Mobile and Cloud Solutions

Wirtschaftsspionage & Datenklau – Die Bedeutung von IT-SECURITY im Mittelstand

By 24. November 2015 Juli 27th, 2020 No Comments
[spb_text_block pb_margin_bottom=”no” pb_border_bottom=”no” width=”1/1″ el_position=”first last”]

Mehr Sicherheit im RDS-eigenen WLAN mit einer zweistufigen PKI – IT Security im Mittelstand

Heute möchten wir Ihnen einen Einblick in unsere eigene IT gewähren. Wie gehen wir als Mittelständler mit dem Thema IT-Security um? Und wie sichern wir unsere Daten zuverlässig vor Fremdzugriffen?

Antwort: Mit einer zweistufigen Public Key Infrastructure.

Ziel des Projekts war der sichere Zugriff auf Daten aus dem RDS-WLAN. Der Zugang erfolgt mittels 802.1x Authentisierung und der Verwendung des EAP-TLS – dies gilt allgemein als sicherstes Verfahren bei der Zugriffskontrolle.

Welche Herausforderungen können mit einer PKI bewältigt werden?

Der Austausch von vertraulichen Daten über das interne Firmennetzwerk ist ganz alltäglich, diese gilt es zuverlässig vor Fremdzugriffen zu schützen. Im schlimmsten Fall wird man als Unternehmen Opfer von Wirtschaftsspionage und Ideen für neue Produkte, Lösungen oder Kundendaten werden ausspioniert. Wird das WLAN-Passwort geknackt und jemand loggt sich von außerhalb ins Firmennetzwerk ist das wertvollste Gut Ihrer Firma in Gefahr – die Daten.

// Die Gefahr durch Wirtschaftsspionage wird nach Ansicht von [Ex-] Innenminister Friedrich unterschätzt. Jährlich entstehe ein Schaden von 50 Milliarden Euro – vor allem im Mittelstand. // Focus, dn/dpa/Reuters

[/spb_text_block] [spb_accordion active_section=”0″ width=”1/2″ el_position=”first”] [spb_accordion_tab title=”CA – Certified Authority” accordion_id=”” icon=””] [spb_text_block pb_margin_bottom=”no” pb_border_bottom=”no” width=”1/1″ el_position=”first last”]

In der Informationssicherheit ist eine Zertifizierungsstelle (englisch certificate authority oder certification authority, kurz CA) eine Organisation, die digitale Zertifikate herausgibt. Ein digitales Zertifikat dient dazu, einen bestimmten öffentlichen Schlüssel einer Person oder Organisation zuzuordnen. Diese Zuordnung wird von der Zertifizierungsstelle beglaubigt, indem sie sie mit ihrer eigenendigitalen Unterschrift versieht.

Quelle: Wikipedia.de
[/spb_text_block] [/spb_accordion_tab] [spb_accordion_tab title=”Root-CA ” accordion_id=”” icon=””] [spb_text_block pb_margin_bottom=”no” pb_border_bottom=”no” width=”1/1″ el_position=”first last”]

Auf dem Gebiet der Kryptografie und Informationssicherheit ist eine Wurzelzertifikat (auch als Root-Zertifikat oder Stammzertifikat bezeichnet) ein unsigniertes Public-Key-Zertifikat oder selbstsigniertes Zertifikat einer oberen Zertifizierungsstelle (Root-CA), das dazu dient, die Gültigkeit aller untergeordneten Zertifikate zu validieren. Wurzelzertifikate sind ein wichtiger Bestandteil eines Public-Key-Infrastruktursystems (PKI-Systems).

Quelle: pentaware.com
[/spb_text_block] [/spb_accordion_tab] [spb_accordion_tab title=”Issuing-CA” accordion_id=”” icon=””] [spb_text_block pb_margin_bottom=”no” pb_border_bottom=”no” width=”1/1″ el_position=”first last”]

Issuing-CA

  • Die ISSUING CA stellt Zertifikate an Benutzer, Computer etc. aus
  • Dieser Server ist z.B. ein Domänencontroller
  • Sie ist eine “untergeordnete Stammzertifzierungsstelle” welche ins AD integriert ist
  • Die Gültigkeitsdauer des Zertifikats dieser Zertifzierungsstelle ist nicht so lange z.b. 5 Jahre
Quelle: administrator.de
[/spb_text_block] [/spb_accordion_tab] [spb_accordion_tab title=”EAP” accordion_id=”” icon=””] [spb_text_block pb_margin_bottom=”no” pb_border_bottom=”no” width=”1/1″ el_position=”first last”]

Das Extensible Authentication Protocol (EAP) ist ein von der Internet Engineering Task Force (IETF) entwickeltes, allgemeines Authentifizierungsprotokoll, das unterschiedliche Authentisierungsverfahren unterstützt wie z. B. Username/Password (RADIUS), Digitales Zertifikat, SIM-Karte. EAP wird oft für die Zugriffskontrolle in WLANs genutzt.

EAP wurde entwickelt, um eine generische Unterstützung bei der Authentisierung, d. h. der Einwahl, in ein fremdes Netzwerk zu schaffen, ohne dass man sich bei jeder neuen Authentisierung um die Infrastruktur kümmern und sie aktualisieren müsste. EAP ist heute weit verbreitet und wird von unterschiedlichen Transportprotokollen, wie z. B. Point-to-Point Protocol (PPP), Remote Authentication Dial-In User Service (RADIUS) und Diameter unterstützt. Der IEEE-802.1X-Standard schlägt u.a. EAP als Authentifizierungsverfahren vor. Ebenso hat 3GPP den EAP-Standard zur Zusammenführung der GSM- mit der IP-Technologie übernommen. EAP könnte in Zukunft zudem zum bevorzugten Authentisierungsverfahren bei der WiMAX-Authentisierung werden.

Quelle: Wikipedia.de
[/spb_text_block] [/spb_accordion_tab] [/spb_accordion] [spb_accordion width=”1/2″ el_position=”last”] [spb_accordion_tab title=”WPA Enterprise” accordion_id=”” icon=””] [spb_text_block pb_margin_bottom=”no” pb_border_bottom=”no” width=”1/1″ el_position=”first last”]

Wi-Fi Protected Access 2 (WPA2) ist die Implementierung eines Sicherheitsstandards für Funknetzwerke nach den WLAN-Standards IEEE 802.11a, b, g, n und ac und basiert auf dem Advanced Encryption Standard (AES). Er stellt den Nachfolger von WPA dar, das wiederum auf dem mittlerweile als unsicher geltenden Wired Equivalent Privacy (WEP) basiert. WPA2 implementiert die grundlegenden Funktionen des neuen Sicherheitsstandards IEEE 802.11i. In diesem Zusammenhang wird auch der Begriff Robust Security Network (RSN) verwendet. […]

In größeren Netzen ermöglicht die Verwendung von RADIUS eine zentrale Benutzeradministration inklusive Accounting. Der Access Point leitet in diesem Fall die Authentifizierungsanfrage des Clients an den RADIUS-Server weiter und lässt – je nach Erfolg – den Zugriff zu. WPA und WPA2 per RADIUS ermöglichen zusätzliche Authentifizierungsmethoden durch die Verwendung von EAP und TTLS. Diese Variante von WPA2 wird oft als „Enterprise“ bezeichnet.

Quelle: Wikipedia.de
[/spb_text_block] [/spb_accordion_tab] [spb_accordion_tab title=”AD-Active Directoy” accordion_id=”” icon=””] [spb_text_block pb_margin_bottom=”no” pb_border_bottom=”no” width=”1/1″ el_position=”first last”]

Active Directory (AD) heißt der Verzeichnisdienst von Microsoft Windows Server, wobei ab der Version Windows Server 2008 der Dienst in fünf Rollen untergliedert und deren Kernkomponente als Active Directory Domain Services (ADDS) bezeichnet wird.
Bei einem solchen Verzeichnis (englisch directory) handelt es sich um eine Zuordnungsliste wie zum Beispiel bei einem Telefonbuch, das Telefonnummern den jeweiligen Anschlüssen (Besitzern) zuordnet.
Active Directory ermöglicht es, ein Netzwerk entsprechend der realen Struktur des Unternehmens oder seiner räumlichen Verteilung zu gliedern. Dazu verwaltet es verschiedene Objekte in einem Netzwerk wie beispielsweise Benutzer, Gruppen, Computer, Dienste, Server, Dateifreigaben und andere Geräte wie Drucker und Scanner und deren Eigenschaften. Mit Hilfe von Active Directory kann ein Administrator die Informationen der Objekte organisieren, bereitstellen und überwachen.
Den Benutzern des Netzwerkes können Zugriffsbeschränkungen erteilt werden. So darf zum Beispiel nicht jeder Benutzer jede Datei ansehen oder jeden Drucker verwenden.

Quelle: Wikipedia.de
[/spb_text_block] [/spb_accordion_tab] [spb_accordion_tab title=”802.1x” accordion_id=”” icon=””] [spb_text_block pb_margin_bottom=”no” pb_border_bottom=”no” width=”1/1″ el_position=”first last”]

IEEE 802.1X ist ein Standard zur Authentifizierung in Rechnernetzen.
Der Standard IEEE 802.1X stellt eine generelle Methode für die Authentifizierung und Autorisierung in IEEE 802-Netzen zur Verfügung. Am Netzwerkzugang, einem physischen Port im LAN, einem logischen IEEE 802.1Q VLAN oder einem WLAN, erfolgt die Authentifizierung eines Teilnehmers durch den Authenticator, der mittels eines Authentifizierungsservers (RADIUS-Server) die durch den Teilnehmer (Supplikant) übermittelten Authentifizierungsinformationen prüft und gegebenenfalls den Zugriff auf die durch den Authenticator angebotenen Dienste (LAN, VLAN oder WLAN) zulässt oder abweist.
Durch diese Möglichkeit der Nutzung eines Authentifizierungsservers kann auch lokal unbekannten Teilnehmern der Netzzugang ermöglicht werden. Zum Beispiel können Angehörige vieler Hochschulen mittels eduroam an anderen Hochschulen WLAN nutzen, ohne dass dort ein für jedermann offener Gastzugang oder ähnliches eingerichtet zu werden braucht.

Quelle: Wikipedia.de
[/spb_text_block] [/spb_accordion_tab] [/spb_accordion] [spb_text_block pb_margin_bottom=”no” pb_border_bottom=”no” width=”1/1″ el_position=”first last”]

Die neue PKI der RDS ist zweistufig, bestehend aus einer Root-CA als Vertrauensanker und einer untergeordneten Issuing-CA, welche die Zertifikate für die Benutzer und Computer ausstellt.

Gründe, die für eine zweistufige PKI sprechen:

Die Root-CA dient der Erstellung einer Sperrliste für weitere CA-Zertifikate. Sie kann offline auf einem System ohne jegliche Verbindung zum Unternehmensnetzwerk betrieben werden – im Gegensatz zur Issuing-CA, die beständig für die Ausstellung neuer Anwenderzertifikate zur Verfügung stehen muss. Dadurch erreicht die PKI ein höheres Sicherheitsniveau und bei einer Kompromittierung kann die im Netzwerk betriebene Issuing-CA Zertifikate sperren.

Die PKI bleibt flexibel erweiterbar. Beim Ausbau der PKI werden die Issuing-CAs der bestehenden Root-CA untergeordnet.

WPA Enterprise basiert auf dem 802.1X Protokoll und ist aktuell die empfohlene Methode, wenn es um die Bereitstellung einer sicheren WLAN-Verbindung im Unternehmensumfeld geht. Für WPA Enterprise nutzen wir einen RADIUS-Server (Network Policy Server), der sich mit Zertifikaten gegenüber unseren Clients authentifiziert. Außerdem können die Client-PCs und mobilen Endgeräte, die mit einem Maschinen- oder Benutzerzertifikat ausgestattet sind, automatisch eine sichere WLAN-Verbindung aufbauen und sich mit diesem Zertifikat am Unternehmensnetzwerk der RDS authentifizieren – ohne Eingabe eines Passworts.

Für unser WLAN-Szenario stellt die PKI die notwendigen RADIUS- und Systemzertifikate aus. Eine Verteilung der Zertifikate auf die Mitarbeiter-PCs erfolgt automatisch über das Auto-Enrollment. Dieses Verfahren wurde über GPOs konfiguriert. Die Voraussetzung für eine Installation oder Beantragung eines User-Zertifikats für einen non-domain-Computer ist die kabelgebundene Verbindung mit dem RDS-Netzwerk. Dies ist sowohl intern als auch über VPN möglich.

Wovor schützt eine PKI mein Unternehmen?

Eine PKI reduziert nicht nur deutliche die Support-Aufwände in der IT-Abteilung, sondern schützt auch aktiv vorm unerwünschten Einschleusen von Viren, dem Abhören von Unternehmensgeheimnissen sowie dem Diebstahl Ihrer Daten. 

Mobile Device Management Für unsere mobilen Endgeräte wird ein vergleichbares Verfahren eingesetzt. Unsere Mobile Device Management-Lösung pureMDM bietet hierfür über den ADSync (CA-Connector), der die Zertifikate an die Endgeräte übertragen kann. Die Gültigkeitsdauer eines Userzertifikates ist auf 1 Jahr beschränkt und eine automatische Sperrung der Zertifikate ebenfalls möglich.

Peter Schygiel, Experte für IT-Sicherheit bei der RDS: „Die Reichweitenangaben der WLAN-Hersteller für Hardware Access Points, sind auf Grund der Bauweise mitteleuropäischer Büros von 100 Metern und mehr mit Vorsicht zu genießen. Wie Tests zeigen, liegen die Reichweiten in unserem Gebäude bestenfalls bei 35 Meter. Deshalb wurden 2 AP’s pro Etage installiert, dies soll eine vertretbare Übertragungsrate und eine stabile Verbindung gewährleisten.

Die Praxis hat gezeigt, dass die Aufwände für die Implementierung einer PKI in keinem Verhältnis zu den entstehenden Schäden eines tatsächlichen Cyber-Angriff stehen.

[/spb_text_block] [boxed_content type=”coloured” custom_bg_colour=”#f39200″ pb_margin_bottom=”no” width=”1/2″ el_position=”first”]

Zusammenfassung der Implementierungs-Schritte

  1. Aufbau einer neuen 2-stufigen PKI
  2. Migration der bestehenden PKI
  3. Installation und Konfiguration eines Radius-Server (Network Policy Server)
  4. Erstellung und Konfiguration der Zertifikatstemplates und der GPOs
  5. Testing des Systems
  6. Übergabe in die Produktion

 

[button-green url=”https://www.rds.de/#itsecurity” target=”_self” position=”left”]Mehr zu unserem Angebot[/button-green]

.

.

.

[/boxed_content] [boxed_content type=”coloured” custom_bg_colour=”#f39200″ pb_margin_bottom=”no” width=”1/2″ el_position=”last”] [contact-form-7 id=”15469″ title=”PKI”] [/boxed_content]