Virtual Private Networks Hohe Sicherheit wird bezahlbar
Werbung
FQODE information technology research DJ Virtual Private Networks Hohe Sicherheit wird bezahlbar Paul Schöbi, cnlab AG [email protected] www.cnlab.ch Präsentation unter ‚repertoire‘ verfügbar 27.10.99 1 FQODE information technology research DJ FQODEDJ: Internet Engineering Dr. Paul Schöbi Managing Director Lukas Frey Dipl. El. Ing. ETHZ Prof. Dr. Peter Heinzmann Technical Director Rene Vogt Dipl. Inf. Ing. FH Prof. Dr. Ueli Maurer VR cnlab Software AG Prof. Hansjörg Huser Professor für Datenbanksysteme 27.10.99 Thomas Lüthi Dipl. El. Ing. FH Reto Diethelm Dipl. El. Ing. FH Christian Birchler Elektroniker, Sys Admin Max Wegmüller Dipl. Inf. Ing. FH, Assistent Dr. Christoph Schnell Multimedia, umea Theo Schneider Dipl. El. Ing. EPFL, Assistent 2 FQODE information technology research DJ &QODE activities by volume 21% 38% technology application 28% security assessments security engineering 13% 27.10.99 3 FQODE information technology research DJ Pretty Good Privacy (PGP) • Strong encryption and signatures • U.S. export restrictions • production by FQODEVRIWZDUH$* US only 27.10.99 international 4 FQODE information technology research DJ Internet LiveCam 15m cable controlled video cam Video- and RS232-interface LiveCam Server (PC) Ethernet connection • Snapshot or video • position and zoom control via internet • additional services Internet http://www.cnlab.ch/livecam/ http://www.cnlab.ch/livecam/ 27.10.99 5 FQODE information technology research DJ Virtual Private Networks Hohe Sicherheit wird bezahlbar Theorie Praxis Zukunft 27.10.99 6 FQODE information technology research DJ Theorie: VPN 27.10.99 7 FQODE information technology research DJ VPN mit IPSec-Produkten End-to-Gateway End-to-Server Checkpoint PGP/Gauntlet Utimaco ... Checkpoint PGP/Gauntlet DataFellows Win2000 ... Site-to-site End-to-end DataFellows PGP Win2000 ... 27.10.99 Cisco Checkpoint Gauntlet Utimaco Win2000 ... 8 FQODE information technology research DJ Theorie: IPSec 27.10.99 9 FQODE information technology research DJ Security Architecture for the Internet Protocol (IPSec) IP Traffic The Internet Key Exchange (IKE) 27.10.99 IPSec secure IP Traffic Implementation Security Policy Database 10 FQODE information technology research DJ IPSec Status • IETF Internet Drafts Juli 1998 • Ist Teil von IPv6, kann aber auch in IPv4 eingesetzt werden. • Implementiert in Windows NT 5.0 zur sicheren Übertragung von L2TP • Implementiert in Firewalls, Routern und Network Access Servern 27.10.99 11 FQODE information technology research DJ IPSec: Transport Mode Host Host Internet Host Host IP IP IPSec IPSec Data Data verschlüsselt 27.10.99 12 FQODE information technology research DJ IPSec: Tunnel Mode Privates Netzwerk IP IP Data Data Security Security Gateway Gateway Internet Security Security Privates Gateway Gateway Netzwerk IP IP IPSec IPSec IP IP Data Data IP IP Data Data verschlüsselt 27.10.99 13 FQODE information technology research DJ IPSec Protokolle (die wichtigsten Standards) IP Authentication Header (AH) RFC 1826 • connectionless integrity • data origin authentication Encapsulating Security Payload protocol (ESP) RFC 1827 • confidentiality Internet Key Exchange (IKE) RFC 2409 • Schlüsselvereinbarung, • Security Associations 27.10.99 14 FQODE information technology research DJ z.B. PGPnet Triple DES IDEA CAST (128 bit) IP Authentication Header (AH) RFC 1826 • connectionless integrity • data origin authentication Encapsulating Security Payload protocol (ESP) RFC 1827 • confidentiality Internet Key Exchange (IKE) RFC 2409 • Schlüsselvereinbarung, • Security Associations RSA (min.1024 bit) D/H (min. 2048 bit) 27.10.99 15 FQODE information technology research DJ Wie sicher ist „128 Bit“ ? .....XççAçç55sa4A4asw4ççGfddv456adacrlaf..4345m...... Versuch alle möglichen Schlüssel D .....dies ist lesbarer Deutscher Text, wir haben den Schlüssel...... un it ho ur day ye ar sfo r 40 bit fo r 56 bit fo r 1 28 b it 2.7 8E-0 1 2 .7 8E +0 3 2.7 8E+ 24 1.1 6E-0 2 1 .1 6E +0 2 1.1 6E+ 23 3.1 7E-0 5 3.1 7E-0 1 3.1 7E+ 20 27.10.99 „Export“ SSL MS Windows DES PGP n of key s pe r s ec 1.00 E+1 0 a ge o f the u nive rs e 1.00 E+1 1 years 16 FQODE information technology research DJ Praxis: bezahlbar 27.10.99 17 FQODE information technology research DJ PGPnet Policies 27.10.99 18 FQODE information technology research DJ Win2000: Die VPN-Lösung ? Win2000 Server: NT5.0 Server Win2000 Professional: NT5.0 Workstation 27.10.99 19 FQODE information technology research DJ Praxis: noch nicht trivial 27.10.99 20 FQODE information technology research DJ Anwendungen und Policies Policy Mgmt Internet intern 27.10.99 21 FQODE information technology research DJ PKI Integration PKI Internet intern 27.10.99 22 FQODE information technology research DJ Adressierung und Remote Access 195.28.226.5 8.226 .1 SRC: 195.65.129.8 -> 10.1.1.8 SRC: 195.65.129.8 -> 10.1.1.8 DST: 195.28.226.5 -> 10.99.0.5 DST: 195.28.226.5 -> 10.99.0.5 10.99.0.5 10.1.2.0 R 10.1.4.0 10.1.3.0 10.1.1.0 195.65.129.8 195. 2 10.0.0.0 Default Gateway 27.10.99 23 FQODE information technology research DJ Zukunft 27.10.99 24 FQODE information technology research DJ VPN Zusammenfassung • Grosse Flexibilität. • Hohe Sicherheit • Viele Produkte heute erhältlich. • Kompatibel mit Standard-PKI. • IPSec ist gute fundiert. • Kleine Netze erprobt 27.10.99 • Kaum Erfahrung mit grossen Netzen • Technisch nicht trivial bei komplexen Netzen • PKIs sind noch nicht bereit. 25 FQODE information technology research DJ Prognose • Jetzt ist die Zeit der Investitionsentscheide. • Einige grosse Netze werden im Laufe des Jahres 2000 in der Schweiz entstehen. • Im nächsten Jahr werden die ersten produktiven PKI aufgebaut. • Ende 2000 werden wir auch Erfahrung mit grossen Netzen haben. 27.10.99 26
