Smartphone-Zugriff auf Exchange-Server absichern mit AppTec Universal Gateway

    , 01.03.2018
    Tags: , , ,

    Mail-Gateway für mobile GeräteExchange wird aus Sicherheits­gründen meist hinter der Fire­wall betrieben. Benutzer von außen mit Smart­phones darauf zu­greifen zu lassen, stellt ein Sicherheits­risiko dar oder wird erst gar nicht zuge­lassen. Für dieses Sze­nario bietet AppTec, der Schweizer Anbieter einer EMM-Software, eine fertige Sicherheits­lösung an.

    Das AppTec Universal Gateway klinkt sich als Reverse Proxy in das Netzwerk ein und fungiert dann als einziger Zugriffspunkt für Mobilgeräte. Im Zusammen­spiel mit AppTec Enterprise Mobility Management (EMM) erhalten dann nur gemanagte Smartphones einen sicheren externen Zugriff auf den Exchange-Server.

    AppTec-Systemarchitektur bestehend aus EMM-Server, Universal Gateway sowie Exchange-Server.

    Setup als virtuelle Appliance

    AppTec liefert das Gateway vorinstalliert in einer virtuellen Maschine, diese lässt sich auf allen gängigen Hypervisoren betreiben. Es wird typischer­weise in der DMZ platziert. Die Konfiguration erfolgt über ein einfaches Textmenü auf Konsolenebene.

    Das AppTec Universal Gateway wird über die Linux-Konsole eingerichtet

    Darüber sind im Wesentlichen nur Passwörter für die Administration zu vergeben und die Netzwerk­konfiguration vorzunehmen. Optional kann die Verbindung zum AppTec EMM-Server per Ping getestet werden.

    Das Gesamtsystem ist modular gehalten. So kann das Universal Gateway unabhängig davon aufgesetzt werden, ob AppTec EMM in der Cloud oder On-Prem betrieben wird. Lediglich diverse Firewall-Ports müssen für die Kommunikation zwischen Gateway und Exchange sowie zwischen Gateway und dem EMM-Server geöffnet werden.

    Konfiguration via Web-Konsole

    Nachdem die Server-Software eingerichtet ist, erfolgt die Gateway-Konfiguration über die Web-Konsole von AppTec EMM. Über den Menüpunkt Add Gateway wird das Universal Gateway aktiviert. Dazu gibt man die Netzwerk­adresse der Appliance ein und hinterlegt ein SSL-Zertifikat.

    Das Gateway wird über die EMM-Web-Konsole aktiviert

    Im nächsten Schritt definiert man über Add Gateway Configuration die Verbindung zum Exchange-Server. Hier entscheidet man, ob man gemanagte Geräte automatisch für den Zugriff auf Exchange freigeben möchte oder diese zunächst in einer Quarantäneliste landen und manuell vom Exchange-Administrator freigeschaltet werden müssen.

    Mehrere Gateways können für das Device-Management eingerichtet und mit dem AppTec EMM verbunden werden.

    Kerberos sorgt für Sicherheit und Anwenderkomfort

    Zudem kann der Administrator Kerberos für die Kommunikation zwischen Smartphone und Gateway aktivieren. Kerberos bietet hier gleich mehrere Vorteile: Es erhöht die System­sicherheit und enthebt die Anwender der Notwendigkeit, Passwörter eingeben oder periodisch ändern zu müssen, da es ihre Mobilgeräte zum Hardware-Token macht.

    Das Gateway wird über die EMM-Konsole konfiguriert. Dazu gehören die Verbindung zum Exchange-Server und die Kerberos-Option.

    Um Kerberos einsetzen zu können, muss bei der Konfiguration entweder eine Kerberos Keytab-Datei bereitgestellt oder alternativ ein Delegations­benutzer im Active Directory angelegt werden.

    In der Konfiguration für ActiveSync kann der Administrator zudem Einstellungen für das Kommunikations­protokoll zwischen Exchange und den Mobilgeräten vornehmen.

    Mobilgerät und Exchange kommunizieren über das ActiveSync-Protokoll, das man ebenfalls über die EMM-Konsole konfiguriert.

    Anschließend wird die Konfiguration für Kerberos und ActiveSync automatisch auf die Endgeräte ausgerollt. Diese verbinden sich ab diesem Zeitpunkt für die Mail-Kommunikation nur noch mit dem Universal Gateway. Eine direkte Verbindung zum Exchange-Server besteht nicht.

    VPN für Android-Smartphones

    Android-User können an das Unternehmens­netzwerk außerdem über das Universal Gateway via VPN angebunden werden. Dieses wird über ein weiteres Gateway-Konfigurationsprofil definiert und sorgt für eine automatische Installation des AppTec-VPN-Clients auf dem Endgerät.

    Der Administrator kann in der EMM-Konsole den Verbindungs­status aller Geräte einsehen. Über die Option Always On kann er vorgeben, dass das Mobilgerät immer über VPN mit der Außenwelt kommuniziert.

    Die Default-Einstellung sieht vor, dass die App automatisch erkennt, ob eine Verbindung zum Internet aufgebaut werden soll (z.B. weil der Anwender einen Browser öffnet) und dann die VPN-Verbindung on demand selbsttätig startet.

    Fazit

    AppTec Universal Gateway bietet den Anwendern neben zusätzlicher Sicherheit auch einigen Komfort. Smartphone-User müssen keine Konfiguration anpassen, dank Kerberos kein Passwort eingeben und somit ein solches auch nicht ändern. Sie können einfach wie gewohnt die Exchange-Dienste verwenden.

    Preise und Verfügbarkeit

    Das Universal Gateway lässt sich nur in Verbindung mit dem AppTec EMM-System verwenden. Pro Gerät und Monat werden dafür 0,79 Euro fällig, zusätzlich zur Nutzungsgebühr für das EMM. Auf Wunsch übernimmt der Schweizer Hersteller die Installation und Konfiguration des Systems beim Kunden (kostenpflichtig).

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Andrej Radonic

    Andrej Radonic beschäftigt sich als IT-Journalist und als Vorstand der interSales AG seit über 20 Jahren mit IT-Lösungen für mittel­ständi­sche Unter­nehmen. Spezial­gebiete sind Virtuali­sierung, Open Source und E-Commerce.

    // Kontakt: E-Mail, Xing, LinkedIn //

    Verwandte Beiträge

    Weitere Links