Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Safety first - Notebooks, PDAs und Handys sicher ins Firmennetz einbinden

IT-Sicherheit und mobile Geräte

Safety first - Notebooks, PDAs und Handys sicher ins Firmennetz einbinden

25. Juli 2008, 18:48 Uhr | Bernd Reder
Fortsetzung des Artikels von Teil 2

Safety first - Notebooks, PDAs und Handys sicher ins Firmennetz einbinden (Fortsetzung)
Security bei PDAs und Handys

Beim Zugriff von PDAs und Multifunktions-Handys auf das Firmennetz werden ähnlich wie bei Notebooks unterschiedliche VPN-Software-Clients auf dem Gerät eingesetzt. Teilsweise dienen weitere Security-Funktionen wie Datenverschlüsselung als Ergänzung.

Um ein hohes Sicherheitsniveau zu erreichen, müsste man bei den PDAs auch Smartcards oder USB-Token mit Zertifikaten einsetzen. Das scheitert aber meist an den fehlenden Schnittstellen.

In der Praxis werden derzeit meist Soft-Zertifikate für die Benutzerauthentifizierung im Speicherbereich eines PDAs abgelegt. Das wiederum ist jedoch ein Sicherheitsrisiko, sollte das Gerät gestohlen werden.

Denn dann lassen sich diese Zertifikate ohne Probleme auslesen Hier bietet beispielsweise die Firma Certgate mit der Smart-Card »microSD« eine SD-Karte mit integriertem Smartcard-Chip.

Diese Karte kann in eine Vielzahl von PDAs und Handys eingesteckt werden und dient dann als normales Speichermedium (SD-Karte) und gleichzeitig als Authentifizierungssystem.

Erst nach Eingabe der PIN durch den PDA-Benutzer wird eine Verbindung mit dem VPN-Gateway in der Firmenzentrale aufgebaut. Dabei überprüft ein Verschlüssungs-Chip das Zertifikat auf seine Gültigkeit hin. Mit der Appliance wird auch das erforderliche Zertifikat beim Personalisieren der SD-Karte aufgebracht. Dies ermöglicht ein komfortables Lifecycle-Management.

Security bei externem Zugriff über Browser

Sind keine eigenen Endgeräte vorhanden, dann erfolgt ein externer Zugriff von Mitarbeitern auf das Firmennetz meist über einen Browser. Das kann von einem beliebigen PC mit Internet-Zugang aus erfolgen, etwa von einem Web-Terminal im Flughafen oder Hotel aus oder mit dem eigenen Notebook über ein öffentliches Wireless-LAN.

Ein Webserver im Firmennetz ein Anmeldefenster zur Verfügung, an dem sich der Benutzer mit Benutzername und Kennwort authentifizieren muss. Dies kann beispielsweise ein Apache- oder IIS-Webserver sein, aber auch das Web-Interface eines Citrix-Terminalservers oder das Web-Frontend eines SSL-VPN-Gateways. Bei letzteren wird meist ein Add-on für den Browser herunter geladen, das wiederum die VPN-Verbindung aufbaut.

Da die Web-Adresse des Portals dann öffentlich über das Internet zugänglich ist, sollte hierbei immer eine starke Benutzerauthentifizierung erfolgen. Deshalb verbieten sich statische Kennwörter.

Um dieses Risiko auszuschalten, werden Einmalkennwortsysteme mit OTP-Token von den Benutzern eingesetzt. Dabei kommunizieren der Webserver oder das VPN-Gateway über das Sicherheitsprotokoll Radius (Remote Authentication Dial-in User Service) mit dem Authentifizierungsserver.

  1. Safety first - Notebooks, PDAs und Handys sicher ins Firmennetz einbinden
  2. Authentifizierung von Endgeräten
  3. Safety first - Notebooks, PDAs und Handys sicher ins Firmennetz einbinden (Fortsetzung)
  4. Safety first - Notebooks, PDAs und Handys sicher ins Firmennetz einbinden (Fortsetzung)

Matchmaker+
d.velop AG

d.velop AG
Zyxel Networks A/S

Zyxel Networks A/S
KONZEPTUM GmbH

KONZEPTUM GmbH
AixpertSoft GmbH

AixpertSoft GmbH
Plusnet GmbH

Plusnet GmbH
Rittal GmbH & Co. KG

Rittal GmbH & Co. KG