zur Einrichtung von Internet- Sicherheit für das „Mobile Büro“ Eine Fördermaßnahme des ® Best Practice zur Einrichtung von Internet- Sicherheit für das „Mobile Büro“ 3 Jahre Anwendungserfahrung mit Serverzertifikat / SSL Geschäftsapplikation: Webbasiertes Projektmanagement und Office-Organizer

Hintergrund der geschäftlichen Internetnutzung Internet als universelle Plattform zur Abbildung ihrer internen Geschäftsprozesse Standard-Web-Browser als universelles Anwendungsprogramm Noch interessanter: Geschützte Bereitstellung geschäftlicher Web-Applikationen via Internet Unterstützt Telearbeitsformen und geschäftliche Telekooperation zwischen Unternehmen geschützte Webserver-Kommunikation mit HTTPS

Ausgangssituation bezüglich Internetsicherheit Informationen laufen über unbekannte Netze und Teilverbindungen Detektor hat uneingeschränkte Möglichkeiten der Informationserkennung unabhängig vom Internetdienst Web-Server mit Geschäftsdaten benötigen verschlüsselte Datenübertragungen

Typisches Technikbeispiel für`s „Mobile Büro“ Büro-Drucker Speichererweiterungen via USB2 / IEEE 1349 Datensicherung File-Server / Web-Server mit geschäftlichen Web-Applikationen Serverzertifikat Office-Server HTTPS / SSL LAN / Büro-PCs mobile Büro-PCs wLAN im Büro wLAN / Router / ADSL-Modem Firewall / DHCP / IP-Location-Service Switchhub / Printserver / VPN-Server … Gerätegeneration Multifunktionsrouter xDSL-Internetzugang

Ein wenig Grundlagen … zum verschlüsselten Geschäftsdatenaustausch zwischen einem Bürodatenserver und dem Internet-Office.

Was ist SSL? SSL steht für Secure Socket Layer (dt. "sichere Sockelschicht") und wurde von der Firma Netscape und RSA Data Security entwickelt Gewährleistet, dass Daten während der Übertragung nicht gelesen oder manipuliert werden können und stellt die Identität einer Internetseite sicher

Übersicht zu HTTPS als Verschlüsselungsschicht HTTPS-Verbindung ist symmetrisch verschlüsselt Verbindungsaufbau: Ein Zertifikat wird vom Server geladen. Spezielle Trust-Server im Internet als vertrauenswürdige Dritte Kostenpflichtiges Zertifikat beim CA hinterlegen Standard-Web-Browser benutzen bereits bekannte CAs Verschlüsselte Verbindung, z.B. HTTPS für Geschäftsapplikationen. SSL unterstützt DES, RSA, RC4, Blowfish u.a.

Details zu HTTPS / SSL – Der Ablauf HTTP-Client stellt Verbindungsanfrage an HTTP-Server HTTP-Server sendet digital signiertes Zertifikat an Client Client prüft das Vertrauen des Server-Zertifikats und ob Zertifikatdaten formal mit Zusatzinformationen des Servers übereinstimmen Client verhandelt mit dem Server, welche Verschlüsselungsprotokolle (-methoden / Schlüsselarten) beide Seiten kennen Der HTTP-Server teilt Client den „best möglichen“ Algorithmus mit Der Client nutzt diesen Verschlüsselungsalgorithmus und erzeugt einen HTTPS-Sitzungschlüssel. Der Web-Client verschlüsselt diesen Schlüssel dabei mit dem öffentlichen Schlüssel des Web-Servers und übergibt diesen an den Server. Der Server benutzt seinen privaten Schlüssel und erkennt den Client- Sitzungsschlüssel, bestätigt die Schlüsselannahme Der Web-Client kommuniziert von nun an mit dem Sitzungschlüssel, sendet HTTPS-verschlüsselte Anfragen an den HTTPS-Server und erhält verschlüsselte Antworten Verbindungsabbau: Der HTTPS-Sitzungschlüssel wird verworfen. Bei der nächsten Verbindung wird ein neuer Sitzungsschlüssel generiert.

Einfache Anwendung eines komplizierten Verfahrens Der Web-Server wird für HTTPS ergänzt Auf die Einschaltung eines CAs (Trust-Centers) wird bei weitgehend internen Geschäftsprozessen verzichtet (anders als bei der Bank oder dem Web-Shop!) Der Web-Browser verlangt Bestätigung des von Dritten nicht beglaubigten Server-Zertifikats Das Prinzip hat sich bei der Telematika GmbH seit 3 Jahren bestens bewährt.

Praxis der HTTPS-Einrichtung und -Anwendung Apache Webserver mit SSL (auf Windows NT/2000/XP)

Apache Webserver mit SSL Download der erforderlichen Software http://hunter.campbus.com Apache 2 mod_ssl, OpenSSL

Software installieren (5 Schritte) Backup der vorhandenen Apache-Installation (wichtig: „conf“-Verzeichnis) Extrahieren der Apache 2 mod_ssl (vorhandene Dateien überschrieben) „conf“-Verzeichnis zurück kopieren OpenSSL extrahieren (Unterverzeichnis OpenSSL in der Apache Installation)

Apache Webserver mit SSL ssleay32.dll und libeay32.dll in das WINNT\System32 Verzeichnis kopieren

Zertifikat erstellen (3 Schritte) Im openssl-Verzeichnis vom Apache-Ordner, öffnen Sie die Datei openssl.exe

Zertifikat erstellen (3 Schritte) folgende Befehle ausführen: req -config openssl.cnf -new -out test-zertifikat.csr rsa -in privkey.pem -out test-zertifikat.key x509 -in test-zertifikat.csr -out test-zertifikat.crt -req -signkey test-zertifikat.key -days 365 x509 -in test-zertifikat.crt -out test-zertifikat.der.crt -outform DER Sie haben jetzt ein Test-Zertifikat erstellt, welches 365 Tage gültig ist. Erstellen Sie einen Unterordner ssl im Apache-Konfigurationsverzeichnis und kopieren Sie die Dateien test-zertifikat.crt, test-zertifikat.der.crt und test-zertifikat.key

Zertifikat erstellen (3 Schritte) Öffnen Sie die Datei httpd.conf im „conf“-Verzeichnis vom Apache-Webserver Listen 80 Listen 443 LoadModule ssl_module c:/programme/Apache/modules/mod_ssl.so SSLMutex sem SSLRandomSeed startup builtin SSLSessionCache none SSLLog logs/SSL.log SSLLogLevel warn <VirtualHost 192.168.0.1:443> ServerName localhost DocumentRoot c:/intranet/apache/ssl SSLEngine On SSLCertificateFile conf/ssl/test-zertifikat.crt SSLCertificateKeyFile conf/ssl/test-zertifikat.key </VirtualHost>

Via UMTS und HTTPS ins Büro

Die Einwahl ins Büro – Auswahl SSL

Die Einwahl ins Büro – Sicherheitshinweis

Vertrautes Serverzertifikat ?

Details abrufen. Bürozugänge sind bekannt.

Serverzertifikat in Vertrauensliste eintragen.

Serverzertifikat in Vertrauensliste eintragen.

Serverzertifikat in Vertrauensliste eintragen.

Serverzertifikat in Vertrauensliste eintragen.

Office-Daten im verschlüsselten Zugriff.

Typische „EDV-Lösungen“ nur intern verfügbar Anregungen Typische „EDV-Lösungen“ nur intern verfügbar Zunehmende Möglichkeiten des mobilen Internets machen auch Geschäftsprozesse mobil Flexible Arbeitsformen im Büro, zu Hause oder unterwegs lohnend Preiswerte Notebooks zusätzlicher Anreiz zum mobilen Arbeiten

Geschäftsapplikationen im täglichen Einsatz mit bizOrg Geschäftsprozesse zeit- und ortsunabhängig bearbeiten: Angebote schreiben, Projekte dokumentieren, Arbeitsabläufe organisieren Emails senden & empfangen

Produkte der Telematika mit Unterstützung für SSL-Verbindungen BusinessOrganizer www.bizorg.de Content-Management-System www.bizred.de LearnOrganizer www.learnorg.de Online-Vermarktung seit 2002

Best Practice Partner Sie wünschen ausführliche Informationen zum Best Practice Anwendungsfall „Serverzertifikate“ ? Gern helfen wir Ihnen weiter. Kontakt: Telematika GmbH Friedrich-Barnewitz-Str. 3 18119 Rostock i www.telematika.de