Montag, 1. März 2010


Topthema

Donnerstag, 12. März 2009 | Topthema

About Security: Ein Bericht von der CeBIT 2009

(Link zum Artikel: http://www.entwickler.de/entwicklerde/kolumnen/047798)

Die CeBIT 2009 ist vorüber, Zeit für den schon traditionellen Bericht über Neuigkeiten.

UTM mit identitätsbasierten Ansatz

Cyberoam (deutscher Vertrieb über Intellicomp) hat eine Reihe von Unified Threat Management Appliances vorgestellt. Das besondere daran: Es handelt sich um identitätsbasierte Systeme, bei denen die jeweiligen Einstellungen für den jeweils identifizierten Benutzer und nicht für eine vorgegebene IP-Adresse bzw. einen vorgegebenen IP-Adressbereich gelten. Die Benutzer können sowohl über LDAP, Active Directory und RADIUS als auch eine lokale Datenbank authentifiziert werden. An Schutzfunktionen stehen Stateful Inspection Firewall, Intrusion Prevention System, Inhalts- und Anwendungsfilter für Webseiten sowie Viren-, Spyware- und Spamfilter zur Verfügung, außerdem gibt es ein VPN-Gateway.

Der identitätsbasierte Ansatz ist besonders dann praktisch, wenn für verschiedene Benutzer(-gruppen) unterschiedliche Vorgaben gelten, Rechner aber gemeinsam genutzt werden. Egal an welchem Rechner ein Benutzer arbeitet, er kann nur die Dienste nutzen, die für ihn freigegeben sind. Die Einstellungen können also nicht durch einen einfachen Wechsel des Rechners umgangen werden, sofern der Benutzer sich dabei anmelden muss. Nutzt er dagegen den Account eines bereits angemeldeten Benutzers, gelten dessen Einstellungen - aber dafür ist dann der betroffene Benutzer verantwortlich und nicht das System.

Durch den identitätsbasierten Ansatz ist es möglich, z.B. für Auszubildende und normale Mitarbeiter unterschiedliche Regeln für die Nutzung des Web aufzustellen, Vorgesetzten mehr Rechte zuzugestehen als den jeweiligen Abteilungen und der Unternehmensleitung einen ungefilterten Internetzugang zur Verfügung zu stellen, ohne das diese dafür bestimmte Rechner nutzen müssen.

IPSec-VPN extra einfach

Die Sirrix AG hat mit Sirrix.TrustedVPN eine sehr einfach zu administrierende VPN-Lösung vorgestellt, die gleichzeitig höchsten Sicherheitsanforderungen genügt. Die einfache Administrierbarkeit wird durch den Einsatz einer Public-Key-Infrastruktur erreicht, die vom für die Verwaltung zuständigen Sirrix.TrustedObject.Manager selbständig angelegt und verwaltet wird. Die Sicherheit wird u.a. durch eine durchgängige Integration der Prinzipien der Trusted Computing Group erreicht, so werden z.B. die privaten Schlüssel der einzelnen Appliances im Trusted Platform Module gespeichert und beim Booten eine Hardware-basierten Prüfung aller zu ladenden Module durchgeführt. Die Kommunikation über das Internet erfolgt über IPSec, für das die Appliances bereits sicher vorkonfiguriert ausgeliefert werden.

Die notwendigen Konfigurationsarbeiten beschränken sich darauf, über die Weboberfläche des Sirrix.TrustedObject.Managers die benötigten logischen VPNs einzurichten, die jeweils aus einer bestimmten Anzahl von Sirrix.TrustedVPN-Gateways mit ihren angeschlossenen Netzen bzw. Subnetzen bestehen. Die VPN-Gateways selbst sind "zustandslos" und benötigen zur Funktion lediglich ihre eigene IP-Adresse und die des zugehörigen Management-Servers. Beim Anschluss an der Internet nehmen sie selbständig Verbindung mit dem zugehörigen Management-Server auf und erhalten von dem nach einer gegenseitigen Authentisierung alle notwendigen Konfigurationsdaten.

VPN-Appliance im Taschenformat

Die GeNUCard von GeNUA ist eine Firewall- und VPN-Appliance im Taschenformat, genauer: In Form einer Express Card für Notebooks. Da sich alle Sicherheitsfunktionen einschließlich der Schnittstellen auf der Karte befinden, schützen sie auch ein evtl. kompromittiertes Notebook. Zur Verfügung stehen Ethernet-, USB-, SD-Card- und Smartcard-Schnittstellen.

Beim Aufbau einer Verbindung prüft zuerst die Firewall, ob die gewünschte Verbindung überhaupt zulässig ist, danach baut das VPN-Gateway eine IPSec-Verbindung zum Ziel auf. Dabei dient die Karte zusätzlich als Token für die Authentisierung.

Die Karte kann sowohl lokal als auch bei Bedarf zentral administriert werden, im zweiten Fall hat das Unternehmen gleichzeitig einen Überblick über den Status aller Karten und kann deren korrekte Funktion kontrollieren sowie bei Bedarf Updates verteilen.

Gestohlenes Notebook zurück holen

Computrace One von AbsoluteSoftware hilft beim Wiederbeschaffen gestohlener Notebooks. Ein bereits bei vielen Windows-Notebooks ins BIOS integrierter Agent, der auch für Mac OS X zur Verfügung steht, nimmt in regelmäßigen Abständen Kontakt mit dem Monitoring Center von AbsoluteSoftware auf. Wird das Gerät gestohlen, können die Daten darauf gelöscht und der Standort des Geräts ermittelt werden. Liegt eine Diebstahlsanzeige bei der Polizei vor, gibt AbsoluteSoftware den Standort des Geräts an die lokal zuständige Polizeibehörde weiter.

iPhone als Smarcard

iEnigma von charismathics ist eine Anwendung für iPhone und iPod Touch, die den Einsatz der Geräte als Smartcard erlaubt. iEnigma kann mit Windows- oder Mac-Clients eingesetzt werden, die im Gerät gespeicherten Zertifikate werden nach der Eingabe einer PIN freigegeben, die Anmeldedaten dann per WLAN zum Rechner übertragen.

Damit ist der kurze virtuelle Rundgang über die 'CeBIT Security World' 2009 beendet. Wie bereits in About Security #195 angekündigt, geht es in der nächsten Folge um die Suche nach Pufferüberlauf-Schwachstellen.

Wenn Sie Fragen oder Themenvorschläge haben, können Sie diese gerne an die angegebene E-Mail-Adresse senden oder im Security-Forum einbringen!

Carsten Eilers

About Security - Übersicht zum aktuellen Thema:

Kommentare

Folgende Links könnten Sie auch interessieren