Inhalt: Zieldefinition Erforderliche Komponenten

1. Sicherheitsarchitektur für Verwaltungsdatenverarbeitung in Hochschulnetzen A.Ißleiber, H.Koke, H.Sheikhikhou 5/2003Andreas Ißleiber • Inhalt: • Zieldefinition • Erforderliche Komponenten • Integrierbarbeit; Abbildung in bestehende Strukturen • Sicherheit • Der „Client“ • Datenfluss im gesicherten Verwaltungsumfeld • Zusammenspiel aller Komponenten am Beispiel: GWDG in Göttingen • Betriebssystem- & Softwareverteilung • Zukunft, Ausblicke, Erweiterungen

2. Sicherheitsarchitektur für Verwaltungsdatenverarbeitung in Hochschulnetzen 5/2003 Andreas Ißleiber Unsere Ziele: • Sicheren Zugang zu zentralen Verwaltungsdiensten • Ausfallsicherheit, Redundanzen schaffen • Zentralisierung der Sicherheitsrichtlinien • Integrierbarkeit in bestehende Strukturen • Kosteneinsparung durch Nutzung existierender Netzstrukturen • Erweiterbarkeit, Anpassung an wachsende Bedürfnisse • Einfaches, zentrales Management • Zentrale Benutzerführung • Softwareverteilung • Vereinheitlichung, hinsichtlich der Clients Standards bilden • Vereinfachung der Pflege von Verwaltungssoftware

3. Sicherheitsarchitektur für Verwaltungsdatenverarbeitung in Hochschulnetzen 5/2003 Andreas Ißleiber Erforderliche Komponenten: • Zentraler Terminalserver, der die Anwendungen zur Verfügung stelltsowie den Zugriff auf das Internet erlaubt • Directory Service für zentrale Benutzerauthentifizierung und Vergabe von Zertifikaten: Bsp. Microsoft ADS • Thin Clients als standardisiertes Benutzersystem • VPN-Gateways zur sicheren Datenübertragung zwischen beteiligten Institutionen (Rechenzentren) • Firewalls zur Absicherung zentraler, sicherheitsrelevanter Server

4. Sicherheitsarchitektur für Verwaltungsdatenverarbeitung in Hochschulnetzen 5/2003 Andreas Ißleiber Integrierbarbeit; Abbildung in bestehenden Strukturen 1.) Netzwerk • Durch Einsatz von Verschlüsselungen ist der Einsatz in „unsicheren“ Netzen möglichKeine Trennung mehr zwischen Verwaltungs- und Öffentlichem Netz -> Kostenersparnis • Zugriff auf „sicherheitsrelevante“ Daten auch aus Fremdnetzen möglich 2.) Anwenderrechner (Clients) • Bisherige Rechnerumgebung kann zunächst beibehalten bleiben (-> sanfte Migration) • Lokale Anwendungen bleiben erhalten • Ziel ist die zentrale Verteilung von Betriebssystem und Software 3.) Server • Zentraler Terminalserver: Verwaltungs-Server müssen lediglich Zugriff vom Terminalserver erlauben 4.) Accounts • Bestehenden Accounts werden direkt in ein modernen Directory Service integriert • Einsatz eines Metadirectory bei unterschiedlichen Quell-Systemen -> „Single Sign-On“

5. Sicherheitsarchitektur für Verwaltungsdatenverarbeitung in Hochschulnetzen 5/2003 Andreas Ißleiber Sicherheit: 1.) Absicherung der Datenübertragung • Durch Einsatz von VPN-Gateways wird die Kommunikation zwischen den Diensteanbietern gesichert • Der Anwender PC (Thin Client) baut eine verschlüsselte Sitzung zum TS auf (RDP 5.x) • Personal Firewall schützt Client vor unerlaubten Zugriffen • Zentrale Richtlinienverwaltung für Personal Firewalls • Zentrale Firewalls reduzieren Zugriffe auf „erlaubte“ IP-Adressen 2.) Absicherung des Anwenderrechners (Clients) • Jeder Rechner besitzt ein eigenen Virenscannermit täglichen Aktualisierungsanfragen für neue Virensignaturen • Zugriff auf elementare Sicherheitsprogramme (Firewall, Virenscanner) ist dem Benutzer nicht möglich • Bei Einsatz von ADS -> Einschränkung des Zugriffs über Gruppenrichtlinien • Servicepacks/Updates der BS automatisiert über eigenen SUS (Software Update Server) laden 3.) Schutz vor unerlaubten Zugriff auf Verwaltungsdaten • Benutzername/Passwort-Abfrage auf Terminalserver • Accounts sind im Verzeichnisdienst abgebildet • SAP-Gui mit eigener Benutzer/Passwort-Abfrage • Terminalserver sind durch Firewall und Virenscanner geschützt • Verwendung von „privaten IP-Adressen“ für die Server

6. Sicherheitsarchitektur für Verwaltungsdatenverarbeitung in Hochschulnetzen 5/2003 Andreas Ißleiber Der Client • Standardisierte Client „Thin Client“, Embedded XP oder LINUXPro:- schnelle Verbreitung im Verwaltungsumfeld - geringer Wartungsaufwand - schneller, einfacher Austausch im Fehlerfall - kein Benutzereingriff auf lokales System erforderlich/möglich - prinzipbedingt keine lokale Speicherung von VerwaltungsdatenContra:- geringere Flexibilität bzgl. lokalen Anwendungen - Einsatz lokaler Virenscanner und Personal Firewalls schwer möglich • Standardcomputer (PC) als ClientPro:- Nutzung bestehender Systeme (sanfte Migration) - lokale Anwendungen können genutzt werden - einfachere Integration von Zertifizierungssystemen (Smartcard, USB)Contra:- Anfälliger auf Viren wg. lokalen Anwendungen - höherer Wartungsaufwand - Mehr Angriffspunkte für Manipulation des Anwenders am lokalen System

7. Sicherheitsarchitektur für Verwaltungsdatenverarbeitung in Hochschulnetzen 5/2003 Andreas Ißleiber (1) Client baut eine verschlüsselte Verbindung auf (1) Client baut eine verschlüsselte Verbindung auf Terminalserver (4) Verbindung wird durch ein „unsicheres“ Netz geführt (4) Verbindung wird durch ein „unsicheres“ Netz geführt (5) Eine Terminalserversitzung wird aufgebaut:Dabei werden Bildinformationen verschlüsselt zum Client geschickt (5) Eine Terminalserversitzung wird aufgebaut: Dabei werden Bildinformationen verschlüsselt zum Client geschickt (6) Benutzername/Passwortwird gegen MS AD geprüft (6) Benutzername/Passwortwird gegen MS AD geprüft (7) Client kann Anwendungenauf dem TS nutzenz.B. eine SAP Sitzungzum SAP-Serveraufbauen und lokal drucken (7) Client kann Anwendungenauf dem TS nutzenz.B. eine SAP Sitzungzum SAP-Serveraufbauen und lokal drucken Thin Clients (8) Client kann über TS ins Internet ggf. Sicherheits-problem -> weiterer TS (9) nutzt Mailserver (8) Client kann über TS ins Internet ggf. Sicherheits-problem -> weiterer TS (9) nutzt Mailserver (2) PC-Client kann nebender TS Sitzung auch lokaleAnwendungen nutzen und eineVerbindung zum Internet herstellen (2) PC-Client kann nebender TS Sitzung auch lokaleAnwendungen nutzen und eineVerbindung zum Internet herstellen Smartcard Leser PC SUS Server RIS Server 10 (3) Alternative Authentifikation über Smartcards (private Schlüssel) (3) Alternative Authentifikation über Smartcards (private Schlüssel) (10) Einsatz optionale Komponenten:- SUS, Software Update Server - RIS, Remote Installation Server (10) Einsatz optionale Komponenten:- SUS, Software Update Server - RIS, Remote Installation Server Datenfluss im gesicherten Verwaltungsumfeld MS Active Directory Mailserver 8 6 9 5 Internet Verwaltung im Institut 1 4 UNI Netz (GÖNET) Verwaltung im 1 Institut 2 SAP-Server 7 3 Verwaltung im 2 Institut 3 2 Verbindung zum Internet Verschlüsselte Übertragung

8. Sicherheitsarchitektur für Verwaltungsdatenverarbeitung in Hochschulnetzen 5/2003 Andreas Ißleiber GWDG Internet Microsoft Terminalserver Active Directory Microsoft Active Directory Redundanz C i s c o 1 2 0 0 0 S E R I E S S C S I C O Y S T E M S VPN Gateway 3030 C i s c o 3 6 0 0 S E R I E S C I S C O S Y S T E M S WIN-Router Cisco 7500 SERIES CISCO S YSTEMS LOWER UPPER NORMAL POWER POWER Clients GÖNET Router MRZ Cisco 7500 VPN-Tunnel SERIES CISCO S YSTEMS UPPER LOWER NORMAL POWER POWER GÖNET Router Sichere, verschlüsselte Verbindungen zwischen den Institutionen über ansich unsichere Netze VPN Gateway 3030 C i s c o 3 6 0 0 S E R I E S C I S C O S Y S T E M S DV der UNI Firewall CISCO PIX 525 Cisco 7500 SERIES S CISCO YSTEMS LOWER UPPER NORMAL POWER POWER GÖNET Router SAP-Server VPN Gateway 3030 C i s c o 3 6 0 0 S E R I E S S C I S C O Y S T E M S ca. 300 Clients Ethernet Switch 2/2003, A.Issleiber (GWDG) Zusammenspiel aller Komponenten am Beispiel: GWDG in Göttingen 3 2 7 • Clients: Teilweise "Thin Clients" oder PC mit Terminalserver Client • Zentrale Terminalserver und Redundanz, stellen die Anwendungen (MS .net 2003) • Zentraler Verzeichnisdienst (Active Directory); Accounts • VPN-Gateways zur sicheren, verschlüsselten Datenübertragung • Firewall zur Vermeidung von unerlaubten Zugriffen • Zentrale SAP Server • Internetzugang s 0 I S C S I C O S Y T E M S S C S I C O Y S T E M S 4 1 CISCO S YSTEMS LOWER UPPER NORMAL POWER POWER Clients 4 1 5 4 4 6 1

9. Sicherheitsarchitektur für Verwaltungsdatenverarbeitung in Hochschulnetzen 5/2003 Andreas Ißleiber (1) RIS Client startet, Bootvorgang von Netzkarte oder Diskette (2) DHCP Broadcast des Client. Als Antwort wird u.A. die IP des RIS-Servers übertragen 1 (3) PXE Karte erzeugt Nachfrage beim RIS-Server 2 4 5 Erweiterung DHCP mit IPdes RIS Servers (4) Der Client nimmt Verbindung zum Startserver auf und lädt den Clientinstallations-Assistenten (CIW) herunter 3 (5) Nach Authentifizierung wird das Image heruntergeladen 6 (6) Nach Abschluss der Installation ist der Client in der Domäne eingefügt. Der Benutzer kann sich mit seinem Domänenkonto am Clientcomputer anmelden und bekommt, den Gruppenrichtlinien entsprechende, Rechte. Betriebssystem-, Softwareverteilung Client mit PXE-Netzkarte (Preboot EXecution Environment) RIS- und DHCP-Server CD- oder RIPrep-Image Remote Installation PREParation

10. Sicherheitsarchitektur für Verwaltungsdatenverarbeitung in Hochschulnetzen 5/2003 Andreas Ißleiber Zukunft, Ausblicke, Erweiterungen • Einführung von Authentifizierung nur! über Zertifikate • Zertifikate über Smartcard oder USB Sticks • Einrichtung einer CA und Vergabe von Benutzer-Zertifikaten: Bsp. Microsoft ADS • Einrichtung eines Metadirectories im heterogenen Umfeld • Einsatz von „NLB“ „Network Load Balancing“ für Terminalserver, damit Redundanz und hohe Verfügbarkeit geschaffen werden kann

11. Sicherheitsarchitektur für Verwaltungsdatenverarbeitung in Hochschulnetzen 5/2003 Andreas Ißleiber ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? Vielen Dank! Zeit für ... Fragen & Diskussionen Vortrag im Netz: http://www.gwdg.de/~aisslei/vortraege/dv-netz.ppt eMail: aisslei@gwdg.de