It is currently 18.10.2017 10:56


All times are UTC




Post new topic Reply to topic  [ 30 posts ]  Go to page 1, 2  Next
Author Message
 Post subject: Sicherheit für Handys
PostPosted: 29.05.2008 20:04 
AES 192 bit
AES 192 bit

Joined: 29.05.2008 20:00
Posts: 121
Hallo,

ich schreibe gerade eine Seminararbeit wie man die Sicherheit von Handies erhöhen kann.

Also dafür sollen Proxies im Backend eingesetzt werden.
Dazu ist meine Idee, dass die Handies einen SSL/IPsec ? Tunnel (VPN) zum Proxy aufbauen und dieser dann die Sicherheitsziele umsetzt, da Handies keinen Virenscanner haben und auch sonst recht schutzlos dem Internet ausgesetzt sind.
Die Clients müssen sich dabei auch mit einem Client Zertifikat authentifizieren (um MitM Angriffe zu verhindern). Zusätzlich vll auch ein Radius Server ? Problem bei dem Client Zertifikat ist die Privacy. Vll sollte man Blind Zertifikate oder pseudonymisierte Zertifikate einsetzen.
Aufgaben des Proxies:
Traffic auf Viren filtern
NAT (Anonymität des Client) - Logs um Verbindlichkeit zu gewährleisten
URL-Filter
JavaScript, ActiveX, Java Applet filter
nicht darstellbare Elemente entfernen
Transcoding (Adaption für display und Trafficreduzierung) z.B. Bilder skalieren und komprimieren -> erhöht ebenfalls die Sicherheit, da nur vom Proxy erzeugter Content an Handy gelangt

Schutz des Proxy durch Packetfilter (Screened Subnet -> DMZ)

Problem: SSL Verbindungen
durchtunneln ? (Proxy kann seiner Funktion nicht nachkommen)
verbieten?
Ende-zu-Ende Semantik brechen (Privacy Problem)


Das ist mal alles was mir einfällt. Hättet ihr vll noch paar Anregungen?
bzw könnt ihr zu den Stellen mit den ? was sagen?

das oben war nur für den Http traffic
es soll aber auch ein imap Proxy laufen.
kann ich dann ein vpn gateway mit dem sich die clients per ssl verbinden und dann leitet der je nach protokoll auf den http bzw imap proxy um?

wie würdet ihr das Proxy konzept aufbauen. Also wo Packetfileter , VPN Gateway, Http proxy?
ist openVPN dafür geeignet? weil ich muss das zur demonstration aufsetzen

vielen Dank schon mal !


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Sicherheit für Handys
PostPosted: 30.05.2008 07:43 
AES 192 bit
AES 192 bit

Joined: 18.04.2008 16:55
Posts: 134
Hallo,

vpnblubb wrote:
ich schreibe gerade eine Seminararbeit wie man die Sicherheit von Handies erhöhen kann.


Welche der mit Handies heute möglichen Tätigkeiten möchtest Du denn besser sichern? Das Surfen? Außerdem sprichst Du vermutlich von Smartphones und PDAs.

vpnblubb wrote:
Also dafür sollen Proxies im Backend eingesetzt werden.
Dazu ist meine Idee, dass die Handies einen SSL/IPsec ? Tunnel (VPN) zum Proxy aufbauen und dieser dann die Sicherheitsziele umsetzt, da Handies keinen Virenscanner haben und auch sonst recht schutzlos dem Internet ausgesetzt sind.


Zum einen gibt es mittlerweile Virenscanner auch für mobile Geräte. Zum anderen sind Handyviren noch sehr wenig verbreitet, weil der Markt nicht von einem einzigen System dominiert wird so wie bei den PCs. Im Moment sollte man sich daher auf gezielte Angriffe konzentrieren, die ein Dritter auf eine ihm bekannte Person durchführt.

OpenVPN kommt für ein Handy-VPN leider nicht in Frage, weil es das für Handies schlicht und ergreifend nicht gibt. Es gibt aber IPsec-Clients, u.a. von einer Nürnberger Firma. Du könntest den Internettraffic damit vollständig durch das VPN leiten und den Nutzer damit der heimischen Sicherheitsstrategie unterwerfen. Das funktioniert aber nur, solange der Tunnel steht, ansonsten kann frei gesurft werden.

Ich befürchte, daß Du da auf ein kommerzielles, weitgehend fertiges Konzept zurückgreifen mußt. Sowohl Microsoft (Windows Mobile) als auch Nokia (Symbian S60) bieten Konzepte an, um die dem Nutzer zugänglichen Funktionen einer Handyflotte zentral zu steuern.

vpnblubb wrote:
Die Clients müssen sich dabei auch mit einem Client Zertifikat authentifizieren (um MitM Angriffe zu verhindern). Zusätzlich vll auch ein Radius Server ? Problem bei dem Client Zertifikat ist die Privacy.


Es ist sinnvoll, den Aufbau des Tunnels auch noch von einem Paßwort abhängig zu machen, das der Nutzer eingeben muß, damit der Tunnel nicht von Unbefugten aufgebaut werden kann, denen das Gerät in die Hände fiel. Dazu genügt es aber, den privaten Schlüssel des Clients zu verschlüsseln, so wie es OpenVPN kann.

Ein Privacy-Problem sehe ich eigentlich nicht, es sei denn auch die Windows-Anmeldung bzw. NIS-Anmeldung im heimischen LAN wäre eines. Mir ist aber keinerlei Rechtsprechung bekannt, die das inkriminiert hat und vor allem sehe ich auch nicht, wie sie sich technisch vermeiden ließe. Typischerweise wird mit dem Betriebsrat vereinbart, daß damit keinerlei Leistungskontrollen durchgeführt werden.

Auch Deine übrigen Fragen bzw. die Aufgabenstellung überhaupt gehen an der praktikablen Realität vorbei. Selbst größere Unternehmen mit besetzter EDV-Abteilung greifen für diese Frage zu fertigen Konzepten kommerzieller Anbieter. Die liefern dann eine sog. Appliance, also einen Server nebst vollständiger und automatisch aktualisierender Softwareinstallation, der dann als Firewall und VPN-Gateway arbeitet. Damit verbinden sich dann Notebooks und Smartphones der Road Warrior.
Der Aufgabensteller scheint wenig Ahnung zu haben und vor allem einer Zeit vorzugreifen, in der Smartphones so frei gestaltbar wie PCs sind. Das ist aber erst mit Konzepten à la Android möglich.

Mit freundlichen Grüßen
LPW


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 30.05.2008 10:39 
AES 192 bit
AES 192 bit

Joined: 29.05.2008 20:00
Posts: 121
danke für deine Antwort.

das surfen und email sollten geschützt werden.
Es geht um Windows CE Geräte. Es gibt genug Angriffe die man sich darauf vorstellen kann.
Leider habe ich mich vll falsch ausgedrückt. Der Proxy soll nicht der heimische PC sein, sondern ein zentraler ZUgangspunkt für alle (so wie ein WAP Gateway). Daher auch die logs, falls man anonymisiert.
Das Privacy Problem hat man, weil der User ein Zertifikat wegschickt, wodurch er identifiziert werden kann. Wir reden hier von einer Luftschnittstelle! Außerdem natürlich wenn die Ende zu Ende Semantik gebrochen wird, dass auf dem Proxy dann alle Daten vorliegen.
Mich würde interessieren wie ihr den Proxy/Gateway aufbauen würdet.


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 30.05.2008 11:26 
AES 192 bit
AES 192 bit

Joined: 18.04.2008 16:55
Posts: 134
Hallo,

vpnblubb wrote:
das surfen und email sollten geschützt werden.
Es geht um Windows CE Geräte. Es gibt genug Angriffe die man sich darauf vorstellen kann.


Ich habe nicht behauptet, daß die Geräte nicht angegriffen werden. Aber die Bedrohungslage ist im Moment nicht mit der von PCs vergleichbar.

vpnblubb wrote:
Leider habe ich mich vll falsch ausgedrückt. Der Proxy soll nicht der heimische PC sein, sondern ein zentraler ZUgangspunkt für alle (so wie ein WAP Gateway).


Das habe ich auch so verstanden und ich habe Dir die Geräte für diesen Zweck beschrieben.

vpnblubb wrote:
Daher auch die logs, falls man anonymisiert.
Das Privacy Problem hat man, weil der User ein Zertifikat wegschickt, wodurch er identifiziert werden kann. Wir reden hier von einer Luftschnittstelle!


Niemand zwingt Dich, den Namen des Nutzers in die Zertifikate aufzunehmen. Ich habe immer den Namen des Rechners als Common Name gewählt, also für jedes anzubindende Gerät ein eigenes Zertifikat ausgestellt. Auch weil mobile Geräte eigentlich ihr Leben lang einem Nutzer zur Verfügung stehen, erübrigen sich nutzerspezifische Zertifikate. Und wenn ein PC doch mal mehrere Nutzer hatte, so mußten auch immer alle das VPN nutzen.
Falls man doch mal in die Lage kommt, bestimmten Nutzern eines Gerätes das VPN zu verweigern, so gibt man den betroffenen Accounts einfach nicht das Recht, den OpenVPN-Dienst zu starten und zu beenden.

vpnblubb wrote:
Außerdem natürlich wenn die Ende zu Ende Semantik gebrochen wird, dass auf dem Proxy dann alle Daten vorliegen.


Was soll denn das heißen?

Mit freundlichen Grüßen
LPW


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 30.05.2008 11:35 
AES 192 bit
AES 192 bit

Joined: 29.05.2008 20:00
Posts: 121
du hast aber oben von heimischem Pc geredet, der die Sicherheitsstrategie umsetzt. sorry falsch verstanden :)
Aber hier habe ich trotzdem ein Privacy Problem, da der Proxy z.b Surfprofile erstellen kann

Der Proxy wird z.b. von O2 bereitgestellt.

Ende-zu-Ende Semantik? also entweder kann der Proxy SSL verbindungen einfach durchtunneln, wobei er dann seine Wirkung verliert.
oder er kann die Ende-zu-Ende Semantik brechen. DH der Proxy arbeitet als MitM.

Vll ist das Thema eher teoretisch, da Angriffe noch nicht sehr realistisch sind, aber davon können wir ja abstrahieren :)

Also was ich mich frage, wie baut man dieses Proxy Konzept am besten auf?
Anbindung des Smartphones per SSL VPN an den Proxy? oder besser per IPSEC?
Vor dem VPN Server ein Packetfilter und dahinter in einer DMZ dann den HTTP Proxy und imap Proxy?

Danke für eure Antworten


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 30.05.2008 20:25 
AES 192 bit
AES 192 bit

Joined: 29.05.2008 20:00
Posts: 121
schade, dass keine Antwort mehr kommt :(

ich hätte noch spezielle Fragen:

Das Problem bei diesem Gateway konzept ist, dass es von beiden Seiten im Internet steht.
Die Clients sollen sich über einen Tunnel mit dem Gateway kommunizieren.
Auf dem Gateway wird ein Http /https proxy und imap proxy angeboten.

Ich dachte an folgende Architektur:

clients -- Tunnel ---- VPN----Packetfilter---Http/https/imap Proxy-- Packetfilter--- Internet

ist da irgendwie ein denkfehler drin?
sollte der 1. Packetfilter vor dem VPN Server stehen?
Wo würde ein Radius Server laufen?

Danke an euch für Antworten


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 30.05.2008 21:16 
AES 192 bit
AES 192 bit

Joined: 18.04.2008 16:55
Posts: 134
Hallo,

vpnblubb wrote:
ich hätte noch spezielle Fragen:

Das Problem bei diesem Gateway konzept ist, dass es von beiden Seiten im Internet steht.
Die Clients sollen sich über einen Tunnel mit dem Gateway kommunizieren.
Auf dem Gateway wird ein Http /https proxy und imap proxy angeboten.

Ich dachte an folgende Architektur:

clients -- Tunnel ---- VPN----Packetfilter---Http/https/imap Proxy-- Packetfilter--- Internet

ist da irgendwie ein denkfehler drin?


Der Denkfehler besteht vor allem in einer eigenen Struktur für die mobilen Nutzer. Für gewöhnlich soll ein VPNs den mobilen Nutzern die gleiche Arbeitsumgebung wie den Nutzern am Standort gewährleisten. Einen Webproxy setzt man nicht bloß für mobile Nutzer auf, sondern für alle und sorgt dann dafür, daß sie mobilen Nutzer auch dahinter sitzen, wenn man sie denn durch das VPN surfen läßt.

Und wozu soll der Paketfilter zwischen dem VPN-Gateway und dem Proxy gut sein? Was willst Du dort filtern?

Mit freundlichen Grüßen
LPW


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 31.05.2008 00:07 
AES 192 bit
AES 192 bit

Joined: 29.05.2008 20:00
Posts: 121
ok
in dem Fall gibt es aber nur mobile Nutzer.
wie würdest du dann den Tunnel zu dem Proxy von den Clients aufbauen?
Der Proxy steht ja nicht wie bei einem Unternehmen gleich nach dem internen Netz. Das ganze arbeitet wie ein Wap Gateway.
Ich möchte halt einen Tunnel von den Clients zu dem Gateway aus 2 Gründen:
1. Vertraulichkeit, Integrität, Authentizität gewährleisten
2. Sollen sich auch nur bestimmte Geräte da anmelden können also soll auch eine Autorisierung stattfinden.

Ich wäre dir dankbar wenn du mir mal schildern könntest wie du das konzipieren würdest.


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 01.06.2008 20:50 
AES 192 bit
AES 192 bit

Joined: 29.05.2008 20:00
Posts: 121
wäre es geschickter das ganze ohne vpn zu realisieren?
einfach nur eine SSL verbindung mit dem Proxy aufbauen?


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 03.06.2008 09:34 
openvpn.eu Admin
openvpn.eu Admin
User avatar

Joined: 23.01.2006 08:05
Posts: 3321
Location: near Vienna
Hallo

Also wie ich dich jetzt verstanden habe, möchtest du ein theoretisches, möglichst sicheres, Modell entwerfen, um PDAs/Handies an das Internet anzubinden.

Wenn du nur einen normalen Proxy hast für HTTP, dann kannst du eigentlich auch nur HTTP-Dienste nutzen. Daher ist wohl ein VPN effektiver, wenn du auch andere Dienste drüber betreiben willst.

Die Frage mit den Zertifikaten für die Clients hängt davon ab, wer dein "Kundenkreis" ist. Wenn dieser überschaubar ist, kannst du einen Dienst einrichten, der für die Clients Zertifikate ausstellt und signiert. Mit diesen können sie sich dann mit dem Gateway verbinden.
Wenn dein Nutzerkreis recht klein ist (kleine bis mittlere Firma) kannst du die Zertifikate auch händisch ausstellen.
Dies ist dann sinnvoll, wenn du wissen möchtest wem welches Zertifikat gehört (ohne es direkt ins Zertifikat zu schreiben).
Im Endeffekt bist du rechtlich sowieso dazu verpflichtet, deinen Nutzerkreis zu kennen (zumindest eine IP und einen Zeitstempel zu loggen). Wenn du das nicht tust, fällt die Schuld eben an dich. :)

Grundsätzlich ist es bad-practice, SSL Verbindungen von einem Client zu einem Server zu unterbinden (man denke an Onlinebanking) oder sie zu brechen (mitm). Für Firmen wäre möglicherweise eine "Positivliste" praktikabel.

_________________
regards,
note
Please take a look at our rules. Besucht mal unsere Wiki !


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 03.06.2008 10:01 
AES 192 bit
AES 192 bit

Joined: 18.04.2008 16:55
Posts: 134
Hallo,

note wrote:
Grundsätzlich ist es bad-practice, SSL Verbindungen von einem Client zu einem Server zu unterbinden (man denke an Onlinebanking) [...]


Naja, ein dienstlich genutztes Netz ist sicherlich nicht dazu verpflichtet, seinen Nutzern privates Onlinebanking zu erlauben. Ein öffentliches WLAN sollte es natürlich schon ermöglichen, ich fände es jedenfalls armselig, wenn es da nicht ginge.

note wrote:
oder sie zu brechen (mitm).


Das dürfte sogar justiziabel sein.

Mit freundlichen Grüßen
LPW


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 03.06.2008 12:21 
AES 192 bit
AES 192 bit

Joined: 29.05.2008 20:00
Posts: 121
Danke für deine Antwort!

Quote:
Also wie ich dich jetzt verstanden habe, möchtest du ein theoretisches, möglichst sicheres, Modell entwerfen, um PDAs/Handies an das Internet anzubinden.


genau. also es soll nur für Internet und Email sein. Also http, imap/smtp
Quote:
Wenn du nur einen normalen Proxy hast für HTTP, dann kannst du eigentlich auch nur HTTP-Dienste nutzen. Daher ist wohl ein VPN effektiver, wenn du auch andere Dienste drüber betreiben willst.


ok. wäre sowas auch über ein Webvpn möglich? Mit openvpn kann man kein webvpn machen oder?

Ich habe noch Verständnisprobleme mit der Architektur:
Client---- tunnel--- vpn--Proxy(http,imap/smtp)---packetfilter---internet
Wären in dieser Konstellation die clients vor jeglichen Angriffen sicher, falls der Proxy die viren, aktive Inhalte filtert?
oder übersehe ich da was?

Wäre ipcop ein guter Proxy für diese Konstelation? welchen Proxy würdet ihr Vorschlagen?


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 04.06.2008 15:23 
openvpn.eu Admin
openvpn.eu Admin
User avatar

Joined: 23.01.2006 08:05
Posts: 3321
Location: near Vienna
Der Term "WebVPN" ist mir neu, ich kenne den missbräuchlich verwendeten Ausdruck "SSL-VPN", das angeblich eine VPN Verbindung per Webbrowser aufbauen soll.
Praktisch ist dies jedoch nicht möglich; das einzige was geht, ist einen Terminalclient im Webbrowser laufen zu lassen. Dies würde ich aber nicht als VPN bezeichnen.

OpenVPN verwendet ein eigenes Protokoll und "borgt" sich die Verschlüsselungsroutinen von OpenSSL. Für OpenVPN gibt es diverse Ports, von Windows über Mac bis Linux/Unix, sogar für Windows Mobile. Wie auch immer ist es fast unmöglich ein VPN zu finden, welches auf jedem Handy/PDA läuft, da diese unterschiedliche Betriebssysteme laufen haben (Symbian, Windows Mobile, Eigenbräu).
Am ehesten implementieren die Handyhersteller wohl das Standard VPN von Microsoft (PPTP).

Wenn du der ISP der Handynutzer bist, kannst du den Traffic natürlich zwangsweise filtern (ohne VPN), alá transparenter Proxy bzw mit Proxyzwang. Dies geht in den meisten Fällen jedoch nur für unverschlüsselte HTTP Verbindungen.
Den Mailverkehr filtern würde nur gehen, wenn du die Anwender zwingst, deinen eigenen Mailserver zu verwenden bzw unverschlüsseltes POP/IMAP, was natürlich wieder abzuraten ist.

Und ja, unter Bedacht dass du ein VPN verwendest klingt deine Archtiktur mit IPcop schonmal als ein guter Anfang.

_________________
regards,
note
Please take a look at our rules. Besucht mal unsere Wiki !


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 05.06.2008 17:43 
AES 192 bit
AES 192 bit

Joined: 29.05.2008 20:00
Posts: 121
ich habe hier ein Beispiel für ein "Webvpn" gefunden:

http://www.uni-ulm.de/einrichtungen/kiz ... ebvpn.html

wie wird sowass realisiert?

was ich noch nicht ganz kapiert habe:
würdet ihr schon ein vpn für die Anbindung Smarphone-Proxy verwenden?
wäre ein SSL oder ein Ipsec VPN besser?

oder kann man auch einfach ohne vpn eine SSL Verbindung mit dem Proxy aufbauen?


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 05.06.2008 18:19 
AES 192 bit
AES 192 bit

Joined: 18.04.2008 16:55
Posts: 134
Hallo,

vpnblubb wrote:
ich habe hier ein Beispiel für ein "Webvpn" gefunden:

http://www.uni-ulm.de/einrichtungen/kiz ... ebvpn.html

wie wird sowass realisiert?


Anscheinend zeigt das System einen Desktop, der per SSL-Verbindung bereitgestellt wird. Oder es ist kein Desktop, sondern eine HTML-Seite, die Links zu den Online-Anwendungen der Uni bereitstellt. Die Dinger sind eher Verwandte des Terminal Server als ein VPN, da sie nur den Webtraffic führen wie jede andere SSL-Verbindung eines Webbrowsers auch.

Mit UltraVNC und einem Verschlüsselungs-Plugin kann man sich sowas nachbauen und hat dann sogar den eigenen Desktop unterwegs. UltraVNC ist ja eine Fernbedienungssoftware. Voraussetzung ist, daß der ferne Rechner unterwegs auch Java kann.

vpnblubb wrote:
wäre ein SSL oder ein Ipsec VPN besser?


OpenVPN ist nicht unsicherer als IPsec, vielleicht sogar sicherer. In der Praxis stellt sich eher die Frage, ob die Administration sicher konfiguriert hat. Unsicher sind eher Lösungen wie die der Uni, allerdings unterscheiden sich die Sicherheitsversprechen:
VPNs wollen authentisierte Kommunikationspartner gewährleisten, deren Kommunikation von Dritten am Wege nicht entziffert werden kann. Auf den beiden Endpunkten der Kommunikation haben wir natürlich wieder Klartext in einer Umgebung, deren Sicherheit von der Konfiguration des Rechners abhängt.
Dein Beispiel mit der Uni erinnert mich an Lösungen für Unternehmen, die außerdem noch die Sicherheit des fremden fernen Rechners überprüfen zu können glauben. Der Roadwarrior soll für den Fernzugriff auf Unternehmensanwendungen also nicht nur ein dienstlich geliefertes Notebook, sondern jeden Rechner mit Internetzugang und Webbrowser verwenden können. Bei der Verbindungsaufnahme schickt das SSL-VPN-Gateway einen Code, der beispielsweise prüft, ob ein Virenscanner läuft usw. usf. Genügt der Rechner den Ansprüchen dieses Codes, wird die Verbindung zugelassen, sonst nicht. Sicher ist sowas selbstverständlich nie, denn auch wenn der Prüfcode vom VPN-Gateway kommt, muß dem zu prüfenden Rechner vertraut werden. Niemand (und schon gar kein Code) kann aber garantieren, daß der fremde Rechner keine Keylogger hat, der mit den Tastaturanschlägen auch Benutzerkennungen und Paßwörter aufzeichnet.

Mit freundlichen Grüßen
LPW


Top
Offline Profile  
Reply with quote  
Display posts from previous:  Sort by  
Post new topic Reply to topic  [ 30 posts ]  Moderator: Moderators Go to page 1, 2  Next

All times are UTC


Who is online

Users browsing this forum: No registered users and 1 guest


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot post attachments in this forum

Search for:
Jump to:  
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Theme created StylerBB.net