VPN-Technik und Security-Herausforderungen - NCP ePaper powered by LANline

VPNs für mobile Endgeräte

Ganz sicher unterwegs

Aufgrund zunehmender Mobilität von Mitarbeitern rücken die Endgeräte zwangsläufig auch verstärkt ins Visier der Angreifer.
 
geschrieben von Jörg Hirschmann, CTO bei NCP Engineering, www.ncp-e.com.

 

Auf mobilen Endgeräten werden heute mindesten genauso wichtige Daten be- und verarbeitet wie auf stationären PCs im Unternehmen. Diese Informationen zu schützen, während sie sich außerhalb des Firmennetzes befinden, ist keine einfache Aufgabe und erfordert einen ganzheitlichen Ansatz. Ein wichtiges Element davon sind mobile VPNs, die den Datenverkehr abschirmen.

Die Forderung nach immer mehr mobilen Endgeräten für die Angestellten führt in den IT-Abteilungen nicht nur zu uneingeschränkter Begeisterung. IT-Sicherheitsbeauftragte fürchten, dass sie sich neben den unbestrittenen Vorteilen einer mobilen Arbeitsumgebung zahlreiche Sicherheitsrisiken als Nebenwirkungen einhandeln. Allerdings scheint es schwierig zu sein, Management und Anwender von den damit verbundenen unkalkulierbaren Risiken zu überzeugen.
Ein VPN für mobile Endgeräte stellt zusätzliche Anforderungen an die Technik und Prozesse im Unternehmen. Kurz gesagt sorgt ein mobiles VPN auch dann für die sichere virtuelle Verbindung mit dem Netz, wenn sich Parameter des Endgeräts verändern. Zu den Variablen gehört neben einer anderen Position auch ein anderes Übertragungsmedium wie 3G-Mobilfunk anstelle von WLAN und damit meist auch eine andere IP-Adresse. Ein gutes mobiles VPN hält bestehende Verbindungen trotz dieser Änderungen aufrecht und schaltet nahtlos und ohne Eingreifen des Benutzers zwischen den verschiedenen Medien und Zugangstechniken hin und her.
Die Entwicklung im Bereich der mobilen Endgeräte in den letzten Jahren hat es für Administratoren schwieriger gemacht, alle Endgeräte in einem VPN zu kombinieren. So stellen die zahlreichen Betriebssysteme eine große Hürde für traditionelle VPN-Lösungen dar. Eine mobile VPN-Lösung muss alle gebräuchlichen mobilen Betriebssysteme wie Android und IOS unterstützen und zudem auf den gebräuchlichen Plattformen für Notebooks – Windows-Versionen ab Vista sowie Mac OS X – lauffähig sein. Damit sich alle Endgeräte durch den Administrator verwalten lassen, ist es notwendig, dass die VPN-Lösung in das Betriebssystem direkt integrierte Clients ebenfalls unterstützt. Nur so sind Roll-out, Helpdesk und Konfigurationsänderungen im Betrieb der Gesamtlösung handhabbar.
 
Flexible Einwahl in das Unternehmensnetz

Ein wichtiger Aspekt des Clients ist die Einwahl in das Netz, unabhängig davon, ob es sich um das eigene WLAN, einen Hot-Spot oder eine 3G-Verbindung handelt. Besonders bei Tablets und Smartphones kümmert sich das Betriebssystem selbst darum, den Apps die beste Netzverbindung anzubieten. Aber nicht alle Betriebssystemversionen beherrschen dies gleich gut: Mal sind die Latenzzeiten zwischen den Schaltvorgängen zu hoch, mal bricht die Verbindung kurzzeitig ganz ab. Im Sinne einer nahtlosen Benutzererfahrung ohne Zwangspausen und Neuverbindungen muss der VPN-Client mit dem Medienwechsel durch das OS umgehen können oder sollte im Idealfall die Hoheit über den Verbindungsvorgang besitzen. Wenn der VPN-Client die Verbindung selbst verwaltet, kann er auch effizienter mit den Ressourcen des Endgeräts umgehen: Was passiert mit einem aufgebauten VPN-Tunnel, wenn das Endgerät in den Stromsparmodus schaltet? Wie lange hält das System den Tunnel aktiv und riskiert damit erhöhten Stromverbrauch beim Endgerät?
Wird der Tunnel beendet, sobald der Rechner in den Energiesparmodus wechselt, nötigt man dem Benutzer unter Umständen häufige Login-Vorgänge auf. Über kurz oder lang suchen sich Anwender in solchen Fällen einen Workaround, mit dem sie die Sicherheitseinstellungen aushebeln. Ein möglicher Weg wäre es, die Wartezeit bis zum Energiesparmodus auf endlos zu stellen. Natürlich hat damit jeder, der physischen Zugang zum Tablet erhält, auch Zugang zu den Anwendungen auf der anderen Seite des VPN-Tunnels. Die richtige Balance zwischen Sicherheit und Benutzerkomfort bezieht also auch das VPN mit ein.
Keine Kompromisse kann es hingegen bei der Pflicht zur verschlüsselten Kommunikation geben. Gerade in einer mobilen Umgebung, wenn Mitarbeiter weit weg von Tech-Support und hilfsbereiten Administratoren agieren, ist es entscheidend, keine Verbindungen für den Transport wichtiger Daten ohne VPN aufzubauen. Gibt es Schwierigkeiten mit dem Verbindungsaufbau, darf der Anwender dennoch nicht ohne verschlüsselten Tunnel ins Netz gelangen. Und wenn doch, dann nur mit ausdrücklicher Zustimmung durch das Unternehmen. Wie sich die Mitarbeiter in so einem Fall verhalten sollen, muss eine Sicherheitsrichtlinie festlegen. Aber die eingesetzte VPN-Plattform muss technisch auch in der Lage sein, die verschiedenen notwendigen Vorgaben umzusetzen.
 
IPSec und SSL

In den letzten Jahren haben sich zwei grundlegende Verfahren für VPNs durchgesetzt: IPSec-VPNs arbeiten mit einem Client auf dem Endgerät und einer Server-Komponente im Unternehmen. Die Alternative sind SSL-VPNs. Sie nutzen für die Client-Funktionalität Komponenten, die in jeden üblichen Web-Browser eingebaut sind. Sie kommen also ohne eigene Client-Software aus, erfordern aber wie IPSec-VPNs ein Gateway auf der Unternehmensseite.
IPSec-VPNs setzen auf Layer 3 des OSI-Modells auf und verschlüsseln die Daten transparent für die Anwendungen. So gibt es keine Kompatibilitätsprobleme zwischen Applikation und VPN. Allerdings will der Client auf dem Endgerät installiert und konfiguriert sein. Besonders in großen Umgebungen mit vielen Hundert PCs ist das ein aufwendiger Vorgang, der sich nur mit professionellen Management-Lösungen ökonomisch bewältigen lässt. Im Einsatz ist ein IPSec-VPN unkritisch, selbst wenn Client und Gateway von unterschiedlichen Herstellern kommen. Durch die gut dokumentierten und branchenweit akzeptierten Standards gehören inkompatible VPN-Lösungen längst der Vergangenheit an.
Die zweite Methode, Secure Socket Layer (SSL), kann mit einer einfacheren Konfiguration, zumindest beim Client, punkten. SSL-VPNs nutzen aufseiten des Clients entweder vorhandene Komponenten des Browsers oder laden ad hoc ein Java- oder Active-X-Applet herunter. Das ist auch bei Endgeräten möglich, die nicht dem Unternehmen gehören und für die der Anwender keine Administrationsrechte hat oder bekommt. Das VPN lässt sich so auf öffentlich zugänglichen PCs oder Leihgeräten aufsetzen.
Allerdings liegt hierin auch eine Schwachstelle, denn solche Endgeräte sind nicht zu kontrollieren und könnten Schadsoftware enthalten, die Passwörter für den VPN-Zugang mitlesen. Über SSL sind zunächst nur Web-Anwendungen direkt nutzbar, beispielsweise Outlook Web-Access. Durch Zusatzfunktionen des VPN-Gateways und Thin- oder Fat-Client-Technik lassen sich auch andere Anwendungen verwenden. Damit neutralisiert man aber einen Großteil des Nutzens aus der einfachen Installation und Konfiguration von SSL-VPNs.
 
Hybride Lösungen

Beide Techniken sind heute bei vielen Anbietern nicht mehr strikt getrennt: Hybride VPNs akzeptieren Anfragen von IPSec- wie auch von SSL-Clients. So können Anwender in jeder Situation die am besten passende Technik einsetzen, wenn es durch die Richtlinien des Unternehmens erlaubt ist. Gerade Situationen, wie sie oben beschrieben wurden, wenn der Verbindungsaufbau scheitert, der Anwender aber trotzdem nicht ohne VPN-Tunnel ins Netz darf, sind damit optimal zu bewältigen. Blockt die Firewall im Hotel beispielsweise die für den IPSec-Client notwendigen Ports für den Tunnel, kann der VPN-Client auf SSL über Port 443 umschalten, der normalerweise in jeder Firewall geöffnet ist. Eine „State of the Art“-VPN-Lösung verpackt als Alternative die IPSec-Pakete in TCP auf Port 443. So muss man keine Sicherheitsrichtlinien ändern, denn beide Endpunkte des VPN nutzen letztendlich IPSec zur Kommunikation.
Ein VPN sichert die Kommunikation zwischen zwei (oder mehreren) Endpunkten. Damit ist es eigentlich im Sicherheitsdreieck, bestehend aus Vertraulichkeit, Integrität und Authentizität, nur für die Vertraulichkeit der Daten zuständig. Dennoch spielen gerade beim mobilen Einsatz die Identitäten der Kommunikationspartner eine große Rolle. Das VPN-Gateway im Unternehmen ist relativ leicht identifizierbar, die Adresse wird in der Regel fest im VPN-Client hinterlegt. Doch ist die Person vor dem PC auch die, die sie vorgibt zu sein?
Mobile VPNs können nicht sinnvoll zum Einsatz kommen, ohne die Authentizität des Benutzers zu prüfen. Dazu sollte eine aktuelle mobile VPN-Lösung mehrere Methoden unterstützen. Den Basislevel stellt die einfache Benutzername/Passwort-Abfrage dar. Die Lösung sollte aber auch zertifikatsbasierte Authentisierung unterstützen (PKCS#11, PKCS#12, MS CSP/CNG Benutzer- und/oder Computerzertifikate) sowie Einmalpasswort-Varianten per SMS oder Token beherrschen. Weil solche Lösungen oft bereits im Einsatz sind, muss sich eine VPN-Lösung einfach und ohne großen Aufwand integrieren lassen.
 
Zertifikate

Computerzertifikate bringen einen großen Vorteil mit sich: Durch sie lassen sich die eingesetzten Endgeräte unterscheiden, auch wenn derselbe Anwender sie benutzt. Nimmt ein Benutzer über seinen Firmen-Laptop Verbindung mit dem Unternehmensnetz auf, kann ihm das VPN-Gateway andere Rechte zuweisen als seinem Ipad, auch wenn die gleiche Benutzername/Kennwort-Kombination für die Einwahl Verwendung findet. So gewinnen Administratoren deutlich mehr Kontrolle über angeforderte und ausgeübte Rechte von remote verbundenen Mitarbeitern.
Im Idealfall und wenn die Infrastruktur des Netzes darauf vorbereitet ist, lässt sich ein VPN auch perfekt verwenden, um Network Access Control (NAC) durchzuführen. Bei NAC werden zunächst verschiedene festgelegte Parameter des Clients geprüft, nachdem dieser eine Verbindungsanfrage an das VPN-Gateway stellt. Über die NAC-Erweiterung erhält der Client eine Richtlinie, die prüft, ob eine Anti-Virus Software installiert und auf dem neuesten Stand ist, ob die Firewall richtig konfiguriert wurde, ob das Betriebssystem auf dem neuesten Stand ist und anderes mehr.
 
Zentrale Rolle der Management-Konsole
Entscheidend ist bei allen mobilen VPN-Lösungen, dass das Management der Komponenten mit möglichst wenig Aufwand vor sich geht. Schließlich ist nicht nur die VPN-Software allein zu konfigurieren. Es gilt, Benutzereinträge aus dem Active Directory oder einem anderen Metaverzeichnis auszulesen, die Richtlinien für die Endpoints vorzugeben, ein möglicherweise vorhandenes NAC anzubinden und die Software zur Distribution der Clients an die Endgeräte zu verwalten. Eine optimale Lösung vereint diese Aufgabe in einer Konsole und entlastet Administratoren so maßgeblich von einem Großteil der Management-Aufgaben.
Der Vorgang muss so weit wie möglich automatisiert sein, um den Aufwand niedrig zu halten. Doch aus Sicherheitsgründen darf der Prozess nicht völlig im Hintergrund ablaufen. Zu empfehlen ist ein mehrstufiger Prozess: Zunächst wird eine Basiskonfiguration per Softwareverteilung auf das Endgerät transportiert. Sie enthält noch keine sicherheitsrelevanten Daten und kann auch abgefangen werden oder verloren gehen, ohne dass es zu einem Sicherheitsvorfall kommen könnte. Für neu auszurollende VPN-Benutzer erstellt das zentrale Management den PAC (Personal Authentication Code). Diesen erhält der Anwender über einen möglichst automatisierten Prozess, zum Beispiel per Brief. Nur mit diesem PAC kann er die sichere Ersteinwahl in das Unternehmensnetz vornehmen. Einmal erfolgreich angemeldet, konfiguriert sich der Client anhand der hinterlegten Richtlinien automatisch aus dem Software- und Konfigurationsspeicher im Firmennetz.
 
Höheres Sicherheitslevel durch ein VPN
Auch wenn es inzwischen sehr ausgefeilte und sichere Lösungen für mobile VPNs gibt: Will man hoch mobile Endgeräte sicher einsetzen, ist es nicht mit verschlüsselten Tunnels getan. Eine rundum sichere Systemumgebung kann man nicht kaufen, Sicherheit muss man in all ihren Aspekten leben und ständig an die Ist-Situation anpassen. Es ist wichtig, passende Produkte wie mobile VPNs auszuwählen und korrekt zu implementieren. Doch lange vor der Produktauswahl muss die IT-Organisation zahlreiche Informationen erfassen, Prozesse analysieren und auf deren Basis ein Sicherheitskonzept formulieren. Wer nicht weiß, welche Daten wo liegen und welchen Wert diese haben, weiß nicht, was er mit welchem Aufwand schützen soll. Ein mobiles VPN kann nur einen Bestandteil dieser Strategie darstellen – wenn auch einen sehr wichtigen.