Collaboration-Lösungen sicher im Netz
Praxis: Activesync, Exchange und Sharepoint effizient schützen
Fortsetzung des Artikels von Teil 1
Flexible Authentifizierung gefordert
Welche Authentifizierungsmethode dabei zum Einsatz kommt, entscheidet sich am konkreten Anforderungsprofil. Die eigentliche Authentifizierung übernimmt dabei ein Authentication Service, der das Log-in-Formular anzeigt, Eingaben überprüft und sich mit einem oder mehreren User Directories (LDAP, SQL-Datenbank, Radius Server et cetera) verbindet.
Einige Hersteller bieten einen eigenen Authentication-Service, aber auch die Verwendung von generischen Authentifizierungsdiensten oder Eigenentwicklungen ist möglich. Der Authentication Service der Web Application Firewall »Airlock« von Phion unterstützt beispielsweise folgende Authentifizierungsverfahren:
• User-ID und Passwort,
• Multi-Faktor-Authentifizierung (etwa One-time Passwords),
• PKI/X.509-Client-Zertifikate (Soft- oder Hard-Token),
• eine Kombination dieser Verfahren
Nach erfolgter Authentifizierung sendet die WAF die Anwenderinformationen an die eigentliche Applikation (Identity Delegation). Hier stehen wiederum unterschiedliche Verfahren zur Verfügung:
• HTTP-Header wird jedem Request hinzugefügt.
• Kerberos-Ticket wird mit dem Request gesendet.
• Authentication-Service übernimmt das Backend-Log-in.
Authentifizierte Anwender können zudem gezielt für bestimmte Applikationen beziehungsweise Funktionen autorisiert werden – oder eben nicht. Zusätzliche Sicherheit erreichen Unternehmen, indem sie mit der WAF die Parameter der Exchange- beziehungsweise. Sharepoint-Nutzung proaktiv festlegen und erlaubte Quell-IP-Adressen oder Zeitfenster im Vorfeld definieren.
Die flexible Kombination und parallele Verwendung von Benutzerverzeichnissen und Authentifizierungsverfahren ermöglichen den Schutz jeder Web-Applikation. Im Rahmen von Secure Mobile Sync, also der mobilen Kommunikation mit Exchange-Servern über Activesync, fungiert die WAF als Gateway für die mobile Datensynchronisation. Sie nimmt dabei eine Position zwischen Netzwerk-Firewall und Exchange-Servern ein.
Mobile Anwender müssen sich somit zunächst bei der vorgelagerten Authentifizierung innerhalb der WAF verlässlich ausweisen. Hohe Sicherheit wird hier durch Verwendung von SSL-Client-Zertifikaten erreicht, die vom Unternehmen für jeden einzelnen Anwender vergeben und auf den mobilen Geräten eingerichtet werden.
Die Rollen und Berechtigungen, welche die WAF den Benutzern auf Basis der Authentifizierung zuweist, können über die ganze Session nachverfolgt werden.
Für den Zugriff auf Sharepoint hat Phion ein anderes Modell entwickelt, das sich in der Praxis bewährt hat: Nachdem der Benutzer und seine Berechtigungen anhand eines Zertifikats identifiziert wurden, löst Airlock ein Ticket vom einem Kerberos-Domain-Controller. Bei Kerberos handelt es sich um ein delegierungsfähiges Authentifizierungsprotokoll, sodass die Anmeldeinformationen des Benutzers über mehrere Stationen an Backend-Systeme weitergereicht werden können, in diesem Fall an Sharepoint.
Dieses Verfahren kann natürlich gleichzeitig auch für weitere Applikationen genutzt und mit anderen Anmeldeverfahren kombiniert werden, um dem Anwender per Single-Sign-on eine »Applikationslandschaft« zu erschließen.
Ein Umgehen der WAF ist unter keinen Umständen möglich, denn von außen betrachtet führen alle Links immer genau dorthin. Basis hierfür ist das Umschreiben aller internen URLs. Dies gelingt guten WAFs auch, wenn Applikationen absolute URLs verwendet und somit nicht von sich aus Reverse-Proxy-fähig sind.
Zusätzlich zum Sicherheitsaspekt hat dies den Vorteil, dass mehrere Backend-Systeme für den Anwender bequem zu einem Portal mit eindeutiger URL zusammengefasst werden können.
Auch nach der Authentifizierung kommuniziert der Nutzer also über die WAF mit dem Exchange- beziehungsweise Sharepoint-Server. Das ermöglicht die Kontrolle des laufenden Datenverkehrs durch ein mehrstufiges Verfahren, das nur protokollkonforme Requests passieren lässt.
Dadurch ist beispielsweise sichergestellt, dass ausschließlich gültige Activesync-Befehle im Rahmen des gültigen Protokolls an den Exchange-Server weitergereicht werden. Auf allen Filterstufen lassen sich Ausnahmen definieren, bestehende Kriterien anpassen und neue Regeln erfassen.
Nicht nur Exchange- oder Sharepoint-Server, sondern alle Web-Applikationen werden auf diese Weise gegen Angriffe wie SQL-Injection, Cross-Site-Scripting, Directory-Traversal oder Forceful-Browsing geschützt.
Unternehmen können das Potenzial von Exchange, Sharepoint und Co. erst vollständig erschließen, wenn sie diese Systeme und die darin gespeicherten Daten konsequent für alle Nutzer bereitstellen – von mobilen Mitarbeitern über Home-Offices bis hin zu Filialen und anderen Standorten.
Dass die IT-Sicherheit hier bislang ein Veto eingelegt hat, ist verständlich: Die immensen Risiken eines direkten Zugriffs auf kritische Ressourcen sind real und seit langem bekannt. Deshalb muss der Authentifizierungsprozess vollständig von den Applikationen entkoppelt werden.
Durch starke, vorgelagerte Authentifizierung bringen WAFs wie Airlock Anwendungen sicher ins Netz, auch wenn diese dafür gar nicht konzipiert wurden. Backend-Systeme verschwinden vollständig hinter der Web-Application-Firewall. Neue Applikationen und Authentifizierungsverfahren können jederzeit nach Bedarf und mit geringem Aufwand integriert werden.
Und als Hardware-unabhängige Software-Appliance bieten geeignete WAFs zudem die Skalierbarkeit und Flexibilität, die Unternehmen für zukünftige Aufgaben benötigen.
Der Autor: Cyrill Osterwalder ist Vice Presiden Web Application Security bei Phion.
- Praxis: Activesync, Exchange und Sharepoint effizient schützen
- Flexible Authentifizierung gefordert
Lesen Sie mehr zum Thema
