VPN-Gateway von NCP erlaubt sichere Authentisierung von iOS

Baut ein Anwender von seinem Apple-System einen VPN-Tunnel zum Unternehmensnetz auf, erkennt der NCP Secure Enterprise VPN Server anhand des Zertifikats, ob der Zugriff mittels Notebook, iPad oder iPhone erfolgt. Je nachdem, welche (Zugriff-)Rechte in zentralen Policies für diese Systeme vorgegeben sind, kann der User über das VPN auf Daten oder Unternehmensanwendungen zugreifen.

Es besteht laut NCP keine Möglichkeit, durch Kopieren der Konfiguration unerlaubt mit privaten Endgeräten auf die Unternehmens-IT zuzugreifen. Der Einsatz privater Systeme greift um sich, Stichwort "Bring Your Own Device". Viele Unternehmen dulden oder fördern dies sogar, um Geld für die Neuanschaffung von Mobilgeräten zu sparen.

Ein Beispiel für solche Policies: Das Windows- oder MacOS-Notebook des Mitarbeiters erhält über das VPN vollständigen Zugang auf das zentrale Datennetz. Dagegen wird er für iOS- eingeschränkt. Die Zertifikate sind für den Anwender nicht einsehbar und können weder manipuliert noch für nicht zugelassene Fremdgeräte genutzt werden.

iOS erfordert spezielle Zertifikate

Beim Management von iOS-Geräten ist allerdings zu berücksichtigen, dass sich diese nur dann in ein Mobile Device Management einbinden lassen, wenn spezielle SSL-"Push"-Zertifikate von Apple verwendet werden: Apple Push Notification Service Certificates (APNS). Das "Ausrollen" der Zertifikate erfolgt mithilfe des Simple Certificate Enrollment Protocol (SCEP), das in iOS integriert ist, und über einen SCEP-Server.

Ein Vorteil von SCEP ist, dass sich damit Certificates über die Luftschnittstelle (Mobilfunknetz, WLAN) an iPhones und iPad verteilen lassen. Wie das funktioniert, beschreibt Apple in diesem aktuellen (und kurzen) White Paper: http://images.apple.com/iphone/business/docs/iOS_MDM_Mar12.pdf.

Allerdings gibt es neben SCEP noch andere Protokolle, über die sich Zertifikate an mobile Systeme übermitteln lassen. Dazu gehören das Certificate Management Protocol (CMP) (RFC4210) und das Certificate Management over CMS (CMC, RFC5272). Beide liegen als "Request for Comments" (RFCs) der Internet Engineering Task Force (IETF) vor, die technische Spezifikationen im Bereich Internet und Datenkommunikation erarbeitet.

Mitte des Jahres wurde eine Sicherheitslücke in SCEP publik. Sie erlaubt es Angreifern, sich erweiterte Zugriffsrechte zu verschaffen. Anbieter von Mobile Device-Management-Software haben mittlerweile darauf reagiert und ihre Produkte modifiziert, etwa indem sie Proxies einsetzen. Details zur Sicherheitslücke hat die IT-Sicherheitsfirma CSS auf ihrer Web-Seite veröffentlicht. Das Unternehmen hat zusammen mit dem US-CERT die Schwachstelle eingehend analysiert.