Unterwegs für die Firma Kool AG, feilt Antje in einem Hotelzimmer an ihrer Präsentation, die sie am nächsten Tag bei einer wichtigen Besprechung halten soll. Plötzlich ein Geistesblitz: Ein paar Marktzahlen aus der Firmendatenbank könnten helfen, ein entscheidendes Argument zu untermauern. Leider herrscht in Deutschland schon tiefste Nacht, sodass niemand dort die notwendigen Informationen liefern kann. Doch selbst ist die Frau! Schon ist der Laptop ins Internet eingeklinkt, die Firewall der Firma Kool AG durchtunnelt und die Datenbank angezapft. Und das alles zum Ortstarif.
Ein Virtual Private Network (VPN) auf der Basis von IPSec macht es möglich, dass moderne Nomaden, so genannte ‘Roadwarrior’, von jedem Punkt der Erde aus auf ihr Heimatnetzwerk zugreifen können, so als würden sie im Büro nebenan sitzen. Durch die verschlüsselte Übertragung besteht keine Gefahr, dass die übers Internet versendeten Daten in unbefugte Hände gelangen.
| Über Zertifikate erhalten die Roadwarrior Antje und Bodo einen verschlüsselten Zugang zum Firmennetz. |
Bodo ist zwar sesshafter als seine Kollegin Antje, er hat sich aber entschieden, einen Tag pro Woche zu Hause zu arbeiten, damit er mehr Zeit mit seiner Familie verbringen kann. Er besitzt einen DSL-Anschluss mit Flatrate, sodass die VPN-Verbindung zur Firma den ganzen Tag steht und er ohne Verzug jederzeit auf die Informationen zugreifen kann, die er bei seiner Arbeit gerade benötigt.
Was Bodo mit den Nomaden gemein hat und ihn zu einem Roadwarrior macht, ist der Umstand, dass ihm sein Provider bei jeder Einwahl ins Internet eine andere Adresse zuweist und er deshalb aus Sicht der Firmen-Firewall zunächst wie ein x-beliebiger Fremder aussieht. Dem Netzadministrator der Kool AG stehen die Haare zu Berge! Wie soll er die Firewall gezielt für die Nomaden öffnen, wenn diese sich unter ständig wechselnder IP-Adresse anmelden wollen?
Doch IPSec löst auch dieses Problem. Noch bevor die Rechner eine verschüsselte Datenverbindung aufbauen, müssen sie sich nämlich eindeutig authentifizieren. Erst nach dem erfolgreichen Identitätsnachweis leitet das VPN-Gateway die Pakete des Roadwarriors ins Firmennetz weiter.
Die Authentifizierung kann entweder über nur den beteiligten Rechnern bekannte Geheimnisse (Passphrases, oft auch als Pre Shared Secrets bezeichnet) geschehen oder über Public-Key-Mechanismen, wie sie auch für digitale Signaturen zum Einsatz kommen.
Die Verwendung von Pre-Shared-Secrets ist bei IPSec mit Roadwarrior-Verbindungen problematisch. Dabei müssen nämlich alle Roadwarrior dasselbe Pre-Shared-Secret verwenden. Immer wenn der Administrator einen Zugang sperren möchte, müssen deshalb alle anderen Benutzer ihre Passphrase ändern. Beim konkreten Einsatz mit mehr als ein paar Benutzern ist dies nicht praktikabel.
Das grundsätzliche Problem bei Public-Key-Verfahren hingegen ist immer die Frage: Kann ich dem präsentierten Public Key trauen? Stammt er tatsächlich von dem, dessen Namen er trägt?
Hier kommen Zertifikate ins Spiel, die nebenbei auch der einzig praktisch gangbare Weg sind, den Roadwarriors mit Windows-IPSec-Clients Zugang zum Firmennetz zu gewähren. Ein Zertifikat ist ein Public Key, bei dem eine dritte Partei mit ihrer (digitalen) Unterschrift bestätigt, dass die angegebene Identität korrekt ist. Diese Aufgabe übernimmt eine so genannte Certification Authority (CA), die das Vertrauen der beteiligten Kommunikationspartner genießt.
| Durch die eigene Certification Authority kann die Kool AG ihren Mitarbeitern selbst Zertifikate ausstellen. |
Hierfür haben sich die von der International Telecommunications Union (ITU) und der ISO standardisierten X.509-Zertifikate etabliert. Ein X.509-Zertifikat stellt eine Verbindung zwischen einer Identität in Form eines ‘X.500 Distinguished Name’ (DN) und einem Public Key her, die durch die digitale Signatur einer X.509 Certification Authority (CA) beglaubigt wird.
Antjes Distinguished Name ‘C=DE, O=Kool AG, CN=antje@kool.net’ enthält das Land ‘DE’, die Organisation ‘Kool AG’ und als Common Name (CN) die E-Mail-Adresse ‘antje@kool.net’. Als weitere Attribute könnten ein Abteilungsname (OU), eine Ortsbezeichnung (L) oder das Bundesland (ST) hinzugefügt werden.
Wenn Antje eine VPN-Verbindung ins Firmennetz der Kool AG aufbauen will, sendet ihr Rechner zur Authentifizierung sein Zertifikat an das VPN-Gateway. Dieses überprüft zunächst mit dem Public Key der vertrauenswürdigen CA deren Unterschrift. Ist diese korrekt, kann das Gateway sicher sein, dass der erhaltene Public Key tatsächlich Antje gehört. Und wenn Antjes Rechner richtig auf damit verschlüsselte Anfragen antwortet, weiß das Gateway, dass sich nur der Besitzer des zugehörigen Secret Keys - also Antje - am anderen Ende der virtuellen Leitung befinden kann. Da die Authentifizierung bei IPSec bidirektional erfolgt, kann im Gegenzug auch Antje analog die Identität des VPN-Gateways überprüfen.
Mit Zertifikaten wird die Verwaltung der VPN-Nutzer einfach und übersichtlich: Wer ein gültiges Zertifikat der CA vorweisen kann, erhält auch von außen Zutritt zum Firmennetz. Scheidet einer der Mitarbeiter aus der Firma aus, widerruft die CA das Zertifikat und kappt damit seinen Zugang.
X.509-Zertifikate kann man sich von entsprechenden Dienstleistern ausstellen lassen. Um nicht auf eine externe Firma angewiesen zu sein, hat die Firma Kool AG jedoch eine eigene CA unter dem Namen ‘Kool CA’ aufgesetzt. Die Kool CA stellt für die Mitarbeiter Antje und Bodo je ein User-Zertifikat und für das VPN-Gateway ein Host-Zertifikat aus und unterschreibt sie mit ihrem Private Key. Zusätzlich verteilt die Kool CA ihren eigenen Public Key in der Form eines selbstsignierten Root-CA-Zertifikats an alle Beteiligten.
| In größeren Firmen kommen häufig mehrstufige Zertifikats-Hierarchien zum Einsatz, bei denen untergeodnete CAs die Zertifikate der VPN-Nutzer ausstellen. |
Bei großen oder räumlich verteilten Organisationen kann auch eine mehrstufige Zertifikatshierarchie gewählt werden, bei der Endzertifikate durch mehrere ‘Intermediate CAs’ herausgegeben werden, die ihrerseits durch eine Root CA zertifiziert sind. Dies bedingt natürlich, dass die VPN-Endpunkte auch im Besitz der entsprechenden Intermediate-CA-Zertifikate sein müssen, damit sie die Authentifizierung der Gegenstelle entlang der Zertifikatskette bis hinauf zum Root-CA-Zertifikat vornehmen können. Die später aufgeführten Beispiele verzichten jedoch auf diesen zusätzlichen Schritt.
Es gibt verschiedene Möglichkeiten zu eigenen Zertifikaten zu kommen. Die Server-Versionen von Windows 2000 besitzen eine eingebaute Public Key Infrastruktur (PKI), die über die Management Konsole ‘mmc’ durch Laden des entsprechenden Snap-In aktiviert werden kann. Unter Linux gibt es das OpenSSL-Paket, das häufig zur Herstellung von Zertifikaten verwendet wird. Sämtliche Operationen werden dabei über die Befehlszeile ausgeführt.
Die offizielle OpenSSL-Dokumentation fällt eher spartanisch aus und beschränkt sich auf das Aufzählen der unzähligen Optionen. Doch das Deutsche Forschungsnetz (DFN) hat ein deutschsprachiges OpenSSL-Handbuch veröffentlicht, das im Detail erklärt, wie man zuerst ein selbst signiertes Root-CA-Zertifikat erstellt und anschließend User- und Host-Zertifikate herausgibt [1]. Auch das Sperren von einzelnen Zertifikaten über einen Eintrag der entsprechenden Serienummer in eine Certificate Revocation List (CRL) wird eingehend behandelt.
Wer lieber mit einer Web-basierten, grafischen Oberfläche arbeitet, kann OpenCA oder die IDX-PKI ausprobieren. Beide Open-Source-Tools setzen auf Perl-CGI-Skripte, die ihrerseits die notwendigen OpenSSL-Befehle aufrufen.
Roadwarrior sind meist mit Windows-Rechnern unterwegs. Notebooks unter Linux stellen eher eine Ausnahme dar. Empfehlenswerte VPN-Clients für Windows sind SSH Sentinel, SafeNet/SoftRemote und PGPnet. Letzteres ist auch als Mac-Version erhältlich. Wegen der Auflösung der Firma PGP Security durch die Mutter Network Associates ist aber die Zukunft von PGPnet ungewiss. Alle drei Produkte enthalten auch eine Personal Firewall, über die sich unerwünschte Verbindungen blockieren lassen.
Windows 2000 und Windows XP verfügen über einen eingebauten IPSec-Stack, sodass eigentlich kein zusätzlicher VPN-Client notwendig ist. Wenn nur die menügesteuerte Konfiguration, bei der man sich die Finger wundklickt, nicht so undurchsichtig wäre. Hier hilft das Windows IPSec-Tool von Marcus Müller, das eine einfache Konfigurationsdatei in die benötigten Regeln umsetzt.
Als kostengünstiges und performantes VPN-Gateway am Eingang eines Firmennetzes bietet sich ein Linux-Rechner mit dem IPSec-Stack FreeS/WAN, sowie dem X.509-Patch für die X.509-Zertifkatsunterstützung an. FreeS/WAN bietet eine optimale Unterstützung für Roadwarrior-Verbindungen, indem der Parameterwert ‘%any’ in einer Verbindungsdefinition eine beliebige, dynamische IP-Adresse der Gegenstelle zulässt. Die Identifizierung geschieht dann ausschließlich über das mitgesendete Zertifikat.
Da die Verschlüsselung auf bekannten Algorithmen wie 3DES beruht, kann man davon ausgehen, dass sich Angreifer am übertragenen Chiffretext die Zähne ausbeißen. Die Sicherheit steht und fällt jedoch mit dem Schutz der involvierten Private Keys, sodass man mit diesen äußerst sorgfältig umgehen sollte. Zunächst empfiehlt es sich, die Schlüssel durch eine zusätzliche Passphrase vor dem Zugriff durch Unbefugte zu schützen. Auf Multiuser-Systemen sind die Lese- und Schreibrechte auf diese Dateien entsprechend zu beschränken. Zusätzlichen Schutz bieten Smartcards, die den Private Key unantastbar aufbewahren und RSA-Signaturen direkt auf dem Chip erstellen. Während die meisten Windows-Clients den Einsatz von Chipkarten bereits unterstützen, ist dies bei FreeS/WAN vorerst nur angedacht.
Die Zertifikatsverwaltung darf man nicht auf die leichte Schulter nehmen: Da das Vertrauensmodell auf der CA beruht, sollte diese speziell geschützt werden. Es empfiehlt sich die CA auf einem Laptop zu installieren und diesen bei Nichtgebrauch in einem Schrank wegzuschließen. Geht das Notebook eines Roadwarriors verloren oder scheidet er aus der Firma aus, ist sein Zertifikat unverzüglich zu widerrufen oder die Verbindungsdefinition für diese ID auf dem Gateway zu löschen.
Das VPN-Gateway muss direkt aus dem Internet zu erreichen sein und ist deshalb ebenfalls besonders zu sichern. Am besten sind von außen nur die Ports für den Schlüsselaustausch via Internet Key Exchange Protocol (UDP, Port 500) und die verschlüsselten Daten (IP-Protokoll 50) auf dem VPN-Gateway sichtbar.
Entweder integriert man die VPN-Funktionen in die Firewall selbst, oder diese leitet die für IPSec relevanten Pakete unverändert an ein dahinterliegendes Gateway weiter. Theoretisch könnte man das VPN-Gateway auch in einer entmilitarisierten Zone (DMZ) außerhalb des LANs platzieren. Das hätte den Vorteil, dass die Firewall den bereits entschlüsselten Datenverkehr der Roadwarrior analysieren und filtern kann. Leider unterstützen bislang die IPSec-Clients für Windows die dafür notwendigen virtuellen IP-Adressen noch nicht, sodass diese Option entfällt (siehe auch [3]).
Und schließlich verhindert auch eine verschlüsselte und authentifizierte Verbindung nicht, dass ein VPN-Nutzer Viren in ein LAN einschleust oder über ein Trojanisches Pferd auf seinem Rechner Hintertüren für externe Angreifer öffnet. Diese Gefahr erhöht sich, wenn der Rechner des Roadwarrior gleichzeitig mit dem LAN und dem Internet kommunizieren kann. Dies kann man durch entsprechende Konfiguration der Clients beziehungsweise der eingebauten Personal Firewall verhindern. Des Weiteren sollte der Netzwerkadministrator den Datenverkehr über das VPN-Gateway zusätzlich filtern und auf die jeweils notwendigen Dienste beschränken.
VPN-Clients für Windows und ein VPN-Gateway mit Linux und FreeS/WAN ermöglichen den modernen Nomaden den sicheren und unkomplizierten Zugriff auf sämtliche Intranet-Dienste und Datenbestände. Die notwendige Software und die im folgenden Artikel vorgestellten Listings können Sie sich über den Soft-Link aus dem Internet herunterladen. Wann loggen sich Carla und Daniel ein? (ju)
Der Autor Dr. Andreas Steffen ist Dozent für Kommunikationstechnik an der Zürcher Hochschule Winterthur, Geschäftsführer der IT-Security Firma strongSec GmbH und Autor der X.509-Patches für FreeS/WAN.
[2] Daniel Bachfeld, Sicheres Netz im Netz, Der Aufbau von Virtual Private Networks, c't 17/01, S. 164
[3] Jürgen Schmidt, Peter Siering, Moderner Tunnelbau, Der Weg zum eigenen Virtual Private Network, c't 18/01, S. 182
Version zum Drucken | Per E-Mail versenden | Heft bestellen
Permalink: http://heise.de/-288140
Das aktuelle Heft ist jetzt im Handel erhältlich.
Ältere Artikel können Sie über unser Zeitschriften-Archiv bestellen.
RSS
