(I) Überblick · 2004-11-19 · Referat Z 2 Personal, Fortbildung Referat Z 3 Haushalt, KLR...
Transcript of (I) Überblick · 2004-11-19 · Referat Z 2 Personal, Fortbildung Referat Z 3 Haushalt, KLR...
2004-11-19Dr. Thomas Östreich 1/45
(I) Überblick
Sichere Inter-Netzwerk Architektur
Dr. Thomas ÖstreichBundesamt für Sicherheit in der Informationstechnik
II 1.1 – Sichere [email protected] / +49 (0)1888 9582 466
2004-11-19Dr. Thomas Östreich 2/45
Das BSI auf einen Blick
Unabhängige und neutrale Autorität für IT-Sicherheit
Bundesoberbehörde im Geschäftsbereich des Bundesministerium des Innern (BMI)
Gegründet 1991 - als Behörde im Vergleich zu sonstigen europäischen Einrichtungen einzigartig
Personal: ca. 380 Mitarbeiter
Haushaltsvolumen 2004: 51 Million €
2004-11-19Dr. Thomas Östreich 3/45
Referat Z 1Organisation, Justiziariat,
Neue Steuerungsinstrumente,
Bibliothek
Referat Z 2Personal,
Fortbildung
Referat Z 3Haushalt,
KLR
Referat Z 4Innerer Dienst
Referat Z 5IT-Organisation
Beschaffung, Vertrieb
Referat I 1.1Anwendungs-
konzepte, Beratung
Referat I 1.2Netzplattformen,
NetzinfrastrukturenIVBB
Referat I 1.3SicherheitskonzepteSicherheitsberatung
Referat I 1.4Systemsicherheit,
Grundschutz
Referat I 2.1CERT-Bund,Lagezentrum
Referat I 2.2Internet-
Sicherheitsanalysen und -verfahren
Referat I 2.3Unterstützung der Strafverfolgungs-
behörden,Prävention
Referat I 2.4Schadprogramme,
Computer-Viren
Referat I 2.5IT-Penetrations-
zentrum
Referat II 1.1Sichere
Netzkomponenten
Referat II 1.2Entwicklung von Kryptosystemen
Referat II 1.3Evaluierung von Kryptosystemen
Referat II 1.4Schlüsselmittel,IT-Unterstützung
Referat II 2.1Schlüssel-
technologien
Referat II 2.2Entwicklung
kryptogr. Verfahren
Referat II 2.3Evaluierung
kryptogr. Verfahren
Referat II 2.4Wiss. Grundlagen,
Trends
Referat III 1.1Mobilfunksicherheit
Referat III 1.2Abstrahlsicherheit
Referat III 1.3Grundlagen der Lauschabwehr
Referat III 1.4Lauschabwehr-
prüfungen
Referat III 2.1Grundsatz,
Öffentlichkeitsarbeit
Referat III 2.2Zertifizierung,
Zulassung
Referat III 2.3Akkreditierung,
Sicherheitskriterien,Schutzprofile
Referat III 2.4Kritische
Infrastrukturen
Referat III 1.4Materielle
Sicherungstechnik
Fachbereich I 1Strategische
Anwendungen
Fachbereich I 2Internet Sicherheit
Fachbereich II 1Sicherheit in Netzen
Fachbereich II 2Kryptologie,
wiss. Grundlagen
Fachbereich III 1Abhörsicherheit
Fachbereich III 2Allemeine
IT-Sicherheit
Präsident
Vizepräsident Leitungsstab
Abteilung ZZentrale Aufgaben
Abteilung IStrategische
Anwendungen, Internet-Sicherheit
Abteilung IISicherheit in Netzen,
Kryptologie, wiss. Grundlagen
Abteilung IIIAbhörsicherheit,Allgemeine IT-
Sicherheit
Referat Z 6Objekt- und
Geheimschutz
Pressesprecher
2004-11-19Dr. Thomas Östreich 4/45
Inhalt
Einführung
Verfügbare SINA Komponenten
SINA Netzwerk Integration
Beispiel Einsatzszenarien
Zusammenfassung
2004-11-19Dr. Thomas Östreich 6/45
Aus Kostengründen wurde auf eine hohe Netzwerksicherheit in den neuen/vorhandenen Gebäuden in Berlin verzichtet
Anforderung der Bearbeitung offener/eingestufter Informationen an beliebigen Workstations/Terminals
Kein zertifiziertes deutsches IP-Kryptosystem verfügbar
Forderung einer zeitnahen Aufnahme des Wirkbetriebs
Ausgangslage 1999
Umzug
Bonn Berlin
2004-11-19Dr. Thomas Östreich 7/45
IT-System kann nur vertraut werden, wenn es in einer vertrauenswürdigen Umgebung erstellt, konfiguriert und evaluiert wurde.
System Entwicklung erfordert Zugang zu Hardware Blaupausen,
Betriebssystem- und Applikationssoftware Quellcode und Einsatz
offener Entwicklungswerkzeuge (z.B. Compiler).
Integration proprietärer Komponenten sollte nur unter Wahrung der
Sicherheitsvorgaben erfolgen (z.B. Kapselung der Anwendung).
Anforderungen aus Sicht der Administration
2004-11-19Dr. Thomas Östreich 8/45
➨ “Look and feel” und TCO bei der Verarbeitung eingestufter und offener Informationen sollte (annähernd) gleich sein
Anforderungen aus Sicht der Nutzer
Nur sogenannte COTS Komponenten, wenn möglich
Keine separate Netzwerk Installation
Kein “approved circuit”
Vertretbarer Einweisungs- und Fortbildungsaufwand
Vergeichbare Innovationszyklen
Weitgehende Plattformunabhängigkeit der Anwendungen
2004-11-19Dr. Thomas Östreich 9/45
Moderne IT-Architektur für sichere Informationsverarbeitung
Familie modularer und skalierbarer Komponenten für unterschiedliche
Einsatzszenarien
IT-System für sichere Verarbeitung und Übertragung eingestufter
Informationen über offene Netze
SINA Kurzbeschreibung
2004-11-19Dr. Thomas Östreich 10/45
➨Netzwerk Sicherheit➜ IPSec/IKE VPN (sicherheitsoptimiert)➜ Netzwerk Audit und Response➜ Sicherheits-Management (PKI, ACL/Config Man.)
➨Plattform Sicherheit➜ SINA-Linux (gehärtet)➜ Virtual Machine (VM) Technologie➜ Krypto-Dateisystem
➨Sicherheitskomponenten➜ Smart Card Technologie➜ PEPP1 Kryptokarte mit “PLUTO”-Chip➜ Generisches Kryptointerface (für SW/HW-Kryptographie)
Sicherheitsmerkmale
2004-11-19Dr. Thomas Östreich 11/45
➙ 1999: Entwicklung eines Prototypen und Projektstart durch das BSI
➙ Q1/2000: Beginn SINA (Secunet AG) und Kryptokarte “PEPP1” (Rohde und Schwarz – SIT) Entwicklung
➙ Q4/2000: SINA-Box-S (Zulassung für “VS-VERTRAULICH”)
➙ Q4/2001: SINA-Thin-Client-S (Zulassung für “VS-VERTRAULICH”)
➙ Q1/2002: Beginn SINA-Virtual-Workstation Entwicklung
➙ Q3/2002: SINA-Box-P mit Kryptocard PEPP1 und Kryptochip “PLUTO” verfügbar (vorläufige Zulassung für GEHEIM)
➙ Q1/2003: SINA-Box-P mit Kryptokarte PEPP1 and Kryptochip “PLUTO” erhält die endgültige Zulassung für GEHEIM
➙ Q2/2003: Beginn “Encapsulated Encrypted Server” Entwicklung
➙ Q4/2003: SINA-Box-H (Zulassung für STRENG GEHEIM)
SINA Projekt Meilensteine
2004-11-19Dr. Thomas Östreich 13/45
➜ SINA Linux: Gehärtete und minimalisierte Linux System Plattform
➜ SINA Box: Klassisches IPSec VPN-Gatewayzugelassen durch das BSI für die Verarbeitung eingestufter Daten bis
einschliesslich “STRENG GEHEIM“ (10/2003)
➜ SINA Thin-Client: Terminal-Server basierte Online Informationsverarbeitung für das Thin-Client/Server Szenario
zugelassen durch das BSI für die Verarbeitung eingestufter Daten bis einschliesslich “STRENG GEHEIM“ (10/2003)
➜ SINA Virtual Workstation: Gekapselte Informationsverarbeitung verfügbar: Q1/2005
➜ SINA Management: PKI - basiertes Konfigurations- und Sicherheitsmanagement
➜ Spezialanfertigungen: Datendiode, Encapsulated Encrypted Server (EES) (Q2/2004), SINA-Cluster, ...
Verfügbare Komponenten
2004-11-19Dr. Thomas Östreich 14/45
SIN
A L
inu
x Co
re Krypto Module
CPI
Management Agent
IPSEC / IKE
LAN/WAN
1..4gesichertes
Netzwerk
1..4offenes
NetzwerkMinimalisierte und gehärtete (SINA-) Linux Plattform wird von CDROM oder FLASH geladen
Optische LAN/WAN Schnittstelle
PEPP1 Kryptokarte mit “PLUTO”-ChipSoftware Module (AES, 3DES, Chiassmus, ...)
generisches Crypto Provider Interface (CPI)
Sichere Schnittstelle zum Management
Smartcard/USB token ( EC-DSA or RSA basiert)
Tamperschutz und Schutz gegen kompromittierende Abstrahlung (Tempest)
SC
IDR-AgentIntrusion Detection System
SINA-Box
2004-11-19Dr. Thomas Östreich 15/45
Supported terminal server sessions:
RDP : Microsoft Remote Desktop Protocol Version 4, Soon 5.x for XP
ICA : MetaFrame CITRIXIndependent Computing Architecture
X11/XDMCP: any UNIX
Thin-client/server architecture SINA Linux Core
X11-Session
Ses
sio
n 2
RDP / ICA Session
Ses
sio
n 1
LAN/WAN
Crypto Provider Interface
Crypto Modules SC(s)
Thin-Client
„Logical“ SINA Box
2004-11-19Dr. Thomas Östreich 16/45
SINA Linux Core
Virtual Machine
Virtual WS
Vertrauliche Daten liegen in einem Kryptographischen Dateisystem
File system (hard disk)
cryptofile systemcrypto
file system
Virtual Machine n
Ses
sio
n n
Virtual Machine 1
Ses
sio
n 1
LAN/WAN
Crypto Provider Interface
Crypto Modules SC(s)
SINA Virtual Workstation
„Logical“ SINA Box
Server Betriebssysteme werden vollständig durch das SINA System gekapselt
2004-11-19Dr. Thomas Östreich 17/45
Encap. -Server
SINA Linux Core
File system (hard disk)
cryptofile system
ApplicationServer
Virtual Machine
Gu
est
OS
Samba File Server
(Auditable)
Virtual Machine
Gu
est
OS
IPSec
SINA Virtual WS
Server Betriebssysteme werden vollständig durch das SINA System gekapselt
LAN/WAN
Crypto Provider Interface
Crypto Modules SC(s)
Encapsulated Encrypted Server
„Logical“ SINA BoxL-Box
L-Box
L-Box
2004-11-19Dr. Thomas Östreich 18/45
SINA Management
LAN/WAN
CA RACertificate application
Smart Cards
LDAPDirectory
PostgreSQLDB
SINA Box S
SINABox S/P
SINAClient
Syslog/Revision
SINA Domain
Management
Components
DomainACL/Config.
Manager
Smart C
ar ds
Certificate-Updates
IPSEC
2004-11-19Dr. Thomas Östreich 20/45
Klassische Netzwerk Topologie ohne SINA
VS-Server
“Black” LAN/WAN/
Backbone...
VS-Workstations
Server
Workstations
Router
Server
Workstations
Router
VS-Server
VS-Server
VS
VS
VS
Offen
Offen
2004-11-19Dr. Thomas Östreich 21/45
IPSec Tunnel: ESP-Tunnel Modus
Box
VS-Server
-Box
“Black” LAN/WAN/
Backbone...
Workstations
VSVS
-BoxDataData Data Data
IPSec Tunnel
ESP: Encapsulating Security Payload
Workstations
VS-Server
TCP/IP Pak etunversc hlüssel t
ohne ESP
Transport ProtocolTransport Protocol DataData
TransportTransportProtocolProtocolHeaderHeader
OriginalOriginal
IP HeaderIP HeaderNew
IP Header
New
EncryptedESP-
HeaderESP
Trai ler
ESPAut hent ic at ion
Dat a
Authenticated
MAC
2004-11-19Dr. Thomas Östreich 22/45
ESP Schutzmechanismen
TCP/IP Pak etunversc hlüsse l t
ohne ESP
Transport ProtocolTransport Protocol DataData
TransportTransportProtocolProtocolHeaderHeader
OriginalOriginal
IP HeaderIP Header
ESP-Header
ESPTrai le r
ESPAut hent ic at ion
Dat a
Authenticated
New
IP Header
NewEncrypted
• Vertraulichkeit des Datenfluß (Verschlüsselung und Kapselung des vollständigen IP Pakets)
• Verbindungslose Sicherheit (Integritätsprüfung via MAC einzelner IP Datagramme)
• Authentizität des Datenursprungs (Verifizierung and Authentifizierung des Datensenders)
• Wiedereinspiel-Schutz (ESP-Protokollkopf enthält 32 Bit Sequence Number)
2004-11-19Dr. Thomas Östreich 23/45
Klassisches VPN Szenario mit SINA-Boxen
Box
Box
Server
-Box
Geschützter „roter“ Bereich
“Black” LAN/WAN/
Backbone...
IPSEC Tunnel
IPSEC Tunnel IP
SEC
Tun
nel
Workstations
2004-11-19Dr. Thomas Östreich 24/45
Thin-Client
Box
Box
“Black” LAN/WAN/Backbone
IPSEC Tunnel IP
SEC
Tun
nel
-Box
Workstations
Server
IPSEC Tunnel
Terminalserver-/X-Session
Thin-Client Integration
IPSEC Tunnel
2004-11-19Dr. Thomas Östreich 25/45
Client/Server Computing (Prinzip)
LAN/WAN
TerminalServer A
Protected area
“L-Box”
SINA LINUXSmartCard
CDROM(Flash)
X-Server n
ICA/ RDP
X-Server 1
ICA/ RDP
Generic Crypto Interface (GCI)
Crypto Modul
LAN/WAN(black)
TerminalServer B
SINA-
Box
IP-Encryption
Protected Area
Terminal Server Session 2
Terminal Server Session 1
IPSEC-tunnel
SINA Thin-Client
2004-11-19Dr. Thomas Östreich 26/45
Kryptographisches Dateisystem (CFS)
Session 2 (classified)
Operating-System
Operating-System Data
Internet
Fileserver Applicationserver
VS-LAN
Security-Area
CFS-Container 1CFS-Container 2 CFS-Container 3
Session 1 (unclassified)
Key 1 Key 2
CFS-Container 4
Data
… Session n
...
Key 1 Key 2
2004-11-19Dr. Thomas Östreich 27/45
„Kapselung“Thin-Client oder Virtual Workstation
“Gekapselte” Informationsverarbeitung
OffenerBereich
Server
Box
Geschützter „roter“ Bereich
Box
-Box
“Black” LAN/WAN/Backbone
IPSE
C T
unne
l
WorkstationsIPSEC Tunnel 2
Server Session class.Serv
er Sess
ion unclass
IPSEC Tunnel 1
2004-11-19Dr. Thomas Östreich 28/45
“SINA-Invers” Einsatzszenario
SINA Thin Client
LAN/WAN
“L-Box”
SINA LINUXSmartCard
X-Server 1
ICA/ RDP
X-Server 2
ICA/ RDP
Generic Crypto Interface (GCI)
Crypto Modul
LAN/WAN(black)
Protected area
TerminalServer
Protected area
Terminal Server Session 1
Protected area
TerminalServer
Terminal Server Session 2
2004-11-19Dr. Thomas Östreich 29/45
LAN/WAN
Logical SINA-Box
SmartCard
SINA Virtual Workstation
Kapselung im Virtual Workstation Einsatz
HD+CFS
CD-ROM
Virtual Machine 1
Ses
sio
n 1
LogicalSINA-Box
Secret Domain
IPSEC 1
EncapsulatedServer
ServerApplications
ServerApplic
ServerApplic.
Virtual Machine 1
X11, SMTP, HTTP, FTP etc. Session
Virtual Machine 2
Ses
sio
n 2
SINA-Box
ServerApplic.
ServerApplic.
ServerApplic.
SMTP, FTP, HTTP, X11, ICA, RDPIPSEC 2
Internet
HD+CFS
2004-11-19Dr. Thomas Östreich 30/45
VPN Doppel-Tunnel Aufbau
Box
-Box
“Black” LAN/WAN/
Backbone...
IPSEC Tunnel
Workstations
VS
VS-Server
VS-ServerVS
IPSEC Tunnel
VS
WorkstationsWorkstations
Workstations
Workstations
(SINA-VW)
(APC)
(APC)
(APC) (APC)
2004-11-19Dr. Thomas Östreich 31/45
BSI Vorgaben für eine Zulassung
Geheim-haltungs-
stufe
(VS-) NATO
NfDVERTRAU-
LICHGEHEIM STRENG GEHEIM RESTRICTED CONFIDENTIAL SECRET
Netzintegration LAN WAN LAN WAN LAN WAN LAN WAN LAN WAN LAN WAN LAN WAN
TEMPEST unverzont Zone 1 Zone0 unverzont Zone 1 Zone 0Antitamper nein ja nein jagalvanische Trennung nein ja nein jasymmetr. Krypto ≥AES ≥XIA ≥XIA Libelle ≥AES Libelle
2004-11-19Dr. Thomas Östreich 33/45
A
Organisation 1
Organisation 2
G U
IVBB
A
ZentralesSINA Management
(BSI)Konfiguration / ACL
RA / CA
Vorpersonalisierung
Pin-Briefe
GU
CA
SINA-Management(lokal)
SINAClients
SINAClients
SINABOX(Frontend)
LDAP
Syslog
NTP
CMP
LDAP
DB
SINABoxen
Management Szenarien
2004-11-19Dr. Thomas Östreich 34/45
Remote Access (Analog/ISDN)
IVBB
SINABox 2
BSILAN
SINABox 1
•Win NT/2000•Term Serv.
BSI
S0
Protected Area
ExchangeFileIntranetM1...Server
ISDNRouter
S0
S0
S0
IVBBAnalog/ISDN
Modem(Router)
VS-V
S0
Unclass.
Class.
•Win NT/2000•Term Serv.
BSIPABX
Analog/ISDNWAN
S2M
Internet
WLANAccessPoint
WLAN10MB
SC
“Mobile”-Unit
2004-11-19Dr. Thomas Östreich 35/45
Remote Access über ISP
SINABox 2
BSILAN
SINABox 1
•Win NT/2000•Term Serv.
BSI
Security Area
ExchangeFileIntranetM1...Server
SDSLRouter
IVBBAnalog/ISDN
Modem
“Home”-Office
SC
NfDVS-VNFD
VSV
•Win NT/2000•Term Serv.SINA Virtual
Workstation
Analog/ISDN/MobileWAN
Internet
AnalogModem
2004-11-19Dr. Thomas Östreich 36/45
“Mobilität” der SINA-Virtual-Workstation
BSI - LAN
GSM / GPRS / UMTS
INTERNET
File-Server
-Box
-VW
IPSEC Tunnel
mobilephone
Mail-Server
2004-11-19Dr. Thomas Östreich 37/45
Sperrung der SINA Konsole
Normaler Arbeitszustand des SINA-Clients mit angemeldetem Benutzer
Chipkarte wird gezogen
Abgemeldeter Arbeitszustand
Anmeldungmit Smartcard
an SINAClient
Alle Tunnel und Verbindungen
werden abgebaut
Alle SA Daten werden sichergelöscht
Automatisches Logout undAbbau aller Sessions auf
Applikationsserver
Kurzabmeldunganklicken
Rekeying
Ablauf der Lifetime
Bildschirmsperrung
Inaktivitäts Timeoutabgelaufen
Erneute PINEingabe mitChipkarte
2004-11-19Dr. Thomas Östreich 39/45
SINA-Box Performanz Daten
Stark abhängig von:
ausgewähltem (symmetrischen) Kryptoalgorithmus
Länge der Datenpakete (Applikation)
Anzahl der (IPSec-)Security Associations (SA) mit weiteren verbundenen SINA-Boxen und SINA-Thin-Clients
Beispiel Datendurchsatz:80 MBit/s (Hardware Version PEPP1-Board inkl. PLUTO-Chip)50 MBit/s (Pentium III mit 866 MHz) mit SW-AES (192 Bit)150 MBit/s (Dual Xeon System) mit SW-AES (192 Bit)
Skaliert mit CPU Leistung und PC-Hardware
Beliebige Skalierung mit Einrichtung von „Load Balancing“
2004-11-19Dr. Thomas Östreich 40/45
LfV Hamburg, Bayern, Mecklenburg-Vorpommern (Clients und Boxen, seit I/2002)
BGS, zunächst nur WAN (seit I/2002),
im LAN-Bereich später geplant
Auswärtiges Amt
(SINA-Boxen mit Spezialroutern, SINA-VW-Tests)
Bundeskanzleramt
(Dual-Boot Clients, Boxen, VS-FileServer seit 09/2002)
IVBB: Load Balancing Cluster an Kopfstellen
(Berlin, Bonn, im Pilotbetrieb)
Generalsekretariat EU (Testbetrieb, seit 09/2002)
Einsatzbeispiele
2004-11-19Dr. Thomas Östreich 41/45
Ausblick
Erweiterte Managementfunktionen
USB - Firewall
QoS - Priorisierung von Datenströmen auf der SINA-Box
DHCP - Unterstützung
Secure Workflow Komponente
SINA Mikrokern Sicherheitsplattform
IPv6
Healthmonitor
Backup Routing
2004-11-19Dr. Thomas Östreich 42/45
Mikrokern Plattform
VMM
Legacy OSL4-Linux
Crypto TSP Sigma GUI
L4-XP
Hardware
µ-SINA
L4-FIASCO
Device Driver EnvDevice Driver Env
o
2004-11-19Dr. Thomas Östreich 43/45
Zusammenfassung
Bewahrung des „Look and Feel“ der gewohnten Desktop Umgebung
Flexible und schnelle Verarbeitung vertraulicher Informationen
Zugriff auf sensitive Daten ohne die Notwendigkeit einer lokalen Kopie minimiert Daten- und Hardwarediebstahl
Sichere Übertragung eingestufter Informationen über unsichere offene Netze
gewährleistet die Vertraulichkeit und Integrität sensitiver Daten
VPN-Technologie erfordert keine zusätzliche physikalische Netzwerkabsicherung
Beschaffung dedizierter Kryptogeräte entfällt
Unterstützung kurzer IT-Innovationszyklen
Niedrige „Total Cost of Ownership“ (TCO)
2004-11-19Dr. Thomas Östreich 44/45
SINA-Client
SINA Hardware Komponenten (z.B. Siemens TEMPEST)
-Box 19“
-Minibox
-Thin Client