inhalt: zieldefinition erforderliche komponenten

11
Inhalt: Zieldefinition Erforderliche Komponenten Integrierbarbeit; Abbildung in bestehende Strukturen Sicherheit Der „Client“ Datenfluss im gesicherten Verwaltungsumfeld Zusammenspiel aller Komponenten am Beispiel: GWDG in Göttingen Betriebssystem- & Softwareverteilung Zukunft, Ausblicke, Erweiterungen 5/2003 Andreas Ißleiber Sicherheitsarchitektur für Verwaltungsdatenverarbeitung in Hochschulnetzen A.Ißleiber, H.Koke, H.Sheikhikhou

Upload: meira

Post on 26-Jan-2016

30 views

Category:

Documents


1 download

DESCRIPTION

Sicherheitsarchitektur für Verwaltungsdatenverarbeitung in Hochschulnetzen A.Ißleiber, H.Koke, H.Sheikhikhou. 5/2003 Andreas Ißleiber. Inhalt: Zieldefinition Erforderliche Komponenten Integrierbarbeit; Abbildung in bestehende Strukturen Sicherheit Der „Client“ - PowerPoint PPT Presentation

TRANSCRIPT

Page 1: Inhalt: Zieldefinition Erforderliche Komponenten

Inhalt:

Zieldefinition Erforderliche Komponenten Integrierbarbeit; Abbildung in bestehende Strukturen Sicherheit Der „Client“ Datenfluss im gesicherten Verwaltungsumfeld Zusammenspiel aller Komponenten am Beispiel: GWDG in Göttingen Betriebssystem- & Softwareverteilung Zukunft, Ausblicke, Erweiterungen

5/2003Andreas Ißleiber

Sicherheitsarchitektur für Verwaltungsdatenverarbeitung

in Hochschulnetzen

A.Ißleiber, H.Koke, H.Sheikhikhou

Page 2: Inhalt: Zieldefinition Erforderliche Komponenten

Sicherheitsarchitektur für Verwaltungsdatenverarbeitung

in Hochschulnetzen

5/2003

Andreas Ißleiber

Unsere Ziele:

1) Sicheren Zugang zu zentralen Verwaltungsdiensten

Ausfallsicherheit, Redundanzen schaffen

Zentralisierung der Sicherheitsrichtlinien

2) Integrierbarkeit in bestehende Strukturen

Kosteneinsparung durch Nutzung existierender Netzstrukturen

Erweiterbarkeit, Anpassung an wachsende Bedürfnisse

3) Einfaches, zentrales Management

Zentrale Benutzerführung

Softwareverteilung

Vereinheitlichung, hinsichtlich der Clients Standards bilden

Vereinfachung der Pflege von Verwaltungssoftware

Page 3: Inhalt: Zieldefinition Erforderliche Komponenten

Sicherheitsarchitektur für Verwaltungsdatenverarbeitung

in Hochschulnetzen

5/2003

Andreas Ißleiber

Erforderliche Komponenten:

1) Zentraler Terminalserver, der die Anwendungen zur Verfügung stelltsowie den Zugriff auf das Internet erlaubt

2) Directory Service für zentrale Benutzerauthentifizierung und Vergabe von Zertifikaten: Bsp. Microsoft ADS

3) Thin Clients als standardisiertes Benutzersystem

4) VPN-Gateways zur sicheren Datenübertragung zwischen beteiligten Institutionen (Rechenzentren)

5) Firewalls zur Absicherung zentraler, sicherheitsrelevanter Server

Page 4: Inhalt: Zieldefinition Erforderliche Komponenten

Sicherheitsarchitektur für Verwaltungsdatenverarbeitung

in Hochschulnetzen

5/2003

Andreas Ißleiber

Integrierbarbeit; Abbildung in bestehenden Strukturen

1.) Netzwerk

Durch Einsatz von Verschlüsselungen ist der Einsatz in „unsicheren“ Netzen möglichKeine Trennung mehr zwischen Verwaltungs- und Öffentlichem Netz -> Kostenersparnis

Zugriff auf „sicherheitsrelevante“ Daten auch aus Fremdnetzen möglich

2.) Anwenderrechner (Clients)

Bisherige Rechnerumgebung kann zunächst beibehalten bleiben (-> sanfte Migration) Lokale Anwendungen bleiben erhalten Ziel ist die zentrale Verteilung von Betriebssystem und Software

3.) Server

Zentraler Terminalserver: Verwaltungs-Server müssen lediglich Zugriff vom Terminalserver erlauben

4.) Accounts

Bestehenden Accounts werden direkt in ein modernen Directory Service integriert Einsatz eines Metadirectory bei unterschiedlichen Quell-Systemen -> „Single Sign-On“

Page 5: Inhalt: Zieldefinition Erforderliche Komponenten

Sicherheitsarchitektur für Verwaltungsdatenverarbeitung

in Hochschulnetzen

5/2003

Andreas Ißleiber

Sicherheit:

1.) Absicherung der Datenübertragung

Durch Einsatz von VPN-Gateways wird die Kommunikation zwischen den Diensteanbietern gesichert

Der Anwender PC (Thin Client) baut eine verschlüsselte Sitzung zum TS auf (RDP 5.x) Personal Firewall schützt Client vor unerlaubten Zugriffen Zentrale Richtlinienverwaltung für Personal Firewalls Zentrale Firewalls reduzieren Zugriffe auf „erlaubte“ IP-Adressen

2.) Absicherung des Anwenderrechners (Clients)

Jeder Rechner besitzt ein eigenen Virenscannermit täglichen Aktualisierungsanfragen für neue Virensignaturen

Zugriff auf elementare Sicherheitsprogramme (Firewall, Virenscanner) ist dem Benutzer nicht möglich

Bei Einsatz von ADS -> Einschränkung des Zugriffs über Gruppenrichtlinien Servicepacks/Updates der BS automatisiert über eigenen SUS (Software Update Server) laden

3.) Schutz vor unerlaubten Zugriff auf Verwaltungsdaten

Benutzername/Passwort-Abfrage auf Terminalserver Accounts sind im Verzeichnisdienst abgebildet SAP-Gui mit eigener Benutzer/Passwort-Abfrage Terminalserver sind durch Firewall und Virenscanner geschützt Verwendung von „privaten IP-Adressen“ für die Server

Page 6: Inhalt: Zieldefinition Erforderliche Komponenten

Sicherheitsarchitektur für Verwaltungsdatenverarbeitung

in Hochschulnetzen

5/2003

Andreas Ißleiber

Der Client• Standardisierte Client „Thin Client“, Embedded XP oder LINUX

Pro:- schnelle Verbreitung im Verwaltungsumfeld- geringer Wartungsaufwand- schneller, einfacher Austausch im Fehlerfall- kein Benutzereingriff auf lokales System erforderlich/möglich- prinzipbedingt keine lokale Speicherung von Verwaltungsdaten

Contra:- geringere Flexibilität bzgl. lokalen Anwendungen- Einsatz lokaler Virenscanner und Personal Firewalls schwer möglich

• Standardcomputer (PC) als ClientPro:

- Nutzung bestehender Systeme (sanfte Migration)- lokale Anwendungen können genutzt werden- einfachere Integration von Zertifizierungssystemen (Smartcard,

USB)Contra:

- Anfälliger auf Viren wg. lokalen Anwendungen- höherer Wartungsaufwand- Mehr Angriffspunkte für Manipulation des Anwenders am lokalen

System

Page 7: Inhalt: Zieldefinition Erforderliche Komponenten

Thin Clients

PCSmartcard Leser

Terminalserver

SAP-Server

UNI Netz (GÖNET)

Internet

MS Active Directory

1

23

4

56

7

Verwaltung imInstitut 1

Verwaltung imInstitut 2

Verwaltung imInstitut 3

2

8

Verbindung zum Internet

Verschlüsselte Übertragung

Datenfluss im gesicherten Verwaltungsumfeld

Sicherheitsarchitektur für Verwaltungsdatenverarbeitung

in Hochschulnetzen

5/2003

Andreas Ißleiber

(1) Client baut eine verschlüsselte Verbindung auf

(4) Verbindung wird durch ein „unsicheres“ Netz geführt

(5) Eine Terminalserversitzung wird aufgebaut: Dabei werden Bildinformationen

verschlüsselt zum Client geschickt

(6) Benutzername/Passwortwird gegen MS AD geprüft

(2) PC-Client kann nebender TS Sitzung auch lokale

Anwendungen nutzen und eineVerbindung zum Internet

herstellen

(3) Alternative Authentifikation über Smartcards

(private Schlüssel)

9

Mailserver

(8) Client kann über TS ins Internet ggf. Sicherheits-problem -> weiterer TS (9) nutzt Mailserver

SUS Server RIS Server

(10) Einsatz optionale Komponenten:- SUS, Software Update Server

- RIS, Remote Installation Server

10

(7) Client kann Anwendungenauf dem TS nutzen

z.B. eine SAP Sitzungzum SAP-Server

aufbauen und lokal drucken

(1) Client baut eine verschlüsselte Verbindung auf

(4) Verbindung wird durch ein „unsicheres“ Netz geführt

(5) Eine Terminalserversitzung wird aufgebaut:Dabei werden Bildinformationen

verschlüsselt zum Client geschickt

(6) Benutzername/Passwortwird gegen MS AD geprüft

(2) PC-Client kann nebender TS Sitzung auch lokale

Anwendungen nutzen und eineVerbindung zum Internet

herstellen

(3) Alternative Authentifikation über Smartcards

(private Schlüssel)

(8) Client kann über TS ins Internet ggf. Sicherheits-problem -> weiterer TS (9) nutzt Mailserver

(10) Einsatz optionale Komponenten:- SUS, Software Update Server

- RIS, Remote Installation Server

(7) Client kann Anwendungenauf dem TS nutzen

z.B. eine SAP Sitzungzum SAP-Server

aufbauen und lokal drucken

Page 8: Inhalt: Zieldefinition Erforderliche Komponenten

5/2003

Andreas Ißleiber

s 0 I

S

4

(1) Clients: Teilweise "Thin Clients" oder PC mit Terminalserver Client

(2) Zentrale Terminalserver und Redundanz, stellen die Anwendungen (MS .net 2003)

(3) Zentraler Verzeichnisdienst (Active Directory); Accounts(4) VPN-Gateways zur sicheren, verschlüsselten

Datenübertragung(5) Firewall zur Vermeidung von unerlaubten Zugriffen(6) Zentrale SAP Server(7) Internetzugang

Cisco 12000SERIES

WIN-Router

SCisco 3600 SERIES

VPN Gateway 3030

Cisco 7500SERIES

GÖNET Router

Cisco 7500SERIES

GÖNET Router

Cisco 7500SERIES

GÖNET Router

Internet

CISCO PIX 525

SCisco 3600 SERIES

VPN Gateway 3030

SCisco 3600 SERIES

VPN Gateway 3030

Ethernet Switch

GWDG

MRZ

DV der UNI

VPN-Tunnel

Firewall

2/2003, A.Issleiber (GWDG)

SAP-Server

ca. 300 Clients

MicrosoftActive Directory

MicrosoftActive DirectoryRedundanz

Sichere, verschlüsselte Verbindungenzwischen den Institutionen

über ansich unsichere Netze

Terminalserver

Clients

Clients

1

1

1

6

23

4

4

4

5

7

Zusammenspiel aller Komponenten am Beispiel: GWDG in Göttingen

Sicherheitsarchitektur für Verwaltungsdatenverarbeitung

in Hochschulnetzen

Page 9: Inhalt: Zieldefinition Erforderliche Komponenten

Sicherheitsarchitektur für Verwaltungsdatenverarbeitung

in Hochschulnetzen

5/2003

Andreas Ißleiber

Betriebssystem-, Softwareverteilung

Client mit PXE-Netzkarte (Preboot EXecution Environment)

CD- oder RIPrep-Image Remote Installation PREParation

RIS- und DHCP-Server

(4) Der Client nimmt Verbindung zum Startserver auf und lädt den Clientinstallations-Assistenten

(CIW) herunter

4

(5) Nach Authentifizierung wird das Image heruntergeladen

5

(6) Nach Abschluss der Installation ist der Client in der Domäne eingefügt. Der Benutzer kann sich mit

seinem Domänenkonto am Clientcomputer anmelden und bekommt, den Gruppenrichtlinien

entsprechende, Rechte.

6

(1) RIS Client startet, Bootvorgang von Netzkarte oder Diskette

1(2) DHCP Broadcast des Client. Als Antwort wird

u.A. die IP des RIS-Servers übertragen

2Erweiterung DHCP mit IPdes RIS Servers

(3) PXE Karte erzeugt Nachfrage beim RIS-Server

3

Page 10: Inhalt: Zieldefinition Erforderliche Komponenten

Sicherheitsarchitektur für Verwaltungsdatenverarbeitung

in Hochschulnetzen

5/2003

Andreas Ißleiber

Zukunft, Ausblicke, Erweiterungen

1. Einführung von Authentifizierung nur! über Zertifikate

2. Zertifikate über Smartcard oder USB Sticks

3. Einrichtung einer CA und Vergabe von Benutzer-Zertifikaten: Bsp. Microsoft ADS

4. Einrichtung eines Metadirectories im heterogenen Umfeld

5. Einsatz von „NLB“ „Network Load Balancing“ für Terminalserver, damit Redundanz und hohe Verfügbarkeit geschaffen werden kann

Page 11: Inhalt: Zieldefinition Erforderliche Komponenten

Vielen Dank!

Sicherheitsarchitektur für Verwaltungsdatenverarbeitung

in Hochschulnetzen

5/2003

Andreas Ißleiber

Zeit für ...

Fragen & Diskussionen

Vortrag im Netz:

http://www.gwdg.de/~aisslei/vortraege/dv-netz.ppt

eMail: [email protected]

? ??

?

? ?

??

??? ?

?

?

?