So kontrollieren Sie den Zugriff von Laptops und Smartphones auf Ihr Unternehmensnetzwerk

Transkript

1 So kontrollieren Sie den Zugriff von Laptops und Smartphones auf Ihr Unternehmensnetzwerk Sicherheitskonzepte für Laptops und Smartphones: Gemeinsamkeiten und Unterschiede Executive Summary Neben Laptops werden heute auch Smartphones als Netzwerkendgeräte in Unternehmen, Bildungseinrichtungen und Behörden eingesetzt. Für das Sicherheitsmanagement dieser mobilen Geräte sollten IT-Verantwortliche mit den Unterschieden und Gemeinsamkeiten von Laptop- und Smartphone- Plattformen vertraut sein. Auf diese Weise können Best Practices angewendet werden, um die Vertraulichkeit und die Sicherheit der Unternehmenskommunikation innerhalb und außerhalb der Netzwerkgrenzen zu gewährleisten. Dieses Whitepaper fasst die Erfahrungen des Dell SonicWALL Research & Development Teams zusammen und zeigt, welche Anforderungen sich mithilfe der Dell SonicWALL-Lösungen abdecken lassen. Die Dell SonicWALL-Lösungen, die am Ende dieses Whitepapers aufgeführt sind, werden auf der Dell SonicWALL-Website detailliert beschrieben: Unterschiede bei der Verwaltung von Laptops und Smartphones Die IT-Verantwortlichen müssen heute sowohl für Laptop- als auch für Smartphone-Nutzer einen sicheren Zugriff auf die Unternehmensressourcen gewährleisten. In puncto Sicherheit gibt es allerdings nicht unwesentliche Unterschiede zwischen Laptops und Smartphones. Bei Firmen-Laptops, die vom Unternehmen verwaltet und kontrolliert werden, hat die IT-Abteilung theoretisch noch die Möglichkeit, die Installation potenziell unsicherer oder unerwünschter Anwendungen mithilfe von Sperren im Betriebssystem zu verhindern. Heute verlangen Mitarbeiter jedoch dieselbe Freiheit bei der Auswahl und Einrichtung ihrer technischen Geräte wie in ihrem Privatleben. Mit zunehmender Consumerization der IT (und aufgrund der möglichen Einsparungen bei den Gerätekosten) setzen heute immer mehr Firmen auf das BYOD (Bring Your Own Device)-Modell und erlauben ihren Mitarbeitern die Nutzung eigener Mobilgeräte am Arbeitsplatz. Bei Laptops mit Standardbetriebssystemen wie Windows, Macintosh und Linux hat die zunehmende Verbreitung von Consumer- Technologien und BYOD eine offene, unkontrollierte Anwendungslandschaft entstehen lassen. Die Endbenutzer können ohne zusätzliche Schutzschicht oder Sicherheitsprüfung jede beliebige Anwendung installieren, darunter auch potenziell unsichere oder gefährliche Programme, die nicht für die Verwendung im Firmennetzwerk freigegeben sind. Meldet sich ein Laptop mit unsicheren Anwendungen beim Netzwerk an, stellt dies eine direkte Bedrohung für die Unternehmensressourcen dar. Aufgrund der offenen Anwendungsumgebung sollte bei diesen Laptops eine Geräteabfrage stattfinden. Auf diese Weise kann die IT- Abteilung prüfen, ob die vorgegebenen Sicherheitsanwendungen auf dem Gerät ausgeführt werden, und Sicherheitsregeln durchsetzen, die den Zugriff auf das Gerät entsprechend den Firmen- Sicherheitsrichtlinien freigeben, vorübergehend sperren oder komplett verwehren. Bei unverwalteten Laptops ist zudem der Einsatz eines Reverse Proxy-Portalzugangs oder eines VPN (Virtual Private Network)-Tunnels mit Endpunktkontrolle erforderlich. Apps, die für eine Ausführung auf Smartphone- (und Tablet-) Betriebssystemen entwickelt wurden, durchlaufen im Gegensatz zu PC-Anwendungen eine strenge Prüfung, bevor sie zum Download freigegeben werden. Dass Apple iphone -Nutzer eine Rogue App aus dem App Store SM herunterladen, kommt daher auch äußerst selten vor. Google Android ist dem gegenüber etwas weniger strikt (nachdem einige Anfangsprobleme mit Rogue Apps gelöst wurden). Den Entwicklern ist es aber bislang weitgehend gelungen, eine geschlossene App-Umgebung mit geprüften Apps bereitzustellen. Aufgrund dieses Unterschieds hat die Geräteabfrage bei Laptops eine ungleich größere Bedeutung als bei Smartphones (sofern das jeweilige Smartphone nicht per Jailbreaking verändert wurde). Weitere Unterschiede bestehen in Bezug auf die Benutzerfreundlichkeit, die Implementierung und Administration sowie die Regeln für Unified Clients und die Sicherheit. Anders als bei Laptops sind auf Smartphones häufig IPSec-/L2TP-Tunneling-Agents

2 vorinstalliert. Diese Agents sind jedoch nicht vorkonfiguriert. Daher ist eine Konfiguration des Clients durch den Benutzer oder den IT-Administrator notwendig. Eine Implementierung dieser Tunneling- Agents für andere mobile Laptop-Geräte kann allerdings mit einem höheren Aufwand für die IT verbunden sein. Alternativ lässt sich eine universelle Reverse Proxy- oder Webportal-Lösung für alle Mobilgeräte implementieren. Eine manuelle Implementierung einzelner IPSec-/L2TP-Clients fällt damit weg. Best Practises Berücksichtigt man die vorgenannten Unterschiede, ähneln sich die Best Practices für die Sicherung des mobilen Zugriffs von Laptops und Smartphones in vielerlei Hinsicht. Beispielsweise können sich Laptops und Smartphones von außerhalb über eine Drahtlosverbindung ins Netzwerk einloggen und sich damit Man-in-the-Middle -Angriffen aussetzen. Für Laptops, Smartphones und Tablet-PCs ist daher ein verschlüsselter VPN-Zugang erforderlich, der die Vertraulichkeit der Kommunikation außerhalb des Netzwerks gewährleistet. IT-Verantwortliche müssen außerdem in der Lage sein, den gesamten Datenverkehr zu scannen, um die Integrität und Sicherheit des Netzwerks zu gewährleisten. Unternehmen wollen oft nicht wahrhaben, dass Mobilgeräte nicht nur Informationen übermitteln, sondern leider auch Malware in Netzwerke einschleusen können sei es absichtlich oder ungewollt. Je nachdem, ob mobile Geräte die Verbindung innerhalb oder außerhalb der Netzwerkgrenzen aufbauen, müssen unterschiedliche Best Practices für die Sicherheit gewählt werden. Sicherer Zugriff auf das Netzwerk von außerhalb: 1. Einrichten eines Reverse Web Proxys: Reverse Proxys ermöglichen den Zugriff auf Webressourcen über Standardbrowser und können so den webbasierten Zugriff auf Netzwerkressourcen authentifizieren und verschlüsseln. Ein Reverse Proxy stellt einen plattformunabhängigen Zugriff für Laptops und Smartphones bereit und minimiert auf diese Weise den Implementierungsaufwand. 2. Einrichten von SSL VPN-Tunneln: Laptops und Smartphones erhalten über Agent-basierte, verschlüsselte SSL VPN-Tunnel einen einfachen Zugriff auf kritische Client- Server-Ressourcen im Netzwerk. 3. Implementierung einer Endpunktkontrolle für Laptops: Um die Einhaltung der Sicherheitsrichtlinien für verwaltete und unverwaltete Windows-, Macintosh- und Linux-Laptops sicherzustellen, kann mithilfe einer Endpunktkontrolle überprüft werden, ob die erforderlichen Sicherheitsanwendungen vorhanden sind. Anschließend kann der Zugriff abhängig von den bestehenden Sicherheitsregeln und der Benutzeridentität freigegeben, vorübergehend gesperrt oder verwehrt werden. Wie Eingangs erwähnt, ist dies vor allem bei Laptops wichtig, nicht so sehr jedoch bei Smartphones, da diese über eine geprüfte App-Verteilungsumgebung verfügen. 4. Sichere virtuelle Desktopumgebung für Laptops: Mithilfe einer sicheren virtuellen Desktopumgebung kann verhindert werden, dass Benutzer sensible Daten auf unverwalteten Windows-Laptops zurücklassen. 5. Anwendung von Cache Cleaner-Technologien bei Laptops: Mithilfe eines Cache Cleaners werden sämtliche Tracking-Daten auf einem Laptop gelöscht, sobald der Benutzer den Browser schließt. 6. Prüfung des VPN-Verkehrs mit der Next-Generation Firewall (NGFW): Laptops und Smartphones können als Einfallstor für Malware dienen. Diese kann selbst über WiFioder 3G/4G-Verbindungen in das Firmennetzwerk gelangen. Durch die Integration einer Next-Generation Firewall in die vorhandene Infrastruktur wird ein Clean VPN eingerichtet, in dem sämtliche Inhalte zunächst entschlüsselt und anschließend überprüft werden. Sicherheitsfunktionen am NGFW-Gateway (z. B. Anti- Virus/Anti-Spyware und Intrusion Prevention Service) machen Bedrohungen unschädlich, bevor sie in das Netzwerk gelangen können. 7. Robuste Authentifizierung für Laptops und Smartphones: Eine wirklich sichere Lösung muss eine nahtlose Integration mit Standard-Authentifizierungsmethoden wie Zwei-Faktor- Authentifizierung und Einmalpasswörtern unterstützen. Sicherer Zugriff innerhalb der Netzwerkgrenzen: 1. Prüfung des WiFi-Verkehrs mit einer Next-Generation Firewall: Durch die Integration einer Next-Generation Firewall mit a/b/g/n-wireless-konnektivität lässt sich für Nutzer, die sich innerhalb der Netzwerkgrenzen befinden, ein Clean Wireless -Netzwerk erstellen. 2. Überwachung des Anwendungsverkehrs: Bei Mobile Apps stehen sich grob gesprochen geschäftskritische Lösungen und überflüssige Zeitfresser gegenüber. Mit einer Clean VPN-Lösung, die Application Intelligence, Control and Visualization umfasst, kann die IT-Abteilung genau definieren, wie die Anwendungs- und Bandbreitenressourcen genutzt werden sollen. 3. Maßnahmen zum Schutz vor Datenlecks: Data Leak Protection (DLP) kann den ausgehenden Datenverkehr auf Inhalte mit digitalen Wasserzeichen überprüfen. 4. Blockieren unerwünschter Webinhalte: Eine Content Filtering-Lösung gewährleistet eine unbedenkliche Netzwerkumgebung und hilft so mobilen Benutzern bei der Einhaltung gesetzlicher Vorgaben. 5. Blockieren ausgehender Botnet-Angriffe: Anti-Malware- Scans können Botnet-Angriffe erkennen und blockieren, die von mobilen, im Netzwerk eingeloggten Geräten ausgehen. Verwaltung mobiler Geräte Um die Sicherheit mobiler Geräte zu erhöhen, entscheiden sich einige Organisationen für die Implementierung von MDM (Mobile Device Management)-Gateways. MDM beschränkt den Zugriff anhand der Telefonnummer, erkennt per Jailbreaking veränderte Geräte und isoliert geschäftliche Informationen in verschlüsselten, von MDM verwalteten virtuellen Desktop-Containern, wo sie von der IT- Abteilung gemäß den Regelkriterien per Remote Wipe gelöscht werden können. Allerdings erhöht eine MDM-

3 Lösung in der Regel auch die Komplexität der Infrastruktur und zieht größere Investitionen nach sich, die bisweilen die Vorteile wieder zunichtemachen. Bevor eine Organisation diese zusätzlichen Kosten auf sich nimmt, sollte sie genau prüfen, ob sie MDM tatsächlich benötigt. Falls MDM für die jeweiligen Anwendungsszenarien keine entscheidenden Vorteile bringt, sollte das Budget besser für Lösungen ausgegeben werden, die einen klaren Nutzen bieten. Dell SonicWALL-Mobility-Lösungen Um die genannten Best Practices umsetzen zu können, benötigt die IT-Abteilung die richtigen Lösungen. Die Dell SonicWALL Aventail E-Class Secure Remote Access (SRA)-Serie, die SRA-Serie für kleine und mittlere Unternehmen (KMUs) sowie die Dell SonicWALL Next- Generation Firewalls bieten einen einfachen regelbasierten SSL VPN-Zugriff auf wichtige Netzwerkressourcen von zahlreichen Mobilgeräte-Plattformen aus, wie z. B. Windows-, Macintosh- und Linux-Laptops sowie Smartphones auf Basis von Windows Mobile, ios, Google Android und Nokia Symbian. Mit seinem richtlinienbasierten, geräteoptimierten Webportal erlaubt SonicWALL Aventail WorkPlace einen einfachen Zugriff auf webbasierte Anwendungen (u. a. Oracle JavaScript), Client-/Server-Anwendungen und kritische Netzwerkressourcen von zahlreichen Plattformen aus, wie z. B. Windows-, Macintosh- und Linux-Laptops sowie Windows Mobile-, ios-, Android- und Nokia Symbian-Smartphones. Die SSL VPN-Lösungen von SonicWALL Aventail bieten Secure ActiveSync -Support für den Zugriff von Smartphones und Tablet-PCs auf Microsoft Exchange-E- Mail-, Kontakt- und Kalenderdienste für die Plattformen ios, Android, Symbian, Windows Mobile und Windows Phone 7. Mithilfe der erweiterten Device Identification-Technologie von Dell SonicWALL können Administratoren ein bestimmtes Smartphone oder einen Tablet-PC einem Benutzer fest zuordnen und so bei Verlust oder Diebstahl den Zugriff auf das Unternehmensnetzwerk in kürzester Zeit sperren. SonicWALL Aventail Advanced End Point Control (EPC ) (für Windows-, Macintosh- und Linux-Geräte verfügbar) kombiniert Schutzfunktionen für unverwaltete Endpunkte mit einer verschlüsselten virtuellen Secure Desktop-Umgebung sowie umfassendem Datenschutz mit Cache Control. Daneben ermöglicht EPC eine erweiterte Endpunkt-Erkennung und Datensicherheit für Unternehmen. Endpunkt-Geräte werden auf alle unterstützten Virenschutz-, Personal Firewall- und Anti- Spyware-Lösungen führender Anbieter abgefragt, so z. B. McAfee, Symantec, Computer Associates, Sophos, Kaspersky Lab und viele andere. SonicWALL Aventail Secure Desktop richtet eine virtuelle Sitzung auf Windows-Laptops ein. Somit können Benutzer im Internet surfen, s abrufen und persönliche Dateien mit Client-/Server-Anwendungen bearbeiten. Nach Ablauf der Sitzung werden automatisch alle sensiblen Daten vollständig von dem unverwalteten Laptop entfernt. SonicWALL Aventail Cache Control bietet mehr als eine einfache Säuberung des Cache-Speichers. Die Lösung erlaubt das Leeren des Browser-Caches sowie das Löschen von Sitzungsverläufen, Cookies und Passwörtern. SonicWALL Mobile Connect -Unified Client App- Lösungen für ios und Google Android bieten Smartphoneund Tablet-PC-Benutzern umfassenden Zugriff auf Netzwerk-Ressourcen von Unternehmen, Bildungseinrichtungen und Behörden über verschlüsselte SSL VPN-Verbindungen. Nur Dell SonicWALL bietet Clean VPN (in Implementierungen mit einer Dell SonicWALL Next- Generation Firewall) für die Autorisierung und Entschlüsselung sowie für die Neutralisierung von Bedrohungen, die von ios- (Apple ipad, iphone und ipod touch ) oder Android-Datenverkehr über SSL VPN außerhalb der Netzwerkgrenzen ausgehen. Mit Dell SonicWALL Application Intelligence and Control können Unternehmen darüber hinaus die Nutzung der Anwendungs- und Bandbreitenressourcen regulieren. Die App kann von den Benutzern problemlos aus dem App Store oder über Google Play heruntergeladen werden und erlaubt sichere SSL VPN-Verbindungen zu SonicWALL Aventail E-Class SRA, SRA für KMUs oder Dell SonicWALL Next-Generation Firewall Appliances. Darüber hinaus bietet SonicWALL Aventail Connect Mobile bei Kombination mit einer SonicWALL Aventail E-Class SRA Appliance eine Remote Access-Lösung für Windows Mobile-Smartphones sowie Google Android-Smartphones und Tablet-PCs. Die Mobile Connect- und Connect Mobile-Clients sorgen für einen geräteoptimierten Netzwerkzugriff mit einer Nutzungsqualität wie bei internen Endgeräten und ermöglichen damit eine nahtlose Netzwerkeinbindung des Benutzers sowie die mobile Zugriffskontrolle über ein einziges, zentral verwaltetes Gateway. Die SonicWALL Aventail E-Class SRA-Lösungen unterstützen nicht nur eine Authentifizierung mit Vasco, RSA, Active Directory, LDAP, RADIUS und ACE, sondern auch das integrierte Generieren von Einmalpasswörtern für eine Zwei-Faktor-Authentifizierung. Dell SonicWALL Clean VPN stellt einen doppelten Schutz durch SSL VPN und leistungsstarke Next-Generation Firewalls bereit, wie er zur Absicherung des VPN-Zugriffs und des Datenverkehrs im Netzwerk erforderlich ist. Dank der Multi-Layer-Netzwerksicherheitsfunktionen von Clean VPN können Unternehmen sämtlichen autorisierten Datenverkehr verschlüsseln und auf Malware überprüfen, bevor er in die Netzwerkumgebung gelangt. Clean VPN schützt die Integrität des VPN-Zugriffs. Hierzu werden mittels automatischer Authentifizierung, Datenverschlüsselung und granularer Zugriffsregeln vertrauenswürdige Verbindungen für Remote-Benutzer und ihre Endpunktgeräte hergestellt. Zugleich stellt Clean VPN die Integrität des VPN-Datenverkehrs sicher. Dies geschieht durch Autorisierung des Datenverkehrs und Entfernung von Malware aus eingehenden Daten sowie Überprüfung aller ausgehenden VPN-Daten in Echtzeit. Dell SonicWALL Clean Wireless bietet eine sichere, einfache und kostengünstige Lösung für verteilte Wireless- Netzwerke, die universelle a/b/g/n-wireless- Funktionen mit einer Enterprise-Class Firewall bzw. einem VPN Gateway kombiniert. Mit Dell SonicWALL Application Intelligence and Control lassen sich Anwendungen gezielt kontrollieren, die verfügbare Bandbreite priorisieren oder einschränken und der Zugriff auf Websites verwalten. Die umfassenden Regelfunktionen dieses Produkts erlauben u. a. Einschränkungen bei der Übertragung bestimmter Dateien und Dokumente, das Blockieren von -Anhängen nach benutzerdefinierten Kriterien, die Personalisierung der Anwendungskontrolle und die Sperrung des Webzugriffs anhand verschiedener benutzerdefinierter Optionen. Der Dell SonicWALL Application Flow Monitor liefert Echtzeit-Grafiken zu Anwendungen, zur Bandbreitenbelegung in ein- und ausgehender Richtung sowie zu aktiven Website-Verbindungen und zur Benutzeraktivität. Dank zahlreicher Visualisierungsmöglichkeiten können Administratoren alle Regeln effizient überwachen und bei kritischen Vorkommnissen anpassen.

4 Dell SonicWALL Application Traffic Analytics kombiniert eine Dell SonicWALL Next-Generation Firewall mit einem Softwaretool zur Datenstromanalyse, wie z. B. dem Dell SonicWALL Global Management System (GMS) 7.0, Dell SonicWALL Analyzer und Dell SonicWALL Scrutinizer. Durch die Einbindung von Syslog und IPFIX zur Analyse des Anwendungsdatenverkehrs lassen sich granulare Echtzeit- Berichtsfunktionen auf Anwendungsebene nutzen, die flexibel einsetzbar und komfortabel zu bedienen sind.

5 Fazit Die Unterschiede zwischen Laptops und Smartphones machen einen jeweils eigenen Sicherheitsansatz erforderlich, insbesondere in den Bereichen Geräteabfrage und VPN Client Provisioning. Unternehmen, Bildungseinrichtungen und Behörden müssen dafür sorgen, dass Laptops und Smartphones eine sichere VPN- oder Remote Proxy-Konnektivität unterstützen, wenn sie außerhalb des Netzwerks über externe Wireless-Verbindungen oder Hotspots eingesetzt werden. Nur so lassen sich vertrauliche Daten schützen und eine maximale Sicherheit garantieren. Kurz gesagt: Werden Laptops und Smartphones innerhalb des Unternehmensnetzwerks eingesetzt, sollten auch sie die bestehenden Schutz- und Sicherheitsmechanismen der neuesten Next- Generation Firewall-Technologie nutzen können. Die IT muss in der Lage sein, genügend Bandbreite für geschäftskritische Anwendungen bereitzustellen und gleichzeitig die negativen Auswirkungen von unerwünschtem Datenverkehr zu beschränken. Die Mobile Connect-, SSL VPN-, Clean VPN- und Next- Generation Firewall-Lösungen von Dell SonicWALL mit Application Intelligence, Anwendungskontrolle und - visualisierung unterstützten Organisationen dabei, Best Practices für die sichere Nutzung von Smartphones in Unternehmensnetzwerken umzusetzen. Copyright 2012 Dell Inc. Alle Rechte vorbehalten. Dell SonicWALL ist eine Marke von Dell Inc. Alle anderen Produkt- und Service-Namen bzw. Slogans von Dell SonicWALL sind Marken von Dell Inc. Alle anderen hier erwähnten Produkt- und Firmennamen sind Marken und/oder eingetragene Marken der jeweiligen Inhaber. 07/12