme des Netzwerks auf und vermerkt analog zu [fsidi08a, Seite 46]: eine eindeutige Bezeichung des IT-Systems, eine Beschreibung des IT-Systems, sowie die Nutzer des IT-Sytems.

27 Strukturanalyse 27 Rolle Mitarbeiter Student Projektpartner Außenstehende Beschreibung Angehörige der Fakultät, welche als Mitarbeiter in Forschung und Administration tätig sind. Zugriff erfolgt hier sowohl vom Intranet (Mitarbeiter LAN) als auch vom Internet (z.b. unterwegs von außwärtigen Konferenzen). Studenten der Fakultät Informatik. Zugriff erfolgt hier sowohl vom Intranet (PC Pool) als auch vom Internet (z.b. von zu Haus). Nicht-Angehörige der Fakultät Informatik, welche an aktuellen Forschungsprojekten beteiligt sind. Hierzu zählen beispielsweise Partner aus Industrie und Wirtschaft. Zugriff erfolgt hier vom Internet (z.b. vom Unternehmen). Alle anderen Personengruppen, die weder Mitarbeiter, Studenten noch Projektpartner sind und nicht der Fakultät angehören. Zugriff kann hier vom Internet (z.b. von zu Hause) oder Intranet mittels temporären Gastlogin erfolgen. Tabelle 3.1.: Rollen System Beschreibung Anwender Webserver Hosting des Internetauftritts der Fakultät Mailserver Bereitstellung von Maildiensten Fileserver Zentrale Speicherung der persönlichen Nutzerverzeichnisse und -daten Verzeichnisdienst Verwaltung und Speicherung der Nutzerlogins Projektserver Verwaltung von Projekten im Rahmen der Forschungsarbeit Tabelle 3.2.: IT-Systeme Gäste vom Intranet, Alle vom Internet Mitarbeiter, Studenten Gäste vom Intranet, Mitarbeiter, Studenten Gäste vom Intranet, Mitarbeiter, Studenten, Projektpartner Mitarbeiter, am jeweiligen Projekt beteiligte Studenten, Projektpartner

28 Sicherheitsanalyse Schutzbedarfsfeststellung Nach BSI-Standard [fsidi08a] ist das Ziel der Schutzbedarfsfestellung für die in der Strukturanalyse ermittelten Objekte zu entscheiden, welchen Schutzbedarf sie bezüglich Vertraulichkeit (Vertraulichkeit bedeutet dass Informationen nur Berechtigten bekannt werden [Pfi09b, Seite 21].), Integrität (Integrität bedeutet, dass Informationen richtig, vollständig und aktuell sind oder dies erkennbar nicht der Fall ist [Pfi09b, Seite 21].) und Verfügbarkeit (Verfügbarkeit bedeutet Informationen sind dort und dann zugänglich, wo und wann sie von Berechtigten gebraucht werden [Pfi09b, Seite 21].) besitzen. Anders als im BSI-Standard beschrieben, soll hier der Schutzbedarf nicht anhand der erfassten Objekte (IT-Systeme), sondern anhand der Anwenderrollen ermittelt werden. Ziel ist es, eine Schutzbedarfsanalyse durchzuführen, die dem Ansatz der mehrseitigen Sicherheit folgt [Pfi09a]. Mehrseitige Sicherheit heißt, es sollen die Schutzinteressen aller Anwenderrollen (Mitarbeiter, Studenten, Projektpartner, Außenstehende) des Netzwerks einbezogen werden [Pfi09a, Seite 39]. Dazu werden die in der Strukturanalyse ermittelten Anwenderrollen jeweils bezüglich der Schutzziele (Vertraulichkeit, Integrität und Verfügbarkeit) näher untersucht. Die Betrachtung geschieht geordnet nach Rollen, analog der in Tabelle 3.1 aufgelisteten Rollen. Die Notierung ist an das Schema in [Pfi09a, Seite 191] angelehnt. Aus dem Ergebnis der Analyse lassen sich dann die bei der Konzeption des Netzwerks umzusetzenden Sicherheitsmaßnahmen ableiten. Analyse der Rolle Mitarbeiter Schutzbedarf bezüglich des Schutzziels Vertraulichkeit Vertraulich bleiben sollen: Daten auf dem Projektserver für alle außer den am Projekt beteiligten Personen (Projektpartner, Studenten bzw. andere Mitarbeiter) s auf dem Mailserver für alle außer den an der Mailkommunikation beteiligten Personen Nutzerspezifische Daten auf dem Fileserver Logindaten im Verzeichnisdienst Daten, welche während des Abgleichs mit dem Projektserver über Internet und Intranet übertragen werden s, welche während des Sendens bzw. Empfangens über Internet und Intranet übertragen werden Daten, welche während der Kommunikation mit dem Fileserver über Internet und Intranet übertragen werden

29 Schutzbedarfsfeststellung 29 Lokal gespeicherte Daten (z.b. Desktop am Arbeitsplatz, Laptop daheim) für alle Personen bei Wartungsarbeiten durch Mitarbeiter in der Administration übertragene Daten Schutzbedarf bezüglich des Schutzziels Integrität Unbefugtes Modifizieren von folgenden Daten muss verhindert werden: Daten auf dem Projektserver und während der Kommunikation mit dem Projektserver übertragene Daten Daten auf dem Mailserver und während der Kommunikation mit dem Mailserver übertragene Daten Daten auf dem Fileserver und während der Kommunikation mit dem Fileserver übertragene Daten Logindaten im Verzeichnisdienst und während der Kommunikation mit dem Verzeichnisdienst übertragene Daten Daten am Arbeitsplatz Schutzbedarf bezüglich des Schutzziels Verfügbarkeit Zugriff auf folgende Server muss von Intranet und Internet möglich sein: Projektserver Mailserver Fileserver Webserver Analyse der Rolle Student Schutzbedarf bezüglich des Schutzziels Vertraulichkeit Vertraulich bleiben sollen: Daten auf dem Projektserver für alle außer den am Projekt beteiligten Personen (Projektpartner, Mitarbeiter, andere Studenten) s auf dem Mailserver für alle außer den an der Mailkommunikation beteiligten Personen Nutzerspezifische Daten auf dem Fileserver Logindaten im Verzeichnisdienst Daten, welche während des Abgleichs mit dem Projektserver über Internet und Intranet übertragen werden

30 Sicherheitsanalyse s, welche während des Sendens bzw. Empfangens über Internet und Intranet übertragen werden Daten, welche während der Kommunikation mit dem Fileserver über Internet und Intranet übertragen werden Schutzbedarf bezüglich des Schutzziels Integrität Unbefugtes Modifizieren von folgenden Daten muss verhindert werden: Daten auf dem Projektserver und während der Kommunikation mit dem Projektserver übertragene Daten Daten auf dem Mailserver und während der Kommunikation mit dem Mailserver übertragene Daten Daten auf dem Fileserver und während der Kommunikation mit dem Fileserver übertragene Daten Logindaten im Verzeichnisdienst und während der Kommunikation mit dem Verzeichnisdienst übertragene Daten Schutzbedarf bezüglich des Schuttziels Verfügbarkeit Zugriff auf folgende Server muss von Intranet und Internet möglich sein: Projektserver Mailserver Fileserver Webserver Analyse der Rolle Projektpartner Schutzbedarf bezüglich des Schutzziels Vertraulichkeit Vertraulich bleiben sollen: Daten auf dem Projektserver für alle außer den am Projekt beteiligten Personen (Mitarbeiter, Studenten, andere Projektpartner) zwischen Projektserver und Rechner auf Seiten des Projektpartners übetragene Daten Schutzbedarf bezüglich des Schutzziels Integrität Unbefugtes Modifizieren von folgenden Daten muss verhindert werden: Daten auf dem Projektserver und während der Kommunikation mit dem Projektserver übertragene Daten Schutzbedarf bezüglich des Schutzziels Verfügbarkeit Zugriff auf folgende Server muss vom Internet möglich sein: Projektserver Webserver

31 Sicherheitsmechanismen 31 Analyse der Rolle Außenstehende Schutzbedarf bezüglich des Schutzziels Verfügbarkeit Zugriff auf folgende Server muss von Intranet und Internet möglich sein: Webserver Sicherheitsmechanismen Nachdem die einzelnen Rollen bezüglich des Schutzbedarfs analysiert wurden, werden im Folgenden die Sicherheitsmechanismen für die geplanten IT-Systeme erarbeitet. Dazu werden die Schutzziele der einzelnen Rollen betrachtet, gemeinsame Schutzziele zusammengefasst und ausgehend davon entsprechende Sicherheitsmechanismen abgeleitet. Die erarbeiteten Sicherheitsmechanismen sind anschließend in der Praxis umzusetzen. Sicherheitsmechanismen Projektserver Die Rollen Mitarbeiter, Student und Projektpartner haben gemein, dass sie Vertraulichkeit und Schutz vor unbefugter Modifikation für Daten auf dem Projektserver und während der Kommunikation mit dem Projektserver fordern. Nur am Projekt beteiligte Personen sollen Zugriff auf die Daten des Projekts haben. Weiterhin wird gefordert, dass nicht nur vom Intranet (Rolle Mitarbeiter und Student), sondern auch von außerhalb auf den Projektserver zugegriffen werden kann. Hier bietet es sich an, den Projektserver in einer Demilitarisierten Zone (DMZ) zu platzieren. Diese gewährleistet, dass der Projektserver vom Intranet und Internet für alle berechtigten Personen erreichbar ist, gleichzeitig aber bei einer Kompromittierung des Systems von außen, der Angreifer zwar möglicherweise Kontrolle über den Server, aber keinen Zugriff auf das interne Netz bekommt. Das Umsetzen der DMZ geschieht mittels einer zentralen Firewall. Um zu gewährleisten, dass Zugriff auf den Projektserver vom Internet nur von den dazu berechtigten Personen möglich ist, wird der Zugang zum Projektserver über ein VPN Gateway gesichert. Als VPN Technologie soll ein SSL-VPN (siehe Abschnitt 2.2.5) zum Einsatz kommen, da diese sowohl Authentifizierung als auch Verschlüsslungsmechanismen bieten und der Administrationsaufwand gering ist. Jede an einem Projekt beteiligte Person authentifiziert sich dazu am VPN Gateway und erhält so Zugang in die Demilitarisierte Zone des Projektservers. Für das Abrufen und Bearbeiten der Projekte auf dem Projektserver ist zusätzlich eine Authentifizierung über Nutzername und Passwort notwendig. Dazu bietet die Versionsverwaltung Subversion (SVN) verschiedene Formen der Authentifizierung, wie beispielsweise über Secure Shell (SSH) [CSFP]. SSH ist ein Dienst der authentifizierten und verschlüsselten Zugang zu entfernten Sytemen über unsichere Netze gestattet und wird beispielsweise bei der Fernwartung von

32 Sicherheitsanalyse Servern verwendet [YCL]. Vorteil bei diesem Verfahren ist, dass die Kommunikation zwischen Client und Projektserver zusätzlich verschlüsselt wird. Subversion ermöglicht es für jeden Nutzer individuelle Zugriffsrechte zu setzen. Dies gewährleistet Schutz vor unbefugter Modifikation von Daten auf dem Server sowie Vertraulichkeit der Daten [CSFP]. Die Authentifizierung am Projektserver aus dem Intranet geschieht ebenfalls über SSH. Die verschlüsselte Verbindung über SSH gewährleistet Schutz vor unbefugter Modifikation und sichert die Vertraulichkeit der Daten auch bei der Übertragung im Intranet. Sicherheitsmechanismen Mailserver Die Rollen Mitarbeiter und Student fordern, dass s auf dem Mailserver und während der Kommunikation mit dem Mailserver für alle außer den an der Mailkommunikation beteiligten Personen vertraulich bleiben sollen und ein unbefugtes Modfizieren von Daten auf dem Mailserver und während der Kommunikation mit dem Mailserver durch Dritte verhindert werden soll. In der Praxis bedeutet das, dass jeder Mitarbeiter Zugriff auf seine Mailbox nur mittels vorheriger Authentifizierung gegenüber dem Server erhält. Die Authentifizierung sollte zusätzlich verschlüsselt sein, um einem potentiellen Angreifer der Verbindung zwischen Mitarbeiter und Mailserver (Man-in-the-Middle Attacke) das Ausspähen des Passworts der Mailbox zu erschweren. Weiterhin muss die Mailübertragung zwischen den Kommunikationspartnern gesichert werden, indem die s verschlüsselt vom und zum Server übertragen werden. Um die genannten Anforderungen zu erfüllen, muss der Mailserver zum Versenden von s das Extended Simple Mail Transfer Protocol (ESMTP) unterstützen. ESMTP ist eine Erweiterung für das Simple Mail Transfer Protocol (SMTP), welches dieses um einen Mechanismus zur Client Authentifizierung sowie um eine Verschlüsselung der Verbindung zwischen Client und Server ergänzt [Smi06]. Die Erweiterung zur Client Authentifizierung wird auch SMTP Service Extension for Authentication, kurz SMTP AUTH, genannt und baut auf der Simple Authentication and Security Layer (SASL) auf [Smi06]. Bei SASL handelt es sich um ein Framework, welches Authentifizierung für Protokolle wie SMTP zur Verfügung stellt, die von Haus aus keine entsprechenden Mechanismen unterstützen [Smi06]. Um die von SASL zur Verfügung gestellten Authentifizierungsmechanismen in einem Protokoll verwenden zu können, muss das Protokoll um ein Kommando erweitert werden, welches signalisiert, dass eine Authentifizierung über SASL stattfinden soll [Myea]. Als Argument wird diesem Kommando der zur Authentifizierung zu nutzende SASL Authentifizierungsmechanismus übergeben [Myea]. Im Fall von SMTP AUTH heißt dieses Kommando AUTH [Myeb]. Sendet der Mailclient das AUTH Kommando gefolgt vom gewünschten Authentifizierungsverfahren an den Server, leitet der SMTP Server eine Authentifizierung über das gewünschte Verfahren ein oder weist die Anfrage mit einem

33 Sicherheitsmechanismen 33 Fehler zurück, falls das Verfahren nicht vom Server unterstützt wird. Welche Authentifikationsverfahren von SASL unterstützt werden, ist in [Myea] näher beschrieben. Alle Verfahren gewährleisten, dass die Authentifikation verschlüsselt stattfindet. Die ESMTP Erweiterung zur Verschlüsselung der Kommunikation zwischen Client und Mailserver wird SMTP STARTTLS genannt und basiert auf dem Transport Layer Security (TLS) (siehe Abschnitt 2.2.5) Protokoll [Hof]. Möchte der Mailclient eine verschlüsselte Verbindung zum SMTP Server aufbauen, sendet er das STARTTLS Kommando an den Server. Unterstützt dieser die Erweiterung, wird eine verschlüsselte Verbindung ausgehandelt, im anderen Fall antwortet der Server mit einem Fehler. Um auch für das Abrufen von s die genannten Anforderungen zu erfüllen, muss der Mailserver entsprechende Authentifizierungs- und Verschlüsselungsmechanismen für die Protokolle POP3 (Post Office Protocol) 3 und IMAP (Internet Message Access Protokol) unterstützen. Sowohl POP3 als auch IMAP sehen bereits verschiedene Authenfizierungsmechanismen vor [Tod07]. Bei der einfachsten Form der Authentfizierung werden Nutzer und Passwort im Klartext übertragen, was ohne eine Verschlüsselung der Kommunikation nicht sicher ist. Neben Authentfizierung über Klartext unterstützt POP3 das optionale APOP Verfahren, bei dem die Authentifizierung über ein Challenge-Response-Verfahren stattfindet. Dazu schickt der Server, nachdem sich der Client mit diesem verbunden hat, eine Pseudo-Zufalls Zeichenkette an den Client. Dieser konkateniert die Zeichenkette mit seinem Klartextpasswort und berechnet den MD5 Hash (ein Fingerabdruck, siehe [Riv]) für diesen String. Im Anschluss überträgt der Client Nutzername und Hash zum Server, welcher die gleiche Berechnung durchführt und die Resultate vergleicht. Abhängig vom Ergebnis wird der Client dann authentisiert oder zurückgewiesen. Ein Sicherheitsrisiko ist hier, dass das Nutzerpasswort auf dem POP3 Server im Klartext gespeichert werden muss, damit das Verfahren funktioniert. Auch die Protokolle POP3 und IMAP wurden durch SASL erweitert [Tod07]. Für POP3 und IMAP existieren dadurch neben der Authentifizierung über Klartext Logindaten und APOP bei POP3 die gleichen Authentifizierungsmechanismen wie für ESMTP, welche je nach POP3 bzw. IMAP Serversoftware unterstützt und vom Client mittels eines speziellen Kommandos, AUTHENTICATE bei IMAP bzw. AUTH bei POP3, aufgrufen werden können. Um maximale Sicherheit der Authentifizierung zu gewährleisten, sollte der Mailserver deshalb die SASL Erweiterung für POP3 und IMAP unterstützen. Wie bereits bei SMTP existiert auch für POP3 und IMAP eine STARTTLS Erweiterung, so dass eine Verschlüsselung zwischen Client und Mailserver gewährleistet werden kann [New]. Diese muss ebenfalls vom Mailserver implementiert sein, um den Sicherheitsanforderungen zu genügen. Eine wirklich sichere Kommunikation ist damit aber noch nicht gewährleistet, 3

34 Sicherheitsanalyse da zwar die Kommunikation vom und zum Mailserver gesichert ist, die s aber unverschlüsselt auf dem Server gespeichert sind. Dieses Problem lässt sich nur auf Anwenderseite lösen, indem Mail Clients eingesetzt werden, welche Verschlüsslung und Signierung, beispielsweise mittels OpenPGP 4, unterstützen. Weiterhin wurde von den Rollen Mitarbeiter, Student gefordert, dass der Mailserver sowohl vom Intranet als auch vom Internet erreichbar sein soll. Um die genannte Forderung zu gewährleisten und gleichzeitig sicherzustellen, dass im Falle eines kompromittierten Mailservers kein Zugriff auf das Intranet von außen möglich ist, wird der Mailserver in einer zweiten Demilitarisierten Zone (DMZ) platziert. Die DMZ des Projektservers ist für den Mailserver nicht geeignet, da diese nur per VPN zu erreichen ist und nicht jeder Student über einen VPN Zugang verfügt. Dies würde der Forderung nach Erreichbarkeit des Mailservers von außen für die Rollen Mitarbeiter und Student entgegenstehen. Sicherheitsmechanismen Webserver Da der Webserver ebenfalls von überall erreichbar sein soll, gleichzeitig aber wie der Mailserver kein Angriffspunkt für ein Eindringen in das Intranet liefern soll, wird der Webserver analog dem Mailserver ebenfalls in der zweiten Demilitarisierten Zone (DMZ) platziert. Dies erfüllt die Forderung der Rollen Mitarbeiter, Student, Projektpartner, Außenstehender nach Erreichbarkeit des Webservers von Internet als auch Intranet. Sicherheitsmechanismen Fileserver Des Weiteren wird durch die Rollen Mitarbeiter und Student gefordert, dass nutzerspezifische Daten auf dem Fileserver vertraulich bleiben sowie ein unbefugtes Modifizieren von Daten verhindert werden soll. Diese Forderung lässt sich mit entsprechenden Verzeichnisrechten umsetzen. Dazu müssen lediglich die Rechte der persönlichen Verzeichnisse so gesetzt werden, dass jeder Nutzer nur auf sein eigenes persönliches Verzeichnis Schreib-, Lese- und Ausführungsrechte erhält. Somit wird ausgeschlossen, dass andere Nutzer Zugriff auf das persönliche Verzeichnis bekommen. Ein unbefugtes Lesen oder Modifzieren der Daten durch Dritte ist nicht möglich. Weiterhin wird durch die Rollen Mitarbeiter und Student gefordert, dass Daten, die während der Kommunikation mit dem Fileserver über Internet und Intranet übertragen werden, ebenfalls vertraulich bleiben und vor unbefugter Modifikation geschützt werden. Um ein Ausspähen oder unbefugtes Modifizieren von Daten bei der Kommunikation über das Intranet mit dem Fileserver zu verhindern, bedarf es zweier Mechanismen. Zum einen dürfen die Verzeichnisse auf dem Fileserver nur nach vorheriger Authentifizierung gegenüber dem Fileserver eingebunden wer- 4

35 Sicherheitsmechanismen 35 den, zum anderen muss die Datenübertragung mit dem Fileserver verschlüsselt sein. Hier bietet es sich an, einen Fileserver auf Network File System (NFS) Basis einzusetzen. NFS ist ein Dateisystem für verteilte Systeme. In Version 4 wurde das NFS Protokoll um Sicherheitsmechanismen erweitert und erfüllt sowohl die Forderung nach Authenfizierungsmöglichkeiten als auch Verschlüsselung der Kommunikation [SCR + ]. Um eine authentifizierte sowie verschlüsselte Verbindung aus dem Internet auf den Fileserver zu ermöglichen, muss Secure Shell (SSH) auf dem Fileserver installiert sein. Der Dienst erlaubt einen entfernten Login auf dem Fileserver und bietet mittels Secure Copy Protocol (SCP) ein Verfahren um Daten verschlüsselt vom und zum Fileserver zu übertragen [Cor]. Damit der Fileserver, wie von den Rollen Mitarbeiter und Student gefordert, sowohl vom Intranet als auch vom Internet erreichbar ist, wird dieser analog zu Mail- und Webserver in der zweiten Demilitarisierte Zone (DMZ) platziert. Sicherheitsmechanismen Verzeichnisdienst Die von den Rollen Mitarbeiter und Student geforderte Vertraulichkeit der Logindaten sowie der Schutz dieser vor unbefugter Modifikation kann durch den Einsatz von OpenLDAP gewährleistet werden. OpenLDAP ist ein Verzeichnisdienst auf Basis des Lightweight Directory Access Protocol (LDAP) [WY] und unterstützt Mechanismen zur Zugriffskontrolle [Prob]. Diese gewährleisten, dass nur berechtigte Personen Zugriff auf die Daten des Verzeichnisdienst erhalten, um diese vor unbefugtem Einsehen und unbefugter Modifikation zu schützen. Weiterhin unterstützt OpenLDAP verschlüsselte Übertragung der Daten mittels Transport Layer Security (TLS). Dies gewährleistet die von den Rollen Mitarbeiter und Student geforderte Vertraulichkeit und Integrität bei der Übertragung der Logindaten. Sicherheitsmechanismen zum Schutz lokaler Daten Obwohl die Demilitarisierten Zonen bei einer Kompromittierung der Server verhindern, dass Zugriff auf lokale Daten im Intranet möglich ist, wie beispielsweise von der Rolle Mitarbeiter gefordert, kann ein Angreifer dennoch, beispielsweise durch ein Trojanisches Pferd, Zugriff auf das Intranet erhalten. So wäre es denkbar, dass ein Angreifer einem Mitarbeiter der Fakultät ein Trojanisches Pferd schickt, welches dieser durch Unwissen installiert und so dem Angreifer Zugriff verschafft. Aus diesem Grund ist es zum Schutz lokaler Daten notwendig, auf allen Rechnern in Mitarbeiter- und Studenten-LAN die Sicherheitskomponenten zum Schutz lokaler Netze [fsidi] des Bundesamts für Sicherheit in der Informationstechnik (BSI), im Speziellen die Komponente Anti-Viren Programme und

36 Sicherheitsanalyse Personal Firewalls am Client umzusetzen. Diese sieht vor, dass jeder Client über ein Anti-Viren-Programm sowie über eine Personal Firewall verfügt, um die Rechner vor Viren, Würmern und Trojanischen Pferden sowie vor Angriffen aus dem Netz zu schützen. Zudem hilft dies bei einer Kompromittierung des Systems zu verhindern, dass ausgespähte Informationen an den Angreifer weitergeleitet werden können. Sicherheitsmechanismen zum Schutz der Datenübertragung bei Wartung Der von der Rolle Mitarbeiter geforderte Schutzbedarf bezüglich der Vertraulichkeit von übertragenen Daten bei Wartungsarbeiten lässt sich durch die bereits genannte Secure Shell (SSH) erreichen. Zu Zwecken der Fernwartung wird auf allen Servern SSH installiert. Dies gestattet Administratoren sich von entfernten Systemen auf den Servern über eine authentfizierte und verschlüsselte Verbindung einzuwählen, um dort administrative Tätigkeiten durchzuführen.

37 4. Versuchsaufbau In diesem Kapitel wird die praktische Umsetzung des Szenarios unter Verwendung der erarbeiteten Sicherheitsmechanismen beschrieben. Basis für den Versuch bildet die Virtualisierungsumgebung VirtualBox 1 der Firma Sun Microsystems, welche unter der VirtualBox Personal Use and Evaluation License (PUEL) 2 für private und akademische Zwecke kostenlos zur Verfügung steht. VirtualBox ist eine sogenannte full virtualization Umgebung. Das heißt, sie ermöglicht einem Betriebssystem ohne zusätzliche Modifikationen in einer speziellen Umgebung, virtuelle Maschine (VM) genannt, auf einem anderen Betriebssystem zu laufen [SM]. Neben dem Betrieb einzelner virtueller Maschinen, bietet VirtualBox die Möglichkeit, diese miteinander in einem virtuellen Netzwerk zu verbinden, was die Grundlage für den Versuchsaufbau bildet. Im folgenden Abschnitt wird der grundlegende Versuchsaufbau mittels virtueller Maschinen in einem virtuellen Netzwerk beschrieben. Im Anschluss werden die einzelnen virtuellen Maschinen und deren Konfiguration näher betrachtet Grundlegender Aufbau Abbildung 4.1 (angelehnt an [Mar, Figure 1]) zeigt den grundlegenden Aufbau des virtuellen Netzwerks, welches aus vier virtuellen Maschinen besteht. Als Bezeichnung tragen die VMs in der Darstellung jeweils ihre Hostnamen, beispielsweise server2 für die virtuelle Maschine des Projektservers, auf welche im Folgenden referenziert wird. Die Informationen zur Konfiguration der virtuellen Maschinen wurden dem VirtualBox Manual [SM09] entnommen, grundlegende Informationen zum Aufbau eines virtuellen Netzwerks entstammen [Ahn05] sowie [SA05]. Die VM fwvpn dient als zentrale Firewall und VPN Gateway. Über vier virtuelle Netzwerkschnittstellen, in der Abbildung eth0 - eth3, ist sie mit den anderen virtuellen Maschinen verbunden. Im Gegensatz zur Firewall VM benötigen die anderen Maschinen jeweils nur eine Netzwerkschnittstelle, über die sie mit der Firewall VM verbunden sind. Der komplette Netzwerkverkehr wird dabei von der Firewall kontrolliert und gesteuert. Die Linien zwischen den (virtuellen) Switches und VMs symbolisieren die (virtuelle) Verkabelung der Maschinen. Sowohl die Anzahl der Netzwerkschnitt

38 Grundlegender Aufbau VirtualBox Virtualisierungsumgebung VM fwvpn VM server1 Firewall VPN Gateway VM server2 Webserver Mailserver eth eth eth eth Projektserver Fileserver Verzeichnisdienst eth eth Switch dmz1 Switch dmz2 VM Intranet PC Pool Rechner Switch intranet eth vboxnet Internetsimulation (Gastsystem) Abbildung 4.1.: Versuchsaufbau

Kurzeinführung VPN. Veranstaltung. Rechnernetze II

Kurzeinführung VPN. Veranstaltung. Rechnernetze II Kurzeinführung VPN Veranstaltung Rechnernetze II Übersicht Was bedeutet VPN? VPN Typen VPN Anforderungen Was sind VPNs? Virtuelles Privates Netzwerk Mehrere entfernte lokale Netzwerke werden wie ein zusammenhängendes

Mehr

VIRTUAL PRIVATE NETWORKS

VIRTUAL PRIVATE NETWORKS VIRTUAL PRIVATE NETWORKS Seminar: Internet-Technologie Dozent: Prof. Dr. Lutz Wegner Virtual Private Networks - Agenda 1. VPN Was ist das? Definition Anforderungen Funktionsweise Anwendungsbereiche Pro

Mehr

VPN. Virtuelles privates Netzwerk. Vortrag von Igor Prochnau Seminar Internet- Technologie

VPN. Virtuelles privates Netzwerk. Vortrag von Igor Prochnau Seminar Internet- Technologie VPN Virtuelles privates Netzwerk Vortrag von Igor Prochnau Seminar Internet- Technologie Einleitung ist ein Netzwerk, das ein öffentliches Netzwerk benutzt, um private Daten zu transportieren erlaubt eine

Mehr

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen IP Security Zwei Mechanismen: Authentication : Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen Encapsulating Security Payloads (ESP): Verschl., Datenauth. Internet Key Exchange Protokoll:

Mehr

VPN Virtual Private Network

VPN Virtual Private Network VPN Virtual Private Network LF10 - Betreuen von IT-Systemen Marc Schubert FI05a - BBS1 Mainz Lernfeld 10 Betreuen von IT-Systemen VPN Virtual Private Network Marc Schubert FI05a - BBS1 Mainz Lernfeld 10

Mehr

VPN Gateway (Cisco Router)

VPN Gateway (Cisco Router) VPN Gateway (Cisco Router) Mario Weber INF 03 Inhalt Inhalt... 2 1 VPN... 3 1.1 Virtual Private Network... 3 1.1.1 Allgemein... 3 1.1.2 Begriffsklärung... 4 1.2 Tunneling... 4 1.3 Tunnelprotkolle... 5

Mehr

Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G

Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G Übersicht Einleitung IPSec SSL RED Gegenüberstellung Site-to-Site VPN Internet LAN LAN VPN Gateway VPN Gateway Encrypted VPN - Technologien Remote

Mehr

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo.

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo. 1 Von 10-16.04.07 Virtuelle Netze Simon Knierim & Benjamin Skirlo für Herrn Herrman Schulzentrum Bremen Vegesack Berufliche Schulen für Metall- und Elektrotechnik 2 Von 10-16.04.07 Inhaltsverzeichnis Allgemeines...

Mehr

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) VPN (Virtual Private Network) Technische Grundlagen und Beispiele Christian Hoffmann & Hanjo, Müller Dresden, 3. April 2006 Übersicht Begriffsklärung

Mehr

P107: VPN Überblick und Auswahlkriterien

P107: VPN Überblick und Auswahlkriterien P107: VPN Überblick und Auswahlkriterien Referent: Christoph Bronold BKM Dienstleistungs GmbH 2004 BKM Dienstleistungs GmbH VPN Überblick VPN Technologien für IP VPN Netzwerk Design VPN Auswahlkriterien

Mehr

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner Adressübersetzung und Tunnelbildung Bastian Görstner Gliederung 1. NAT 1. Was ist ein NAT 2. Kategorisierung 2. VPN 1. Was heißt VPN 2. Varianten 3. Tunneling 4. Security Bastian Görstner 2 NAT = Network

Mehr

VPN: Virtual-Private-Networks

VPN: Virtual-Private-Networks Referate-Seminar WS 2001/2002 Grundlagen, Konzepte, Beispiele Seminararbeit im Fach Wirtschaftsinformatik Justus-Liebig-Universität Giessen 03. März 2002 Ziel des Vortrags Beantwortung der folgenden Fragen:

Mehr

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet.

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet. 1. VPN Virtual Private Network Ein VPN wird eingesetzt, um eine teure dedizierte WAN Leitung (z.b. T1, E1) zu ersetzen. Die WAN Leitungen sind nicht nur teuer, sondern auch unflexibel, da eine Leitung

Mehr

VPN / Tunneling. 1. Erläuterung

VPN / Tunneling. 1. Erläuterung 1. Erläuterung VPN / Tunneling Ein virtuelles privates Netzwerk (VPN) verbindet die Komponenten eines Netzwerkes über ein anderes Netzwerk. Zu diesem Zweck ermöglicht das VPN dem Benutzer, einen Tunnel

Mehr

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden:

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden: Abkürzung für "Virtual Private Network" ein VPN ist ein Netzwerk bestehend aus virtuellen Verbindungen (z.b. Internet), über die nicht öffentliche bzw. firmeninterne Daten sicher übertragen werden. Die

Mehr

SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse

SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse Fakultät Informatik Institut für Systemarchitektur Professur für Rechnernetze SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse Versuchsvorgaben (Aufgabenstellung) Der neu zu gestaltende Versuch

Mehr

VPN Techniken im Vergleich

VPN Techniken im Vergleich VPN Techniken im Vergleich Welche Technik ist wo die Richtige? 1. Grundlagen 1.1. Was ist VPN? Definition: Ein privates Netz wird über ein öffentliches Netz betrieben, jedoch so, dass die Privatheit, d.

Mehr

4 Netzwerkzugriff. 4.1 Einführung. Netzwerkzugriff

4 Netzwerkzugriff. 4.1 Einführung. Netzwerkzugriff 4 Netzwerkzugriff Prüfungsanforderungen von Microsoft: Configuring Network Access o Configure remote access o Configure Network Access Protection (NAP) o Configure network authentication o Configure wireless

Mehr

IPsec. Vortrag im Rahmen des Seminars Neue Internet Technologien

IPsec. Vortrag im Rahmen des Seminars Neue Internet Technologien IPsec Vortrag im Rahmen des Seminars Neue Internet Technologien Friedrich Schiller Universität Jena Wintersemester 2003/2004 Thomas Heinze, Matrikel xxxxx Gliederung IPsec? - Motivation, Grundbegriffe,

Mehr

Technische Grundlagen von Internetzugängen

Technische Grundlagen von Internetzugängen Technische Grundlagen von Internetzugängen 2 Was ist das Internet? Ein weltumspannendes Peer-to-Peer-Netzwerk von Servern und Clients mit TCP/IP als Netzwerk-Protokoll Server stellen Dienste zur Verfügung

Mehr

VPN: SSL vs. IPSec. erfrakon - Erlewein, Frank, Konold & Partner Martin Konold Dr. Achim Frank. Präsentation auf dem

VPN: SSL vs. IPSec. erfrakon - Erlewein, Frank, Konold & Partner Martin Konold Dr. Achim Frank. Präsentation auf dem VPN: SSL vs. IPSec erfrakon - Erlewein, Frank, Konold & Partner Martin Konold Dr. Achim Frank Präsentation auf dem IT Security Forum 9. November 2005, Frankfurt erfrakon Erlewein, Frank, Konold & Partner

Mehr

Virtual Private Network / IPSec

Virtual Private Network / IPSec 1. Einführung 1.1 Was ist ein Virtual Private Network? Mit einem Virtual Private Network (virtuelles privates Netzwerk, VPN) können zwei Netzwerke über ein öffentliches Netzwerk (Internet) miteinander

Mehr

Netze und Protokolle für das Internet

Netze und Protokolle für das Internet Inhalt Netze und Protokolle für das Internet 8. Virtuelle Private Netze Virtuelle Private Netze Layer- 2-und Layer- 3- VPNs Virtuelle Private Netze mit MPLS Entfernter VPN- Zugriff L2TP und RADIUS IP Security

Mehr

Rechnernetze II SS 2015. Betriebssysteme / verteilte Systeme rolanda.dwismuellera@duni-siegena.de Tel.: 0271/740-4050, Büro: H-B 8404

Rechnernetze II SS 2015. Betriebssysteme / verteilte Systeme rolanda.dwismuellera@duni-siegena.de Tel.: 0271/740-4050, Büro: H-B 8404 Rechnernetze II SS 2015 Betriebssysteme / verteilte Systeme rolanda.dwismuellera@duni-siegena.de Tel.: 0271/740-4050, Büro: H-B 8404 Stand: 14. Juli 2015 Betriebssysteme / verteilte Systeme Rechnernetze

Mehr

SMTP-Verfahren POP-Verfahren IMAP-Verfahren

SMTP-Verfahren POP-Verfahren IMAP-Verfahren IT Zertifikat Mailserver 01 Server Mailserver Protokolle Teil des Client-Server-Modells bietet Dienste für lokale Programme/ Computer (Clients) an -> Back-End-Computer Ausbau zu Gruppe von Servern/ Diensten

Mehr

TCP/IP-Protokollfamilie

TCP/IP-Protokollfamilie TCP/IP-Protokollfamilie Internet-Protokolle Mit den Internet-Protokollen kann man via LAN- oder WAN kommunizieren. Die bekanntesten Internet-Protokolle sind das Transmission Control Protokoll (TCP) und

Mehr

Sichere Netzwerke mit IPSec. Christian Bockermann

Sichere Netzwerke mit IPSec. Christian Bockermann <christian@ping.de> Sichere Netzwerke mit IPSec Christian Bockermann Überblick Gefahren, Ziele - Verschlüsselung im OSI-Modell IPSec - Architektur - Schlüssel-Management - Beispiele Unsichere Kommunikation

Mehr

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL 1 TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL Kleine Auswahl bekannter Sicherheitsprotokolle X.509 Zertifikate / PKIX Standardisierte, häufig verwendete Datenstruktur zur Bindung von kryptographischen

Mehr

Virtuelle Private Netzwerke

Virtuelle Private Netzwerke Virtuelle Private Netzwerke VPN Dortmund, Oktober 2004 Prof. Dr. Heinz-Michael Winkels, Fachbereich Wirtschaft FH Dortmund Emil-Figge-Str. 44, D44227-Dortmund, TEL.: (0231)755-4966, FAX: (0231)755-4902

Mehr

Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg. Modul 5: IPSEC

Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg. Modul 5: IPSEC Modul 5: IPSEC Teil 1: Transport- und Tunnelmode / Authentication Header / Encapsulating Security Payload Security Association (SAD, SPD), IPsec-Assoziationsmanagements Teil 2: Das IKE-Protokoll Folie

Mehr

Übersicht. Was ist FTP? Übertragungsmodi. Sicherheit. Öffentliche FTP-Server. FTP-Software

Übersicht. Was ist FTP? Übertragungsmodi. Sicherheit. Öffentliche FTP-Server. FTP-Software FTP Übersicht Was ist FTP? Übertragungsmodi Sicherheit Öffentliche FTP-Server FTP-Software Was ist FTP? Protokoll zur Dateiübertragung Auf Schicht 7 Verwendet TCP, meist Port 21, 20 1972 spezifiziert Übertragungsmodi

Mehr

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Virtual Private Networks Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Inhalt Einleitung Grundlagen Kryptographie IPSec Firewall Point-to-Point Tunnel Protokoll Layer 2 Tunnel Protokoll Secure Shell

Mehr

Grundlagen Firewall und NAT

Grundlagen Firewall und NAT Grundlagen Firewall und NAT Was sind die Aufgaben einer Firewall? Welche Anforderungen sind zu definieren? Grundlegende Funktionsweise Technische Varianten NA[P]T Portmapping Übungsaufgabe Quellen im WWW

Mehr

Cisco SA 500 Series Security Appliance

Cisco SA 500 Series Security Appliance TheGreenBow IPSec VPN Client Konfigurationsbeispiel Cisco SA 500 Series Security Appliance Diese Anleitung gilt für folgende Modelle: Cisco SA 520 Cisco SA 520W Cisco SA 540 WebSite: Kontakt: http://www.thegreenbow.de/

Mehr

VPN Virtual Private Network

VPN Virtual Private Network VPN Virtual Private Network DEFINITION Was ist eigentlich ein Virtual Private Network (VPN)? Definition: Was ist eigentlich ein VPN? Übliche Bezeichnung: Virtual Virtuelles Private Privates Network - Netz

Mehr

Workshop: IPSec. 20. Chaos Communication Congress

Workshop: IPSec. 20. Chaos Communication Congress Cryx (cryx at h3q dot com), v1.1 Workshop: IPSec 20. Chaos Communication Congress In diesem Workshop soll ein kurzer Überblick über IPSec, seine Funktionsweise und Einsatzmöglichkeiten gegeben werden.

Mehr

Use-Cases. Bruno Blumenthal und Roger Meyer. 17. Juli 2003. Zusammenfassung

Use-Cases. Bruno Blumenthal und Roger Meyer. 17. Juli 2003. Zusammenfassung Use-Cases Bruno Blumenthal und Roger Meyer 17. Juli 2003 Zusammenfassung Dieses Dokument beschreibt Netzwerk-Szenarios für den Einsatz von NetWACS. Es soll als Grundlage bei der Definition des NetWACS

Mehr

2. Kommunikation und Synchronisation von Prozessen 2.2 Kommunikation zwischen Prozessen

2. Kommunikation und Synchronisation von Prozessen 2.2 Kommunikation zwischen Prozessen 2. Kommunikation und Synchronisation von Prozessen 2.2 Kommunikation zwischen Prozessen Dienste des Internets Das Internet bietet als riesiges Rechnernetz viele Nutzungsmöglichkeiten, wie etwa das World

Mehr

Verbindung von Intra- und Internet - Firewalls in Unternehmensnetzen

Verbindung von Intra- und Internet - Firewalls in Unternehmensnetzen Verbindung von Intra- und Internet - Firewalls in Unternehmensnetzen Mit dem Aufbau des Internet zum weltweiten Informationssystem werden neue Möglichkeiten der kooprativen Zusammenarbeit geboten, die

Mehr

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit 1 Hochverfügbarkeit Lernziele: Network Load Balancing (NLB) Failover-Servercluster Verwalten der Failover Cluster Rolle Arbeiten mit virtuellen Maschinen Prüfungsanforderungen von Microsoft: Configure

Mehr

Connectivity Everywhere

Connectivity Everywhere Connectivity Everywhere Ich bin im Netz, aber wie komme ich sicher nach hause? Tricks fuer mobile Internet Nutzer Überblick Sicherheitsprobleme beim mobilen IP-Nutzer Konventionelle Loesung: IP-Tunnel

Mehr

Gateway für netzwerkfähige Komponenten ewon kann als Gateway für alle netzwerkfähigen Komponenten dienen

Gateway für netzwerkfähige Komponenten ewon kann als Gateway für alle netzwerkfähigen Komponenten dienen ewon - Technical Note Nr. 005 Version 1.3 Gateway für netzwerkfähige Komponenten ewon kann als Gateway für alle netzwerkfähigen Komponenten dienen 08.08.2006/SI Übersicht: 1. Thema 2. Benötigte Komponenten

Mehr

Internet Security 2009W Protokoll Firewall

Internet Security 2009W Protokoll Firewall Internet Security 2009W Protokoll Firewall Manuel Mausz, Matr. Nr. 0728348 manuel-tu@mausz.at Aldin Rizvanovic, Matr. Nr. 0756024 e0756024@student.tuwien.ac.at Wien, am 25. November 2009 1 Inhaltsverzeichnis

Mehr

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina)

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina) Uni-Firewall Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina) Was ist eine Firewall? oder 2 Was ist eine Firewall? Eine Firewall muss ein Tor besitzen Schutz vor Angriffen

Mehr

D r e ISP S P i m K l K as a s s e s n e r n au a m H.Funk, BBS II Leer

D r e ISP S P i m K l K as a s s e s n e r n au a m H.Funk, BBS II Leer Der ISP im Klassenraum H.Funk, BBS II Leer Überblick Agenda: Ziel des Workshops Grundlagen PPPoE Realisierung eines lokalen PPPoE Servers Port-Forwarding DNS / DDNS Ziel des Workshops Ein Netzwerk vergleichbar

Mehr

Scalera Mailplattform Dokumentation für den Anwender Installation und Konfiguration des Outlook Connectors

Scalera Mailplattform Dokumentation für den Anwender Installation und Konfiguration des Outlook Connectors Installation und Konfiguration des Outlook Connectors Vertraulichkeit Die vorliegende Dokumentation beinhaltet vertrauliche Informationen und darf nicht an etwelche Konkurrenten der EveryWare AG weitergereicht

Mehr

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern),

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), 9.3 Firewalls (firewall = Brandmauer) Firewall: HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), typischerweise an der Übergangsstelle zwischen einem Teilnetz und dem Rest des Internet

Mehr

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät NAT und Firewalls Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April 2005

Mehr

WINDOWS APPLIKATIONEN UNTER LINUX/UNIX SECURE REMOTE ACCESS

WINDOWS APPLIKATIONEN UNTER LINUX/UNIX SECURE REMOTE ACCESS WINDOWS APPLIKATIONEN UNTER LINUX/UNIX SECURE REMOTE ACCESS Dipl.-Ing. Swen Baumann Produktmanager, HOB GmbH & Co. KG April 2005 Historie 2004 40 Jahre HOB Es begann mit Mainframes dann kamen die PCs das

Mehr

VPN-Technologien gestern und heute Entwicklungen, Tendenzen und Fakten

VPN-Technologien gestern und heute Entwicklungen, Tendenzen und Fakten VPN-Technologien gestern und heute Entwicklungen, Tendenzen und Fakten Dr. Matthias Rosche Manager Security Consulting 1 Agenda VPN-Technologien Kundenwünsche und Praxis Neue Lösungsansätze Empfehlungen

Mehr

Domain Name Service (DNS)

Domain Name Service (DNS) Domain Name Service (DNS) Aufgabe: den numerischen IP-Adressen werden symbolische Namen zugeordnet Beispiel: 194.94.127.196 = www.w-hs.de Spezielle Server (Name-Server, DNS) für Listen mit IP-Adressen

Mehr

Open Source und Sicherheit

Open Source und Sicherheit Open Source und Sicherheit Jochen Bauer Inside Security IT Consulting GmbH Nobelstraße 15 70569 Stuttgart info@inside-security.de Open Source und Sicherheit 1 Passive und aktive Sicherheit oder: Sicherheit

Mehr

Virtual Private Network. David Greber und Michael Wäger

Virtual Private Network. David Greber und Michael Wäger Virtual Private Network David Greber und Michael Wäger Inhaltsverzeichnis 1 Technische Grundlagen...3 1.1 Was ist ein Virtual Private Network?...3 1.2 Strukturarten...3 1.2.1 Client to Client...3 1.2.2

Mehr

Ich will raus! Tunnel durch die Firewall

Ich will raus! Tunnel durch die Firewall Ich will raus! Tunnel durch die Firewall Konstantin Agouros SLAC 07/Berlin Übersicht Wo ist das Problem? HTTPS SSH OpenVPN Skype/MSN ICMP DNS Alternativen zum Arbeiten draußen Wo ist das Problem? Viele

Mehr

SSH. Nun brauchen wir noch das passwd-file. Dieses erstellen wir mit folgendem Befehl: mkpasswd -k -u marco >>..\etc\passwd

SSH. Nun brauchen wir noch das passwd-file. Dieses erstellen wir mit folgendem Befehl: mkpasswd -k -u marco >>..\etc\passwd SSH 1 Grundlagen... 1 2 Authentifizierung... 1 3 Installation von OpenSSH for Windows... 1 3.1 Anmeldung mit Schlüsselpaar... 3 4 SSH-Tunnel... 4 4.1 Funktionsweise... 5 4.2 Remote-Desktop durch einen

Mehr

Die wichtigsten Vorteile von SEPPmail auf einen Blick

Die wichtigsten Vorteile von SEPPmail auf einen Blick Die wichtigsten Vorteile von SEPPmail auf einen Blick August 2008 Inhalt Die wichtigsten Vorteile von SEPPmail auf einen Blick... 3 Enhanced WebMail Technologie... 3 Domain Encryption... 5 Queue-less Betrieb...

Mehr

VPN (Virtual Private Network)

VPN (Virtual Private Network) VPN (Virtual Private Network) basierend auf Linux (Debian) Server Praktikum Protokolle Bei Prof. Dr. Gilbert Brands Gliederung Gliederung 1. Was ist VPN 2. VPN-Implementierungen 3. Funktionsweise von OpenVPN

Mehr

Verschlüsselung der Kommunikation zwischen Rechnern

Verschlüsselung der Kommunikation zwischen Rechnern Verschlüsselung der Kommunikation zwischen Rechnern Stand: 11. Mai 2007 Rechenzentrum Hochschule Harz Sandra Thielert Hochschule Harz Friedrichstr. 57 59 38855 Wernigerode 03943 / 659 0 Inhalt 1 Einleitung

Mehr

1 Praktikum Protokolle SS2007 Fachhochschule OOW 15.05.2007. VPN Dokumentation. Erstellt von: Jens Nintemann und Maik Straub

1 Praktikum Protokolle SS2007 Fachhochschule OOW 15.05.2007. VPN Dokumentation. Erstellt von: Jens Nintemann und Maik Straub 1 Praktikum Protokolle SS2007 Fachhochschule OOW VPN Dokumentation 1 2 Praktikum Protokolle SS2007 Fachhochschule OOW Inhaltsverzeichnis Thema Seite 1. Einleitung 3 2. Unsere Aufbaustruktur 3 3. Installation

Mehr

Einführung. zum Thema. Firewalls

Einführung. zum Thema. Firewalls Einführung zum Thema Firewalls 1. Einführung 2. Firewall-Typen 3. Praktischer Einsatz 4. Linux-Firewall 5. Grenzen 6. Trends 7. Fazit 1. Einführung 1.Einführung Die Nutzung des Internets bringt viele neue

Mehr

Internetworking. Motivation für Internetworking. Übersicht. Situation: viele heterogene Netzwerke

Internetworking. Motivation für Internetworking. Übersicht. Situation: viele heterogene Netzwerke Internetworking Motivation für Internetworking Übersicht Repeater Bridge (Brücke) Verbindung zwischen zwei gleichen LANs Verbindung zwischen zwei LANs nach IEEE 802.x Verbindung zwischen mehreren LANs

Mehr

Technical Paper. Filialvernetzung. Filialvernetzung. Stand August 2014

Technical Paper. Filialvernetzung. Filialvernetzung. Stand August 2014 Technical Paper Filialvernetzung Filialvernetzung Stand August 2014 Haftungsausschluss Die in diesem Dokument enthaltenen Informationen können ohne Vorankündigung geändert werden und stellen keine Verpflichtung

Mehr

NCP Secure Enterprise SSL- VPN

NCP Secure Enterprise SSL- VPN Infoblatt NCP Secure Enterprise SSL-VPN-Lösung NCP Secure Enterprise SSL- VPN Die Lösung Unter dem Anspruch Secure Communications bietet NCP mit der Secure Enterprise Solution eine ganzheitliche VPN-Softwarelösung

Mehr

Handout. Holger Christian. Thema: VPN

Handout. Holger Christian. Thema: VPN Handout Holger Christian Thema: VPN VPN-Definition: Ein virtuelles privates Netz (VPN) ist ein Netz von logischen Verbindungen zur Übermittlung von privaten Daten/Informationen bzw. Datenverkehr. Eine

Mehr

bintec Secure IPSec Client - für professionellen Einsatz bintec IPSec Client

bintec Secure IPSec Client - für professionellen Einsatz bintec IPSec Client bintec Secure IPSec Client - für professionellen Einsatz Unterstützt 32- und 64-Bit Betriebssysteme Windows 7, Vista, Windows XP Integrierte Personal Firewall Einfache Installation über Wizard und Assistent

Mehr

Remote Administration von Windows Servern mit Microsoft Terminal Services und OpenSSH

Remote Administration von Windows Servern mit Microsoft Terminal Services und OpenSSH Remote Administration von Windows Servern mit Microsoft Terminal Services und OpenSSH von Dominick Baier (dbaier@ernw.de) und Jens Franke (jfranke@ernw.de) 1 Einleitung Dieses Dokument behandelt die flexible

Mehr

Gefahren aus dem Internet 6 Aktive Angriffe April 2010

Gefahren aus dem Internet 6 Aktive Angriffe April 2010 6 Aktive Angriffe Lernziele Sie können grob erklären, wie ein Angreifer in Ihren Computer eindringen kann. Sie können herausfinden, welche Ports auf Ihrem Computer offen sind. Sie wissen, warum der Einsatz

Mehr

Exkurs: IPSec. Brandenburg an der Havel, den 5. Juni 2005

Exkurs: IPSec. <muehlber@fh-brandenburg.de> Brandenburg an der Havel, den 5. Juni 2005 Exkurs: IPSec Brandenburg an der Havel, den 5. Juni 2005 1 Gliederung 1. IPSec: Problem und Lösung 2. Übertragungsmodi 3. Encapsulating Security Payload 4. Authentication Header

Mehr

Microsoft ISA Server 2006

Microsoft ISA Server 2006 Microsoft ISA Server 2006 Leitfaden für Installation, Einrichtung und Wartung ISBN 3-446-40963-7 Leseprobe Weitere Informationen oder Bestellungen unter http://www.hanser.de/3-446-40963-7 sowie im Buchhandel

Mehr

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik - Arbeitsheft

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik - Arbeitsheft Lösungen zu ---- Informations- und Telekommunikationstechnik - Arbeitsheft Handlungsschritt Aufgabe a) Die TCP/IP-Protokollfamilie verwendet logischen Adressen für die Rechner (IP- Adressen), die eine

Mehr

Zugangsschutz: Packet Filter und Firewalls

Zugangsschutz: Packet Filter und Firewalls Zugangsschutz: Packet Filter und Firewalls (1) Motivation Das Internet hat sich von einem rein akademischen Netzverbund zu einer Informationsquelle entwickelt, die auch für kommerzielle Zwecke von Interesse

Mehr

Sicherheitsaspekte im Internet

Sicherheitsaspekte im Internet Kryptographie im Internet Sicherheitsaspekte im Internet Helmut Tessarek, 9427105, E881 Einleitung / Motivation Das Internet ist in den letzten Jahren explosionsartig gewachsen. Das Protokoll, daß im Internet

Mehr

TCP/UDP. Transport Layer

TCP/UDP. Transport Layer TCP/UDP Transport Layer Lernziele 1. Wozu dient die Transportschicht? 2. Was passiert in der Transportschicht? 3. Was sind die wichtigsten Protkolle der Transportschicht? 4. Wofür wird TCP eingesetzt?

Mehr

7 Transportprotokolle

7 Transportprotokolle 7 Transportprotokolle 7.1 Transmission Control Protocol (TCP) 7.2 User Datagram Protocol (UDP) 7.3 Ports 7.1 TCP (1) IP-Pakete (Datagramme) von A nach B transportieren reicht nicht interaktive Verbindungen

Mehr

Root-Server für anspruchsvolle Lösungen

Root-Server für anspruchsvolle Lösungen Root-Server für anspruchsvolle Lösungen I Produktbeschreibung serverloft Internes Netzwerk / VPN Internes Netzwerk Mit dem Produkt Internes Netzwerk bietet serverloft seinen Kunden eine Möglichkeit, beliebig

Mehr

1E05: VPN Verbindungen zwischen Data Center und Branch Office

1E05: VPN Verbindungen zwischen Data Center und Branch Office 1E05: VPN Verbindungen zwischen Data Center und Branch Office Referent: Christoph Bronold BKM Dienstleistungs GmbH 2008 BKM Dienstleistungs GmbH VPN Verbindungen Data Center und Backup Data Center Data

Mehr

How-to: Mailrelay und Spam Filter. Securepoint Security System Version 2007nx

How-to: Mailrelay und Spam Filter. Securepoint Security System Version 2007nx und Spam Filter Securepoint Security System Inhaltsverzeichnis 1 Konfigurierung eines Mailrelays... 4 1.1 Einrichten von Netzwerkobjekten... 4 1.2 Erstellen von Firewall-Regeln... 5 2 Einrichten von SMTP

Mehr

HOB Remote Desktop VPN

HOB Remote Desktop VPN HOB GmbH & Co. KG Schwadermühlstr. 3 90556 Cadolzburg Tel: 09103 / 715-0 Fax: 09103 / 715-271 E-Mail: support@hob.de Internet: www.hob.de HOB Remote Desktop VPN Sicherer Zugang mobiler Anwender und Geschäftspartner

Mehr

Virtuelle Private Netze (VPN) Copyright und Motivation und sowas

Virtuelle Private Netze (VPN) Copyright und Motivation und sowas Virtuelle Private Netze (VPN) Geschrieben von ~Creepy~Mind~ Version 1.3 ;-) (Wybe Dijkstra: "Tue nur, was nur Du tun kannst.") Copyright und Motivation und sowas Naja was soll ich hierzu groß schreiben...

Mehr

Router 1 Router 2 Router 3

Router 1 Router 2 Router 3 Network Layer Netz 1 Netz 2 Netz 3 Router 1 Router 2 Router 3 Router 1 Router 2 Router 3 Netz 1, Router 1, 1 Netz 1, Router 1, 2 Netz 1, Router 2, 3 Netz 2, Router 2, 2 Netz 2, Router 2, 1 Netz 2, Router

Mehr

Firewalls illustriert

Firewalls illustriert Jörg Fritscfo Steffen GurTdeP Firewalls illustriert Netzwerksicherheit durch Paketfilter ADDISON-WESLEY An imprint of Pearson Education München Boston San Francisco Harlow, England Don Mills, Ontario Sydney

Mehr

FTP Kommunikation. Kommunikation

FTP Kommunikation. Kommunikation Wählen Sie also für diesen Parameter den Basis i-effect TCP/IP Port Bereich und addieren Sie die aus der vorherigen Tabelle ersichtliche Zahl in Abhängigkeit zum gewählten Befehl. Art des Aufrufs Hier

Mehr

Collax Business Server NCP Secure Entry Client Interoperability Guide V. 1.3. Collax Business Server (V. 3.0.12) NCP Secure Entry Client 8.

Collax Business Server NCP Secure Entry Client Interoperability Guide V. 1.3. Collax Business Server (V. 3.0.12) NCP Secure Entry Client 8. Collax Business Server NCP Secure Entry Client Interoperability Guide V. 1.3 Collax Business Server (V. 3.0.12) NCP Secure Entry Client 8.21 Dies ist eine Anleitung, die die Konfigurationsschritte beschreibt,

Mehr

Virtuelle Private Netze

Virtuelle Private Netze Virtuelle Private Netze VPN mit openvpn und openssl michael dienert, peter maaß Walther-Rathenau-Gewerbeschule Freiburg 30. April 2012 Inhalt Was ist ein VPN Rahmen, Pakete, virtuelle Verbindungen Die

Mehr

IT-Symposium 2008 04.06.2008. HOB Remote Desktop VPN Your Desktop-Anywhere-Anytime 6/9/2008 1

IT-Symposium 2008 04.06.2008. HOB Remote Desktop VPN Your Desktop-Anywhere-Anytime 6/9/2008 1 HOB RD VPN HOB Remote Desktop VPN Your Desktop-Anywhere-Anytime Joachim Gietl Vertriebsleiter Central Europe 6/9/2008 1 HOB RD VPN Eine branchenunabhängige Lösung für alle Unternehmen die Ihren Außendienst

Mehr

SFTP Datenübertragungsclient PK-SFTP. automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen

SFTP Datenübertragungsclient PK-SFTP. automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen SFTP Datenübertragungsclient PK-SFTP automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen senden, abholen und verifizieren der bereitstehenden Daten Protokollierung der Datenübertragung

Mehr

Vorlesung IT-Sicherheit FH Frankfurt Sommersemester 2007

Vorlesung IT-Sicherheit FH Frankfurt Sommersemester 2007 Vorlesung IT-Sicherheit FH Frankfurt Sommersemester 2007 Dr. Volker Scheidemann Zugangsschutz für Netzwerke Firewall-Systeme Typologie der Angreifer White-Hat Hat-HackerHacker großes Know-How spürt Sicherheitslücken

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Modul 4 Virtuelle Private Netze (VPNs) und Tunneling

Modul 4 Virtuelle Private Netze (VPNs) und Tunneling Modul 4 Virtuelle Private Netze (VPNs) und Tunneling 14.11.2011 17:47:26 M. Leischner Sicherheit in Netzen Folie 1 Virtuelle Private Netze - Begriffsdefinition Wiki-Definition " Virtual Private Network

Mehr

Eine Open Source SSL VPN Lösung. Patrick Oettinger Deutsche Telekom AG 2. Ausbildungsjahr

Eine Open Source SSL VPN Lösung. Patrick Oettinger Deutsche Telekom AG 2. Ausbildungsjahr p Eine Open Source SSL VPN Lösung Patrick Oettinger Deutsche Telekom AG 2. Ausbildungsjahr Inhaltsverzeichnis Simon Singh über die Verschlüsslungen Facts about OpenVPN Hintergrund Funktionsweise inkl.

Mehr

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

Technischer Anhang. Version 1.2

Technischer Anhang. Version 1.2 Technischer Anhang zum Vertrag über die Zulassung als IP-Netz-Provider im electronic cash-system der deutschen Kreditwirtschaft Version 1.2 30.05.2011 Inhaltsverzeichnis 1 Einleitung... 3 2 Anforderungen

Mehr

4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen

4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen Gliederung 1. Was ist Wireshark? 2. Wie arbeitet Wireshark? 3. User Interface 4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen 1 1. Was

Mehr

Wozu sind Firewalls und VPN gut?

Wozu sind Firewalls und VPN gut? Wozu sind Firewalls und VPN gut? Wo wir hin wollen Einführung Was sind und wie funktionieren IP, TCP und UDP? Wie passt eine Firewall in dieses Bild? VPN, Verschlüsselung und ihre Auswirkungen Aktuelle

Mehr

Verteilte Systeme. Übung 10. Jens Müller-Iden

Verteilte Systeme. Übung 10. Jens Müller-Iden Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

Internetprotokolle: POP3. Peter Karsten Klasse: IT7a. Seite 1 von 6

Internetprotokolle: POP3. Peter Karsten Klasse: IT7a. Seite 1 von 6 Internetprotokolle: POP3 Peter Karsten Klasse: IT7a Seite 1 von 6 Alle Nachrichten, die auf elektronischem Weg über lokale oder auch globale Netze wie das Internet verschickt werden, bezeichnet man als

Mehr

GeoShop Netzwerkhandbuch

GeoShop Netzwerkhandbuch Technoparkstrasse 1 8005 Zürich Tel.: 044 / 350 10 10 Fax.: 044 / 350 10 19 GeoShop Netzwerkhandbuch Zusammenfassung Diese Dokumentation beschreibt die Einbindung des GeoShop in bestehende Netzwerkumgebungen.

Mehr

Whitepaper. Friendly Net Detection. Stand November 2012 Version 1.2

Whitepaper. Friendly Net Detection. Stand November 2012 Version 1.2 Whitepaper Stand November 2012 Version 1.2 Haftungsausschluss Die in diesem Dokument enthaltenen Informationen können ohne Vorankündigung geändert werden und stellen keine Verpflichtung seitens der NCP

Mehr

Technical Note 32. 2 ewon über DSL & VPN mit einander verbinden

Technical Note 32. 2 ewon über DSL & VPN mit einander verbinden Technical Note 32 2 ewon über DSL & VPN mit einander verbinden TN_032_2_eWON_über_VPN_verbinden_DSL Angaben ohne Gewähr Irrtümer und Änderungen vorbehalten. 1 1 Inhaltsverzeichnis 1 Inhaltsverzeichnis...

Mehr

Klausur Kommunikation I. Sommersemester 2003. Dipl.-Ing. T. Kloepfer

Klausur Kommunikation I. Sommersemester 2003. Dipl.-Ing. T. Kloepfer Kommunikation I 1 Klausur Kommunikation I Sommersemester 2003 Dipl.-Ing. T. Kloepfer Bearbeitungsinformationen Aufbau der Klausur Die Klausur ist wie folgt aufgebaut: Die Klausur ist in 18 Aufgaben unterteilt.

Mehr