(Un-) Sicherheit mit VPN

Ähnliche Dokumente
VIRTUAL PRIVATE NETWORKS

Empfehlungen für den sicheren Einsatz. SSL-verschlüsselter Verbindungen. Dipl.-Inform. Lars Oergel Technische Universität Berlin. 13.

Modul 6 Virtuelle Private Netze (VPNs) und Tunneling

MSXFORUM - Exchange Server 2003 > SMTP Konfiguration von Exchange 2003

Einführung in die Netzwerktechnik

Virtual Private Network. David Greber und Michael Wäger

VPN (Virtual Private Network)

Voraussetzungen für die Nutzung der Format Rechenzentrumslösung (Hosting)

Konfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung

TeleTrusT-Informationstag "IT-Sicherheit im Smart Grid"

Modul 6 Virtuelle Private Netze (VPNs) und Tunneling

Vertrauliche Videokonferenzen im Internet

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner

ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote

Dirk Becker. OpenVPN. Das Praxisbuch. Galileo Press

Eine Open Source SSL VPN Lösung. Patrick Oettinger Deutsche Telekom AG 2. Ausbildungsjahr

Ipsec unter Linux 2.6

Mobile Computing Fallstudie am Beispiel der sd&m AG Vortrag im Seminar Beratungsbetriebslehre am 26. Juni 2003

GEZIELT MEHR SICHERHEIT MIT 4I ACCESS SERVER & 4I CONNECT CLIENT

ISA Server 2004 Erstellen einer Webverkettung (Proxy-Chain) - Von Marc Grote

Clientless SSL VPN (WebVPN)

IT-Sicherheit. IT-Sicherheit. Axel Pemmann. 03. September 2007

Connectivity Everywhere

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Digitale Zertifikate

Kryptographische Anonymisierung bei Verkehrsflussanalysen

Übertragungsrate. Schnittstellen Anzahl der elektrischen Anschlüsse für internes Netzwerk 2 für externes Netzwerk 2 für Spannungsversorgung 1

VirtualPrivate Network(VPN)

Kontrollfragen: Internet

Bernd Blümel. Verschlüsselung. Prof. Dr. Blümel

Anytun - Secure Anycast Tunneling

IT-Sicherheit Kapitel 11 SSL/TLS

Kerberos - Alptraum oder Zusammenspiel?

Workshop: IPSec. 20. Chaos Communication Congress

Zehn SSH Tricks. Julius Plen z

Fachbereich Medienproduktion

Cisco AnyConnect VPN Client - Anleitung für Windows7

HTTPS Checkliste. Version 1.0 ( ) Copyright Hahn und Herden Netzdenke GbR

IPv6. Autor Valentin Lätt Datum Thema IPv6 Version V 1.0

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina)

Reale Nutzung kryptographischer Verfahren in TLS/SSL

Guide DynDNS und Portforwarding

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL

DATENSCHUTZ. Konzernweite Mailverschlüsselung. sselung

Aufbau und Funktion eines VPN- Netzwerkes

Nikon Message Center

WINDOWS 8 WINDOWS SERVER 2012

Übertragungsrate. Signal-Eingänge/Ausgänge Anzahl der elektrischen Anschlüsse für digitale Eingangssignale 1

Dominik Stockem Datenschutzbeauftragter Microsoft Deutschland GmbH

Verteilte Systeme Unsicherheit in Verteilten Systemen

Verteilte Systeme. Übung 10. Jens Müller-Iden

Pressemitteilung. Sichere Dokumente in der Cloud - Neue Open Source Dokumenten-Verschlüsselung

Systemvoraussetzungen:

Praktische Anleitung zu Konfiguration von PPTP Verbindungen

Netzwerk Management Potentielle Systemausfälle bereiten Ihnen Sorgen?

Netzwerksicherheit Übung 5 Transport Layer Security

Übertragungsrate. Übertragungsrate bei SHDSL-Übertragung / maximal. 15,3 Mbit/s. RJ45-Port (10/100 Mbit/s, TP, Auto-Crossover) Klemmleiste Klemmleiste

Collax PPTP-VPN. Howto

msm net ingenieurbüro meissner kompetent - kreativ - innovativ

Decus IT Symposium 2006

IPv6 kurz vor der Einführung Was ist tun?

Unified Communication Client Installation Guide

WLAN Konfiguration. Michael Bukreus Seite 1

ReddFort M-Protect. M-Protect 1

AbaWeb Treuhand. Hüsser Gmür + Partner AG 30. Oktober 2008

Windows Server 2008 R2 und Windows 7 Stand-Alone Arbeitsplatz per VPN mit L2TP/IPSec und Zertifikaten verbinden.

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis

Internet und WWW Übungen

Behebung des sog. Heartbleed-Bugs (CVE ) in der Krypto-Bibliothek OpenSSL.

Web of Trust, PGP, GnuPG

SharePoint Security. Dr. Bruno Quint CORISECIO - Open Source Security Solutions CORISECIO

Übersicht. Was ist FTP? Übertragungsmodi. Sicherheit. Öffentliche FTP-Server. FTP-Software

Erweiterung der Autokonfigurationsmethode für Rich Communications Suite enhanced (RCS-e) durch die COCUS AG

Remote Tools. SFTP Port X11. Proxy SSH SCP.

NAS 322 NAS mit einem VPN verbinden

Anleitung zum Prüfen von WebDAV

VPNs mit OpenVPN. von Michael Hartmann netz.de>

Open Source und Sicherheit

ecaros2 Installer procar informatik AG 1 Stand: FS 09/2012 Eschenweg Weiterstadt

Prof. Dr. Norbert Pohlmann, Institut für Internet Sicherheit - if(is), Fachhochschule Gelsenkirchen. Lage der IT-Sicherheit im Mittelstand

Software Defined Networking. und seine Anwendbarkeit für die Steuerung von Videodaten im Internet

Geyer & Weinig: Service Level Management in neuer Qualität.

Alle Informationen zu Windows Server 2003 Übersicht der Produkte

Die Vielfalt der Remote-Zugriffslösungen

Anonymous and secure instant messaging. We can neither confirm nor deny the existence or the non existence of the requested information

IRF2000 Application Note Lösung von IP-Adresskonflikten bei zwei identischen Netzwerken

Aufbau eines virtuellen privaten Netzes mit Peer-to-Peer-Technologie

team2work Gegründet 2004 Intuition: sichere Verbindungen für medizinische Netzwerke (Hard und Software)

Apache HTTP-Server Teil 1

Informationsblatt: Advoware über VPN

Was heißt Kryptographie I? Understanding Cryptography Christof Paar und Jan Pelzl

Advoware mit VPN Zugriff lokaler Server / PC auf externe Datenbank

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden:

Netzwerktechnologie 2 Sommersemester 2004

IEEE 802.1x Authentifizierung. IEEE 802.1x Authentifizierung IACBOX.COM. Version Deutsch

Dieser Artikel beschreibt die Veröffentlichung eines Microsoft SQL Server 2000 über einen ISA Server 2004.

Anforderungen und Umsetzung einer BYOD Strategie

Technische Grundlagen von Internetzugängen

Tips, Tricks und HOWTOs Virtualisierung für Profis und Einsteiger Serverkonsolidierung, Testumgebung, mobile Demo

Transkript:

(Un-) Sicherheit mit VPN virtuelle Sicherheit oder vertrauensvolle Netzwerktechnik? 1 SAFER, SMARTER, GREENER

Was ist ein VPN? VPN - Virtual Private Network. A private network that makes use of the public telecommunications infrastructure, maintaining privacy via the use of a tunneling protocol and security procedures that typically include encryption. Common protocols include IPSEC and PPTP. Quelle: BULLRUN Col Briefing Sheet 2

Agenda Gibt es sichere Kommunikation übers Internet? Welches VPN ist das Richtige? Wie wird mein VPN sicher? Feststellungen! 3

Gibt es sichere Kommunikation übers Internet? 4

Gibt es sichere Verschlüsselung? 5

6 Quelle: cryptome.org

7 Quelle: eff.org

Verschlüsselung funktioniert! Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Edward Snowden, am 17.06.13 auf theguardian.com 8

Aber: Kryptografie allein reicht nicht! They don't have superpowers, they have backdoors. Jakob Appelbaum, auf dem 31C3 9

Welches VPN ist das Richtige? 10

Die wichtigsten VPN-Protokolle im Überblick Protokoll PPTP L2TP IPSec SSL/TLS ISO / OSI Schicht beförderte Protokolle 2 - Sicherung 2 - Sicherung IP, IPX, NetBEUI Dokumente RFC 2637 Verfügbarkeit Eignung fast alle Plattformen Ungeeignet (seit 2012 geknackt ) paketbas. Protokolle (via PPP-Frames) RFC 3931 (L2TPv3) fast alle Plattformen Verschlüsselung nicht enthalten (IPsec möglich) 3 - Vermittlung IP RFC 4301 u.v.a. Für IPv6-Impl. verpflichtend Komplexität! 4 - Transport IP, HTTP, SMTP,... RFC 5246 (TLSv1.2) Meist integriert in Anwendung Je nach Implementierung Physical Data Link Network Transport Session Presentation Application 11

IPSec - Security Architecture for IP Erweiterung von IP um Verschlüsselungs- und Authentifizierungsmechanismen von der IETF als Bestandteil von IPv6 entwickelt für IPv4 nachträglich spezifiziert Kann nur IP-Pakete tunneln Realisierung meist mit L2TP Geeignet für Gateway-zu-Gateway-Szenarien (und andere) Ursprünglich Probleme mit NAT (Erweiterung NAT-Traversal) ohne Funktionen zur Konfig. von IP-Adresse, Subnetz oder DNS Einige kryptografische Verfahren festgelegt Interoperabilität zwischen den Herstellern theoretisch vorhanden Security's worst enemy is complexity. Niels Ferguson & Bruce Schneier, A Cryptographic Evaluation of Ipsec, 1999 12

TLS Transport Layer Security Vorgängerbezeichnung Secure Sockets Layer (SSL) Entwickelt für HTTPS TLS arbeitet transparent - jedes höhere Anwendungsprotokoll nutzbar Nutzdatenübertragung typischerweise über TCP-Port 443 hybride Verschlüsselung, kryptografische Verfahren werden ausgehandelt Interoperabilität meist vorhanden Typischerweise zertifikatsbasierte Authentifizierung ( Chain of Trust ) Bisher nicht im Standard: Wie wird Sicherheit zum (Anwendungs-)Protokoll hinzugefügt? Wie werden ausgetauschte Authentifizierungszertifikate interpretiert? Microsoft Trusted Root Certificate Program aktuell 131 Teilnehmer (CAs) siehe aka.ms/rootcert 13

Die wichtigste VPN-Software im Überblick Name Typ Entwickler / Lizenz Plattformen L2TP/IPsec-Client OS-integrierter Client Various alle Plattformen racoon, libreswan, openswan, strongswan Windows Firewall OpenSSL LibreSSL OpenVPN SChannel IPsec-Server GPL Linux u. Co. IPsec-Server (u.a.) SSL/TLS toolkit und Kryptography-Bibliothek OpenSSL-fork user-space VPN-Server und Client (OpenSSL basiert) Security Support Provider für TLS/SSL Microsoft / proprietär OpenSSL team / OSS OpenBSD-Projekt / OSS OpenVPN Technologies und andere / OSS Microsoft / proprietär Windows (-Server) Cross-platform *BSD, Linux, Windows (Cygwin) Installer für (fast) alle Plattformen vorh. Windows (ab Vista) stunnel TLS-proxy (OpenSSL basiert) 1 Entwickler / OSS Cross-platform OpenSSH Secure Shell mit Portforwarding (OpenSSL basiert) OpenBSD-Projekt / OSS Alle außer Windows 14

Wie wird mein VPN sicher? 15

0. Vorbetrachtungen Alle VPNs öffnen prinzipbedingt Tunnel in ein schützenswertes System! Die im internen Netzwerk liegenden Ressourcen sind damit Risiken ausgesetzt. Anmeldeinformationen müssen entsprechend gehandhabt werden! Die Komplexität muss beherrscht werden. Die Anzahl potentieller Angreifer im Internet ist groß! Nichts ist 100% sicher! 16

1. Planung Anforderungsanalyse Zuständigkeiten Einsatzzwecke Organisatorisches Konzept Eigen- / Fremdbetrieb Anbindung Dritter Sicherheitszonen Verantwortlichkeiten Kompetenzen Änderungsmanagement VPN-Sicherheitsrichtlinie Kryptoverfahren Schlüsselmanagement Auswertung (z.b. Protokolldateien) 17

2. Technische Realisierung Technisches Konzept Netzsegmentierung / Firewalls (Dedizierte Zugangsnetze) Routing / Bridging Monitoring-Systeme QoS-Anforderungen an Provider Verschlüsselungsverfahren: nur gängige Standards / öffentliche Spezifikationen Kombigerät, (virtuelle) Appliance oder software-basiert Beschaffung Vertrauen in HW- / SW-Lieferant oder Dienstleister Etablierte, quelloffene Kryptographie Umgang des Herstellers mit Sicherheitslücken Produkt-Zertifikate Service Level Agreements / Updates 18

3. Installation Testumgebung Funktionstest Performance-Messung Firmware-Update Schlüsselverteilung Lasttest Sicherheitsmechanismen System-Härtung Abschaltung Sonstiges Routingbeschränkungen Installationsdokumentation Technische Netzanalyse Neuerzeugung / Änderung aller Schlüssel, Zertifikate und Passwörter 19

4. Betrieb & Abschaltung Stetige Prüfung Zugriffsrechte Konfiguration Routing Security-Patches Herstellersupport Nachführung Dokumentation Auswertung / Überwachung Protokolle Alarmierungskonzept Zuständigkeit bei Fehlern und Störungen Deaktivierung ungenutzter Accounts Regelmäßige Änderung der Authentisierungsinformationen Kryptografie und Schlüssellängen noch zeitgemäß? 20

Feststellungen! 21

Wichtiges im Überblick Verschlüsselung funktioniert - aber nicht ewig! Erwiesenermaßen sichere Methoden: RSA, AES, SHA-256, ECDH Aktuell unsichere Verfahren DES, MD5, RC4, RSA mit Schlüssel < 1024 Bit Fortschritte der Kryptoanalyse jederzeit möglich! Beachtung von Cipherlist, Schlüssellängen Absicherung der Endgeräte! Schlüssel / Zertifikate selbst erzeugen selbst verwalten Software Updates! Hard- und (quelloffene) Software von vertrauenswürdigen Quellen garantierter (Security-)Support Ein bisschen Paranoia schadet nicht! 22

Kompetenz und Vertrauen Quelle: BSI-Magazin 2013/14 23

Zeiten ändern sich! Gestern Software ist ein Produkt Sicherheit ist ein Zustand Never touch a running System. Morgen Software ist ein Service Sicherheit ist ein Prozess Our only security is our ability to change. 24

Kontakt Steffen Grüttner Security Consultant, Smart Grid Technology steffen.gruettner@dnvgl.com +49 351 871 9271 +49 1522 2844491 Gostritzer Straße 67, 01217 Dresden www.dnvgl.com SAFER, SMARTER, GREENER 25

Welches Netzwerkgerät hat keine Hintertür? Asus, Digicom, ZTE: festes Standardpasswort 26

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback