DynFire Verteilte Firewalls in heterogenen Netzwerken

Transkript

1 DynFire Verteilte Firewalls in heterogenen Netzwerken Sören Berger und Alexander Vensmer , 20. DFN Workshop Sicherheit in vernetzten Systemen, DynFire Verteilte Firewalls in heterogenen Netzwerken 1

2 Überblick Motivation Projektübersicht Architektur und Implementierung Login Policy Framework Firewall Provisioning Leistungsbewertung Erprobung an der Universität Stuttgart Zusammenfassung , 20. DFN Workshop Sicherheit in vernetzten Systemen, DynFire Verteilte Firewalls in heterogenen Netzwerken 2

3 Motivation Herausforderungen für IP-basierte Firmen- und Campus-Netze Etablierte und bewährte (!) auf Zonenmodellen und Firewalls basierende Sicherheitskonzepte in der Netzinfrastruktur Im Konflikt mit Mobilität, Bring your own device Neuartige Anwendungen von IP-basierter Vernetzung, z.b. Gebäudeleittechnik, Messen-Steuern-Regeln-Geräte, etc. bei gleichzeitig steigendem Schutzbedarf Lösungsansatz: dynamische Konfiguration von personen- oder rollenspezifischen Firewall-Regeln DynFire , 20. DFN Workshop Sicherheit in vernetzten Systemen, DynFire Verteilte Firewalls in heterogenen Netzwerken 3

4 Projektteilnehmer Universität Stuttgart Rechenzentrum betreibt das Datennetz der Universität und den zentralen Einstieg in das Internet unterstützt die Einrichtungen der Universität bei der Konzeption und dem Aufbau von IuK Strukturen Astaro/Sophos Die Network Security Group von Sophos (früher Astaro) ist Europas Marktführer für Unified Threat Management (UTM) Fraunhofer SIT Fraunhofer-Institut für Sichere Informationstechnologie Universität Stuttgart Institut für Kommunikationsnetzes u. a. Modellierung und Leistungsbewertung, Messungen und Evaluierung im Testbed , 20. DFN Workshop Sicherheit in vernetzten Systemen, DynFire Verteilte Firewalls in heterogenen Netzwerken 4

5 Herausforderungen Mobilität Laptop als einziger Arbeitsplatz Alle (individuell verschiedenen) Dienste sollen überall nutzbar sein Nicht-konventionelle Systeme mit IP-Konnektivität Gebäudeleittechnik, Klimatechnik, Zugangskontrollsysteme, etc. Wartungszugänge für Geräte aller Art (z.b. Prüfstände) Unzureichender Selbstschutz dieser Systeme, veralteter Patch-Stand Mangelhaftes Sicherheitsbewusstsein der Hersteller und Betreiber Sicherheits-Software (Virenscanner, VPN-Clients, Paketfilter, etc.) kann oder darf nicht installiert werden Forderung: Sicherer Zugriff von häufig wechselnden Gegenstellen , 20. DFN Workshop Sicherheit in vernetzten Systemen, DynFire Verteilte Firewalls in heterogenen Netzwerken 5

6 Ausgangssituation , 20. DFN Workshop Sicherheit in vernetzten Systemen, DynFire Verteilte Firewalls in heterogenen Netzwerken 6

7 Server 1? Ausgangssituation (2) Server 2? , 20. DFN Workshop Sicherheit in vernetzten Systemen, DynFire Verteilte Firewalls in heterogenen Netzwerken 7

8 Mögliche Lösung: VPN Server , 20. DFN Workshop Sicherheit in vernetzten Systemen, DynFire Verteilte Firewalls in heterogenen Netzwerken 8

9 Beobachtungen und Grundidee Beobachtungen Mobile Endgeräte bekommen, i.d.r. temporär und oft standort-abhängig, IP- Adressen aus Adress-Pools zugewiesen IP-Pakete ( IP header ) enthalten zu wenig Informationen für nutzer- bzw. rollenbasierte Zugriffskontrolle Grundidee Ermögliche zu jedem Zeitpunkt eine sichere Zuordnung IP-Adresse Nutzer/Rolle Authentisierung am Netzzugangspunkt zwingend Schutz vor address spoofing zwingend Lösung funktioniert nur in einem vertrauenswürdigen Netz, nicht im ganzen Internet Bestimme aus IP-Adresse Nutzer/Rolle und Nutzer/Rolle Rechte IP-Adresse Rechte Firewalls können damit konfiguriert werden , 20. DFN Workshop Sicherheit in vernetzten Systemen, DynFire Verteilte Firewalls in heterogenen Netzwerken 9

10 DynFire Lösung , 20. DFN Workshop Sicherheit in vernetzten Systemen, DynFire Verteilte Firewalls in heterogenen Netzwerken 10

11 Anforderungsanalyse Einbindung in heterogene Infrastruktur Unterschiedliche Firewalls: Cisco, Linux/IPTables, Astaro, Juniper Nutzer in verschiedenen Authentisierungsquellen (Active Directory, RADIUS) Verschiedenartige Netzzugänge: VPN, WLAN, 802.1X Heterogene Endsysteme keine Software-Agents, sämtliche Konfiguration über WWW-Schnittstellen Große Infrastruktur, viele Nutzer, viele Organisationseinheiten Automatische Topologieerkennung Mandantenfähiges System mit delegierbarer Verwaltung von Ressourcen, Nutzern und Rechten Einbindung in Hochverfügbarkeits-/Redundanz-Konzepte Nachvollziehbarkeit Protokollierung & Vorfallsbehandlung , 20. DFN Workshop Sicherheit in vernetzten Systemen, DynFire Verteilte Firewalls in heterogenen Netzwerken 11

12 Benötigte Komponenten Login der Benutzer Mapping von Benutzername auf IP Addresse Verschiedene Implementierungen für WLAN, VPN, 802.1X etc. Policy Framework Policy Evaluierung Verwaltung von Policies Policy Editor Topologie Awareness Firewall Provisioning Verschiedene Module für verschiedene Firewallhersteller , 20. DFN Workshop Sicherheit in vernetzten Systemen, DynFire Verteilte Firewalls in heterogenen Netzwerken 12

13 DynFire Architektur , 20. DFN Workshop Sicherheit in vernetzten Systemen, DynFire Verteilte Firewalls in heterogenen Netzwerken 13

14 Implementierung Login Aktuell für VPN und WLAN (Eduroam) in Betrieb Grundsätzlich: Login mit neuer IP invalidiert alte Freischaltung Mehrere Logins mit dem gleichen Account sollen möglich sein VPN: Parsing der Logfiles und Signalisierung über Syslog Funktioniert sowohl für Login als auch für Logout Sessionidentifizierung: Quell-IP WLAN: Korrelation von Radius Authentifizierung und DHCP Server Logs Logout wird über Ablauf der DHCP Leasetime ausgelöst Sessionidentifizierung: Session ID aus WLAN MAC Address , 20. DFN Workshop Sicherheit in vernetzten Systemen, DynFire Verteilte Firewalls in heterogenen Netzwerken 14

15 Implementierung Policy Framework Policy Config GUI Interface für Policy Konfiguration Anlegen von Benutzergruppen Subzonen des Netzes Servicedefinitionen Zielressourcen Policies (Benutzergruppe -> Service -> Zielressource) Policy Controller Auswertung zur Laufzeit aus Benutzer/IP Assoziation Policy Datenbank Topology Awareness High Level Firewall Regeln Signalisierung an die entsprechenden Provisioner , 20. DFN Workshop Sicherheit in vernetzten Systemen, DynFire Verteilte Firewalls in heterogenen Netzwerken 15

16 Policy Config GUI , 20. DFN Workshop Sicherheit in vernetzten Systemen, DynFire Verteilte Firewalls in heterogenen Netzwerken 16

17 Implementierung Topology Awareness Aufgabe: Auffindung der Firewalls zwischen eingeloggtem Benutzer und seinen Ressourcen/Diensten Mögliche Datenbasis: Manuelle Eingabe Routingprotokolle Cisco Discovery Protocol (CDP) Datenbank enthält Spezifikation des Netzgraphen Routern (Knoten) Netzen (Knoten) Links (Kanten) Firewalls (Attribut einer Kante) JSON RPC Interface für Policy Controller , 20. DFN Workshop Sicherheit in vernetzten Systemen, DynFire Verteilte Firewalls in heterogenen Netzwerken 17

18 Firewall Provisioning Firewalltypspezifische Implementierung Unterstützung von verschiedenen Firewalltypen SIMCO-fähige Firewalls Cisco Router (ACLs) Astaro ASG Juniper Firewallsignalisierung Simple Middlebox COntrol Protocol (RFC 4540) Client: Prototyp C++ Server: Prototyp Cisco/C++, Cisco/Java, Juniper/C++ Cisco und ASG haben eigene Signalisierungen , 20. DFN Workshop Sicherheit in vernetzten Systemen, DynFire Verteilte Firewalls in heterogenen Netzwerken 18

19 Leistungsbewertung Ziele Nutzerzufriedenheit Abschätzung der Dauer des Anmeldevorgangs Akzeptabler Wert: <15 Sekunden Abschätzung der Ausfallrate Akzeptabler Wert: 1-mal pro Jahr Akzeptanz von Betreibern Ermitteln der Kompatibilität Abschätzung der Kosten Abschätzung des Integrationsaufwands Zu klärende Fragen Wie lange dauert ein Anmeldevorgang? Wie schnell müssen einzelne Komponenten sein? Wie zuverlässig bzw. verfügbar ist DynFire? Wie hoch sind die Anfallenden Kosten? , 20. DFN Workshop Sicherheit in vernetzten Systemen, DynFire Verteilte Firewalls in heterogenen Netzwerken 19

20 Beobachtung Login-Rate der Nutzer Quelle: Anonymisierter DHCP-Log (eduroam) Maxima (WLAN) 2000 gleichzeitig angemeldete Benutzer 10 Logins/sec Maxima (VPN) 300 gleichzeitig angemeldete Benutzer 2 Logins/sec , 20. DFN Workshop Sicherheit in vernetzten Systemen, DynFire Verteilte Firewalls in heterogenen Netzwerken 20

21 Abschätzungen Charakteristische Größen Firewall-Regeln ~10 Firewall Regeln pro Nutzer Momentane Maximallast 2500 gleichzeitig angemeldete Nutzer (WLAN+VPN) ca Firewall Regeln gleichzeitig aktiv Institut durchschnittlicher Größe 30 Mitarbeiter 300 Firewall Regeln gleichzeitig aktiv , 20. DFN Workshop Sicherheit in vernetzten Systemen, DynFire Verteilte Firewalls in heterogenen Netzwerken 21

22 Anmeldevorgang Beteiligte Komponenten Network Access Device Firewall Manager Datenbank Policy Controller Topology Awareness Firewall Provisioner Firewalls Datennetz Identifiziertes Bottleneck: Firewalls , 20. DFN Workshop Sicherheit in vernetzten Systemen, DynFire Verteilte Firewalls in heterogenen Netzwerken 22

23 Dauer des Regeldeployment Linux basierte Firewall Ergebnisse Höhere Effizienz wenn Regeln aggregiert eingetragen werden Linux/IPTables-Firewall kann worst-case Fall abdecken , 20. DFN Workshop Sicherheit in vernetzten Systemen, DynFire Verteilte Firewalls in heterogenen Netzwerken 23

24 Cisco Firewalls (Uni Stuttgart) Dauer des Regeldeployment Cisco Catalyst 3750 Maximale Anzahl Regeln: 5000 Dauer einer Regeleintragung: 5sec Nur für durchschnittlich große Institute geeignet Cisco Catalyst 6500 Kein oberes Limit Dauer einer einzelnen Regeleintragung: 3sec Für Institute <200 Mitarbeiter geeignet , 20. DFN Workshop Sicherheit in vernetzten Systemen, DynFire Verteilte Firewalls in heterogenen Netzwerken 24

25 Dauer eines Anmeldevorgangs Ergebnisse für ein durchschnittliches Institut Beteiligte Komponenten Network Access Device : ~5 Sekunden Firewallmanager (Intel Core 2 Duo E8400, 8GByte RAM) < 1 Sekunde Datenbank Policy Controller Topology Awareness Firewall Provisioner Firewalls Die Anforderung hinsichtlich maximaler Logindauer kann erfüllt werden , 20. DFN Workshop Sicherheit in vernetzten Systemen, DynFire Verteilte Firewalls in heterogenen Netzwerken 25

26 Integration in existierendes Firewall Mangement Tool Mehrere Datenquellen für Firewall Regeln DynFire und FW Management Tool müssen Regeln schreiben Jedes Programm muss den anderen Datensatz berücksichtigen -> Netzspezifische Implementierung , 20. DFN Workshop Sicherheit in vernetzten Systemen, DynFire Verteilte Firewalls in heterogenen Netzwerken 26

27 Evaluierung in Firewall Listen Position der DynFire Regel innerhalb der Access List ist nicht automatisch bestimmbar Netzabhängige Anforderungen an die Position der DynFire freischaltungen FW Management Tool muss um Möglichkeit erweitert werden, die Position der DynFire Regeln festzulegen Einführung eines DynFire Keywords Evaluierung sowohl vom Firewall Provisioner als auch vom FW Management Tool nötig , 20. DFN Workshop Sicherheit in vernetzten Systemen, DynFire Verteilte Firewalls in heterogenen Netzwerken 27

28 Erprobung an der Universität Stuttgart Infrastruktur : ~30 filternde Router ~400 Firewalls/ACLs Aktuelles DynFire Setup: 4 Institute 5 Netze 12 Benutzer ca. 20 Policies Erzeugte Last (pro Tag): ~ 50 Logins, ~120 Firewallregeländerungen ~50 Firewallaktualisierungen , 20. DFN Workshop Sicherheit in vernetzten Systemen, DynFire Verteilte Firewalls in heterogenen Netzwerken 28

29 Zusammenfassung DynFire bietet Nutzer- bzw. rollenspezifische Konfiguration von Firewalls in heterogenen, dynamischen Umgebungen Zweistufige Abbildung Nutzer auth. IP-Adresse Rechte Login von Benutzern aus verschiedenen Authentifikationsquellen Dynamische Konfiguration der Firewalls durch FW-Manager Topology Awareness und Bestimmung aller Firewalls auf dem Weg Mandantenfähiges Policy Framework Implementiert an der Uni Stuttgart , 20. DFN Workshop Sicherheit in vernetzten Systemen, DynFire Verteilte Firewalls in heterogenen Netzwerken 29