Hochschule Wismar University of Applied Sciences Technology Business and Design. Teleworker und VPN, Sicherheit und Gefahren

Transkript

1 Teleworker und VPN, Sicherheit und Gefahren 1

2 Agenda Teleworker / Mobile- User, Campusdesign Was sind VPN s? Arten von VPN s, Vor- bzw. Nachteile (Web- VPN (L7), IPSec (L3), MPLS- VPN) Kurze Krypto- Übersicht IPSec- Tunnel (Vorteile, Nachteile) Network- Design und Security- Policy VPN- Risiken Split- Tunneling Risiko Minimierung / Lösungen 2

3 Teleworker / Mobile- User, Campusdesign 3

4 Teleworker / Mobile- User, Campusdesign Hub und Spoke -Ring - Mesh WAN - Berücksichtigung: Routing Komplexität und Anzahl der Links VPN- Spezifika Einflüsse der Verschlüsselung auf die CPU Per Tunnel Auslastung des VPN- Gateway Einflüsse von NAT 4

5 Was sind VPN s? Allgemein zwei Definitionen! Private Kommunikation über ein nicht privates Netzwerkmedium (Miet- Standleitungen) Transport vertrauenswürdiger Daten über ein untrusted (nichtvertrauenswürdiges) Netzwerk (sprich das Internet) VPN bedeutet nicht gleichzeitig verschlüsselte DATEN!!! Anwendung von Tunneltechniken -> VPN- Parameter (Adressierung, Layer-Nutzung, Verschlüsselung,..) können individuell, kundenspezifisch und in sich geschlossen (privat) sein VPN Formate / Sitzungen Host zu Host Host zu VPN- Gateway (Remote access bzw. VPdN) Gateway zu Gateway (Seite zu Seite) 5

6 Remote access bzw. VPdN (Virtual Private dialin Network) Remote Access VPN s ideal für die Erfordernisse der Teleworker, Mobile User.. VPN- Server können unterschiedliche Geräte sein: Remote access clients: - Router mit VPN- Funktionalität - Hardware Firewalls (PIX, ASA ) - VPN Concentratoren - VPN- Software (Open VPN) - VPN Hardware clients - VPN Software clients (Cisco, MS, Open VPN) - Standard- Browser 6

7 Arten von VPN s, Vor- bzw. Nachteile (Web-VPN (L7), IPSec (L3), MPLS- VPN) 7

8 Auswahl von VPN s Allgemeine VPN Begrenzungen SSH (Secure Shell) unterstützt nur TCP- Traffic abhängig vom Client Port forwarding Schwache Verschlüsselung L2TP Layer 2 tunneling protocol PPTP Point to point tunneling protocol Unicast - traffic IPSec Internet Protocol Security 8

9 Auswahl von VPN s 9

10 Zum Beispiel: WEB- VPN s, Vor- bzw. Nachteile 10

11 WEB- VPN s, Vor- bzw. Nachteile -Nutzt Standard- Browser -SSL- Verschlüsselung -Applikationszugriff über den Browser, von jedem Rechner -Begrenzt auf Client / Server Applikationen über Applets Web- VPN ist ideal für die folgenden Bedingungen: Unmanaged desktops Extranets eigenen Home- PC gelegentlicher Zugriff einfache Benutzung, keine Clientsoftware! :auf das Firmen-Netz :wenige Applikationen 11

12 MPLS- VPN- Netzwerk Nachteil: Komplexes Routing auf Provider- Seite! Meist unverschlüsselt (Zusatz Service) 12

13 Kurze Krypto- Übersicht Was man über Verschlüsselung wissen sollte? Verschlüsselung erlaubt Alice to talk to Bob Joe kann mithören, aber er kann die Nachricht nicht ändern bzw. verstehen. Angewendet bei IPSec VPN s : Site to Site, VPdN 13

14 Warum Internet Protocol Security IPSec? IP v4 hat keine payload security, nur einfache Checksummenbildung des Headers IP- IKE Internet key exchange ISAKMP Internet Security Association and Key Management Protocol IPSec bietet: - Authentication Header ( AH ) Authentifizierung des IP- Headers - Encapsulating Security Protocol (ESP) verschlüsselt die Daten oder das gesamte originale IP- Packet innerhalb eines neuen IP- Packetes mit neuem Header 14

15 Authentication & Key Exchange Policy (IKE mit ISAKMP) und IPSec- Policy IKE mit ISAKMP IPSec Policy Authentication method certificate shared secret Encryption algorithm Encryption algorithm DES, 3DES, AES DES, 3DES, AES Hashing algorithm Hashing algorithm MD5, SHA1 MD5, SHA1 15

16 IPSec-Tunnel ( Vorteile, Nachteile ) IPSec VPN Vorteile Zugriff nur von erlaubten Rechnern / Usern aus möglich Access Policy und unternehmensweite Sicherheitsrichtlinien (z.b. Virenschutz) wirksam Kompletter Zugriff auf Unternehmensressourcen und Anwendungen (da L3 -> nicht begrenzt auf nachfolgende Protokolle) IPSec VPN Nachteile Bindet Benutzer an bestimmte Rechner (VPN- Client- Software) Firewalls und NAT / PAT kann den Zugriff verhindern 16

17 Fragen: Network- Design und Security- Policy Was und wohin darf der mobile User? - nur firmeninterne Resourcen -> welche? - In welche internen Netze darf er? Ist der Internetzugriff erlaubt? - Gleichzeitig durch den Tunnel? - Gleichzeitig am Tunnel vorbei -> split tunnel Wird NAT / PAT verwendet? - Austausch von IP- Adressen bzw. Ports -> ändert HASH - ESP keine Ports -> multiplexing von mehreren internen Clients nicht möglich - NAT-Traversal - Version 17

18 Fragen: Network- Design und Security- Policy Welche Packetfilter werden verwendet? - Konfiguration von NAT-T Versionen Wo platziere ich mein VPN- Gateway? - Schutzbedarf des VPN- Gateways vor Angriffen aus dem nichtvertrauenswürdigen Netz - Notwendigkeit der Kontrolle und Flußsteuerung der Zugriffe aus dem nicht- vertrauenswürdigen Netz auf Systeme und Dienste im vertrauenswürdigen Netz - Schutzbedarf der übertragenen Daten 18

19 Network- Design Wo platziere ich mein VPN- Gateway? 19

20 VPN- Gefahren und Risiken Ich such noch was? Internet- Server mit malicious code z.b. Virus, Worm, Keystroke logger.. Perimeter- Router, Firewall, VPN- Gateway Internet VPN- Tunnel (z.b. IPSec, mit AES 256 und authenticated Packets ) DMZ- Intranet- Server Firmen- Netz Teleworker im Home-Netzwerk 20

21 Das kann Jedem passieren?! Websense ThreatSeeker Network Research Highlights, Q1 Q2 / Q3 Q Web Security 75 / 77of Web sites with malicious code are legitimate sites that have been compromised. 60 / 70 % of the top 100 most popular Web sites have either hosted or been involved in malicious activity in the first half of / 39 percent of malicious Web attacks included data-stealing code. Quelle: Websense Security Labs State of Internet Security Q1 Q2,

22 Quelle: Websense Security Labs State of Internet Security Q1 Q2,

23 23

24 Was ist passiert? Unser von außen abgesichertes (mit Firewall), nur VPN- Einwahl, nur erlaubter Traffic bzw. Web- Sites,. Netzwerk wurde durch bösartigen Code kompromittiert bzw. es wurde unerlaubter Code durch die Firewall rein gelassen!! Unser VPN- Tunnel ist super verschlüsselt, sprich nicht lesbar! siehe Design : Platzierung VPN- Gateway 24

25 Allgemeine Warnungen! Another risk of all types of VPN connections is split tunneling. This occurs when the remote computer is connected to the company LAN and to other resources on the Internet at the same time. If the remote system is attacked through its Internet connection, the VPN tunnel could be used by the attackers to access the corporate network. VPN clients can be configured to prevent split tunneling. The problem is that when a remote access VPN client connects to both the Internet and the corporate network, it has routes that allow the VPN client machine access to both networks. This creates the possibility that a malicious user on the Internet could use the VPN client s link to the corporate network to access resources on the company s LAN through the authenticated VPN connection. This is possible if the VPN client computer has IP routing enabled. 25

26 Allgemeine Warnungen! 6a shtml Warning: Split tunneling can pose a security risk when configured. Because VPN Clients have unsecured access to the Internet, they can be compromised by an attacker. That attacker might then be able to access the corporate LAN via the IPsec tunnel. A compromise between full tunneling and split tunneling can be to allow VPN Clients local LAN access only. über diesen der (abhörfreie) Datenverkehr ins Unternehmensnetz (bzw. von Standort zu Standort) erfolgen kann,. ansonsten Angreifbarkeit durch Split-Tunneling (Trojaner oder Denial Of Service Attacks) 26

27 Allgemeine Attacks! FTP - oder TFTP - relay durch den VPN- Client-PC - FTP / TFTP - Server auf dem Client (gewollter oder ungewollt) - ähnliches gilt für SMTP RAT - Remote Access Trojan auf dem VPN- Client - z.b. Back Orfice, SubSeven etc., - PC Anywhere ( kein Trojaner, aber das selbe Verhalten) Erlauben Remote Control des VPN- Clients, damit potentialer Zugriff auf das Intranet durch den Tunnel Anwendung von IP- Forwarding ( routen zwischen der physikalischen Netzkarte und dem VPN- Interface auf dem PC) (System Key:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] Value Name: IPEnableRouter Data Type: REG_DWORD (DWORD Value) Value Data: (0 = disabled, 1 = enabled) 27

28 Demonstrations- Zusatz Topologie für Split tunneling Perimeter- Router, Firewall, VPN- Gateway Internet Intranet-Server /24 Firmen- Netz Teleworker im Home-Netzwerk 28

29 Demonstration Split tunneling erlaubt! PC-Konfig vor VPN Aufruf Intranet-Server 29

30 Demonstration Split tunneling erlaubt! PC-Konfig nach VPN VPN- Adapter mit internen/privaten IP-Adressen Zugriff auf das Internet und Intranet gleichzeitig möglich!!! 30

31 Demonstration Split tunneling nicht erlaubt! PC-Konfig vor VPN Aufruf Intranet-Server 31

32 Demonstration Split tunneling nicht erlaubt! Zugriff auf das Intranet erlaubt, gleichzeitiger Internetzugriff nicht möglich!!! 32

33 Risikominimierung! Erstellen einer Security- Policy, muß alle Bereiche der IT berücksichtigen! Einige Hinweise für die Grundsicherung der Teleworker- Technik - Anti-Virus, Anti-Spam, Anti- Adware - Personal Firewall - Host IDS / IPS- Systeme - Patch- Management der Systeme - Schulung der Mitarbeiter (öffnen von s..) - Benutzung von bestimmten Applikationen, die den externen Zugriff auf das System erlauben (IRC, FTP) - Rechte des Nutzers auf dem Teleworker- System ( keine administrativen) - Split tunneling erlauben bzw. nicht (besser nicht!) 33

34 Risikominimierung! Einige Hinweise für die Grundsicherung der Teleworker- Technik - kein automatisierter Tunnelaufbau (Verlust des Notebooks) - Löschung von internen Caches / Temp s die für den Tunnelaufbau benutzt wurden - Beschränkung auf unbedingt notwendige Intranet- Ressourcen - Netzzugriff über NAC (Network AdmissionControl) automatisiertes Patch / Virus -management, Installation auf Notebook mit z.b. Cisco Trust Agent - Teleworkersysteme über virtuelle Maschinen

35 Danke für die Aufmerksamkeit! Fragen? 35