2080102d Sonicwall Ubiquitous Computing Remote Control
|
|
|
»manage
it«
als
|
Remote-Kontrolle Sicherer Zugriff, wenig Gewicht Etliche Buzzwords der IT-Branche zeichnen sich dadurch aus, dass ihnen der Bezug zur Realität fehlt. Deutlich anders liegen die Dinge beim sogenannten ubiquitous computing (frei übersetzt »Überall-Computing«): Spätestens seit Mitte der 90-er Jahre, als mobile Rechner flächendeckend in den Unternehmen einzogen, sollen Mitarbeiter von jedem beliebigen Ort der Welt auf Firmenressourcen zugreifen. Zu den Kernfragen gehörte dabei von Anfang an, wie sich dies sicher bewältigen lässt – anders ausgedrückt: wie Anwender die Kontrolle über die Remote-Verbindungen behalten.
as gilt erst recht, seitdem neben Hotels auch Flughäfen und Bahnhöfe Hot Spots einrichten, von denen aus User per WLAN ihre Mails abrufen oder wichtige Unterlagen einsehen können. Überdies stehen mit internetfähigen PDAs und Smartphones inzwischen weitere Geräte zur Verfügung, die sich je nach Standpunkt als weitere bequeme Schnittstelle zum oder Einfallstor ins Unternehmensnetz nutzen lassen. Virtuelle Netze Die flächendeckende Einführung mobiler Rechner war gleichzeitig die Geburtsstunde der so genannten Virtual Private Networks (VPNs, zu Deutsch: Virtuelle Private Netze). Einer weithin populären Definition zufolge handelt es sich dabei um eine Art »Tunnel unter dem Internet«. Etwas abstrakter ausgedrückt bezeichnet der Terminus eine bestimmten Typ von Netzwerkverbindung, die das prinzipiell unsichere Medium Internet zum sicheren Übermittlungsweg für vertrauliche Geschäftsinformationen umfunktioniert – immer vorausgesetzt, die notwendige Technik wurde korrekt implementiert. Sowohl aus Anwender- als auch aus Entwicklersicht lassen sich dabei zwei Arten von VPNs unterscheiden: Die erste verbindet Firmenzentralen mit ihren Niederlassungen im In- und Ausland und war ursprünglich als Alternative zu teuren Standleitungen gedacht, deren Nachfolge sie mit dem Übergang zu (A)DSL auch technisch angetreten hat. Da es sich meist um »stationäre« Verbindungen handelt, sprechen Experten hier von Site-to-Site-VPNs. Für Firmen mit vielen Außendienstlern und Telearbeitern sind jedoch vor allem handhabbare Remote-Access-Lösungen interessant, mit denen diese vom Hotelzimmer oder von zuhause aus abgeschirmt auf wichtige Daten und Anwendungen zugreifen. Analog zu den unterschiedlichen Einsatzfeldern haben sich dabei zwei Übertragungsprotokolle etabliert: Während Site-to-Site-VPNs in aller Regel IP Security (IPSec) nutzen, greift man für die mobile Variante normalerweise auf Secure Socket Layer (SSL) bzw. dessen jüngste Version Transport Layer Security (TLS 1.1) zurück. Im Kern leisten beide Verfahren dabei das Gleiche – sie ermöglichen die verschlüsselte Übertragung der vertraulichen Daten. Zuvor müssen sie allerdings sicherstellen, dass nur autorisierte Rechner bzw. Benutzer an den Endpunkten sitzen, was bedeutet, dass diese sich beim Verbindungsaufbau zweifelsfrei »ausweisen« (authentifizieren) müssen. Andernfalls wäre es für Datendiebe ein Leichtes, sich in eine Übertragung einzuhacken und außer den Nachrichten selbst auch die zwischen den Computern ausgehandelten Kryptoalgorithmen und Schlüssel abzufangen, womit der Verschlüsselungsaufwand wertlos würde. Sicherer Zugriff, wenig Gewicht »Trotz dieser grundlegenden Übereinstimmungen weichen die Anforderungen an Site-to-Site- und Remote-Access-Lösungen in einigen Punkten voneinander ab«, erklärt Joe Levy, Chief Technical Officer (CTO) bei Sonicwall. Als Marktführer im Bereich Unified Threat Management (UTM) deckt sein Unternehmen die gesamte Breite beziehungsweise beide Spielarten der VPN-Technik ab. »Die wichtigste Differenz besteht dabei darin, dass für den Aufbau stationärer Verbindungen theoretisch unbegrenzte Rechen- und Netzwerkkapazitäten zur Verfügung stehen.« Klinkt sich ein User dagegen mit dem Notebook ins Rechnernetz seines Arbeitgebers ein, so sind sowohl die Prozessorleistung als auch die Bandbreite der Einwahlverbindung begrenzt. »Sinnvolle Remote-Access-Lösungen dürfen daher nicht zu viel Ballast mitbringen, da Authentifizierung, Verschlüsselung und Datenübertragung sich sonst über Gebühr verzögern«, so Levy weiter. An dieser Stelle setzt der in seinen Grundzügen bereits vor nicht ganz anderthalb Jahrzehnten von Netscape entwickelte SSL/TLS-Standard an. Ziel war seinerzeit, eine sichere Basis für den Einkauf in Webshops und Homebanking-Anwendungen zu schaffen, die ohne den Einsatz einer eigenständigen Software möglich sein sollten. Entsprechend wurde das Protokoll schon früh als Basistechnologie in alle wichtigen Browser integriert – sogar Microsoft schloss sich dem Trend bereits mit der im November 1995 veröffentlichten Version 2.0 des Internet Explorer an. Der Benutzer erkennt den Einsatz von SSL/TLS daran, dass statt des gängigen »http://« ein »https://« in der Adresszeile des Browsers auftaucht. Technisch gesprochen stellt SSL/TLS eine Verbindung zwischen zwei Applikationen, nämlich dem Browser des Benutzers und einer beliebigen Anwendung auf dem Zielserver her. Außer Shopsystemen und Software für den bargeldlosen Zahlungsverkehr kommen dafür inzwischen auch Datenbanken, E-Mail/Groupware und eine Vielzahl anderer Programme in Frage. Dabei weist sich der Webserver gegenüber dem Browser zweifelsfrei aus, wobei standardgemäß Zertifikate der höchsten Sicherheitsstufe (sog. Class-3-Zertifikate) verwendet werden. Die Datenverschlüsselung und Integritätsprüfung erfolgen mit Hilfe erprobter Algorithmen, darunter u. a. 3DES, RSA und AES; als hinreichend sicher gelten zurzeit Schlüssellängen von 128 Bit. Die so erzielbare hohe Sicherheit stellt somit, gepaart mit der »Leichtgewichtigkeit« der Technik, den wichtigsten Vorteil von SSL/TLS dar: »Anders als bei IPSec-VPNs benötigt man für den Aufbau entsprechender Verbindungen per SSL prinzipiell keine eigene Client-Software«, erläutert Levy. Zwei Varianten Realisiert werden solche Netzwerkverbindungen stattdessen normalerweise mit Hilfe von SSL-VPN-Appliances. »Dabei handelt es sich im Kern um dedizierte Gateways, die einen geschützten Zugriff auf Firmenressourcen ermöglichen und dabei im Maximalfall nicht nur die eigenen Mitarbeiter, sondern auch vertrauenswürdige Partner und Kunden einbeziehen«, so der Sonicwall-CTO weiter. Zu diesem Zweck hängt der Administrator die Appliance zwischen dem Internet und dem LAN ein und kann sodann per Web-Interface anhand der geltenden Sicherheitsrichtlinien festlegen, wer mit welchen vertraulichen Daten und wichtigen Programmen arbeiten darf. Die User ihrerseits loggen sich über ein Web-Portal ein, das ihnen von vornherein nur Zugang zu Informationen und Anwendungen gewährt, die sie auch tatsächlich benötigen, was das Risiko von Übergriffen zusätzlich reduziert. Nutzen lässt sich diese Technik im Zusammenspiel mit allen handelsüblichen Firewalls und Security Gateways. Sonicwall selbst bietet zwei Klassen von SSL-VPN-Appliances an, zum einen die Midrange-Systeme SSL-VPN 200, 2000 und 4000 für Netzwerke bis zu 500 Accounts, zum anderen die Enterprise-Systeme Sonicwall Aventail Ex-750, EX-1600 und EX-2000 für maximal 2.000 gleichzeitige Verbindungen. Diese verfügen außer über die Basis- über eine Reihe wichtiger Komfortfunktionen. Dies schließt bereits bei den Mittelklasse-Geräten den Remote-Zugriff auf Desktop-PC und Anwendungsserver ein, ferner auf Windows-spezifische Terminaldienste, VNC, Telnet, SSH und den Citrix Presentation Server. Gelöst hat Sonicwall auch das Authentifizierungsproblem: Bei Verbindungsaufnahme generiert die Appliance ein Einmalpasswort für die jeweilige Session und sendet dieses direkt an das Remote-Gerät oder die E-Mail-Adresse des Benutzers. Dieser meldet sich sodann mit Username, Passwort und Einmalpasswort am Webserver an. Eine NetExtender genannte Erweiterung ermöglicht, E-Mails außer über die Web-Schnittstellen von Microsoft Outlook beziehungsweise Lotus Notes auch über die regulären, auf dem Laptop installierten Clients abzurufen. Gleiches gilt für weitere Standard- sowie proprietäre Anwendungen. Web- und hostbasierte sowie Client-Server-Anwendungen lassen sich auch über die Oberklasse-Geräte bedienen. Hinzu kommen hier jedoch noch ergänzende Sicherheitsfunktionen wie eine automatisierte Endpunkt-Kontrolle, die eine gezielte Einführung und Umsetzung von Zugriffsregeln für alle Geräte gestatten, die unter Windows (einschließlich Vista und Mobile), Linux und MacOS X laufen. Das sogenannte Unified-Policy-Modell erlaubt darüber hinaus die unternehmensweit konsistente Freigabe von URLs, Client-Server-Ressourcen und Daten von einem zentralen Punkt aus. Umfangreiche Monitoring- und Berichtsfunktionen, VoIP-Integration und die Möglichkeit, VPN-Verbindungen per Smartphone aufzubauen, runden das Bild in diesem Segment ab. Resümee Mit der flächendeckenden Einführung mobiler Rechner in Unternehmensnetzen wurde die Frage akut, wie Anwender den Fernzugriff auf wichtige Daten und Anwendungen angemessen absichern. Das technische Rüstzeug hierzu bieten bereits seit einiger Zeit hardwarebasierte SSL-VPN-Lösungen, die den Datenstrom zwischen den beteiligten Rechnern verschlüsseln und überdies sicherstellen, dass nur autorisierte Benutzer eine Verbindung zum Firmennetz herstellen können. Anfängliche Schwierigkeiten wie unzureichende Schlüssellängen, mangelnden Bedienkomfort oder auch eine fehlerhafte »Übersetzung« von Host- in Web-Applikationen gehören beim aktuellen Stand der Technik der Vergangenheit an. n Weitere Informationen unter: |
Folgen Sie »manage it« auf Google+
|
