asut Lunch Forum vom 4. Mai 2007 Sichere Fernwartung über das Internet Prof. Dr. Andreas Steffen Sicher durchs Netz dank Innovation! A. Steffen, 4.05.2007, asut_lunch_forum.ppt 1
Kernkompetenzen des Instituts Internet Sicherheit Innovative Anwendungen für Internet und Mobilfunk Performance-Messungen und Bewertungen in Netzwerken Netzwerk Modellierung und Simulation Machine Intelligence in der Neuroinformatik A. Steffen, 4.05.2007, asut_lunch_forum.ppt 2
Klassische Fernwartung via Modem Dial-In Modem Public Switched Telephone Network Modem Es wird eine direkte Punkt-zu-Punkt Dial-Up Verbindung über das öffentliche Telefonnetz erstellt. Die Verbindungen sind schmalbandig (ISDN) und können bei internationalen Gesprächen beträchtliche Gebühren verursachen. A. Steffen, 4.05.2007, asut_lunch_forum.ppt 3
Fernwartung im Internetzeitalter? Firewall Firewall Internet NAT Router 1.2.3.4 NAT Router 5.6.7.8 Intranet 10.0.0.2 Rechner hinter einem NAT-Router können problemlos auf das Internet zugreifen. Die Rechner können aber wegen der Adressumsetzung nicht direkt aus dem Internet erreicht werden. A. Steffen, 4.05.2007, asut_lunch_forum.ppt 4
Network Security Layers Application Application Application XML/SOAP XML/SOAP WS-Security XML/SOAP HTTP HTTP XML/SOAP HTTP Userland SSL/TLS Userland HTTP TCP TCP Kernel TCP TCP Kernel TCP TCP IPsec IP IP IP IP IP IP Network Layer Security Transport Layer Security Application Layer Security A. Steffen, 4.05.2007, asut_lunch_forum.ppt 5
SSL/TLS Stacks for Embedded Systems IPC@CHIP manufactured by Beck IPC GmbH, Wetzlar, Germany 16-bit 80186 processor @ 20 MHz 512 kbyte Flash / 512 kbyte RAM 1x Ethernet, 2x Seriell, built-in TCP/IP stack SSL/TLS lightweight implementation, size<100 kb A. Steffen, 4.05.2007, asut_lunch_forum.ppt 6
strongswan the Linux IPsec Solution! Open Source Software Projekt Sehr hoher Sicherheitsstandard Weltweit in Hardware-Geräten und Software Anwendungen eingesetzt Präsenz am LinuxTag Prototyp IPsec Chiffriergerät Official Sponsor Siemens Optiset WL2 WLAN IP Phone A. Steffen, 4.05.2007, asut_lunch_forum.ppt 7
strongswan mit IKEv2 EAP Authentisierung IPsec The 3GPP Generic Access Network (GAN) enables GSM and UMTS services to be delivered over unlicensed WLAN Access Points (APs). Using IKEv2 EAP-SIM or EAP-AKA authentication the Mobile Station (MS) sets up an IPsec tunnel to the GAN Controller (GANC). A. Steffen, 4.05.2007, asut_lunch_forum.ppt 8
SSL/TLS oder IPsec Port-Forwarding Firewall Firewall Internet NAT Router 1.2.3.4 NAT Router 5.6.7.8:443 Intranet 10.2.0.5:443 Durch feste Port-Forwarding Einstellungen auf dem NAT-Router werden Intranet-Rechner aus dem Internet direkt sichtbar. Die Ereichbarkeit kann nicht ohne Einbezug der IT-Dienste ad-hoc ein- oder ausgeschaltet werden. Deshalb ist eine starke Benutzerauthentisierung unabdingbar, um Angriffe aus dem Internet zu verhindern. A. Steffen, 4.05.2007, asut_lunch_forum.ppt 9
Peer-to-Peer NAT-Traversal for IPsec Client registration az9ch2@m.org Endpoint discovery 5.6.7.8:3001 Endpoint relaying Hole punching (ICE, etc.) 7vnU3b@m.org IKEv2 IKEv2 Mediation Server Mediation Connection Mediation Connection NAT Router 1.2.3.4:1025 NAT Router 5.6.7.8:3001 Mediation Client IKEv2 Mediation Client Mediated Connection 10.1.0.3:4500 10.1.0.3 10.2.0.5:4500 Direct ESP Tunnel using NAT-Traversal 10.2.0.5 A. Steffen, 4.05.2007, asut_lunch_forum.ppt 10
Zusammenfassung Der Internetzugriff kann durch den Kunden fallweise direkt mittels Registrierung des zu wartenden Systems beim Mediation Server aktiviert werden. Der Servicetechniker kann sich von einem beliebigen Ort (von zu Hause aus, über PWLAN oder Mobilfunknetz) auf das zu wartende System zugreifen. Durch Einsatz von Pseudonymen kann der Mediation Service auch durch eine Drittfirma betrieben werden. Es wird keine vertrauliche Information über den Mediation Service geschleust, da der IPsec Tunnel direkt Peer-to-Peer aufgesetzt wird. Die durch den ITA Mitarbeiter Tobias Brunner entwickelte IPsec Erweiterung wird 2007 als IETF Internet Draft <draft-brunnerikev2-p2pnatt-00.txt> veröffentlicht werden. A. Steffen, 4.05.2007, asut_lunch_forum.ppt 11
asut Lunch Forum vom 4. Mai 2007 Vielen Dank für die Aufmerksamkeit! Fragen??? A. Steffen, 4.05.2007, asut_lunch_forum.ppt 12