Kryptografische Absicherung eines heterogenen Unternehmensnetzwerks
In diesem Szenario wird eine Lösung skizziert, wie ein hereogenes Unternehmensnetzwerk mit einer Kombination aus mehreren Produkten kryptografisch abgesichert werden kann.
Daten sollen das Unternehmen nur gezielt und verschlüsselt verlassen können. Daher müssen folgende Punkte sichergestellt sein:
Externe Angriffe
Unbefugte Personen dürfen sich keinen Zugang zu den Daten verschaffen können. Das Ausspähen von Passwörtern durch Social Engineering oder Keykatcher muss unterbunden werden.
Das Mitlesen von geschäftlichen Emails im Klartext muss verhindert werden.
Fahrlässigkeit
Befugten Personen muss geholfen werden, dass sie nicht versehentlich Daten aus dem Unternehmen herausgeben. (esafe) Entweder durch phishing-Attacken oder durch kopieren von Daten auf Datenträger wie CDs oder USB-Sticks. Die Gefahr durch den Verlust eines solchen Datenträgers muss minimiert werden. (portkontroll)
Angriffe von intern
Es muss verhindert werden, dass Unternehmensdaten von befugten Personen aus dem Unternehmen herausgeschleust werden.
Ein Lösungsszenario
Im Folgenden skizzieren wir, wie die oben beschriebenen Anforderungen mit der richtigen Kombination aus Produkten diverser Hersteller erfüllt werden können.
Externe Angriffe
Zur Lösung werden an mehreren Stellen Zertifikate eingesetzt. Diese können in einer windowslastigen Umgebung bspw. durch die Microsoft CA ausgestellt werden.
Authentisierung
Das Ausspähen von Passwörtern wird mit dem Einsatz einer starken Authentifizierung verhindet. Anstelle der einfachen Passwort-Abfrage tritt hier eine Zwei-Faktor-Authentisierung mit SmartCards, die das Wissen eine PIN und den Besitz der Smartcard erfordert.
Unter Windows werden geeignete Gruppenrichtlinien definiert, die sicherstellen, dass der Computer bei Entfernen der Smartcard automatisch gesperrt wird.
Unter Linux sorgen entsprechende Skripte unter hotplug bzw. udev dafür, dass der verwendete Desktop bzw. die Konsolen beim entfernen der Smartcard gesperrt werden.
Als Smartcard wird hier der Aladdin eToken verwendet. Ein integrierter RFID-Chip zur Zeiterfassung oder als Zugangskontrolle setzt durch, dass die Smartcard beim Verlassen des Computers rausgezogen wird.
Das Aladdin Tokenmanagementsystem TMS gewährleistet die Steuerung des kompletten eToken-Lifecycles und bspw. das Rücksetzen von vergessenen PINs.
EMail-Verschlüsselung
Zur Verschlüsselung der Emails erhalten die Benutzer ein weiteres Email-Zertifikate auf ihren eToken.
Unter gängigen Email-Clients wie bspw. Outlook und Thunderbird lassen sich über die MS Crypto API oder PKCS#11 die Zertifikate auf den eTokens nutzen.
Evtl. kann es gewünscht sein, keine Ende-zu-Ende Verschlüsselung durchzuführen, weil am Gateway der Inhalt auf firmeninterne Daten gescannt werden muss. Das Scannen der Emails kann vom Aladdin eSafe Gateway oder vom IIS Proventia Mail Filter durchgeführt werden. Alle ausgehenden Emails werden dann schließlich von dem Safeboot Email-Gateway verschlüsselt.
Ein Ausfalltor für Daten in Emails stellen Webmailer wie GMX und web.de dar. Solche Webseiten müssen proaktiv erkannt und am Proxy geblockt werden. Auch diese Aufgabe kann das Aladdin eSafe-Gateway übernehmen.
Fahrlässigkeit
Mail und Webseiten
Spams und phishing-Attacken werden durch das Aladdin eSafe-Gateway und die GFI Mailsecurity und Mail Essentials geblockt.
Festplatten-Verschlüsselung
Die Daten auf Festplatten von Notebook müssen verschlüsselt werden. Es gibt verschiedene Arten und Weisen, wie Notebooks gezielt oder versehentlich abhanden kommen können. Daten auf Desktop-Computern und auch Servern sollten aber auch verschlüsselt werden. Nur dann kann man wirklich sicher gehen, dass man sich keine Sorgen machen muss, wenn ein alter Computer entsorgt wird.
Hierzu wird für die Windows-Rechner Safeboot Device Encryption verwendet. Die Preboot-Authentifizierung integriert sich nahtlos mit dem bereits zur Authentifizierung genutzen Aladdin eToken. Das zentrale Management von Safeboot ermöglicht das Recover und den Support auch remote per Telefon ohne Internetanbindung.
Auch auf Linux-Notebooks muss eine Festplattenvollverschlüsselung eingesetzt werden. Sensible Daten verbergen sich auch unter /tmp und im swap. Hierzu kann dm_crypt herangezogen werden. Auf Dual-Boot-Laptops kann die Preboot-Authentifizierung von Safeboot genutzt werden.
Auch auf reinen Linux-Rechnern ist der Einsatz des eTokens zum Entschlüsseln über ein PKCS#11-Interface möglich.
Content-Encryption
Daten die das Unternehmensnetz auf Wechseldatenträgern verlassen, sollten auch weiterhin verschlüsselt bleiben. Dies gewährleistet die Safeboot Content Encryption. Daten die bspw. auf einen USB-Stick geschrieben werden, werden dort automatisch transparent mit einem Company-key verschlüsselt abgelegt.
Unter Linux gibt es derzeit kein adäquates Produkt. Hier ist Integrationsarbeit zu leisten, die es entweder ermöglicht gezielt bspw. USB-Sticks zu verschlüsseln bzw. die Nutzung von speziellen Wechseldatenträgern verhindert.
Port-Kontrolle
Safeboot Port Control ermöglicht es, den Zugriff auf die Schnittstellen des Computers zu beschränken. So kann die Nutzung von Diskettenlaufwerken oder CD-Brennern unterbunden werden und lediglich die Nutzung von registrierten USB-Sticks zugelassen werden. Somit kann ein unkontrolliertes "Diffundieren" der Unternehmensdaten unterbunden werden.
Angriffe von intern
Die oben beschriebenen Verfahren helfen ebenso die Mitnahme oder Weitergabe von Daten durch befugte Personen zu verhindern.
Durch die Conten Entryption können Daten nicht mit einem Wechseldatenträger aus dem Unternehmen entfernt werden. Der Upload der Daten zu Webservern oder FTP-Servern wird durch die Content-Security gescannt.
Passworte lassen sich nicht mehr erspähen, da Passworte zur Authentifizierung nicht mehr verwendet werden.
Fazit
Die Daten eines Unternehmens lassen sich mit der richtigen Produktkombination erheblich absichern. Es ist bekannt, dass eine hundertprozentige Sicherheit nicht ernsthaft zu erreichen ist. Im Zweifelsfall kann die befugte Person die Daten ausdrucken und per Post verschicken oder mit nach Hause nehmen. Die Frage ist, wieviel Aufwand zu betreiben ist, um die Sicherheit möglichst dicht an die hundert Prozent zu bringen.
Dabei möchte die LSE Leading Security Experts GmbH Ihnen behilflich sein.
Sprechen Sie uns an.
