Whitepaper Mobile Computing Mehrstufige Sicherheit für den mobilen Zugriff Version: 0.1 Verfasser: Anna Riske Seite 1 von 6 6
Inhaltsverzeichnis Mobile Computing: Mehrstufige Sicherheit für den mobilen Zugriff... 4 1.1 Security Tokens als Schlüssel... 4 1.2 Clientless VPN... 5 1.3 Portauthentifizierung durch 802.1x... 5 1.4 Network Access Control (NAC)... 6 1.5 Zentral verwaltete HIPS... 6 Abbildungsverzeichnis Abbildung 1: Mobile Sicherheitsinfrastruktur... 4 Abbildung 2: Mobile Sicherheitsinfrastruktur II... 6 Seite 3 von 6 6
Mobile Computing: Mehrstufige Sicherheit für den mobilen Zugriff Mobiles Arbeiten gehört inzwischen zum Unternehmensalltag. Doch mit dem Schutz des eigenen Unternehmensnetzes nehmen es viele Unternehmen nicht so genau. Managed VPNs sind zwar etabliert, doch ohne die richtigen Security Services birgt der mobile Zugriff nach wie vor Risiken. Ein mehrstufiges Sicherheitskonzept gehört gerade auf Providerseite zu den Parametern, die Sicherheitsverantwortliche im Auge behalten sollten. Mobile Netze und Vernetzungen sind schon seit einigen Jahren Alltag in der Geschäftswelt. Die Grenzen der Kommunikation verschwimmen zunehmend: Neben dem bloßen Telefonieren über Mobilfunknetze ist auch der drahtlose Zugriff auf unternehmensweite Netzwerke im Business-Umfeld an der Tagesordnung. Dank der aktuellen Technologie sind Managed Services Provider heute in der Lage, nicht nur einzelne Mitarbeiter sondern ganze mobile Teams per VPN in ein Unternehmensnetz zu integrieren. Mehrere Arbeitsplatzrechner, Notebooks oder auch Drucker werden als Arbeitsgruppe über einen UMTS-Router in das VPN eingebunden. Dadurch genießen sie im Prinzip den gleichen Schutz und dieselben Sicherheitseigenschaften wie alle leitungsgebundenen Teilnehmer. Beispielsweise surfen mobile Nutzer geschützt durch gesicherte Firewalls sowie Viren- und Spamschutzsysteme als zentralem Managed Service. Erfahrungen zeigen: Die Sicherheitsprobleme liegen an anderer Stelle und sind physikalischer Natur. UMTS ist zwar verschlüsselt und bietet von sich aus eine ausgereifte Sicherheitsarchitektur. Doch gerade wenn UMTS-Router in Fahrzeugen wie Krankenwagen, mobilen Serviceeinheiten oder anderen Behördenfahrzeugen eingesetzt werden, erhöht sich die Diebstahlgefahr und damit das Sicherheitsrisiko ohne zusätzliche Maßnahmen immens. 1.1 Security Tokens als Schlüssel Eine mögliche Lösung für dieses Problem sind sogenannte Security Tokens. Sie werden direkt per USB an den Router angeschlossen und haben ein Sicherheitszertifikat gespeichert. Das Gerät fährt nur hoch, wenn beim Starten der Token angeschlossen ist. Nach einem Diebstahl kann der Router nicht mehr verwendet werden. Diese Art der Absicherung ist in zwei Varianten realisierbar. Bei der ersten Methode reagiert der Router auf das Einstecken und Abziehen des Token. Der Router hat seine komplette Konfiguration in diesem Fall bereits geladen. Lediglich der Verbindungsaufbau ins VPN kann erst mit dem Token erfolgen, denn auf ihm sind die VPN-Parameter gespeichert. Einmal erfolgreich verbunden, baut sich das VPN erst wieder ab, wenn der Token wieder abgezogen wird. Nachteil die- Seite 4 von 6 6
ser Methode ist die fehlende intuitive Bedienbarkeit. Zu leicht kann der Token im Router vergessen werden, auch wenn ein VPN längst nicht mehr notwendig ist. Darüber hinaus ist IP-Telefonie mit diesem Verfahren nur eingeschränkt möglich, da der Teilnehmer nur mit aktiviertem Router und aufgebautem VPN erreichbar ist. Anrufe, die außerhalb des aktiven Nutzungszeitraumes des Routers hereinkommen, gehen so verloren. Abhilfe schafft hier die zweite Methode der Routerabsicherung. Bei diesem Verfahren ist die Konfiguration selbst verschlüsselt, sodass der Router seine Konfiguration ohne Token nicht lesen kann. Erst mit dem USB- Token erhält der Router die notwendigen Informationen, um seine Konfigurationsdaten zu lesen. Ist das VPN aufgebaut, kann der Nutzer den Token sofort wieder abziehen. Die Kürze des Prozesszeitraums minimiert die Gefahr, den Token im Gerät zu vergessen. Die Verbindung wird erst mit dem Unterbrechen der Stromversorgung, beispielsweise bei Diebstahl, getrennt. Mit diesem Verfahren ist nicht nur eine erhöhte Diebstahlsicherung gewährleistet. Unberechtigte Nutzer haben ohne valide Konfigurationsdaten auch keinen Zugriff mehr auf das VPN. Darüber hinaus schränkt das Verfahren die Nutzung von VPN-basierter IP-Telefonie nicht ein. 1.2 Clientless VPN Eine weitere Möglichkeit, mobile Nutzer anzubinden, ist das Clientless VPN via SSL. Ein Weg führt über ein spezielles Webportal des Providers, das den sicheren Zugriff auf unternehmenseigene Anwendungen und Systeme erlaubt. Bei Anmeldung am Portal startet sich ein virtueller Desktop automatisch. Er erstellt auf dem aktuell verwendeten Rechner des Nutzers eine virtuelle Partition, auf der alle relevanten und möglicherweise sensiblen Daten der Verbindung gespeichert werden. Nach dem Abmelden wird diese Partition automatisch gelöscht und hinterlässt keine weiteren Spuren auf den lokalen Festplatten. Eine weitere Funktion löscht nach dem Abmelden automatisch den Cache des Browsers. Über das Webportal hat der Anwender ohne vorinstallierte Software Zugang zu verschiedenen Diensten. 1.3 Portauthentifizierung durch 802.1x Mobil ist die Gefahr von unberechtigten Zugriffen immer größer, denn physikalische Sicherheitsmaßnahmen wie Zugangsbeschränkungen, Personenkontrolle etc. lassen sich nur bedingt realisieren. Auch hier helfen Zertifikate in Verbindung mit 802.1x, einem Standard zur Authentifizierung, weiter. Das Verfahren erlaubt dem Endgerät den Zugang zum Netzwerk ausschließlich, wenn es ein entsprechendes Zertifikat besitzt. Sobald das Gerät an den entsprechenden Switchport oder Router angeschlossen ist, fragt der Switch nach einem gültigen Zertifikat. Nachdem er die entsprechenden Informationen erhalten hat, verifiziert der Switch über das VPN mittels RADIUS einem weiteren Authentifizierungsprotokoll am Authentifizierungsserver der Systemlandschaft, ob die erhaltenen Anmeldeinformationen gültig sind. Sobald dies vom Server bestätigt wurde, fährt der Switchport hoch und das Endgerät erhält eine Verbindung. Bei negativer Rückmeldung bleibt der Port inaktiv. Eine personenbezogene Authentifizierung am Endgerät mittels Einmalpasswort runden die mobilen Sicherheitsvorkehrungen ab. Hier verwendet der Benutzer für den Zugriff auf interne Datensysteme wiederum einen Token, der dynamische Einmalpasswörter erzeugt. Sie sind nur in einem kurzen Zeitraum gültig und werden erst unmittelbar beim Benutzen des Tokens angezeigt. Auch wenn das Kennwort abgehört wird, bringt dies keine Probleme mehr mit sich: Es verfällt sofort nach Gebrauch. Diese Technik schließt zudem Seite 5 von 6 6
menschliche Faktoren nahezu aus: Es treten beispielsweise keine Probleme mit unsicheren Kennwörtern, unerlaubter Weitergabe oder dem am Monitor klebenden Zettel, auf dem das Kennwort notiert ist, auf. 1.4 Network Access Control (NAC) Gerade Endgeräte im mobilen Einsatz bereiten immer wieder Probleme, wenn es um aktuelle Patches und Updates geht, denn sie befinden sich nicht permanent im Netz. Eine NAC- Appliance sorgt hier dafür, dass keine Sicherheitslücken entstehen. Mittels eines Agenten, der auf dem Endgerät installiert ist, erhält die Appliance automatisch Informationen über den aktuellen Sicherheitsstatus. Sie überprüft, ob beispielsweise der Virenschutz aktiv ist, über welches Patchlevel das Betriebssystem verfügt oder welche Registry-Keys vorhanden sind. Erst wenn alle Parameter aktualisiert und bereinigt sind, erhält der Benutzer Zugriff auf Netzwerkressourcen. Der Zugriff auf für das Update benötigte Systeme, wie Antivirus-Server, kann über die NAC-Appliance freigegeben werden. 1.5 Zentral verwaltete HIPS Eine weitere Möglichkeit, um den Schutz von Endgeräten wie Notebooks zu vervollständigen, ist ein Host Intrusion Prevention System (HIPS). Diese Systeme schützen das Gerät, auf dem sie installiert sind, indem sie das Ausführen von Dateien und Anwendungen anhand der System Calls überwachen. Applikationen und Programme nutzen diese System Calls, um Zugriff auf Ressourcen des Betriebssystems zu erhalten. Das HIPS schaltet sich quasi als überwachende Instanz zwischen die Applikationen und das Betriebssystem und überwacht, ob die ankommenden Anfragen valide sind. Über ein entsprechendes Managementsystem sind die HIPS auf verschiedenen Endgeräten zentral als Managed Service zu verwalten. Ob AAA, Token, Portauthentifizierung, NAC oder HIPS nur eine sinnvolle Kombination netzwerk- und hostbasierter Tools erreicht im Mobile Computing einen umfassenden Schutzfaktor. Die Vielfalt der verschiedenen Security-Szenarien ist einfach zu groß für singuläre Lösungen. In Eigenregie ist die Summe dieser Maßnahmen allerdings für IT-Verantwortliche häufig schwer realisierbar. Deshalb lohnt sich hier ein Managed Service als Komplett-Paket. Seite 6 von 6 6