Logo Leibniz Universität Hannover
Logo: Computational Health Informatics
Logo Leibniz Universität Hannover
Logo: Computational Health Informatics
  • Zielgruppen
  • Suche
 

TCPAuthN: Eine Methode zum dynamischen Firewallbetrieb

Die wesentliche Idee des Grid-Computing ist der transparente Zugriff von Nutzer auf verteilte Ressourcen. Dieser transparente Zugriff hat große Vorteile für die Nutzer, stellt die Administratoren hinsichtlich des sicheren Betriebes (Security) der Ressourcen vor große Herausforderungen.

Um Grid-Computing zu ermöglichen ist eine ungehinderte Kommunikation zwischen verschiedenen Komponenten des Grids notwendig. Doch nicht nur die Grid-Komponenten eines Grids, auch Clients mit wechselnden, temporären IP-Adressen benötigen Zugriff auf die Grid-Ressourcen. Aus diesen Gründen ist es empfohlen für den Betrieb eines Grids mehr als 5000 TCP-Ports für eingehende Verbindungen auf der schützenden Firewall zu öffnen, und dies für einen unbegrenzte Anzahl von IP-Adressen. Diese Empfehlungen betrefen nicht nur die Firewalls, welche die Server schützen, sondern auch die Firewalls, die die Clients schützen.

Firewalls wurden entworfen, um den Datenverkehr zwischen einem geschützten Netzwerk und einem unsicheren Netzwrek wie dem Internet zu kontrollieren. Moderne Firewalls sind in der Lage den Inhalt von unverschlüsseltem Datenverbindungen zu überprüfen und verdächtige Inhalte zu entfernen und dynamisch Ports der Transportschicht zu öffnen (z.B. für den FTP Datenkanal) um die Kommunikation zwischen Client und Server zu ermöglichen. Herkömmliche, nicht-Grid Dienste nutzen standardisierte Ports und die Kommunikation wird vom Client initiert, gegebenenfalls sind Firewalls in der Lage Kommunikationsprotokolle zu interpretierern um dynamisch auf Anforderungen der Kommunikation zu reagieren. In Grid-Umgebungen sind Dienste nicht notwendigerweise an standardisierte Ports gebunden, die Kommunikationsrichtung ist nicht immer vom Client zum Server und es ist möglich, dass ein Client Verbindungen zwischen zwei Server initiert. Wesentlich ist zudem, dass jede Kommunikation im Grid-Kontext verschlüsselt ist, so dass die Interpretation der Kommunikationsprotokolle durch Firewalls unmöglich ist. Aus diesen Gründen bieten herkömmliche Firewalls keinen befriedigenden Schutz in Grid-Umgebungen. Die Notwendigkeit der Kommunikation in Grid-Umgebungen und die Nutzung von Verschlüsseltung andererseits führen zu der Empfehlung weite Portbereiche auf den schützenden Firewalls zu öffnen. Diese notwendigerweise offenen Portbereiche auf Firewalls sind allgemein als Unsicherheit anerkannt. Angreifer von außen und bösartige Nutzer aus dem geschützten Netz können diese Sicherheitslücken für ihre eigenen Zwecke ausnutzen.

Um die Sicherheit von Grid-Ressourcen zu erhöhen und die beschriebenen Firewallschwächen zu beheben wurde am RRZN die neue Methode TCP-AuthN entwicklt. TCP-AuthN ermöglicht den dynamischen Betrieb von Firewalls auf Basis verifizerter Nutzeridentität.

TCP-AuthN nutzt die initialen drei TCP Segmente, welche beim Verbindungsaufbau zwischen Client und Server ausgetauscht werden um Protokollparameter zu synchronisieren, um Authentifizierungsinformationen des Nutzers zu übertragen. Diese Authentifizierungsinformationen erlauben es Firewalls jeden Verbindungsaufbau individuell zu autorisieren.

TCPAuthN Implementierung
Abbildung 1: TCPAuthN Implementierung

In der Umsetzung aktueller Konzepte für verteiltes Rechnen, wie Grids oder Clouds, finden Authentifizierungs- und Autorisierungsentscheidungen in der jeweiligen Middleware, oder direkt auf den Compute- oder Storage-Ressourcen selbst statt. Wie auch immer, in beiden Fällen wird die Entscheidung erst im lokalen Netzwerk getroffen und nicht schon bevor die Verbindung etabliert ist. Der Grund für die Verlagerung der Autorisierung in das zu schützende Netz liegt an Schwächen aktueller Firewalls. So wird der Verbindungsaufbaus anhand eines Tupels aus IP-Adressen, Port- und Protokollnummern und ggf. Protokoll-Flags reguliert. TCP-AuthN bietet eine Lösung die Authorisierungsentscheidung zurück auf die Firewalls zu verschieben.

Beim Einsatz von TCP-AuthN ist es durch die Nutzung von nutzerbasierten Authentifizierungsinformationen zur Autorisierung jeder einzelnen Verbindung möglich Firewalls als Policy Enforcement Point (siehe beispielsweise XACML Standard) in eine Site-weit Autorisierungsarchitektur einzubinden, so dass unerwünschte Verbindungsgesuche direkt an der Grenze von innerem und äußerem Netz abgelehnt werden können.

Autorisierungsarchitektur
Abbildung 2: Integration der Firewall als PEP in eine Autorisierungsarchitektur

Relevante Publikationen

J. Wiebelitz, M. Brenner, C. Kunz, M. Smith (2010): Early Defense - Enabling Attribute-Based Authorization in Grid Firewalls, Proc. of the 19th ACM International Symposiumon High Performance Distributed Computing (ACM HPDC 2010)

Abstrakt:

In today’s distributed computing environments, like Grids and Clouds, authentication and authorization decisions take place in the middleware or on the compute and storage resources themselves. Thus, in both cases the decision is felled within the local network of the hosting organization. This is due to several drawbacks in common firewalls. For one, most firewalls only utilize the tupel of IP addresses, port numbers and protocol parameters to decide which connection are legitimate and which are not. This offers minimal configurability, which in complex environments like the Grid or the Cloud is not sufficient for optimal fine grained decisions. Also, the inability of application level firewalls to deal with dynamically opened server ports for encrypted connections like they are in use by GridFTP require very lax firewall rules to be set, if the Grid or Cloud is to operate unhindered. In this paper a solution is presented that moves the authorization enforcement forward into the firewall. The presented system enables an authorization of each connection, based on the user’s individual Grid or Cloud attributes. Extending our TCP-AuthN mechanism enables the firewall to operate as a Policy Enforcement Point (PEP) according to the authorization architecture presented in the XACML standard and enables Site administrators to turn back unwanted traffic at the border instead of on the resources themselves.

J. Wiebelitz, S. Piger, C. Kunz, C. Grimm (2009): Transparent Identity-based Firewall Transition for eScience, Proc. of the 5th IEEE International Conference on E-Science Workshops (eScience 2009)

Abstrakt:

As new concepts for eSciene like Grid computing and Cloud computing tend to leave the research phase and develop towards production quality, the security eventually moves into focus. Up to now research in the security area concentrates  on authentication and authorization on the resources themselves, but to enhance network security more generally, access control must be pushed back to the entry point of the resource providers' network.
In this paper TCP-AuthN is presented, an approach for dynamic firewall operation, which uses the TCP three-way handshake to transport users' authentication information for dynamic firewall operation. The authentication information enables firewalls to authorize each connection establishment individually, based on the user's proven identity. To prevent man-in-the-middle attacks and replay attacks, a challenge-response procedure must be accomplished before the connection is finally allowed. To distinguish the authentication information from application level data, a new TCP option tcpauthn was designed.
The presented approach is intended to withdraw the initial authorization decision from the esources and therefore from the internal network and move this decision to firewalls, which are employed to protect networks and services.
 

J. Wiebelitz, C. Kunz, S. Piger, C. Grimm (2009): TCP-AuthN: TCP Inline Authentication to Enhance Network Security in Grid Environments, Proc. of the 8th International Symposium on Parallel and Distributed Computing (ISPDC '09)

Abstrakt:

To secure communication in Grids many efforts have been made regarding authentication and authorization. Due to some applications requirements it is up to now recommended to open wide port ranges on firewalls. A configuration that is commonly accepted as insecure.
We present an approach to enhance the security of firewalled Grid components by a new method to dynamically authorize TCP connections on firewalls. The authorization decision relies on the authenticated identity of users or conveyed attribute assertions. Authentication information is transferred within the TCP three-way-handshake. To distinguish the authentication information from application data a new TCP option \emph{tcpauthn} is introduced.
The new method TCP-AuthN leads to a new paradigm in firewall operation as the firewall comes to the final decision to allow or reject/deny a connection after the third segment of the TCP three-way-handshake is verified. The firewall denies/rejects each connection on an individual basis depending on the users proven identity.

J. Wiebelitz, C. Kunz, S. Piger, C. Grimm (2009): TCP-AuthN: An Approach to Dynamic Firewall Operation in Grid Environments, Proc. of the 5th International Conference on Networking and Services (ICNS 2009) Proceedings of the 2009 Fifth International Conference on Networking and Services


Abstrakt:

Grid computing provides users with transparent access to substantial compute and storage resources. Up to now the main focus lay in the development of Grid infrastructures and the development of services providing access to Grid resources. This leads to a negligence of security aspects, which, for example, leads to the recommendation of open wide port ranges on firewalls protecting the Grid resources. In this paper we present an approach for a dynamic firewall operation facilitated by a strong inline authentication for every TCP connection. The presented approach, which is based on X.509 certificates and public-key encryption uses TCP segments exchanged during the TCP three-way handshake between the client and the server to transport user authentication information. Firewalls on the path use this authentication information to authorize the connection. To distinguish the authentication information in the TCP segments from application data a new TCP option tcpauthn is introduced.