2G05 Providerunabhängige Internet

Transcription

IT-Symposium 2004
HP supported VPN
Providerunabhängige
Internet VPNs als
alternative WAN
Infrastruktur
DECUS Symposium
21. April 2004
Engelbert Epple
Senior Technical Consultant
HP Network Solutions Group
[email protected]
© 2004 Hewlett-Packard Development Company, L.P.
The information contained herein is subject to change without notice
Inhalt
• VPN – Definition
• Internet VPNs
• VPN Typen
• MPLS vs. IPsec VPN
• VPN – Topologien
• Site-to Site
• Combined
• Dual WAN
• Policy Based Routing
• Firewall oder Router ?
• Anbindungsarten
• Security
− Krypto-ALgorithmen/Analyse
− Security Risiken
− IPsec Ziele
− Schlüsselaustausch/management
− Pre shared secrets/Zertifikate
− Certificate Authority (CA)
− Paralleler InternetZugang
− Redundanzszenario
• Geschwindigkeiten im VPN: Beispiel
• HP supported VPN
• Future Look
21. April 2004
www.decus.de
Internet VPNs
Copyright © HP Corporate presentation. All rights reserved
2
1
IT-Symposium 2004
VPN Definition
VPN (Virtual Private Networks)
Unternehmensnetzwerke in denen die
Daten
über
geschützte
Unternehmensnetze (z. B. ATM, Frame
Relay..) und teilweise mit entsprechenden
Sicherheitsvorkehrungen (z.B. Tunneling)
über öffentliche Netze, in erster Linie das
Internet, transportiert werden.
21. April 2004
Internet VPNs
3
VPN - Typen
• Remote Access VPN
Remote dial in (dial-in, dial-up) der Mitarbeiter auf das Corporate Network
In erster Linie der Zugang direkt von einem Endsystem (Notebook)
• Site-to-Site VPN
Anbindung von festen Lokationen (Branch Office VPN)
z.B. Verbindungen von Niederlassungen zur Firmenzentrale
• Extranet
Verbindungen von Partnerfirmen zum eigenen Corporate Network
Möglichkeit für Geschäftspartner, auf dedizierte Daten in eigenen Netz zuzugreifen
oder z.B. um Fernwartung durchzuführen
Eine besondere Form des VPN:
• Internal VPN
Basiert auf dem eigenen Corporate Network
z.B. ein verschlüsseltes Overlay Netz für sensitive Daten (Manager VPN)
21. April 2004
www.decus.de
Internet VPNs
4
2
IT-Symposium 2004
MPLS vs. Internet VPN
MPLS
IPsec VPN
Multi Protocol Label Switching
Routing verschlüsselter IP Pakete
• Provider network
• Public Internet
• “Markiert” einen Datenstrom und ordnet
diesen einem VPN zu
• Verschlüsselte Datenübertragung – Daten
werden “getunnelt” (RFC 2401, 2402 u. 2406)
• Switching statt Routing
• Verschlüsselung erfolgt mit Hilfe von VPNGateways/Router oder z.B. auf FirewallSystemen
• Anhand eines Labels entscheiden WANSwitches wohin Daten geschickt werden und
mit welcher Priorität
• MPLS gilt heute als Nachfolger vom
klassischen Frame-Relay Netz
• IPsec-VPNs gelten heute als flexible
Möglichkeit, kostengünstig Site-to-Site oder
Remote Access-VPNs zu realisieren
• CoS = Classes of Service
• Keine durchgehenden CoS – aber
Priorisierung auf Endsystem möglich
• Provider managed – also Kosten für
Equipment, Access und Übertragung
• Providerunabhängig
• Weltweit verfügbar – Internet Access gibt’s
fast überall
21. April 2004
Internet VPNs
5
6
Unsere VPN Idee
21. April 2004
www.decus.de
Internet VPNs
3
IT-Symposium 2004
Site-to-Site VPN
Response
Center
Branch office
VPN-Router
Remote support
Internal
Network
Dial-up link,
leased line or
DSL link
Internet
Branch office
IPsec
Tunnels
(encrypted)
Internal
Network
VPN-Router
Central office
VPN-Router
Branch
office
Internal
Network
21. April 2004
Internal
Network
VPN-Router
Internet VPNs
7
Combined VPN: Remote Access and Site-to-
Site
Response
Center
Dial-in Users
IPsec-Client
Laptop
IPsec-Client
Branch office
Remote support
VPN-Router
Dial-up,
Wireless or
DSL link
Internet
IPsec
Tunnels
(encrypted)
Branch office
Firewall
VPNConcetrator
Demilitarized
Zone (DMZ)
www.decus.de
Internal
Network
VPN-Router
Central office
21. April 2004
Internal
Network
Laptop
Internal
Network
Internet VPNs
Branch
office
VPN-Router
Internal
Network
8
4
IT-Symposium 2004
Dual-WAN Topology
Branch office
Warum nicht die VPN
Verbindung für
Lastspitzen wie
email/Filetransfer/http
nutzen ?
VPN-Router
Internal
Network
QoS
Internet
Central office
Firewall
QoS
Policy-Router
VPN-Router &
- Concetrator
Demilitarized
Zone (DMZ)
21. April 2004
Internal
Network
Internet VPNs
Synchronize
Email (!)
Problem: Wer entscheidet was wichtig ist ?
1
Hi – Ich bin das Standard Gateway und meine
Routing Policy schreibt vor:
1: Email = SMTP (TCP Port 25)
VPN
2: SAP = TCP-Ports 3xxx
Frame-Relay
Branch
officeGet SAP
Report (!)
2
VPN/PBR
Router
Internet
9
Policy Based Routing (PBR)
Central office
MPLS or
Frame-Relay
Network
FR-Router
QoS
VPN/PBR
Router
QoS
PVC
Mail
Server
FR-Router
Frame-Relay
Network
SAP
Server
21. April 2004
www.decus.de
Internet VPNs
10
5
IT-Symposium 2004
Firewall oder Router ?
… es kommt drauf an ☺
Branch office
• Router: Routingprotokoll für dynamische IP-Netze
erlaubt dynaisches Backup (z.B. über ISDN)
VPN-Router
ISDN-Backup
• Firewall für Branch Office: Höherer Durchsatz und
billiger aber kein dynamisches Routing
ISP A
Router
• Firewall für Zentrale: Internet Access absichern !
Branch office
ISP A
Internet
Central office
ISP D
Internal
Network
Internal
Network
ISP B
ISP C
optional
DSL-ModemVPN-Router
Firewall
VPN- Router
VPN-Router
Demilitarized
Zone (DMZ)
Internal
Network
Branch
office
ISP C Router
(oder DSL-Modem)
Internal
Network
PIX Firewall
21. April 2004
Internet VPNs
11
12
Anbindungsarten
• Zentrale Anbindung ans Internet
• WICHTIG: Feste IP Adressen !
• Leased Line(s) bei COLT,
Telekom, ...
• SDSL
• Anbindung Außenstellen
• ADSL
• ISDN (Wählverbindung)
• leased line
• Remote Access Clients
•
•
•
•
ADSL
ISDN
Wireless HotSpot
... what you can get ☺
21. April 2004
www.decus.de
Internet VPNs
6
IT-Symposium 2004
Internet Anbindungen
Beispiele für die Verwendung zur VPN Anbindung von Außenstellen
Stand 17.April 2004
Nr. Typ
1
2
3
4
5
6
7
8
9
10
11
12
BW down BW up
kbit/s
kbit/s
einmalig
monatlich
Flatrate
Volumen Volumen Bereitstellung* Kosten Kosten
möglich ? geschätzt inclusive Telekom / ISP flat
Volumen
ADSL
1024
128
ja
5 GB
5 GB
86 €
49 €
ADSL
3072
384
ja
> 20GB
>20GB
86 €
73 €
ADSL
2048
192
ja
2 GB
2 GB
108 €
80 €
31 €
ADSL
2048
384
ja
2 GB
2 GB
151 €
82 €
32 €
ADSL
3072
256
ja
5 GB
5 GB
129 €
99 €
49 €
ADSL
3072
512
ja
5 GB
5 GB
151 €
103 €
53 €
SDSL
1024
1024
nein
10 GB
2 GB
349 €
n/a
SDSL
2048
2048
nein
10 GB
5 GB
349 €
n/a
ISDN(Dial-in)
128
128
nein
n/a
n/a
0€
ISDN(Dial-in)
256
256
nein
n/a
n/a
Festverbindung
128
128
nein
5 GB
0 GB
Festverbindung
2048
2048
nein
10 GB
0 GB
21. April 2004
Internet VPNs
27 €
n/a
211 €
189 €
436 €
n/a
0€
872 €
n/a
0€
n/a
394 €
1.990 €
n/a
1.026 €
13
Security
21. April 2004
www.decus.de
Internet VPNs
14
7
IT-Symposium 2004
Kryptografische Algorithmen
Symmetrisch
Asymmetrisch
= gleiche Schlüssel für Ver- und
Entschlüsselung
Chiffre
Schlüssellänge
= verschiedene Schlüssel für Verund Entschlüsselung
Chiffre
Schlüssellänge
Blowfish
DES
1-448 Bit
56 Bit
Knapsack
RSA
?
mind. 1024 Bit
IDEA
128
El Gamal
512-1024 Bit
RC4
1-2048 Bit
RC5
128-256 Bit
Rijndael (= AES)
128-256 Bit
Serpent
128-256 Bit
Triple DES
168 Bit
Twofish
128-256 Bit
21. April 2004
Symetrische Verfahren sind
schneller und werden daher in
IPsec zur Verschlüsselung
eingesetzt.
Diffie-Hellman: Verfahren zum
initialen Schlüsselaustausch
IKE: Autom. Schlüsselaustausch
und Identitätsnachweis
Internet VPNs
15
Kryptoanalyse
Angreifer
56-Bit
168-Bit
(3DES) 1)
Rijndael
(DES) 1)
= AES 2)
Standard User
400 $
38 Jahre
No way.
No way.
Hacker
10.000 $
556 Tage
1019 Jahre
No way
Geheimdienst
10 Mio. $
21 Minuten
1017 Jahre 3)
1010 Jahre 4)
1)
Quelle: Cisco Trainingsunterlagen / Stand 1996
2)
Quelle: Andrew S. Tanenbaum, Computernetzwerke 4.Auflage 2003
3)
Cisco geht von einer Verdoppelung der Rechenleistung alle 2 Jahre aus
Werte heute
circa um den Faktor 32 kleiner. Geheimdienst bräuchte heute ca 1012 Jahre beim 3DES
4)
Tanenbaum geht dabei von einen theoretischen Parallelrechner mit 1 Mrd Prozessoren
aus – mit einer Leistung von einer Schlüsselauswertung in einer Sekunde – bei 3 x1038
möglichen Schlüsseln ... ein Haufen Arbeit ☺
21. April 2004
www.decus.de
Budget 1)
Internet VPNs
16
8
IT-Symposium 2004
Security Risiken
Security Risiko
Beispiele
Denial of Service
(DoS, DDoS)
Privacy Violation
Einbrüche
Verteidigung durch
•
TCP Synflood
•
Intrusion Detection (IDS)
•
Ping of Death
•
Firewall / Access-Lists
•
Smurf
•
Datenmanipulation
•
•
Aktive Attacken (Replay)
Encryption
z.B. durch IPSec VPNs
•
Passive Attacken (Sniffing)
•
Unberechtigter Zugriff
•
•
Identity Spoofing
Encryption
z.B. durch IPSec VPNs
•
Strong Authentication
(AAA, Certificates,
Token)
•
Firewall / Access-Lists
• Interne vs. Externe Angriffe = 80% / 20%
21. April 2004
Internet VPNs
17
IPSec Ziele
Ziel
Confidentiality
(gegen Sniffing)
Methode
Encryption
Authentication
(gegen aktive Attacken )
Symmetrisch: DES, 3DES,
AES
(Asymmetrisch:
HMAC (Hashed RSA)
message
authentication code):
Integrity
(gegen aktive Attacken)
SHA (168Bit) oder
MD5 (128Bit)
IPSec Protokoll
ESP
ESP
(früher: AH)
• ESP: Encapsulating Security Payload (Layer 4), AH = Authentication Header
• Beide Tunnelendpunkte müssen im Besitz der gleichen Schlüssel sein
• Pro 3DES ESP Tunnel: 4 Schlüsselpaare (3 * DES + 1 * HMAC)
• Problem: Wie können Schlüssel sicher und dynamisch über ein „untrusted“ Medium wie
das Internet ausgehandelt werden ?
Lösung: IKE als IPSec Key Management Protokoll
21. April 2004
www.decus.de
Internet VPNs
18
9
IT-Symposium 2004
Schlüsselaustausch
Wie authentifizieren sich VPN Router bzw. Gateway ?
Branch office
• Pre-shared keys: Jeder Router am Tunnelende kennt einen
gleichen Schlüssel. IKE-Tunnel zum IPsec Schlüsselaustausch
wird aufgebaut (Diffie-Hellman). Router authentifizieren sich über
pre-shared keys.
Central office
IKE-Tunnel
preshared key
Internal
Network
Internal
preshared key Network
VPN-Router
Branch office
Certificate
• Certificates: VPN-Router, -Gateways oder andere IPsec-Clients
erhalten einmalig von einem Trust Center einen
„Personalausweis“. IKE-Tunnel zum IPsec Schlüsselaustausch
wird aufgebaut (Diffie-Hellman). IPsec-Clients authentifizieren
sich über Certificates.
VPN-Router
IPsec
Tunnel
Internal
Network
Trust Center
x.509 Certificat
e
VPN-Router
Certificate-Verwaltung
21. April 2004
Internet VPNs
19
Schlüsselmanagement
•
Beide Endpunkte benötigen je einen identischen Schlüssel für ESP Encryption
(bzw. zwei für 3DES) und einen für die Authentifizierung (HMAC)
•
Aushandlung symmetrischer Schlüssel mittels Diffie Hellman mit Hilfe des IKE
(Internet Key Exchange) Protokolls
•
Schlüssel haben nur beschränkte Lebenszeit
Regelmäßige Generierung neuer Schlüsselpaare
•
IKE Tunnel verschlüsselt (DES/3DES) und Endpunkte authentifizieren sich mit:
- Preshared Secrets
- Zertifikaten (ausgestellt von einem Trusted Root z.B. Verisign CA)
IKE Tunnel
(3DES verschlüsselt und initial
authentifiziert)
(Diffie Hellman)
ESP Tunnel (hin)
ESP Tunnel (zurück)
21. April 2004
www.decus.de
Internet VPNs
20
10
IT-Symposium 2004
Preshared Secrets vs. Zertifikate
Authentifizierung für IKE Tunnel Aushandlung notwendig, um Man-In-the-Middle
Attacks auszuschließen
Au
sw
e
is.
Preshared Secrets: Auf beiden Tunnelendpunkten manuell konfigurierter Schlüssel
•
ei
m
ir
Gi
b
Router A
Zertifikate Ein CA Server (d.h. ein gemeinsamer Trusted Root) stellt den
Endpunkten „Ausweise“ nach IETF
Standard x.509 aus
Vorteil: Zertifikate können zentral
verwaltet, erneuert oder zurückgezogen
werden. Manuelle Konfiguration auf
Routern minimal. Fully meshed VPN
realisierbar.
Eigener CA Server (W2k Internet
Server)
VPNs vs.
öff tli h CA S
( B
Router B
Certificate Router
A (signed by Root)
pro Router
21. April 2004
n
ne
n
pro Tunnel
Problem: Für dynamische
Tunnelendpunkte (z.B. ADSL) muss ein
„Wildcard Preshared Secret“ angelegt
werden !
ne
ei
ir .
m
b eis
Gi sw
Au
•
Trusted Root CA Server
Certificate Router
B (signed by Root)
IKE Tunnel
(authentifiziert durch
Zertifikate)
21
Anbindung und self managed CA
Lokation
Internet
VPN-Router
ISP-Router
RZ
Secondary Backup:
Falls Interrnet
Backup via Dial-up
nicht klappt ->
„Backup around the
cloud“
Intrusion
Detection
System
transparent
Proxy (?)
HV Firewall
(redundant )
Sub CA
ISDN
Resilient Link
– nur im
Backup Fall
aktiv
Sub CA
(Backup)
PRI
Main
VPN-Router
(36xx/VPN)
Backup
VPN-Router
(26xx/VPN)
L3-Switch
Root CA
21. April 2004
www.decus.de
Internet VPNs
22
11
IT-Symposium 2004
Anbindung und CA im Trust Center
Trust Center
Lokation
managed CA
fully redundant
Internet
VPN-Router
Secondary Backup:
Falls Interrnet
Backup via Dial-up
nicht klappt ->
„Backup around the
cloud“
ISDN
ISP-Router
ZIT-RZ
Intrusion
Detection
System
Resilient Link –
nur im Backup
Fall aktiv
HV Firewall
(redundant)
PRI
Backup
VPN-Router
(26xx/VPN)
Main
VPN-Router
(36xx/VPN)
L3Switches
21. April 2004
Internet VPNs
23
Paralleler Internetzugang
Split Tunneling
PRO:
Zentraler Internet Zugang
Speed, BW Ausnutzung
CONTRA: Security, Managebarkeit
21. April 2004
www.decus.de
Internet VPNs
PRO:
Security, Managebarkeit
CONTRA: Speed, BW Ausnutzung
24
12
IT-Symposium 2004
Redundanz Szenario
Traffic between Loopbacks is IPSec encrypted
.1
Loopback1: 10.2.2.2/32
Tunnel1: 10.100.2.0/24
.2
NAT
Loopback3: 10.4.4.4/32
Branch
C1720
IOS: 12.2(11)T2
DN
IS
c
Ba
ku
p(
o r)
Arc Tu
10.200.2.0/24
Public range
Internet
.1
.2
nn e
l3
.1
.2
: 10
.100
.3 .0
Loopback1: 10.10.2.2/32
Loopback2: 10.10.3.3/32
.3
Vpngateway2
C7200
/24
192.168.40.100/24
ADSL
Modem
T-Online
Tu
Loopback2: 10.3.3.3/32
l2
nn e
.1
: 10
0 0.3
.0 /2
4
E IG
RP
172.16.200.100/24
.2
.2
.1
.3
Public range
.1
NAT
10.200.1.0/24Vpngateway1
C7200
Loopback3: 10.10.4.4/32
Loopback0: 10.1.1.1/32
.1
Tunnel0: 10.100.1.0/24
.2
Loopback0: 10.10.1.1/32
EIGRP
Traffic between Loopbacks is IPSec encrypted
21. April 2004
Internet VPNs
25
VPN Realität
21. April 2004
www.decus.de
Internet VPNs
26
13
IT-Symposium 2004
Combined VPN
Response
Center
Ratingen
Type A: VPN-Firewall
150 RemoteAccess
Users
Cisco PIX Firewall
(HP supported)
Remote Support via Dial-in
Dial-in
data encrypted
ISP-Device
(Internet Access)
Internet
Internal
Network
Dial-in
Pilz
Headquarter
Ostfildern
Germany
Type B: VPN-Router +
Backup
ISP-Router
(Internet Access)
Modem
Cisco PIX Firewall,
VPN-Router
VPN-Concentrator
(HP supported)
Network
Support
Tool
ISP-Device Cisco VPN-Router
(Internet Access) (HP supported)
Internal
Network
21. April 2004
Internet VPNs
Internal
Network
ISDN Backup
Remote Support
27
Messung im Pilz VPN
Zeitraum:
Methode:
Vianen
Standard ping vom NST (Netzwerk
Support Tool, PC im LAN) zu einem
PC im Remote LAN mit MRTG
Standorte:
www.decus.de
Dresden
Ostfildern
Hannover
Michigan
Granolers
Spanien
Dänemark
Niederlande
Schweiz
UK
Deutschland
USA
21. April 2004
Sonderbør
g
Corby
vom 25.11.2002 – 28.3.2003
Mägenwil
MRTG - Diagramme
Index.html
Internet VPNs
28
14
IT-Symposium 2004
Messung im Pilz VPN
Zusatzinfo‘s:
Wochendurchschnitt
•
Langzeitmessung mit MRTG läuft
permanent
•
Leichter Zugriff in fast Echtzeit per
Browser
•
Ping auf belasteten Leitung ist nur
beschränkt repräsentativ
21.3. – 28.3.2003
150 - 230 ms
71 – 86 ms
54 – 81 ms
Meine Interpretation:
30 – 72 ms
•
Auch ohne QoS – gute Ergebnisse
48 – 73 ms
•
Spanien: Internet & VPN auf einer
Zuleitung – trotzdem geht‘s ☺
60 – 106 ms
•
Tipp: separater Zugang für VPN
113 – 129 ms
21. April 2004
Internet VPNs
29
30
Unser Blickwinkel
21. April 2004
www.decus.de
Internet VPNs
15
IT-Symposium 2004
HP supported VPN: Positionierung
Fully outsourced VPN:
• Provider managed
VPN-Router proaktiv
• Kunde erwartet Single
Point of contact für eine
Komplettlösung
inklusive InternetZuleitungen.
• Kunde erwartet eine
Rechnung
• Kunde hat bereits ein
Provider-managed
WAN (Frame-Relay)
und benötigt
zusätzliche VPN
Services.
• Lösung für Kunden, die
„All-in-one“ Preise
akzeptieren
21. April 2004
HP supported VPN:
• HP erbringt reaktive Support- und
Service- Dienstleistungen für das
VPN Equipment
• Kunde mietet günstige Internet
Zugänge selbst an
• Kunde möchte VPN Equipment
kaufen anstatt mieten (Reduzierung monatlicher Kosten)
• Kunde möchte Hilfe wenn’s
“brennt” und technischen Support
bei Providerfragen
• Kunde akzeptiert verschiedene
Rechnungen von ISPs und HP
• Kunde möchte seine Router
unter eigener Verantwortung
halten und benötigt High Level
Support und HW-Service
• Lösung für Kunden, die keinen
Full-Service bezahlen wollen.
Internet VPNs
Self made VPN:
• Kunde realisiert VPN
selbst
• Kunde möchte VPNEquipment
günstigst,
evtl. durch Einsatz von
PC-basierenden
Lösungen
• Kleine Firmen sind
nicht überzeugt, einen
Second oder Third level
Support zu benötigen.
• Lösung für Kunden die
entweder
genügend
KnoHow im Hause
haben oder die längere
Ausfallzeiten
hinnehmen.
31
Netzwerk Lifecycle
NSG Projekt- und Qualitymanagement
Netzwerk Integrations
Services
Planung
Design
Netzwerk Projekt Management
Netzwerk
Managed Services
Migration &
Integration
Support
Installation
Outtasking/Betrieb
Netzwerk Account
Betreuung
Beratung
Infrastruktur
Beschaffung
LAN
Integrierter
Lösungssupport
Assessment
Management
Konfiguration
& Distribution
WAN
Netzwerk
Lösungssupport
Security
Installation
& Abnahme
Security
Netzwerk Verfügbarkeitssupport
Web
Infrastruktur
Netzwerk HW &
SW Support
NSG Leistungen
21. April 2004
www.decus.de
Betrieb &
Erweiterung
Netzwerk
Support
Internet VPNs
MS
NSG
32
16
IT-Symposium 2004
Future look
what we are going to do...
•
WAN Traffic Management (Traffic Shaping)
− Ein- UND ausgehender traffic (Layer 7) wird steuerbar
− Optionale Kompression pro Applikation
− Tipp Download Vortrag 2H04 ☺
•
Radware
− Loadsharing in der Zentrale – über zwei ISPs
ohne BGP ☺
21. April 2004
www.decus.de
Internet VPNs
33
17

2G05 Providerunabhängige Internet

Transcription

Similar documents

0000121 - LFP Real Estate AG

als PDF

PAYONE Payment-Extension für Magento

protel SPE - Softstar Computer Systems GmbH