OFTP2 SmartProxy. technische Details zur Arbeitsweise

Transkript

1 OFTP2 SmartProxy technische Details zur Arbeitsweise

2 - Ziele Einhaltung der Daimler Security- Guidelines Neue Security-Strategie: Terminierung des Datenstroms am Proxy in DMZ, danach Neuverschlüsselung nach intern/extern Verifikation des Kommunikationspartners schon bei Session-Aufbau (durch Analyse des vorausgesetzten Client-Zertifikats) Protokollanalyse Erweitertes Logging

3 - Umsetzung gesicherte interne Kommunikation via https über OS4Xapi: Konfigurationsbezug (Initialisierung) Bezug der aktuell vertrauten Zertifikate ( trusted certificates ) Bezug der aktuellen CRLs Partnerverifikation per SSID Update der CRL-URLs über mglw. neue Werte aus Clientzertifikaten bei Sessionaufbau Logging-Informationen an OS4X übergeben Prüfung auf laufende interne Prozesse ( os4xrd zur temporären Abschaltung der externen Erreichbarkeit)

4 Grundlegend geändertes Logging-Verhalten des Proxies:! OS4Xapi: log4php Proxyserver und -client: log4c mit eigens implementiertem Appender und Layout: os4x_appender & os4x_layout mit täglich wechselnden Logfiles (inkl. Datestamps) wichtige Logmeldungen werden vom Proxy über den Proxyclient an die OS4Xapi gesendet, damit diese sie ins OS4X Systemlog schreiben kann (inkl. Filterfunktion mit Ablaufdatum) Funktionale Erweiterung des Proxyservers / -clients: PID-File-Support Signalverarbeitung zur dynamischen Änderung des Loglevels

5 weitere Features: OS4X OFTP2 SmartProxy Modus OFTP2 (TLS) oder OFTP1.x (Plain TCP/IP) automatische Port-Konfiguration über OS4X-Konfiguration optional: Definition einer ausgehenden IP-Adresse am Proxy (falls vorhanden; ansonsten Fehlerlogging über OS4Xapi in OS4X System Log) OFTP(2)-optimierte Bandbreitenimplementierung: Beschleunigung des Gesamttransfers TLS-Clientzertifikat am Proxy nutzbar (aus OS4X- Konfiguration) interne Kommunikation konfigurabel über TLS (Nutzung des eigenen Zertifikats für intern wie extern) oder Plain TCP/IP

6 OS4X OFTP2 Proxyserver OS4X OFTP2 Proxyclient vorhandene OS4X-Installation

7 Initialisierung 1. Proxyclient prüft den übergebenen Security-Token an der OS4Xapi

8 Initialisierung 2. Proxyclient baut Verbindung zum Proxyserver auf

9 Initialisierung 3. Proxyclient hält diese Verbindung aufrecht. 3.1 Proxyserver fragt innerhalb dieser Socket-Session seine Config an. 3.3 Weiterreichung der Proxykonfiguration an den Proxyserver (Proxyclient merkt sich seine benötigten Configanteile). 3.2 Proxyclient kommuniziert per https (und Security-Token) mit OS4Xapi: Config- Download.

10 Initialisierung 4.1 Proxyserver fragt innerhalb der Socket- Session alle vertrauten Zertifikate an. * 4.3 Weiterreichung der Zertifikatsliste an den Proxyserver. 4.2 Proxyclient kommuniziert per https (und Security-Token) mit OS4Xapi: Zertifikate einlesen. * zyklische Aktion, alle 60 Sekunden

11 Initialisierung 5.1 Proxyserver fragt innerhalb der Socket- Session alle aktuellen CRLs an. * 5.3 Weiterreichung der CRLs an den Proxyserver 5.2 Proxyclient kommuniziert per https (und Security-Token) mit OS4Xapi: CRLs einlesen * zyklische Aktion, alle 60 Sekunden

12 Initialisierung 6.1 Proxyserver fragt innerhalb der Socket- Session den aktuellen Serverstatus an. * 6.3 Weiterreichung der Information an den Proxyserver 6.2 Proxyclient kommuniziert per https (und Security-Token) mit OS4Xapi: OS4X Receive Daemon gestartet? * zyklische Aktion, alle 60 Sekunden

13 Verbindungsaufbau von extern OS4X OFTP2 SmartProxy Bei externen Verbindungsaufbau terminiert der Proxyserver die TLS-Session und extrahiert aus dem TLS- Handshake alle benötigten Informationen. 7.1 Proxyserver übergibt innerhalb der Socket-Session URL der CRL (aus TLS- Handshake Zertifikat). 7.2 Proxyclient kommuniziert per https (und Security-Token) mit OS4Xapi: Check auf Vorhandensein und ggf. Übernahme in CRL- Tabelle (und damit später automatisierter Download).

14 Verbindungsaufbau von extern OS4X OFTP2 SmartProxy Bei externen Verbindungsaufbau terminiert der Proxyserver die TLS-Session und extrahiert aus dem TLS- Handshake alle benötigten Informationen. Verifikation der aufgelösten IP- Adresse gegen den Anrufer 8.1 Proxyserver fragt innerhalb der Socket- Session nach einem TLS-Partner mit gegebener SSID (aus TLS-Handshake). 8.3 Weiterreichung der Information an den Proxyserver 8.2 Proxyclient kommuniziert per https (und Security-Token) mit OS4Xapi: Partner bekannt? Wenn ja, unter welchem Hostnamen?

15 Verbindungsaufbau von extern OS4X OFTP2 SmartProxy TLS-Session erfolgreich aufgebaut, Information nach intern für neue OFTP2-Session 9.1 Anfrage auf neue Session 9.3 Weiterreichung der Information an den Proxyserver, danach warten auf Neuconnect von intern für Wiederaufnahme der Session. 9.2 Connect zu OS4X Receive Daemon, Entkopplung vom Master-Prozess.

16 Verbindungsaufbau nach extern OS4X OFTP2 SmartProxy 10.2 Proxyclient übergibt Proxy die Aufgabe, nach außen eine TLS-Verbindung aufzubauen 10.3 Proxyserver baut Verbinding zu externem Host auf (mit der am Proxy aufgelösten IP- Adresse des Partners) Ein OS4X-Sendeprozess verbindet sich auf den Listen-Port des Proxyclients und übergibt Kommando zur externen Verbindung

17 Verbindungsaufbau nach extern OS4X OFTP2 SmartProxy 10.4 Nach TLS-Handshake wird die Information nach innen weitergeleitet, dass Verbindung besteht Proxyclient informiert OS4X-Prozess.

18 Datentransfer von extern nach intern

19 Datentransfer von extern nach intern

20 Datentransfer von extern nach intern Datentransfer von extern nach intern: TLS-Paket geht ein, Entschlüsselung durch TLS-Terminierung am Proxy in DMZ. Verifikation auf OFTP2-Konformität.

21 Datentransfer von extern nach intern Proxy codiert dieses Datenpaket neu (Protokollbruch). Rohdaten entsprechen dem internen Kommunikationsformat (konfigurabel: Plain TCP/IP oder TLS)

22 Datentransfer von extern nach intern Proxy codiert dieses Datenpaket neu (Protokollbruch). Rohdaten entsprechen dem internen Kommunikationsformat (konfigurabel: Plain TCP/IP oder TLS)

23 Datentransfer von extern nach intern Proxy codiert dieses Datenpaket neu (Protokollbruch). Rohdaten entsprechen dem internen Kommunikationsformat (konfigurabel: Plain TCP/IP oder TLS)

24 Datentransfer von extern nach intern Proxy sendet es über existente Socket- Verbindung zum Proxyclient

25 Datentransfer von extern nach intern Proxy sendet es über existente Socket- Verbindung zum Proxyclient

26 Datentransfer von extern nach intern Proxyclient decodiert das Paket

27 Datentransfer von extern nach intern Proxyclient decodiert das Paket

28 Datentransfer von extern nach intern Proxyclient decodiert das Paket

29 Datentransfer von extern nach intern Proxyclient sendet das decodierte Paket

30 Datentransfer von extern nach intern Proxyclient sendet das decodierte Paket

31 Datentransfer von extern nach intern Proxyclient sendet das decodierte Paket

32 Datentransfer von extern nach intern Proxyclient sendet das decodierte Paket

33 Datentransfer von intern nach extern

34 Datentransfer von intern nach extern Proxyclient erkennt anliegende Daten

35 Datentransfer von intern nach extern Proxyclient erkennt anliegende Daten

36 Datentransfer von intern nach extern Proxyclient erkennt anliegende Daten

37 Datentransfer von intern nach extern Codierung des Datenpakets (Protokollbruch)

38 Datentransfer von intern nach extern Codierung des Datenpakets (Protokollbruch)

39 Datentransfer von intern nach extern Proxyclient versendet Paket an Proxy

40 Datentransfer von intern nach extern Proxyclient versendet Paket an Proxy

41 Datentransfer von intern nach extern Proxyclient versendet Paket an Proxy

42 Datentransfer von intern nach extern Decodierung des Pakets

43 Datentransfer von intern nach extern Decodierung des Pakets

44 Datentransfer von intern nach extern Neuverschlüsselung via TLS, Versand des Datenpakets an Empfänger

45 Datentransfer von intern nach extern Neuverschlüsselung via TLS, Versand des Datenpakets an Empfänger

46 Konfiguration OS4X OFTP2 SmartProxy

47 Konfiguration OS4X OFTP2 SmartProxy

48 Partnerkonfiguration OS4X OFTP2 SmartProxy

49 Einrichtung der Daemons - Lizensierung Lizensierung wird nur am Proxyserver durchgeführt (Proxyclient kann somit überall genutzt werden). Basis hierfür ist die OS4X Proxy ID (ähnlich OS4X-ID), darstellbar über Kommandozeilenparameter des Proxyservers: Lizenzdatei wird erwartet unter dem Pfad /etc/os4x_proxy.lic, änderbar über Kommandozeilenparameter bei Proxyserver-Start:

50 Einrichtung der Daemons OS4X OFTP2 SmartProxy

51 Einrichtung der Daemons - Logging OS4X OFTP2 SmartProxy Daemons erwarten im Verzeichnis des Binaries eine Logger-Config-Datei ( os4x_proxyserver.logrc oder os4x_proxyclient.logrc ) Wichtig hierbei: Syntax entsprechend log4c-framework: (ähnlich log4j & log4php) Spezielle Logger-Config für OS4X verfügbar: Layout os4x_layout (Logausgabe inkl. Datum- und Zeitstempel, Loglevel, Prozess-ID, Thread-ID), Appender-Type os4x_appender (täglich wechselnde Logfiles)

52 Einrichtung der Daemons - Logging OS4X OFTP2 SmartProxy

53 Einrichtung der Daemons - Start der Daemons Start des Proxyservers: Start des Proxyclients: OS4X Receive Daemon nicht gestartet; Proxy-Server nimmt keine externe Verbindung an: OS4X Receive Daemon gestartet; Proxyserver nimmt externe Verbindung an:

54 Vorteile dieser Konstellation: extrem verbessertes Logging nur verifizierte OFTP2-Pakete können nach intern gelangen interne Kommunikation konfigurabel (Plain TCP/IP oder verschlüsseltes TLS) Verbindungen werden immer nur von intern nach extern aufgebaut Sehr sichere Verbindung durch Partner und OFTP2- Paketverifikation DMZ: unsicheres Internet internes, sicheres Netz mglw. weiteres internes Netz

55 Vielen Dank für Ihre Aufmerksamkeit. Fragen?