Die Produktivität und Effizienz verteilter Teams und mobiler Mitarbeiter hängt heute wesentlich davon ab,wie gut sie von der IT durch entsprechende Lösungen für die Internetbasierte Zusammenarbeit unterstützt werden.Insbesondere Activesync entwickelt sich zunehmend zum Standard über die Microsoft-Welt hinaus.Häufigstes Einsatzszenario ist zwar immer noch die mobile Synchronisation von Terminen, Kontakten und To-Dos zwischen dem weit verbreiteten Exchange-Server und Windows-Mobile-Clients. Indizien für die wachsende Bedeutung des Protokolls sind zum Beispiel die Lizenzierung für das »Apple iPhone« und die angekündigte Activesync-Unterstützung durch IBM-Lotus-Domino.Darüber hinaus ist es Microsoft gelungen, Sharepoint systematisch als Plattform zur Kooperationsunterstützung mit starker Integration der Office-Produktfamilie aufzubauen, und so in diesem Bereich eine Position an der Spitze einzunehmen. Neben den Groupware-Funktionen sind es vor allem das Dokumentenmanagement und die Suche nach Unternehmensdaten, die Branchenexperten dazu veranlassten, für Sharepoint eine wachsende Bedeutung in der strategischen Unternehmens-IT zu prognostizieren.

Web-Application-Firewall maximiert Nutzen

In der praktischen Umsetzung tut sich aber ein Paradoxum auf: Gerade weil in Exchange und Sharepoint eine Unmenge kritischer Daten gespeichert sind, können diese Ressourcen nicht über das Internet bereitgestellt werden. Das Risiko direkter Verbindungen aus dem Internet auf die Server ist zu hoch. Dieses Problem stellt sich natürlich auch im Zusammenhang mit anderen Applikationen und hat dazu geführt, dass viele Unternehmen Internet-Verbindungen auf interne Server grundsätzlich nicht zulassen. Mit Air-lock, der Web-Application-Firewall von Phion, steht jetzt eine Lösung bereit, die Exhange, Sharepoint und andere Server sicher ins Netz bringen soll und damit als Enabler-Technologie für die Internet-basierte Zusammenarbeit fungiert. Drastisch erhöhte Sicherheit mittels starker,vorgelagerter Authentisierung sowie Protokoll-Filterung geht einher mit komfortabler Nutzung und optimaler Unterstützung mobiler Prozesse.

Vorgelagerte Authentisierung verhindert unerwünschte Zugriffe

Durch die vorgelagerte Authentisierung mit Air-lock realisieren Unternehmen eine zentralisierte Zugriffskontrolle, die vollständig von den dahinter liegenden Sharepoint und Exchange-Servern entkoppelt ist. Ausschließlich authentisierte und autorisierte Verbindungen können aus dem Internet auf die Server gelangen – Airlock löst damit das Problem der anonymen Verbindungsversuche, die Angriffen vorausgehen. Neben dem Sicherheitsaspekt bietet dieses Modell weitere Vorteile: Die Entkoppelung der Authentisierung von der Business-Logik ermöglicht jederzeit die flexible Integration von neuen Applikationen und auch Authentisierungsverfahren. Durch Single-Sign-On (SSO) lässt sich zudem die Anwenderfreundlichkeit erheblich steigern, denn Nutzer erschließen sich mit nur einer Authentisierung eine ganze Welt von Applikationen, abgestuft nach ihren Berechtigungen.Welche Authentisierungsmethode dabei zum Einsatz kommt, entscheidet sich am konkreten Anforderungsprofil. Grundsätzlich ist mit Air-lock jedes Verfahren möglich. Die eigentliche Authentisierung übernimmt dabei ein Authentication-Service,der das Login-Formular anzeigt, Eingaben überprüft und sich mit einem oder mehreren User-Directories (LDAP,SQL-Datenbank, Radius-Server, etc.) verbindet. Mit dem Airlock-Authentication-Service offeriert Phion eine eigene Implementierung dieses Dienstes, aber auch die Verwendung von generischen Authentication-Services oder Eigenentwicklungen ist möglich. Der Airlock-Authentication-Service unterstützt als Bausteine folgende Authentisierungsverfahren:

• User-ID und Passwort,


• Multi-Faktor-Authentisierung (z.B.One-time-Passwords),


• PKI/X.509-Client-Zertfikate (Soft-oder Hard-Token) sowie


• Kombinationen dieser Verfahren.

Nach erfolgter Authentisierung sendet Airlock die Anwenderinformationen an die eigentliche Applikation (Identity-Propagation), wiederum stehen ganz nach BedarfverschiedeneVerfahren zur Verfügung:

• HTTP-Header wird jedem Request hinzugefügt,


• Kerberos-Ticket wird mit dem Request gesendet und


• Authentication-Service übernimmt Backend-Login.

Authentisierte Anwender können zudem für bestimmte Applikationen/Funktionen autorisiert werden – oder eben nicht. Zusätzliche Sicherheit erreichen Unternehmen zum Beispiel, indem sie mit Airlock die Parameter der Exchange-beziehungsweise Sharepoint-Nutzung proaktiv festlegen und erlaubte Quell-IP-Adressen oder Zeitfenster im Vorfeld definieren.

Zuverlässige Zugriffskontrolle

Die flexible Kombination und parallele Verwendung von Benutzerverzeichnissen und Authentisierungsverfahren erlauben den Schutz jeder Web-Applikation. Für den konkreten Anwendungsfall der mobilen Kommunikation mit Exchange-Servern über Activesync hat Phion den Namen »Secure Active Sync« geprägt. Im Rahmen von Secure-Activesync fungiert Airlock als Gateway für die mobile Datensynchronisation und nimmt eine Position zwischen Netzwerk-Firewall und Exchange-Servern ein. Mobile Anwender müssen sich also zunächst bei der vorgelagerten Authentisierung von Airlock verlässlich ausweisen. Hohe Sicherheit wird hier durch Verwendung von SSL-Client-Zertifikaten erreicht, die vom Unternehmen für jeden einzelnen Anwender vergeben und auf den mobilen Geräten eingerichtet werden. Die Rollen und Berechtigungen, die Airlock den Benutzern auf Basis der Authentifizierung zuweist, können über die ganze Session nachverfolgt werden. Für den Zugriff auf Sharepoint hat Phion ein anderes Modell entwickelt, das sich in der Praxis bewährt hat: Nachdem der Benutzer und seine Berechtigungen identifiziert wurden, löst Airlock ein Ticket vom einem Kerberos-Domain-Controller.Der Benutzer muss dafür nicht zwingend sein Domänenpasswort angeben, alternativ wäre beispielsweise auch eine Authentisierung mittels Zertifikat denkbar.Bei Kerberos handelt es sich um ein delegierungsfähiges Authentifizierungsprotokoll, so dass die Anmeldeinformationen des Benutzers über mehrere Stationen an Backend-Systeme weitergereicht werden können – in diesem konkreten Fall an Sharepoint. Dieses Verfahren kann natürlich gleichzeitig auch für weitere Applikationen genutzt und mit anderen Anmeldeverfahren kombiniert werden, um dem Anwender per Single-Sign-On eine ganze Applikationslandschaft zu erschließen.

Protokoll-Filterung wehrt Angriffe ab

Eine Umgehung der Web-Application-Firewall ist unter keinen Umständen möglich, denn von außen betrachtet führen alle Links immer auf Airlock. Basis hierfür ist das Umschreiben aller internen URLs durch Airlock – dies gelingt auch, wenn Applikationen absolute URLs verwenden und somit nicht von sich aus Reverse-Proxy-fähig sind. Zusätzlich zum Sicherheitsaspekt hat dies den Vorteil, dass mehrere Backend-Systeme für den Anwender bequem zu einem Portal mit eindeutiger URL zusammengefasst werden können.Auch nach der Authentisierung kommuniziert der Nutzer also über Airlock mit dem Exchange-beziehungsweise Sharepoint-Server. Das ermöglicht die Kontrolle des laufenden Datenverkehrs durch ein mehrstufiges Verfahren, das nur protokollkonforme Requests passieren lässt.Dadurch ist zum Beispiel sichergestellt, dass ausschließlich gültige Activesync-Befehle im Rahmen des gültigen Protokolls an den Exchange-Server weitergereicht werden. Auf allen Filterstufen lassen sich Ausnahmen definieren, bestehende Kriterien anpassen und neue Regeln erfassen. Nicht nur Exchange-oder Sharepoint-Server sondern allgemein alle Web-Applikationen werden so erfolgreich gegen Angriffe wie SQL-Injection, Cross-Site-Scripting, Directory-Traversal, Forceful-Browsing, etc.geschützt.

Unternehmen können das Potenzial von Exchange, Sharepoint & Co.erst vollständig erschließen, wenn sie diese Systeme und die darin gespeicherten Daten konsequent für alle Nutzer bereitstellen – von mobilen Mitarbeitern über Home-Offices bis zu Filialen und anderen verteilten Standorten.Das die IT-Sicherheit hier bislang ein Veto eingelegt hat, ist verständlich: Die immensen Risiken eines direkten Zugriffs auf kritische Ressourcen sind real und seit langem bekannt.Deshalb entkoppelt Phion den Authentisierungsprozess vollständig von den Applikationen:Durch starke,vorgelagerte Authentisierung bringt Airlock Anwendungen sicher ins Netz,auch wenn diese dafür gar nicht konzipiert wurden, und Backend-Systeme verschwinden vollständig hinter der Web-Application-Firewall. Neue Applikationen und Authentisierungsverfahren können jederzeit nach Bedarf und mit sehr geringem Aufwand integriert werden – und als Hardware-unabhängige Software-Appliance bietet Airlock zudem Skalierbarkeit und Flexibilität, die dynamische Unternehmen für zukünftige Aufgaben benötigen.

Cyrill Osterwalder, Senior Vice President Web Application Security bei Phion