Meine Abschlussarbeit zur IHK PrüfungEinrichten eines VPN für BerliKomm- Mitarbeiter mit einem ACE- Server zur Authentication und einem RADIUS- Server zur Authorisation |
|
Einleitung
Viele Firmen wollen heute, daß ihre Mitarbeiter auch von Standorten, die außerhalb des Firmen- Netzwerkes liegen, auf bestimmte, auch sensible Daten des internen Netzwerkes zugreifen können und dies bei größtmöglicher Sicherheit. Dadurch gewinnt das VPN (Virtual Private Network) als End-to-End-Lösung oder als End-to-Site-Lösung immer mehr an Bedeutung. Ein VPN verhindert, daß Nachrichten oder andere Daten während der Übertragung ausspioniert werden. Durch Sicherheitsmaßnahmen bleibt die Sprach- und Datenkommunikation zwischen den Nutzern oder zwischen Vermittlungsknoten in externen Netzen vertraulich. Asymmetrische kryptographische Mechanismen wie die digitale Signatur stellen die Zuverlässigkeit und die Authentizität der Botschaften sicher. Die digitale Signatur schützt Nachrichten und Daten vor Verfälschung. Die Authentizität des Absenders kann durch Schlüsselgenerierung und -verteilung oder durch sogenannte „Einmal Paßwörter“ gewährleistet werden. |
|
 |
|
|
Projekteschreibung |
|
| Als Telekommunikationsanbieter und ISP ( Internet Service Provider) wird die Firma BERLIKOMM GmbH ihr Geschäftsfeld erweitern und VPN- Lösungen für ihre Kunden anbieten. Was macht sich da besser, als dieses Projekt im eigenen Haus zu Erproben und für die BERLIKOMM Mitarbeiter zu nutzen. Ziel ist es, wenn ein BERLIKOMM Mitarbeiter bei seinem mit dem Internet verbundenen Laptop oder PC auf das Icon Netzwerkumgebung klickt, er die selben Rechner und Verzeichnisse erreichen kann, wie von seinem Arbeitsplatz innerhalb des Firmen- Netzwerkes. Man spricht hier von einem End-to-Site-VPN. Dafür mußte ein spezielles Sicherheitskonzept erarbeitet werden, das höchste Sicherheitsanforderungen gegenüber sensiblen Daten ( Kunden- und Firmendaten) bei gleichzeitiger freier Nutzung der zur Verfügung stehenden Ressourcen garantiert. Neben dem Einsatz von Firewalls, VPN- Clients und digitalen Zertifikaten ist hier die Benutzeridentität und deren Glaubwürdigkeit von zentraler Bedeutung. An dieser Stelle ist der Ansatz der Authentisierung mittels statischer Kennwörter unzureichend. Ein zusätzlicher physikalischer Beweis der Benutzeridentität ist notwendig. Hier kommt dann der ACE SERVER zum Einsatz. | |
|
Auswahl der Hard- und Software |
|
| Die Auswahl der Software fiel in diesen Fall nicht besonders schwer, da in diesem Bereich nicht sehr viele Anbieter in Frage kommen. Wir entschieden uns für das ACE- Server Softwarepaket der Firma RSA Security nicht nur, weil sie der international führende Anbieter auf diesem Gebiet ist, sondern auch, weil sie die längste Erfahrung auf diesen Gebiet haben und viele große Unternehmen zu ihren Kunden zählen. Im Paket enthalten sind außer der ACE- Server Software, der Client-Server Software und Client Software für verschiedene Systeme, auch die dazugehörigen SecurID Tokens. Außerdem ist in der ACE- Server Software auch ein Radius Server ( siehe Punkt 6) implementiert und er hat Tacas+ ( TAC Access Control Server von Cisco) Unterstützung. Diese beiden Serverarten werden für die Authorisierung bestimmter Dienste eingesetzt. Der ACE/SERVER der Firma RSA Security arbeitet auf der Basis von sogenannten Tokens. Dabei wird jede Minute mit Hilfe der SecurID Tokens, die es als Hard- und als Software Lösung gibt, ein neues sechsstelliges numerisches Paßwort erzeugt. Die Hardware Lösung gibt es als Cards und Fobs. Bei der Software Lösung wird ein Programm auf dem Client installiert, das die Schlüsselgenerierung übernimmt. Auf Serverseite wird softwaretechnisch der jeweiligen Token aufgrund seiner ID erkannt und dann berechnet. Und es besteht ein guter telefonischer Support. Als VPN- Client kommt die Software der Firma Cisco Systems zum Einsatz, da für den Schutz des Intranets der Firma BERLIKOMM GmbH schon eine PIX Firewall der Firma Cisco Systems in Einsatz ist. Als Hardware kam eine SUN Ultra zum Einsatz. Die SUN Ultra ist eigentlich als Workstation gebaut, hat aber durch ihre 64 Bit Architektur einen Leistungsvorteil gegenüber jedem herkömmlichen System. Die weitere Hardwareausstattung der SUN Ultra wird im Punkt 2.2 besprochen. Als Betriebsystem für die SUN Ultra wurde das SunOS 5.8 ( Solaris 8) gewählt. Vorteile des Betriebsystems sind im Punkt 2.1. beschrieben. Andere benötigte Hardware- Lösungen und die dazugehörige Software waren schon im Haus vorhanden und in Betrieb. Sie mußten nur noch in das Projekt integriert werden. | |