Dell SonicWALL-Lösungen - Security

So kontrollieren Sie den Zugriff von
Laptops und Smartphones auf Ihr
Unternehmensnetzwerk
Sicherheitskonzepte für Laptops und Smartphones: Gemeinsamkeiten und Unterschiede
Executive Summary
Neben Laptops werden heute auch Smartphones als
Netzwerkendgeräte in Unternehmen,
Bildungseinrichtungen und Behörden eingesetzt. Für
das Sicherheitsmanagement dieser mobilen Geräte
sollten IT-Verantwortliche mit den Unterschieden und
Gemeinsamkeiten von Laptop- und SmartphonePlattformen vertraut sein. Auf diese Weise können Best
Practices angewendet werden, um die Vertraulichkeit
und die Sicherheit der Unternehmenskommunikation
innerhalb und außerhalb der Netzwerkgrenzen zu
gewährleisten.
™
Dieses Whitepaper fasst die Erfahrungen des Dell
™
SonicWALL Research & Development Teams
zusammen und zeigt, welche Anforderungen sich
mithilfe der Dell SonicWALL-Lösungen abdecken
lassen. Die Dell SonicWALL-Lösungen, die am Ende
dieses Whitepapers aufgeführt sind, werden auf der Dell
SonicWALL-Website detailliert beschrieben:
http://www.DellSonicWALL.com
Unterschiede bei der Verwaltung von
Laptops und Smartphones
Die IT-Verantwortlichen müssen heute sowohl für
Laptop- als auch für Smartphone-Nutzer einen
sicheren Zugriff auf die Unternehmensressourcen
gewährleisten. In puncto Sicherheit gibt es allerdings
nicht unwesentliche Unterschiede zwischen Laptops
und Smartphones.
Bei Firmen-Laptops, die vom Unternehmen verwaltet
und kontrolliert werden, hat die IT-Abteilung
theoretisch noch die Möglichkeit, die Installation
potenziell unsicherer oder unerwünschter
Anwendungen mithilfe von Sperren im Betriebssystem
zu verhindern. Heute verlangen Mitarbeiter jedoch
dieselbe Freiheit bei der Auswahl und Einrichtung ihrer
technischen Geräte wie in ihrem Privatleben. Mit
zunehmender Consumerization der IT (und aufgrund
der möglichen Einsparungen bei den Gerätekosten)
setzen heute immer mehr Firmen auf das BYOD (Bring
Your Own Device)-Modell und erlauben ihren
Mitarbeitern die Nutzung eigener Mobilgeräte am
Arbeitsplatz.
Bei Laptops mit Standardbetriebssystemen wie
®
®
®
Windows , Macintosh und Linux hat die
zunehmende Verbreitung von ConsumerTechnologien und BYOD eine offene, unkontrollierte
Anwendungslandschaft entstehen lassen. Die
Endbenutzer können ohne zusätzliche Schutzschicht
oder Sicherheitsprüfung jede beliebige Anwendung
installieren, darunter auch potenziell unsichere oder
gefährliche Programme, die nicht für die Verwendung
im Firmennetzwerk freigegeben sind. Meldet sich ein
Laptop mit unsicheren Anwendungen beim Netzwerk
an, stellt dies eine direkte Bedrohung für die
Unternehmensressourcen dar. Aufgrund der offenen
Anwendungsumgebung sollte bei diesen Laptops eine
Geräteabfrage stattfinden. Auf diese Weise kann die ITAbteilung prüfen, ob die vorgegebenen
Sicherheitsanwendungen auf dem Gerät ausgeführt
werden, und Sicherheitsregeln durchsetzen, die den
Zugriff auf das Gerät entsprechend den FirmenSicherheitsrichtlinien freigeben, vorübergehend sperren
oder komplett verwehren. Bei unverwalteten Laptops ist
zudem der Einsatz eines Reverse Proxy-Portalzugangs
oder eines VPN (Virtual Private Network)-Tunnels mit
Endpunktkontrolle erforderlich.
Apps, die für eine Ausführung auf Smartphone- (und
Tablet-) Betriebssystemen entwickelt wurden,
durchlaufen im Gegensatz zu PC-Anwendungen eine
strenge Prüfung, bevor sie zum Download freigegeben
®
®
werden. Dass Apple iPhone -Nutzer eine Rogue App
SM
aus dem App Store herunterladen, kommt daher auch
®
äußerst selten vor. Google Android™ ist dem
gegenüber etwas weniger strikt (nachdem einige
Anfangsprobleme mit Rogue Apps gelöst wurden). Den
Entwicklern ist es aber bislang weitgehend gelungen,
eine geschlossene App-Umgebung mit geprüften Apps
bereitzustellen. Aufgrund dieses Unterschieds hat die
Geräteabfrage bei Laptops eine ungleich größere
Bedeutung als bei Smartphones (sofern das jeweilige
Smartphone nicht per Jailbreaking verändert wurde).
Weitere Unterschiede bestehen in Bezug auf die
Benutzerfreundlichkeit, die Implementierung und
Administration sowie die Regeln für Unified Clients und
die Sicherheit. Anders als bei Laptops sind auf
Smartphones häufig IPSec-/L2TP-Tunneling-Agents
vorinstalliert. Diese Agents sind jedoch nicht
vorkonfiguriert. Daher ist eine Konfiguration des Clients
durch den Benutzer oder den IT-Administrator
notwendig. Eine Implementierung dieser TunnelingAgents für andere mobile Laptop-Geräte kann
allerdings mit einem höheren Aufwand für die IT
verbunden sein. Alternativ lässt sich eine universelle
Reverse Proxy- oder Webportal-Lösung für alle
Mobilgeräte implementieren. Eine manuelle
Implementierung einzelner IPSec-/L2TP-Clients fällt
damit weg.
Best Practises
Berücksichtigt man die vorgenannten Unterschiede,
ähneln sich die Best Practices für die Sicherung des
mobilen Zugriffs von Laptops und Smartphones in
vielerlei Hinsicht. Beispielsweise können sich Laptops
und Smartphones von außerhalb über eine
Drahtlosverbindung ins Netzwerk einloggen und sich
damit „Man-in-the-Middle“-Angriffen aussetzen. Für
Laptops, Smartphones und Tablet-PCs ist daher ein
verschlüsselter VPN-Zugang erforderlich, der die
Vertraulichkeit der Kommunikation außerhalb des
Netzwerks gewährleistet.
IT-Verantwortliche müssen außerdem in der Lage sein,
den gesamten Datenverkehr zu scannen, um die
Integrität und Sicherheit des Netzwerks zu
gewährleisten. Unternehmen wollen oft nicht
wahrhaben, dass Mobilgeräte nicht nur Informationen
übermitteln, sondern leider auch Malware in Netzwerke
einschleusen können – sei es absichtlich oder
ungewollt.
Je nachdem, ob mobile Geräte die Verbindung
innerhalb oder außerhalb der Netzwerkgrenzen
aufbauen, müssen unterschiedliche Best Practices für
die Sicherheit gewählt werden.
Sicherer Zugriff auf das Netzwerk von
außerhalb:
1. Einrichten eines Reverse Web Proxys: Reverse Proxys
ermöglichen den Zugriff auf Webressourcen über
Standardbrowser und können so den webbasierten Zugriff
auf Netzwerkressourcen authentifizieren und verschlüsseln.
Ein Reverse Proxy stellt einen plattformunabhängigen
Zugriff für Laptops und Smartphones bereit und minimiert
auf diese Weise den Implementierungsaufwand.
2. Einrichten von SSL VPN-Tunneln: Laptops und
Smartphones erhalten über Agent-basierte, verschlüsselte
SSL VPN-Tunnel einen einfachen Zugriff auf kritische ClientServer-Ressourcen im Netzwerk.
3. Implementierung einer Endpunktkontrolle für Laptops:
Um die Einhaltung der Sicherheitsrichtlinien für verwaltete
und unverwaltete Windows-, Macintosh- und Linux-Laptops
sicherzustellen, kann mithilfe einer Endpunktkontrolle
überprüft werden, ob die erforderlichen
Sicherheitsanwendungen vorhanden sind. Anschließend
kann der Zugriff abhängig von den bestehenden
Sicherheitsregeln und der Benutzeridentität freigegeben,
vorübergehend gesperrt oder verwehrt werden. Wie
Eingangs erwähnt, ist dies vor allem bei Laptops wichtig,
nicht so sehr jedoch bei Smartphones, da diese über eine
geprüfte App-Verteilungsumgebung verfügen.
4. Sichere virtuelle Desktopumgebung für Laptops: Mithilfe
einer sicheren virtuellen Desktopumgebung kann verhindert
werden, dass Benutzer sensible Daten auf unverwalteten
Windows-Laptops zurücklassen.
5. Anwendung von Cache Cleaner-Technologien bei
Laptops: Mithilfe eines Cache Cleaners werden sämtliche
Tracking-Daten auf einem Laptop gelöscht, sobald der
Benutzer den Browser schließt.
6. Prüfung des VPN-Verkehrs mit der Next-Generation
Firewall (NGFW): Laptops und Smartphones können als
Einfallstor für Malware dienen. Diese kann selbst über WiFioder 3G/4G-Verbindungen in das Firmennetzwerk
gelangen. Durch die Integration einer Next-Generation
Firewall in die vorhandene Infrastruktur wird ein Clean
VPN™ eingerichtet, in dem sämtliche Inhalte zunächst
entschlüsselt und anschließend überprüft werden.
Sicherheitsfunktionen am NGFW-Gateway (z. B. AntiVirus/Anti-Spyware und Intrusion Prevention Service)
machen Bedrohungen unschädlich, bevor sie in das
Netzwerk gelangen können.
7. Robuste Authentifizierung für Laptops und Smartphones:
Eine wirklich sichere Lösung muss eine nahtlose Integration
mit Standard-Authentifizierungsmethoden wie Zwei-FaktorAuthentifizierung und Einmalpasswörtern unterstützen.
Sicherer Zugriff innerhalb der
Netzwerkgrenzen:
1. Prüfung des WiFi-Verkehrs mit einer Next-Generation
Firewall: Durch die Integration einer Next-Generation
Firewall mit 802.11 a/b/g/n-Wireless-Konnektivität lässt sich
für Nutzer, die sich innerhalb der Netzwerkgrenzen
befinden, ein Clean Wireless™-Netzwerk erstellen.
2. Überwachung des Anwendungsverkehrs: Bei Mobile Apps
stehen sich – grob gesprochen – geschäftskritische
Lösungen und überflüssige Zeitfresser gegenüber. Mit einer
Clean VPN-Lösung, die Application Intelligence, Control and
Visualization umfasst, kann die IT-Abteilung genau
definieren, wie die Anwendungs- und
Bandbreitenressourcen genutzt werden sollen.
3. Maßnahmen zum Schutz vor Datenlecks: Data Leak
Protection (DLP) kann den ausgehenden Datenverkehr auf
Inhalte mit digitalen Wasserzeichen überprüfen.
4. Blockieren unerwünschter Webinhalte: Eine Content
Filtering-Lösung gewährleistet eine unbedenkliche
Netzwerkumgebung und hilft so mobilen Benutzern bei der
Einhaltung gesetzlicher Vorgaben.
5. Blockieren ausgehender Botnet-Angriffe: Anti-MalwareScans können Botnet-Angriffe erkennen und blockieren, die
von mobilen, im Netzwerk eingeloggten Geräten ausgehen.
Verwaltung mobiler Geräte
Um die Sicherheit mobiler Geräte zu erhöhen,
entscheiden sich einige Organisationen für die
Implementierung von MDM (Mobile Device
Management)-Gateways. MDM beschränkt den Zugriff
anhand der Telefonnummer, erkennt per Jailbreaking
veränderte Geräte und isoliert geschäftliche
Informationen in verschlüsselten, von MDM verwalteten
virtuellen Desktop-Containern, wo sie von der ITAbteilung gemäß den Regelkriterien per Remote Wipe
gelöscht werden können. Allerdings erhöht eine MDM-
Lösung in der Regel auch die Komplexität der
Infrastruktur und zieht größere Investitionen nach sich,
die bisweilen die Vorteile wieder zunichtemachen.
Bevor eine Organisation diese zusätzlichen Kosten auf
sich nimmt, sollte sie genau prüfen, ob sie MDM
tatsächlich benötigt. Falls MDM für die jeweiligen
Anwendungsszenarien keine entscheidenden Vorteile
bringt, sollte das Budget besser für Lösungen
ausgegeben werden, die einen klaren Nutzen bieten.
Dell SonicWALL-Mobility-Lösungen
Um die genannten Best Practices umsetzen zu können,
benötigt die IT-Abteilung die richtigen Lösungen.
™
• Die Dell SonicWALL Aventail E-Class Secure Remote
Access (SRA)-Serie, die SRA-Serie für kleine und mittlere
Unternehmen (KMUs) sowie die Dell SonicWALL NextGeneration Firewalls bieten einen einfachen regelbasierten
SSL VPN-Zugriff auf wichtige Netzwerkressourcen von
zahlreichen Mobilgeräte-Plattformen aus, wie z. B.
Windows-, Macintosh- und Linux-Laptops sowie
Smartphones auf Basis von Windows Mobile, iOS, Google
Android und Nokia Symbian.
• Mit seinem richtlinienbasierten, geräteoptimierten
Webportal erlaubt SonicWALL Aventail WorkPlace™ einen
einfachen Zugriff auf webbasierte Anwendungen (u. a.
®
Oracle JavaScript), Client-/Server-Anwendungen und
kritische Netzwerkressourcen von zahlreichen Plattformen
aus, wie z. B. Windows-, Macintosh- und Linux-Laptops
sowie Windows Mobile-, iOS-, Android- und Nokia
Symbian-Smartphones.
• Die SSL VPN-Lösungen von SonicWALL Aventail bieten
®
Secure ActiveSync -Support für den Zugriff von
Smartphones und Tablet-PCs auf Microsoft Exchange-EMail-, Kontakt- und Kalenderdienste für die Plattformen iOS,
Android, Symbian, Windows Mobile und Windows Phone 7.
Mithilfe der erweiterten Device Identification-Technologie
von Dell SonicWALL können Administratoren ein
bestimmtes Smartphone oder einen Tablet-PC einem
Benutzer fest zuordnen und so bei Verlust oder Diebstahl
den Zugriff auf das Unternehmensnetzwerk in kürzester Zeit
sperren.
• SonicWALL Aventail Advanced End Point Control™
(EPC™) (für Windows-, Macintosh- und Linux-Geräte
verfügbar) kombiniert Schutzfunktionen für unverwaltete
Endpunkte mit einer verschlüsselten virtuellen Secure
Desktop-Umgebung sowie umfassendem Datenschutz mit
Cache Control. Daneben ermöglicht EPC eine erweiterte
Endpunkt-Erkennung und Datensicherheit für
Unternehmen. Endpunkt-Geräte werden auf alle
unterstützten Virenschutz-, Personal Firewall- und AntiSpyware-Lösungen führender Anbieter abgefragt, so z. B.
®
®
®
®
McAfee , Symantec , Computer Associates , Sophos ,
®
Kaspersky Lab und viele andere.
• SonicWALL Aventail Secure Desktop richtet eine virtuelle
Sitzung auf Windows-Laptops ein. Somit können Benutzer
im Internet surfen, E-Mails abrufen und persönliche Dateien
mit Client-/Server-Anwendungen bearbeiten. Nach Ablauf
der Sitzung werden automatisch alle sensiblen Daten
vollständig von dem unverwalteten Laptop entfernt.
• SonicWALL Aventail Cache Control bietet mehr als eine
einfache Säuberung des Cache-Speichers. Die Lösung
erlaubt das Leeren des Browser-Caches sowie das Löschen
von Sitzungsverläufen, Cookies und Passwörtern.
• SonicWALL Mobile Connect™-Unified Client AppLösungen für iOS und Google Android bieten Smartphoneund Tablet-PC-Benutzern umfassenden Zugriff auf
Netzwerk-Ressourcen von Unternehmen,
Bildungseinrichtungen und Behörden über verschlüsselte
SSL VPN-Verbindungen. Nur Dell SonicWALL bietet Clean
VPN (in Implementierungen mit einer Dell SonicWALL NextGeneration Firewall) für die Autorisierung und
Entschlüsselung sowie für die Neutralisierung von
™
®
Bedrohungen, die von iOS- (Apple iPad , iPhone und iPod
®
touch ) oder Android-Datenverkehr über SSL VPN
außerhalb der Netzwerkgrenzen ausgehen. Mit Dell
SonicWALL Application Intelligence and Control können
Unternehmen darüber hinaus die Nutzung der
Anwendungs- und Bandbreitenressourcen regulieren. Die
App kann von den Benutzern problemlos aus dem App
Store oder über Google Play heruntergeladen werden und
erlaubt sichere SSL VPN-Verbindungen zu SonicWALL
Aventail E-Class SRA, SRA für KMUs oder Dell SonicWALL
Next-Generation Firewall Appliances. Darüber hinaus bietet
SonicWALL Aventail Connect Mobile™ bei Kombination mit
einer SonicWALL Aventail E-Class SRA Appliance eine
Remote Access-Lösung für Windows Mobile-Smartphones
sowie Google Android-Smartphones und Tablet-PCs. Die
Mobile Connect- und Connect Mobile-Clients sorgen für
einen geräteoptimierten Netzwerkzugriff mit einer
Nutzungsqualität wie bei internen Endgeräten und
ermöglichen damit eine nahtlose Netzwerkeinbindung des
Benutzers sowie die mobile Zugriffskontrolle über ein
einziges, zentral verwaltetes Gateway.
• Die SonicWALL Aventail E-Class SRA-Lösungen unterstützen
nicht nur eine Authentifizierung mit Vasco, RSA, Active
Directory, LDAP, RADIUS und ACE, sondern auch das
integrierte Generieren von Einmalpasswörtern für eine
Zwei-Faktor-Authentifizierung.
• Dell SonicWALL Clean VPN stellt einen doppelten Schutz
durch SSL VPN und leistungsstarke Next-Generation
Firewalls bereit, wie er zur Absicherung des VPN-Zugriffs
und des Datenverkehrs im Netzwerk erforderlich ist. Dank
der Multi-Layer-Netzwerksicherheitsfunktionen von Clean
VPN können Unternehmen sämtlichen autorisierten
Datenverkehr verschlüsseln und auf Malware überprüfen,
bevor er in die Netzwerkumgebung gelangt. Clean VPN
schützt die Integrität des VPN-Zugriffs. Hierzu werden
mittels automatischer Authentifizierung,
Datenverschlüsselung und granularer Zugriffsregeln
vertrauenswürdige Verbindungen für Remote-Benutzer und
ihre Endpunktgeräte hergestellt. Zugleich stellt Clean VPN
die Integrität des VPN-Datenverkehrs sicher. Dies geschieht
durch Autorisierung des Datenverkehrs und Entfernung von
Malware aus eingehenden Daten sowie Überprüfung aller
ausgehenden VPN-Daten in Echtzeit.
• Dell SonicWALL Clean Wireless bietet eine sichere,
einfache und kostengünstige Lösung für verteilte WirelessNetzwerke, die universelle 802.11 a/b/g/n-WirelessFunktionen mit einer Enterprise-Class Firewall bzw. einem
VPN Gateway kombiniert.
• Mit Dell SonicWALL Application Intelligence and Control
lassen sich Anwendungen gezielt kontrollieren, die
verfügbare Bandbreite priorisieren oder einschränken und
der Zugriff auf Websites verwalten. Die umfassenden
Regelfunktionen dieses Produkts erlauben u. a.
Einschränkungen bei der Übertragung bestimmter Dateien
und Dokumente, das Blockieren von E-Mail-Anhängen nach
benutzerdefinierten Kriterien, die Personalisierung der
Anwendungskontrolle und die Sperrung des Webzugriffs
anhand verschiedener benutzerdefinierter Optionen.
• Der Dell SonicWALL Application Flow Monitor liefert
Echtzeit-Grafiken zu Anwendungen, zur
Bandbreitenbelegung in ein- und ausgehender Richtung
sowie zu aktiven Website-Verbindungen und zur
Benutzeraktivität. Dank zahlreicher
Visualisierungsmöglichkeiten können Administratoren alle
Regeln effizient überwachen und bei kritischen
Vorkommnissen anpassen.
• Dell SonicWALL Application Traffic Analytics kombiniert
eine Dell SonicWALL Next-Generation Firewall mit einem
Softwaretool zur Datenstromanalyse, wie z. B. dem Dell
SonicWALL Global Management System (GMS) 7.0, Dell
SonicWALL Analyzer und Dell SonicWALL Scrutinizer. Durch
die Einbindung von Syslog und IPFIX zur Analyse des
Anwendungsdatenverkehrs lassen sich granulare EchtzeitBerichtsfunktionen auf Anwendungsebene nutzen, die
flexibel einsetzbar und komfortabel zu bedienen sind.
Fazit
Die Unterschiede zwischen Laptops und Smartphones
machen einen jeweils eigenen Sicherheitsansatz
erforderlich, insbesondere in den Bereichen
Geräteabfrage und VPN Client Provisioning.
Unternehmen, Bildungseinrichtungen und Behörden
müssen dafür sorgen, dass Laptops und Smartphones
eine sichere VPN- oder Remote Proxy-Konnektivität
unterstützen, wenn sie außerhalb des Netzwerks über
externe Wireless-Verbindungen oder Hotspots
eingesetzt werden. Nur so lassen sich vertrauliche
Daten schützen und eine maximale Sicherheit
garantieren.
Kurz gesagt: Werden Laptops und Smartphones
innerhalb des Unternehmensnetzwerks eingesetzt,
sollten auch sie die bestehenden Schutz- und
Sicherheitsmechanismen der neuesten NextGeneration Firewall-Technologie nutzen können. Die IT
muss in der Lage sein, genügend Bandbreite für
geschäftskritische Anwendungen bereitzustellen und
gleichzeitig die negativen Auswirkungen von
unerwünschtem Datenverkehr zu beschränken.
Die Mobile Connect-, SSL VPN-, Clean VPN- und NextGeneration Firewall-Lösungen von Dell SonicWALL mit
Application Intelligence, Anwendungskontrolle und visualisierung unterstützten Organisationen dabei, Best
Practices für die sichere Nutzung von Smartphones in
Unternehmensnetzwerken umzusetzen.
Copyright 2012 Dell Inc. Alle Rechte vorbehalten. Dell SonicWALL ist eine Marke von Dell Inc. Alle anderen Produkt- und
Service-Namen bzw. Slogans von Dell SonicWALL sind Marken von Dell Inc. Alle anderen hier erwähnten Produkt- und
Firmennamen sind Marken und/oder eingetragene Marken der jeweiligen Inhaber. 07/12