Michiel Snoep Remote Access / SSL 14 april 2005 GvIB, De Kuip Rotterdam
Inhoud Wie is Michiel Snoep? Wat is Remote Access? SSL: Secure Sockets Layer SSL VPN Oplossingen Aandachtspunten SSL VPN 18-Apr-05 www.tmns.com 2
Wie is Michiel Snoep? Informatie Beveiliging Consultant bij TMNS in Den Haag CISSP: Certified Information Systems Security Professional, (ISC) 2 CEH: Certified Ethical Hacker, EC- Council Achtergrond in Cryptologie en Coderingstheorie, TU Eindhoven 18-Apr-05 www.tmns.com 3
Wat is Remote Access? 18-Apr-05 www.tmns.com 4
Wat is Remote Access? 18-Apr-05 www.tmns.com 5
Wat is Remote Access? Succesfactoren voor de juiste toepassing: Bepaal wat Remote is Bepaal welke Access nodig is Bepaal de Remote Access afnemers 18-Apr-05 www.tmns.com 6
Wat is Remote Access? Meest populaire vormen van Remote Access: 1: Webbased toegang; komt tot stand middels gebruik te maken van reeds aanwezige browser (vandaar ookwel clientless genoemd) Citrix / Terminal Server Intranet / Web Server Specific Application E-mail File Shares Unix/NFS File Shares Windows 18-Apr-05 www.tmns.com 7
Wat is Remote Access? Meest populaire vormen van Remote Access: 2: VPN (Transparant) toegang; komt tot stand middels aparte VPN client software (remote systeem wordt virtueel toegevoegd aan het lokale netwerk) Network Network Traffic 18-Apr-05 www.tmns.com 8
SSL: Secure Sockets Layer SSL: de standaard voor versleuteld applicatieverkeer! Uitdaging bij Remote Access: veilig communiceren over een onveilig netwerk SSL levert een set aan standaard beveiligingsmechanismes voor willekeurige (TCP gebaseerde) netwerkconnecties 18-Apr-05 www.tmns.com 9
SSL: Secure Sockets Layer Geschiedenis SSL: SSL 1.0 - Intern Netscape ontwerp, begin 1994 SSL 2.0 - Gepubliseerd door Netscape, november 1994 - Volledig achterhaald qua veiligheid SSL 3.0 - Ontworpen door Netscape en Paul Kocher, november 1996 TLS 1.0 (Transport Layer Security) - IETF standaard gebaseerd op SSL 3.0, January 1999 - Werkt NIET met SSL 3.0 18-Apr-05 www.tmns.com 10
SSL: Secure Sockets Layer Eigenschappen SSL: Vertrouwelijk communicatie kanaal Integer communicatie kanaal Ondersteunt Public Key encryptie t.b.v. sleutel distributie Maar 18-Apr-05 www.tmns.com 11
SSL: Secure Sockets Layer Man-in-the-middle! http://www.monkey.org/~dugsong/dsniff/ - arpspoof - dnsspoof - webspy 18-Apr-05 www.tmns.com 12
SSL: Secure Sockets Layer 18-Apr-05 www.tmns.com 13
SSL: Secure Sockets Layer Andere problemen met SSL: Performance (public key cryptografie) - cryptografische acceleratie hardware - load balancing Private Key bewaken CRL Slechte entropie Slechte cryptografie - geen ssl 2.0! - voldoende grote sleutels 18-Apr-05 www.tmns.com 14
SSL: Secure Sockets Layer SSL is NIET geschikt voor: - UDP en IPX - Non-repudiation - bescherming tegen software fouten 18-Apr-05 www.tmns.com 15
SSL VPN Oplossingen Wat is SSL VPN? Reverse proxy? Port forwarding? Transparante koppeling?.. Kortom: Een verzameling van verschillende vormen van remote access gebruik makende van het SSL protocol 18-Apr-05 www.tmns.com 16
SSL VPN Oplossingen Gartner s Magic Quadrant for SSL VPN s 18-Apr-05 www.tmns.com 17
SSL VPN Oplossingen Bron: Synergy Research Group 18-Apr-05 www.tmns.com 18
SSL VPN Oplossingen Welk produkt is het beste? Per omgeving andere belangen: Functionaliteit Prijs Beveiliging Beheer Schaalbaarheid Beschikbaarheid Betrouwbaarheid 18-Apr-05 www.tmns.com 19
SSL VPN Oplossingen Functionaliteit: 18-Apr-05 www.tmns.com 20
SSL VPN Oplossingen Beveiliging: 18-Apr-05 www.tmns.com 21
Aandachtspunten SSL VPN Projectervaring: Afweging soort toegang Beveiligingsmodel Beheermodel 18-Apr-05 www.tmns.com 22
Aandachtspunten SSL VPN Beveiligingsmodel AAA structuur Externe partijen koppelen Identificeren van systeem/informatie eigenaars 18-Apr-05 www.tmns.com 23
Aandachtspunten SSL VPN Beheermodel Centraal / Decentraal WBP Opleiding 18-Apr-05 www.tmns.com 24
Extra Bronnen http://wp.netscape.com/eng/ssl3/draft302.txt http://www.ietf.org/rfc/rfc2246.txt http://www.monkey.org/~dugsong/dsniff/ http://www.sslvpn.breakawaymg.com 18-Apr-05 www.tmns.com 25
Vragen? 18-Apr-05 www.tmns.com 26