Collaboration-Lösungen sicher im Netz:
Praxis: Activesync, Exchange und Sharepoint effizient schützen

von Bernd Reder (bernd.reder@networkcomputing.de), Cyrill Osterwalder

Share
11.12.2009

Exchange- oder Sharepoint-Services den Usern »einfach so« über das Internet bereitzustellen, ist aus Sicherheitsgründen nicht zu empfehlen. Es gibt aber einen Weg, dies doch zu bewerkstelligen, mithilfe einer Kombination aus starker Authentifizierung und Protokollfilterung.

Flurfunk war gestern. In der heutigen Welt verteilter Teams und mobiler Mitarbeiter hängen die Produktivität und Effizienz wesentlich davon ab, wie gut sie von der IT durch entsprechende Lösungen für die Internet-basierte Zusammenarbeit unterstützt werden. Mit dem Microsoft-Exchange-Server, der Microsoft-.Sharepoint-Familie und dem Protokoll Activesync kommen gleich drei Produkte beziehungsweise Technologien aus Redmond, die sich weltweit als Eckpfeiler von Groupware- und Collaboration-Umgebungen profiliert haben.

Die Zusammenarbeit von Arbeitsgruppen an verteilten Standorten mittels Sharepoint oder Exchange wird immer wichtiger, aber auch der Schutz dieser Kommunikation und der Daten auf den entsprechenden Servern.

Insbesondere Activesync entwickelt sich zunehmend zum Standard über die Microsoft-Welt hinaus. Häufigstes Einsatzszenario ist zwar immer noch die mobile Synchronisation von Terminen, Kontakten und Aufgaben zwischen dem Exchange-Server und Windows-Mobile-Clients.

Indizien für die wachsende Bedeutung des Protokolls sind beispielsweise die Lizenzierung für das Apple iPhone und die angekündigte Activesync-Unterstützung durch IBM Lotus Domino. Darüber hinaus ist es Microsoft gelungen, Sharepoint systematisch als Plattform zur Kooperationsunterstützung mit starker Integration der Office-Produktfamilie aufzubauen und so in diesem Bereich eine Spitzenposition einzunehmen.

Neben den Groupware-Funktionen sind es vor allem das Dokumentenmanagement und die Suche nach Unternehmensdaten, die Branchenexperten dazu veranlassten, für Sharepoint eine wachsende Bedeutung in der strategischen Unternehmens-IT zu prognostizieren.

Den Nutzen von Microsoft Exchange und Sharepoint maximieren

In der praktischen Umsetzung tut sich aber ein Paradox auf: Gerade weil in Exchange und Sharepoint eine Unmenge kritischer Daten gespeichert sind, können diese Ressourcen nicht »einfach so« über das Internet bereitgestellt werden. Das Risiko direkter Verbindungen aus dem Internet auf die Server ist zu hoch.

Dieses Problem stellt sich natürlich auch im Zusammenhang mit anderen Applikationen und hat dazu geführt, dass viele Unternehmen Internet-Verbindungen auf interne Server grundsätzlich nicht zulassen. Mit bestimmten Web-Application-Firewalls stehen jetzt Lösungen bereit, die Microsoft Exchange, Sharepoint und andere Server sicher ins Netz bringen und damit als »Enabler«-Technologie für die Internet-basierte Zusammenarbeit fungieren.

Drastisch erhöhte Sicherheit mittels starker, vorgelagerter Authentifizierung sowie Protokoll-Filterung geht dabei einher mit einer deutlich verbesserten Unterstützung mobiler Prozesse.

Vorgelagerte Authentifizierung verhindert unerwünschte Zugriffe

Mit der vorgelagerten Authentifizierung durch eine Web-Application-Firewall (WAF) etablieren Unternehmen eine zentralisierte Zugriffskontrolle, die von den dahinter liegenden Sharepoint- und Exchange-Servern entkoppelt ist. Ausschließlich dazu autorisierte Verbindungen können aus dem Internet auf die Server gelangen.

Die WAF löst damit das Problem der anonymen Verbindungsversuche, die Angriffen vorausgehen. Neben dem Sicherheitsaspekt bietet dieses Modell weitere Vorteile: Die Entkoppelung der Authentifizierung von der Business-Logik ermöglicht die Integration von neuen Applikationen und auch Authentifizierungsverfahren.

Durch Single-Sign-on (SSO) lässt sich zudem die Anwenderfreundlichkeit erheblich steigern. Denn der Nutzer muss sich nur einmal anmelden, um auf alle für ihn freigegebenen Anwendungen zugreifen zu können, abgestuft nach den entsprechenden Berechtigungen.

Flexible Authentifizierung gefordert

Welche Authentifizierungsmethode dabei zum Einsatz kommt, entscheidet sich am konkreten Anforderungsprofil. Die eigentliche Authentifizierung übernimmt dabei ein Authentication Service, der das Log-in-Formular anzeigt, Eingaben überprüft und sich mit einem oder mehreren User Directories (LDAP, SQL-Datenbank, Radius Server et cetera) verbindet.

Mithilfe von Single-Sign-on erhält der Anwender Zugang zu den Anwendungen, die für ihn freigegeben wurden. Das lästige Mehrfach-Einloggen mittels unterschiedlicher Log-in-Daten entfällt.

Einige Hersteller bieten einen eigenen Authentication-Service, aber auch die Verwendung von generischen Authentifizierungsdiensten oder Eigenentwicklungen ist möglich. Der Authentication Service der Web Application Firewall »Airlock« von Phion [1] unterstützt beispielsweise folgende Authentifizierungsverfahren:

• User-ID und Passwort,

• Multi-Faktor-Authentifizierung (etwa One-time Passwords),

• PKI/X.509-Client-Zertifikate (Soft- oder Hard-Token),

• eine Kombination dieser Verfahren

Nach erfolgter Authentifizierung sendet die WAF die Anwenderinformationen an die eigentliche Applikation (Identity Delegation). Hier stehen wiederum unterschiedliche Verfahren zur Verfügung:

• HTTP-Header wird jedem Request hinzugefügt.

• Kerberos-Ticket wird mit dem Request gesendet.

• Authentication-Service übernimmt das Backend-Log-in.

Authentifizierte Anwender können zudem gezielt für bestimmte Applikationen beziehungsweise Funktionen autorisiert werden – oder eben nicht. Zusätzliche Sicherheit erreichen Unternehmen, indem sie mit der WAF die Parameter der Exchange- beziehungsweise. Sharepoint-Nutzung proaktiv festlegen und erlaubte Quell-IP-Adressen oder Zeitfenster im Vorfeld definieren.

Zuverlässige Zugriffskontrolle für Exchange und Sharepoint

Die flexible Kombination und parallele Verwendung von Benutzerverzeichnissen und Authentifizierungsverfahren ermöglichen den Schutz jeder Web-Applikation. Im Rahmen von Secure Mobile Sync, also der mobilen Kommunikation mit Exchange-Servern über Activesync, fungiert die WAF als Gateway für die mobile Datensynchronisation. Sie nimmt dabei eine Position zwischen Netzwerk-Firewall und Exchange-Servern ein.

Mobile Anwender müssen sich somit zunächst bei der vorgelagerten Authentifizierung innerhalb der WAF verlässlich ausweisen. Hohe Sicherheit wird hier durch Verwendung von SSL-Client-Zertifikaten erreicht, die vom Unternehmen für jeden einzelnen Anwender vergeben und auf den mobilen Geräten eingerichtet werden.

Die Rollen und Berechtigungen, welche die WAF den Benutzern auf Basis der Authentifizierung zuweist, können über die ganze Session nachverfolgt werden.

Sharepoint: Authentifizierung mittels Kerberos

Für den Zugriff auf Sharepoint hat Phion ein anderes Modell entwickelt, das sich in der Praxis bewährt hat: Nachdem der Benutzer und seine Berechtigungen anhand eines Zertifikats identifiziert wurden, löst Airlock ein Ticket vom einem Kerberos-Domain-Controller. Bei Kerberos handelt es sich um ein delegierungsfähiges Authentifizierungsprotokoll, sodass die Anmeldeinformationen des Benutzers über mehrere Stationen an Backend-Systeme weitergereicht werden können, in diesem Fall an Sharepoint.

Einsatzszenario einer Web-Application-Firewall (WAF), hier der Airlock von Phion. Sie schützt den Remote-Zugang von Anwendern zu Daten und Anwendungen im Unternehmensnetz via Internet-Verbindungen.

Dieses Verfahren kann natürlich gleichzeitig auch für weitere Applikationen genutzt und mit anderen Anmeldeverfahren kombiniert werden, um dem Anwender per Single-Sign-on eine »Applikationslandschaft« zu erschließen.

Protokoll-Filterung wehrt Angriffe ab

Ein Umgehen der WAF ist unter keinen Umständen möglich, denn von außen betrachtet führen alle Links immer genau dorthin. Basis hierfür ist das Umschreiben aller internen URLs. Dies gelingt guten WAFs auch, wenn Applikationen absolute URLs verwendet und somit nicht von sich aus Reverse-Proxy-fähig sind.

Zusätzlich zum Sicherheitsaspekt hat dies den Vorteil, dass mehrere Backend-Systeme für den Anwender bequem zu einem Portal mit eindeutiger URL zusammengefasst werden können.

Auch nach der Authentifizierung kommuniziert der Nutzer also über die WAF mit dem Exchange- beziehungsweise Sharepoint-Server. Das ermöglicht die Kontrolle des laufenden Datenverkehrs durch ein mehrstufiges Verfahren, das nur protokollkonforme Requests passieren lässt.

Dadurch ist beispielsweise sichergestellt, dass ausschließlich gültige Activesync-Befehle im Rahmen des gültigen Protokolls an den Exchange-Server weitergereicht werden. Auf allen Filterstufen lassen sich Ausnahmen definieren, bestehende Kriterien anpassen und neue Regeln erfassen.

Nicht nur Exchange- oder Sharepoint-Server, sondern alle Web-Applikationen werden auf diese Weise gegen Angriffe wie SQL-Injection, Cross-Site-Scripting, Directory-Traversal oder Forceful-Browsing geschützt.

Für alle Anforderungen gerüstet

Unternehmen können das Potenzial von Exchange, Sharepoint und Co. erst vollständig erschließen, wenn sie diese Systeme und die darin gespeicherten Daten konsequent für alle Nutzer bereitstellen – von mobilen Mitarbeitern über Home-Offices bis hin zu Filialen und anderen Standorten.

Dass die IT-Sicherheit hier bislang ein Veto eingelegt hat, ist verständlich: Die immensen Risiken eines direkten Zugriffs auf kritische Ressourcen sind real und seit langem bekannt. Deshalb muss der Authentifizierungsprozess vollständig von den Applikationen entkoppelt werden.

Durch starke, vorgelagerte Authentifizierung bringen WAFs wie Airlock Anwendungen sicher ins Netz, auch wenn diese dafür gar nicht konzipiert wurden. Backend-Systeme verschwinden vollständig hinter der Web-Application-Firewall. Neue Applikationen und Authentifizierungsverfahren können jederzeit nach Bedarf und mit geringem Aufwand integriert werden.

Und als Hardware-unabhängige Software-Appliance bieten geeignete WAFs zudem die Skalierbarkeit und Flexibilität, die Unternehmen für zukünftige Aufgaben benötigen.

Der Autor: Cyrill Osterwalder ist Vice Presiden Web Application Security bei Phion.

[1] http://www.phion.com/

Verwandte Artikel