VPN-Gateway von NCP erlaubt sichere Authentisierung von iOS


    Tags: , ,

    Der Nürnberger Remote-Access-Spezialist NCP hat seine VPN-Gateway-Software NCP Secure Enterprise VPN Server um eine Authentisierungsfunktion für Mobilgeräte von Apple erweitert. Sie steht für Systeme unter dem Betriebssystem iOS zur Verfügung, also für das iPhone und die Tablet-Rechner der Reihe iPad.

    NCP Secure Enterprise VPN Server - FunktionBeide Systeme können in eine unternehmensweite Remote-Access-VPN-Infrastruktur eingebunden werden. Die Grundlage ist eine zertifikatsbasierte Authentisierung der Endgeräte durch einen Secure-Enterprise-VPN-Server. Er erkennt, ob ein iPhone oder iPad mit einem gültigen Zertifikat ausgestattet ist. Die Zertifikate vergeben die Administratoren, und zwar abhängig vom Endgeräte-Typ.

    Zugriffsrechte durch Policies geregelt

    Baut ein Anwender von seinem Apple-System einen VPN-Tunnel zum Unternehmensnetz auf, erkennt der NCP Secure Enterprise VPN Server anhand des Zertifikats, ob der Zugriff mittels Notebook, iPad oder iPhone erfolgt. Je nachdem, welche (Zugriff-)Rechte in zentralen Policies für diese Systeme vorgegeben sind, kann der User über das VPN auf Daten oder Unternehmensanwendungen zugreifen.

    Es besteht laut NCP keine Möglichkeit, durch Kopieren der Konfiguration unerlaubt mit privaten Endgeräten auf die Unternehmens-IT zuzugreifen. Der Einsatz privater Systeme greift um sich, Stichwort "Bring Your Own Device". Viele Unternehmen dulden oder fördern dies sogar, um Geld für die Neuanschaffung von Mobilgeräten zu sparen.

    Ein Beispiel für solche Policies: Das Windows- oder MacOS-Notebook des Mitarbeiters erhält über das VPN vollständigen Zugang auf das zentrale Datennetz. Dagegen wird er für iOS- eingeschränkt. Die Zertifikate sind für den Anwender nicht einsehbar und können weder manipuliert noch für nicht zugelassene Fremdgeräte genutzt werden.

    iOS erfordert spezielle Zertifikate

    Apple Push Notification Service Beim Management von iOS-Geräten ist allerdings zu berücksichtigen, dass sich diese nur dann in ein Mobile Device Management einbinden lassen, wenn spezielle SSL-"Push"-Zertifikate von Apple verwendet werden: Apple Push Notification Service Certificates (APNS). Das "Ausrollen" der Zertifikate erfolgt mithilfe des Simple Certificate Enrollment Protocol (SCEP), das in iOS integriert ist, und über einen SCEP-Server.

    Ein Vorteil von SCEP ist, dass sich damit Certificates über die Luftschnittstelle (Mobilfunknetz, WLAN) an iPhones und iPad verteilen lassen. Wie das funktioniert, beschreibt Apple in diesem aktuellen (und kurzen) White Paper: http://images.apple.com/iphone/business/docs/iOS_MDM_Mar12.pdf.

    Allerdings gibt es neben SCEP noch andere Protokolle, über die sich Zertifikate an mobile Systeme übermitteln lassen. Dazu gehören das Certificate Management Protocol (CMP) (RFC4210) und das Certificate Management over CMS (CMC, RFC5272). Beide liegen als "Request for Comments" (RFCs) der Internet Engineering Task Force (IETF) vor, die technische Spezifikationen im Bereich Internet und Datenkommunikation erarbeitet.

    Mitte des Jahres wurde eine Sicherheitslücke in SCEP publik. Sie erlaubt es Angreifern, sich erweiterte Zugriffsrechte zu verschaffen. Anbieter von Mobile Device-Management-Software haben mittlerweile darauf reagiert und ihre Produkte modifiziert, etwa indem sie Proxies einsetzen. Details zur Sicherheitslücke hat die IT-Sicherheitsfirma CSS auf ihrer Web-Seite veröffentlicht. Das Unternehmen hat zusammen mit dem US-CERT die Schwachstelle eingehend analysiert.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Bernd Reder

    Bernd Reder ist seit über 20 Jahren als Journalist zu den Themen IT, Netzwerke und Telekommunika­tion tätig. Zu seinen beruflichen Sta­tionen zählen unter anderem die Fachtitel "Elektronik" und "Gateway".Bei der Zeitschrift "Network World" war Reder als stellver­tretender Chefredakteur tätig. Von 2006 bis 2010 baute er die Online-Ausgabe "Network Computing" auf.Derzeit ist Bernd Reder als freier Autor für diverse Print- und Online-Medien sowie für Firmen und PR-Agenturen aktiv.
    // Kontakt: E-Mail, XING //

    Ähnliche Beiträge

    Weitere Links