Mobile Computing an öffentlichen WLANs
Sicherheitsrisiko Hotspot-Anmeldung
Der drahtlose, breitbandige Internetzugang über Hotspots ist für "Surfer" und Teleworker bequem. Doch worauf muss der mobile Anwender achten, wenn er einen Hotspot für den Zugang zum Firmennetz nutzen möchte? Die in den WLAN-Produkten integrierten Sicherheitstechniken bieten dafür nur unzureichend Schutz.
Für den sicheren Zugang über Hotspots wird eine Security-Lösung benötigt, die den
Telearbeitsplatz in allen Phasen des Verbindungsaufbaus schützt – ohne riskante, fest vorgegebene
Einstellungen und ohne Zutun des Users. VPN, starke Authentifizierung, Datenverschlüsselung und
Personal Firewall müssen dazu ineinander greifen.
Auf öffentliche WLANs kann grundsätzlich jeder Anwender mit entsprechend ausgestattetem Endgerät
zugreifen. Er erhält automatisch eine IP-Adresse, sofern er die SSID (Service Set Identifier) des
WLANs kennt und sich in Reichweite des Access Points befindet. Darüber hinaus muss der Zugriff auf
das WLAN gestattet sein. Datensicherheit oder Schutz der Teilnehmergeräte vor Attacken wird vom
WLAN-Betreiber nicht gewährleistet.
Sicherheit ist für den Hotspot-Betreiber insofern ein Thema, als es gilt, den berechtigten
Netzzugang zu überprüfen, um einen Missbrauch der Serverdienste auszuschließen. Die
Benutzeridentifizierung dient lediglich der Erfassung und Abrechnung der Online-Zeiten. Doch wie
sieht es mit dem Schutz der sensitiven Informationen während der Datenübertragung aus? Und wie
lässt sich der PC optimal gegen Attacken aus dem WLAN und dem Internet abschotten? Das eigentliche
Sicherheitsrisiko am Hotspot besteht darin, dass die Registrierung beim Betreiber außerhalb des
geschützten Bereichs eines VPNs in der Regel mittels Browser erfolgen muss. Während des Zeitraums
der Anmeldung ist das Endgerät häufig ungeschützt. Dies steht häufig im Widerspruch zur
Security-Policy von Unternehmen, die direktes Surfen im Internet untersagt und nur bestimmte
Protokolle zulässt.
Grundsätzlich dienen die bewährten Sicherheitsmechanismen VPN (Virtual Private Network) und
Datenverschlüsselung dem Schutz der Vertraulichkeit. Hierfür ist ein VPN-Software-Client auf dem
Handheld, Laptop, Notebook oder Smartphone zu installieren, der einen End-to-End-Tunnel zum
zentralen VPN-Gateway aufbaut. Zusätzliche Sicherheitsmechanismen wie Zertifikate in einer PKI
(Public Key Infrastructure) oder Einmal-Passwort-Token sorgen für eine starke User-Authentisierung
und ergänzen beziehungweise ersetzen die übliche User-ID und das Passwort. Die entsprechenden
Sicherheitsstandards sind: IPsec-Tunneling und AES-Verschlüsselung für den Daten- und X.509 v3 für
den Zugangsschutz. Gegen Attacken aus dem Internet und dem öffentlichen WLAN bietet allein eine
Personal Firewall die erforderlichen Schutzmechanismen. State-of-the-Art ist hier "Stateful Packet
Inspection". Sollte dieser Standard nicht gegeben sein, ist von Mobile Computing an einem Hotspot
grundsätzlich abzuraten.
VPN Client und externe Personal Firewall
Bei einer VPN-Lösung mit separat installierter Firewall, wie sie von vielen Unternehmen
eingesetzt wird, müssen während der Hotspot-Anmeldung die Ports für http- oder https-Datenverkehr
an der Personal Firewall freigeschaltet werden. Dies kann auf drei verschiedene Arten erfolgen:
Die Firewall-Regeln für http oder https werden vom Administrator fest
voreingestellt, um die Funktionalität an beliebigen Hotspots zu gewährleisten.
Die Konfiguration erlaubt, dass die Ports für http oder https bei Bedarf für
ein bestimmtes Zeitfenster geöffnet werden (zum Beispiel zwei Minuten).
Der User hat Admin-Rechte und ändert die Firewall-Regeln selbstständig.
Das Sicherheitsrisiko besteht in allen drei Fällen darin, dass der Benutzer außerhalb eines
gesicherten VPN-Tunnels im Internet surft und sich Schadsoftware wie Viren, Würmer oder Trojaner
einfangen kann. Bei der temporären Öffnung der Firewall besteht die Gefahr des vorsätzlichen
Missbrauchs aufgrund mehrfachen Auslösens des Zeitfensters durch den Anwender. Wenn die Personal
Firewall grundsätzlich keine Kommunikation außerhalb der Konfiguration zulässt, muss der User am
Hotspot die entsprechenden Firewall-Regeln für die Dauer der Anmeldung aktivieren. Diese
bedarfsabhängige Öffnung der Personal Firewall birgt das große Risiko von Fehlkonfigurationen. Der
Anwender muss genau wissen, welche Änderungen in welcher Umgebung an welcher Stelle vorzunehmen
sind. Das Sicherheitsbewusstsein und technische Know-how des Mitarbeiters bestimmen die Qualität
des Security-Levels.
Es zeigt sich, dass die Anforderungen an die Funktionalität einer Personal Firewall beim Mobile
Computing an WLANs äußerst vielschichtig sind. Sie muss auch die kritischen Phasen während des An-
und Abmeldevorganges am Hotspot absichern, indem sie zum frühestmöglichen Zeitpunkt, also bereits
beim Systemstart aktiv ist und dies auch bleibt, wenn keine VPN-Verbindung besteht oder der VPN
Client deaktiviert wurde. Und es muss verhindert werden, dass der Remote User die Personal Firewall
eigenmächtig umkonfiguriert oder sogar komplett abschaltet.
VPN Client mit integrierter Personal Firewall
Das Dilemma löst eine VPN-Lösung mit einer im Client integrierten Personal Firewall. Diese
Variante hat den Vorteil, dass Personal Firewall und VPN Client funktionell aufeinander abgestimmt
werden können. Gewissermaßen im Teamwork werden in Abhängigkeit von der Netzwerkumgebung die
jeweiligen Firewall-Regelsätze dynamisch aktiviert. Unterschieden werden grundsätzlich drei
Situationen:
Bekannte Netze,
unbekannte Netze und
VPN-Netze.
Die automatische Erkennung des Netzwerks erfolgt durch Auswertung unterschiedlicher
Netzwerkfaktoren. In "Friendly Networks" gelten freizügigere Firewall-Regeln als in öffentlichen
fremden Umgebungen wie eben dem Hotspot. Die Personal Firewall muss über intelligente Mechanismen
verfügen, die sowohl eine sichere Freischaltung des Netzzugangs über den Browser garantieren als
auch eine sichere Anmeldung am Hotspot. NCP etwa hat deshalb eine Lösung entwickelt, bei der der
Benutzer im Empfangsbereich eines öffentlichen WLAN den Menüpunkt "Hotspot-Anmeldung" wählt.
Daraufhin sucht der VPN-Client automatisch den Hotspot und öffnet die Website zur Anmeldung im
Standard-Browser. Nach erfolgreicher Eingabe der Zugangsdaten und Freischaltung durch den Betreiber
kann die VPN-Verbindung zum Beispiel zur Firmenzentrale aufgebaut werden. Sichere Kommunikation ist
dann wie an einem Büroarbeitsplatz möglich.
Damit der PC im WLAN zu keiner Zeit angreifbar ist, sollte bei einer Kombination aus VPN-Client
und Firewall letztere dynamisch die Ports für http oder https für die Anmeldung und später die
Abmeldung am Hotspot freigeben. Während dieser Zeit ist nur Datenverkehr mit dem Hotspot-Server des
Betreibers möglich. Nicht angeforderte Datenpakete werden abgewiesen. So ist garantiert, dass ein
öffentliches WLAN ausschließlich für die VPN-Verbindung zum zentralen Datennetz genutzt wird und
kein direkter Internet-Zugriff erfolgen kann.
Ein weiterer wichtiger Bestandteil bei der Umsetzung der unternehmensweiten
Sicherheitsrichtlinien für Mobile Computing an Hotspots ist ein zentrales Management der
Clientsoftware, mit dem der Administrator auch die Firewall-Regeln der Clients festlegt. Er kann
deren Einhaltung erzwingen, indem er dem Anwender vor Ort keinerlei Möglichkeit einer gewollten
oder ungewollten Veränderung einräumt.
Um eine umfassende Endpoint Security zu gewährleisten, müssen bei jeder Einwahl in das
Firmennetz weitere sicherheitsrelevante Parameter überprüft werden. Dazu gehören der Status des
Virenschutzprogramms, der Patch-Status des installierten Betriebssystems und das Software-Release
des VPN-Clients. Der Zugriff auf das Produktivnetz wird erst nach Ausschluss aller
Sicherheitsrisiken freigegeben.
Lesen Sie mehr zum Thema
