inforum 1/2006 - VPN-Service des ZIV
1/2006 Inhalt -
Vorheriger Artikel -
Nächster Artikel -
ImpressumVPN-Service des ZIV
Die Resonanz auf den neuen VPN-Service ist erfreulich positiv. Eine »Policy Enforcement«-Lösung soll bald für ausgewählte Verbindungen überprüfen, ob VPN-Clients konform zu Sicherheitsanforderungen sind.
Im Artikel »Neue VPN-Technologie an der Universität« im letzten inforum (Nr. 3/2005) wurde der neue IPSec-basierende VPN-Service des ZIV bereits vorgestellt und dessen Benutzung erklärt.
Folgende Vorzüge des neuen VPN-Service seien hier noch einmal kurz aufgezählt:
einfache Installation und Handhabung der VPN-Clienten für alle gängigen Betriebssysteme (Windows, Linux, MacOS),
verschlüsselter 3DES-Verkehr mit einem Durchsatz bis zu 1,9 GBit/s und bis zu 8000 gleichzeitigen Tunnel-Verbindungen pro VPN-Servicemodul,
systeminherente Virtualisierungsmöglichkeiten erlauben die Konfiguration (nahezu beliebig) vieler paralleler VPN-Gateways,
mandantenfähige Nutzerverwaltung für die VPN-Gateways,
zurzeit werden zwei VPN-Servicemodule in Catalyst-Router-Switches an getrennten Standorten eingesetzt. Grundsätzlich ist jedes VPN-Gateway auch auf dem jeweils anderen Servicemodul konfiguriert, so dass Redundanz erreicht wird.
Aufgrund dieser Eigenschaften kann das ZIV den IV-Versorgungseinheiten, Instituten, Kliniken, Fachbereichen usw. »virtuell« eigene VPN-Gateways für deren Netzzonen auf Anfrage bereitstellen. Die Resonanz auf den neuen VPN-Service ist sehr positiv, so dass im Augenblick schon mehr als 25 VPN-Gateways für unterschiedliche Verwendungszwecke eingerichtet sind. U. a. dienen sie als
zentraler Allgemeinzugang zum Netz der Universität und des Universitätsklinikums (UKM) für alle IV-System-Nutzungsberechtigten, über das Internet von zu Hause und unterwegs,
Wartungszugang für Systemadministratoren zu diversen Server-Netzzonen,
Wartungszugang für Mitarbeiter externer Firmen für spezielle Netzzonen mit fremdgewarteten IV-Systemen,
Zugang für »Teleworker« zu geschützten Netzzonen von Organisationseinheiten in Universität und UKM,
Kopplung von externen Rechnernetzen über so genannte »Site-to-Site«-VPN-Verbindungen, d. h. ein externes Rechnernetz wird über das Internet mittels eines verschlüsselten VPN-Tunnels sicher an Netzzonen im Rechnernetz der Universität oder des UKM gekoppelt; diese Variante wird z. B. für externe Netze von Firmen für Wartungszwecke oder für externe Netze der Universität (z. B. Haus Rothenfelde) genutzt.
Am Ausgang eines jeden VPN-Gateways ist zumeist ein »stateless« Paketfilter definiert, der den Datenverkehr durch den VPN-Tunnel nach Bedarf auf das Notwendige oder Erlaubte einschränkt. Bei besonderem Sicherheitsbedarf kann zusätzlich eine Intrusion-Prevention-(IPS)- oder eine Stateful-Firewall-Instanz am Ausgang des VPN-Gateways installiert werden.
Die Sicherheit der Verbindungen über VPN-Tunnel bezieht sich zunächst nur auf die Abhörsicherheit der Übertragung und die Authentifizierung des Clients gegenüber dem VPN-Gateway. Nicht jedoch ausgeschlossen sind damit Sicherheitsprobleme, die durch die Clients selbst hervorgerufen und über die Tunnel in die Netzzonen eingebracht werden können. Die Thematik der Durchsetzung von Sicherheitsregeln (Security Policy Enforcement) auf Clients bei deren Netzzugang beschäftigt inzwischen die Netzindustrie unter den Stichworten NAC – Network Admission Control (Cisco), NAP – Network Access Protection (Microsoft) und TNC – Trusted Network Connect (Open Standard Non Profit Organization). Trotz aller überschäumenden Marketing-Aktivitäten hier ist eine allgemein einsetzbare Lösung noch nicht verfügbar, für den VPN-Service aber ist der Bedarf für ein Security-Policy-Enforcement sehr ausgeprägt, da gerade über VPN-Tunnel der Zugang auch zu hochgradig zu schützenden Netzzonen ermöglicht werden soll. Das ZIV testet deshalb zurzeit eine »NAC-Lösung«, die viel versprechend erscheint. Dabei wird die VPN-Verbindung erst freigeschaltet, wenn das Endgerät gewünschte Sicherheitsanforderungen erfüllt. Es kann z. B. überprüft werden, ob eine Anti-Virus-Software mit den zugehörigen aktuellen Viren-Updates aktiviert ist oder ob das Betriebsystem durch wichtige Sicherheitsupdates aktualisiert wurde. Auch andere Parameter des Endgerätes können dabei kontrolliert werden, z. B. ob bestimmte Applikationen laufen oder nicht. Endsysteme, die gegen die Sicherheitsanforderungen verstoßen, werden zunächst in eine »Quarantäne-Zone« verwiesen, in der lediglich die notwendigen Maßnahmen für die Herstellung der Security Policy Compliance stattfinden können; so könnten z. B. von dort die neuesten Sicherheitsupdates für das Betriebssystem und die der Anti-Virus-Software bezogen werden. Erst wenn das Endsystem allen Sicherheitsanforderungen genügt, kann der VPN-Tunnel verwendet werden.
Interessenten, die einen sicheren Zugang zu ihren Netzzonen benötigen, können sich im ZIV gerne über die Möglichkeiten der Einrichtung eines eigenen VPN-Gateways und weiteren Sicherheitsfunktionen beraten lassen.
1/2006 Inhalt -
Vorheriger Artikel -
Nächster Artikel -
Impressum
Zentrum für Informationsverarbeitung (Universitätsrechenzentrum)
