Was Prismgate zeigt und wie Sie sich trotzdem sicher fühlen können

Die Medien waren schlagartig voll von vermeintlichen Schreckensmeldungen, die zwar weder für IT-Security Profis noch Verschwörungstheoretiker irgendetwas Neues enthalten, die aber in einer neuen Qualität beweisen, was uns allen eigentlich längst klar war: Der US-Geheimdienst NSA kann jedwede Kommunikation abfangen, tut das auch und wertet vieles automatisch aus (Projekt PRISM). Außerdem stehen Ihnen organisatorisch, wenn nicht sogar transparent technisch, die Türen zu den wolkigen Datenspeichern US-amerikanischer Anbieter (und sicher nicht nur der plakativen Giganten wie Apple, Facebook, Google und Microsoft) offen, wo auch hierzulande nahezu jeder zumindest irgendetwas abgelegt hat.

„Mitarbeiter des Niedersächsischen Wirtschafts- und Geheimschutzes schockierten schon 2008 Besucher einer unserer Informationsveranstaltungen in Hannover mit der Tatsache, dass zum Beispiel der russische Inlandsgeheimdienst FSB mit seinen rund 110.000 Mitarbeitern den expliziten Auftrag zur Unterstützung der heimischen Wirtschaft hat und diesem durch entsprechende IT-gestützte Spionage auch nachkommt.“ – Michael Wessel

Da tut es schon fast nichts mehr zur Sache, dass auch hierzulande an vielen Stellen Vorratsdatenspeicherung angestrebt wird und gewisse Kreise bei jedwedem medial präsenten Ereignis als omnipotente Lösung reflexartig „mehr Überwachung!“ schreien. Unsere Daten – und mit einer gewissen Wahrscheinlichkeit auch manche Ihrer Firmendaten – liegen längst in unsicheren Gefilden.

Manche Ihrer Firmendaten? Ja. Anwender wollen effizient arbeiten. Dazu nutzen sie aktuelle Werkzeuge und Dienste, die sie kennen und die einfach funktionieren – besser als das meiste, was das Unternehmen ihnen zur Verfügung stellt. Dazu gehören heute sehr oft auch Facebook für effiziente Kommunikation, DropBox für einfaches Übermitteln von (großen oder per Mail blockierten) Dateien oder den flexiblen Zugriff auf Daten jederzeit von jedem Gerät. Unternehmen wie Microsoft, die mit ihren Produkten in nahezu jeder Firma zum Inventar gehören, schlagen unter anderem mit Skype und SkyDrive in die selbe Kerbe – und haben das selbe Problem (zusätzlich zu der wie auch bei Google per AGB definierten Un-Vertraulichkeit der dort abgelegten Daten gegenüber dem Betreiber selbst).

Was also können wir tun? Den Anwendern geben, was sie wollen – was sie für ihre Arbeit sogar brauchen – ohne selbst die Kontrolle zu verlieren – geht das?

Zunächst müssen wir uns der Situation bewusst werden und uns eingestehen, dass es in der Regel gar nicht mehr darum geht, die Kontrolle nicht zu verlieren, sondern darum sie wieder zu gewinnen. Consumerization ist Fakt. Anwender benutzen Skype, sie benutzen Facebook, sie benutzen DropBox. Nicht nur während der Arbeitszeit, sondern auch explizit für geschäftliche Belange. Falls Sie das nicht glauben, lassen Sie uns es Ihnen zeigen.

Gefragt ist also eine IT-Strategie, die effiziente Arbeitsstile und dynamische Zusammenarbeit mit der notwendigen Sicherheit vereint, und die Mitarbeiter damit positiv abholt. Diese Strategie muss mehrere Komponenten beinhalten, von den eigentlichen Lösungen zur Zusammenarbeit bis hin zur Web Content Security, mit der die Nutzung der unsicheren Dienste dann verlässlich unterbunden werden kann, nachdem das Unternehmen eigene Wege bereitgestellt hat.

Neben der strategischen Beratung stellen wir Ihnen dazu auch gerne konkrete Lösungen für die wichtigsten Bereiche der modernen und effizienten Zusammenarbeit vor:

Follow-Me-Data: Das DropBox-Problem lösen. Die äußerst praktische und effiziente Funktionalität Enterprise-tauglich und sicher bereitstellen. Das geht mit Citrix ShareFile; grundsätzlich auch ein Cloud Service, aber mit der Möglichkeit, den Ablageort ins eigene Rechenzentrum zu verlegen (Own Storage Zone). Somit sind die Daten nicht nur während der Übertragung und am Ablageort verschlüsselt (encrypted in transit & at rest), sondern die Erreichbarkeit und der genutzte Speicher selbst sind auch vollständig unter Kontrolle des Kundens. Viele weitere Funktionen neben der Erreichbarkeit von jedem Endgerät, Sync Clients für alle gängigen Plattformen vom PC und Mac bis zum Smartphone bis hin zum Outlook Plug-In, das Anhänge automatisch via ShareFile übermittelt und/oder dem Gegenüber eine Upload Möglichkeit bereitstellt, runden den Leistungsumfang ab.

Collaboration: Skype ist so praktisch. Bei Facebook ist eh jeder. Ja, aber wollen Sie Ihre Daten denn auch mit jedem teilen? Wäre es nicht besser, Ihre Mitarbeiter unternehmensweit mit Microsoft Lync zusammen arbeiten zu lassen? Eine eigene Collaboration Plattform – zum Beispiel auf Basis von SharePoint – Cloud-ready zu machen und sicher bereitzustellen? Für alle drei Aufgaben haben Sie den richtigen Partner gefunden. So sagt Andreas Goretzky, IS Global Director, IT Governance & Compliance, Hellmann Worldwide Logistics GmbH & Co. KG, nach unserem gemeinsamen Projekt:

„Aufgrund der guten Erfahrungen, die wir beim Betrieb unseres Kunden- und  Mitarbeiterportals mit NetScaler gemacht haben, wollen wir die Technologie noch für weitere Web-Anwendungen nutzen. Unter anderem denken wir darüber nach, auch unsere E-Commerce-Angebote und EDI-Systeme über die Plattform bereitzustellen.“

E-Mail: Für das immer noch äußerst wichtige Medium E-Mail ist die Hauptsorge, dass die Einführung einer Verschlüsselungslösung komplex und der Betrieb aufwändig sein könnte. Auch diese Angst möchten wir Ihnen nehmen: Wir statten seit vielen Jahren Unternehmen mit Möglichkeiten zu transparenter und sicherer E-Mail-Verschlüsselung und -Signatur aus. Wolfgang Lindner, Verantwortlicher für IT-Network-Management der Hannover Rückversicherung SE, resümiert unser gemeinsames Projekt entsprechend:

„Im Rahmen von globalen Sicherheitsprojekten defi­nierte Anforderungen an den siche­ren Informationsaustausch konnten nun erfüllt werden, ohne dass das Medium E-Mail an Attraktivität für die Anwender verlor – die Handha­bung ist transparent und für interne Benutzer wie gewohnt.“

Content Security, Data Loss Prevention: Das Clearswift SECURE Web Gateway sichert den wichtigsten Ausreisekanal von Daten und Informationen der heutigen Zeit mit granularen Regeln und tiefen Einsichten in die Nutzung des Mediums „Web“. Sowohl zum Schutz als auch zur Erfolgskontrolle der umgesetzten Lösungsstrategie erweist es sich als wichtiger und sehr leistungsfähiger Baustein.

Sie erreichen uns zu allen diesen und mehr Themen auf den üblichen, unsicheren Wegen: 0511 – 260 911 0, nm[at]consulting-lounge.de oder service[at]michael-wessel.de – aber wir kommen dann auch gerne zum Gespräch zu Ihnen und lassen alle Kommunikationsvermittler außen vor.

 

Weitere interessante Quellen zum Thema:

# Autor und Kolumnist Mike Elgan über die Vermutung, die chinesische Regierung könnte den Leak zu verantworten haben

# Der Whisteblower Edward Snowden im Interview nach seiner Flucht nach Hong Kong

NetScaler als „Next Generation Firewall“ (Teil I)

Stichworte wie Deep Packet Inspection kennzeichnen die Fähigkeit von Next Generation Firewalls, den Daten-Teil von Paketen zu untersuchen statt wie bisher ausschließlich die Header- und Meta-Informationen. Es ist heute nicht mehr ausreichend, lediglich anhand äußerer Merkmale wie IP und Port über die Zulässigkeit einer Kommunikation zu entscheiden, denn es ist fraglos, dass Web Traffic grundsätzlich zugelassen werden muss, der die Basis der Dienste und Applikationen der meisten aktuellen Anwendungslandschaften darstellt. Jedoch steckt die Gefahr für die Infrastruktur und vor allem für die Unternehmensdaten nun im Payload dieser Kommunikation, in den HTTP Methoden und eingebetteten Objekten, Skripten und so weiter.

Klassische Firewalls sind auf diesem Auge blind, die Hersteller versuchen gegenüber den Angreifern aufzuholen, indem sie DPI in ihre Produkte einbauen und neue Techniken anflanschen. Die Architektur und Arbeitsweise von Firewalls sind dafür aber oft nicht ausgelegt, so dass die Performance und Stabilität einer Lösung nicht nur durch den enorm hohen zusätzlichen Aufwand, sondern auch durch strukturelle Schwierigkeiten erheblich sinken und bestimmten Anforderungen überhaupt nicht mehr gewachsen sind.

Citrix NetScaler arbeitet als Application Delivery Controller seit jeher Applikations-zentriert mit einem Schwerpunkt auf Verfügbarkeit, Performance und Sicherheit für Web Applikationen. Seine gesamte Architektur ist ausgelegt und optimiert für die Bereitstellung, Kontrolle und Sicherung auf Basis von Inhalten der Kommunikation. Die Web Application Firewall ist dabei die Speerspitze der Sicherheit für heutige Anwendungen von einfach Websites über Web 2.0 Applikationen bis hin zu XML-basierten Services.

Auf der anderen Seite ist NetScaler keine Netzwerk-Firewall, so dass Stateful Inspection Firewalls weiterhin ihre Existenzberechtigung haben. Eher statische Paketfilterregeln können allerdings auch mit NetScaler ACLs sehr effizient abgebildet werden.

Auch für die wohl kritischste Komponente des Internet bietet NetScaler Optimierung und Sicherheit: DNS. Der leistungsstarke DNS Service von NetScaler arbeitet als authoritativer Nameserver oder auch als DNS Proxy vor den eigentlichen Nameservern. Er unterstützt in beiden Szenarien vollständig die Sicherheitserweiterung DNSSEC, die vor verbreiteten Angriffen auf das Domain Name System schützt, indem Einträge signiert werden.

Cloud Gateway Theme für NetScaler 9.3 & 10

 Das native Look & Feel des Cloud Gateways (repräsentiert durch den Storefront Web Access) bringt mal wieder neue Optik für Citrix User. Damit dieser Look durchgängig auch im Access Gateway Enterprise und den AAA Seiten des NetScaler zur Verfügung steht, gibt es jetzt nicht nur vorgefertigte Themes, sondern sogar ein bequemes Skript für die Implementierung unter http://blogs.citrix.com/2012/04/19/green-bubble-theme-for-citrix-netscaler/.

Derzeit hat das Skript noch einen kleinen Fehler bei der Verwendung des Arbeitsverzeichnisses, weshalb man am Ende das Skript noch manuell nach „/var/vpn/customizations“ kopieren muss, damit auch nach einem Reboot das Theme wieder angewendet wird.

Der initiale Download des Skripts kann direkt auf dem NetScaler (in der Shell) erfolgen:

curl http://cdn.ws.citrix.com/wp-content/uploads/2012/04/GreenBubble.txt > /tmp/GreenBubble1.sh

(oder GreenBubble2.sh, siehe Erläuterungen im o.g. Blogpost)

Dann das Skript ausführbar machen, laufen lassen und – Stand heute noch nötig – manuell ins Customizations Verzeichnis kopieren:

chmod +x /tmp/GreenBubble1.sh
/tmp/GreenBubble1.sh
cp /tmp/GreenBubble1.sh /var/vpn/customizations/

 

Most Certified Citrix Networking Partner

Zwar gibt es keine offizielle Auszeichnung dafür, aber nach unserem Kenntnisstand sind wir mindestens für Deutschland der most committed und vor allem most certified Citrix Networking Partner: Stand heute haben wir 5 (fünf) Citrix Certified Administrators (CCA) für Citrix NetScaler und einen Citrix Certified Instructor 2012 for Networking (CCI, der natürlich auch CCA für NetScaler und Access Gateway Enterprise ist) im Team.

Das musste einfach mal gesagt werden. 😉

Lastverteilung und Desaster Recovery über verteilte Rechenzentren

Featuring: Global Server Load Balancing (GSLB)

Ein Unternehmen mit hohen Anforderungen an die Verfügbarkeit seiner Services möchte die Anfragen seiner Benutzer über  zwei geografisch getrennte Rechenzentren verteilen. Wie beim Load Balancing innerhalb einer lokalen Serverfarm wird durch den einheitlichen Eingangspunkt – hier in Form eines Hostnamens statt einer IP-Adresse – und die Verteilung auf verfügbare Server neben einer höheren Leistungsfähigkeit gleichzeitig eine höhere Verfügbarkeit erreicht.

Um die Verfügbarkeit auch innerhalb jedes einzelnen Rechenzentrums zu gewährleisten, erfordert dieses Szenario ein HA Paar aus zwei NetScalern je RZ (z.B. in unterschiedlichen Brandschutzzonen).

Die Funktionsweise des GSLB  ist dann wie folgt: Ein Client möchte auf den Service unter „ica.customer.org“ zugreifen und sendet daher eine DNS Anfrage nach diesem Namen. Der autoritative Nameserver für die Zone „customer.org“ hat für diesen Namen einen CNAME Eintrag, der auf „ica.gslb.customer.org“ verweist, sowie eine Subzone „gslb.customer.org“, die an zwei Nameserver delegiert ist. Diese Nameserver sind die ADNS Service VIPs der beiden NetScaler-Paare. Um die Anfrage zu beantworten, stellt der Resolver also wiederum eine DNS Anfrage nach „ica.gslb.customer.org“ an einen der NetScaler. Dieser bestimmt anhand der konfigurierten GSLB Parameter und des Servicestatus die zurück zu liefernde IP-Adresse und nennt diese als Antwort. Der Client bekommt diese IP-Adresse als Antwort auf seine DNS Anfrage und baut seine Verbindung dann zu der durch die NetScaler bestimmten IP auf.

Die Entscheidung, welche IP auf eine bestimmte Anfrage zurückgeliefert wird, basiert auf den eingestellten GSLB Parametern und Methoden (u.a. Round Robin, Least Connection oder Round Trip Time). Zum Austausch der Statusinformationen, die zur Entscheidung erforderlich sind, sowie von Persistenzinformationen nutzen die NetScaler zwischen den verschiedenen Rechenzentren dabei das Metric Exchange Protocol (MEP). Je Site kommt für diese Kommunikation noch eine weitere IP-Adresse ins Spiel, nämlich die GSLB Site IP, die aber ebenso eine bestehende SNIP oder MIP sein kann wie die ADNS Service IP.

Workshifting mit XenApp und Lync

Heute mal ein kurzer Schnappschuss aus der Praxis, der zeigt, dass „Workshifting“ und das Versprechen mit dem Arbeiten jederzeit, von jedem Ort, mit jedem Endgerät, nicht nur bei den Herstellern funktioniert.

Heute arbeite ich über eine UMTS-Verbindung von ANYPLACE aus. Morgens den Citrix Receiver angeklickt, LogOn mit Benutzername, Passwort und per Blackberry generiertem OTP. In der XenApp Session (hinter einem Access Gateway Enterprise natürlich) läuft der Lync Client, in dem ich mit drei Klicks die Anrufumleitung auf meinen Blackberry aktiviere (gestern war ich noch im Office). Wer nicht auf meine Statusnachricht achtet, merkt nicht, dass ich gar nicht im Haus bin.

Einen externen Anrufer verpasse ich anzunehmen, so dass er bei unserem Servicedesk landet. Die Telefone dort hängen zwar noch an der parallel laufenden VoIP Anlage, aber auch die ist transparent über das Media Gateway verbunden. So stellt der Kollege den Anruf ganz normal auf meine interne Durchwahl durch und übergibt den externen Anrufer von der VoIP TK über Lync an meinen Blackberry, ohne sich darüber Gedanken machen zu müssen.

Ein anderer Kollege möchte mal mit mir gemeinsam einen Sachverhalt begutachten und ruft mich dazu an. Zwar kann ich nicht kurz vorbeikommen, aber er gibt seinen Desktop per Lync frei, so dass wir gemeinsam sehen, agieren und darüber sprechen können – ganz so als säßen wir gemeinsam vor dem Schirm.

Sollte ich später doch noch in einem Office auftauchen, setze ich mich dort an einen Arbeitsplatz, melde mich an und verbinde meine XenApp Session, die ich in der Zwischenzeit vielleicht auch aus dem Zug noch mal aufgerufen habe, um auf dem Tablet an einem Text weiter zu schreiben, und arbeite genau an der Stelle weiter, wo ich vorher aufgehört habe.

Abgesehen vom letzten Teil habe ich das heute schon alles so praktiziert. Da ich nicht mit dem Zug unterwegs bin, entfällt dieser Teil wohl auch, aber es kommt vor. Und das ist schon cool. 🙂

Citrix acquires Cloud.com

Citrix geht massiv den Cloud-Weg: Sie sind Gründungsmitglied der OpenStack-Initiative, haben auf der diesjährigen Synergy das daraus entspringende „Project Olympus“ vorgestellt und kaufen mit Cloud.com jetzt einen Hersteller/Provider eines Cloud Stacks (Produktname: CloudStack), der die strategische Ausrichtung auf Offenheit und Cloud weiter verdeutlicht.

Alle Details auf der gemeinsamen Landing Page von Citrix und Cloud.com.

Vortragsfolien: Herausforderungen beim Arbeiten in der Wolke

Vielen Dank für das große Interesse an dem Vortrag im Heise Forum auf der CeBIT!

Zwar findet natürlich der Großteil des Inhalts auf der Tonspur statt, aber erste Anregungen und Hilfestellungen vermitteln auch schon die Vortragsfolien, weshalb wir sie hier zum Download bereitstellen: ConsultingLounge_CeBIT2011_Herausforderungen beim Arbeiten in der Wolke

Mir ist zunächst wichtig, etwas Bodenhaftung in das Wolken-Thema zu bekommen. Im ersten Teil findet daher eine Positionsbestimmung statt, was – fragen Sie mal einen Piloten – ohne die richtigen Instrumente ziemlich schwierig ist in einer Cloud. Auch in der IT ist derzeit die zentrale Herausforderung, eine gemeinsame Auffassung davon herzustellen, wovon wir eigentlich reden, wenn es um „Cloud“ geht.

Die inflationäre Verwendung des Labels trägt nicht zu den Zielen bei, die wir als Berater haben: Klarheit. Orientierung an konkreten Anforderungen und Nutzen.

Dann wenden wir uns den Bereichen zu, in denen die Herausforderungen bestehen, die man bedenken und behandeln muss, wenn es um die Transition von Services (Leistungen, Diensten, Anwendungen) in die Cloud geht. Diese sind sowohl technischer als auch betriebswirtschaftlicher Natur. Ein Berater-Team sollte beide Seiten abdecken, denn eine einseitige Herangehensweise wird nicht zu einem sicheren und erfolgreichen Ziel führen.

Ziele sind es aber, die beim Weg in die Wolke als erstes definiert werden müssen. Warum wollen Unternehmen überhaupt in die Cloud? Was sind meine Optimierungsziele? Dazu muss zuerst herausgefunden werden, welche Services das Unternehmen betreibt und benötigt und was diese im aktuellen Produktionsmodell kosten und leisten – sonst kann keine Entscheidung getroffen werden, ob durch den Einsatz eines Cloud Modells überhaupt Verbesserungen erzielt werden.

Kommen Sie mit weiteren Fragen gerne auf uns zu – Kontaktdaten finden Sie unter anderem in den Folien.

Vortrag: Herausforderungen beim Arbeiten in der Wolke

CeBIT, 2. März 2011, 15:15 Uhr, Heise Forum Sicherheit und IT-Recht (Halle 5, E38)

Was Sie auf dem Weg zum Cloud Computing bedenken sollten

 Stell‘ Dir vor, alle reden von Cloud und keiner geht hin. Der deutsche Mittelstand zögert. „Cloud“ ist viel zu nebulös, um allgemeingültige Aussagen über den Nutzen zu treffen. Die Consulting»Lounge kann Sie als Nebelscheinwerfer auf dem Weg in die Cloud unterstützen. Wir stellen die Herausforderungen vor, die auf diesem Weg zu bedenken sind, der schon ein ganzes Stück vor der Wolke beginnt und nicht zwingend hinein führt.