WIXLIB

So kontrollieren Sie den Zugriff vonLaptops und Smartphones auf IhrUnternehmensnetzwerkSicherheitskonzepte für Laptops und Smartphones: Gemeinsamkeiten und UnterschiedeExecutive SummaryNeben Laptops werden heute auch Smartphones alsNetzwerkendgeräte in Unternehmen,Bildungseinrichtungen und Behörden eingesetzt. Fürdas Sicherheitsmanagement dieser mobilen Gerätesollten IT-Verantwortliche mit den Unterschieden undGemeinsamkeiten von Laptop- und SmartphonePlattformen vertraut sein. Auf diese Weise können BestPractices angewendet werden, um die Vertraulichkeitund die Sicherheit der Unternehmenskommunikationinnerhalb und außerhalb der Netzwerkgrenzen zugewährleisten. Dieses Whitepaper fasst die Erfahrungen des Dell SonicWALL Research & Development Teamszusammen und zeigt, welche Anforderungen sichmithilfe der Dell SonicWALL-Lösungen abdeckenlassen. Die Dell SonicWALL-Lösungen, die am Endedieses Whitepapers aufgeführt sind, werden auf der DellSonicWALL-Website detailliert de bei der Verwaltung vonLaptops und SmartphonesDie IT-Verantwortlichen müssen heute sowohl fürLaptop- als auch für Smartphone-Nutzer einensicheren Zugriff auf die Unternehmensressourcengewährleisten. In puncto Sicherheit gibt es allerdingsnicht unwesentliche Unterschiede zwischen Laptopsund Smartphones.Bei Firmen-Laptops, die vom Unternehmen verwaltetund kontrolliert werden, hat die IT-Abteilungtheoretisch noch die Möglichkeit, die Installationpotenziell unsicherer oder unerwünschterAnwendungen mithilfe von Sperren im Betriebssystemzu verhindern. Heute verlangen Mitarbeiter jedochdieselbe Freiheit bei der Auswahl und Einrichtung ihrertechnischen Geräte wie in ihrem Privatleben. Mitzunehmender Consumerization der IT (und aufgrundder möglichen Einsparungen bei den Gerätekosten)setzen heute immer mehr Firmen auf das BYOD (BringYour Own Device)-Modell und erlauben ihrenMitarbeitern die Nutzung eigener Mobilgeräte amArbeitsplatz.Bei Laptops mit Standardbetriebssystemen wie Windows , Macintosh und Linux hat diezunehmende Verbreitung von ConsumerTechnologien und BYOD eine offene, unkontrollierteAnwendungslandschaft entstehen lassen. DieEndbenutzer können ohne zusätzliche Schutzschichtoder Sicherheitsprüfung jede beliebige Anwendunginstallieren, darunter auch potenziell unsichere odergefährliche Programme, die nicht für die Verwendungim Firmennetzwerk freigegeben sind. Meldet sich einLaptop mit unsicheren Anwendungen beim Netzwerkan, stellt dies eine direkte Bedrohung für dieUnternehmensressourcen dar. Aufgrund der offenenAnwendungsumgebung sollte bei diesen Laptops eineGeräteabfrage stattfinden. Auf diese Weise kann die ITAbteilung prüfen, ob die vorgegebenenSicherheitsanwendungen auf dem Gerät ausgeführtwerden, und Sicherheitsregeln durchsetzen, die denZugriff auf das Gerät entsprechend den FirmenSicherheitsrichtlinien freigeben, vorübergehend sperrenoder komplett verwehren. Bei unverwalteten Laptops istzudem der Einsatz eines Reverse Proxy-Portalzugangsoder eines VPN (Virtual Private Network)-Tunnels mitEndpunktkontrolle erforderlich.Apps, die für eine Ausführung auf Smartphone- (undTablet-) Betriebssystemen entwickelt wurden,durchlaufen im Gegensatz zu PC-Anwendungen einestrenge Prüfung, bevor sie zum Download freigegeben werden. Dass Apple iPhone -Nutzer eine Rogue AppSMaus dem App Store herunterladen, kommt daher auch äußerst selten vor. Google Android ist demgegenüber etwas weniger strikt (nachdem einigeAnfangsprobleme mit Rogue Apps gelöst wurden). DenEntwicklern ist es aber bislang weitgehend gelungen,eine geschlossene App-Umgebung mit geprüften Appsbereitzustellen. Aufgrund dieses Unterschieds hat dieGeräteabfrage bei Laptops eine ungleich größereBedeutung als bei Smartphones (sofern das jeweiligeSmartphone nicht per Jailbreaking verändert wurde).Weitere Unterschiede bestehen in Bezug auf dieBenutzerfreundlichkeit, die Implementierung undAdministration sowie die Regeln für Unified Clients unddie Sicherheit. Anders als bei Laptops sind aufSmartphones häufig IPSec-/L2TP-Tunneling-Agents

vorinstalliert. Diese Agents sind jedoch nichtvorkonfiguriert. Daher ist eine Konfiguration des Clientsdurch den Benutzer oder den IT-Administratornotwendig. Eine Implementierung dieser TunnelingAgents für andere mobile Laptop-Geräte kannallerdings mit einem höheren Aufwand für die ITverbunden sein. Alternativ lässt sich eine universelleReverse Proxy- oder Webportal-Lösung für alleMobilgeräte implementieren. Eine manuelleImplementierung einzelner IPSec-/L2TP-Clients fälltdamit weg.Best PractisesBerücksichtigt man die vorgenannten Unterschiede,ähneln sich die Best Practices für die Sicherung desmobilen Zugriffs von Laptops und Smartphones invielerlei Hinsicht. Beispielsweise können sich Laptopsund Smartphones von außerhalb über eineDrahtlosverbindung ins Netzwerk einloggen und sichdamit „Man-in-the-Middle“-Angriffen aussetzen. FürLaptops, Smartphones und Tablet-PCs ist daher einverschlüsselter VPN-Zugang erforderlich, der dieVertraulichkeit der Kommunikation außerhalb desNetzwerks gewährleistet.IT-Verantwortliche müssen außerdem in der Lage sein,den gesamten Datenverkehr zu scannen, um dieIntegrität und Sicherheit des Netzwerks zugewährleisten. Unternehmen wollen oft nichtwahrhaben, dass Mobilgeräte nicht nur Informationenübermitteln, sondern leider auch Malware in Netzwerkeeinschleusen können – sei es absichtlich oderungewollt.Je nachdem, ob mobile Geräte die Verbindunginnerhalb oder außerhalb der Netzwerkgrenzenaufbauen, müssen unterschiedliche Best Practices fürdie Sicherheit gewählt werden.Sicherer Zugriff auf das Netzwerk vonaußerhalb:1. Einrichten eines Reverse Web Proxys: Reverse Proxysermöglichen den Zugriff auf Webressourcen überStandardbrowser und können so den webbasierten Zugriffauf Netzwerkressourcen authentifizieren und verschlüsseln.Ein Reverse Proxy stellt einen plattformunabhängigenZugriff für Laptops und Smartphones bereit und minimiertauf diese Weise den Implementierungsaufwand.2. Einrichten von SSL VPN-Tunneln: Laptops undSmartphones erhalten über Agent-basierte, verschlüsselteSSL VPN-Tunnel einen einfachen Zugriff auf kritische ClientServer-Ressourcen im Netzwerk.3. Implementierung einer Endpunktkontrolle für Laptops:Um die Einhaltung der Sicherheitsrichtlinien für verwalteteund unverwaltete Windows-, Macintosh- und Linux-Laptopssicherzustellen, kann mithilfe einer Endpunktkontrolleüberprüft werden, ob die erforderlichenSicherheitsanwendungen vorhanden sind. Anschließendkann der Zugriff abhängig von den bestehendenSicherheitsregeln und der Benutzeridentität freigegeben,vorübergehend gesperrt oder verwehrt werden. WieEingangs erwähnt, ist dies vor allem bei Laptops wichtig,nicht so sehr jedoch bei Smartphones, da diese über einegeprüfte App-Verteilungsumgebung verfügen.4. Sichere virtuelle Desktopumgebung für Laptops: Mithilfeeiner sicheren virtuellen Desktopumgebung kann verhindertwerden, dass Benutzer sensible Daten auf unverwaltetenWindows-Laptops zurücklassen.5. Anwendung von Cache Cleaner-Technologien beiLaptops: Mithilfe eines Cache Cleaners werden sämtlicheTracking-Daten auf einem Laptop gelöscht, sobald derBenutzer den Browser schließt.6. Prüfung des VPN-Verkehrs mit der Next-GenerationFirewall (NGFW): Laptops und Smartphones können alsEinfallstor für Malware dienen. Diese kann selbst über WiFioder 3G/4G-Verbindungen in das Firmennetzwerkgelangen. Durch die Integration einer Next-GenerationFirewall in die vorhandene Infrastruktur wird ein CleanVPN eingerichtet, in dem sämtliche Inhalte zunächstentschlüsselt und anschließend überprüft werden.Sicherheitsfunktionen am NGFW-Gateway (z. B. AntiVirus/Anti-Spyware und Intrusion Prevention Service)machen Bedrohungen unschädlich, bevor sie in dasNetzwerk gelangen können.7. Robuste Authentifizierung für Laptops und Smartphones:Eine wirklich sichere Lösung muss eine nahtlose Integrationmit Standard-Authentifizierungsmethoden wie Zwei-FaktorAuthentifizierung und Einmalpasswörtern unterstützen.Sicherer Zugriff innerhalb derNetzwerkgrenzen:1. Prüfung des WiFi-Verkehrs mit einer Next-GenerationFirewall: Durch die Integration einer Next-GenerationFirewall mit 802.11 a/b/g/n-Wireless-Konnektivität lässt sichfür Nutzer, die sich innerhalb der Netzwerkgrenzenbefinden, ein Clean Wireless -Netzwerk erstellen.2. Überwachung des Anwendungsverkehrs: Bei Mobile Appsstehen sich – grob gesprochen – geschäftskritischeLösungen und überflüssige Zeitfresser gegenüber. Mit einerClean VPN-Lösung, die Application Intelligence, Control andVisualization umfasst, kann die IT-Abteilung genaudefinieren, wie die Anwendungs- undBandbreitenressourcen genutzt werden sollen.3. Maßnahmen zum Schutz vor Datenlecks: Data LeakProtection (DLP) kann den ausgehenden Datenverkehr aufInhalte mit digitalen Wasserzeichen überprüfen.4. Blockieren unerwünschter Webinhalte: Eine ContentFiltering-Lösung gewährleistet eine unbedenklicheNetzwerkumgebung und hilft so mobilen Benutzern bei derEinhaltung gesetzlicher Vorgaben.5. Blockieren ausgehender Botnet-Angriffe: Anti-MalwareScans können Botnet-Angriffe erkennen und blockieren, dievon mobilen, im Netzwerk eingeloggten Geräten ausgehen.Verwaltung mobiler GeräteUm die Sicherheit mobiler Geräte zu erhöhen,entscheiden sich einige Organisationen für dieImplementierung von MDM (Mobile DeviceManagement)-Gateways. MDM beschränkt den Zugriffanhand der Telefonnummer, erkennt per Jailbreakingveränderte Geräte und isoliert geschäftlicheInformationen in verschlüsselten, von MDM verwaltetenvirtuellen Desktop-Containern, wo sie von der ITAbteilung gemäß den Regelkriterien per Remote Wipegelöscht werden können. Allerdings erhöht eine MDM-