Startseite | Unternehmen | News & Projekte | Kontakt | Serviceportal | Impressum
 
Managed Services
Integration
Components

Suche:
Seite druckenNewsletter-AboBCC Intern
Home: News & Projekte

17.06.10

Zusätzlicher Schutz für mobile Arbeitsplätze

Mobile Router Absicherung


von Benjamin Stehr

 

Breitbandige UMTS-Technologien bieten nicht nur den mobilen Zugriff aufs Internet, sondern auch ins Unternehmensnetz. Mit der erweiterten Mobilität eröffnen sich allerdings neue Sicherheitsrisiken. Virtual Private Networks (VPNs) bieten hier wesentlich mehr Schutz als herkömmliche Zugriffsvarianten. Ganze Workgroups lassen sich inzwischen per mobilem Router in das VPN integrieren - geschützt durch ein mehrstufiges Sicherheitskonzept.

 

Mobile Netze und Vernetzungen sind schon seit einigen Jahren zum Alltag in der Geschäftswelt geworden. Die Grenzen der Kommunikation verschwinden zunehmend: Neben dem Telefonieren über Mobilfunknetze ist auch der drahtlose Zugriff auf unternehmensweite Netzwerke immer stärker gefordert. Dank der aktuellen Technologie sind Managed Services Provider heute in der Lage, ganze mobile Teams per VPN in ein Unternehmensnetz zu integrieren. Mehrere Arbeitsplatzrechner, Notebooks oder auch Drucker werden als Arbeitsgruppe über einen UMTS-Router in das VPN eingebunden. Dadurch genießen sie im Prinzip den gleichen Schutz und dieselben Sicherheitseigenschaften wie alle leitungsgebundenen Teilnehmer. Beispielsweise surfen mobile Nutzer geschützt durch die gesicherten Firewalls sowie die Viren- und Spamschutzsysteme der Zentrale.

 

Erfahrungen zeigen: Die Sicherheits­probleme liegen an anderer Stelle und sind physikalischer Natur. Grundsätzlich hat eine Funk-Übertragungstechnik ein leicht erhöhtes Sicherheitsrisiko gegenüber einer leitungsgebundenen Verbindung. Der physikalische Zugang ist aufgrund der Übertragung im öffentlichen Luftraum leichter, als bei in der Erde verlegten Kabeln. Dieser erhöhten Gefährdung tragen die Mobilfunkanbieter Rechnung: UMTS ist per se verschlüsselt und bietet von sich aus eine ausgereifte Sicherheitsarchitektur. Doch gerade wenn UMTS-Router in Fahrzeugen wie Kranken­wagen, mobilen Serviceeinheiten oder anderen Behördenfahrzeugen eingesetzt werden, erhöht sich die Diebstahlgefahr und damit das Sicherheitsrisiko ohne zusätzliche Maßnahmen immens.

 

Security Tokens als Schlüssel

Eine mögliche Lösung für dieses Problem sind so genannte „Security Tokens“. Sie werden direkt per USB an den Router angeschlossen und haben ein Sicherheitszertifikat gespeichert. Das Gerät fährt nur hoch, wenn beim Starten das Token angeschlossen ist. Nach einem Diebstahl kann der Router nicht mehr verwendet werden. Der Zugriff auf das Firmennetz bleibt dem Dieb verwehrt - sensible Firmendaten bleiben geschützt.

 

 Diese Art der Absicherung ist in zwei Varianten realisierbar. Bei der ersten Methode reagiert der Router auf das Einstecken und Abziehen des Token. Der Router hat seine komplette Konfiguration in diesem Fall bereits geladen. Lediglich der Verbindungsaufbau ins VPN kann erst mit dem Token erfolgen, denn auf ihm sind die VPN-Parameter gespeichert. Einmal erfolgreich verbunden, baut sich das VPN erst wieder ab, wenn der Token wieder abgezogen wird. Nachteil dieser Methode ist die fehlende intuitive Bedienbarkeit. Zu leicht kann der Token im Router vergessen werden, auch wenn ein VPN längst nicht mehr notwendig ist. Darüber hinaus ist IP-Telefonie mit diesem Verfahren nur eingeschränkt möglich, da der Teilnehmer nur  mit aktiviertem Router und aufgebautem VPN erreichbar ist. Anrufe, die außerhalb des aktiven Nutzungszeitraumes des Routers hereinkommen, gehen so verloren.

 

Abhilfe schafft hier die zweite Methode der Routerabsicherung. Bei diesem Verfahren ist die Konfiguration selbst verschlüsselt, sodass der Router seine Konfiguration ohne Token nicht lesen kann. Erst mit dem USB-Token erhält der Router die notwendigen Informationen, um seine Konfigurationsdaten zu lesen. Ist das VPN aufgebaut, kann der Nutzer den Token sofort wieder abziehen. Die Kürze des Prozesszeitraums minimiert die Gefahr, den Token im Gerät zu vergessen. Die Verbindung wird erst mit dem Unterbrechen der Stromversorgung, beispielsweise bei Diebstahl, getrennt. Mit diesem Verfahren ist nicht nur eine erhöhte Diebstahlsicherung gewährleistet. Unberechtigte Nutzer haben ohne valide Konfigurationsdaten auch keinen Zugriff mehr auf das VPN. Darüber hinaus schränkt das Verfahren die Nutzung von VPN-basierter IP-Telefonie nicht ein.

 

Portauthentifizierung durch 802.1x

Dennoch gehört zu einer korrekt abgesicherten mobilen Netzwerkanbindung weit mehr als ein gut geschützter Router. Switche und Endgeräte wie Notebooks oder Workstations benötigen ebenso erhöhte Security-Maßnahmen. Mobil ist die Gefahr von unberechtigten Zugriffen immer größer, denn physikalische Sicherheitsmaßnahmen wie Zugangsbeschränkungen,  Personenkontrolle etc. lassen sich nur bedingt realisieren. Auch hier helfen Zertifikate in Verbindung mit 802.1x, einem Standard zur Authentifizierung, weiter. Das Verfahren erlaubt dem Endgerät den Zugang zum Netzwerk ausschließlich, wenn es ein entsprechendes Zertifikat besitzt. Sobald das Gerät an den entsprechenden Switchport – oder Router – angeschlossen ist, fragt der Switch nach einem gültigen Zertifikat. Nachdem er die entsprechenden Informationen erhalten hat, verifiziert der Switch über das VPN mittels RADIUS – einem weiteren Authentifizierungsprotokoll – am Authentifizierungsserver der Systemlandschaft, ob die erhaltenen Anmeldeinformationen gültig sind. Sobald dies vom Server bestätigt wurde, fährt der Switchport hoch und das Endgerät erhält eine Verbindung. Bei negativer Rückmeldung bleibt der Port inaktiv.

 

Eine personenbezogene Authentifizierung am Endgerät mittels Einmalpasswort runden die mobilen Sicherheitsvorkehrungen ab. Hier verwendet der Benutzer für den Zugriff auf interne Datensysteme wiederum einen Token, der dynamische Einmalpasswörter erzeugt. Sie sind nur in einem kurzen Zeitraum gültig und werden erst unmittelbar beim Benutzen des Tokens angezeigt.  Auch wenn das Kennwort abgehört wird, bringt dies keine Probleme mehr mit sich: Es verfällt sofort nach Gebrauch. Diese Technik schließt zudem menschliche Faktoren nahezu aus: Es treten beispielsweise keine Probleme mit unsicheren Kennwörtern, unerlaubter Weitergabe, oder dem am Monitor klebenden Zettel, auf dem das Kennwort notiert ist auf.

 

Network Access Control (NAC)

Gerade Endgeräte im mobilen Einsatz bereiten immer wieder Probleme, wenn es um aktuelle Patches und Updates geht, denn sie befinden sich nicht permanent im Netz. Eine NAC-Appliance sorgt hier dafür, dass keine Sicherheitslücken entstehen. Mittels eines Agenten, der auf dem Endgerät installiert ist, erhält die Appliance automatisch Informationen über den aktuellen Sicherheitsstatus. Sie überprüft, ob beispielsweise der Virenschutz aktiv ist, über welches Patchlevel das Betriebssystem verfügt oder welche Registry-Keys vorhanden sind. Erst wenn alle Parameter aktualisiert und bereinigt sind, erhält der Benutzer Zugriff auf Netzwerkressourcen. Der Zugriff auf für das Update benötigte Systeme, wie Antivirus-Server, kann über die NAC-Appliance freigegeben werden.

 

Schnittstellenverschlüsselung per IPSec

Weitere Sicherheitsmaßnahmen betreffen das Netz selbst: Die Schnittstelle zwischen UMTS-Netz und Provider-Backbone wird häufig über IPSec verschlüsselt. Im Gegensatz zum vielfach verwendeten, jedoch unverschlüsselten Layer-2-Tunneling eine sichere Alternative.  Wenn mobile Endgeräte VPN-Verbindungen zur Zentrale herstellen sollen, kann es bei IPSec jedoch zu Konflikten mit den im Netzwerk tätigen NAT-Routern kommen. Network Address Translation (NAT) übersetzt die in internen Netzwerken verwendeten privaten Adressen in externe, damit sie im öffentlichen Netz geroutet werden können. NAT-Router verhindern unter Umständen den erfolgreichen Aufbau des IPSec-Tunnels. Sie können nicht mehr zuordnen, von welchem Rechner das adressierte Paket ursprüng­lich stammt, eine Eigenschaft, die für VPNs unbedingt gegeben sein muss. Denn beide Geräte, die der IPSec-Tunnel verbindet, müssen direkt miteinander kom­muni­zieren können. Deshalb ist reines IPSec in NAT-Umgebungen nicht zu gebrauchen. Nur mit der Erweiterung des IPSec-Protokolls, NAT-Traversal, können NAT-Router IP-Adressen bedarfsgerecht umschreiben.

 

Netzabdeckung in der Fläche noch kritisch

Je nach Mobilfunkanbieter sind die Netze nicht unbedingt gut ausgebaut. In Ballungszentren und den meisten Städten ist UMTS kein Problem mehr, doch in ländlichen Gegenden sind die Netze oft noch nicht vorhanden. Durch unzureichende Netzabdeckung kurzzeitig auftretende Verbindungsabbrüche sind für die meisten Anwendungen unproblematisch, doch gerade wenn es um laufzeitempfindliche Applikationen wie Daten­bankanwendungen geht, können Schwierigkeiten auftreten. Viele Router bieten inzwischen eine Fallback-Lösung von UMTS auf das wesentlich langsamere GPRS an. Hier sind nach wie vor die Mobilfunk-Betreiber gefragt, ihre Netze zu erweitern.



<- Zurück zu: Aktuelle Meldungen