Von Firewalls und Smartcards

Neue Sicherheit für XPe-basierte Thin Clients

23.01.2007 | Autor / Redakteur: Martin Niemer, Software Product Manager, Neoware / Achim Karpf

Der neueste Wurf von Neoware stellt erstmals einen Thin-Client als Notebook vor.
Der neueste Wurf von Neoware stellt erstmals einen Thin-Client als Notebook vor.

Serverbasierte Netzwerke auf Thin-Client-Basis stellen grundsätzlich eine sichere Arbeitsumgebung dar. Allerdings sind Geräte mit Windows XP Embedded (XPe) gegenüber Viren, Würmern und Trojanern ähnlich anfällig wie herkömmliche Desktop-PCs mit Windows XP. Dies liegt vor allem an der Möglichkeit, unter Windows XPe beispielsweise ICQ- oder FTP-Clients zu installieren, die von außen und von innen eine potenzielle Gefahr für das Netzwerk darstellen.

Darüber hinaus sind häufig Benutzer die größte Schwachstelle, wenn es um den Schutz von Unternehmensdaten geht. Um Thin Clients diesbezüglich noch sicherer zu gestalten, exisitieren verschiedene Alternativen zur klassischen Authentisierung auf dem Markt. Angefangen bei Single-Sign-on Verfahren über biometrische Authentisierung bis hin zu Komplettsuiten für das Identiy-Management.

Smartcards im Einsatz

Gerade der Einsatz von Smartcards verspricht in Server-based Computing-Umgebungen einen zusätzlichen Gewinn an Sicherheit und Flexibilität. Mittels Public-Key-Infrastrukturen (PKI) und Session Roaming steigern Smartcards Produktivität, in Verbindung mit Identifizierungs- und Authentifizierungsverfahren verbessern sie den Datenschutz und bereiten letztendlich auch den Weg zur Nutzung der digitalen Signatur oder der kommenden Gesundheits- bzw. Bürgerkarte.

Firewall-Erweiterung zur Überwachung des bi-direktionalen Traffic

Seit dem Service Pack 2 von Windows XP und Windows XPe steht eine lokale Firewall zur Verfügung, die Clients wirkungsvoll vor Viren und Trojanern schützt. Die Microsoft-Firewall weist allerdings eine wesentliche Schwäche auf: Sie kontrolliert ausschließlich Daten, die von außen auf den Rechner gelangen, nicht aber diejenigen, die den Thin Client verlassen. Dies gefährdet jedes Netzwerk, da die Firewall bereits eingeschleuste Würmer oder Trojaner nicht erkennt und sich somit die Schädlinge problemlos von einem XPe-Rechner zum nächsten fortpflanzen/migrieren können.

Um diesen Bedrohungen entgegenzutreten, entwickeln Thin Client Hersteller spezielle Software und heben dadurch die Sicherheitsstandards von XPe-basierten Thin Clients auf ein deutlich höheres Sicherheitsniveau. Das Neoware Security Center umfasst zwei Komponenten: eine Erweiterung der Windows-XPe-Firewall auch für ausgehende Datenpakete und einen verbesserten Write Filter, mit dem komfortabel und ohne Reboot des Thin Clients Virensignaturen und andere Daten in den Flashspeicher geschrieben werden.

Firewalls inklusive

Die Firewall-Erweiterung ist eine Snap-In-Software für XPe-basierte Thin Client Modelle von Neoware und stellt die Möglichkeit zur Verfügung, neben den eingehenden Daten auch ausgehenden Traffic zu kontrollieren – und zwar den LAN-Verkehr sowie Datentransfers via Internet. Mit Hilfe eines weiteren Features lassen sich aber auch einzelne Ports freischalten, um bestimmten Thin Clients beispielsweise ICA-Verbindungen nach draußen zu ermöglichen.

Schreibfilter für den Flashspeicher

Die Hauptaufgabe des Enhanced Write Filter (EWF) von Windows XPe ist es, ungewolltes oder unerwünschtes Speichern von Daten auf dem Flashspeicher zu unterbinden. Dies müssen aber nicht immer nur Dateien, sondern können bei Thin Clients auch Firmware, Treiber oder neue Programme sein, die in den Flash geschrieben werden sollen. Bei eingeschaltetem EWF ist dies zwar möglich, allerdings werden die Veränderungen im Flashspeicher nur temporär übernommen. Nach dem Neustart befindet sich der Flashspeicher wieder im Originalzustand.

Veränderungen am Flashspeicher können also nur dann erfolgen, wenn der Schreibfilter deaktiviert ist oder dem EWF per speziellen Befehl mitgeteilt wird, Dateien in den Flashspeicher zu kopieren. Der Nachteil ist, dass dieser Speicherbefehl nur global, also für alle Dateien gemeinsam ausgeführt wird und die Veränderungen erst nach dem Neustart des Rechners wirksam werden. Ein ausgeschalteter EWF stellt allerdings auch keine sinnvolle Option dar, da Windows XPe permanent Daten, wie temporäre Dateien oder Profile, generiert, was im Falle des deaktivierten Schreibfilters dazu führt, dass der Flashspeicher permanent mit nutzlosen Daten überfrachtet wird.

Die Problematik des Aktivierungsstati des EWF ergibt sich auch im Kontext von Antiviren-Lösungen, da der Rechner in regelmäßigen Abständen mit aktuellen Signaturen und Patches versorgt werden muss, damit neue Viren erkannt und eliminiert werden können. Diese Signaturen stehen nur dann dauerhaft zur Verfügung, wenn die zugehörigen Dateien in den Flashspeicher geschrieben werden können – am besten bei eingeschaltetem Schreibfilter und ohne Neustart des Thin Clients.

Um diesen Anforderungen gerecht zu werden, bietet das Security Center einen verbesserten, eigenen Write Filter, der sich vollständig um den Schutz des Flashspeichers kümmert. Mit Hilfe des implementierten Softwaretools lassen sich einzelne Dateien, aber auch komplette Verzeichnisse trotz aktivem EWF in den Flashspeicher schreiben. Aber auch Registry-Daten von Windows XPe können mit dem Write Filter im Flashspeicher aktualisiert werden. Wesentlicher Vorteil dabei: die Speichervorgänge geschehen „on-the-fly“, der Thin Client bleibt geschützt und muss nicht jedes Mal neu gebootet werden.

Für die problemlose Zusammenarbeit des Write Filters mit den gewohnten Antiviren-Lösungen von Symantec, McAfee und Co. stellt der Hersteller für jedes Softwarepaket eine eigene Konfigurationsdatei zur Verfügung. Diese Datei legt genau fest, wohin der Schreibfilter Signaturen und andere relevante Daten in den Flashspeicher kopieren soll. Anhand der lokal abglegten Konfigurationsdatei erfährt der Write Filter aber auch, welche Dateien nicht in den Flash gespeichert werden dürfen. Für die Einbindung der Konfigurationsdatei der jeweiligen Antiviren-Lösung wird dem Kunden ein entsprechender Support geboten, der eine reibungslose Zusammenarbeit der Antiviren-Software und dem Thin Client ermöglicht.

Smartcards in Thin Client-Umgebungen - Lesegeräteklassen und digitale Signatur

Im Prinzip sind Smartcards vollständige Computer im Kreditkartenformat. Sie besitzen Mechanismen, die sie gegen physische und logische Angriffe schützen und die enthaltenen Informationen im Notfall zerstören, bevor sie für einen Angreifer zugänglich sind. Nachdem der private Schlüssel in die Smartcard geladen wurde, ist der Zugriff nur noch mittels Eingabe einer spezifischen PIN (Personal Identification Number) möglich. Nach wiederholter Falscheingabe wird die Karte endgültig gesperrt und somit unbrauchbar.

Die physische Schnittstelle zwischen Smartcard und Thin Client bzw. PC bilden Chipterminals, die auch als Reader oder Lesegeräte bezeichnet werden. Diese Geräte gibt es je nach gewünschter Sicherheitsstufe in unterschiedlichen Klassen: Ein Reader der Klasse 1 entspricht einer einfachen Kontaktiereinheit und stellt im simpelsten Fall lediglich die elektrische Verbindung zwischen Rechner und Chipkarte her.

Die nötigen Protokolle und Anwendungen kommen dann vom Rechner. Eine PIN, die den Anwender gegenüber der Smartcard als rechtmäßigen Benutzer authentifiziert, wird ebenfalls direkt über den Rechner eingegeben. Für die digitale Signatur ist ein Klasse 2 Reader erforderlich, der sich durch ein integriertes Tastaturfeld auszeichnet. Mittels dieses PIN-Pads wird die Geheimzahl direkt in das Gerät eingeben. Eine kostengünstige Alternative zu Klasse 2 Terminals stellen Computertastaturen mit integriertem Reader dar. Ein LED zeigt an, wenn das Lesegerät aktiv ist und ermöglicht die PIN-Eingabe über den Nummernblock der Tastatur.

Die Kommunikation zwischen Karte und Reader verbleibt damit wie für die digitale Signatur vorgeschrieben im Gerät. Reader ohne PIN-Pad, wie sie häufig von Thin Client Herstellern angeboten werden, können nur Klasse 1 Lösungen realisieren und scheiden daher für typische Klasse 2-Anwendungen wie die digitale Signatur oder die Gesundheitskarte aus. Ein weiterer Nachteil bei der Authentifizierung via Klasse 1 Reader ist der doppelte Administrationsaufwand, da die verwendeten Passwörter jeweils in Smartcard und Nutzerverwaltung geändert werden müssen.

Chipterminals der Klasse 3 müssen zusätzlich zu den Eigenschaften der Klasse 2 ein eigenes Display besitzen, auf dem es authentisch eigene Texte darstellen kann. Die Fähigkeit, intern eigene Applikationen auszuführen, verschafft Readern dieser Klasse ein Höchstmaß an Sicherheit, um beispielsweise mit der Geldkarte via Internet zu bezahlen. Chipterminals der Klasse 4 bilden derzeit das obere Ende der Klasseneinteilung. Sie verfügen zusätzlich zu den Eigenschaften der Klasse 3 über eine eigene Identität, die nicht manipuliert werden kann.

Smartcard-Einsatz in Citrix Umgebungen

In Verbindung mit Thin Clients und PCs bieten Citrix-Umgebungen gute Vorrausetzungen für den kostengünstigen Aufbau Smartcard-basierter Lösungen. Über die Citrix Smooth Roaming Funktion, lassen sich aktive Sitzungen per Smartcard von einem Arbeitsplatz zum anderen zu übertragen. Darüber hinaus sind Windows 2003 Server und Citrix Presentation Server bereits für PKI-Authentifizierung und die Anwendung der digitalen Signatur vorbereitet. Die erforderlichen Investitionen beschränken sich hierfür auf Klasse 2 Reader (USB-Terminal oder Spezialtastatur) und die Softwarelösung eines Crypto Service Provider (CSP-Lösung), die als serverseitig installierte Middleware die Benutzung der Chipkarten gestattet.

Typische Crypto Service Provider sind Smartcard-Hersteller oder spezialisierte Drittanbieter. Die CSP-Lösung stellt der Smartcard die nötigen kryptografische Funktionen zur Verfügung. Mögliche Schnittstellen hierfür bieten Microsofts Standardkomponente CryptoAPI oder der weiter gefasste PKCS#11 Standard. Windows identifiziert den zur Chipkarte passenden CSP über den Answer to Reset (ATR) der Karte, sprich: der ersten Information, welche die Chipkarte an den Chipkartenleser übermittelt, nachdem dieser einen Reset der Karte durchgeführt hat.

Der Datenaustausch zwischen Reader und CSP-Lösung erfolgt in der Regel gemäß PC/SC Standard. Dieser muss vom Thin Client firmwareseitig unterstützt werden. Für Linux-basierte Thin Clients gibt es hierfür den sog. Muscle Treiber. Über die PC/SC Forwarding Funktion machen die RDP- bzw. ICA-Clients das lokal angeschlossene Chipkartenterminal für die CSP-Lösung am Terminal Server sichtbar. Die User-Authentifizierung erfolgt über den Windows Domaincontroller, den auch Citrix nutzt.

Mittels Windows Smartcard Logon Dienst lässt sich das System im Folgenden so konfigurieren, dass dem Anwender beim Anmeldeverfahren als Alternative zur Passworteingabe auch eine Aufforderung zum Einschieben der Smartcard erteilt wird. Ferner lassen sich die Sicherheitsrichtlinien in Windows so konfigurieren, dass ausschließlich Smartcard-Anmeldungen akzeptiert werden.

Je nach gewünschtem Sicherheitsgrad kann anstelle einer internen Zertifizierungsstelle wie z.B. der Microsoft Certificate Server auch ein externes Trustcenter (z.B. S-Trust (Sparkassen), TeleSec (Deutsche Telekom) oder Signtrust (Post / Datev) in die PKI-Lösung miteinbezogen werden. Auch öffentliche Organisationen oder Regierungsstellen wie z.B. Bundesnetzagentur können als Zertifizierungsstelle dienen.

Ausblick

Smartcards erweitern die Vorzüge des Serverbased Computings um eine Menge von Anwendungen, die zur Verbesserung von Produktivität und Sicherheit führen. Mittels digitaler Signatur gestatten sie letztendlich auch den rechtskräftigen Vertragsabschluss. Um dieses weite Anwendungsspektrum nicht leichtfertig zu beschneiden, empfiehlt es sich, im Vorfeld eine genaue Analyse durchzuführen, um die zukünftigen Anforderungen mit den am Markt verfügbaren Lösungen abzugleichen und von Beginn an auf das richtige Pferd zu setzten. Insbesondere sind auf die Einhaltung technischer Standards und die Homogenität der Lösung im Zusammenhang mit Mischinfrastrukturen aus Thin Clients und PCs zu achten.

Die Wahl des Thin Client Herstellers hat strategischen Charakter. Geeignete Hersteller zeichnen sich insbesondere durch gute Partnerschaften im Reader- und CSP-Bereich aus und bieten somit eine hohe Investitionssicherheit. Werden diese Kriterien beachtet, sind die Anwender auch für kommende Sicherheitslösungen gerüstet. Denn auch die Fortführung oder Ergänzung Smartcard-basierter Authentifizierungs¬verfahren wie zum Beispiel biometrische Verfahren bauen in der Regel auf denselben Standards und Protokollen auf wie Smartcard-Lösungen.

  • Klasse 1 einfache Kontaktiereinheit
  • Klasse 2 wie Klasse 1 mit zusätzlichem PIN-Pad
  • Klasse 3 wie Klasse 2 mit zusätzlichem Display
  • Klasse 4 wie Klasse 3 mit zusätzlichem Authentifikations¬modul

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2001920 / Netzwerk-Security-Devices)