Virtuelle Private Netzwerke mit IPsec VPN mit mobilen Clients Ralph Schneider, 09.11.2010 Handwerkskammer für Oberfranken Kerschensteinerstraße 7 95448 Bayreuth
IPsec Kurzform für Internet Protocol Security ab 2002 etablierte Technologie und seitdem Bestandteil aller wichtigen Betriebssysteme Datenschutz spielt eine immer größere Rolle in der Gesellschaft Verpflichtung zum sicheren Umgang mit personenbezogenen Daten Es sind Maßnahmen zu treffen, die verhindern, dass Unbefugte auf diese Daten zugreifen können. (gem. 9Abs.4LDSGRP) Wirtschaftsspionage zunehmend Mittelstand und auch innovative Kleinunternehmen betroffen Handwerkskammer für Oberfranken Netzwerk Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, 12345 Musterstadt 7 95448 Bayreuth 11. November 2010 2
IPsec News-Meldung vom 21.06.2010 heise.de: Verfassungsschutzbericht warnt vor Computerspionage Besonders gefährlich seien elektronische Angriffe auf Netzwerke und Computersysteme deutscher Wirtschaftsunternehmen und öffentlicher Stellen. In "kleinen und mittelständischen Unternehmen besteht oftmals noch kein ausgeprägtes Gefahrenbewusstsein", beklagte de Maizière die Situation. Handwerkskammer für Oberfranken Netzwerk Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, 12345 Musterstadt 7 95448 Bayreuth 11. November 2010 3
Was kann IPsec leisten? Mitlesen von Datenströmen durch starke Kryptografie unterbinden Vertraulichkeit, Authentizität (Echtheit) und Integrität (vollständig und unverändert) von Daten garantieren kann zum Aufbau virtueller privater Netzwerke Nachteilverwendet werden Nachteil: sehr kompliziert IPsec sichert das ursprüngliche IP zur Zeit am besten ab Handwerkskammer für Oberfranken Netzwerk Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, 12345 Musterstadt 7 95448 Bayreuth 11. November 2010 4
IPsec Aufbau Gateway-zu-Gateway-VPN (LAN-to-LAN) Host-zu-Gateway-VPN (Remote-Access) Host-zu-Host-VPN (P2P) Unterschied IP und IPsec im Protokollstapel (Schichtenmodell) Anwendung HTTP IMAP SMTP DNS Transport TCP UDP Internet IP Anwendung HTTP IMAP SMTP DNS Transport TCP UDP Internet IPsec Netzzugang Ethernet Token Bus Token Ring FDDI Netzzugang Ethernet Token Bus Token Ring FDDI Quelle: http://de.wikipedia.org/wiki/ipsec Handwerkskammer für Oberfranken Netzwerk Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, 12345 Musterstadt 7 95448 Bayreuth 11. November 2010 5
IPsec Varianten Authentifizierung über Pre Shared Keys (PSK) oder X.509 Zertifikate 2 Varianten des Schlüsselaustausches IKEv1, IKEv2 2 Protokolle stehen zur Auswahl Authentication Header (AH), Encapsulating Security Payload (ESP) 2 Betriebsmodi existieren Transportmodus und Tunnelmodus unterstützt starke Kryptographie Hashfunktionen (Fingerprint) z.b. MD5, SHA-1 Verschlüsselungsalgorithmen 3DES, AES, Twofish Handwerkskammer für Oberfranken Netzwerk Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, 12345 Musterstadt 7 95448 Bayreuth 11. November 2010 6
Stand seit 2002: VPN Tunnel mit jeweils einem Gateway pro Standort t ----------Mon Apr 12 08:33:04 CEST 2010---------- 1 79.240.135.204 Bamberg(BTZ) [05:05] 2 91.9.54.45 Bayreuth(Ludwig-Thoma-Str.) [05:05] 3 79.208.2.118 Coburg(BTZ) [05:05] 4 84.147.174.151 Forchheim(BB) [05:05] 5 84.147.16.6 Hof(BTZ) [05:05] 6 91.9.35.67 Kronach(BB) [05:05] 7 91.9.54.54 Kronach(FBZ) [05:05] 8 17.231.144.208 Kulmbach(IFGO) [05:05] 9 91.9.0.218 Kulmbach(JBH) [05:05] 10 217.231.150.95 Kulmbach(KHS) [05:05] 11 87.175.136.100 Lichtenfels(LBH) [05:05] 12 4.181.146.20 Marktredwitz(BB) [05:05] 13 79.225.143.20 Selb(LBH) [05:05] ------------------------------------------------- Handwerkskammer für Oberfranken Netzwerk Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, 12345 Musterstadt 7 95448 Bayreuth 11. November 2010 7
Stand seit 2002: VPN Tunnel mit jeweils einem Gateway pro Standort t Netzwerk Bayreuth 10.72.0.0/255.255.192.0 VPN Gateway Firewall Internet HWK-BT01 HWK-BT02 Netzwerk Coburg 10.72.80.0/255.255.248.0 Firewall + VPN Gateway VPN Gateway HWK-CO01 HWK-CO02 Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, 12345 Musterstadt 7 95448 Bayreuth 11. November 2010 8
VPN Tunnel ohne Gateway / Einzelplatzlösung VPN Gateway Netzwerk Bayreuth 10.72.0.0/255.255.192.0 Firewall Internet HWK-BT01 Firewall + VPN Gateway HWK-BT02 HWK-BT03 Einzelplatz PC / HWK-BT04 10.72.150.4/255.255.255.255 Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, 12345 Musterstadt 7 95448 Bayreuth 11. November 2010 9
Wahrnehmung durch den Mitarbeiter Handwerkskammer Netzwerk 10.72.0.0/255.255.192.0 HWK-BT01 10.72.1.1 HWK-BT02 10.72.1.2 HWK-BT03 10.72.1.3 HWK-CO01 10.72.80.1 HWK-BT04 10.72.150.4 Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, 12345 Musterstadt 7 95448 Bayreuth 11. November 2010 10
Sicherheit durch IPsec (Internet Protocol Security) VPN Gateway Netzwerk Standort Bayreuth Firewall Internet IPsec Verbindung IP v4 Verbindung HWKBT04 Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, 12345 Musterstadt 7 95448 Bayreuth 11. November 2010 11
IPsec quasi Standard d RFC 4301 Internet Key Exchange (IKEv1) (RFC 2408, 2409) Schlüsselaustausch in 2 Phasen Phase 1: zertifikatsbasierende Authentisierung über X.509 Zertifikate (RSA Public Key 2048 Bit ) Zum Schlüsselaustausch wird Diffie-Hellman-Schlüsselaustausch verwendet (RFC 2631) Einsatz einer Public Key Infrastruktur (PKI) mit vertrauenswürdigen Zertifikaten (CA Certification Authority) (Softwarezertifikate elektronisch signiert) PKI bereits vorhanden mit eigener CA (Zertifizierungsstelle) Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, 12345 Musterstadt 7 95448 Bayreuth 11. November 2010 12
X.509 Zertifikat Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, 12345 Musterstadt 7 95448 Bayreuth 11. November 2010 13
X.509 Zertifikat (CA Certification Authority) Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, 12345 Musterstadt 7 95448 Bayreuth 11. November 2010 14
IPsec Phase 2: gesamte Kommunikation erfolgt verschlüsselt Schlüssel aus Phase 1 werden verworfen und neue Schlüssel erstellt Somit kein Rückschluss auf Schlüssel aus den Zertifikaten in der Phase 2 des Schlüsselaustausches Lifetime Phase 1: 4 Stunden Lifetime Phase 2: 40 Minuten Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, 12345 Musterstadt 7 95448 Bayreuth 11. November 2010 15
IPsec Information zu Internet Key Exchange (IKEv2) IKE ist sehr kompliziert, um es wirklich zu verstehen sollte man über Abschlüsse in fortgeschrittener Mathematik verfügen und viel Zeit mit entsprechender Literatur verbracht haben. Da IKEv1 recht komplex ist, wurden viele Implementationen von IPsec inkompatibel zueinander. IKEv1 ist bei Verwendung von dynamischen IP-Adressen, wie bei DSL-Anschlüssen üblich ist, wenig geeignet. IKEv2 behebt bt diese Probleme. Bei IKEv2 wurden die von IKEv1 bekannten Phasen grundlegend verändert. Um eine Verbindung zu erstellen, benötigt man nun nur noch vier UDP-Nachrichten. Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, 12345 Musterstadt 7 95448 Bayreuth 11. November 2010 16
IPsec Encapsulating Security Payload (ESP) (RFC 4303) ESP soll die Authentisierung, i Integrität und Vertraulichkeit i von IP Paketen sicherstellen. ESP basiert direkt auf IP und verwendet die IP Protokoll Nummer 50. ESP im Tunnelmodus Im Tunnelmodus wird das ursprüngliche Paket gekapselt und die Sicherheitsdienste von IPsec auf das ganze Paket angewandt. Zur Zeit beste Variante IP abzusichern. IPsec Paket (verschlüsselt) Ursprüngliches IP Paket (unverschlüsselt) IPsec Paket (verschlüsselt) Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, 12345 Musterstadt 7 95448 Bayreuth 11. November 2010 17
IPsec Information: Authentication Header AH AH soll die Authentizität und Integrität der übertragenen Pakete sicherstellen und den Sender authentisieren. Die Nutzdaten t werden bei AH nicht verschlüsselt lt und sind damit für jeden lesbar. AH basiert direkt auf IP und verwendet die Protokoll Nummer 51. Achtung: NAT(Network Address Translation) und AH sind inkompatibel. IPsec Paket (AH Header) Ursprüngliches IP Paket (unverschlüsselt) Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, 12345 Musterstadt 7 95448 Bayreuth 11. November 2010 18
IPsec Information: Transportmodus Im Transportmodus wird der IPsec-Header zwischen dem IP-Header und den Nutzdaten eingefügt. Der IP-Header bleibt unverändert und dient weiterhin zum Routing des Pakets vom Sender zum Empfänger. Ursprünglicher IP Header IPsec Paket (AH Header) Ursprüngliches IP Paket (unverschlüsselt) Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, 12345 Musterstadt 7 95448 Bayreuth 11. November 2010 19
VPN Client TheGreenbow Unterstützt alle Microsoft Betriebssysteme incl. Windows 7 USB Laufwerk zur Speicherung der Sicherheitselemente möglich Hash Algorithmen MD5, SHA1, SHA2 Verschlüsselung 3DES, AES 128, AES 192, AES 254 Diffie Hellman Group Unterstützung 768, 1024, 1536, 2048 Authentisierung ti i über X.509, Pre Shared Key IKE und IPsec Modus ISAKMPD (RFC 2408), AH (Authentication Header), ESP, Transportmodus, Tunnelmodus deutsche Oberfläche, deutsches Handbuch als PDF Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, 12345 Musterstadt 7 95448 Bayreuth 11. November 2010 20
VPN Client TheGreenbow Unterbrechung des nichtverschlüsselten Datenverkehrs möglich unterstützt VPN Verbindung über DSL Router (z.b. FritzBox) mit DHCP aus privaten Netzwerk (Home Office) Bei Home Office über DSL Router sind zusätzliche Einstellungen der Windows Firewall notwendig! Preis pro Lizenz ca. 80 Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, 12345 Musterstadt 7 95448 Bayreuth 11. November 2010 21
TheGreenbow VPN Client Phase1 Konfiguration Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, 12345 Musterstadt 7 95448 Bayreuth 11. November 2010 22
TheGreenbow VPN Client Phase2 Konfiguration Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, 12345 Musterstadt 7 95448 Bayreuth 11. November 2010 23
VPN Client Shrew Soft alle IPsec spezifischen Parameter wie bei TheGreenbow Client Unterstützt alle Windows Betriebssysteme incl. Windows 7 BSD und Linux Plattformunterstützung englische Oberfläche, englisches Handbuch als PDF kostenfreie Lizenz Unverschlüsselter Datenverkehr kann während der VPN Sitzung nicht blockiert werden. Bei TheGreenbow VPN Client ist es möglich unverschlüsselten Datenverkehr zum Internet zu sperren. Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, 12345 Musterstadt 7 95448 Bayreuth 11. November 2010 24
Shrew Soft VPN Client Access Manager und General Konfiguration VPN Gateway Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, 12345 Musterstadt 7 95448 Bayreuth 11. November 2010 25
Shrew Soft VPN Client Microsoft Windows Phase1 und Phase2 Konfiguration Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, 12345 Musterstadt 7 95448 Bayreuth 11. November 2010 26
VPN Client Shrew Soft unter Linux oder FreeBSD Die Open Source Software Shrew Soft kann auch unter Linux und FreeBSD betrieben werden. Es können die Windows Konfigurationsdateien von ShrewSoft verwendet werden. Kein zusätzlicher Konfigurationsaufwand notwendig. Erhöhte Sicherheit und Stabilität zum Beispiel beim Einsatz einer Ubuntu Linux Distributuion Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, 12345 Musterstadt 7 95448 Bayreuth 11. November 2010 27
Shrew Soft VPN Client Linux Phase1 und Phase2 Konfiguration Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, 12345 Musterstadt 7 95448 Bayreuth 11. November 2010 28
VPN Client VPN Tracker von Equinux für MacOSX Einbindung von Apple PC s und Notebooks sehr leistungsfähige Software, bietet eine sehr große Zahl an VPN Varianten an Preis pro Benutzer ca. 200 Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, 12345 Musterstadt 7 95448 Bayreuth 11. November 2010 29
VPN Client VPN Tracker von Equinux für MacOSX Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, 12345 Musterstadt 7 95448 Bayreuth 11. November 2010 30
VPN Client VPN Tracker von Equinux für MacOSX Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, 12345 Musterstadt 7 95448 Bayreuth 11. November 2010 31
VPN Client VPN Tracker von Equinux für MacOSX Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, 12345 Musterstadt 7 95448 Bayreuth 11. November 2010 32
VPN Client IPsecuritas für MacOSX Einbindung von Apple PC s und Nootbooks Open Source Produkt Keine Lizenzgebühren Homepage incl. Download http://www.lobotomo.com/products/ipsecuritas/ Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, 12345 Musterstadt 7 95448 Bayreuth 11. November 2010 33
Alternative PPTP (Point to Point Tunneling Protocol) für den Aufbau von VPN tauglich fast in allen Routern und Betriebssystemen implementiert viele Schwachstellen bekannt Sicherheit h it hängt allein an der Qualität der Passwörter ab Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, 12345 Musterstadt 7 95448 Bayreuth 11. November 2010 34
Alternative L2TP (Layer 2 Tunneling Protocol) Vorteil: kann jedes beliebige Netzwerkprotokoll im PPP-Rahmen transportieren Nachteil: besitzt großen Overhead deshalb geringe Netto Datenrate bietet keinen eigenen Authentifizierungs-, Integritäts- und Verschlüsselungsmechanismus an kombinierbar mit verschiedenen Verschlüsselungsverfahren Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, 12345 Musterstadt 7 95448 Bayreuth 11. November 2010 35
Alternative SSL (Secure Sockets Layer ) Zugriff von nicht gesicherten Rechnern möglich. Token oder digitale Zertifikate werden benötigt um Angriffe auf das Passwort zu verhindern. Sensible Informationen können auf unsicheren Rechnern zurückgelassen werden. Wenige Applikationen unterstützen out-of-the-box (Fertigprodukt) webbasierten Zugriff. Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, 12345 Musterstadt 7 95448 Bayreuth 11. November 2010 36
TCP/IP Protokollstapel Gegenüberstellung IPsec - SSL IPsec SSL Anwendung HTTP IMAP SMTP DNS Anwendung HTTPS IMAPS POP3S SMTPS... Transport TCP UDP Transport SSL/TLS TCP Internet IPsec Internet IP Netzzugang Ethernet Token Token Token Token FDDI Netzzugang Ethernet Bus Ring Bus Ring FDDI.. Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, 12345 Musterstadt 7 95448 Bayreuth 11. November 2010 37
Daten direkt mit einem VPN PC austauschen Es besteht die Möglichkeit alle Daten direkt über den VPN Tunnel zwischen einem Netzwerk und einem VPN PC auszutauschen. Bei großen Datenmengen kann es zu Verzögerungen durch schwache Datenleitungen kommen. UMTS Verbindungsgeschwindigkeit liegt im Durchschnitt bei ca.1 bis 2 Mbit/s. DSL Verbindungen liegen zwischen 2 und 16 Mbit/s. Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, 12345 Musterstadt 7 95448 Bayreuth 11. November 2010 38
Daten an einer virtuellen Maschine im Netzwerk über Remote Desktop mit dem VPN PC bearbeiten Alle Daten werden auf einem virtuellen Windows PC abgespeichert. Über den VPN Tunnel gehen nur noch die Pixeldaten der Remote Desktop Verbindung. Bei großen Datenmengen ist der Datenaustausch wesentlich schneller. Auf dem VPN PC befinden sich keine Daten mehr. Somit sind z.b. bei Diebstahl des VPN Notebooks keine weiteren Schäden zu erwarten. Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, 12345 Musterstadt 7 95448 Bayreuth 11. November 2010 39
Daten an einer virtuellen Maschine im HWK Netzwerk über Remote Desktop mit dem VPN PC bearbeiten Handwerkskammer Netzwerk 10.72.0.0/255.255.192.0 Oracle Virtual Box HWK-BT1 10.72.1.1 HWK-BT2 10.72.1.2 6 x Virtuelle Windows XP Maschinen Remote Desktop Verbindung über IPsec Verbindung HWK-BT4 10.72.150.4 VHWK-BT11,.., VHWK-BT16 10.72.5.11,.., 10.72.5.16 Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, 12345 Musterstadt 7 95448 Bayreuth 11. November 2010 40
Daten an einer virtuellen Maschine im HWK Netzwerk über Remote Desktop mit dem VPN PC bearbeiten Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, 12345 Musterstadt 7 95448 Bayreuth 11. November 2010 41
Empfehlungen zur Sicherheit von Computern mit VPN Client tagesaktuelle Anti Virus Software Automatisches Windows Update erforderlich Kein Zugriff auf unverschlüsselten Datenverkehr während der VPN Sitzung Authentifzierung über USB Stick wird in der Praxis selten möglich sein, da ein zusätzlicher USB Steckplatz benötigt wird. Bei Home Office Arbeitsplätzen unbedingt über USB Stick authentifizieren. Sofortige Benachrichtigung der IT- Verantwortlichen bei Verlust der Authentifizierungsdaten (z.b. Diebstahl des Notebook) Lebensdauer der X.509 Zertifikate max. 3 Jahre Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, 12345 Musterstadt 7 95448 Bayreuth 11. November 2010 42
Empfehlungen zur Sicherheit von Computern mit VPN Client Verschlüsseltes Dateisystem auf dem VPN Notebook verwenden (EFS, Encrypting File System) http://www.microsoft.com/germany/technet/datenbank/articles/900941.mspx Alternative ti TrueCrypt: kann sowohl MS Windows, Linux und MacOSX Systeme verschlüsseln TrueCrypt ist Open Source Software und damit frei verfügbar ohne Lizenzkosten http://www.truecrypt.org/ FileVault für MacOSX zum verschlüsseln der Userdaten Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, 12345 Musterstadt 7 95448 Bayreuth 11. November 2010 43
Betrieb von Computern mit VPN Client über UMTS USB Stick über DSL Anschluss mit DSL Modem (Einplatzbetrieb) über DSL Anschluss mit DSL Router (Mehrplatzbetrieb) über Ethernet t Netzwerk Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, 12345 Musterstadt 7 95448 Bayreuth 11. November 2010 44
Betrieb von Computern ohne VPN Client über DSL Anschluss mit IPsec fähigen Router (Mehrplatzbetrieb) Router: Soekris vpn4801 Lancom 1711+ Digitus 1104-N Linksys BEFVP41 AVM FRITZ!Box D-Link HorstBox VPN Router Soekris vpn4801 Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, 12345 Musterstadt 7 95448 Bayreuth 11. November 2010 45
Zusammenfassung seit 2002 bestehende Technologie Datensicherheit spielt immer größere Rolle IPsec sichert das ursprüngliche IP zur Zeit am besten ab Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, 12345 Musterstadt 7 95448 Bayreuth 11. November 2010 46
ENDE Handwerkskammer Musterstadt, für Oberfranken Musterstraße Kerschensteinerstraße 123, 12345 Musterstadt 7 95448 Bayreuth 11. November 2010 47