iMOTION
Titelbild: Netzwerksicherheit in iOS
17.11.2015 - Andreas Schenk

Netzwerksicherheit in iOS

In der letzten Ausgabe haben wir die Gerätesicherheit von iOS-Geräten beleuchtet. Da aber praktisch alle Anwender ihre Daten nicht nur auf dem Gerät speichern, sondern auch über das Internet austauschen, ist auch die Verbindung wichtig, über die mit den Servern kommuniziert wird. Dies betrifft sowohl Standarddienste wie E-Mail oder Websurfen als auch die Verbindungen von Apps zu den Servern, die Daten bereitstellen. Die Sicherheit der übermittelten Daten beruht dabei auf unterschiedlichen Elementen der Datenübertragung und setzt sich aus diesen einzelnen Faktoren zusammen. So sind sowohl das Übertragungsmedium wichtig wie auch der Datentransport selbst und der Inhalt der Datenpakete.

Wi-Fi als Übertragungsmedium
Wi-Fi als Übertragungsmedium ist äußerst beliebt. Zum einen verfügen nicht alle iOS-Geräte über einen SIM-Karten-Slot, um mit UMTS oder LTE ins Internet zu gehen, und selbst wenn, so wird vom User in der Regel Wi-Fi vor der Mobilfunkanbindung bevorzugt, da oft das Datenvolumen beschränkt oder teuer ist bzw. Wi-Fi eine höhere Geschwindigkeit bietet. Nahezu jedes Unternehmen hat ein eigenes Wi-Fi, in dem die unternehmenseigenen iOS-Geräte aufgenommen werden. Seit Wi-Fi um den Jahrtausendwechsel herum seinen Siegeszug begann, haben sich die Standards und mit ihnen die verfügbaren Sicherheitsfunktionen kontinuierlich weiterentwickelt. Das war auch notwendig, denn die Funkverbindung zwischen dem Endgerät und dem Zugangspunkt kann grundsätzlich von jedem anderen mitgehört werden. Aus diesem Grund sollten alle Wi-Fi-Verbindungen stets verschlüsselt erfolgen. iOS unterstützt alle gängigen Wi-Fi-Verschlüsselungsmethoden, von denen allerdings nicht mehr alle als sicher gelten.

Unverschlüsseltes Wi-Fi
Offene Wi-Fi-Netzwerke, die auch kein Kennwort benötigen, um ins Netzwerk zu gelangen, sind unverschlüsselt. Sie erkennen dies auf dem iPhone in den Einstellungen, wenn bei dem WLAN-Name kein Schlosssymbol angezeigt wird. In diesen Netzwerken erfolgen alle Datenübertragungen unverschlüsselt und können von jedem anderen Teilnehmer mitgelesen werden.

WEP
Die Abkürzung steht für „Wired Equivalent Privacy“. Diese Verschlüsselung ist zwar besser als keine Verschlüsselung, stellt aber heutzutage keine Hürde für Hacker mehr dar, da sie innerhalb von Minuten geknackt werden kann.

WPA
Wi-Fi Protected Access ist deutlich stärker verschlüsselt als WEP. Es ist nicht so einfach zu knacken, ein Profi ist damit allerdings auch nicht mehr aufzuhalten.

WPA2
WPA2 ist der Nachfolger von WPA und gilt als die sicherste Variante. WPA2 wurde 2004 eingeführt und 2006 für alle Wi-Fi-Geräte verpflichtend. Daher sollten alle modernen Geräte diesen Standard unterstützen. iOS hat WPA2 von Anfang an unterstützt, daher sind alle iPhones und iPads in der Lage, diese Verschlüsselung zu nutzen; sie müssen nur vom Access Point angeboten werden.

Für WPA2 gibt es eine Erweiterung, die eine sicherere Anmeldung ermöglicht. Diese Erweiterung heißt WPA2 Enterprise und wird von Apple als „Firmenweiter WPA2“ bezeichnet. Ohne die Erweiterung nennt Apple WPA „Persönlicher WPA2“. Das mag ein wenig verwirrend sein, denn beim persönlichen WPA2 verwenden alle Geräte das gleiche Passwort. Mit persönlich ist hier eher die persönliche bzw. private Anwendung gemeint, die wir alle sicherlich vom Wi-Fi-Router zu Hause kennen. Es gibt ein Kennwort für alle. Darin liegt aber auch ein Problem der WPA-Anmeldung, vor allem in Firmen oder größeren Organisationen. Da alle das gleiche Kennwort verwenden, spricht sich dieses sehr schnell herum und auch Unbefugte bekommen so Zugriff auf das Netzwerk. Außerdem ist es schwierig, das Kennwort zu ändern, da dann wieder viele Geräte in die Hand genommen werden müssen, um das Kennwort zu aktualisieren. Daher bleibt das Kennwort oft sehr lange Zeit identisch und so kommen immer mehr Geräte ins Netz, was letztendlich einen kleinen Teufelskreis bildet. Genau dieses Problem löst die WPA2 Enterprise-Erweiterung dadurch, dass hier kein allgemeines Kennwort verwendet wird, sondern jedes Gerät oder Benutzer eine individuelle Anmeldung erfordert. Diese kann je nach Konfiguration mit einer Kombination von Name und Passwort oder mittels eines elektronischen Zertifikats an einem sogenannten Radius-Server erfolgen. Damit wird zwar nicht die Verschlüsselung stärker, aber durch eine individualisierte Anmeldung sinkt das Risiko eines unerlaubten Zugriffs und Richtlinien zur Passwortänderung können besser umgesetzt werden. Die eleganteste Version ist eine Anmeldung mittels eines Zertifikats, das individuell ausgestellt und durch einen Mobile Device Management Server auf das iOS-Gerät installiert wird. Das Schöne dabei ist, dass der User davon nichts mitbekommt, wenn die IT-Abteilung es korrekt implementiert hat.

Edge, 3G oder LTE als Übertragungsmedium
Während die Mobilfunkstandards zwar prinzipiell nicht komplett sicher sind und auch angegriffen werden können, gelten sie im Vergleich zu Wi-Fi und den dort vorgefundenen Problemen der älteren Standards als sehr sicher. Hier ist für den Anwender auch keine spezielle Einstellung möglich oder notwendig.

VPN
Als weitere Schicht der Netzwerksicherheit oberhalb des Transportmediums Wi-Fi oder 3G/LTE kann ein virtuelles privates Netzwerk dienen. Ein VPN verbindet Ihr Endgerät mit dem Firmennetzwerk und erfüllt dabei zwei Funktionen. Zum einen wird der Netzwerkverkehr verschlüsselt und zum anderen ist mit der VPN-Anmeldung eine Zugangskontrolle verbunden. Auch beim VPN gibt es die unterschiedlichsten Standards und Implementierungen, von denen mit jeder iOS-Version mehr und neuere Varianten möglich werden. Auch iOS 9 bringt die Unterstützung zusätzlicher Technologien mit. iOS beherrscht ohne die Installation zusätzlicher Apps drei VPN-Technologien mit Bordmitteln. Durch meist kostenlose Apps verschiedener Hersteller sind auch Verbindungen zu deren Servern möglich.

PPTP-VPN
Dies ist der älteste VPN-Standard in iOS und sollte nur in Ausnahmefällen verwendet werden. Er dient hauptsächlich der Abwärtskompatibilität, um sicherzustellen, dass Ihr iOS-Gerät auch auf alte Systeme zugreifen kann.

L2TP/IPSec
Dies ist die moderne VPN-Variante, bei der L2TP einen Netzwerktunnel zu Ihrem privaten Netz herstellt und IPSec die Daten verschlüsselt. Der entscheidende Vorteil gegenüber PPTP ist die wesentlich bessere Sicherheit.

Cisco IPSec
Diese Variante stellt die Verbindung zu manchen Cisco VPN-Servern her.

SSL-basiertes VPN
Diese Variante benötigt die Installation einer zusätzlichen App des jeweiligen Herstellers. Dies sind z. B. Cisco, Juniper, F5, Sonic Wall oder Aruba. Mit Ausnahme von PPTP sind eigentlich alle Varianten recht sicher, unterscheiden sich aber in den Details, Möglichkeiten und Kosten. Wesentlich interessanter sind eher die Anwendungsmöglichkeiten.

Einfaches VPN
Um das auf dem iPhone eingerichtete VPN zu nutzen, muss der Anwender das VPN manuell aktivieren und je nach Konfiguration erfolgt die Anmeldung mittels Name und Passwort oder über ein Zertifikat.

VPN on Demand
Hierbei kann das iPhone so eingerichtet werden, dass es sich immer dann automatisch mit dem VPN verbindet, wenn auf eine bestimmte Domain zugegriffen wird. So kann z. B. die Verbindung automatisch erstellt werden, wenn Sie von außen auf Ihr Warenwirtschaftssystem zugreifen wollen. Diese Variante erfordert ein VPN mit einer zertifikatsbasierten Anmeldung und ist nicht für alle VPN-Technologien verfügbar.

Per-App-VPN
Über einen Mobile Device Management Server kann eine VPN-Verbindung so eingerichtet werden, dass sie automatisch verbunden wird, wenn eine bestimmte App gestartet wird. Diese Verbindung überträgt nicht alle Daten, sondern nur die Daten dieser einen bestimmten App. Hiermit ist also eine ganz gezielte VPN-Verbindung für einige Apps möglich. Zusätzlich zu den Voraussetzungen des VPN on Demand ist auch noch ein MDM-Server zur Konfiguration der Apps notwendig.

Always-on-VPN
Für IKEv2 VPNs kann für firmeneigene iPhones eine VPN-Konfiguration erstellt werden, die sämtlichen Datenverkehr stets über das VPN sendet. Der Anwender muss dabei das VPN nicht aktivieren oder abschalten – es ist einfach immer an.

Die beiden besten Varianten sind hierbei das VPN on Demand und Per-App-VPN, weil hiermit zum einen Ihre schützenswerten Daten geschützt sind, aber gleichzeitig sparsam mit dem VPN-Einsatz umgegangen wird. Für den Anwender ist die VPN-Nutzung unbequem, da zum einen die Verbindung langsamer und zum anderen deutlich mehr Strom verbraucht wird, was natürlich die Akkulaufzeit des Geräts verringert. Diese beiden Gründe machen das VPN für den mobilen Anwender unattraktiv. Seitens des Unternehmens ist zu viel unnötiger VPN-Verkehr teuer, denn es wird für den Internetzugang mehr Bandbreite benötigt und es müssen für den VPN-Server mehr Kapazitäten und Lizenzen bereitgehalten werden.

Mit einem Per-App-VPN oder VPN on Demand schlägt man daher zwei Fliegen mit einer Klappe: Unternehmensseitig werden Kosten gesenkt und gleichzeitig macht man den Anwender glücklich, weil sein Akku wieder länger hält, da eben nur gezielt dort das VPN aufgebaut wird, wo es auch benötigt wird. Notwendig ist dabei aber eine clevere Verwaltung der iPhones mittels MDM-Server.

Verschlüsselte Verbindungen mittels SSL/TLS
Während wir uns bisher mit den äußeren Schichten der Verbindung beschäftigt haben – Wi-Fi als Übertragungsmedium, VPN als Tunnel ins private Netz, der über die Wi-Fi-Verbindung aufgebaut wird –, bleiben jetzt noch die Apps selbst. Die Apps können, sofern der Entwickler es vorsieht, Ihre Daten mit einer SSL/TLS-Verschlüsselung verschicken. Die technischen Grundlagen hat Apple dazu in iOS eingebaut, das müssen die Entwickler nicht selbst machen, sondern nur das nutzen, was Apple schon vorbereitet hat. Für Apps wie Mail oder Kalender kann der Anwender beim Einrichten angeben, ob sein Server SSL/TLS unterstützt oder nicht, in Safari erkennt man eine verschlüsselte Verbindung am kleinen Schlosssymbol in der Adresszeile des Browsers. Bei den Apps aus dem App Store ist es allerdings nicht zu erkennen, ob diese die Verbindung zu den verwendeten Servern verschlüsseln oder nicht. Hier hilft nur eine Nachfrage beim Entwickler oder im Zweifelsfall auch eine mühselige Überprüfung mittels eines Mittschnitts und Analyse des Datenverkehrs.Letztlich kann man die drei Schichten kombinieren: verschlüsseltes Wi-Fi, VPN und SSL-Verbindung. Ob das allerdings notwendig und möglich ist, hängt von der jeweiligen Situation ab. Da wir aber in der Praxis oft wenig Einfluss auf das Wi-Fi haben (wir müssen mit einer hohen Wi-Fi-Promiskuität der Anwender rechnen), sollten wir sichere Wi-Fis als willkommen und gut betrachten, aber nicht als gegeben voraussetzen. Wir müssen immer damit rechnen, dass ein Anwender irgendwo unterwegs auch einmal ein unsicheres Wi-Fi nutzt. Ob nun zusätzlich ein VPN verwendet werden soll, hängt in erster Linie davon ab, wie wichtig oder schützenswert die Daten sind. Für die eine oder andere Anwendung wird vielleicht eine SSL-verschlüsselte Verbindung ausreichend sein, während in anderen Bereichen ein VPN notwendig ist. Als Daumenregel könnte man auch hier sagen, dass ähnlich wie beim Wi-Fi eine SSL-Verschlüsselung nicht schadet und eine gute Sache ist, die genutzt werden sollte, wenn sie verfügbar ist. So bleibt letztendlich die Frage der Notwendigkeit einer VPN-Verbindung der einzige Punkt, der wirklich von Anforderung und Möglichkeiten der individuellen Situation abhängig ist. Wenn man sich für ein VPN entscheidet, sollte man den VPN-Einsatz auf die relevanten Bereiche fokussieren und ansonsten ressourcensparend auf VPN verzichten, indem man VPN on Demand oder Per-App-VPN verwendet.

 

Andreas Schenk
#Andreas Schenk

Andreas Schenk

Geschäftsführer Apfelwerk GmbH & Co. KG

Andreas Schenk ist IT-Berater, Buchautor und zertifizierter Apple Trainer. Mit seiner Firma Apfelwerk betreut und berät er bundesweit Firmen und Schulen bei ihren IT-Projekten. Im Auftrag von Apple Deutschland hält er auch Vorträge, Workshops und Trainings für Reseller und Unternehmenskunden. Sein Ziel dabei ist immer, für seine Kunden den Erfolg mit der Apple Plattform sicherzustellen. Mit über 17 Jahren Erfahrung im Bereich Apple Clients, Server und Netzwerke gehört er zu den gefragtesten Apple Consultants in Deutschland.

Ganzen Artikel lesen