Mobiles Arbeiten zählt zu den wichtigsten IT-Trends, es ermöglicht eine anhaltende Produktivitätssteigerung bei sinkenden Kosten. Immer mehr Firmen wollen daher ihren Mitarbeitern den mobilen Zugriff auf Unternehmensdaten ermöglichen und so Geschäftsprozesse mobilisieren. In einer aktuellen Untersuchung von PAC und Atos Origin gaben über 90 Prozent der befragten IT-Verantwortlichen an, dass Mobility ein Thema für sie sei. Allerdings hatten nur sieben Prozent bereits erfolgreich mobile Projekte abgeschlossen. Nur ein scheinbarer Widerspruch.
Da mobile Lösungen in erster Linie in Geschäftsprozessen mit Kundenkontakt eingesetzt werden, müssen die Stabilität der Verbindung und vor allem die Sicherheit beim Datenzugriff gewährleistet werden. Aber das klingt leichter als es ist: Mobile Mitarbeiter wechseln ständig ihren Standort und müssen daher die unterschiedlichsten Provider und Netzwerke nutzen. Je nach Standort und Netzzugang sind sie unterschiedlichen Sicherheitsrisiken ausgesetzt, die vom einfachen Diebstahl des Endgerätes über unsichere Protokolle bis hin zu direkten Angriffen auf das Endgerät reichen.
Neben Geschwindigkeit, Stabilität und Benutzerfreundlichkeit steht das Thema Sicherheit daher bei der Realisierung einer mobilen IT-Strategie weit oben auf der Agenda der Verantwortlichen. Der folgende Artikel zeigt, wie der Anbieter NetMotion Wireless diese Fragen behandelt. Innerhalb seiner mobilen VPN-Lösung Mobility XE werden Authentifizierung, Verschlüsselung, Network Access Control und Policy Management kombiniert, um die verschiedenen Bedrohungen zu bekämpfen und mobiles Arbeiten in sicherer Umgebung zu gewährleisten.
Netzzugang – Sicherheitsrisiko Nr. 1
Unternehmen müssen sich auf verschiedene Netzwerktechnologien verlassen, um ihren Mitarbeitern wirklich überall mobilen Zugang zu Daten und Anwendungen zu ermöglichen. Vor Arbeitsbeginn erfolgt der Zugriff zu Hause via WiFi und DSL; später im Büro über Ethernet-LAN; beim Kundentermin eventuell über ein spezielles Besucher-WLAN; in der Mittagspause über einen öffentlichen Hotspot; beim nächsten Termin via WWAN des Endkunden oder die eigene UMTS-Karte. Das Problem dabei: Nicht jedes Netzwerk verfügt über gleich hohe Sicherheitsstandards. Der Zugang zum Netz ist deshalb nach wie vor Sicherheitsrisiko Nummer 1. Bei jedem Zugriff und auch bei jedem Wechsel des Carriers und Übertragungsmediums müssen die jeweils vorhandenen Sicherheitsrisiken beachtet und ausgeräumt werden. Dazu bedarf es eines Sicherheits-Frameworks, das eine stabile Verbindung ermöglicht, dabei höchstmögliche Sicherheit bietet und nicht zuletzt eine hohe Performance garantiert. In diesem Spannungsfeld scheitern viele Anbieter.
Lösungsansatz Mobile VPN
Mobile-VPN-Lösungen, wie beispielsweise Mobility XE, sind so ausgelegt, dass sie sich transparent an Veränderungen anpassen. Das Prinzip ist einfach: Zwischen Endgerät und dem Server mit der Applikation oder den Daten wird ein spezieller Kommunikationsserver geschaltet. Dieser VPN-Server wird im Rechenzentrum des Kunden installiert und sorgt für einen sicher getunnelten Zugriff durch authentifizierte VPN-Clients. Der mobile Client stellt also keine direkte und eventuell unsichere Verbindung mehr mit der eigentlichen Datenquelle her, er richtet seine Anfragen an den Kommunikationsserver, der die gesamte Kommunikation mit den Datenquellen übernimmt.
Über den Mobile-VPN-Tunnel werden dann Daten zwischen Client und Server übertragen. Dieser Tunnel ist nicht an eine physikalische IP-Adresse gebunden, sondern mit einer logischen IP-Adresse verknüpft, die wiederum fest mit dem mobilen Gerät verbunden ist. Beim Wechsel der Funkzelle, bei einer kurzzeitigen Verbindungsunterbrechung, sogar beim Wechsel der Netzart muss der Client nur die Verbindung zum Kommunikationsserver wieder aufbauen und kann dann seine Session, die vom Kommunikationsserver aufrecht erhalten wurde, fortsetzen. Die Basis für eine unterbrechungsfreie Kommunikation ist also geschaffen – fehlt noch die Sicherheit rund um das Endgerät.
Layer 4 Implementierung erhöht den Schutz
Mobility XE erzwingt Sicherheit von Endpunkt zu Endpunkt, unabhängig von den verwendeten Netzwerken. Es ist ein auf Standards basierendes Virtual Private Network, das speziell für drahtlose Netzwerke in mobilen Umgebungen konzipiert wurde. Obwohl für drahtlose Netzwerke optimiert, unterstützt es auch Netzwerke, die IP-Netzwerkprotokolle verwenden wie Ethernet, DSL-und Dial-up.
Bei der Lösung handelt es sich um ein Layer 4 VPN (Transport Layer). Die Positionierung oberhalb des Network Layers garantiert Sicherheit, denn während das Endgerät von einem zum anderen Netzwerk wechselt, werden Anwender, Applikationen und der VPN-Tunnel von den Veränderungen im Hintergrund abgeschirmt. Die Layer 4 Implementierung ermöglicht es, den Datenfluss zwischen der Anwendung (Layer 7) und Netzwerken (Layer 3) zu verwalten und zu schützen.
Der Mobility-XE-Client ist eine für den Endanwender transparente Softwarekomponente, die keinerlei Konfiguration von ihm erfordert. Der Client fügt eine zusätzliche Sicherheitsebene auf dem mobilen Gerät hinzu und stellt Firewall-Funktionen bereit, die jedoch nicht eine lokale Firewall ersetzen können. Sobald der Client gestartet wurde, kann die Kommunikation nur noch über die eigene Schnittstelle erfolgen. Der einzige Weg, wie Daten auf das Endgerät bzw. von ihm herunter übertragen werden können, führt dann durch den Mobility XE-Tunnel der zwischen Client und Server aufgebaut wurde. Das Endgerät ist dadurch sicher und auch gegen so genannte „Man-in-the-Middle“-Angriffe, Port-Scans und andere lokale Netzwerkangriffe geschützt.
Zugangskontrolle mittels mehrfacher Authentifizierung
Bevor jedoch Daten übertragen werden können, wird sichergestellt, dass sich der Anwender und falls gewünscht auch das Endgerät erfolgreich authentifiziert haben und über die erforderlichen Berechtigungen verfügen. Folgende Protokolle werden für die Benutzerauthentifizierung unterstützt: NTLM (Windows-Benutzer und Gruppen, einschließlich Active Directory), RADIUS (Remote Authentication Dial-In User Service) und RSA SecurID.
Fast kein mobiles Einsatzszenario entspricht dem anderen. Daher unterstützt Mobility XE mehrere Authentifizierungsmethoden, die auch kombiniert genutzt werden können. Der Umfang der Sicherheitsmaßnahmen und deren Management lassen sich vom Administrator an die individuellen Bedürfnisse anpassen.
Nachdem ein Benutzer erfolgreich authentifiziert wurde, stellt Mobility XE den VPN-Tunnel zur sicheren Übertragung von Anwendungsdaten bereit. Sollte der Mobility-Server so konfiguriert sein, dass das NTLMv2-Authentifizierungs-Protokoll verwendet wird, so werden die Sicherheits-Features von Windows einschließlich des Active-Directory-Dienstes genutzt.
Unternehmen oder Behörden, die sehr hohe Sicherheitsanforderungen haben, benötigen in der Regel eine Geräte-Authentifizierung, die über den klassischen Login mit Username und Passwort hinausgehen. Für solche Einsatzzwecke unterstützt Mobility XE zusätzliche Authentifizierungsmerkmale wie Smartcards, X.509v3 Benutzerzertifikate oder RSA SecurID.
Ein weiterer Vorteil von Geräte-Authentifizierung: Endgeräte lassen sich per Fernzugriff verwalten und zwar auch dann, wenn der Benutzer gerade nicht angemeldet ist. Dieses „Over-the-Air-Device-Management“ erhöht die Sicherheit zusätzlich, da jederzeit Kontrollen und Patches durchgeführt werden können.
Die Kombination von Geräte- und Benutzer-Authentifizierung verstärkt die Sicherheit lässt sich aber durch „User Reauthentication“ noch steigern. Mobile Endgeräte werden oft verlegt, verloren oder gestohlen. Eine Reauthentication kann in einstellbaren Intervallen erfolgen oder automatisch, sobald sich ein Gerät anmeldet, das eigentlich als gesperrt gemeldet ist. Der Administrator kann dabei festlegen, in welcher Zeitspanne der erfolgreiche Login stattfinden muss. Laufende Applikationen oder Datentransfers werden durch eine User Reauthentication nicht gestört oder gar abgebrochen.
Verschlüsselung das A&O
Nach erfolgreicher Authentifizierung sendet der Server dem Mobility-Client eine Datensicherheits-Spezifikation und schreibt zwingend die Datensicherheitsstufe vor. Es erfolgt dann der Austausch eines signierten Diffie-Hellman-Keys (ECDH) zwischen Mobility-Client und dem Server, der die Schlüssel für die Sitzung festgelegt. Die Schlüsselgrößen für ECDH basieren auf der AES-Schlüsselgröße, wie sie von der US-Behörde NIST (National Institute of Standards and Technology) im Digital Signature Standard FIPS PUB 186-2 empfohlen werden. Bei NTMLv2 und LEAP-Authentifizierung schützt Mobility XE gegen Man-in-the-Middle-Angriffe durch Signatur der Diffie-Hellman Parameter beim Austausch. Der Empfänger authentifiziert die Parameter durch Prüfung der Signatur. Automatisches Re-keying verbessert die VPN-Sicherheit durch periodisch wechselnde Schlüssel.
Der Advanced Encryption Standard (AES) wird als Algorithmus verwendet, um den Datenverkehr zwischen dem Mobility-Client und dem Server zu verschlüsseln. Als Standard wird ein 128-Bit-Key verwendet, was dem Mindeststandard für CJIS Sicherheitsrichtlinien entspricht. Der Administrator kann aber auch Schlüssellängen von 192 oder 256-Bit festlegen.
Device Level Security & Policy Management
Normalerweise sind die eingesetzten mobilen Endgeräte über eine große Fläche verteilt. Oft sind sie Hunderte Kilometer vom Rechenzentrum entfernt und für die IT für lange Zeit nicht physikalisch greifbar. Allerdings stellen gerade mobile Endgeräte in Händen von nicht geschulten IT-Mitarbeitern ein großes Risiko dar. Anwender verwenden evtl. USB-Sticks mit Schadsoftware, erlauben Fremden den Zugang zum Gerät oder versuchen gar Software aufzuspielen bzw. Einstellungen zu modifizieren. Daher bietet Mobility XE Managementfunktionen für eine wirksame Remote-Kontrolle, um einen einwandfreien Zustand der verwendeten Endgeräte sicherzustellen.
Mittels Network Access Control (NAC) werden die Geräte regelmäßig inspiziert, um zu gewährleisten, dass sie konform konfiguriert und korrekt gepatcht sind. Auch wird überprüft, ob Sicherheitssoftware wie Virenschutz, Antispyware und Firewall aktuell und vor allem aktiviert sind. Ist ein mobiles Geräte nicht richtig konfiguriert, warnt das NAC-Modul den Benutzer, verhindert oder beschränkt den Netzzugang und informiert den Administrator.
Das Mobility Policy Management ermöglicht dem Administrator die zentrale Definition von Sicherheitsregeln, und zwar für ein bestimmtes Gerät, eine Geräte-Gruppe, einen Anwender oder bestimmte Benutzergruppen. Die Regeln erstrecken sich von Layer 2 bis Layer 7, je nachdem wo der Anwender ist und wie er auf das Netzwerk zugreift. Die Regeln können verschiedene Parameter verwenden wie Interface-Name, Geschwindigkeit, SSID, BSSID, IP-Adresse und Port (Layer 3), Übertragung (Layer 4), Session (Layer 5) und die Anwendung (Layer 7). Die Richtlinien werden auf jedem mobilen Gerät implementiert und zwingend durchgesetzt.
Vertrauen ist gut – Kontrolle besser
Wenn eine Sicherheitslücke entsteht, sind nicht nur Unternehmensdaten gefährdet. Einige Meldungen haben unmittelbare Auswirkungen auf die Sicherheit, wie wiederholte fehlgeschlagene Logins oder ein Gerät, das sich außerhalb der NAC Norm befindet. Fehlgeschlagene Logins können bedeuten, dass ein Gerät gestohlen wurde oder dass ein Gerät, das wegen Sicherheitsproblemen unter Quarantäne gestellt wurde, dem Mitarbeiter schlichtweg das Arbeiten unmöglich macht.
Administratoren müssen schnell auf solche Herausforderungen reagieren können und benötigen ein entsprechendes Reportingtool, was daher in Mobility XE integriert ist. Sie erhalten bei allen Problemfällen automatisch Benachrichtigungen per E-Mail oder über Managementsysteme (syslog oder SNMP-Konsolen). Die Berichte liefern aber auch Einblicke, wann wer welche Anwendungen oder Netzwerke genutzt hat. Dies ermöglicht Analyse und proaktives Verhalten seitens der Administratoren.
Mehr Sicherheit im Team
Ein Mobile VPN ist zwar ein wichtiger, aber letztlich auch nur ein Teil eines sicheren Systems. Um wirklich effektive Sicherheit zu gewährleisten, ist ein Teamansatz die beste Methode. Mobility XE sollte daher gemeinsam mit anderen Sicherheitsmechanismen und -Tools eingesetzt werden. Für die Implementierung auf Windows-Servern empfiehlt es sich beispielsweise, den Empfehlungen von Microsoft und der US-Regierung zu folgen. Sollten Anwender über öffentliche WLANs oder WWANs auf den Mobility-Server zugreifen, sollte sich dieser in einer DMZ-Firewall oder hinter der Unternehmens-Firewall befinden. Sicherheitsbewusste Unternehmen sollten zusätzliche Lösungen zum Schutz ihrer mobilen Geräte verwenden. Hierzu gehören Antiviren-Software, eine verteilte Firewall, lokale Verschlüsselung und ein starkes Device-Management mit Patch-Management und Software-Updates.
IT-Verantwortliche werden immer wieder mit neuen IT-Philosophien konfrontiert, die aber meist aufwendige und kostspielige Umbauten an der bestehenden IT-Infrastruktur erfordern. Mobile-VPNs wie die NetMotion-Lösung erfordern keine Umbauten an der IT-Infrastruktur, sind kostengünstig und ermöglichen vor allem ein wirklich sicheres Arbeiten von unterwegs. Die serverseitige Installation ist binnen weniger Stunden realisiert und auch das Ausbringen der Clients ist schnell umgesetzt. So wird es möglich, innerhalb einer Woche nahezu alle Business-Anwendungen bis hin zum kompletten Rechenzentrum für mobile, sichere Datenzugriffe zugänglich zu machen.