"Bring your own Device" im Unternehmen
Private Mobilgeräte sicher im WLAN
Mitarbeiter wollen private mobile Endgeräte wie Iphone oder Ipad auch im Unternehmensnetz verwenden. IT-Verantwortliche müssen sich überlegen, wie sie Netze und Unternehmensdaten schützen können, wenn sich diese Geräte am Arbeitsplatz durchsetzen. Die Lösung kann auf Dauer nicht darin bestehen, solche Endgeräte zu verbieten. Es gilt vielmehr, private Mobilsysteme automatisch zu erkennen und ihnen einen kontrollierten Zugriff zu gewähren. Mit dem Aufkommen von Smartphones und Tablet-PCs müssen Netzwerke eine immer größere Menge an Daten bewältigen. Das Phänomen "Bring your own Device" (BYOD) sorgt dafür, dass die Zahl an mobilen Endgeräten, die ein Mitarbeiter im Unternehmensnetzwerk nutzt, rasch angestiegen ist. War es früher meist nur ein unternehmenseigener Laptop, so nutzen viele Mitarbeiter heute am Arbeitsplatz auch mit ihren privaten Mobilgeräten gern den schnellen, zuverlässigen und überall verfügbaren WLAN-Zugang für den Zugriff auf Unternehmensressourcen und -daten. IT-Administratoren allerdings fürchten negative Auswirkungen, weil diese Geräte nicht unter ihrer Verwaltung stehen und potenziell unsicher sind.
Solche privaten Geräte bilden mögliche Einfallstore für unerwünschte Zugriffe bis hin zum Datendiebstahl, denn die Anwender können sich über ihre gewohnte WPA2-Authentisierung auch mit ihrem eigenen System am Unternehmens-WLAN anmelden. Besitzt ihr Gerät dann Sicherheitslücken und ist es für den Administrator gleichzeitig "unsichtbar", entsteht ein Risiko.
Administratoren können in WLANs normalerweise nicht unterscheiden, welches Endgerät - ein unternehmenseigenes oder ein privates - ein authentisierter Nutzer verwendet. Außerdem können sie auf nicht administrierten privaten Geräten keine Regeln durchsetzen oder diese verwalten. Auch die Unterstützung der Anwender durch den Helpdesk wird erschwert. Zudem verbrauchen mobile private Endgeräte unkalkulierbar Bandbreite im Netz und können damit unternehmenskritische Applikationen ausbremsen oder stören. Um diese Herausforderung zu meistern, benötigen IT-Administratoren eine Reihe von Werkzeugen für Mobile Device Access Control (MDAC). Dies bedeutet:
Mobile Endgeräte müssen sich authentifizieren lassen, um so eine exakte Überwachung und Verwaltung dieser Systeme im Unternehmens-LAN zu ermöglichen.
Die Konfiguration und Registrierung von mobilen privaten Endgeräten sollte im besten Fall automatisiert ablaufen.
Alle Systeme im Netz müssen weiterhin einfach kontrollierbar, Fehlerbeseitigung und Reporting ohne Probleme ausführbar sein.
Sicherer Zugriff auch mit mobilen Systemen
Mobile Endgeräte arbeiten "live": Sie haben keinen Passwort-Zugriffsschutz und loggen sich mit gespeicherten Authentisierungdaten automatisch in bekannte WLANs ein. Selbst wenn die IT-Administration die Aktionen eines solchen Systems verfolgen könnte, wüsste sie nicht, ob dieses Gerät sein rechtmäßiger Eigentümer, ein Dieb oder ein Finder verwendet. Das Ziel der Implementierung einer MDAC-Lösung muss es sein, private mobile Endgeräte ausreichend für den Unternehmenseinsatz abzusichern. Zentral ist dabei, alle privaten mobilen Endgeräte zu erkennen, zu überwachen und ihre Zugriffsmöglichkeiten genau zu regeln.
Die meisten Unternehmens-WLANs verwenden einen SSID (Service Set Identifier) für Gäste und einen anderen für Mitarbeiter. Der Gäste-SSID authentisiert über eine spezielle Eingangsseite. Dort erklärt der Anwender sein Einverständnis mit den Nutzungsbedingungen oder erhält ein tagesgültiges Passwort von einem angeschlossenen Server, der den Client-Verkehr direkt ins Internet leitet.
Mitarbeiter mit eigenen Geräten loggen sich als Gäste ein - jeden Tag von neuem. Der Zugriff auf Unternehmensdaten erfordert zudem ein VPN oder ähnlich sichere Authentisierungsmechanismen. Besser ist die Authentisierung mit der Mitarbeiter-SSID innerhalb der Firewall. Die Netzwerkinfrastruktur muss nun unmittelbar nach dem Einloggen den Client an seiner gerätespezifischen Signatur als persönliches Endgerät erkennen, diesen klassifizieren, abweichende Regeln festlegen und diverse DHCP- und HTTP-Routinen ausführen. Der Administrator sieht dann alle identifizierten Privatgeräte mit Typ und Besitzer und kann sie von administrierten PCs unterscheiden. Zusätzlich sollte die MDAC-Lösung selbstständig den jeweiligen Produkttyp identifizieren wie etwa Iphone und Ipad oder Betriebssysteme wie Windows, Blackberry und Android für Notebooks, Smartphones und Tablet-PCs.
Bei identifizierten Geräten sollten sich in jedem Fall flexible Zugriffs- und Verhaltensregeln festlegen lassen. Dem spezifischen Mobilsystem wird dabei eine vordefinierte Rolle zugeschrieben, die Zugriffskontrolllisten (Access Control Lists, ACL) und andere Mechanismen zur Regeldurchsetzung aktiviert. Mögliche Parameter sind etwa IP-Adresse, Subnetz, spezifische Protokolle oder auch die Tageszeit. Ein Mitarbeiter kann damit über unterschiedliche Rechte verfügen - je nach dem wo, wann, mit welchem Gerät und über welche Verbindung er auf das Unternehmensnetzwerk zugreift.
Viele IT-Teams benötigen jedoch noch weitergehende Kontrolle, wofür eine gute Netzwerkinfrastruktur mehrere Möglichkeiten bereitstellen muss. Ein Beispiel wäre, dass sich ein Mitarbeiter mit seinem Privatgerät als Gast am WLAN authentisieren kann. Eine Option auf dem Zugangsportal leitet ihn auf eine speziell bereitgestellte Web-Seite, die seine Identität über die normalen Login-Daten feststellt und diese durch Vergleich mit der Authentifizierungsinfrastruktur der IT-Cloud verifiziert.
Automatisierte Installation
Natürlich sollte die IT-Administration vermeiden, dass Mitarbeiter jedes Mal, wenn sie mit ihrem Smartphone oder Tablet-PC auf das Unternehmensnetz zugreifen wollen, erst eine komplizierte Installations- und Konfigurationsprozedur durchlaufen müssen. Ebenso sollte aus Effizienzgründen die IT-Abteilung so wenig wie möglich mit diesem Prozess behelligt sein. Dies lässt sich durch Selbstinstallationsroutinen erreichen, in denen der Gerätetyp vom Anwender angegeben oder durch HTTP-Routinen bestimmt wird. Eine zentrale Appliance erstellt dann ein individuelles, selbstinstallierendes Konfigurationsprofil für dieses Device mit dem jeweiligen Mitarbeiter und schickt es über die IP-Verbindung, per E?Mail oder SMS zum Endgerät. Der Anwender startet dann seine spezifische Installation einfach über einen Button.
Dieser Prozess gestaltet sich für den Anwender einfach, da er ohne manuelle Eintragungen von WLAN-Parametern erfolgt. Er kann eine wechselseitige Authentisierung umfassen, damit der Anwender sicher ist, nicht auf einer gefälschten Website gelandet zu sein. Auf die Geräte der Anwender muss zudem nicht mehr einzeln eine Zertifikatlösung geladen werden, vielmehr können sich die Nutzer sicher selbst im Unternehmensnetz authentisieren.
Nach der automatisierten Installation besitzt jedes mobile private Endgerät ein individuelles, verifizierbares Identitätszertifikat für spätere Authentisierungen im WLAN mit EAP-TLS ohne Eingabe von Benutzername und Passwort. Die Geräteaktivitäten innerhalb des Netzwerks lassen sich nun vollständig protokollieren. Bei Diebstahl oder Verlust des Endgeräts deaktiviert die IT-Administration das Zertifikat, und die Zugriffsrechte erlöschen.
Sobald die Selbstinstallation einmal erfolgt ist, authentisieren sich solche Geräte am WLAN mit EAP-TLS - administrierte PCs hingegen verwenden EAP-PEAP und MS-CHAPv2. Alle Clients, die EAP-TLS nutzen, sind damit per Definition privat und erhalten die passende Rolle. Die Unternehmens-SSID des WLANs wird dann so konfiguriert, dass sie PEAP- und EAP-TLS-Authentisierungen akzeptiert. Das Endgerät handelt das verwendete Protokoll während der Authentisierung aus.
Konfiguriert ein Anwender beispielsweise ein Ipad für PEAP, kann er sich zwar mit seinen persönlichen Login-Daten authentifizieren. Das Gerät erhält aber die Rolle zugewiesen, die für administrierte PCs vorgesehen ist. Die Netzwerk-Management-Lösung muss nun solche Geräte automatisch erkennen und diese mit einer passenden Rolle versehen oder die Authentisierung zurückweisen.
Hat das WLAN alle Mobilgeräte identifiziert und klassifiziert, sieht der Administrator diese einschließlich ihrer Zugriffsrechte und ihrer bisherigen Aktivitäten, die in den Log-Dateien des Netzwerk-Management-Systems festgehalten sind. So lässt sich feststellen, ob beispielsweise Ipads anderen WLAN-Verkehr beeinträchtigen oder mehr Bandbreite erforderlich ist.
Lesen Sie mehr zum Thema
