Mehrstufige Sicherheit für den mobilen Zugriff
Infrastruktur für die Sicherheit
Mobiles Arbeiten - sei es für einzelne Mitarbeiter oder ganze Außenteams - gehört inzwischen zum Unternehmensalltag. Doch beim Schutz des Unternehmensnetzes für den mobilen Zugang bestehen oft Defizite. Managed VPNs sind zwar etabliert, doch ohne die richtigen Security-Services birgt der mobile Zugriff nach wie vor Risiken. Ein mehrstufiges Sicherheitskonzept gehört gerade auf Provider-Seite zu den Parametern, die Sicherheitsverantwortliche im Auge behalten sollten.Mobile Netze und Vernetzungen sind schon seit einigen Jahren Alltag in der Geschäftswelt. Die Grenzen der Kommunikation verschwimmen zunehmend: Neben dem bloßen Telefonieren über Mobilfunknetze ist auch der drahtlose Zugriff auf unternehmensweite Netzwerke im Business-Umfeld an der Tagesordnung. Dank der aktuellen Technik sind Managed-Services-Provider heute in der Lage, nicht nur einzelne Mitarbeiter, sondern ganze mobile Teams per VPN in ein Unternehmensnetz zu integrieren. So lassen sich etwa mehrere Arbeitsplatzrechner, Notebooks oder auch Drucker als Arbeitsgruppe über einen UMTS-Router in das VPN einbinden. Dadurch genießen die mobilen Ressourcen im Prinzip den gleichen Schutz und dieselben Sicherheitseigenschaften wie alle leitungsgebundenen Teilnehmer. Beispielsweise surfen auch mobile Mitarbeiter geschützt durch gesicherte Firewalls sowie Viren- und Spam-Schutzsysteme als zentralem Managed-Service.
Erfahrungen zeigen: Die eigentlichen Sicherheitsprobleme liegen an anderer Stelle und sind physischer Natur. UMTS ist zwar verschlüsselt und bietet von sich aus eine ausgereifte Sicherheitsarchitektur. Doch gerade wenn UMTS-Router in Fahrzeugen wie Krankenwagen, mobilen Service-Einheiten oder anderen Behördenfahrzeugen zum Einsatz kommen, erhöht sich die Diebstahlgefahr und damit das Sicherheitsrisiko erheblich - sofern keine zusätzlichen Vorkehrungen getroffen sind.
Eine mögliche Lösung für dieses Problem stellen so genannte "Security Tokens" dar. Diese lassen sich direkt per USB an den Router anschließen und haben ein Sicherheitszertifikat gespeichert. Das Gerät fährt nur hoch, wenn beim Starten das Token vorhanden ist. Nach einem Diebstahl kann der Router allein nicht mehr verwendet werden.
Security Tokens als Schlüssel
Diese Art der Absicherung ist in zwei Varianten realisierbar. Bei der ersten Methode reagiert der Router auf das Einstecken und Abziehen des Tokens. Der Router hat seine komplette Konfiguration in diesem Fall bereits geladen. Lediglich der Verbindungsaufbau ins VPN kann erst mit dem Token erfolgen, denn auf ihm sind die VPN-Parameter gespeichert. Einmal erfolgreich verbunden, baut sich das VPN erst wieder ab, wenn der Token abgezogen wird. Nachteil dieser Methode ist die fehlende intuitive Bedienbarkeit. Zu leicht können Anwender das Token im Router vergessen, auch wenn ein VPN längst nicht mehr notwendig ist. Darüber hinaus ist beispielsweise IP-Telefonie mit diesem Verfahren nur eingeschränkt möglich, da der Teilnehmer lediglich bei aktiviertem Router und aufgebautem VPN erreichbar ist. Anrufe, die außerhalb des aktiven Nutzungszeitraumes des Routers hereinkommen, gehen so verloren.
Abhilfe schafft hier die zweite Methode der Router-Absicherung. Bei diesem Verfahren ist die Konfiguration selbst verschlüsselt, sodass der Router seine Konfiguration ohne Token nicht lesen kann. Erst mit dem USB-Token erhält der Router die notwendigen Informationen, um seine Konfigurationsdaten zu lesen. Ist das VPN aufgebaut, kann der Nutzer das Token sofort wieder abziehen. Die Kürze des Prozesszeitraums minimiert die Gefahr, das Token am Gerät zu vergessen. Die VPN-Verbindung endet erst mit dem Unterbrechen der Stromversorgung - beispielsweise bei Diebstahl. Mit diesem Verfahren ist nicht nur eine erhöhte Diebstahlsicherung gewährleistet. Unberechtigte Nutzer haben ohne valide Konfigurationsdaten auch keinen Zugriff mehr auf das VPN. Darüber hinaus schränkt das Verfahren die Nutzung von VPN-basierender IP-Telefonie nicht ein.
Clientless VPN
Eine weitere Möglichkeit, mobile Nutzer anzubinden, ist das Clientless VPN via SSL. Ein Weg führt über ein spezielles Web-Portal des Providers, das den sicheren Zugriff auf unternehmenseigene Anwendungen und Systeme erlaubt. Bei Anmeldung am Portal startet automatisch ein virtueller Desktop. Dieser erstellt auf dem aktuell verwendeten Rechner des Nutzers eine virtuelle Partition, die als Speicherplatz für alle relevanten und möglicherweise sensiblen Daten der Verbindung dient. Nach dem Abmelden wird diese Partition automatisch gelöscht und hinterlässt keine weiteren Spuren auf den lokalen Festplatten. Eine weitere Funktion löscht nach dem Abmelden automatisch den Cache des Browsers. Über das Web-Portal hat der Anwender damit ohne vorinstallierte Software Zugang zu verschiedenen Diensten.
Port-Authentifizierung durch 802.1X
Mobil ist die Gefahr von unberechtigten Zugriffen immer größer als im Office, denn physische Sicherheitsmaßnahmen wie Zugangsbeschränkungen, Personenkontrolle etc. lassen sich nur bedingt realisieren. Auch dabei helfen Zertifikate in Verbindung mit dem Authentifizierungsstandard 802.1X weiter. Das Verfahren erlaubt dem Endgerät den Zugang zum Netzwerk ausschließlich, wenn dieses ein entsprechendes Zertifikat besitzt. Sobald das Gerät an den entsprechenden Switch Port (oder Router) angeschlossen ist, fragt der Switch nach einem gültigen Zertifikat. Nachdem dieser die entsprechenden Informationen erhalten hat, verifiziert der Switch über das VPN mittels eines weiteren Authentifizierungsprotokolls wie RADIUS am Authentifizierungs-Server der Systemlandschaft, ob die erhaltenen Anmeldeinformationen gültig sind. Sobald der Server dies bestätigt hat, fährt der Switch-Port hoch und das Endgerät erhält eine Verbindung. Bei negativer Rückmeldung bleibt der Port inaktiv.
Eine personenbezogene Authentifizierung am Endgerät mittels Einmalpasswort rundet die mobilen Sicherheitsvorkehrungen ab. Dabei verwendet der Benutzer für den Zugriff auf interne Datensysteme wiederum ein Token, das dynamische Einmalpasswörter erzeugt. Diese sind nur in einem kurzen Zeitraum gültig und werden erst unmittelbar beim Benutzen des Tokens angezeigt. Auch wenn jemand das Kennwort abhören sollte, bringt dies keine Probleme mit sich: Das Passwort verfällt sofort nach Gebrauch. Diese Technik schließt zudem menschliche Faktoren nahezu aus: Es treten beispielsweise keine Probleme mit unsicheren Kennwörtern, unerlaubter Weitergabe oder mit dem am Monitor klebenden Merkzettel für das Kennwort auf.
Network Access Control (NAC)
Gerade Endgeräte im mobilen Einsatz bereiten immer wieder Probleme, wenn es um aktuelle Patches und Updates geht, denn sie befinden sich nicht permanent im Netz. Eine NAC-Appliance sorgt hier dafür, dass keine Sicherheitslücken entstehen. Mittels eines Agenten, der auf dem Endgerät installiert ist, erhält die Appliance automatisch Informationen über den aktuellen Sicherheitsstatus. Diese überprüft dann, ob beispielsweise der Virenschutz aktiv ist, über welches Patch Level das Betriebssystem verfügt oder welche Registry Keys vorhanden sind. Erst wenn alle Parameter aktualisiert und bereinigt sind, erhält der Benutzer Zugriff auf Netzwerkressourcen. Die NAC-Appliance kann zudem den Zugriff auf die für eventuelle Updates benötigten Systeme wie etwa dem Antiviren-Server freigegeben.
Eine weitere Möglichkeit, um den Schutz mobiler Endgeräte wie Notebooks zu vervollständigen, ist ein "Host Intrusion Prevention System" (HIPS). Diese Systeme schützen das Gerät auf dem sie installiert sind, indem sie das Ausführen von Dateien und Anwendungen anhand der "System Calls" überwachen. Applikationen und Programme nutzen diese System Calls, um Zugriff auf Ressourcen des Betriebssystems zu erhalten. Das HIPS schaltet sich quasi als überwachende Instanz zwischen die Applikationen und das Betriebssystem und überwacht, ob die ankommenden Anfragen valide sind. Über ein entsprechendes Management-System sind die HIPSs auf verschiedenen Endgeräten zentral als Managed-Service zu verwalten.
Ob AAA (Authentifizierung, Autorisierung, Accounting), Token, Port-Authentifizierung, NAC oder HIPS - nur eine sinnvolle Kombination Netzwerk- und Host-basierender Tools erreicht im Mobile Computing einen umfassenden Schutzfaktor. Die Vielfalt der verschiedenen Security-Szenarien ist einfach zu groß für singuläre Lösungen. In Eigenregie ist die Summe dieser Maßnahmen allerdings für IT-Verantwortliche häufig schwer realisierbar. Deshalb lohnt sich hier ein Managed-Service als Komplettpaket.
Lesen Sie mehr zum Thema
