Sicherheitsarchitektur für Verwaltungsdatenverarbeitung in Hochschulnetzen 5/2003 Andreas Ißleiber A.Ißleiber, H.Koke, H.Sheikhikhou Inhalt: Zieldefinition Erforderliche Komponenten Integrierbarbeit; Abbildung in bestehende Strukturen Sicherheit Der „Client“ Datenfluss im gesicherten Verwaltungsumfeld Zusammenspiel aller Komponenten am Beispiel: GWDG in Göttingen Betriebssystem- & Softwareverteilung Zukunft, Ausblicke, Erweiterungen Sicherheitsarchitektur für Verwaltungsdatenverarbeitung in Hochschulnetzen 5/2003 Andreas Ißleiber Unsere Ziele: 1) 2) 3) Sicheren Zugang zu zentralen Verwaltungsdiensten Ausfallsicherheit, Redundanzen schaffen Zentralisierung der Sicherheitsrichtlinien Integrierbarkeit in bestehende Strukturen Kosteneinsparung durch Nutzung existierender Netzstrukturen Erweiterbarkeit, Anpassung an wachsende Bedürfnisse Einfaches, zentrales Management Zentrale Benutzerführung Softwareverteilung Vereinheitlichung, hinsichtlich der Clients Standards bilden Vereinfachung der Pflege von Verwaltungssoftware Sicherheitsarchitektur für Verwaltungsdatenverarbeitung in Hochschulnetzen 5/2003 Andreas Ißleiber Erforderliche Komponenten: 1) Zentraler Terminalserver, der die Anwendungen zur Verfügung stellt sowie den Zugriff auf das Internet erlaubt 2) Directory Service für zentrale Benutzerauthentifizierung und Vergabe von Zertifikaten: Bsp. Microsoft ADS 3) Thin Clients als standardisiertes Benutzersystem 4) VPN-Gateways zur sicheren Datenübertragung zwischen beteiligten Institutionen (Rechenzentren) 5) Firewalls zur Absicherung zentraler, sicherheitsrelevanter Server Sicherheitsarchitektur für Verwaltungsdatenverarbeitung in Hochschulnetzen 5/2003 Andreas Ißleiber Integrierbarbeit; Abbildung in bestehenden Strukturen 1.) Netzwerk Durch Einsatz von Verschlüsselungen ist der Einsatz in „unsicheren“ Netzen möglich Keine Trennung mehr zwischen Verwaltungs- und Öffentlichem Netz -> Kostenersparnis Zugriff auf „sicherheitsrelevante“ Daten auch aus Fremdnetzen möglich 2.) Anwenderrechner (Clients) Bisherige Rechnerumgebung kann zunächst beibehalten bleiben (-> sanfte Migration) Lokale Anwendungen bleiben erhalten Ziel ist die zentrale Verteilung von Betriebssystem und Software 3.) Server Zentraler Terminalserver: Verwaltungs-Server müssen lediglich Zugriff vom Terminalserver erlauben 4.) Accounts Bestehenden Accounts werden direkt in ein modernen Directory Service integriert Einsatz eines Metadirectory bei unterschiedlichen Quell-Systemen -> „Single Sign-On“ Sicherheitsarchitektur für Verwaltungsdatenverarbeitung in Hochschulnetzen 5/2003 Andreas Ißleiber Sicherheit: 1.) Absicherung der Datenübertragung Durch Einsatz von VPN-Gateways wird die Kommunikation zwischen den Diensteanbietern gesichert Der Anwender PC (Thin Client) baut eine verschlüsselte Sitzung zum TS auf (RDP 5.x) Personal Firewall schützt Client vor unerlaubten Zugriffen Zentrale Richtlinienverwaltung für Personal Firewalls Zentrale Firewalls reduzieren Zugriffe auf „erlaubte“ IP-Adressen 2.) Absicherung des Anwenderrechners (Clients) Jeder Rechner besitzt ein eigenen Virenscanner mit täglichen Aktualisierungsanfragen für neue Virensignaturen Zugriff auf elementare Sicherheitsprogramme (Firewall, Virenscanner) ist dem Benutzer nicht möglich Bei Einsatz von ADS -> Einschränkung des Zugriffs über Gruppenrichtlinien Servicepacks/Updates der BS automatisiert über eigenen SUS (Software Update Server) laden 3.) Schutz vor unerlaubten Zugriff auf Verwaltungsdaten Benutzername/Passwort-Abfrage auf Terminalserver Accounts sind im Verzeichnisdienst abgebildet SAP-Gui mit eigener Benutzer/Passwort-Abfrage Terminalserver sind durch Firewall und Virenscanner geschützt Verwendung von „privaten IP-Adressen“ für die Server Sicherheitsarchitektur für Verwaltungsdatenverarbeitung in Hochschulnetzen 5/2003 Andreas Ißleiber Der Client • Standardisierte Client „Thin Client“, Embedded XP oder LINUX Pro: - schnelle Verbreitung im Verwaltungsumfeld - geringer Wartungsaufwand - schneller, einfacher Austausch im Fehlerfall - kein Benutzereingriff auf lokales System erforderlich/möglich - prinzipbedingt keine lokale Speicherung von Verwaltungsdaten Contra: - geringere Flexibilität bzgl. lokalen Anwendungen - Einsatz lokaler Virenscanner und Personal Firewalls schwer möglich • Standardcomputer (PC) als Client Pro: - Nutzung bestehender Systeme (sanfte Migration) - lokale Anwendungen können genutzt werden - einfachere Integration von Zertifizierungssystemen (Smartcard, USB) Contra: - Anfälliger auf Viren wg. lokalen Anwendungen - höherer Wartungsaufwand - Mehr Angriffspunkte für Manipulation des Anwenders am lokalen System 5/2003 Sicherheitsarchitektur für Verwaltungsdatenverarbeitung in Hochschulnetzen Andreas Ißleiber Datenfluss im gesicherten Verwaltungsumfeld Terminalserver MS Active Directory Mailserver 6 5 (1) Client baut eine verschlüsselte Verbindung auf (4) Verbindung wird durch ein „unsicheres“ Netz geführt 8 9 Internet (5) Eine Terminalserversitzung wird aufgebaut: Dabei werden Bildinformationen verschlüsselt zum Client geschickt Verwaltung im Institut 1 4 (6) Benutzername/Passwort wird gegen MS AD geprüft Thin Clients UNI Netz (GÖNET) Verwaltung im Institut 2 7 1 (8) Client kann über TS ins Internet ggf. Sicherheitsproblem -> weiterer TS (9) nutzt Mailserver SAP-Server PC SUS Server RIS Server Smartcard Leser 10 Verwaltung im Institut 3 2 Verbindung zum Internet Verschlüsselte Übertragung (7) Client kann Anwendungen auf dem TS nutzen z.B. eine SAP Sitzung zum SAP-Server aufbauen und lokal drucken 3 2 (2) PC-Client kann neben der TS Sitzung auch lokale Anwendungen nutzen und eine Verbindung zum Internet herstellen (3) Alternative Authentifikation über Smartcards (private Schlüssel) (10) Einsatz optionale Komponenten: - SUS, Software Update Server - RIS, Remote Installation Server Sicherheitsarchitektur für Verwaltungsdatenverarbeitung in Hochschulnetzen GWDG Microsoft Active Directory Terminalserver 7 Microsoft Active Directory Redundanz (1) s Ci sco 12000 SERIES IS O Y T E M C IS O Y T MC E S Cisc o 3600 SERIES S IS O Y T E M S C IS O Y T E M SC VPN Gateway 3030 4 WIN-Router 0 I Clients: Teilweise "Thin Clients" oder PC mit Terminalserver Client Zentrale Terminalserver und Redundanz, stellen die Anwendungen (MS .net 2003) Zentraler Verzeichnisdienst (Active Directory); Accounts VPN-Gateways zur sicheren, verschlüsselten Datenübertragung Firewall zur Vermeidung von unerlaubten Zugriffen Zentrale SAP Server Internetzugang (2) (3) (4) Cisco 7500 SERIES CISCO S Y STEMS LOWER UPPER NORMAL POWER GÖNET Router Clients 1 (5) (6) (7) MRZ Cisco 7500 SERIES VPN-Tunnel CISCO S Y STEMS LOWER UPPER NORMAL POWER CISCO S Y STEMS UPPER LOWER NORMAL POWER GÖNET Router Sichere, verschlüsselte Verbindungen zwischen den Institutionen über ansich unsichere Netze Clients 4 1 Cisco 3 600 SERIES S C IS O Y T E M S DV der UNI 5 VPN Gateway 3030 Firewall CISCO PIX 525 Cisco 7500 SERIES GÖNET Router S CISCO Y STEMS LOWER UPPER NORMAL POWER 4 SAP-Server 4 Cisco 3 600 S C IS O Y T E M S SERIES 6 VPN Gateway 3030 ca. 300 Clients Ethernet Switch 1 Andreas Ißleiber Zusammenspiel aller Komponenten am Beispiel: GWDG in Göttingen Internet 3 2 5/2003 2/2003, A.Issleiber (GWDG) Sicherheitsarchitektur für Verwaltungsdatenverarbeitung in Hochschulnetzen 5/2003 Andreas Ißleiber Betriebssystem-, Softwareverteilung Client mit PXE-Netzkarte (Preboot EXecution Environment) RIS- und DHCP-Server (1) RIS Client startet, Bootvorgang von Netzkarte oder Diskette (2) DHCP Broadcast des Client. Als Antwort wird u.A. die IP des RIS-Servers übertragen 1 (3) PXE Karte erzeugt Nachfrage beim RIS-Server 2 4 5 Erweiterung DHCP mit IP 3 des RIS Servers (4) Der Client nimmt Verbindung zum Startserver auf und lädt den Clientinstallations-Assistenten (CIW) herunter (5) Nach Authentifizierung wird das Image heruntergeladen 6 CD- oder RIPrepImage Remote Installation PREParation (6) Nach Abschluss der Installation ist der Client in der Domäne eingefügt. Der Benutzer kann sich mit seinem Domänenkonto am Clientcomputer anmelden und bekommt, den Gruppenrichtlinien entsprechende, Rechte. Sicherheitsarchitektur für Verwaltungsdatenverarbeitung in Hochschulnetzen 5/2003 Andreas Ißleiber Zukunft, Ausblicke, Erweiterungen 1. Einführung von Authentifizierung nur! über Zertifikate 2. Zertifikate über Smartcard oder USB Sticks 3. Einrichtung einer CA und Vergabe von Benutzer-Zertifikaten: Bsp. Microsoft ADS 4. Einrichtung eines Metadirectories im heterogenen Umfeld 5. Einsatz von „NLB“ „Network Load Balancing“ für Terminalserver, damit Redundanz und hohe Verfügbarkeit geschaffen werden kann 5/2003 Sicherheitsarchitektur für Verwaltungsdatenverarbeitung in Hochschulnetzen Andreas Ißleiber Vielen Dank! ? ? Zeit für ... ?? ? ? ? Fragen & Diskussionen ? ? ? ? ? ? ? ? Vortrag im Netz: http://www.gwdg.de/~aisslei/vortraege/dv-netz.ppt eMail: [email protected]