issleiberdv

Werbung
Sicherheitsarchitektur für
Verwaltungsdatenverarbeitung
in Hochschulnetzen
5/2003
Andreas Ißleiber
A.Ißleiber, H.Koke, H.Sheikhikhou
Inhalt:









Zieldefinition
Erforderliche Komponenten
Integrierbarbeit; Abbildung in bestehende Strukturen
Sicherheit
Der „Client“
Datenfluss im gesicherten Verwaltungsumfeld
Zusammenspiel aller Komponenten am Beispiel: GWDG in Göttingen
Betriebssystem- & Softwareverteilung
Zukunft, Ausblicke, Erweiterungen
Sicherheitsarchitektur für
Verwaltungsdatenverarbeitung
in Hochschulnetzen
5/2003
Andreas Ißleiber
Unsere Ziele:
1)
2)
3)
Sicheren Zugang zu zentralen Verwaltungsdiensten

Ausfallsicherheit, Redundanzen schaffen

Zentralisierung der Sicherheitsrichtlinien
Integrierbarkeit in bestehende Strukturen

Kosteneinsparung durch Nutzung existierender Netzstrukturen

Erweiterbarkeit, Anpassung an wachsende Bedürfnisse
Einfaches, zentrales Management

Zentrale Benutzerführung

Softwareverteilung

Vereinheitlichung, hinsichtlich der Clients Standards bilden

Vereinfachung der Pflege von Verwaltungssoftware
Sicherheitsarchitektur für
Verwaltungsdatenverarbeitung
in Hochschulnetzen
5/2003
Andreas Ißleiber
Erforderliche Komponenten:
1)
Zentraler Terminalserver, der die Anwendungen zur Verfügung stellt
sowie den Zugriff auf das Internet erlaubt
2)
Directory Service für zentrale Benutzerauthentifizierung
und Vergabe von Zertifikaten: Bsp. Microsoft ADS
3)
Thin Clients als standardisiertes Benutzersystem
4)
VPN-Gateways zur sicheren Datenübertragung zwischen beteiligten
Institutionen (Rechenzentren)
5)
Firewalls zur Absicherung zentraler, sicherheitsrelevanter Server
Sicherheitsarchitektur für
Verwaltungsdatenverarbeitung
in Hochschulnetzen
5/2003
Andreas Ißleiber
Integrierbarbeit; Abbildung in bestehenden Strukturen
1.) Netzwerk


Durch Einsatz von Verschlüsselungen ist der Einsatz in „unsicheren“ Netzen möglich
Keine Trennung mehr zwischen Verwaltungs- und Öffentlichem Netz -> Kostenersparnis
Zugriff auf „sicherheitsrelevante“ Daten auch aus Fremdnetzen möglich
2.) Anwenderrechner (Clients)



Bisherige Rechnerumgebung kann zunächst beibehalten bleiben (-> sanfte Migration)
Lokale Anwendungen bleiben erhalten
Ziel ist die zentrale Verteilung von Betriebssystem und Software
3.) Server

Zentraler Terminalserver: Verwaltungs-Server müssen lediglich Zugriff vom
Terminalserver erlauben
4.) Accounts


Bestehenden Accounts werden direkt in ein modernen Directory Service integriert
Einsatz eines Metadirectory bei unterschiedlichen Quell-Systemen -> „Single Sign-On“
Sicherheitsarchitektur für
Verwaltungsdatenverarbeitung
in Hochschulnetzen
5/2003
Andreas Ißleiber
Sicherheit:
1.) Absicherung der Datenübertragung





Durch Einsatz von VPN-Gateways wird die Kommunikation zwischen den Diensteanbietern
gesichert
Der Anwender PC (Thin Client) baut eine verschlüsselte Sitzung zum TS auf (RDP 5.x)
Personal Firewall schützt Client vor unerlaubten Zugriffen
Zentrale Richtlinienverwaltung für Personal Firewalls
Zentrale Firewalls reduzieren Zugriffe auf „erlaubte“ IP-Adressen
2.) Absicherung des Anwenderrechners (Clients)




Jeder Rechner besitzt ein eigenen Virenscanner
mit täglichen Aktualisierungsanfragen für neue Virensignaturen
Zugriff auf elementare Sicherheitsprogramme (Firewall, Virenscanner)
ist dem Benutzer nicht möglich
Bei Einsatz von ADS -> Einschränkung des Zugriffs über Gruppenrichtlinien
Servicepacks/Updates der BS automatisiert über eigenen SUS (Software Update Server) laden
3.) Schutz vor unerlaubten Zugriff auf Verwaltungsdaten





Benutzername/Passwort-Abfrage auf Terminalserver
Accounts sind im Verzeichnisdienst abgebildet
SAP-Gui mit eigener Benutzer/Passwort-Abfrage
Terminalserver sind durch Firewall und Virenscanner geschützt
Verwendung von „privaten IP-Adressen“ für die Server
Sicherheitsarchitektur für
Verwaltungsdatenverarbeitung
in Hochschulnetzen
5/2003
Andreas Ißleiber
Der Client
•
Standardisierte Client „Thin Client“, Embedded XP oder LINUX
Pro:
- schnelle Verbreitung im Verwaltungsumfeld
- geringer Wartungsaufwand
- schneller, einfacher Austausch im Fehlerfall
- kein Benutzereingriff auf lokales System erforderlich/möglich
- prinzipbedingt keine lokale Speicherung von Verwaltungsdaten
Contra:
- geringere Flexibilität bzgl. lokalen Anwendungen
- Einsatz lokaler Virenscanner und Personal Firewalls schwer möglich
•
Standardcomputer (PC) als Client
Pro:
- Nutzung bestehender Systeme (sanfte Migration)
- lokale Anwendungen können genutzt werden
- einfachere Integration von Zertifizierungssystemen (Smartcard, USB)
Contra:
- Anfälliger auf Viren wg. lokalen Anwendungen
- höherer Wartungsaufwand
- Mehr Angriffspunkte für Manipulation des Anwenders am lokalen System
5/2003
Sicherheitsarchitektur für
Verwaltungsdatenverarbeitung
in Hochschulnetzen
Andreas Ißleiber
Datenfluss im gesicherten Verwaltungsumfeld
Terminalserver
MS Active Directory Mailserver
6
5
(1) Client baut eine verschlüsselte Verbindung auf
(4) Verbindung wird durch ein
„unsicheres“ Netz geführt
8
9
Internet
(5) Eine Terminalserversitzung wird aufgebaut:
Dabei werden Bildinformationen
verschlüsselt zum Client geschickt
Verwaltung im
Institut 1
4
(6) Benutzername/Passwort
wird gegen MS AD geprüft
Thin Clients
UNI Netz (GÖNET)
Verwaltung im
Institut 2
7
1
(8) Client kann über TS ins Internet ggf. Sicherheitsproblem -> weiterer TS (9) nutzt Mailserver
SAP-Server
PC
SUS Server RIS Server
Smartcard Leser
10
Verwaltung im
Institut 3
2
Verbindung zum Internet
Verschlüsselte Übertragung
(7) Client kann Anwendungen
auf dem TS nutzen
z.B. eine SAP Sitzung
zum SAP-Server
aufbauen und lokal drucken
3
2
(2) PC-Client kann neben
der TS Sitzung auch lokale
Anwendungen nutzen und eine
Verbindung zum Internet
herstellen
(3) Alternative Authentifikation
über Smartcards
(private Schlüssel)
(10) Einsatz optionale Komponenten:
- SUS, Software Update Server
- RIS, Remote Installation Server
Sicherheitsarchitektur für
Verwaltungsdatenverarbeitung
in Hochschulnetzen
GWDG
Microsoft
Active Directory
Terminalserver
7
Microsoft
Active Directory
Redundanz
(1)
s
Ci sco 12000 SERIES
IS
O
Y
T
E
M
C
IS
O
Y
T
MC
E
S
Cisc o 3600
SERIES
S
IS
O
Y
T
E
M
S
C
IS
O
Y
T
E
M
SC
VPN Gateway 3030
4
WIN-Router
0
I
Clients: Teilweise "Thin Clients" oder PC mit Terminalserver
Client
Zentrale Terminalserver und Redundanz, stellen die
Anwendungen (MS .net 2003)
Zentraler Verzeichnisdienst (Active Directory); Accounts
VPN-Gateways zur sicheren, verschlüsselten
Datenübertragung
Firewall zur Vermeidung von unerlaubten Zugriffen
Zentrale SAP Server
Internetzugang
(2)
(3)
(4)
Cisco 7500
SERIES
CISCO
S
Y
STEMS
LOWER
UPPER
NORMAL
POWER
GÖNET Router
Clients
1
(5)
(6)
(7)
MRZ
Cisco 7500
SERIES
VPN-Tunnel
CISCO
S
Y
STEMS
LOWER
UPPER
NORMAL
POWER
CISCO
S
Y
STEMS
UPPER
LOWER
NORMAL
POWER
GÖNET Router
Sichere, verschlüsselte Verbindungen
zwischen den Institutionen
über ansich unsichere Netze
Clients
4
1
Cisco 3 600
SERIES
S
C
IS
O
Y
T
E
M
S
DV der UNI
5
VPN Gateway 3030
Firewall
CISCO PIX 525
Cisco 7500
SERIES
GÖNET Router
S
CISCO
Y
STEMS
LOWER
UPPER
NORMAL
POWER
4
SAP-Server
4
Cisco 3 600
S
C
IS
O
Y
T
E
M
S
SERIES
6
VPN Gateway 3030
ca. 300 Clients
Ethernet Switch
1
Andreas Ißleiber
Zusammenspiel aller Komponenten am
Beispiel: GWDG in Göttingen
Internet
3
2
5/2003
2/2003, A.Issleiber (GWDG)
Sicherheitsarchitektur für
Verwaltungsdatenverarbeitung
in Hochschulnetzen
5/2003
Andreas Ißleiber
Betriebssystem-, Softwareverteilung
Client mit PXE-Netzkarte
(Preboot EXecution
Environment)
RIS- und DHCP-Server
(1) RIS Client startet, Bootvorgang von Netzkarte
oder Diskette
(2) DHCP Broadcast des Client. Als Antwort wird
u.A. die IP des RIS-Servers übertragen
1
(3) PXE Karte erzeugt Nachfrage beim RIS-Server
2
4
5
Erweiterung
DHCP mit IP
3
des RIS
Servers
(4) Der Client nimmt Verbindung zum Startserver
auf und lädt den Clientinstallations-Assistenten
(CIW) herunter
(5) Nach Authentifizierung wird das Image
heruntergeladen
6
CD- oder RIPrepImage Remote
Installation
PREParation
(6) Nach Abschluss der Installation ist der Client in
der Domäne eingefügt. Der Benutzer kann sich mit
seinem Domänenkonto am Clientcomputer
anmelden und bekommt, den Gruppenrichtlinien
entsprechende, Rechte.
Sicherheitsarchitektur für
Verwaltungsdatenverarbeitung
in Hochschulnetzen
5/2003
Andreas Ißleiber
Zukunft, Ausblicke, Erweiterungen
1.
Einführung von Authentifizierung nur! über Zertifikate
2.
Zertifikate über Smartcard oder USB Sticks
3.
Einrichtung einer CA und Vergabe von Benutzer-Zertifikaten: Bsp.
Microsoft ADS
4.
Einrichtung eines Metadirectories im heterogenen Umfeld
5.
Einsatz von „NLB“ „Network Load Balancing“ für Terminalserver, damit
Redundanz und hohe Verfügbarkeit geschaffen werden kann
5/2003
Sicherheitsarchitektur für
Verwaltungsdatenverarbeitung
in Hochschulnetzen
Andreas Ißleiber
Vielen Dank!
?
?
Zeit für ...
??
?
?
?
Fragen & Diskussionen
?
?
?
?
?
?
?
?
Vortrag im Netz:
http://www.gwdg.de/~aisslei/vortraege/dv-netz.ppt
eMail: [email protected]
Herunterladen