SonicWALL SRA: Sichere Unternehmensanbindung für iPad und Co.

Zwei Trends kennzeichnen die aktuelle Client-Umgebung in Unternehmensnetzwerken: zum einen die Zunahme von Remote-Zugriffen aufgrund einer erhöhten Anforderung im Bereich der Mobilität und zum anderen die vielfach diskutierten Themen von BYOD und »Consumerization«. Wie man zu dieser Problematik auch steht – eine Lösung für eine sichere Anbindung der portablen Geräte muss her.

Anytime, Anywhere

Noch vor nicht allzu länger Zeit war Mobilität und die damit verbundene Arbeit von unterwegs ein Privileg weniger. Heute ist es meist eine Notwendigkeit. Egal ob Geschäftsleitung, Vertrieb und Marketing oder Support: viele Außer-Haus-Termine sind auf der Tagesordnung. Gleichzeitig muss die Anbindung an die relevanten Informationen im Unternehmen gewahrt bleiben.

Darüber hinaus erfolgt die Arbeit vielfach heute vom Home-Office aus und auch die Einbindung freier Mitarbeiter in die interne IT-Struktur (Email, Dokumentenaustausch, Ablage) wird mehr die Regel als die Ausnahme.

Die Ablösung des Notebooks

Bis die Tabletgeräte die Funktionalität von Notebooks vollständig ersetzen können, wird noch einige Zeit vergehen. Für manche Anwendungsgebiete ist dies aber bereits heute durchaus der Fall. So kommt der Vertriebsmitarbeiter in vielen Firmen bereits mit seinem iPad aus – zumindest unterwegs. Produktpräsentationen und Dokumente lassen sich bequem transportieren und vor Ort vorführen. Email ist ohnehin kein Problem mehr. Und sollte dennoch ein Dokument auf dem Unternehmensserver liegen, dann gibt es doch VPN, oder?

BYOD, der Anwender auf der Überholspur

Ob man es gut findet, oder nicht – Fakt ist, dass die EDV im professionellen Umfeld zu lange die Implementierung einfacher Methoden und Geräte hinausgezögert hat. Mithilfe des obersten Managements (auch der Chef will »cool« sein) wird die altbewährte IT-Strategie einfach negiert. Der Einsatz privater Geräte wird „geduldet“ und setzt den Flächenbrand unter den Anwendern in Gang. »Consumerization« der IT nennt der Journalist das dann.

Die Freiheit nehm’ ich mir

Wie einst Steve Jobs’ Slogan „1000 Lieder in der Hosentasche“, ist es heute problemlos möglich, ganze Wissensdatenbanken oder die unternehmenseigene Dokumentenablage in einem kleinen Geräte mit sich zu nehmen. Im Notfall durch eine Remote-Anbindung jederzeit „unendlich“ erweiterbar.

Technologie-Freiheit trifft auf IT-Management – so könnte man die anstehende Kontroverse zusammenfassen. Um diese zur (bestmöglichen) Zufriedenheit aller zu lösen, gibt es keinen Weg an einer „sauberen“ VPN-Lösung vorbei.

Tablets, Smartphones und SSL

Was bei einem Notebook mit etlichem Aufwand gelöst wurde, steht heute für die neue Generation portabler Geräte auf der Tagesordnung: sichere Nutzung und sichere Anbindung. Das gewohnte Schema – zentral verwaltete Anti-Virus-Lösung, zentrales Patch-Management, verwaltete Updates, einheitlich konfigurierter VPN-Client – ist technisch auf Tablets und Smartphones noch nicht umsetzbar.

Die Konfiguration und Nutzung des Anwendergeräts wird am besten durch eine Unternehmensrichtlinie, die nicht nur den technischen Teil abdeckt, gesteuert. Eine andere Herausforderung ist die Absicherung des Zugriffs von extern auf das Unternehmens-LAN.

Immer öffentlich unterwegs

Dabei kommt eine gänzlich neue Komponente ins Spiel: alle Handhelds sind aufgrund ihrer Provider-Anbindung immer im öffentlichen Netzwerk aktiv. UMTS ermöglicht jenen »Always-On«-Zustand – für Gerät und Anwender.

 

Auch die fast überall verfügbare WLAN-Verbindung macht das Remote-Arbeiten einfach und schnell. Egal ob im Café oder im privaten Heimnetz – aus Firmensicht befinden sich diese Geräte immer »außen«.

SSL-VPN für Smartphone und Tablet

Neben dem IPSec-VPN mit fest installiertem VPN-Client gehört auch für Notebooks der SSL-verschlüsselte Zugang seit längerer Zeit zum Standard. Als Software wird dabei nur ein Browser benötigt. Der Nachteil: alle Anwendungen und Operationen, die nicht mit den Standardprotokollen des Browsers bedient werden können, bleiben außen vor. Oder bedürfen einer Erweiterung. Mit einem Browser meist kein Problem. Mittels ActiveX oder Java-Applets wird das Unmögliche möglich gemacht. Damit sind dann auch Standardzugriffe auf Dateiebene oder die Emulation ganzer Anwendungen möglich.

SSL-Client für iOS und Android

Auf iPad, iPhone oder Android-Geräten greifen diese Erweiterungen nicht. Browser-Erweiterungen sind einerseits nicht installierbar (iOS) oder nicht verfügbar bzw. kompatibel (Android). Hier hilft nur eine spezielle »App«. Diese erstellt den Tunnel zum Unternehmensnetzwerk und sorgt dafür, dass sämtlicher Datenverkehr zu internen Systemen über diese SSL-Strecke geroutet wird.

Ein moderner VPN-Client stellt nicht nur die Firmenressourcen zur Verfügung, sondern garantiert auch eine sichere Nutzung. Eine starke Verschlüsselung in Kombination mit einem strikten Authentifizierungssystem macht den Zugang über öffentliche Drahtlosnetzwerke erst möglich.

VPN – Backdoor für Schädlinge?

Eine verschlüsselte Verbindung ist eine tolle Sache – auch für Viren und Trojaner. Da der gesamte Datenverkehr nicht einsehbar ist, greift auch kein Virenscanner oder andere Schutzsoftware. Zur Erinnerung: Welche Anwendung, welche Daten über die SSL-verschlüsselte Verbindung sendet, wird vom SSL-Gateway nicht geprüft. Zum Unterschied von einem kontrollierten Notebook-Setup ist hier auf den Client schon gar kein Verlass. Was nun?

Clean-VPN!

Egal woher die SSL-Verbindung kommt – vom WLAN-Café, vom Flughafen-Hotspot oder vom öffentlichen Router in der Kneipe: TNO – Trust NoOne! Es ist ein Zugriff von extern und deshalb mit aller Vorsicht zu begegnen.

Nur die Terminierung der verschlüsselten Verbindung mit sofortiger Prüfung auf Malware garantiert höchstmögliche Sicherheit. Der Anti-Virus-Check verbunden mit IPS (Intrusion Prevention) erfolgt auf Firewall-Seite, die sämtliche Funktionen wie beim traditionellen Security-Check zur Verfügung stellt.

Nicht ohne Firewall!

Auch der SSL-Datenverkehr muss folglich auf Malware und andere Sicherheitsbedrohungen geprüft werden. Dazu wird die Verschlüsselung am SSL-Gateway terminiert und der ein- und ausgehende Traffic von der Firewall geprüft.

Neben AntiVirus- und Trojanerprüfung gehen die Möglichkeiten mittels »Application Intelligence« auf Firewall-Seite aber noch erheblich weiter. Die Anwendungskontrolle der Sicherheitsgeräte ermöglicht die Sperrung ungewünschter Applikationen. »Netflow-Monitoring« lautet das Stichwort (siehe dazu auch die Möglichkeiten der Bandbreitenanalyse). Dies bringt nicht nur mehr Sicherheit, sondern schont auch die Bandbreitennutzung des Internet-Gateways des Unternehmens.

Kosten und Nutzen

Der Einsatz einer SSL-VPN-Appliance lohnt auf jeden Fall. Dennoch sollte vorab eine genaue Kostenkalkulation erfolgen. Neben den Anschaffungskosten für das Gateway-System sind auch meist jährliche Zahlungen für Updates und Hardware-Austausch fällig (bedenken Sie die Folgen bei einem Defekt!).

Darüber hinaus sind die Kosten für Client-Lizenzen ein wesentlicher Faktor. Beachten Sie hier vor allem den Unterschied zwischen benutzerbezogenen und gleichzeitig genutzten („concurrent“) Lizenzen.

Apropos Lizenzen: Eine sehr elegante Lösung für Notfälle und Übergangsszenarien sind sogenannte „Spike“-Lizenzen. Damit können temporäre Spitzen an benötigten Benutzerverbindungen abgedeckt. Egal ob projektbezogen oder durch Unwetterbedingungen verursacht – für 10 oder auch 30 Tage kann auf diese Weise die Schaar der externen Anwender kurzfristig in die Höhe geschraubt werden. Ein Anruf genügt.

Die Praxis als Video

In unserem Screencast sehen Sie den Einsatz des SSL-Zugangs in das Firmennetzwerk. Demonstriert auf einem Tablet können Sie sich „live“ von der einfachen Nutzung des gesicherten Zugriffs überzeugen.


Teile diesen Artikel

Das könnte dich auch interessieren …

2 Antworten

  1. 25. Februar 2014

    […] “Watchlist” ermöglicht es dem Administrator, sich über eine Verbindung zum hauseigenen vCenter-Server (Version 5 und höher!) eine anpassbare Liste aller virtuellen Maschinen anzeigen zu lassen. Dies bedingt wohl in den meisten Fällen einen Zugang via VPN vom SmartPhone in das Unternehmensnetzwerk. […]

  2. 10. August 2014

    […] Gewaltschub erhielt die Remote-Anforderung in vielen Unternehmen durch den Einsatz mobiler Endgeräte (Stichwort: BYOD). Egal ob bloßer Zugriff auf den Mailserver oder eine Bedienung des CRM-Systems […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*