Erweiterte Möglichkeit für den Zugang ins HU-Netz
Die HU bietet für Mitarbeiter und Studierende seit langem die Möglichkeit, sich per VPN mit dem HU-Netz zu verbinden. Das geht von außerhalb der Uni und auch aus dem WLAN-Netz. Für den Zugang über das WLAN-Netz gibt es seit kurzem das neue Funknetz „HU-VPN“, welches offen und nur mit einem VPN-Client benutzbar ist. VPN steht für Virtual Private Network. Dahinter verbirgt sich eine Technologie, die es ermöglicht, von einem externen Internet-Zugang einen verschlüsselten und damit sicheren Zugriff auf ein internes Netz zu bekommen. Zwischen einem Client-Rechner und einem VPN- Konzentrator, dem Eintrittspunkt in das interne Netz, wird ein Tunnel aufgebaut. Der Client authentifiziert sich und wird nach erfolgreicher Authentifizierung logisch zum Bestandteil des Netzes, in dem sich der Tunnelendpunkt befindet. Die Technologie umfasst neben einer Authentifizierung auch moderne Verschlüsselungsverfahren, wie beispielsweise AES. Damit ist es möglich, einen sicheren Zugang über unsichere Netze zu realisieren, im speziellen Fall also ein Zugang zum Netz der HU, von jedem beliebigen Rechner mit Internet-Zugang weltweit. Mitarbeiter oder Studierende, die einen beliebigen Internet- Provider zur Einwahl oder DSL benutzen, können beispielsweise somit auf universitätsinterne Ressourcen zugreifen. Zum Herstellen der Verbindung zum HU-Netz werden lediglich ein Software- Client und ein Account benötigt.
Bis jetzt sorgten zwei VPN- Concentrators 3060 von der Firma Cisco als Tunnelendpunkte für den Netzzugang mittels VPN. Als Clientsoftware wurde vom CMS dafür der VPN-Client von Cisco in verschiedenen Versionen für die Betriebssystemplattformen Windows, Mac OS und Linux bereitgestellt.
Mit der steigenden Verwendung von Notebooks für die tägliche Arbeit und der Abschaffung des alten Funknetzes „Wireless Campus Network HUB“ wird der Netzzugang über die Cisco-Geräte stärker ausgelastet. Dazu kommt noch die wachsende Verbreitung von netzfähigen PDAs und ähnlicher mobiler Kleingeräte, die uns zum Handeln bewogen haben. Für diese gibt es keinen VPN-Client von Cisco. Um diesen Geräten einen Netzzugang zu ermöglichen, haben wir beschlossen, als weitere Möglichkeit ein SSL-VPN-Gateway als Zugang anzubieten.
Inhaltsverzeichnis
Warum SSL-Gateway?
Die Verwendung von SSL löst einige Probleme, die mit IPsec-VPNs verbunden sind. Traditionelle VPNs basieren auf IPSec (Internet Protokoll Security), um einen Tunnel zwischen zwei Endpunkten aufzubauen. Diese können zwei entfernte Netze sein oder ein Netz und ein einzelner Rechner. IPSec arbeitet auf der Netzebene des OSI-Modells und sichert dabei alle Daten, die zwischen diesen zwei Endpunkten, ohne eine Zuordnung zu einer bestimmten Anwendung, übertragen werden. Wenn ein Client-Computer mit einem IPSec-VPN verbunden ist, befindet er sich dann logisch im Netz des Tunnelendpunktes. Der Client-Rechner kann das gesamte Netzwerk sehen und auf den Inhalt direkt zugreifen. Weitere Beschränkungen in den Zugriffsrechten sind mit IPsec nicht realisierbar (siehe Abb. 1).
Abb. 1: Zwei Einsatzfälle für IPsec: zwischen zwei Netzen und zwischen Benutzer und Netz [1]
Dagegen bietet ein SSL-VPN folgende Vorteile:
- SSL bedarf keiner Installation
- SSL muss nicht konfiguriert werden
- SSL ist Bestandteil eines jeden Webbrowsers, keine weitere Software ist nötig
- SSL ist ein Application Layer Protokoll, kein Netzwerk-Protokoll, somit ohne Belang für NAT oder Firewall, kommt also überall durch
- ein SSL-VPN nutzt SSL/ TLS und Proxies für einen autorisierten und sicheren Zugriff auf Webund Client/ Server-Applikationen sowie File Shares
- SSL ermöglicht Ende-zu-Ende-Verschlüsselung, vom Benutzer (Applikation) bis zum Ziel
- SSL-VPN bietet einfache und äußerst komfortable Nutzerund Zugriffsverwaltung
Die Nachteile müssen aber auch erwähnt werden. Um Zugriff auf nicht webbasierte Anwendungen zu bekommen, müssen auf Client- und/oder Serverseite Umsetzer mitlaufen, etwa Java-Plug-ins oder ActiveX-Komponenten, die deren Daten über die Browserverbindung umleiten. Nicht alle Anwendungen lassen sich durch diese Umsetzer benutzen (siehe Abb. 2). Einsatzfall für SSL-VPN: fein einstellbare Zugriffsberechtigung auf eine Ressource im HU-Netz über einen verschlüsselten Tunnel zwischen SSL-Gateway und Client.
Abb. 2: Einsatzfall für SSL-VPN: fein einstellbare Zugriffsberechtigung auf eine Ressource im HU-Netz über einen verschlüsselten Tunnel zwischen SSL-Gateway und Client [2]
Inhaltsverzeichnis
Was kann unser SSL-VPN-Gerät
Wir verwenden 2 Geräte (SA4000) der Firma Juniper als SSL-VPN-Gateway. Des Weiteren haben wir ein kleineres Testgerät (SA2000) für Testkonfigurationen. Da unser Cluster seit dem letzten Herbst schon produktiv im Einsatz ist, werden alle Änderungen vorher auf dem Testgerät ausprobiert.
Beide SA-4000-Geräte sind zu einem Aktiv/Passiv–Cluster zusammengeschaltet. Dabei wird im Cluster eine virtuelle IP-Adresse im CASG-Netz simuliert. Diese virtuelle IP-Adresse ist mit dem DNS-Namen ssl.cms.hu-berlin.de verbunden und zeigt auf das aktive Gerät, während das passive nicht angesprochen wird und nur die Sessions mitverfolgt. Die Benutzer, ob von außen oder von innen, benutzen nur den DNS-Namen und landen dann auf dem aktiven Gerät. Bei einem Ausfall des aktiven Gerätes werden alle Anfragen an das andere Gerät geleitet. Somit ist eine hohe Ausfallsicherheit gegeben. Wir haben zurzeit eine Lizenz für maximal 1000 gleichzeitige Benutzer. Der Cluster steht in Adlershof im Erwin Schrödinger-Zentrum.
Abb. 3: Aktiv/Passiv-Cluster
Das Gerät, die SA-4000, bietet 3 verschiedene Stufen des Zugriffs auf Ressourcen im HU-Netz wie Web, Mail, SSH etc.
1. Stufe:
Basisdienste wie Mail, Telnet, Terminalsitzungen werden über ActiveX-Scripte oder Java-Applets über https-Port 443 getunnelt, erfordern also keine ClientInstallation.
2. Stufe:
Für eigene Anwendungen können ActiveXScripte oder Java-Applets generiert werden, diese werden dann clientseitig über https-Port 443 getunnelt, die Bereitstellung der Anwendung erfolgt unter einer Loopback-Netzwerkadresse des Clients. Zur Umlenkung von Client-Applikationen wird der DNS-Name durch eine temporäre Anpassung der Hosts-Tabelle des ClientSystems auf diese Adresse umgelenkt.
3. Stufe:
Mit Network Connect steht ein vollwertiger IPsec-Client als Java-Applet bereit, Vorteil dieses Clients: er geht leichter zu installieren (gilt nicht für mobile Kleingeräte!!!), läuft auch über UDP-Port 500 und 4500. Bei dieser Stufe werden komplette IP-Pakete eingekapselt, wodurch sich die Verbindung mit dem SSL-VPNGateway aus Benutzersicht genauso verhält, wie dies bei dem Cisco-VPN-Gateway der Fall ist. Der Benutzer kann also lokale Anwendungen auf seinem PC verwenden und durch den IPsec-Tunnel auf entfernte Server zugreifen.
Zurzeit stellt der CMS folgende Dienste bereit:
- einfacher Webzugang: ausreichend zum Websurfen über die eingebettete URL-Zeile (für PDAs etc. gedacht)
- Network Connect: kompletter Netzzugang zum HU-Netz (für alle PCs gedacht)
Im Moment ist wegen des immensen Konfigurationsaufwandes an keine weitergehende, feiner unterteilte Freigabe von Netzwerkressourcen gedacht.
Vergleich Cisco VPN vs. Juniper VPN
Cisco VPN-Lösung (IPsec)
Vorteile:
- stabiler, erprobter Betrieb des VPNConcentrators im Cluster
- Zertifikatsüberprüfung von Clients möglich
Nachteile:
- Clientsoftware unterstützt nur Notebooks mit Windows, Linux und Macs, dabei treten manchmal Probleme auf, viele Probleme mit Windows Vista
- zur Installation der Clientsoftware werden Admin-Rechte auf dem Gerät benötigt
- Bereitstellung von Konfigurationsdateien
- Gerät besitzt nur FastEthernet-Anschlüsse
Juniper VPN-Lösung (SSL-VPN)
Vorteile:
- Nutzer braucht nur Java-fähigen Browser
- breitere, aber nicht alles abdeckende Geräteunterstützung
- keine Konfigurationsdateien notwendig
- stabiler Betrieb der SA4000-Geräte im Cluster
- Gerät besitzt GBit-Anschlüsse
Nachteil:
- zur Installation der Java-Applets für Network Connect werden Admin-Rechte auf dem Gerät benötigt
Unterstützte Plattformen
Ein Ziel des Einsatzes des SSL-VPNGateways ist eine breite Unterstützung von Geräten. Dabei muss aber unterschieden werden in PCs und mobile Kleingeräte, wie PDAs etc.
PC
- alles ab Windows 2000, MacOS 10.x, alle gängigen Linux-Distributionen, Solaris
Browser
- alles ab IE 5.5
- alles ab Firefox 1.5
- alles ab Safari 1.0
Java
- Sun Java ab Standard Edition Runtime Environment 6 Update 3
- Microsoft JVM
Wir empfehlen aber als Browser nur Firefox und IE. Andere Browser können funktionieren, müssen aber nicht.
Mobile Geräte
Aufgrund der Hardwarebeschränkungen mobiler Geräte funktioniert Network Connect bei diesen Geräten nicht. Bei unseren Tests und aus Erfahrungsberichten ist eine generelle Aussage über die Kompatibilität der Geräte nicht möglich. Unsere Testinstallation gilt nur für Windows mobile 5.0 auf einem MDA vario II von T-Mobile. Anscheinend gibt es für jede Hardware-Plattform ein angepasstes Betriebssystem von Windows mobile. Diese Versionen (erkennbar an den Build-Angaben) sind allein schon von der Struktur und der Funktionalität her nicht gleich. Unsere Konfigurationsanleitung ist dementsprechend zwar allgemeingültig, kann aber im Einzelfall etwas abweichen. Auch lässt die Darstellung im Webbrowser bei einigen Systemen zu wünschen übrig. Die Implementation von HTML ist in diesen Fällen im Browser nicht vollständig und hat nichts mit unseren Geräten zu tun.
Einige Plattformen (iPod, iPhone) sind hier nicht aufgeführt, können aber schon damit arbeiten (einfaches Webbrowsen). Hardware Plattform:
- Windows Mobile 5.0 based Pocket PC devices: Pocket IE 4.0
- Windows Mobile 2003 based Pocket PCs: Pocket IE 2003
- Treo 650: Palm OS 5.2.1: Blazer 4.0
- Sony Ericsson P910 : Symbian OS 7.1: Opera 6.31
- Palm OS 5.2.1: Blazer 4.0
Alternativen zur VPN-Technik
Da es trotz der beiden angebotenen VPNLösungen immer noch einige Rechner gibt, die Probleme mit der Clients-Software haben, werden wir die Möglichkeiten von OpenVPN untersuchen. Dabei wird eine zertifikatsbasierte Authentifizierung über das TLS-Protokoll mit X.509 Zertifikate verwendet werden. Es gibt dafür Clients für die gebräuchlichsten Betriebssysteme und auch für PDAs. Das wird im laufenden Jahr geschehen. Nähere Informationen finden Sie wie immer auf der CMS-Webseite.
Inhaltsverzeichnis
Ausblick
Die Möglichkeiten der Nutzung SA4000 sind mit dem jetzigen Stand noch nicht ausgereizt. Es gibt noch eine Reihe von Funktionen, die man im weiteren Ausbau noch aktivieren könnte. Als erstes möchte ich die zertifikatsbasierende Anmeldung des Clients (Benutzers) an der SA4000 erwähnen. Der CMS unterstützt die Verbreitung und Anwendung von Zertifikaten. Jeder Angehöriger der HU-Berlin (Studierender oder Mitarbeiter) mit einem eingerichteten CMS-Account kann ein persönliches Zertifikat auf einer HU-CA Smartcard beantragen. Damit authenti-fizieren sich beide Seiten (SSL-VPN-Gateway und Benutzer) gegenseitig und können sich sicher sein, mit dem wahren Gegenüber verbunden zu sein. Diese Funktion gibt es schon bei der Verwendung des Cisco-Clients.
Des Weiteren gibt es SecureMeeting. Damit kann man sichere, verschlüsselte Online-Konferenzen mit Personen weltweit durchführen. Voraussetzung ist natürlich ein PC mit den vorgenannten Eigenschaften. Auch könnte man die erweiterten Sicherheitsfunktionen (Hostchecker, Cachecleaner) aktivieren, die mithilfe von ActiveX-Scripten oder Java-Applets auf den Clients dann Sicherheitschecks wie Updateaktualität vom System, Viren-scanner etc. durchführen. Dies ist aber schon ein tiefer Eingriff auf fremde Rechner und ist in diesem Umfang von uns nicht gewünscht.
Der aktuelle Stand der WLAN-Arbeiten und Neuerungen sind auf unserer CMS-Webseite zu finden.