Sichere Inter-Netzwerk Architektur. (I) Überblick. Dr. Thomas Östreich

Transkript

1 Sichere Inter-Netzwerk Architektur (I) Überblick Bundesamt für Sicherheit in der Informationstechnik II 1.1 Sichere Netzkomponenten / +49 (0) /45

2 Das BSI auf einen Blick Unabhängige und neutrale Autorität für IT-Sicherheit Bundesoberbehörde im Geschäftsbereich des Bundesministerium des Innern (BMI) Gegründet als Behörde im Vergleich zu sonstigen europäischen Einrichtungen einzigartig Personal: ca. 380 Mitarbeiter Haushaltsvolumen 2004: 51 Million 2/45

3 Präsident Pressesprecher Abteilung Z Zentrale Aufgaben Vizepräsident Leitungsstab Abteilung I Abteilung II Abteilung III Strategische Anwendungen, Internet-Sicherheit Sicherheit in Netzen, Kryptologie, wiss. Grundlagen Abhörsicherheit, Allgemeine ITSicherheit Fachbereich I 1 Fachbereich I 2 Fachbereich II 1 Fachbereich II 2 Fachbereich III 1 Fachbereich III 2 Strategische Anwendungen Internet Sicherheit Sicherheit in Netzen Kryptologie, wiss. Grundlagen Abhörsicherheit Allemeine IT-Sicherheit Referat I 1.1 Referat I 2.1 Referat II 1.1 Referat II 2.1 Referat III 1.1 Referat III 2.1 Anwendungskonzepte, Beratung CERT-Bund, Lagezentrum Sichere Netzkomponenten Schlüsseltechnologien Mobilfunksicherheit Grundsatz, Öffentlichkeitsarbeit Referat II 1.2 Referat II 2.2 Referat III 1.2 Referat III 2.2 Entwicklung von Kryptosystemen Entwicklung kryptogr. Verfahren Abstrahlsicherheit Zertifizierung, Zulassung Referat II 1.3 Referat II 2.3 Referat III 1.3 Referat III 2.3 Evaluierung von Kryptosystemen Evaluierung kryptogr. Verfahren Grundlagen der Lauschabwehr Akkreditierung, Sicherheitskriterien, Schutzprofile Referat II 1.4 Referat II 2.4 Referat III 1.4 Schlüsselmittel, IT-Unterstützung Wiss. Grundlagen, Trends Lauschabwehrprüfungen Referat Z 1 Organisation, Justiziariat, Neue Steuerungsinstrumente, Bibliothek Referat Z 2 Personal, Fortbildung Referat I 1.2 Referat I 2.2 Netzplattformen, Netzinfrastrukturen IVBB InternetSicherheitsanalysen und -verfahren Referat I 1.3 Unterstützung der Strafverfolgungsbehörden,Prävention Referat I 2.3 Referat Z 3 Haushalt, KLR Sicherheitskonzepte Sicherheitsberatung Referat Z 4 Innerer Dienst Referat I 1.4 Systemsicherheit, Grundschutz Referat Z 5 IT-Organisation Beschaffung, Vertrieb Referat I 2.4 Schadprogramme, Computer-Viren Referat III 2.4 Kritische Infrastrukturen Referat III 1.4 Referat I 2.5 Materielle Sicherungstechnik IT-Penetrationszentrum Referat Z 6 Objekt- und Dr.Geheimschutz Thomas Östreich 3/45

4 Inhalt Einführung Verfügbare SINA Komponenten SINA Netzwerk Integration Beispiel Einsatzszenarien Zusammenfassung 4/45

5 Einführung 5/45

6 Ausgangslage 1999 Umzug Bonn Berlin Aus Kostengründen wurde auf eine hohe Netzwerksicherheit in den neuen/vorhandenen Gebäuden in Berlin verzichtet Anforderung der Bearbeitung offener/eingestufter Informationen an beliebigen Workstations/Terminals Kein zertifiziertes deutsches IP-Kryptosystem verfügbar Forderung einer zeitnahen Aufnahme des Wirkbetriebs 6/45

7 Anforderungen aus Sicht der Administration IT-System kann nur vertraut werden, wenn es in einer vertrauenswürdigen Umgebung erstellt, konfiguriert und evaluiert wurde. System Entwicklung erfordert Zugang zu Hardware Blaupausen, Betriebssystem- und Applikationssoftware Quellcode und Einsatz offener Entwicklungswerkzeuge (z.b. Compiler). Integration proprietärer Komponenten sollte nur unter Wahrung der Sicherheitsvorgaben erfolgen (z.b. Kapselung der Anwendung). 7/45

8 Anforderungen aus Sicht der Nutzer Look and feel und TCO bei der Verarbeitung eingestufter und offener Informationen sollte (annähernd) gleich sein Nur sogenannte COTS Komponenten, wenn möglich Keine separate Netzwerk Installation Kein approved circuit Vertretbarer Einweisungs- und Fortbildungsaufwand Vergeichbare Innovationszyklen Weitgehende Plattformunabhängigkeit der Anwendungen 8/45

9 SINA Kurzbeschreibung Moderne IT-Architektur für sichere Informationsverarbeitung Familie modularer und skalierbarer Komponenten für unterschiedliche Einsatzszenarien IT-System für sichere Verarbeitung und Übertragung eingestufter Informationen über offene Netze 9/45

10 Sicherheitsmerkmale Netzwerk Sicherheit IPSec/IKE VPN (sicherheitsoptimiert) Netzwerk Audit und Response Sicherheits-Management (PKI, ACL/Config Man.) Plattform Sicherheit SINA-Linux (gehärtet) Virtual Machine (VM) Technologie Krypto-Dateisystem Sicherheitskomponenten Smart Card Technologie PEPP1 Kryptokarte mit PLUTO -Chip Generisches Kryptointerface (für SW/HW-Kryptographie) 10/45

11 SINA Projekt Meilensteine 1999: Entwicklung eines Prototypen und Projektstart durch das BSI Q1/2000: Beginn SINA (Secunet AG) und Kryptokarte PEPP1 (Rohde und Schwarz SIT) Entwicklung Q4/2000: SINA-Box-S (Zulassung für VS-VERTRAULICH ) Q4/2001: SINA-Thin-Client-S (Zulassung für VS-VERTRAULICH ) Q1/2002: Beginn SINA-Virtual-Workstation Entwicklung Q3/2002: SINA-Box-P mit Kryptocard PEPP1 und Kryptochip PLUTO verfügbar (vorläufige Zulassung für GEHEIM) Q1/2003: SINA-Box-P mit Kryptokarte PEPP1 and Kryptochip PLUTO erhält die endgültige Zulassung für GEHEIM Q2/2003: Beginn Encapsulated Encrypted Server Entwicklung Q4/2003: SINA-Box-H (Zulassung für STRENG GEHEIM) 11/45

12 Verfügbare SINA-Komponenten 12/45

13 Verfügbare Komponenten SINA Linux: Gehärtete und minimalisierte Linux System Plattform SINA Box: Klassisches IPSec VPN-Gateway zugelassen durch das BSI für die Verarbeitung eingestufter Daten bis einschliesslich STRENG GEHEIM (10/2003) SINA Thin-Client: Terminal-Server basierte Online Informationsverarbeitung für das Thin-Client/Server Szenario zugelassen durch das BSI für die Verarbeitung eingestufter Daten bis einschliesslich STRENG GEHEIM (10/2003) SINA Virtual Workstation: Gekapselte Informationsverarbeitung verfügbar: Q1/2005 SINA Management: PKI - basiertes Konfigurations- und Sicherheitsmanagement Spezialanfertigungen: Datendiode, Encapsulated Encrypted Server (EES) (Q2/2004), SINA-Cluster,... 13/45

14 SINA-Box Tamperschutz und Schutz gegen kompromittierende Abstrahlung (Tempest) IDR-Agent Intrusion Detection System SINA Linux Core Management Agent Sichere Schnittstelle zum Management CPI generisches Crypto Provider Interface (CPI) IPSEC / IKE Krypto Module LAN/WAN 1..4 gesichertes Netzwerk 1..4 offenes Netzwerk SC Smartcard/USB token ( EC-DSA or RSA basiert) PEPP1 Kryptokarte mit PLUTO -Chip Software Module (AES, 3DES, Chiassmus,...) Minimalisierte und gehärtete (SINA-) Linux Plattform wird von CDROM oder FLASH geladen Optische LAN/WAN Schnittstelle 14/45

15 Thin-Client SINA Linux Core Supported terminal server sessions: RDP : Microsoft Remote Desktop Protocol Version 4, Soon 5.x for XP RDP / ICA Session X11-Session Crypto Provider Interface Logical SINA Box ICA : MetaFrame CITRIX Independent Computing Architecture Crypto Modules SC(s) LAN/WAN X11/XDMCP: any UNIX Session 2 Session 1 Thin-client/server architecture 15/45

16 SINA Virtual Workstation Virtual WS Session n Vertrauliche Daten liegen in einem Kryptographischen Dateisystem SINA Linux Core Session 1 Server Betriebssysteme werden vollständig durch das SINA System gekapselt Virtual Machine n Virtual Machine 1 Crypto Provider Interface Logical SINA Box Crypto Modules Virtual Machine crypto file system File system crypto (hard disk) file system SC(s) LAN/WAN 16/45

17 Encapsulated Encrypted Server Encap. -Server L-Box Application Server L-Box Samba File Server (Auditable) Guest OS SINA Linux Core Guest OS SINA Virtual WS Virtual Machine Virtual Machine Crypto Provider Interface IPSec Logical SINA Box L-Box Crypto Modules Server Betriebssysteme werden vollständig durch das SINA System gekapselt LAN/WAN SC(s) crypto file systemfile system (hard disk) 17/45

18 SINA Management Certificate-Updates CA Smart Cards Syslog/ Revision Management RA Components Smart Cards Certificate application SINA Domain PostgreSQL DB Domain ACL/Config. Manager LDAP Directory SINA Box S IP SE C SINA Box S/P LAN/WAN SINA Client 18/45

19 SINA-Netzwerk Integration 19/45

20 Klassische Netzwerk Topologie ohne SINA Workstations Server Offen Router VSWorkstations VS Black LAN/WAN/ Backbone... VS-Server VS VS-Server Workstations Router Server VS Offen VS-Server 20/45

21 IPSec Tunnel: ESP-Tunnel Modus ESP: Encapsulating Security Payload Workstations Workstations -Box -Box IPSec Tunnel Data Data Data Data Box VS VS Black LAN/WAN/ Backbone... VS-Server Ne VS-Server w New IP Header ESPT CP/I P Pak et u nvh e re s cahdl üesrs e l t o h n e ESP Original IP Header Encrypted Transport Transport Protocol Protocol Data Header ESP Trailer ESP A u t h e n t i c a t io n Da t a Authenticated MAC 21/45

22 ESP Schutzmechanismen w Ne New IP Header Encrypted ESPT CP/I P Pa k e t esrs e l t u n vh eres a c hdl ü o h n e ESP Original IP Header Transport Protocol Header Transport Protocol Data ESP Trailer ESP Aut hent ic at ion Da t a Authenticated Vertraulichkeit des Datenfluß (Verschlüsselung und Kapselung des vollständigen IP Pakets) Verbindungslose Sicherheit (Integritätsprüfung via MAC einzelner IP Datagramme) Authentizität des Datenursprungs (Verifizierung and Authentifizierung des Datensenders) Wiedereinspiel-Schutz (ESP-Protokollkopf enthält 32 Bit Sequence Number) 22/45

23 Klassisches VPN Szenario mit SINA-Boxen Workstations -Box IPSEC Tunnel Tu nn el IP SE C C Geschützter roter Bereich Tu nn el SE IP Server Black LAN/WAN/ Backbone... Box Box 23/45

24 Thin-Client Integration Thin-Client Te rm ina Workstations IP SE C -Box lse Tu nn el IPSEC Tunnel er -/ X -S ess i on Box Server Tu nn el IP SE C C Tu nn el SE IP Black LAN/WAN/ Backbone rv Box 24/45

25 Client/Server Computing (Prinzip) Terminal Server A ICA/ RDP ession 1 S r e v r e S l Termina ICA/ RDP X-Server n X-Server 1 L-Box Terminal Server Se ssion 2 CDROM Generic Crypto Interface (GCI) LAN/WAN (Flash) Crypto Modul SINA LINUX (black) Terminal Server B LAN/ WAN Smart Card IPSEC-tunnel Protected area ASIN Bo x Protected Area IP-Encryption SINA Thin-Client 25/45

26 Kryptographisches Dateisystem (CFS) Key 1 Key 2 Key 1 Key 2 Session 1 (unclassified) CFS-Container 1 OperatingSystem CFS-Container 2 Data Session 2 (classified) CFS-Container 3 OperatingSystem Session n CFS-Container 4... Data Security-Area VS-LAN Internet Fileserver Applicationserver 26/45

27 Gekapselte Informationsverarbeitung Kapselung Thin-Client oder Virtual Workstation ss r Se Server Offener Bereich ve es rs SE IP C T l1 ne n u IP SE C Black LAN/WAN/ Backbone Box Se rv er Se ssi Tu nn el 2 on cla s s. Box Tu nn el -Box nu o i s la nc IP SE C Workstations Geschützter roter Bereich 27/45

28 SINA-Invers Einsatzszenario Terminal Server Terminal Server Session 1 ICA/ RDP ICA/ RDP X-Server 1 Protected area X-Server 2 L-Box Ter min a Generic Crypto Interface (GCI) LAN/WAN SINA LINUX (black) Smart Crypto Modul Card l Se r ve rs ess io Protected area n2 Protected area SINA Thin Client LAN/ WAN Terminal Server 28/45

29 Kapselung im Virtual Workstation Einsatz Secret Domain SINA Virtual Workstation Session 2 Session 1 Virtual Machine 1 Virtual Machine 2 IPS EC CDROM Logical SINA-Box C1 IPSE SM TP, FT Logical SINA-Box HD +CFS Server Server Server Applic Applic Applic. ations X11, SMTP, HTTP, FTP etc. Session LAN/ WAN P, H T Encapsulated Server Virtual Machine 1 TP, X11, ICA HD +CFS, RD P 2 SINA-Box Server Server Server Applic. Applic. Applic. Smart Card Internet 29/45

30 VPN Doppel-Tunnel Aufbau (APC) (APC) Workstations Workstations -Box IPSEC Tunnel Box VS VS Black LAN/WAN/ Backbone... VS-Server IPSEC T unnel Workstations (SINA-VW) VS-Server VS (APC) Workstations 30/45

31 BSI Vorgaben für eine Zulassung Geheimhaltungsstufe (VS-) NfD Netzintegration TEMPEST Antitamper galvanische Trennung symmetr. Krypto LAN WAN VERTRAULICH LAN WAN unverzont nein nein AES NATO GEHEIM LAN WAN STRENG GEHEIM LAN Zone 1 XIA WAN Zone0 ja ja XIA Libelle RESTRICTED LAN WAN unverzont nein nein AES CONFIDENTIAL LAN WAN Zone 1 SECRET LAN WAN Zone 0 ja ja Libelle 31/45

32 Beispiel Einsatzszenarien 32/45

33 Management Szenarien SINA Boxen SINA Clients U G Organisation 1 Zentrales SINA Management (BSI) Konfiguration / ACL Pin-Briefe IVBB SINA BOX (Frontend) LDAP A Organisation 2 RA / CA SINA Clients Syslog NTP CA CMP LDAP DB Vorpersonalisierung SINA-Management (lokal) A G U 33/45

34 Remote Access (Analog/ISDN) Win NT/2000 Term Serv. Exchange File Intranet M1... Server Unclass. VS-V Class. SINA Box 1 S0 SC S2M IVBB S0 ISDN BSI Router PABX Win NT/2000 Term Serv. S0 S0 SINA Box 2 WLAN 10MB WLAN Access Point Analog/ ISDN S0 Modem (Router) Analog/ ISDN WAN BSI LAN Protected Area BSI IVBB Mobile -Unit Internet 34/45

35 Remote Access über ISP Win NT/2000 Term Serv. BSI Exchange File Intranet M1... Server SINA Box 1 SDSL Router SINA Virtual Workstation NFD VS-V NfD VSV Analog/ ISDN Modem Security Area Analog/ ISDN/ Mobile WAN IVBB Internet Home -Office BSI LAN SINA Box 2 Analog Modem SC Win NT/2000 Term Serv. 35/45

36 Mobilität der SINA-Virtual-Workstation mobile phone -VW GSM / GPRS / UMTS File-Server I PS EC T unn el INTERNET Mail-Server -Box BSI - LAN 36/45

37 Sperrung der SINA Konsole Normaler Arbeitszustand des SINA-Clients mit angemeldetem Benutzer Chipkarte wird gezogen Kurzabmeldung anklicken Inaktivitäts Timeout abgelaufen Rekeying Bildschirmsperrung Anmeldung mit Smartcard an SINA Ablauf der Lifetime Erneute PIN Eingabe mit Chipkarte Client Automatisches Logout und Abbau aller Sessions auf Applikationsserver Alle Tunnel und Verbindungen werden abgebaut Alle SA Daten werden sicher gelöscht Abgemeldeter Arbeitszustand 37/45

38 Zusammenfassung 38/45

39 SINA-Box Performanz Daten Stark abhängig von: ausgewähltem (symmetrischen) Kryptoalgorithmus Länge der Datenpakete (Applikation) Anzahl der (IPSec-)Security Associations (SA) mit weiteren verbundenen SINA-Boxen und SINA-Thin-Clients Beispiel Datendurchsatz: 80 MBit/s (Hardware Version PEPP1-Board inkl. PLUTO-Chip) 50 MBit/s (Pentium III mit 866 MHz) mit SW-AES (192 Bit) 150 MBit/s (Dual Xeon System) mit SW-AES (192 Bit) Skaliert mit CPU Leistung und PC-Hardware Beliebige Skalierung mit Einrichtung von Load Balancing 39/45

40 Einsatzbeispiele LfV Hamburg, Bayern, Mecklenburg-Vorpommern (Clients und Boxen, seit I/2002) BGS, zunächst nur WAN (seit I/2002), im LAN-Bereich später geplant Auswärtiges Amt (SINA-Boxen mit Spezialroutern, SINA-VW-Tests) Bundeskanzleramt (Dual-Boot Clients, Boxen, VS-FileServer seit 09/2002) IVBB: Load Balancing Cluster an Kopfstellen (Berlin, Bonn, im Pilotbetrieb) Generalsekretariat EU (Testbetrieb, seit 09/2002) 40/45

41 Ausblick Erweiterte Managementfunktionen USB - Firewall QoS - Priorisierung von Datenströmen auf der SINA-Box DHCP - Unterstützung Secure Workflow Komponente SINA Mikrokern Sicherheitsplattform IPv6 Healthmonitor Backup Routing 41/45

42 Mikrokern Plattform Legacy OS L4-Linux µ-sina L4-XP Device Driver Env Device Driver Env VMM Crypto TSP Sigmao GUI L4-FIASCO Hardware 42/45

43 Zusammenfassung Bewahrung des Look and Feel der gewohnten Desktop Umgebung Flexible und schnelle Verarbeitung vertraulicher Informationen Zugriff auf sensitive Daten ohne die Notwendigkeit einer lokalen Kopie minimiert Daten- und Hardwarediebstahl Sichere Übertragung eingestufter Informationen über unsichere offene Netze gewährleistet die Vertraulichkeit und Integrität sensitiver Daten VPN-Technologie erfordert keine zusätzliche physikalische Netzwerkabsicherung Beschaffung dedizierter Kryptogeräte entfällt Unterstützung kurzer IT-Innovationszyklen Niedrige Total Cost of Ownership (TCO) 43/45

44 SINA Hardware Komponenten (z.b. Siemens TEMPEST) -Box 19 -Thin Client SINA-Client -Minibox 44/45

45 Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Godesberger Allee Bonn Tel: +49 (0) Fax: +49 (0) /45