8
V iele Sicherheitsverant- wortliche in IT-Abteilun- gen müssen sich fühlen wie Personenschützer, die einen Star bewachen, der gerne mal vom Protokoll abweicht und das Bad in der Menge sucht. War es in der Vergangenheit möglich, den Mitarbeitern zen- tral verwaltete Endgeräte und Software vorzuschreiben, so bestimmen zunehmend die Benutzer, womit sie auf Firmen- daten zugreifen – hoffentlich in Abstimmung mit dem Arbeit- geber. iPads und Smartphones abseits des BlackBerry sind nämlich nicht länger tabu in den Firmennetzen. Dies bringt nicht nur neue Freiheiten für die Nutzer, sondern auch die Firmen profitieren davon, wenn Mitarbeiter immer erreichbar sind und von überall aus arbei- ten können. Da sich die Indivi- dualisierung bei den Endgerä- ten nicht aufhalten lässt, bleibt den IT-Abteilungen nichts an- deres übrig, als das solcherart erweiterte Firmennetz in die Si- cherheitskonzepte zu integrie- ren. Das bedeutet insbesondere das Verschlüsseln der Übertra- gung außerhalb des Firmennet- zes, das Authentifizieren der Nutzer oder Geräte und das Si- cherstellen der Datenintegrität. Bewährtes auch mobil nutzbar Hierfür stehen bewährte VPN- Techniken (Virtual Private Network) zur Verfügung, die – richtig konfiguriert und ange- wendet – ein hohes Maß an Sicherheit gewährleisten. Ursprünglich für die Vernet- zung von Firmenstandorten entwickelt, lassen sie sich auch zum Anbinden von Endge- räten nutzen. Dem Einsatz auf Smartphones standen bisher die hohen Anforderungen an die Prozessorleistung entge- gen – insbesondere für eine sichere Verschlüsselung. Da aktuelle Smartphones über Re- chenleistungen verfügen, die vor wenigen Jahren Desktops vorbehalten waren, sind ge- schützte VPN-Zugänge auch hier inzwischen das Mittel der Wahl, vor allem per Point- to-Point Tunneling Protocol (PPTP), Layer-2 Tunneling Pro- tocol (L2TP) sowie IP Security Protocol (IPSec). I Networking Nie ohne Tunnel Sicherer Zugang zum Firmennetz auch von unterwegs Ob Apples iPhone, Android-Tablets oder Netbooks: Die Anzahl und Vielfalt mobiler Endgeräte nimmt auch in Unternehmen rasch zu – und damit der Bedarf an zuverlässigen, vertrauenswürdigen Zugängen für die mobilen Begleiter zum Firmennetz. Dank ihrer Leistung stehen dafür inzwischen sowohl bewährte VPN-Technik als auch spezielle Hardware und Software zur Verfügung. Networking extra Mobile Firmen- zugänge: VPN und die Alternativen Sicherer Zugang zum Firmennetz auch von unterwegs Nie ohne Tunnel Seite I Vorschau Embedded Systems Product Lifecycle Management im Automotive-Umfeld Seite VIII Veranstaltungen 12.ˇˇ13. Mai, Frankfurt/M. IPv6-Kongress 2011 www.ipv6-kongress.de 30. Juliˇˇ3. August, Las Vegas Black Hat 2011 www.blackhat.com 8.ˇˇ9. September, Stockholm SEC-T 2011 www.sec-t.org 19.ˇˇ21. September, Luxemburg hack.lu 2011 2011.hack.lu 11.ˇˇ13. Oktober, London RSA Conference Europe 2011 www.rsaconference.com iX extra Networking zum Nachschlagen: www.heise.de/ix/extra/networking.shtml Ein Verlagsbeihefter der Heise Zeitschriften Verlag GmbH & Co. KG sponsored by:

Networking extra · 2011-08-23 · sichere Verschlüsselung. Da aktuelle Smartphones über Re-chenleistungen verfügen, die vor wenigen Jahren ... Wie IPSec nutzt SSL/TLS symmetrische

  • Upload
    others

  • View
    0

  • Download
    0

Embed Size (px)

Citation preview

Page 1: Networking extra · 2011-08-23 · sichere Verschlüsselung. Da aktuelle Smartphones über Re-chenleistungen verfügen, die vor wenigen Jahren ... Wie IPSec nutzt SSL/TLS symmetrische

V iele Sicherheitsverant-wortliche in IT-Abteilun-

gen müssen sich fühlen wiePersonenschützer, die einenStar bewachen, der gerne malvom Protokoll abweicht unddas Bad in der Menge sucht.War es in der Vergangenheitmöglich, den Mitarbeitern zen-tral verwaltete Endgeräte undSoftware vorzuschreiben, sobestimmen zunehmend die Benutzer, womit sie auf Firmen-daten zugreifen – hoffentlich inAbstimmung mit dem Arbeit -geber. iPads und Smartphonesabseits des BlackBerry sindnämlich nicht länger tabu inden Firmennetzen. Dies bringtnicht nur neue Freiheiten fürdie Nutzer, sondern auch dieFirmen profitieren davon, wennMitarbeiter immer erreichbarsind und von überall aus arbei-ten können. Da sich die Indivi-dualisierung bei den Endgerä-ten nicht aufhalten lässt, bleibtden IT-Abteilungen nichts an-deres übrig, als das solcherarterweiterte Firmennetz in die Si-cherheitskonzepte zu integrie-ren. Das bedeutet insbesonderedas Verschlüsseln der Übertra-gung außerhalb des Firmennet-

zes, das Authentifizieren derNutzer oder Geräte und das Si-cherstellen der Datenintegrität.

Bewährtes auch mobil nutzbarHierfür stehen bewährte VPN-Techniken (Virtual Private Network) zur Verfügung, die –richtig konfiguriert und ange-wendet – ein hohes Maß anSicherheit gewährleisten. Ursprünglich für die Vernet-zung von Firmenstandortenentwickelt, lassen sie sichauch zum Anbinden von Endge-räten nutzen. Dem Einsatz aufSmartphones standen bisherdie hohen Anforderungen andie Prozessorleistung entge-gen – insbesondere für einesichere Verschlüsselung. Daaktuelle Smartphones über Re-chenleistungen verfügen, dievor wenigen Jahren Desktops vorbe halten waren, sind ge-schützte VPN-Zugänge auchhier inzwischen das Mittel der Wahl, vor allem per Point-to-Point Tunneling Protocol(PPTP), Layer-2 Tunneling Pro-tocol (L2TP) sowie IP SecurityProtocol (IPSec).

I

Networking

Nie ohne TunnelSicherer Zugang zum Firmennetz auch von unterwegs

Ob Apples iPhone, Android-Tablets oder Netbooks: Die Anzahl und Vielfalt mobiler Endgeräte nimmt auch in Unternehmen rasch zu – und damit der Bedarf anzuverlässigen, vertrauenswürdigen Zugängen für diemobilen Begleiter zum Firmennetz. Dank ihrer Leistungstehen dafür inzwischen sowohl bewährte VPN-Technikals auch spezielle Hardware und Software zurVerfügung.

Networkingextra

Mobile Firmen -zugänge: VPN und die AlternativenSicherer Zugang zum Firmennetz auch von unterwegs

Nie ohne Tunnel Seite I

Vorschau

Embedded SystemsProduct Lifecycle Management im Automotive-Umfeld Seite VIII

Veranstaltungen12.ˇ–ˇ13. Mai, Frankfurt/M.IPv6-Kongress 2011www.ipv6-kongress.de

30. Juliˇ–ˇ3. August, Las VegasBlack Hat 2011www.blackhat.com

8.ˇ–ˇ9. September, StockholmSEC-T 2011www.sec-t.org

19.ˇ–ˇ21. September, Luxemburghack.lu 20112011.hack.lu

11.ˇ–ˇ13. Oktober, LondonRSA Conference Europe 2011www.rsaconference.com

iX extra

Networking zum Nachschlagen:

www.heise.de/ix/extra/networking.shtml

Ein

Ver

lags

bei

heft

er d

er H

eise

Zei

tsch

rifte

n Ve

rlag

Gm

bH

& C

o. K

G

sponsored by:

Page 2: Networking extra · 2011-08-23 · sichere Verschlüsselung. Da aktuelle Smartphones über Re-chenleistungen verfügen, die vor wenigen Jahren ... Wie IPSec nutzt SSL/TLS symmetrische

Für eine Filialvernetzungkommt fast ausschließlich dassichere und flexible Layer-3-Protokoll IPSec zum Einsatz,das aber gerade für mobileEndgeräte einige Nachteile auf-weist: Die IP-Adresse darf sichnicht ändern, und bei einer Ver-bindungsunterbrechung oderbei einem Netzwechsel (etwavon WLAN zu UMTS) muss sichder Nutzer jeweils neu authen-tifizieren. Auch kommt IPSecschlecht mit langsamen Anbin-dungen zurecht.

Allen VPN-Techniken ge-meinsam ist der Tunnel zwi-schen dem Endgerät und einemVPN-Server oder -Router in derFirma, der die Daten sicher undverschlüsselt überträgt. Sepa-rate VPN-Clients sind immerseltener nötig, da die Funktio-nen zunehmend direkt in dieBetriebssysteme integriert sind.Selbst Apples iOS – eigentlichnicht für den Firmeneinsatzkonzipiert – stellt alle drei ge-nannten VPN-Protokolle zurVerfügung (Abbildung 1). Den-noch haben große Herstellervon Sicherheitshardware wieCheck Point, Cisco oder Juni-per ihre eigenen VPN-Clientsund inzwischen auch Anwen-dungsprogramme – sogenann-te Apps – für Smart phones

entwickelt. Sie können Vorteilebeim Administrieren seitens der IT-Verantwortlichen sowie größere Wahlmöglichkeiten bei der Konfiguration bieten – zumBeispiel unterschiedliche Verschlüsselungsverfahren (ausführliche Beschrei bungender VPN-Grundlagen in iX extra 9/2009 und 9/2010).

Zum Umgehen der Nachteileklassischer VPN-Verfahren fürmobile Endgeräte gibt es spe-zielle Produkte unter dem Be-griff „Mobile VPN“, zum BeispielMobility XE von NetMotion, dasauf Network-Layerˇ4 arbeitet.Es hält den VPN-Tunnel auchdann noch aufrecht, wenn dasEndgerät den Standort wech-selt, die Verbindung kurz unter-bricht oder vorübergehend inden Ruhezustand wechselt.

Manchmal reichtsimpelVPNs im engeren Sinn sindeine umfassende Technik zursicheren Datenübertragungzwischen ganzen Netzen undinsbesondere allen Netzwerk-diensten. In vielen Fällen genü-gen einfachere Lösungen wieSecure Shell (SSH), etwa wennes nur eine einzelne Anwen-

dung abzusichern gilt. SSHstammt aus dem Unix-Umfeld,steht aber auch für Windowsund andere Betriebssystemezur Verfügung. Es kann mittelsPort-Umleitung jedes beliebigeProtokoll schützen. Dazu reichtSSH den Datenstrom von Client-Ports verschlüsselt an den SSH-Server weiter, der die Datenentschlüsselt zum spezifiziertenPort am Server vermittelt (Abbil-dung 2). So lässt sich einfacheine sichere E-Mail-Verbindungaufbauen, indem die sonst un-verschlüsselt übertragenenProtokolle SMTP und POP3oder IMAP einen SSH-Tunnelnutzen. Die Anwendung istaber nicht auf E-Mail be-schränkt, sondern kann grund-sätzlich auch andere TCP-Dienste wie HTTP tunneln.

Zum Verschlüsseln von Ver-bindungen eignet sich auchSSL/TLS (Secure SocketsLayer/Transport Layer Security),eine der meistverbreiteten Si-cherheitstechniken im Internet.SSL/TLS entstand zum Schutzdes Datentransfers zwischenBrowser und Webserver, sichertheute aber etwa auch den Da-tentransport zwischen Mail-Client und -Server. Es kommthäufig dann zum Einsatz, wenn

gerade kein geschützter Zugriffauf das gesamte Unterneh-mensnetz nötig ist, sondern nurauf bestimmte Anwendungen.

Wie IPSec nutzt SSL/TLSsymmetrische Verschlüs se -lungs algorithmen, Authentifi-zierung und Schlüsselmanage-ment. Während bei IPSec stetsauf beiden Seiten Zertifikatevorliegen, ist dies bei SSL aufClient-Seite optional. Für be-sonders hohe Anforderungenan die Reputation des Heraus-gebers lassen sich sogenannteExtended-Validation-SSL-Zerti-fikate (EVSSL-Zertifikat) einerunabhängigen Zertifizierungs-stelle nutzen, etwa von VeriSign.

Sind die Zielanwendungennicht direkt erreichbar, kannein SSL-VPN-Server oder -Proxy als Verbindungsglieddienen. Er bietet bei BedarfZusatzfunktionen wie einen direkten Zugriff auf Dateien(Remote File Access). DerWebbrowser als Client erhält jenach Anwendung neue Funktio-nen durch Java- oder ActiveX-Erweiterungen. Inzwischen be-nötigen viele Webanwendungenihre spezifischen Plug-ins imBrowser. Allerdings steht diesgerade den Zielen von SSL ent-gegen: Einfachheit, Sicherheitund Zugriff von jedem Endge-rät mit Browser.

SSL und SSH, die im weite-ren (Marketing-)Sinn auch zuden VPN-Techniken zählen,haben gerade auf Smartphonesgegenüber IPSec den Vorteil,keinen permanenten Tunnel auf-zubauen, der in Mobilfunknetzenhohe Kosten verursachen kann.BlackBerry-Geräte verwendendeshalb SSL/TLS. Dass derBlackBerry in Firmen und Behör-den als das sichere mobile End-gerät schlechthin gilt, liegt vorallem daran, dass der HerstellerResearch in Motion (RIM) eineEnde-zu-Ende-Verschlüsselunganbietet. Den sicheren Endpunktin der Firma bildet ein Black -Berry Enterprise Server (BES).Nur für den Privatgebrauch ak-zeptabel ist hingegen die Nut-

II iX extra 5/2011

Networking

IPSec

–ˇuniversell einsetzbar (sowohl für Geschäftsstellenverbindungals auch für Einwahl von Clients)

–ˇanwendungstransparent und -unabhängig (z.ˇB. für VoIP geeignet)

–ˇgewährleistet Ende-zu-Ende-Sicherheit für Geräte und Netze–ˇflexibel und zukunftssicher (unterschiedliche Verschlüsse-

lungs- und Authentifizierungsalgorithmen möglich)–ˇfür alle wichtigen Betriebssysteme und Endgeräte verfügbar–ˇausgereift und sicher–ˇbreite Unterstützung durch Hardware- und Softwarehersteller

SSL/TLS

–ˇkein VPN-Client notwendig (nur Webbrowser)–ˇkein VPN-Server notwendig (nur Webserver)–ˇbetriebssystemunabhängig–ˇeinfach zu implementieren–ˇrobust, unproblematisch für die Nutzung von NAT–ˇbaut keine permanente Verbindung auf, die Kommunikations-

kosten verursachen kann

VPN-Techniken

Apples iOS unterstützt VPNsauch ohne Zusatz software (Abb. 1).

Page 3: Networking extra · 2011-08-23 · sichere Verschlüsselung. Da aktuelle Smartphones über Re-chenleistungen verfügen, die vor wenigen Jahren ... Wie IPSec nutzt SSL/TLS symmetrische

Home Office WLAN-Endgeräte

IP-System-Endgerät

WLAN-Desktop PC

Zentrale

LAN

WLAN-AccessPoint

IP-System-Endgerät

Kommunikations-system

Alcatel-Lucent WLAN-SwitchFirewall

Breitband

Gesamte Infrastruktur ist von Alcatel-Lucent erhältlich.

Alcatel-Lucent Remote AccessPoint Lösung bildet eine einfache Verlängerung des Unternehmensnetzwerkes in kleine Außenstellen und Home Offices. In den dezentralen Büros können die Remote AccessPoints vom Nutzer an beliebigen Internet-Anschlüssen in Betrieb genommen werden. Die Remote AccessPoints bauen eine IPSec gesicherte Verbindung zum zen-tralen Alcatel-Lucent WLAN-Controller auf. Danach steht sowohl das Firmen-WLAN als auch das Firmen-LAN am Remote AccessPoint zur Verfügung. Auch ein IP-Phone kann als Nebenstelle an der Firmen-Tele-kommunikationsanlage betrieben werden.

xDSL-Modem

Alcatel-Lucent WLAN Remote AccessPoint RAP-5WN

Alcatel-LucentWLAN Remote AccessPoint

Sicherheit und Firmen-WLAN bis nach Hause

Ihr Ansprechpartner: KOMSA Systems GmbHTel. 03722 713-6022 [email protected]

Page 4: Networking extra · 2011-08-23 · sichere Verschlüsselung. Da aktuelle Smartphones über Re-chenleistungen verfügen, die vor wenigen Jahren ... Wie IPSec nutzt SSL/TLS symmetrische

zung von RIMs eigener Infra-struktur in Form des BlackBerryInternet Service (BIS).

Dass sich SSL nicht aufWebanwendungen beschränkt,zeigt OpenVPN aus der OpenSource. Es verwendet zur Ver-schlüsselung und Authentifizie-rung die Bibliothek OpenSSL,die auch die meisten sicher-heitsrelevanten Webserver nut-zen, und kapselt den Datenver-kehr zwischen zwei Endpunkten

in ganz normale TCP-Pakete. Daes nur einen UDP- oder TCP-Port benutzt, ist es robuster inUmgebungen mit dynamischenIP-Adressen und Network Ad-dress Translation (NAT) als an-dere VPN-Techniken.

OpenVPN steht nicht nur füreine Vielzahl von Linux- undUnix-Derivaten zur Verfügung,sondern auch für Windows, Mac OS und das Smartphone-Betriebssystem Android. Damit

ist es flexibel für ganz unter-schiedliche Anwendungsfälleeinsetzbar. OpenVPN gilt alsbesonders leicht zu implemen-tieren. Zum einfachen Konfi -gurieren auch jenseits der Kommandozeile existieren ver-schiedene grafische Frontends,beispielsweise OpenVPN GUI.Obwohl OpenVPN eine konkreteUmsetzung ist und kein Stan-dard, haben seine spezifischenVorteile zu einer weiten Verbrei-tung beigetragen und es zueinem De-facto-Standard ge-macht.

Diverse Hardwarebringt’sDer Vorteil von VPNs für denmobilen Firmenzugang liegt vorallem darin, dass sie lediglicheinen Software-Client auf demEndgerät voraussetzen, denzudem die meisten Betriebs-systeme bereits enthalten. Das

Konfigurieren von VPNs ist je-doch manchmal kompliziertund auf jedem einzelnen End-gerät erforderlich. Und brichtdie sichere Verbindung ab, be-wegt sich das Endgerät unge-schützt im Internet. Deshalbgibt es eine Reihe von Hard-wareprodukten, die Endgerätesicher ins Firmennetz bringen.Sie orientieren sich an denSchnittstellen von PCs undNotebooks und sind meist alsUSB- oder ExpressCard-Varian-ten erhältlich.

So gibt es vom deutschenHersteller GeNUA eine Security-Karte für Notebooks, die als Firewall, VPN-Gateway und Access Token fungiert (Abbil-dung 3). Sie verfügt über eineneigenen Prozessor, Speicherund ein gehärtetes Betriebssys-tem – beherbergt also einenkleinen Computer. Damit be-steht eine physische Trennungzwischen Mobile Security

IV iX extra 5/2011

Networking

Sicherer E-Mail-Transport für mobile Endgeräte: Mit SSHlassen sich normalerweise ungesicherte Protokolle wie POP3verschlüsselt übertragen (Abb. 2).

Unified Threat Management(UTM) bezeichnet den umfas-senden Schutz gegen alleGefahren aus dem Internet –wie Hackerangriffe, Viren undSpam. Alle Schutzmechanis-men, die früher auf separatenGeräten liefen, sind auf einerAppliance zusammengefasst.UTM bildet damit den Gegen-entwurf zum Ansatz „Best ofBreed“, also die vermeintlichbeste Lösung für jede einzelneFunktion auszuwählen.

Die fortschreitende Vernetzungund Mobilität führen auch zuimmer mehr Sicherheitsrisikenund als Antwort darauf zu mehrSicherheitsfunktionen im Netz.Zusätzlich zu den klassischenSicherheitsmechanismen wieVerschlüsselung (VPN), Firewallund Virenschutz gibt es immerausgefeiltere Sicherheitsfunk-tionen auf Netzwerkebene(Intrusion Detection, IntrusionPrevention), inzwischen zuneh-mend ergänzt um Sicherheits-funktionen auf der Applikations-ebene (Content-, E-Mail- und

Webfilter, Anti-Spyware, Anti-Spam), weil sich auch dieAngriffe immer mehr in Anwen-dungen und Softwarebiblio -theken verlagern.

Dies führt zu einer immer grö-ßeren Anzahl und Vielfalt anGeräten, Betriebssystemen undManagementsystemen, die dieNetzwerksicherheit gewähr -leisten sollen. Da liegt es nahe,all diese Funktionen auf einerPlattform zu vereinen. DieAnbieter von UTM-Appliancesheben hervor, dass derenSicherheit nicht auf isoliertenEinzelmaßnahmen, sondern auf einem ganzheitlichenSicherheitskonzept basiere. Nurso ließen sich die einzelnenSicherheitsmechanismen mit -ein ander verzahnen und Datenzwischen verschiedenenModulen austauschen. Miteinem Einzelprodukt soll eseinfacher sein, die Vielzahlunterschiedlicher Sicherheits-maßnahmen zu überblicken;Updates und Patches sind nureinmal erforderlich.

Der Charme dieses Ansatzesliegt nicht nur darin, mehrereFunktionen in einem Gerät zuvereinen, sondern auch darin,dass er die Verantwortlichengeradezu dazu zwingt, alleSicherheitsfunktionen gemein-sam zu betrachten – etwa beider Entscheidung, die VPN-Ver-bindungen auf der UTM-Appli-ance zu terminieren, umContent-Filter auf den unver-schlüsselten Datenstrom an -zuwenden. Hinzu kommt derVorteil, alle Funktionen miteiner einheitlichen Oberflächezu managen und nur eine Hard-ware- und Betriebssystemplatt-form zu betreiben.

Davon profitieren besonderskleine und mittlere Unterneh-men, die die Sicherheit desNetzwerkes selbst managenund entsprechendes Know-howvorhalten müssen. Dement-sprechend richten die meistenUTM-Hersteller ihre Produkteauf diese Zielgruppe aus undlegen Wert auf einheitliche undkomfortable Management-

Tools, die helfen, die Komplexi-tät zu reduzieren und damitmehr Sicherheit zu schaffen.

Großunternehmen und Service-Provider, die selbst Sicherheits-funktionen als Dienst anbieten,können hingegen von Vorteilendedizierter Systeme profitie-ren, etwa durch deren bessereSkalierbarkeit. Ferner könnenanwendungsnahe Funktionenim Rechenzentrum laufen,netzwerknahe Funktionen aber in Routern am Rande desNetzes. Unabhängig davon, oballe Sicherheitsfunktionen ineinem Gerät vereint sind oderaber separat laufen, ist derTrend zu beobachten, dass sichdie Mehrzahl der Sicherheits-anbieter zu Universalanbieternentwickeln, die alle Sicher-heitsaspekte mehr oderweniger umfassend in ihre Produkte integrieren. Währendeinige Sicherheitsmechanis-men funktional zusammen-wachsen, lässt sich ein VPN-Konzept aber auch weiterhinseparat umsetzen.

Unified Threat Management

Page 5: Networking extra · 2011-08-23 · sichere Verschlüsselung. Da aktuelle Smartphones über Re-chenleistungen verfügen, die vor wenigen Jahren ... Wie IPSec nutzt SSL/TLS symmetrische

Die optimale Netzwerk-Hard- und Software finden, richtig installieren, sicher konfigurieren und optimal nutzen – mit diesem c’t-Know-how können Sie es:

– Netzwerkclients, Netzwerkspeicher, Server und Router einrichten

– VPN für zu Hause und unterwegs installieren

– WLAN, Ethernet und Powerline einsetzen– mit IPv6-Netzwerken flexibler arbeiten – WLAN-Tuning, VLANs, Router-Kaskaden nutzen– PCs von ferne warten

Ergänzend auf der Heft-DVD: nützliche Anwendungen,Tools und Add-ins sowie Netzwerkanalyse-Tools.

.de

Die richtigen Verbindungen sind alles: Sichern Sie sichjetzt das Fach-Know-how der c’t-Spezialisten für Ihr Net-working. Bestellen Sie Ihr c’t extra Netzwerke im neuenheise-shop (heise-shop.de) inklusive Software-DVD. Wir senden Ihnen Ihr Exemplar zum Kioskpreis von 8,90Euro bequem und porto frei nach Hause (in D/A/CH)!

� JETZT PORTOFREI BESTELLEN:

c’t. Weiterlesen, wo andere aufhören.

Investieren Sie in die besten Verbindungen:

ix0511_x_05_EA_ct_Netzwerke.indd 1 15.04.2011 10:59:03 Uhr

Page 6: Networking extra · 2011-08-23 · sichere Verschlüsselung. Da aktuelle Smartphones über Re-chenleistungen verfügen, die vor wenigen Jahren ... Wie IPSec nutzt SSL/TLS symmetrische

De vice und Computer. Die Si-cherheitsanwendungen sindnicht auf dem Client installiert,den sie schützen sollen, son-dern auf der autarken Karte. So bleibt der Computer selbstdann geschützt, wenn er sichnicht mehr bedienen lässt. DieGeNUCard ist für „Home OfficeWorkstations“ (mit USB-Adap-ter) und Notebooks gedachtund lässt sich von der zentralenIT-Abteilung administrieren.

Die Datenübertragung erfolgtverschlüsselt mit bewährtenVPN-Techniken wie IPSec. DieMitarbeiter erhalten ein Tokenund eine PIN und können überverschiedene Übertragungs -wege (DSL, LAN, WLAN, UMTS)sicher mit ihrer Firma kommuni-zieren. Anders als eine VPN-Ver-bindung per Software kann eineHardware das Gerät selbst vorAngriffen aus dem Internetschützen und erlaubt es, remotedie Policies der Firmen-IT aufdem Endgerät durchzusetzen.

Einen anderen Ansatz reali-siert G/On von Giritech aufeiner MicroSD-Smartcard oderals All-in-One-Lösung auf einemUSB-Stick. Neben der sicherenKommunikation aus den Wirts-betriebssystemen Win dows,Mac OS und Linux her aus er-laubt es G/On, direkt vom Secu-rity Device ein gehärtetes Linuxzu booten und die Kommunika-tion zu schützen. Für iPhoneund iPad gibt es G/On als Soft-ware mit Soft-Token, wobei dieZwei-Faktor-Authentifizierunghier Nutzer und Endgerät um-fasst, also vom End gerät ab-hängt. Da es sich aber meistum personengebundene End-

geräte handelt, ergibt der Ver-zicht auf zusätzliche Hardwaredurchaus Sinn.

Aus einem externen USB-Adapter besteht das Remote-Access-Produkt Saytrust Ac-cess von Saytec. Es verbindetClient und Server ohne VPN aufApplikationsebene miteinanderund bietet den Vorteil, dass derClient weder eine Softwarenoch eine spezielle Konfigura -tion benötigt. Der USB-Stickeignet sich für Windows-PCs(ab XP). Das Gegenstück im Fir-mennetz, der Access-Server,bestimmt über White- undBlacklists, welche Programmeein Benutzer oder eine Gruppevon Benutzern über den Tunnelverwenden darf. Darüber hin auslassen sich gezielt bestimmteClient-Anwendungen sperren.Von verschlüsselten Verbin -dungen sollen laut Herstellerkeine Daten auf dem Client zurückbleiben.

Fujitsu offeriert ein Produkt,das auf eine Client-Server-Ar-chitektur und auf Virtualisierungsetzt. In Anlehnung an verbrei-tete Thin Clients heißt das klei-ne Gerät im Format eines USB-Speichersticks „Portable ZeroClient“ (Abbildung 4). Das be-deutet nicht, dass man über-haupt keinen PC mehr benötigt– aber zumindest keinen Fir-men-PC. Der Stick passt injeden Windows-PC mit Internet-zugang – sei es ein Notebook,ein privater PC zu Hause oderauch ein Gerät in einem Inter-net-Café. Basierend auf Desk-top-Virtualisierungssoftwarevon VMware steht ein virtuellerFirmendesktop zur Verfügung,

der dem in der Firma entspricht.Unternehmen sparen Zeit undKosten und profitieren von einererhöhten Sicherheit; der Nutzerist nicht mehr an Ort, Zeit undbestimmte Zugangssysteme ge-bunden, wenn er auf Geschäfts-daten zugreifen möchte.

Remote Desktop auf SmartphonesGroße Displays und einfacheBedienung eröffnen Smart -phones und Tablets Anwendun-gen, die bisher PCs vorbehaltenwaren – zum Beispiel einen Remote Desktop. Er bietet ohneKonfigurationsarbeit Zugriff aufentfernte PCs oder Server unterWindows, Mac OS oder Linux –sei es zur Nutzung von Datenund Programmen oder zurFernwartung. Besonders ein-fach funktioniert dies zum Bei-spiel mit TeamViewer und denzugehörigen Apps für iPhone,iPad und Android-Smartphones(Abbildung 5). Der Anwender

gibt einen von der Gegenseiteerzeugten Schlüssel ein, unddessen Desktop wird dort an-gezeigt, als ob man davor säße.Firewalls und Proxies sinddabei kein Hindernis, weil beideSeiten als Client arbeiten undnur jeweils ausgehende Verbin-dungen zu einem zentralenTeamViewer-Server aufbauen.Ein 256-Bit-AES-Schlüssel solldie Sicherheit gewährleisten.

Noch vielseitiger einsetzbarist RDM+ (Remote Desktop forMobiles) von Shape, das füriOS, BlackBerry, Windows Mo-bile, Android und Java zur Ver-fügung steht. Es kann ebenfallsFirewalls und NAT-Router über-winden, kommt mit dynami-schen IP-Adressen zurecht undakzeptiert selbst langsameNetzverbindungen.

Wer ein auf Windows opti-miertes Remote-Desktop-Pro-gramm für Smartphones sucht,findet mit dem Mocha RemoteDesktop eines, das MicrosoftsRemote Desktop Protocol (RDP)nutzt.

Endpunkt gut – alles gutMobile Endgeräte mit Zugangzum Firmennetz verschiebennicht nur dessen Grenzen nachaußen. Der Zugang über unge-sicherte Medien wie WLAN undUMTS hebt sie praktisch auf.Deshalb reicht der Einsatz vonVerschlüsselungstechniken für

VI iX extra 5/2011

Networking

Sicherheitshardware für Notebooks mitExpressCard-Schnittstelle: GeNuCard vonGeNUA (Abb. 3)

Quel

le: G

eNUA

Der Portable Zero Client von Fujitsu macht aus beliebigen PCs oder Notebooks einenvirtuellen Firmen-Desktop (Abb. 4).

Quel

le: F

ujits

u

Windows auf dem iPhone: Mit Teamviewer lassen sich PCsüber das Internet fernbedienen (Abb. 5).

Page 7: Networking extra · 2011-08-23 · sichere Verschlüsselung. Da aktuelle Smartphones über Re-chenleistungen verfügen, die vor wenigen Jahren ... Wie IPSec nutzt SSL/TLS symmetrische

den sicheren Firmenzugang mitmobilen Endgeräten allein nichtmehr aus. Anders als stationäreClients innerhalb von Ge-schäftsstellen, die über VPNsverbunden sind, befinden sichmobile Endgeräte außerhalbdes Firmennetzes in potenziellunsicheren Netzen. So gefähr-det jeder Netzwerkzugriff au-ßerhalb des VPN das mobileEndgerät, und selbst der kurzeZeitraum, bis die VPN-Verbin-dung steht, überlässt das Gerätungeschützt den Angriffen ausdem Internet.

Ist ein Endgerät erst einmalinfiziert, gefährdet es auch übereinen VPN-Tunnel das Firmen-netz. Deshalb sind zusätzlicheSchutzmechanismen notwen-dig. Dazu gehören die Durch-setzung eines brauchbarenPassworts, die Festlegung vonRichtlinien zum Sperren undRücksetzen von Endgeräten,das Verschlüsseln der Massen-speicher von Endgeräten sowieFirewall- und Anti-Virus-An-wendungen. Alle Maßnahmen,die Endgeräte vor Angriffen ausdem Netz schützen sollen, lau-fen unter dem Begriff „EndpointSecurity“ (ausführlicher be-schrieben zum Beispiel in iX extra 11/2009 und 7/2010).

Neben neuen Anforderungenan Sicherheit und Administra -tion bringen mobile Endgeräteaber noch weitere Herausforde-rungen mit sich: PermanenteVerbindungen über die Mobil-funknetze können zusätzlicheKosten verursachen (besondersim Ausland), und ein Wechselüber unterschiedliche Übertra-gungswege hinweg (etwa voneinem Hotspot zu UMTS) solltemöglichst unterbrechungsfreierfolgen.

Den EinsatzkontrollierenErste Unternehmen versuchenbereits, aus der Not der unkon-trollierten Endgeräte eine Tu-gend zu machen, und zahlenihren Mitarbeitern einen Zu-schuss für die Anschaffung ei-

gener PCs und Smartphones,statt die Technik selbst zu be-sorgen. Dem liegt auch dieÜberlegung zugrunde, dassnicht mehrere Endgeräte fürdienstliche und private Nutzungnötig sind und sich so dieHandhabung vereinfacht. DieMitarbeiter haben damit jedoch

nicht nur neue Freiheiten, son-dern auch mehr Kosten undVerantwortung.

Von den USA ausgehend, hatdiese Entwicklung bereits dieunvermeidlichen Marketing-Kürzel auf sich gezogen. Sielauten „Bring your own Device“(BYOD), „Bring your own PC“

(BYOPC) oder auch „User OwnedDevice“ (UOD). In Deutschlanddürfte einer schnellen Verbrei-tung dieses Trends aber nichtzuletzt die für Arbeitnehmer un-günstige steuerliche Behandlungentgegenstehen.

Zu bedenken ist weiterhin:Mobile Endgeräte der Mitarbei-

iX extra 5/2011 VII

HARD- UND SOFTWARE ZUR SICHEREN INTEGRATION MOBILER ENDGERÄTE INS FIRMENNETZ

Anbieter Website ProdukteAllied Telesis www.alliedtelesis.de VPN-RouterAllnet www.allnet.de VPN-RouterApple www.apple.de VPN-Server und -Client in Mac OS und iOSAstaro www.astaro.de VPN-AppliancesBarracuda Networks www.barracudanetworks.com SSL-VPN-LösungenCheck Point www.checkpoint.com VPN- und Security-AppliancesCisco Systems www.cisco.de VPN-Router und -ClientsCitrix www.citrix.de virtueller ClientClavister www.clavister.de Security-Gateways Collax www.collax.com Security-Software, VPN-ClientDrayTek www.draytek.de VPN-Router und -ClientsEnterasys www.enterasys.com Security-Hardware und -SoftwareF5 www.f5.com Security-Gateways und -AppliancesFortinet www.fortinet.de Security-AppliancesFunkwerk www.funkwerk-ec.de VPN-Gateways, Security-AppliancesGateProtect www.gateprotect.de UTM-AppliancesGenua www.genua.de VPN-Appliances, Security-Hardware für

mobile EndgeräteGiritech www.giritech.de Sicherheitslösungen für mobile EndgeräteGoogle www.android.com Betriebssystem mit VPN-Client für mobile

EndgeräteHOB www.hob.de Secure-Remote-Access-SoftwareInnominate www.innominate.de Industrial- und Mobile-Security-AppliancesIntra2net www.intra2net.com Security-ApplianceJuniper www.juniper.net VPN-AppliancesLancom www.lancom-systems.de VPN-Router und -ClientsLinogate www.linogate.de Security-AppliancesLyconSys www.lyconsys.com Mini-VPN-RouterMicrosoft www.microsoft.de VPN-Software-Server, Windows Phone 7Mochasoft www.mochasoft.dk Remote-Desktop-ClientsNCP www.ncp.de Remote-Access-VPN-LösungNetMotion www.netmotionwireless.com mobile VPN-SoftwareNokia www.nokia.de mobiler VPN-Client, Security Service ManagerOpenVPN www.openvpn.net Open-Source-Software-VPN-ServerResearch In Motion www.blackberry.de Ende-zu-Ende-Verschlüsselung für mobile

EndgerätesayTEC www.saytec.eu IT-SicherheitslösungenSecurePoint www.securepoint.de Security-Appliances und -SoftwareShape Services www.rdmplus.com Remote-Access-ToolsSirrix www.sirrix.de Trusted-VPN-LösungSonicWALL www.sonicwall.de Security-AppliancesStonesoft www.stonesoft.de SSL-VPN-AppliancesTeamViewer www.teamviewer.com Desktop-Sharing-SoftwareTelcotech www.telco-tech.de VPN-Router und -ClientTheGreenBow www.thegreenbow.de VPN-Clients für Windows und MobilgeräteThinPrint www.cortado.com Corporate ServerViprinet www.viprinet.de VPN-Router und -ClientsWatchGuard www.watchguard.com Security-AppliancesZyXEL www.zyxel.de Security-Appliances, VPN-Gateway

Die Auswahl erhebt keinen Anspruch auf Vollständigkeit.

Page 8: Networking extra · 2011-08-23 · sichere Verschlüsselung. Da aktuelle Smartphones über Re-chenleistungen verfügen, die vor wenigen Jahren ... Wie IPSec nutzt SSL/TLS symmetrische

ter befreien das Unternehmenzwar vom Anschaffen, Verwal-ten und Pflegen der gesamtenClient-Hardware, erfordern aberein Mindestmaß an Administra-tionsmöglichkeiten sowie ganzneue Konzepte der Demarka -tion zwischen privaten und Firmendaten. Zwei Technikenkönnen dabei helfen: Client-Server-Architekturen und Vir-tualisierung.

Eine Client-Server-Architek-tur bewirkt, dass sensible Fir-mendaten im Rechenzentrumverbleiben und nicht auf End-geräte gelangen, wo sie ver -loren gehen oder gestohlenwerden könnten. Beim Einsatzvon Terminal-Servern entfälltdie Software auf Endgeräten,und es besteht Wahlfreiheit inBe zug auf die Betriebssyste-me. Virtualisierung schließlicheröffnet die Möglichkeit, pri -vate und Firmenumgebungenauf einem Gerät voneinanderzu trennen.

Mobiler PC-Ersatz

Auch die Hersteller von Consu-mer-Geräten haben Firmen in-zwischen als lukrative Groß-kunden entdeckt und rüstenSicherheits- und Management-funktionen in ihren mobilenEndgeräten nach. So erlaubtApple – sonst restriktiv überseine Software wachend – auf

dem iPhone und iPad ab iOS 3.0 den Firmen, eigeneApps direkt zu installieren undzu verwalten. Apps könnenzudem ihre Daten inzwischenverschlüsselt ablegen.

Google hat für sein Be-triebssystem Android ab Ver -sion 2.2 Funktionen für das sichere Administrieren undSynchronisieren von mobilen

Endgeräten implementiert.Dazu gehören das Löschenvon Daten auf gestohlenenoder verlorenen Geräten, dasSperren nach einer gewissenZeit der Inaktivität oder diePflicht, ein Gerätepasswort zunutzen. Google stellt dafür dieApps Device Policy Applicationzur Verfügung. Darüber hinaushaben Samsung und Motorola

auf dem Mobile World Con-gress 2011 angekündigt, ihreAndroid-Endgeräte mit um-fangreichen Sicherheits- undBusiness-Merkmalen auszu-statten, insbesondere mitHardwareverschlüsselung undFernwartungsfunktionen.

Der Tatsache Rechnung tra-gend, dass die Infiltrierung derFirmen-IT durch (halb)privateGerätschaften die IT-Abteilun-gen immer mehr in die Defen-sive treibt, bringen erste Infra-strukturhersteller nun auchganz neue mobile Endgeräteauf den Markt, die ausschließ-lich für den geschäftlichen Ein-satz gedacht sind. Ein Beispielist Ciscos Cius mit einem Vir -tual Desktop, der die für denFirmeneinsatz nötigen Sicher-heitskonzepte bereits enthält.Er kann als Thin Client dienen,in Unternehmen Telefone, Vi-deobildschirme und PCs ergän-zen oder vollständig ersetzenund so zur universellen Kom-mandozentrale werden. (un)

Uwe Schulzeist freier Autor in Berlin.

VIII iX extra 5/2011

Networking

Product-Lifecycle-Manage-ment-Systeme (PLM) habenden gesamten Entwicklungs -zyklus eines Autos im Auge:vom ersten Entwurf über dieEntwicklung und Nutzung bishin zur Verschrottung. Dabeikommen immer neue Anforde-rungen auf PLM-Systeme zu,denn Autos bestehen längst

nicht mehr nur aus mechani-schen Systemen. Zunehmendkommen Elektrotechnik und ITins Spiel – drei Technikberei-che mit ganz unterschiedlichenLebenszyklen: Anders als dieMechanik ist die Softwareschnell ver altet. Das stellt dieAutomobilindustrie vor neueAufgaben.

iX extra zeigt diese beson-deren Anforderungen, auf diesich die PLM-Systeme einstel-len müssen. Eine Marktüber-sicht listet die wichtigsten An-bieter für PLM-Produkte und-Konzepte auf.

Erscheinungstermin:26.ˇ05.ˇ2011

In iX extra 6/2011Embedded Systems: Product Lifecycle Management im Automotive-Umfeld

DIE WEITEREN IX EXTRAS:

Ausgabe Thema Erscheinungstermin

7/11 IT-Security Application-Scanner, Web-Fire-walls & Co. – Sicherheit im Web 2.0 23.ˇ06.ˇ11

8/11 Storage SaaS – Public und Private Cloud Storage 21.ˇ07.ˇ11

9/11 Networking Hochverfügbares Server-Hosting 18.ˇ08.ˇ11

SICHERHEITSSERVICES FÜR MOBILE ENDGERÄTE

Anbieter Website ServiceBT www.globalservices.bt.com MobileXpress, Remote AccessDeutsche Telekom www.t-mobile.de Mobile IP VPN,

www.t-systems.de IntraSelectEasynet www.easynet.de Managed Mobility SolutionsiPass www.ipass.de Mobile Connect, Mobile ControlMarcant www.marcant.net VPN-to-go u. a.Orange www.orange-business.com Mobile SSLPop-Interactive www.pop-i.de Mobile VPN u. a.Plus.line www.plusline.de Mobile VPN u. a.SecurStar www.securstar.de SurfSolo, PocketCryptVerizon www.verizonbusiness.de Managed MobilityVersatel www.versatel.de VT VPNVodafone www.vodafone.de Corporate Data Acces

Die Auswahl erhebt keinen Anspruch auf Vollständigkeit.