URL dieser Newsmeldung:

27.09.2007

About Security #124: Mobile Security - Schutz für Notebooks, Teil 2


Wie angekündigt, geht es in dieser Folge weiter um die Sicherheit von Notebooks. Die in About Security #123 vorgestellten Schutzmaßnahmen richteten sich gegen Angreifer mit physischem Zugriff auf das Gerät: Schutz vor Diebstahl, vor unbefugtem Starten und vor unbefugtem Zugriff auf gespeicherte Daten. Im Folgenden geht es zuerst um die Abwehr von Angriffen aus der Ferne.

Schutz vor Belauschen und Manipulation der Kommunikation
Bei der Kommunikation eines Notebooks mit dem eigenen lokalen Netz müssen folgende Sicherheitsanforderungen erfüllt werden:

N E U ! Security aktuell
Täglich aktuelle Security-Infos!

  • Sicherstellung der Vertraulichkeit der übertragenen Daten durch Verschlüsselung
  • Sicherstellung der Integrität der übertragenen Daten durch ein geeignetes Übertragungsprotokoll und ggf. zusätzliche Anwendung einer digitalen Signatur
  • Sicherstellung der Authentizität der übertragenen Daten durch gegenseitige Authentisierung der Kommunikationspartner
  • Sicherstellung der Nachvollziehbarkeit der Datenübertragung durch Einsatz einer geeigneten Protokollierungsfunktion

Beim Einsatz von Notebooks ist die Nutzung einer WLAN-Verbindung nahe liegend. Im eigenen lokalen Netz wird diese Verbindung durch IEEE 802.11i / WPA2 (siehe About Security #109 bis #116) geschützt. Wie aber sieht es bei der Nutzung fremder WLANs, z.B. auf Konferenzen, oder von öffentlichen WLAN-Hotspots aus? Die möglichen Angriffe auf sowie die sichere Nutzung von WLAN-Hotspots wurde bereits in About Security #117 beschrieben. Dieselbe Sicherheitsmaßnahme wie bei WLAN-Hotspots hilft auch gegen ein Belauschen der Kommunikation in fremden WLANs: Die konsequente Nutzung verschlüsselter Verbindungen. Bei Unternehmen bietet es sich an, für diesen Zweck eine VPN-Verbindung zu einem Gateway im eigenen lokalen Netz herzustellen, und dann den gesamten Netzwerkverkehr, auch in das Internet, darüber abzuwickeln. Das so in das eigene lokale Netz eingebundene Notebook genießt denselben Schutz wie die stationären Clients. VPN wurden bereits in About Security #88 ff. beschrieben. Für die Anbindung eines Notebooks an ein Unternehmensnetz bieten sich IPsec (About Security #89 bis #95 ) und SSL/TLS (About Security #97/#98) an.

Schutz vor Kompromittierung
Lokale Netze sind durch mehrstufige Sicherheitssysteme geschützt: Eine Firewall schützt das Netz vor unerwünschten Zugriffen von außen, der E-Mail-Server hat einen Virenscanner, Content- und Spamschutz, die lokalen Server einen On-Access-Virenscanner usw. Das Notebook muss außerhalb des lokalen Netzes ohne diesen Schutz auskommen, sofern nicht wie oben erwähnt alle Zugriffe nach außen durch eine VPN-Verbindung über das lokale Netz abgewickelt werden. Daher muss das Notebook selbst ausreichend gegen direkte Angriffe, Viren, Würmer usw. geschützt werden. Sonst ist nicht nur das Notebook selbst in Gefahr, sondern auch das lokale Netz, wenn ein kompromittiertes Notebook bei der Rückkehr von einem Außeneinsatz ohne weitere Prüfung angeschlossen wird.

About Security: Die komplette Serie
  • Die erste Stufe der Notebook-eigenen Sicherheitsmaßnahmen ist das Abschalten aller außerhalb des lokalen Netzes nicht benötigten Dienste und Funktionen beim Verlassen des Netzes, um keine unnötigen Angriffspunkte zu bieten.
  • Die zweite Stufe ist ein Virenscanner. Dabei sind zentral verwaltete Systeme vorzuziehen, die beim Anschluss des Notebooks an das lokale Netz die Virensignaturen aktualisieren und einen Scan veranlassen können.
  • Die dritte Stufe ist eine lokale Firewall für das Notebook. Zwar kann über das Für und Wider einer Personal Firewall lange gestritten werden, bei einem außerhalb eines geschützten Netzes eingesetzten Notebook ist sie auf jedem Fall angebracht, um Angriffe von außen abzuwehren. Auch dabei sind zentral verwaltete Systeme lokal verwalteten vorzuziehen: Zum einen hat der Benutzer so keine Möglichkeit, ihn störende Funktionen zu deaktivieren oder unerwünschten Netzwerkverkehr passieren zu lassen, zum anderen kann dadurch sichergestellt werden, das eventuelle Änderungen der Security Policy des Unternehmens auf allen Notebooks durchgesetzt werden. Eine Steigerung der Personal Firewall als Softwarelösung auf dem Notebook sind externe Hardwarelösungen wie z.B. Yoggie Pico oder mGuard smart, die zwar sicherer, aber auch deutlich teurer sind.

Schutz vor veralteten Daten
Wird ein Notebook außerhalb des lokalen Netzes eingesetzt, müssen die benötigten bzw. geänderten Daten regelmäßig zwischen Notebook und Server synchronisiert werden. Die verwendete Synchronisationssoftware muss Synchronisationskonflikte auflösen können. Diese treten auf, wenn eine Datei seit der letzten Synchronisation an mehr als einem Speicherort geändert wurde, z.B. weil sie sowohl auf einem Notebook als auch auf einem Client im lokalen Netz bearbeitet wurde. Bei der Synchronisation muss sichergestellt werden, dass keine Manipulationen vorgenommen werden, wie z.B. das Einschleusen von Schadprogrammen. Die Synchronisation muss protokolliert werden, um unbefugte Synchronisationsvorgänge erkennen zu können.

In der nächsten Folge werden weitere Schutzmaßnahmen für Notebooks beschrieben.

Wenn Sie Fragen oder Themenvorschläge haben, können Sie diese gerne an die angegebene E-Mail-Adresse senden oder im Security-Forum einbringen!

Carsten Eilers



© 2008 Software & Support Verlag GmbH. Vervielfältigung nur mit Genehmigung des Verlags. Fragen?