![[Foto: PCMCIA-B1-Chipkartenterminal von KOBIL Systems]](58-1.jpg)
Die Badenia AG nutzt für ihr VPN die smartcardbasierte PKI-Lösung KOBIL SmartKey mit eigenem Mini-Trustcenter.
Unter Sicherheitsaspekten betrachtet haben viele VPN-Installationen zwei Seiten. Zwar können sie mit einer starken Verschlüsselung aufwarten, zur Authentifizierung des Benutzers begnügen sie sich jedoch in der Regel mit der Eingabe von statischen Passwörtern. Einfache Passwörter lassen sich jedoch oft erraten oder bei der Eingabe ausspähen. Komplexe oder häufig wechselnde Passwörter notieren sich die Benutzer meist, ohne sie anschließend sicher zu verwahren. Die Folge: Bis zu 20 % aller statischen Passwörter können allein durch automatisierte Attacken geknackt werden. Damit sind sie eine leichte Beute für Unbefugte, die sich mit dem richtigen Passwort unautorisiert Zugriff verschaffen können.
Die Hersteller von VPN-Lösungen sind sich dieser Sicherheitslücken durchaus bewusst. Aus diesem Grund verfügen ihre Produkte über Schnittstellen zur externen Anbindung von starken Authentifizierungsmechanismen. Eine besonders sichere Möglichkeit der Benutzeridentifikation im VPN lässt sich durch die Integration einer Public-Key-Infrastruktur (PKI) erreichen. Für diese Lösung hat sich beispielsweise die Deutsche Bausparkasse Badenia AG entschieden. Das Unternehmen suchte eine VPN-Lösung, um den zuvor betriebenen RAS-Zugang zu ersetzen. Dabei standen Kriterien wie Hochverfügbarkeit, erhöhte Sicherheit, Komfort, Kosteneffizienz und Flexibilität an erster Stelle. Die Wahl fiel schließlich auf die VPN-Lösung SecureClient NG (FR2) von Check Point im Zusammenspiel mit der Trustcenter-Software FlexiTrust-CA von FlexSecure und dem Sicherheitspaket KOBIL Smart Key, einem Bundle aus Software sowie PCMCIA-B1-Leser samt Chipkarte.
Nach Abschluss einer kurzen Testphase arbeiten zurzeit 450 Außendienstmitarbeiter der Badenia AG mit der PKI-Lösung. Die Mitarbeiter wählen sich von unterwegs per Notebook und VPN-Client in das Unternehmensnetzwerk ein und können so vertragsbezogene Daten der Kunden einsehen oder an der Bürokommunikation teilnehmen. Neben der VPN-Absicherung stellt das System auch zusätzliche Möglichkeiten zur Verfügung: etwa Signatur und Verschlüsselung sowie ein zertifikatsbasiertes Windows-Login.
Als virtueller Ausweis des Benutzers fungiert ein Smartcard-Zertifikat. Nach der Verifikation eines Zertifizierungsantrags erzeugt man zunächst die entsprechenden PKI-Schlüssel und Zertifikate und stellt den öffentlichen Schlüssel für jedermann zugänglich bereit. Der geheime Schlüssel der Außendienstmitarbeiter wird auf dessen persönlicher, nach IT-SEC E4/hoch evaluierter TCOS 2.0-Chipkarte gespeichert.
Die Badenia AG hat sich für den Betrieb eines eigenen Trustcenters mit der Software FlexiTrust-CA entschieden. Mit ihrer Hilfe kann der Administrator selbst entsprechende PKI-Schlüssel und X.509-Zertifikate erzeugen sowie personalisierte Geheimnisträger- und Sperrlisten anlegen. Ein zentrales Kriterium bei der Wahl einer geeigneten Software sind möglichst flexible Optionen bei der Verwaltung der Zertifikate. Die Software sollte beispielsweise zeitlich begrenzt gültige Zertifikate mit Zustimmung des Adminstrators selbst verlängern können. Entsprechend sinnvoll ist dann auch eine automatische Benachrichtigung, die den Nutzer per E-Mail auf eine anstehende Verlängerung aufmerksam macht und ihm erklärt, wie er diese vornehmen kann. Damit sich ein Mitarbeiter auch dann anmelden kann, wenn er seine PIN vergessen hat oder die Smartcard beschädigt ist, sollte der Administrator zudem kurzfristig Ersatzzertifikate und als Fallback-Option Einmalpasswörter ausstellen können.
Die Badenia AG nutzt für ihr VPN die smartcardbasierte
PKI-Lösung KOBIL SmartKey mit eigenem
Mini-Trustcenter.
Wer den hohen Aufwand beim Aufbau einer eigenen PKI scheut, kann Dienstleister in Anspruch nehmen, die beispielsweise den Aufbau einer virtuellen Certificate Authority (CA) anbieten. Hierbei betreibt der Kunde lediglich eine Registrierungsstelle, über die der Administrator alle Zertifikatsanträge erfasst und dann online zur eigentlichen CA schickt. Dort werden die Anträge überprüft und bearbeitet. Anschließend erhält der Administrator, ebenfalls online, das fertige Zertifikat.
Zur Einbindung der Smartcardzertifikate in die Notebooks der Außendienstmitarbeiter dient die Sicherheitssoftware KOBIL Smart Key und ein PCMCIA-Chipkartenterminal nach B1-Standard samt Treibern. Anstelle des B1-Lesers kann wahlweise auch ein USB-Terminal mit eingelegter Chipkarte im SIM-Format zum Einsatz kommen.
Zur starken Authentifizierung hat die Smart-Key-Software über High-Level-Schnittstellen Zugriff auf die Funktionen der Chipkarte: bei VPN-Lösungen von F-Secure und NCP über ein PKCS#11-Modul, im Falle eines Windows-2000-VPN und der von Badenia gewählten Check Point-Lösung über die Microsoft CryptoAPI. Beide Schnittstellen vermitteln auch kryptographische Basisfunktionen für Signaturen oder die Ver- und Entschlüsselung von Daten.
Hat sich ein Mitarbeiter per Standardsoftware ins Internet eingewählt und will sich nun am firmeneigenen Netzwerk anmelden, so stellt das VPN-Gateway eine numerische Zufallsanfrage. Am Notebook des User erscheint die Aufforderung, seine Chipkarte einzustecken. Nach der Eingabe der Karte muss der Anwender diese zunächst durch die Karten-PIN freigeben. Nach drei falschen Eingaben verweigert die Karte jegliche weitere Aktionen und ist damit im Falle eines Diebstahls oder bei Verlust unbrauchbar. Wurde die richtige PIN eingegeben, generiert die Software mithilfe des geheimen Schlüssels auf der Karte die entsprechende Antwort auf die Zufallsanfrage, womit der Server den User anhand des ebenfalls auf der Karte gespeicherten Zertifikats eindeutig identifizieren kann.
Eine andere Möglichkeit, den Zugriff auf Firmennetzwerke abzusichern, bieten so genannte Einmalpasswort-Systeme. Statt eines statischen Passworts generiert eine solche Lösung zu Beginn jeder VPN-Sitzung eine Zugangskennung, die nur einmal und für die Dauer der Sitzung gültig ist. Die Bonner Moeller GmbH, ein Anbieter auf dem Gebiet der Anlagentechnik, Industrie- und Gebäudeautomation, hat sich für das Einmalpasswort-System SecOVID entschieden. Die Moeller GmbH wird ihre rund 500 Tele- und Außendienstmitarbeiter jeweils mit einer persönlichen Chipkarte und einem "SecOVID Reader"-Chipkartenterminal ausrüsten. 50 international tätige Mitarbeiter sind bereits jetzt für den VPN-Zugriff von Italien aus ausgestattet. Nach der Anpassung an die individuellen Bedürfnisse der Moeller GmbH will man das Produkt nicht nur zur Authentifizierung der Benutzer, sondern auch zur Autorisierung von Zugriffsrechten einsetzen.
Der Passwort-Generator des KOBIL-Produktes basiert auf dem Verschlüsselungsverfahren 3DES. Da das Standardprotokoll Remote Authentication Dial-In User Service, kurz: RADIUS, verwendet wird, lässt sich SecOVID auch in bestehende Systeme integrieren. Das Einmalpasswort-System arbeitet mit allen gängigen VPN-Lösungen, beispielsweise von Check Point, Cisco, F-Secure oder NCP; die Anbindung kann wahlweise auch über das TCP-basierte TACACS+ erfolgen (Terminal Access Controller Access Control System).
![[Foto: KOBIL SecOVIC-Einmalpasswort-Chipkartenterminal]](58-2.jpg)
Beim SecOVID-Einmalpasswort-System berechnet eine Chipkarte im
"Handheld"-Kartenterminal die Anmeldedaten; da keine
direkte Verbindung zum Notebook besteht, sind keine Eingriffe in
den Client notwendig.
Zur Anmeldung im Firmennetzwerk müssen die Anwender lediglich das aktuell gültige Passwort in ihren VPN-Client eingeben, das direkt auf der PIN-geschützten Karte berechnet und anschließend auf dem Display des Kartenlesers angezeigt wird. Auf dem PC ist keine SecOVID-Software installiert, die Berechnung des Einmalpasswortes erfolgt durch den batteriebetriebenen Hand-Kartenleser ohne Verbindung zum PC. Viren und Trojaner haben somit keinerlei Chance zum Zugriff auf den 3DES-Key, der die Grundlage des Einmalpassworts liefert. Bei Bedarf kann der Kartenleser aber auch per serieller oder USB-Schnittstelle mit dem PC verbunden und als vollwertiges Chipkartenterminal genutzt werden. Statt der Smartcard mit dem dazugehörigen Kartenleser kann alternativ ein PIN-geschützter Token in der Größe eines Schlüsselanhängers Verwendung finden.
Das VPN-Gateway leitet die ankommenden Authentifizierungsanfragen an den SecOVID-Server weiter, der ihm mitteilt, ob das Einmalpasswort korrekt war und welche Zugriffsrechte der zugehörige Benutzer hat. Zu dieser Prüfung hat der SecOVID-Server die Triple-DES-Schlüssel der Anwender in seiner Datenbank gespeichert und nutzt damit die gleichen geheimen Daten wie die Chipkarte.
Falls die Karte verloren wurde oder durch drei falsche PIN-Eingaben gesperrt ist, kann der Administrator eine neue Karte ausstellen und damit selbst ein Einmalpasswort erzeugen, das er dem Benutzer als Soforthilfe telefonisch mitteilt. Alternativ hat er die Möglichkeit, ein zeitlich begrenzt gültiges statisches Passwort zu vergeben, das er dem Benutzer vertraulich übermittelt.
Sowohl PKI-Lösungen als auch Einmalpasswörter eignen sich zur wirksamen Härtung bestehender und neu eingerichteter VPNs. Welcher Lösung im Einzelnen der Vorzug gebührt, hängt stark von den individuellen Bedürfnissen der Benutzer ab. Einmalpasswort-Systeme bestechen durch ein einfaches Roll-out, weil sie keine Installationen auf Client-Seite erfordern. PKI-Lösungen bieten auf der anderen Seite den Vorteil, auch zusätzliche Anwendungen absichern zu können, ohne dass Investitionen in weitere Hard- und Software erforderlich wären.
Markus Tak ist Produktmanager bei der KOBIL Systems GmbH.
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 2002/5, Seite 58
