Olaf Jacobi Leiter Internet Sales & Marketing IBH Prof. Dr. Horn GmbH Gostritzer Str. 61-63 01217 Dresden http://www.ibh.de jacobi@ibh.de
Inhaltsverzeichnis Sicherheit und Kosteneffizienz mit VPN Grundlegende Sicherheitsaspekte Historisches Wachstum LAN & WAN Verbindungen mit der Internet-Wolke Realisierung verschlüsselter Verbindungen VPN-Verbindungsarten und Merkmale 2
Infrastrukturen 1 Firmeninterne LANs Seit langem verbreitet, insbesondere basierend NetBIOS und Novell IP hat sich in den letzten Jahren durchgesetzt Firmenzentrale Filialstandort A Si WAN Si (= ISDN-Wählverbindung) 3
Infrastrukturen 1 Firmeninterne LANs Seit langem verbreitet, insbesondere basierend NetBIOS und Novell IP hat sich in den letzten Jahren durchgesetzt Firmenzentrale Filialstandort A Si Si WAN (= Leased Line) 4
Klassische WANs Vorteile: Infrastrukturen 2 Anmietung der direkten Leitungswege direkte Verbindung der Netze hohe Integrität der Verbindung Nachteile: langfristige Rahmenverträge mit einem Carrier (TDN, regulierte Preise der digitalen Standleitungen) hohe Kosten wenig flexibel und skalierbar Daten werden außer Haus unverschlüsselt übertragen 5
Infrastrukturen 3 Entwicklung der LANs + WANs Forderungen: Zugang für Wartung direkte Einwahl langsam, Tor von hinten Zugang für Mitarbeiter direkte Einwahl langsam, wenig Kontrollmöglichkeit Internet-Zugang Jede Filiale mit extra Lösung? Welcher Schutz vor Hacks, DoS, Viren & Würmer? Zentrales Management Einheitlichkeit der Plattformen und Geräte Einfache Administration mit Standardmitteln 6
IP-Sicherheit 1 Firmeninterne weltweite Netze Aufbau eines firmeninternen LAN-Verbundes Benutzung der Internet-Technologie TCP/IP Routing LAN-Kopplung analog dem Internetzugang Mitarbeitereinwahl analog dem privaten Internetzugang bei ISPs Benutzung von Internet Informationssystemen: WWW, USENET News, EMail, FTP u.a.m. 7
IP-Sicherheit 2 Intranet LAN-Kopplung Router für den Internetzugang bilden das Intranet Router Carrier L2-Netz Internet Router Firmen-LAN 1 Firmen-LAN 2 8
Extranet IP-Sicherheit 3 Mitarbeiter- und Partnerzugang zum Firmennetz Network Access Server dienen der Einwahl der Mitarbeiter und Partner PC + Modem Firmen-LAN NAS Router Carrier L2-Netz Internet PC + ISDN-TA PC + ISDN-NIC Router SOHO-LAN 9
Internet als Standardbasis Eine Idee zu WAN im Wandel: ISDN- Netz Ersetzt durch Internet ISDN- Netz Router Carrier L2-Netz Router LAN Zentrale LAN Filiale 1 Internet Internet 10
Standardprodukte VPN-Lösungen <-> Standardpakete zunehmende Integration in OS vielfältige Paketangebote Appliances Software Hardware Pakete (Firewall+VPN+...) Cisco VPN Concentrator Cisco VPN Client 11
Nutzung der DSL-Strukturen Verfügbarkeit preiswerter Anschlußleitungen SDSL ADSL 12
SICHERHEIT? Home Office!" 13
Einführung Kryptografie 1 Verschlüsselung - Nachrichten für Unbeteiligte unlesbar und unmanipulierbar machen Kryptografie ist Wissenschaft von der Verschlüsselung von Informationen Es geht also um den Schutz vor Eindringlingen Passiver Eindringling (hört nur zu) Aktiver Eindringling (kann Nachrichten ändern) Ziel: Erzeugung von Weißem Rauschen 14
Kryptografie 2 Ziel der Kryptografie Die Geheimhaltung des Verfahrens funktioniert heute nicht mehr Verwendung möglichst komplexer parametrisierter Verfahren und Schutz der Schlüssel Beispiele: DES mit 56-bit Schlüssellänge 2 56 = 7,2 * 10 16 --> 72 Billarden Varianten IDEA mit 128-bit Schlüssellänge 2 128 = 3,4 * 10 38 Varianten 3DES mit 168-bit Schlüssellänge (3 x 56bit) 2 168 = 3,8 * 10 50 Varianten 15
Definitionen Kryptografie 3 Plaintext oder Klartext --> zu verschlüsselnde Nachrichten Ciphertext oder Chiffretext, auch Kryptogramm --> Ergebnis der Verschlüsselung Key Plaintext Encryption Decryption Ciphertext 16
Verfahren der Kryptographie Verschlüsselungsverfahren a) symmetrische Verfahren doc Partner A Partner B doc z.b. DES (56 bit) 3DES (3x56 bit) Encrypt gleiche Schlüssel Decrypt b) asymmetrische Verfahren doc Partner X Partner B doc Encrypt Schlüssel 1 Decrypt Schlüssel 2 Beispiel PGP: 2 Teile - privater und öffentlicher Schlüssel 17
Symmetrische Verfahren Die Symmetrie als Nachteil bei symmetrischen Verfahren wird derselbe Schlüssel zum Ver- und Entschlüsseln genutzt Einige der symmetrischen Verfahren verwenden zwar intern unterschiedliche Schlüssel für E und D, allerdings sind diese leicht algorithmisch ineinander umwandelbar (IDEA) Diese Symmetrie bewirkt die logistischen Probleme Ausweg: Asymmetrische Verfahren 18
Technische Implementierung 9 International Data Encryption Algorithmus (IDEA) 64 bit Block Cipher, symmetrisch 128 bit Schlüssel bessere Software-Implementierung als DES Verwendung von MUL, ADD und XOR Abarbeitung in 16bit-Blöcken in 8 verschiedenen Runden, in denen je 14 Operationen ausgeführt werden aus dem Schlüssel werden 52 Teilschlüssel zu je 16bit gebildet 19
Asymmetrische Kryptosysteme Grundlagen Zwei verschiedene Schlüssel K1 und K2 C = E K1 (P) und P = D K2 (C) also D K2 (E K1 (P)) = P evtl. D K1 (E K2 (P)) = P K1 und K2 sind in keiner Weise aus einander oder dem Ciphertext herleitbar K1 Plaintext Encryption Decryption K2 Ciphertext 20
Public Key Kryptographie 1 Asymmetrische Verfahren ermöglichen Public Key Kryptographie K1 wird geheimgehalten (private key) K2 wird veröffentlicht (public key) Will P1 an P2 eine verschlüsselte Nachricht senden, wird diese mit dem public key K2 von P2 kodiert Da nur P2 den zu K2 passenden private key K1 kennt, kann nur P2 die Nachricht entschlüsseln Selbst P1 kann die Nachricht nicht mehr entschlüsseln! 21
Public Key Kryptographie 2 Asymmetrische Verschlüsselungsverfahren 1) Jede Person generiert ein Schlüsselpaar was mit einem Schlüssel verschlüsselt wird, kann mit dem anderen wieder entschlüsselt werden 2) Eine Hälfte wird bekannt gemacht ( Public Key ) 3) Andere Hälfte geheim gehalten ( Private Key ) Verschlüsselung Authentisierung Jeder kann Daten mit Public-Key für mich verschlüsseln Ich kann mit dem Private-Key Daten zertifizieren 22
Probleme Public Key Kryptographie 3 Offensichtlich wird nur ein Paar aus private und public key je Kommunikationspartner benötigt Angriffspunkt: Unterschieben eines falschen public key durch einen Angreifer Hauptproblem: Schlüssellogistik aufbauen, die den Angriffspunkt ausräumt Lösung: Public Key Infrastructure (PKI) Glücklicher Umstand: Asymmetrische Verfahren ermöglichen nicht nur Verschlüsselung, sondern auch Authentisierung, d.h. digitale Signaturen und Zertifikate 23
Authentisierung Public Key Kryptographie 4 Gilt sowohl D K2 (E K1 (P)) = P als auch D K1 (E K2 (P)) = P dann ist das Kryptosystem für Authentisierung geeignet P1 verschlüsselt eine Nachricht mit ihrem private key P2 versucht, die Nachricht mit dem public key von P1 zu entschlüsseln Gelingt die Entschlüsselung, ist der Text authentisch von P1, da nur P1 den private key besitzt, der zu diesem Chiffrat führte 24
Hybride Verfahren 1 Viele symmetrische Verfahren sind sehr performant und teilweise in Hardware implementierbar Die bekannten asymmetrischen Verfahren sind extrem aufwendig (ca. drei Größenordnungen langsamer als symmetrische) Man will Public Key Kryptographie mit der Performance der symmetrischen Verfahren Man will eine Nachricht für mehr als einen Empfänger verschlüsseln können Die Lösung: Hybride Verfahren 25
Kryptographie-Standards Verschlüsselungverfahren Symmetrisch DES 56 Bit Key Block cipher 3DES 3*56 Bit Key Block cipher IDEA 128 Bit Key Block cipher RC4 Stream cipher RC5 Stream cipher Asymmetrisch RSA 512 bis 4096 Bit DH (Diffie-Hellman) Secure Hash (Message Digest) MD5 RIPE MD-160 26
Überblick 5 4 3 IP Network IP 2 1 Application Transport Data Link Physical Tunneling-Technologien 1 Encapsulation/Decapsulation an den Tunnelendpunkten Layer 2 Tunneling Protocol (L2TP) für bel. Protokolle (benutzt PPP) Layer 3 Tunneling von IP mit IP Security Protocol ---> IPsec Router Application Transport 3 IP IP Tunnel-Protokoll (IPsec) 3ESP Tunnel Endp. Tunnel Endp. Data Link Physical Data Link Physical 27
Tunneling-Technologien 2 Layer 2 Tunneling Protocol (L2TP) - RFC 2661 Benutzung von PPP zur Tunneling beliebiger Protokolle, wie IP, IPX, Apple Talk, NetBIOS etc. 5 Application Multiplex-Subschicht 4 Transport IPCP, IPXCP,... 3 Network Dienste-Subschicht CCP - Compression Control Protocol 2 PPP PAP, CHAP - Authentification 5 L2TP ECP- Encryption Control Protocol (IPsec) 4 UDP Medienabhängige-Subschicht LCP - Link Control Protocol (HDLC) 3 IP 2 1 Data Link Physical IPsec secured L2TP ist die Basis der VPN-Technologie in Windows 2000! 28
IPsec 1 Überblick IP hat keine inhärenten Sicherheitsmechanismen Es gibt keine Garantie, daß ein IP-Datagramm vom angegebenen Absender stammt die ursprünglichen Daten enthalten sind keine andere Person die Daten angeschaut hat RFC 2041 definiert IPsec-Architektur: Authentifizierung der Datenquelle und Datenintegrität vertraulicher Dateninhalt Schutz vor wiederholter Sendung begrenzte Verkehrsflußvertraulichkeit 29
IPsec 2 Datenintegrität Sicherstellen, daß Daten während der Übertragung nicht verändert wurden Authentizität der Herkunft Empfänger kann die Herkunft der Daten verifizieren ist eng an die Integrität der Daten gebunden Vertraulichkeit der Daten Verschlüsselung von Informationen Anti-Replay Empfänger kann duplizierte / mehrfach gesendete Pakete erkennen und zurückweisen 30
IKE Internet Key Exchange (IKE) Hybrides Protokoll, das zur gegenseitigen Authentisierung der Kommunikationspartner dient Aufbau eines gesicherten Kommunikationskanals Aushandlung der Sicherheitsrichtlinien (Security Associations) für IPSec stellt somit Grundlage für die IPSec-Kommunikation dar Ablauf erfolgt in 2 Phasen 31
IPSec Flowchart Datenpaket Verschlüsseln? nein Paket senden ja IPSec SA? ja Paket verschlüsseln nein IKE? ja IPSec SA aushandeln nein Zertifikate? nein IKE aushandeln ja Eigene Schlüssel erzeugen, öffentlichen Schlüssel der CA und eigenes Zertifikat anfordern 32
VPN 1 Virtual Private Network (VPN) Es verbreitet sich zunehmend der Ansatz, das Internet als einen Einwahlmechanismus in private Netze zu betrachten, so wie Modem oder ISDN --> Tunneling durch das Internet Da dem Internet weniger vertraut wird als klassischen Carriern wird hier von vornherein eine Verschlüsselung vorgesehen Tunneling + Kryptographie = VPN 33
VPN 2 VPN-Varianten Access VPN Remotezugriff via Dial In (analog / ISDN /DSL etc.) zur Anbindung mobiler Nutzer, SOHOs Intranet VPN Nutzung Festverbindungen in öffentliche Netze Verknüpfung örtlich getrennter LANs Filialen Zugriff nur für firmeninterne Mitarbeiter Extranet VPN wie Intranet VPN, aber: Zugriff für Kunden, Zulieferer, Partner etc. 34
VPN 3 Lokale Internetzugänge als Einwahlsystem VPN- Router ISP Internet ISP ISP ISP Tunnel PC + Modem + VPN Client PC + ISDN-TA + VPN Client PC + ISDN-NIC + VPN Client Firmen-LAN Statt VPN-Router auch Tunnel-Server (Extranet-Server) im internen Netz möglich VPN- Router (SOHO-)LAN 35
VPN 4 Verwendetes Protokoll: IPSec VPN-Implementationen basieren heutzutage fast ausschliesslich auf IPSec IPSec - Industriestandard-Protokollsuite, beschrieben in diversen Internet RFCs Grundlegende Beschreibung in RFC 2401 - Security Architecture for the Internet Protocol Die 2 wesentlichen Bestandteile: Authentication Header (AH) Encapsulating Security Payload (ESP) Darüberhinaus Nutzung weiterer Standards 36
E Virtual Private Network (VPN) VPN über Internet und/oder privaten SFV 128K SFV HB wv B DD 2 Mbit/s SU Internet F IPsec (RFC) FW PC S E Extranet-Server 37
VPN 6 Virtual Private Network mit SFV und Backup über Internet PC D64S2 E VPN S D2MS SU VPN HB VPN PC PC Internet wv PC VPN PC PC VPN PC B DD PC S VPN F PC S 38
Kostenfaktoren Kostenbetrachtung zum Einsatz eines VPN Firma mit 100 Außendienst-Mitarbeitern (deutschlandweite Einwahl/HomeOffice) ISDN-Einwahl VPN/Internet 2 x PMX 460 1 xcompanyconnect/2m 790 100 x ISDN-BA 2.350 T-DSL business 4.953 100 x 2 h x 22d zu 0,06 15.840 Traffic 50 GB zu 22 Insgesamt 18.650 6.843 Kostenersparnis bei den laufenden Kosten bis zu 60%! 39
IBH hilft managen... Internet-Services Wege Dienste Funktionen Security-Services VPN-Tunnel Firewallsysteme Zugangsschutz/Ressourcenmanagement 40
IBH hilft managen... Internet-Services Wege Dienste Funktionen Security-Services VPN-Tunnel Firewallsysteme Zugangsschutz/Ressourcenmanagement 41
Sicherheit und Verfügbarkeit auf Platz 1 Security-Services & -Workshops IBH berät zu Sicherheitskonzepten Integration von Lösungen nur, was wirklich sicher ist erprobte Lösungen Multi-Vendor kundenorientiert!!"!!!#$ 24 x 7 Support + Störungshotline 42
%&'( )... IBH ist Ihr Partner für Standleitungsservices Konzeption der Anbindung von Firmenniederlassungen Vermietung der notwendigen Verbindungswege zu attraktiven Preisen Empfehlungen und kompetente Abstimmung zum Technikeinsatz VPN-Lösungen auch auf Basis von DSL-Produkten mit Zuführung zu IBH vielfältige Erfahrungen und Zertifizierungen wichtiger Partner, wie Cisco Systems 43
* )... für einen zuverlässigen Partner alle Dienste aus einer Hand durch Partnerschaften ergänztes, gut abgestimmtes Portfolio Engagiertes, gut zusammenarbeitendes Team von Support, Services & Sales direkter Kontakt zu den richtigen Leuten jahrelange Erfahrung Wann dürfen wir auch Ihre Datenkommunikation schnell, zuverlässig und sicher gestalten [helfen]? 44
45
Fragen? Kommentare? Diskussion Fragen und Antworten... auch auf der StandParty Halle 4, H9 46
Vielen Dank! Fragen Sie! Wir antworten.