Whitepaper. Mobile Computing Mehrstufige Sicherheit für den mobilen Zugriff. Version: 0.1. Seite 1 von 6 6



Ähnliche Dokumente
ANYWHERE Zugriff von externen Arbeitsplätzen

Verwendung des IDS Backup Systems unter Windows 2000

How-to: Webserver NAT. Securepoint Security System Version 2007nx

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

Konfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung

Guide DynDNS und Portforwarding

ICS-Addin. Benutzerhandbuch. Version: 1.0

Lizenzen auschecken. Was ist zu tun?

IEEE 802.1x Authentifizierung. IEEE 802.1x Authentifizierung IACBOX.COM. Version Deutsch

INTERNETZUGANG WLAN-ROUTER ANLEITUNG FIRMWARE-UPDATE SIEMENS

Handbuch. timecard Connector Version: REINER SCT Kartengeräte GmbH & Co. KG Goethestr Furtwangen

Tipps zur Verbesserung der Sicherheit im Online-Banking

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

Konfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version Deutsch

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Anleitung zur Nutzung des SharePort Utility

Tapps mit XP-Mode unter Windows 7 64 bit (V2.0)

Installation und Inbetriebnahme von SolidWorks

Software zur Anbindung Ihrer Maschinen über Wireless- (GPRS/EDGE) und Breitbandanbindungen (DSL, LAN)

Windows Vista Security

EDUROAM: Windows XP. MitarbeiterInnen Leuphana-Account: Ihr Passwort: Ihr Passwort

Seite 1 von 14. Cookie-Einstellungen verschiedener Browser

Virtual Private Network

EasyWk DAS Schwimmwettkampfprogramm

Installationsanweisung Gruppenzertifikat

Öffnen Sie den Internet-Browser Ihrer Wahl. Unabhängig von der eingestellten Startseite erscheint die folgende Seite in Ihrem Browserfenster:

Telefonieren mit App's"! iphone mit Bria Informationen zur Nutzung von TeScript

Synchronisations- Assistent

Das tgm stellt virtuelle Desktops zur Verfügung. Um diese nutzen zu können, gehen Sie bitte wie folgt vor:

Downloadfehler in DEHSt-VPSMail. Workaround zum Umgang mit einem Downloadfehler

Anbindung des eibport an das Internet

Aufbau und Funktion eines VPN- Netzwerkes

Wissenswertes über LiveUpdate

Inhaltverzeichnis 1 Einführung Zugang zu den Unifr Servern Zugang zu den Druckern Nützliche Links... 6

MSDE 2000 mit Service Pack 3a

Root-Server für anspruchsvolle Lösungen

How-to: VPN mit L2TP und dem Windows VPN-Client. Securepoint Security System Version 2007nx

Verwendung des Terminalservers der MUG

terra CLOUD IaaS Handbuch Stand: 02/2015

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

Dokumentation zur Versendung der Statistik Daten

Kurzanleitung. MEYTON Aufbau einer Internetverbindung. 1 Von 11

Internet online Update (Internet Explorer)

Installationsanleitung OpenVPN

Übung - Konfigurieren einer Windows-XP-Firewall

Den Durchblick haben. VOLKSBANK BAD MÜNDER eg. Online aber sicher: Unsere Produkt- und Sicherheitshotline hilft und informiert

Formular»Fragenkatalog BIM-Server«

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

Alle Jahre wieder... Eckard Brandt. Regionales Rechenzentrum für Niedersachsen Eckard Brandt Gruppe Systemtechnik

Verschlüsselung von USB Sticks mit TrueCrypt

iphone 4 - Einrichtung des VPN Clients (Cisco VPN Client) / Verbinden des iphones mit einem Exchange

GEZIELT MEHR SICHERHEIT MIT 4I ACCESS SERVER & 4I CONNECT CLIENT

BSV Software Support Mobile Portal (SMP) Stand

Virtual Desktop Infrasstructure - VDI

zur WinIBW Version 2.3

Virtual Private Network

Übung - Konfigurieren einer Windows 7-Firewall

SharePoint Demonstration

Kurzanleitung zur Nutzung von BITel >FHdD HotSpots< Die BITel >FHdD HotSpots< stellen einen Standard WLAN-Zugang (802.11b/g) zur Verfügung.

1. Der Router ist nicht erreichbar Lösungsansatz: IP Adresse des Routers überprüfen ( entweder irgendwo auf dem Gerät aufgeklebt oder im Handbuch )

How-to: VPN mit PPTP und dem Windows VPN-Client. Securepoint Security System Version 2007nx

Matrix42. Use Case - Sicherung und Rücksicherung persönlicher Einstellungen über Personal Backup. Version September

Einsatz mobiler Endgeräte

Benutzeranleitung Web Login (Internetzugang an Öffentlichen Datendosen und in Studentenwohnheimen )

Auftrag zum Erwerb und zur Einrichtung von Fernverbindungen Version 1 Version 2 Version 3 Allgemeines

2. Installation unter Windows 8.1 mit Internetexplorer 11.0

Windows 8 Lizenzierung in Szenarien

Dokumentenkontrolle Matthias Wohlgemuth Telefon Erstellt am

Kurzanleitung BKB-E-Banking-Stick

CADEMIA: Einrichtung Ihres Computers unter Windows

Nutzung von GiS BasePac 8 im Netzwerk

estos UCServer Multiline TAPI Driver

Benutzeranleitung Remote-Office

Userguide: WLAN Nutzung an der FHH Hannover Fakultät V

Firewalls für Lexware Info Service konfigurieren

Internet online Update (Mozilla Firefox)

ANLEITUNG. Firmware Flash. Seite 1 von 7

Umgang mit der Software ebuddy Ändern von IP Adresse, Firmware und erstellen von Backups von ewon Geräten.

ADNP/9200 mit E2U/ESL1: Web Interface Beispiele

Computeria Solothurn

SafeRun-Modus: Die Sichere Umgebung für die Ausführung von Programmen

Übung - Konfigurieren einer Windows Vista-Firewall

Anleitung mtan (SMS-Authentisierung) mit Cisco IPSec VPN

Anleitung zur Konfiguration eines NO-IP DynDNS-Accounts mit der TOOLBOXflex-3.2

SILBER SURFER. PC-Treffen der Arbeiterwohlfahrt, Ortsverein Sehnde. PC Internet / Cloud. Leitfaden zur Schulung

Mit der in Windows Vista integrierten Firewall Schützen Sie Ihren Computer gegen Angriffe aus dem Internet.

Avira Support Collector. Kurzanleitung

Verwendung von USB-Datenträger in der VDI unter Mac OSX

1. Zugriff auf das Lonza Netzwerk von ihrem privaten PC oder von einem Internet Café

Collax -Archivierung

Howto. Einrichten des TREX Monitoring mit SAP Solution Manager Diagnostics

Firewalls für Lexware Info Service konfigurieren

GeoPilot (Android) die App

Datensicherung. Beschreibung der Datensicherung

Lexware professional und premium setzen bis einschließlich Version 2012 den Sybase SQL-Datenbankserver

Step by Step Webserver unter Windows Server von Christian Bartl

Transkript:

Whitepaper Mobile Computing Mehrstufige Sicherheit für den mobilen Zugriff Version: 0.1 Verfasser: Anna Riske Seite 1 von 6 6

Inhaltsverzeichnis Mobile Computing: Mehrstufige Sicherheit für den mobilen Zugriff... 4 1.1 Security Tokens als Schlüssel... 4 1.2 Clientless VPN... 5 1.3 Portauthentifizierung durch 802.1x... 5 1.4 Network Access Control (NAC)... 6 1.5 Zentral verwaltete HIPS... 6 Abbildungsverzeichnis Abbildung 1: Mobile Sicherheitsinfrastruktur... 4 Abbildung 2: Mobile Sicherheitsinfrastruktur II... 6 Seite 3 von 6 6

Mobile Computing: Mehrstufige Sicherheit für den mobilen Zugriff Mobiles Arbeiten gehört inzwischen zum Unternehmensalltag. Doch mit dem Schutz des eigenen Unternehmensnetzes nehmen es viele Unternehmen nicht so genau. Managed VPNs sind zwar etabliert, doch ohne die richtigen Security Services birgt der mobile Zugriff nach wie vor Risiken. Ein mehrstufiges Sicherheitskonzept gehört gerade auf Providerseite zu den Parametern, die Sicherheitsverantwortliche im Auge behalten sollten. Mobile Netze und Vernetzungen sind schon seit einigen Jahren Alltag in der Geschäftswelt. Die Grenzen der Kommunikation verschwimmen zunehmend: Neben dem bloßen Telefonieren über Mobilfunknetze ist auch der drahtlose Zugriff auf unternehmensweite Netzwerke im Business-Umfeld an der Tagesordnung. Dank der aktuellen Technologie sind Managed Services Provider heute in der Lage, nicht nur einzelne Mitarbeiter sondern ganze mobile Teams per VPN in ein Unternehmensnetz zu integrieren. Mehrere Arbeitsplatzrechner, Notebooks oder auch Drucker werden als Arbeitsgruppe über einen UMTS-Router in das VPN eingebunden. Dadurch genießen sie im Prinzip den gleichen Schutz und dieselben Sicherheitseigenschaften wie alle leitungsgebundenen Teilnehmer. Beispielsweise surfen mobile Nutzer geschützt durch gesicherte Firewalls sowie Viren- und Spamschutzsysteme als zentralem Managed Service. Erfahrungen zeigen: Die Sicherheitsprobleme liegen an anderer Stelle und sind physikalischer Natur. UMTS ist zwar verschlüsselt und bietet von sich aus eine ausgereifte Sicherheitsarchitektur. Doch gerade wenn UMTS-Router in Fahrzeugen wie Krankenwagen, mobilen Serviceeinheiten oder anderen Behördenfahrzeugen eingesetzt werden, erhöht sich die Diebstahlgefahr und damit das Sicherheitsrisiko ohne zusätzliche Maßnahmen immens. 1.1 Security Tokens als Schlüssel Eine mögliche Lösung für dieses Problem sind sogenannte Security Tokens. Sie werden direkt per USB an den Router angeschlossen und haben ein Sicherheitszertifikat gespeichert. Das Gerät fährt nur hoch, wenn beim Starten der Token angeschlossen ist. Nach einem Diebstahl kann der Router nicht mehr verwendet werden. Diese Art der Absicherung ist in zwei Varianten realisierbar. Bei der ersten Methode reagiert der Router auf das Einstecken und Abziehen des Token. Der Router hat seine komplette Konfiguration in diesem Fall bereits geladen. Lediglich der Verbindungsaufbau ins VPN kann erst mit dem Token erfolgen, denn auf ihm sind die VPN-Parameter gespeichert. Einmal erfolgreich verbunden, baut sich das VPN erst wieder ab, wenn der Token wieder abgezogen wird. Nachteil die- Seite 4 von 6 6

ser Methode ist die fehlende intuitive Bedienbarkeit. Zu leicht kann der Token im Router vergessen werden, auch wenn ein VPN längst nicht mehr notwendig ist. Darüber hinaus ist IP-Telefonie mit diesem Verfahren nur eingeschränkt möglich, da der Teilnehmer nur mit aktiviertem Router und aufgebautem VPN erreichbar ist. Anrufe, die außerhalb des aktiven Nutzungszeitraumes des Routers hereinkommen, gehen so verloren. Abhilfe schafft hier die zweite Methode der Routerabsicherung. Bei diesem Verfahren ist die Konfiguration selbst verschlüsselt, sodass der Router seine Konfiguration ohne Token nicht lesen kann. Erst mit dem USB- Token erhält der Router die notwendigen Informationen, um seine Konfigurationsdaten zu lesen. Ist das VPN aufgebaut, kann der Nutzer den Token sofort wieder abziehen. Die Kürze des Prozesszeitraums minimiert die Gefahr, den Token im Gerät zu vergessen. Die Verbindung wird erst mit dem Unterbrechen der Stromversorgung, beispielsweise bei Diebstahl, getrennt. Mit diesem Verfahren ist nicht nur eine erhöhte Diebstahlsicherung gewährleistet. Unberechtigte Nutzer haben ohne valide Konfigurationsdaten auch keinen Zugriff mehr auf das VPN. Darüber hinaus schränkt das Verfahren die Nutzung von VPN-basierter IP-Telefonie nicht ein. 1.2 Clientless VPN Eine weitere Möglichkeit, mobile Nutzer anzubinden, ist das Clientless VPN via SSL. Ein Weg führt über ein spezielles Webportal des Providers, das den sicheren Zugriff auf unternehmenseigene Anwendungen und Systeme erlaubt. Bei Anmeldung am Portal startet sich ein virtueller Desktop automatisch. Er erstellt auf dem aktuell verwendeten Rechner des Nutzers eine virtuelle Partition, auf der alle relevanten und möglicherweise sensiblen Daten der Verbindung gespeichert werden. Nach dem Abmelden wird diese Partition automatisch gelöscht und hinterlässt keine weiteren Spuren auf den lokalen Festplatten. Eine weitere Funktion löscht nach dem Abmelden automatisch den Cache des Browsers. Über das Webportal hat der Anwender ohne vorinstallierte Software Zugang zu verschiedenen Diensten. 1.3 Portauthentifizierung durch 802.1x Mobil ist die Gefahr von unberechtigten Zugriffen immer größer, denn physikalische Sicherheitsmaßnahmen wie Zugangsbeschränkungen, Personenkontrolle etc. lassen sich nur bedingt realisieren. Auch hier helfen Zertifikate in Verbindung mit 802.1x, einem Standard zur Authentifizierung, weiter. Das Verfahren erlaubt dem Endgerät den Zugang zum Netzwerk ausschließlich, wenn es ein entsprechendes Zertifikat besitzt. Sobald das Gerät an den entsprechenden Switchport oder Router angeschlossen ist, fragt der Switch nach einem gültigen Zertifikat. Nachdem er die entsprechenden Informationen erhalten hat, verifiziert der Switch über das VPN mittels RADIUS einem weiteren Authentifizierungsprotokoll am Authentifizierungsserver der Systemlandschaft, ob die erhaltenen Anmeldeinformationen gültig sind. Sobald dies vom Server bestätigt wurde, fährt der Switchport hoch und das Endgerät erhält eine Verbindung. Bei negativer Rückmeldung bleibt der Port inaktiv. Eine personenbezogene Authentifizierung am Endgerät mittels Einmalpasswort runden die mobilen Sicherheitsvorkehrungen ab. Hier verwendet der Benutzer für den Zugriff auf interne Datensysteme wiederum einen Token, der dynamische Einmalpasswörter erzeugt. Sie sind nur in einem kurzen Zeitraum gültig und werden erst unmittelbar beim Benutzen des Tokens angezeigt. Auch wenn das Kennwort abgehört wird, bringt dies keine Probleme mehr mit sich: Es verfällt sofort nach Gebrauch. Diese Technik schließt zudem Seite 5 von 6 6

menschliche Faktoren nahezu aus: Es treten beispielsweise keine Probleme mit unsicheren Kennwörtern, unerlaubter Weitergabe oder dem am Monitor klebenden Zettel, auf dem das Kennwort notiert ist, auf. 1.4 Network Access Control (NAC) Gerade Endgeräte im mobilen Einsatz bereiten immer wieder Probleme, wenn es um aktuelle Patches und Updates geht, denn sie befinden sich nicht permanent im Netz. Eine NAC- Appliance sorgt hier dafür, dass keine Sicherheitslücken entstehen. Mittels eines Agenten, der auf dem Endgerät installiert ist, erhält die Appliance automatisch Informationen über den aktuellen Sicherheitsstatus. Sie überprüft, ob beispielsweise der Virenschutz aktiv ist, über welches Patchlevel das Betriebssystem verfügt oder welche Registry-Keys vorhanden sind. Erst wenn alle Parameter aktualisiert und bereinigt sind, erhält der Benutzer Zugriff auf Netzwerkressourcen. Der Zugriff auf für das Update benötigte Systeme, wie Antivirus-Server, kann über die NAC-Appliance freigegeben werden. 1.5 Zentral verwaltete HIPS Eine weitere Möglichkeit, um den Schutz von Endgeräten wie Notebooks zu vervollständigen, ist ein Host Intrusion Prevention System (HIPS). Diese Systeme schützen das Gerät, auf dem sie installiert sind, indem sie das Ausführen von Dateien und Anwendungen anhand der System Calls überwachen. Applikationen und Programme nutzen diese System Calls, um Zugriff auf Ressourcen des Betriebssystems zu erhalten. Das HIPS schaltet sich quasi als überwachende Instanz zwischen die Applikationen und das Betriebssystem und überwacht, ob die ankommenden Anfragen valide sind. Über ein entsprechendes Managementsystem sind die HIPS auf verschiedenen Endgeräten zentral als Managed Service zu verwalten. Ob AAA, Token, Portauthentifizierung, NAC oder HIPS nur eine sinnvolle Kombination netzwerk- und hostbasierter Tools erreicht im Mobile Computing einen umfassenden Schutzfaktor. Die Vielfalt der verschiedenen Security-Szenarien ist einfach zu groß für singuläre Lösungen. In Eigenregie ist die Summe dieser Maßnahmen allerdings für IT-Verantwortliche häufig schwer realisierbar. Deshalb lohnt sich hier ein Managed Service als Komplett-Paket. Seite 6 von 6 6

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback