Firewalls und Virtuelle Private Netze Firewalls
Werbung
Firewalls und Virtuelle Private Netze Jürgen Quittek Institut für Informatik Freie Universität Berlin Vorlesung Rechnernetze C&C Research Laboratories NEC Europe Ltd., Berlin Institut für Informatik Freie Universität Berlin 1-1 Firewalls o Eine Firewall ist ein Vermittlungsrechner zwischen dem Internet und einem geschützten Bereich o Die Firewall beschränkt den Datenverkehr zwischen dem Internet und dem geschützten Bereich o Zwei Arten å Paketfilter å Proxies o Firewalls arbeiten richtungsabhängig å Firewalls für in den geschützten Bereich eingehenden Verkehr å Firewalls für aus dem geschützten Bereich ausgehenden Verkehr o Oft mehrere Firewalls für verschachtelte geschützte Bereiche Vorlesung Rechnernetze Institut für Informatik 1 Freie Universität Berlin 1-2 Paketfilter o Die Aufgabe des Paketfilterns wird meist von einem Router übernommen. o Filtert eingehende und ausgehende Pakete o Er verwirft Pakete abhängig von å IP Adresse des Senders å IP-Adresse des Empfängers å Protokoll (TCP, UDP, ICMP) å TCP/UDP Port des Senders å TCP/UDP Port des Empfängers å ICMP-Typ å Eingangsnetzwerkkarte å Ausgangsnetzwerkkarte Vorlesung Rechnernetze Internet Filternder Router Internes Netz Institut für Informatik Freie Universität Berlin 1-3 Proxy o Wird zwischen Client und Server eingefügt o Arbeitet als Server und als Client o Ist protokollspezifisch o Ist weitgehend transparent o Ist (sicherheitstechnisch) nur dann sinnvoll, wenn er nicht umgangen werden kann o o Server Internet Proxy-Server Für jeden Dienst ist ein eigener Proxy erforderlich, z.B. http, SMTP, NNTP Internes Netz Auch TCP-Proxies Vorlesung Rechnernetze Institut für Informatik 2 Freie Universität Berlin 1-4 Firewall-Entwurf 1: Zweiarmige Firewall o Sparversion o Nicht sehr sicher: Nach Einbruch in Firewall-Rechner sind alle Tore Firewall offen Internet Filternder Router und Proxy-Server Internes Netz Vorlesung Rechnernetze Institut für Informatik Freie Universität Berlin 1-5 Firewall-Entwurf 2: Router und geschützter Rechner im internen Netz o Sparversion II Internet Firewall Filternder Router und Proxy-Server Internes Netz Vorlesung Rechnernetze Institut für Informatik 3 Freie Universität Berlin 1-6 Firewall-Entwurf 3: Entmilitarisierte Zone (DMZ) o Standardentwurf o Externer Web-Server und ftp-Server in DMZ o Internes Netz mit privaten Adressen Internet Firewall WebServer ProxyServer Externer Router DMZ Interner Router ftpServer Internes Netz Vorlesung Rechnernetze Institut für Informatik Freie Universität Berlin 1-7 Firewall-Entwurf 4: DMZ mit mehreren Proxies o Sicherer als Standardentwurf Firewall Internet SMTP DNS WWW Server Server Proxy WebServer Externer Router DMZ Interner Router ftpServer Internes Netz Vorlesung Rechnernetze Institut für Informatik 4 Freie Universität Berlin 1-8 Firewall-Entwurf 5: DMZ mit nur einem Router o Etwas unhandlicher als Standardentwurf, aber kaum weniger sicher Internet Firewall WebServer ProxyServer Interner/ Externer Router DMZ ftpServer Internes Netz Vorlesung Rechnernetze Institut für Informatik Freie Universität Berlin 1-9 Firewall-Entwurf 6: Externer Router mit Proxy-Server o Nicht ganz so sicher wie Standardentwurf, aber akzeptabel WebServer Internet Firewall DMZ Externer Router und Proxy-Server Interner Router ftpServer Internes Netz Vorlesung Rechnernetze Institut für Informatik 5 Freie Universität Berlin 1-10 Firewall-Entwurf 7: Interner Router mit Proxy-Server o Relativ unsicher o Nicht zu empfehlen! Internet WebServer Firewall DMZ Externer Router Interner Router und Proxy-Server ftpServer Internes Netz Vorlesung Rechnernetze Institut für Informatik Freie Universität Berlin 1-11 Firewall-Entwurf 8: 2 interne Netze mit 2 internen Routern o Ungeschickt, nicht zu empfehlen Internet Firewall WebServer ProxyServer DMZ ftpServer Interner Router 2 Interner Router 1 Internes Netz 1 Vorlesung Rechnernetze Externer Router Institut für Informatik 6 Internes Netz 2 Freie Universität Berlin 1-12 Firewall-Entwurf 9: 2 interne Netze mit 1 internen Router o Deutlich sicherer als Entwurf 8 Internet Firewall WebServer ProxyServer Externer Router DMZ Interner Router ftpServer Internes Netz 1 Vorlesung Rechnernetze Institut für Informatik Internes Netz 2 Freie Universität Berlin 1-13 Virtuelle Private Netze Virtual Private Networks (VPN) o Begriffsbestimmungen å privates Netz å öffentliches Netz å virtuelles privates Netz å Intranet å Extranet å Access VPN (virtuelles privates Zugangsnetz) Vorlesung Rechnernetze Institut für Informatik 7 Freie Universität Berlin 1-14 Begriffsbestimmung Privates Netz (WAN) Virtuelles Privates Netz Hauptniederlassung Hauptniederlassung Standleitungen Zweigstelle Öffentl. Netz Zweigstelle Vorlesung Rechnernetze Zweigstelle Institut für Informatik Zweigstelle Freie Universität Berlin 1-15 Ausgangspunkt: Privates Netz mit Internetanbindung Remote Office ISP Gateway Firewall Home Office Internet Security NAS Server Dialup Users DMZ © 1999, Cisco Systems, Inc. Corporate Intranet Vorlesung Rechnernetze Institut für Informatik 8 Freie Universität Berlin 1-16 VPN Grundlagen: Adressen o Öffentliches Netz (Internet) å großer gemeinsamer Adressraum o (Virtuelles) Privates Netz å eigener unabhängiger Adressraum Privates Netz A C Vorlesung Rechnernetze Internet B A C D J G F H Institut für Informatik Privates Netz E F D Freie Universität Berlin 1-17 VPN Grundlagen: Tunnel o Private Adressen werden durch öffentliches Netz getunnelt. o Komplettes Paket des privaten Netzes (inklusive Kopf) wird als Nutzlast eines IP-Pakets durch das öffentliche Netz transportiert. o Transport beliebiger privater Netzprotokolle über das Protokoll des öffentlichen Netzes. priv. Netz Nutzlast Kopf Nutzlast Kopf priv. Netz Internet Nutzlast Kopf Kopf Nutzlast Kopf Kopf neue Nutzlast Vorlesung Rechnernetze Institut für Informatik 9 Freie Universität Berlin 1-18 VPN Grundlagen: Verschlüsselung o Inhalt der getunnelten Pakete soll im Internet geschützt sein. ⇒ Verschlüsselung von Nutzlast und privatem Kopf priv. Netz Nutzlast Kopf priv. Netz Nutzlast Kopf Internet Nutzlast Kopf Nutzlast Kopf neue Nutzlast Vorlesung Rechnernetze Institut für Informatik Freie Universität Berlin 1-19 Intranet: VPN zur Anbindung von Zweigstellen Remote Office ISP Gateway Firewall Security Server Remote Office © 1999, Cisco Systems, Inc. ISP Network Vorlesung Rechnernetze DMZ Institut für Informatik 10 Corporate Intranet Freie Universität Berlin 1-20 Extranet: VPN zur Anbindung von Geschäftspartnern Supplier ISP Gateway Firewall Security Server Supplier © 1999, Cisco Systems, Inc. ISP Network Vorlesung Rechnernetze DMZ Corporate Intranet Institut für Informatik Freie Universität Berlin 1-21 Access VPN: Einwahldienst in’s Intranet Home Office: Dial ISDN, xDSL, Cable ISP Gateway Firewall POP Security Server © 1999, Cisco Systems, Inc. ISP Network Vorlesung Rechnernetze DMZ Institut für Informatik 11 Corporate Intranet Freie Universität Berlin 1-22 Privates WAN contra VPN: Kosten WAN o VPN Festes WAN Feste VPN-Anbindung o å Standleitungen: entferungsabhängiger Preis o + ISDN: Ortstarif + Kurze Standleitung zum nächsten POP Mobiler Zugang Vorlesung Rechnernetze Mobiler Zugang o å Ferngespräche zur Hauptniederlassung + Ortspräche zum ISP Institut für Informatik Freie Universität Berlin 1-23 Privates WAN contra VPN: Sicherheit WAN VPN – + Weitgehend gewährleistet durch Standleitungs- und TelefonDienstanbieter Vorlesung Rechnernetze Zahlreiche potentielle Sicherheitslücken • Beobachtung des Datenverkehrs (sniffing) • Lesen von Paketen (snooping) • Abfangen von Paketen • Ermitteln von Adressen • Datenfälschung • Session hijacking • Einbruch in’s Intranet Institut für Informatik 12 Freie Universität Berlin 1-24 Privates WAN contra VPN: Erweiterbarkeit WAN VPN – Aufwendig – Skalierbarkeit begrenzt Vorlesung Rechnernetze + Problemlos Institut für Informatik Freie Universität Berlin 1-25 Privates WAN contra VPN: Weitere Unterschiede WAN VPN + Fehleranfälligkeit gering – Fehleranfälligkeit hoch – Fehlertoleranz gering + Fehlertoleranz hoch + Kontrolle vollständig bis auf Stand- und Telefonleitungen – Kontrolle vollständig bis auf Internet-Tunnel · + · weitgehend Unkritisch QoS Gewährleistung zwischen Benutzerpaaren Vorlesung Rechnernetze – Institut für Informatik 13 Kontrolle des kritischsten Teils nicht gegeben bei IP: QoS Gewährleistung nur in Ausnahmen und nur sehr beschränkt (zumindest bisher) Freie Universität Berlin 1-26 Sicherheit o Verschlüsselung å symmetrisch (private key) å asymmetrisch (public key) o Authentisierung å digitale Unterschrift å Password Authentication Protocol (PAP) å Challenge Handshake Authentication Protocol (CHAP) Vorlesung Rechnernetze Institut für Informatik Freie Universität Berlin 1-27 Verschlüsselung priv. Netz Nutzlast Kopf priv. Netz Nutzlast Kopf Internet Nutzlast Kopf Nutzlast Kopf neue Nutzlast o symmetrisch Ö asymmetrisch o geheimer Schlüssel Ö öffentlicher Schlüssel o typische Schlüssellänge in bit: å 40/56/128 (geheim) Ö 512/768/1024 (öffentlich) o Verfahren å symmetrisch: DES, Triple-DES, RC4, IDEA å asymmetrisch: Diffie-Hellman, RSA Vorlesung Rechnernetze Institut für Informatik 14 Freie Universität Berlin 1-28 Symmetrische Verschlüsselung (private key) Geheimer Schlüssel Anna Nutzlast Kopf Nutzlast Kopf Bert Internet Nutzlast Kopf Nutzlast o Gleicher Schlüssel für Ver- und Entschlüsselung o Geheimer (privater) Schlüssel o Verfahren Kopf å DES (Data Encryption Standard), Triple-DES: 40/56/128 bit å RC4 (schneller): variable Schlüssellänge: typisch 40/56 bit å IDEA (International Data Encryption Algorithm): 128 bit o Problem: Schlüsselaustausch Vorlesung Rechnernetze Institut für Informatik Freie Universität Berlin 1-29 Asymmetrische Verschlüsselung (public key) o Unterschiedliche Schlüssel für Ver- und Entschüsselung o Geheime und öffentliche (Teil-)Schlüssel o Lange Schlüssel å langsamer als symmetrische Verschlüsselung å typisch: 512/768/1024 bit o Verfahren å Diffie-Hellman (DH) å RSA (Rivest, Shamir, Adleman) å. . . Vorlesung Rechnernetze Institut für Informatik 15 Freie Universität Berlin 1-30 Diffie-Hellman-Verfahren o Erstes Verfahren mit öffentlichen Schlüsseln (1976) o Identischer gemeinsamer Schlüssel wird generiert aus eigenem geheimen und fremdem öffentlichen Schlüssel o Problem: langsam wegen langer Schlüssel Annas Annas geheimer öffentl. Schlüssel Schlüssel Anna Berts Berts öffentl. geheimer Schlüssel Schlüssel Nutzlast Kopf Nutzlast Kopf Bert = Nutzlast Vorlesung Rechnernetze Kopf Internet Institut für Informatik Nutzlast Kopf Freie Universität Berlin 1-31 RSA (Rivest, Shamir, Adleman) o Produkte å Netscape Navigator, Microsoft Internet Explorer å Lotus Notes, Intuit Quicken å Pretty Good Privacy (PGP), … o Protokolle å S-HTTP (Secure HyperText Transport Protocol) å SSL (Secure Socket Layer) o Problem: langsam å Der lange Schlüssel und das Verfahren benötigen relativ viel Rechenzeit beim Ver- und Entschlüsseln. Vorlesung Rechnernetze Institut für Informatik 16 Freie Universität Berlin 1-32 RSA Sichere Verschlüsselung Annas Annas geheimer öffentl. Schlüssel Schlüssel Anna Berts Berts öffentl. geheimer Schlüssel Schlüssel Nutzlast Kopf Nutzlast Nutzlast Kopf Kopf Vorlesung Rechnernetze Internet Institut für Informatik Nutzlast Bert Kopf Freie Universität Berlin 1-33 RSA Digital Envelope Annas Annas geheimer öffentl. Schlüssel Schlüssel Berts Berts öffentl. geheimer Schlüssel Schlüssel Anna Bert RSA RSA Nutzlast Anna Kopf Internet Nutzlast Kopf Vorlesung Rechnernetze Kopf Nutzlast Kopf DES Nutzlast Nutzlast = Kopf Internet Institut für Informatik 17 Bert DES Nutzlast Kopf Freie Universität Berlin 1-34 RSA Sichere Authentisierung Annas Annas geheimer öffentl. Schlüssel Schlüssel Anna Berts Berts öffentl. geheimer Schlüssel Schlüssel Nutzlast Kopf Nutzlast Vorlesung Rechnernetze Nutzlast Kopf Kopf Internet Nutzlast Institut für Informatik Bert Kopf Freie Universität Berlin 1-35 RSA Digitale Unterschrift Annas Annas geheimer öffentl. Schlüssel Schlüssel Berts Berts öffentl. geheimer Schlüssel Schlüssel digst digst hash Anna hash Nutzlast digst Nutzlast digst Kopf Vorlesung Rechnernetze ? = digst Nutzlast digst Internet Institut für Informatik 18 Bert Nutzlast digst Kopf Freie Universität Berlin 1-36 Authentisierung für VPN-Zugangskontrolle o Verfahren å PAP (Password Authentication Protocol) å CHAP (Challenge Handshake Authentication Protocol) o Systeme å RADIUS (Remote Authentication and Dial-In User Service) • RADIUS client handles encrypted PAP, • optional CHAP directly with RADIUS server å TACACS (proprietary to Cisco) å Kerberos • also key manager, passes ‘tickets’ to users Vorlesung Rechnernetze Institut für Informatik Freie Universität Berlin 1-37 Password Authentication Protocol (PAP) o Authentisierung durch Benutzername und Passwort Anna ISP NAS ISP Benutzername, Passwort Datenbank für Benutzer und Zugangsberechtigungen Zugang ISP Benutzername, Passwort Internet Zugang Vorlesung Rechnernetze VPN Server (Firewall) Institut für Informatik 19 Datenbank für Benutzer und Zugangsberechtigungen Freie Universität Berlin 1-38 Challenge Handshake Authentication Protocol (CHAP) o Überprüfung durch zusätzliche Abfrage geheimen Wissens Anna ISP NAS / VPN Server ISP Benutzername, Passwort Datenbank für Benutzer und Zugangsberechtigungen Challenge Response Zugang Vorlesung Rechnernetze Institut für Informatik Freie Universität Berlin 1-39 Tunnel o ISP realisiert Tunnel (meist paketorientiert) Anna ISP1 NAS Tunnel Protokoll o VPN Server Tunnel Protokoll Internet Benutzer realisiert Tunnel (meist anwendungsorientiert) Anna ISP1 NAS Internet Vorlesung Rechnernetze Institut für Informatik 20 VPN Server Tunnel Protokoll Freie Universität Berlin 1-40 Tunnel-Protokolle (Protokollpakete) o Paketorientiert å PPTP (Point-to-Point Tunneling Protocol) å L2TP (Layer 2 Tunneling Protocol) å AltaVista Tunneling Protocol å IPSec o Anwendungsorientiert å SSH - Secure SHell å SOCKS å Sun.NET Vorlesung Rechnernetze Institut für Informatik Freie Universität Berlin 1-41 PPTP (Point-to-Point Tunneling Protocol) o PPTP setzt auf PPP (Point-to-Point Protocol) auf. o PPP ist ein Standard für Einwählverbindungen. o PPTP realisiert ein PPP vom Einwählenden direkt zum VPN Server. Anna PPTP / PPP ISP1 NAS PPTP Anna PPTP VPN Server PPP Vorlesung Rechnernetze VPN Server Internet erscheint wie Institut für Informatik 21 PPP Freie Universität Berlin 1-42 PPTP (Point-to-Point Tunneling Protocol) o PPTP verschlüsselt PPP-Pakete (keine IP Pakete). o Dadurch auch für IPX, AppleTalk, u.a. geeignet. priv. Netz Nutzlast Kopf priv. Netz Nutzlast Kopf Internet Nutzlast Kopf Nutzlast Kopf neue Nutzlast o Verschlüsselung mit DES (Microsoft) oder RC4 o Produkte: Windows 95/98, NT4.0, . . . o Probleme å AOL und Compuserve filtern PPTP-Pakete heraus å Sicherheitsbedenken bei Microsoft-Version å hohe Rechenlast für Ver- und Entschlüsselung Vorlesung Rechnernetze Institut für Informatik Freie Universität Berlin 1-43 L2TP und AltaVista TP o L2TP (Layer 2 Tunneling Protocol) ersetzt PPTP. å L2TP ist standardisiert. å Arbeitet nicht nur über IP-Netze, sondern auch über ATM, SONET/SDH, und Frame Relay. å Akzeptiert von Microsoft. å Die Kombination mit IPSec wird in Zukunft vermutlich der dominierende Standard. o AltaVista Tunneling Protocol å Proprietäres System von Digital Equipment Corporation å Vergleichbar mit L2TP, PPTP, aber komplett spezifiziert å Verschlüsselung mit RSA für Authentisierung und RC4 für Datenübertragung Vorlesung Rechnernetze Institut für Informatik 22 Freie Universität Berlin 1-44 IPSec o Großes Bündel von Standards und Protokollen o Erweiterung von IPv4, integriert in IPv6 Encapsulating Security Payload (ESP) o Authentication Header (AH) IP Header Authentication Header (kann entfallen) å enthält digitale Unterschrift å gibt dafür Schlüssel und Methode an o Encapsulating Security Payload å enthält verschlüsselte Daten å gibt dafür Schlüssel und Methode an å enthält Authentisierung fuer Daten (kann entfallen) Vorlesung Rechnernetze Institut für Informatik Freie Universität Berlin 1-45 Anwendungsorientierte Tunnel-Protokolle o SSH (Secure SHell) å Kein Tunnel, nur Verschlüsselung å RSA für Authentisierung Schlüsselübertragung und digitale Unterschrift, å Triple-DES und andere für Daten o SOCKS å å å å o Tunnel auf Socket-Ebene (Sitzungsschicht) verhandelbare Verschlüsselung im Unterschied zu IPSec auch ohne Verschlüsselung Auch als Firewall nutzbar Sun.NET å Access VPN å Java-basiert, plattformunabhängig Vorlesung Rechnernetze Institut für Informatik 23 Freie Universität Berlin 1-46