AltaVista Software - Security sichere Anbindung an das vertrauliche Kommunikation über das Mathias Schmitz AltaVista Software mathias.schmitz@altavista.digital.com Die Risiken des sind real! Jede 5. Anschluß erfuhr Einbrüche aus dem (Source: CSI) Verluste durch Einbrüche aus dem Netz summieren sich auf jährlich $10 Mrd. Die Rate der Einbruchsversuche stieg im vergangenen Jahr um ca. 50% (Source: CERT) 40% der ans angeschlossenen Netze verfügt über keine Sicherung durch einen Firewall (Source: CSI) Jeder Hacker ist im aktiv Dilemma Möglichkeiten Geld verdienen Kosten einsparen Globale Kommunikation Sicherheitsrisiken Hacker/Cracker/... Sniffer Spoofing
Illusion der Sicherheit... Ist die Kommunikation in privaten WAN wirklich sicherer als über das? Private WAN: Illusion der Sicherheit wie schützen Sie Ihre private WAN Infrastruktur wirklich? : keine Illusionen! Jeder Hacker ist im! Safer Communication ist zwingend erforderlich! Sicherheitsrisiken Das Design von TCP/IP Herkunft von anwendungen Übermittlung in Klartext Ständige Attacken gegen bekannte Einrichtungen Passwort-Attacken -Wurm Social Engineering Service-Attacken IP-Spoofing SATAN Cheswick/Bellovin s 42 Wege ein Netz zu knacken Java (Radio)ActiveX 80 75 70 95 0 510 90 100 10 85 15 65 35 20 25 30... Java, (Radio)ActivX Bereiche von Sicherheitsrisiken Welcome in Wonderland Bingo!... Ein einfacher Mausklick kann Ihren Blick für Sicherheit schärfen! Intra-Company Inter-Company -Kommunikation
-Sicherheitsoptionen Keine Anbindung! -Sicherheitsoptionen Direkte Anbindung Privates Netzwerk Privates Netzwerk -Sicherheitsoptionen Verbindungen über einen Firewall Privates Netzwerk Firewall-Konzepte Was ist ein Firewall? Vertrauenswürdiges System zwischen zwei Netzen Richtlinien definieren, was passieren darf Internes Netz ist vertrauenswürdig (blue net) Externes Netz nicht (red net)
Firewall-Konzepte Was kann ein Firewall leisten? Kontrolliert den Zugriff auf das private Netzwerk Sicherheits-Focus Verbirgt interne Topologie/Adressen Protokollierung Alarm-System Integration von Authentisierung Umsetzung von Sicherheitsrichtlinien Steuerung der angebotenen Dienste Grenzen von Firewall-Systemen Einschränkungen im Zugriff gewünschter Dienste Problem von "Back Doors" Attacken von Innen Viren Potentielle Engstellen Ausfall des Firewall-Systems AltaVista Firewall: Design Prinzipien Zugriff erfolgt stets über Anwendungs Gateway Jede Verbindung zum AltaVista Firewall wird überprüft eine Auswahl an vordefinierten Sicherheitsregeln werden bereitgestellt alle Ereignisse werden geloggt Dual-homed Firewall System html-basierende graphische Benutzeroberfläche AltaVista Firewall 97 Betriebssystem: Digital UNIX Windows NT (Alpha & INTEL) BSD/OS Anwendungs-Gateways für Mail (SMTP) News FTP (trans, nontans.) TELNET (trans, nontans.) TN3270 WWW Finger
AltaVista Firewall generisches TCP Gateway (one to many, many to one) sinnvoll vordefinierte Sicherheitsrichtlinien Authentisierungsdienste für FTP und TELNET Protokollierung, Auditing und Alarmsystem Proxy-Server Lizensierung (Unix, NT, BSD) 25 Knoten $ 2.495 (+ 10 Personal Tunnel) 50 Knoten $ 3.995 200 Knoten $ 7.995 unlimited $ 14.995 AltaVista Firewall 97 Remote Management (AltaVista Tunnel) User Authentication für WWW (URL Blocking, Java Blocking,...) weitere Application Proxies Realaudio SQL*net Dual DNS (UNIX) UDP Proxy (UNIX) NT V4.0 Domain Authentication... DMZ AltaVista Firewall Konfiguration (UNIX) Netzwerk Bandbreite Größer als 10 Mb/s (i.e. T3, FDDI, Fast Ethernet) 1-10 Mb/s (i.e. T1, Ethernet) weniger als 1 Mb/s (i.e. 64Kb, 128Kb, 512Kb) Firewall Server Konfiguration Mid Range Alpha Station 256 Mb Memory / 4 Gb Disk Storage Low End Alpha Station 96 Mb Memory / 3 Gb Disk Storage Low End Alpha Station 64 Kb Memory / 3 Gb Disk Storage sichere Anbindung an das vertrauliche Kommunikation über das
AltaVista Tunnel Virtuelles privates Netwerk kann für vertrauliche Kommunikation genutzt werden Verbindungen sind autentisiert und verschlüsselt Anwendungen arbeiten ohne Modifikationen Firewall unabhängig Anwender bezogene Autentisierung Workgroup Edition - LAN zu LAN Alternative zu gemieteten Standleitungen Personal Edition - PC zu LAN Ersatz für Wählverbindungen über Modem, u.ä. Grundlagen der Verschlüsselung Public/Private Key (RSA 512 Bit) Langsam, aber skalierbar Für Autentisierung Zwei Schlüssel Öffentl. Schlüssel verschlüsselt Privater Schlüssel entschlüsselt K PUBLIC(MARIA) K PRIVATE(MARIA) Private Key (RSA RC4 128 / 56 Bit) Hohe Performanz Verschlüsselt und entschlüsselt Zwischen Hosts gemeinsam benutzt Muß sicher verteilt werden K PRIVATE(SHARED) Firewall-basierender Tunnel Benötigt das gleiche Firewall-System an beiden Enden Im privaten Netz "Klartext"-Daten Autentisierung nach Adressen, nicht Benutzern Teuer Unflexibel, herstellerabhängig Entferntes LAN Tunnel Privates Netzwerk AltaVista Tunnel, Workgroup Edition Win NT, Digital UNIX, BSD/OS,... Verschlüsselung, wo notwendig Firewall-unabhängig Integriert mit Packet-Filtering Benutzer-basierende Autentisierung keine Protokoll Modifikation Tunnel Endpunkt Entferntes LAN Verschlüsselter Group Tunnel Privates Netzwerk Tunnel Endpunkt
AltaVista Tunnel, Personal Edition Win NT, Win 95 Verbindet Einzelpersonen mit einem privaten Netz Sichere Kommunikation mit: Telecommuters Außendienstmitarbeitern u.a. Einzelpersonen Keine Modems, Leitungskosten Verschlüsselter Personal Tunnel Tunnel Endpunkt Privates Netzwerk Virtuelle private Netze Das virtuelle Unternehmen Division B Division C Division A Group Tunnel Firewall & Zentrale Tunneling Group Tunnel Vertriebsbüro Group Tunnel Fertigung Lieferant Partner Group Tunnel Virtuelle Verbindungen Remote Access Server - Kundendienst Kunde Value Added Networks - Compuserve - AOL Zulieferer - Product Daten - EDI Informationen - News Service - Informationsdienste Partner - Email - Kollaborationen Entfernte oder mobile Anwender Personal Tunnel AltaVista Tunnel Lizenzen AltaVista im... AltaVista Tunnel Workgroup NT BSD UNIX Preis Workgroup 10 50 50 $ 995 Workgroup-L 100 100 200 $ 1995 Workgroup-XL / / 512 $ 2495 World Wide Web: http://www.altavista.software.digital.com/ Business Partner Forum http://partners.altavista.software.digital.com/ Alta Vista Search Site http://www.altavista.digital.com AltaVista Tunnel Personal Win NT, Win 95: $ 99
AltaVista Software 1997