VPN mit mobilen Clients. Handwerkskammer für Oberfranken Kerschensteinerstraße Bayreuth

Transkript

1 Virtuelle Private Netzwerke mit IPsec VPN mit mobilen Clients Ralph Schneider, Handwerkskammer für Oberfranken Kerschensteinerstraße Bayreuth

2 IPsec Kurzform für Internet Protocol Security ab 2002 etablierte Technologie und seitdem Bestandteil aller wichtigen Betriebssysteme Datenschutz spielt eine immer größere Rolle in der Gesellschaft Verpflichtung zum sicheren Umgang mit personenbezogenen Daten Es sind Maßnahmen zu treffen, die verhindern, dass Unbefugte auf diese Daten zugreifen können. (gem. 9Abs.4LDSGRP) Wirtschaftsspionage zunehmend Mittelstand und auch innovative Kleinunternehmen betroffen Handwerkskammer für Oberfranken Netzwerk Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, Musterstadt Bayreuth 11. November

3 IPsec News-Meldung vom heise.de: Verfassungsschutzbericht warnt vor Computerspionage Besonders gefährlich seien elektronische Angriffe auf Netzwerke und Computersysteme deutscher Wirtschaftsunternehmen und öffentlicher Stellen. In "kleinen und mittelständischen Unternehmen besteht oftmals noch kein ausgeprägtes Gefahrenbewusstsein", beklagte de Maizière die Situation. Handwerkskammer für Oberfranken Netzwerk Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, Musterstadt Bayreuth 11. November

4 Was kann IPsec leisten? Mitlesen von Datenströmen durch starke Kryptografie unterbinden Vertraulichkeit, Authentizität (Echtheit) und Integrität (vollständig und unverändert) von Daten garantieren kann zum Aufbau virtueller privater Netzwerke Nachteilverwendet werden Nachteil: sehr kompliziert IPsec sichert das ursprüngliche IP zur Zeit am besten ab Handwerkskammer für Oberfranken Netzwerk Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, Musterstadt Bayreuth 11. November

5 IPsec Aufbau Gateway-zu-Gateway-VPN (LAN-to-LAN) Host-zu-Gateway-VPN (Remote-Access) Host-zu-Host-VPN (P2P) Unterschied IP und IPsec im Protokollstapel (Schichtenmodell) Anwendung HTTP IMAP SMTP DNS Transport TCP UDP Internet IP Anwendung HTTP IMAP SMTP DNS Transport TCP UDP Internet IPsec Netzzugang Ethernet Token Bus Token Ring FDDI Netzzugang Ethernet Token Bus Token Ring FDDI Quelle: Handwerkskammer für Oberfranken Netzwerk Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, Musterstadt Bayreuth 11. November

6 IPsec Varianten Authentifizierung über Pre Shared Keys (PSK) oder X.509 Zertifikate 2 Varianten des Schlüsselaustausches IKEv1, IKEv2 2 Protokolle stehen zur Auswahl Authentication Header (AH), Encapsulating Security Payload (ESP) 2 Betriebsmodi existieren Transportmodus und Tunnelmodus unterstützt starke Kryptographie Hashfunktionen (Fingerprint) z.b. MD5, SHA-1 Verschlüsselungsalgorithmen 3DES, AES, Twofish Handwerkskammer für Oberfranken Netzwerk Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, Musterstadt Bayreuth 11. November

7 Stand seit 2002: VPN Tunnel mit jeweils einem Gateway pro Standort t Mon Apr 12 08:33:04 CEST Bamberg(BTZ) [05:05] Bayreuth(Ludwig-Thoma-Str.) [05:05] Coburg(BTZ) [05:05] Forchheim(BB) [05:05] Hof(BTZ) [05:05] Kronach(BB) [05:05] Kronach(FBZ) [05:05] Kulmbach(IFGO) [05:05] Kulmbach(JBH) [05:05] Kulmbach(KHS) [05:05] Lichtenfels(LBH) [05:05] Marktredwitz(BB) [05:05] Selb(LBH) [05:05] Handwerkskammer für Oberfranken Netzwerk Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, Musterstadt Bayreuth 11. November

8 Stand seit 2002: VPN Tunnel mit jeweils einem Gateway pro Standort t Netzwerk Bayreuth / VPN Gateway Firewall Internet HWK-BT01 HWK-BT02 Netzwerk Coburg / Firewall + VPN Gateway VPN Gateway HWK-CO01 HWK-CO02 Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, Musterstadt Bayreuth 11. November

9 VPN Tunnel ohne Gateway / Einzelplatzlösung VPN Gateway Netzwerk Bayreuth / Firewall Internet HWK-BT01 Firewall + VPN Gateway HWK-BT02 HWK-BT03 Einzelplatz PC / HWK-BT / Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, Musterstadt Bayreuth 11. November

10 Wahrnehmung durch den Mitarbeiter Handwerkskammer Netzwerk / HWK-BT HWK-BT HWK-BT HWK-CO HWK-BT Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, Musterstadt Bayreuth 11. November

11 Sicherheit durch IPsec (Internet Protocol Security) VPN Gateway Netzwerk Standort Bayreuth Firewall Internet IPsec Verbindung IP v4 Verbindung HWKBT04 Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, Musterstadt Bayreuth 11. November

12 IPsec quasi Standard d RFC 4301 Internet Key Exchange (IKEv1) (RFC 2408, 2409) Schlüsselaustausch in 2 Phasen Phase 1: zertifikatsbasierende Authentisierung über X.509 Zertifikate (RSA Public Key 2048 Bit ) Zum Schlüsselaustausch wird Diffie-Hellman-Schlüsselaustausch verwendet (RFC 2631) Einsatz einer Public Key Infrastruktur (PKI) mit vertrauenswürdigen Zertifikaten (CA Certification Authority) (Softwarezertifikate elektronisch signiert) PKI bereits vorhanden mit eigener CA (Zertifizierungsstelle) Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, Musterstadt Bayreuth 11. November

13 X.509 Zertifikat Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, Musterstadt Bayreuth 11. November

14 X.509 Zertifikat (CA Certification Authority) Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, Musterstadt Bayreuth 11. November

15 IPsec Phase 2: gesamte Kommunikation erfolgt verschlüsselt Schlüssel aus Phase 1 werden verworfen und neue Schlüssel erstellt Somit kein Rückschluss auf Schlüssel aus den Zertifikaten in der Phase 2 des Schlüsselaustausches Lifetime Phase 1: 4 Stunden Lifetime Phase 2: 40 Minuten Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, Musterstadt Bayreuth 11. November

16 IPsec Information zu Internet Key Exchange (IKEv2) IKE ist sehr kompliziert, um es wirklich zu verstehen sollte man über Abschlüsse in fortgeschrittener Mathematik verfügen und viel Zeit mit entsprechender Literatur verbracht haben. Da IKEv1 recht komplex ist, wurden viele Implementationen von IPsec inkompatibel zueinander. IKEv1 ist bei Verwendung von dynamischen IP-Adressen, wie bei DSL-Anschlüssen üblich ist, wenig geeignet. IKEv2 behebt bt diese Probleme. Bei IKEv2 wurden die von IKEv1 bekannten Phasen grundlegend verändert. Um eine Verbindung zu erstellen, benötigt man nun nur noch vier UDP-Nachrichten. Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, Musterstadt Bayreuth 11. November

17 IPsec Encapsulating Security Payload (ESP) (RFC 4303) ESP soll die Authentisierung, i Integrität und Vertraulichkeit i von IP Paketen sicherstellen. ESP basiert direkt auf IP und verwendet die IP Protokoll Nummer 50. ESP im Tunnelmodus Im Tunnelmodus wird das ursprüngliche Paket gekapselt und die Sicherheitsdienste von IPsec auf das ganze Paket angewandt. Zur Zeit beste Variante IP abzusichern. IPsec Paket (verschlüsselt) Ursprüngliches IP Paket (unverschlüsselt) IPsec Paket (verschlüsselt) Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, Musterstadt Bayreuth 11. November

18 IPsec Information: Authentication Header AH AH soll die Authentizität und Integrität der übertragenen Pakete sicherstellen und den Sender authentisieren. Die Nutzdaten t werden bei AH nicht verschlüsselt lt und sind damit für jeden lesbar. AH basiert direkt auf IP und verwendet die Protokoll Nummer 51. Achtung: NAT(Network Address Translation) und AH sind inkompatibel. IPsec Paket (AH Header) Ursprüngliches IP Paket (unverschlüsselt) Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, Musterstadt Bayreuth 11. November

19 IPsec Information: Transportmodus Im Transportmodus wird der IPsec-Header zwischen dem IP-Header und den Nutzdaten eingefügt. Der IP-Header bleibt unverändert und dient weiterhin zum Routing des Pakets vom Sender zum Empfänger. Ursprünglicher IP Header IPsec Paket (AH Header) Ursprüngliches IP Paket (unverschlüsselt) Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, Musterstadt Bayreuth 11. November

20 VPN Client TheGreenbow Unterstützt alle Microsoft Betriebssysteme incl. Windows 7 USB Laufwerk zur Speicherung der Sicherheitselemente möglich Hash Algorithmen MD5, SHA1, SHA2 Verschlüsselung 3DES, AES 128, AES 192, AES 254 Diffie Hellman Group Unterstützung 768, 1024, 1536, 2048 Authentisierung ti i über X.509, Pre Shared Key IKE und IPsec Modus ISAKMPD (RFC 2408), AH (Authentication Header), ESP, Transportmodus, Tunnelmodus deutsche Oberfläche, deutsches Handbuch als PDF Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, Musterstadt Bayreuth 11. November

21 VPN Client TheGreenbow Unterbrechung des nichtverschlüsselten Datenverkehrs möglich unterstützt VPN Verbindung über DSL Router (z.b. FritzBox) mit DHCP aus privaten Netzwerk (Home Office) Bei Home Office über DSL Router sind zusätzliche Einstellungen der Windows Firewall notwendig! Preis pro Lizenz ca. 80 Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, Musterstadt Bayreuth 11. November

22 TheGreenbow VPN Client Phase1 Konfiguration Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, Musterstadt Bayreuth 11. November

23 TheGreenbow VPN Client Phase2 Konfiguration Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, Musterstadt Bayreuth 11. November

24 VPN Client Shrew Soft alle IPsec spezifischen Parameter wie bei TheGreenbow Client Unterstützt alle Windows Betriebssysteme incl. Windows 7 BSD und Linux Plattformunterstützung englische Oberfläche, englisches Handbuch als PDF kostenfreie Lizenz Unverschlüsselter Datenverkehr kann während der VPN Sitzung nicht blockiert werden. Bei TheGreenbow VPN Client ist es möglich unverschlüsselten Datenverkehr zum Internet zu sperren. Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, Musterstadt Bayreuth 11. November

25 Shrew Soft VPN Client Access Manager und General Konfiguration VPN Gateway Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, Musterstadt Bayreuth 11. November

26 Shrew Soft VPN Client Microsoft Windows Phase1 und Phase2 Konfiguration Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, Musterstadt Bayreuth 11. November

27 VPN Client Shrew Soft unter Linux oder FreeBSD Die Open Source Software Shrew Soft kann auch unter Linux und FreeBSD betrieben werden. Es können die Windows Konfigurationsdateien von ShrewSoft verwendet werden. Kein zusätzlicher Konfigurationsaufwand notwendig. Erhöhte Sicherheit und Stabilität zum Beispiel beim Einsatz einer Ubuntu Linux Distributuion Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, Musterstadt Bayreuth 11. November

28 Shrew Soft VPN Client Linux Phase1 und Phase2 Konfiguration Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, Musterstadt Bayreuth 11. November

29 VPN Client VPN Tracker von Equinux für MacOSX Einbindung von Apple PC s und Notebooks sehr leistungsfähige Software, bietet eine sehr große Zahl an VPN Varianten an Preis pro Benutzer ca. 200 Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, Musterstadt Bayreuth 11. November

30 VPN Client VPN Tracker von Equinux für MacOSX Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, Musterstadt Bayreuth 11. November

31 VPN Client VPN Tracker von Equinux für MacOSX Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, Musterstadt Bayreuth 11. November

32 VPN Client VPN Tracker von Equinux für MacOSX Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, Musterstadt Bayreuth 11. November

33 VPN Client IPsecuritas für MacOSX Einbindung von Apple PC s und Nootbooks Open Source Produkt Keine Lizenzgebühren Homepage incl. Download Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, Musterstadt Bayreuth 11. November

34 Alternative PPTP (Point to Point Tunneling Protocol) für den Aufbau von VPN tauglich fast in allen Routern und Betriebssystemen implementiert viele Schwachstellen bekannt Sicherheit h it hängt allein an der Qualität der Passwörter ab Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, Musterstadt Bayreuth 11. November

35 Alternative L2TP (Layer 2 Tunneling Protocol) Vorteil: kann jedes beliebige Netzwerkprotokoll im PPP-Rahmen transportieren Nachteil: besitzt großen Overhead deshalb geringe Netto Datenrate bietet keinen eigenen Authentifizierungs-, Integritäts- und Verschlüsselungsmechanismus an kombinierbar mit verschiedenen Verschlüsselungsverfahren Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, Musterstadt Bayreuth 11. November

36 Alternative SSL (Secure Sockets Layer ) Zugriff von nicht gesicherten Rechnern möglich. Token oder digitale Zertifikate werden benötigt um Angriffe auf das Passwort zu verhindern. Sensible Informationen können auf unsicheren Rechnern zurückgelassen werden. Wenige Applikationen unterstützen out-of-the-box (Fertigprodukt) webbasierten Zugriff. Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, Musterstadt Bayreuth 11. November

37 TCP/IP Protokollstapel Gegenüberstellung IPsec - SSL IPsec SSL Anwendung HTTP IMAP SMTP DNS Anwendung HTTPS IMAPS POP3S SMTPS... Transport TCP UDP Transport SSL/TLS TCP Internet IPsec Internet IP Netzzugang Ethernet Token Token Token Token FDDI Netzzugang Ethernet Bus Ring Bus Ring FDDI.. Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, Musterstadt Bayreuth 11. November

38 Daten direkt mit einem VPN PC austauschen Es besteht die Möglichkeit alle Daten direkt über den VPN Tunnel zwischen einem Netzwerk und einem VPN PC auszutauschen. Bei großen Datenmengen kann es zu Verzögerungen durch schwache Datenleitungen kommen. UMTS Verbindungsgeschwindigkeit liegt im Durchschnitt bei ca.1 bis 2 Mbit/s. DSL Verbindungen liegen zwischen 2 und 16 Mbit/s. Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, Musterstadt Bayreuth 11. November

39 Daten an einer virtuellen Maschine im Netzwerk über Remote Desktop mit dem VPN PC bearbeiten Alle Daten werden auf einem virtuellen Windows PC abgespeichert. Über den VPN Tunnel gehen nur noch die Pixeldaten der Remote Desktop Verbindung. Bei großen Datenmengen ist der Datenaustausch wesentlich schneller. Auf dem VPN PC befinden sich keine Daten mehr. Somit sind z.b. bei Diebstahl des VPN Notebooks keine weiteren Schäden zu erwarten. Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, Musterstadt Bayreuth 11. November

40 Daten an einer virtuellen Maschine im HWK Netzwerk über Remote Desktop mit dem VPN PC bearbeiten Handwerkskammer Netzwerk / Oracle Virtual Box HWK-BT HWK-BT x Virtuelle Windows XP Maschinen Remote Desktop Verbindung über IPsec Verbindung HWK-BT VHWK-BT11,.., VHWK-BT ,.., Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, Musterstadt Bayreuth 11. November

41 Daten an einer virtuellen Maschine im HWK Netzwerk über Remote Desktop mit dem VPN PC bearbeiten Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, Musterstadt Bayreuth 11. November

42 Empfehlungen zur Sicherheit von Computern mit VPN Client tagesaktuelle Anti Virus Software Automatisches Windows Update erforderlich Kein Zugriff auf unverschlüsselten Datenverkehr während der VPN Sitzung Authentifzierung über USB Stick wird in der Praxis selten möglich sein, da ein zusätzlicher USB Steckplatz benötigt wird. Bei Home Office Arbeitsplätzen unbedingt über USB Stick authentifizieren. Sofortige Benachrichtigung der IT- Verantwortlichen bei Verlust der Authentifizierungsdaten (z.b. Diebstahl des Notebook) Lebensdauer der X.509 Zertifikate max. 3 Jahre Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, Musterstadt Bayreuth 11. November

43 Empfehlungen zur Sicherheit von Computern mit VPN Client Verschlüsseltes Dateisystem auf dem VPN Notebook verwenden (EFS, Encrypting File System) Alternative ti TrueCrypt: kann sowohl MS Windows, Linux und MacOSX Systeme verschlüsseln TrueCrypt ist Open Source Software und damit frei verfügbar ohne Lizenzkosten FileVault für MacOSX zum verschlüsseln der Userdaten Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, Musterstadt Bayreuth 11. November

44 Betrieb von Computern mit VPN Client über UMTS USB Stick über DSL Anschluss mit DSL Modem (Einplatzbetrieb) über DSL Anschluss mit DSL Router (Mehrplatzbetrieb) über Ethernet t Netzwerk Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, Musterstadt Bayreuth 11. November

45 Betrieb von Computern ohne VPN Client über DSL Anschluss mit IPsec fähigen Router (Mehrplatzbetrieb) Router: Soekris vpn4801 Lancom Digitus 1104-N Linksys BEFVP41 AVM FRITZ!Box D-Link HorstBox VPN Router Soekris vpn4801 Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, Musterstadt Bayreuth 11. November

46 Zusammenfassung seit 2002 bestehende Technologie Datensicherheit spielt immer größere Rolle IPsec sichert das ursprüngliche IP zur Zeit am besten ab Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, Musterstadt Bayreuth 11. November

47 ENDE Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, Musterstadt Bayreuth 11. November