Sicherheitsmanagement

Netzwerksicherheit

Bedeutung Netzwerksicherheit
Sicherheitsrichtlinien
Sicherheitstools
Wireless Sicherheit
WEP
EAP
Sicherheitsmanagement
IEEE 802.11 Normen
Cisco CCX

WLAN Dienstleistungen

Authentifizierung

Der Authentifizierungsprozess beginnt damit, dass eine Station Zugang zum Netzwerk begehrt und eine entsprechende Anforderung sendet. Das Weiterleiten des von der Station ausgehenden Authentifizierungsverkehrs zum und vom Server erfolgt durch den „Authentifizierer“.
Bei Eingang einer Authentifizierungsanfrage fordert der Server von der Station entsprechende Informationen an. Auch die Station kann vom Server bestimmte Informationen anfordern. Dieser Prozess wird „gegenseitige Authentifizierung“ genannt.
Die Authentifizierungsinformationen werden durch eine Abfolge von „Challenge“ (Herausforderung) und „Response“ (Rückmeldung) zwischen dem Server und der Station auf ihre Gültigkeit geprüft. Bei dieser „Challenge-Response“-Prüfung werden Informationen verwendet, die sowohl dem Server als auch der Station bekannt sind, von denen Dritte aber nichts wissen.

Die Intermec-Implementierung verwendet das Protokoll TLS (Transport Layer Security). TLS ist die standardisierte Version des Protokolls SSL (Secure Sockets Layer), das besonders für den E-Commerce über das Internet verwendet wird.

Terminologie

Für eine erweiterte Sicherheit müssen innerhalb der Zugangspunkte und Datenfunk-Clientstationen neue Funktionen hinzugefügt werden. Darüber hinaus ist ein Authentifizierungsserver erforderlich.

Authentifizierungsserver: Enthält eine Datenbank mit allen gültigen Benutzernamen und Kennwörtern, die vom Kunden verwaltet wird. Die meisten führenden Unternehmen (einschließlich Intermec) haben sich bei der Wahl ihres Authentifizierungsservers für RADIUS (Remote Access Dial In User Services) entschieden.
Authentifizierer: Der Zugangspunkt funktioniert als Makler oder Mittler zwischen dem Client und dem Authentifizierungsserver, bis der Client authentifiziert ist und Zugang zum Netzwerk erhalten hat. Nach der Authentifizierung sorgt der Zugangspunkt dafür, dass der Client in den WEP-Schlüsselrotationsprozess eingebunden wird, bis sich der Benutzer wieder abmeldet oder der Gültigkeitszeitraum der Authentifizierung abgelaufen ist und der Benutzer sich erneut authentifizieren muss.
Supplikant: Client nach 802.1x. „Supplikant“ heißt wörtlich Bittsteller und bezeichnet also jemanden, der unterwürfig um etwas ersucht. Ein Client, der als Supplikant auftritt, muss erst seine Authentifizierungsinformationen (Sicherheitszertifikate, Benutzername und Kennwort) bereitstellen, um als vertrauenswürdig zu gelten.

Sichere Zugangspunkte sind mit einer Authentifizierer-Funktion und sichere Clients sind mit einer Supplikanten-Funktion ausgestattet. Zwischen Authentifizierer und Supplikant werden EAP-Frames ausgetauscht. Der Authentifizierer kann entweder selbst auf EAP-Frames reagieren oder den Inhalt von EAP-Frames zum bzw. vom Server weiterleiten.
Er hat außerdem die Aufgabe sicherzustellen, dass nur authentifizierte Stationen Zugang zum Netzwerk haben. Eine nicht authentifizierte Station kann nur mit dem Authentifizierer oder dem Server kommunizieren.

Datensperre

Der Authentifizierer (Zugangspunkt) leitet Authentifizierungsanforderungen des Supplikanten (Client) an den Authentifizierungsserver weiter. Es ist nur Authentifizierungsverkehr zulässig. Der Zugangspunkt kapselt den 802.1X-Verkehr in Authentifizierungsserververkehr ein (und umgekehrt).
802.1x-Port-Sicherheit: Der Zugangspunkt sperrt den Zugang zu allen Netzwerkressourcen, bis die Station authentifiziert ist.

Authentifizierung

Während des Authentifizierungsprozesses empfängt der Supplikant einen Sitzungsschlüssel.

Sicherheitszertifikat: Digitaler Identitätsnachweis, der weder übertragbar ist noch gefälscht werden kann und im Normalfall von einer Zertifizierungsstelle (Certificate Authority, CA) ausgestellt wird, der sowohl der Client als auch der Server trauen. Hacker versuchen, einen solchen Nachweis eher zu stehlen als ihn zu fälschen. Zertifikate enthalten die folgenden Informationen:
Identität des Inhabers (Name, Firma, Adresse usw.)
öffentlicher Schlüssel des Inhabers
Gültigkeitszeitraum
Seriennummer

Öffentlicher und privater Schlüssel: Diese digitalen Schlüssel, die im Sicherheitszertifikat enthalten sind, ermöglichen eine Überprüfung, ob der Eigentümer des Zertifikats auch wirklich derjenige ist, der es signiert hat. Sie funktionieren wie folgt:
Eine verschlüsselte Nachricht kann von jeder Person entschlüsselt werden, die den öffentlichen Schlüssel des Absenders kennt.
Das Verschlüsseln der Nachricht ist nur dem Absender möglich, da dieser den privaten Schlüssel besitzt.
Nachrichten, die mit dem öffentlichen Schlüssel verschlüsselt wurden, können nur mit dem privaten Schlüssel entschlüsselt werden.

Nach der Authentifizierung wird der Sitzungsschlüssel abgeleitet (jedoch nicht per Funk übertragen) und für die gesamte Kommunikation mit diesem Clientgerät verwendet. Die Schlüssel sind dynamisch, benutzer- und sitzungsspezifisch und können durch erneute Authentifizierung automatisch geändert werden. Dieser Prozess entspricht den IEEE 802.1x-Spezifikationen.

Intermec bietet „Secure-Context Roaming“ (einer der wichtigsten Vorteile unserer „Spanning Tree“-Technologie), sodass Clients von einem Zugangspunkt zu einem anderen wechseln können („Roaming“), ohne sich erneut anmelden zu müssen. Dies ermöglicht Benutzern mehr Flexibilität ohne Einbußen bei der Sicherheit.

Schlüsselverteilung

Der Zugangspunkt verwendet jetzt den Sitzungsschlüssel, um den WEP-Schlüssel an den Laptop weiterzuleiten. Nach erfolgreicher Authentifizierung lässt der Zugangspunkt den gesamten Verkehr zum Datenfunk-Laptop passieren. Die übertragenen Daten werden mithilfe der WEP-Schlüssel verschlüsselt.

EAP: Abkürzung für „Extensible Authentication Protocol“, wobei „Extensible“ bedeutet, dass dieses Protokoll durch andere Protokolle erweitert werden kann.

Regelmässige Schlüsselrotation

Wie bereits erwähnt verhindert die Schlüsselrotation, dass Schlüssel von Hackern geknackt werden können. Die Schlüsselrotation wird in einem vorprogrammierten Intervall durch den Zugangspunkt initiiert. Dabei kommt das Protokoll EAP zum Einsatz, und die Datenverschlüsselung erfolgt auf der Grundlage der Informationen, die vom Sicherheitsserver bei der ersten Schlüsselverteilung an den Zugangspunkt und die Station gesendet wurden.
Bei der Schlüsselrotation findet keine Kommunikation mit dem Sicherheitsserver statt.

Erneute Authentifizierung

Zur Erhöhung der Sicherheit kann der Authentifizierungsprozess hin und wieder wiederholt werden.Eine erneute Authentifizierung kann nach dem Ausschalten einer Station oder regelmäßig entsprechend der Konfiguration des Authentifizierungsservers oder Zugangspunkts erfolgen.

Mobile Lösungen

 

Transport/Logistics

Anlageninventur
Flottenmanagement
Instandhaltung
Materiallager
Mobile Dokumentenerfassung

Retail

Anlageninventur
Leergutmanagement
Servicemanager
Verkaufsaussendienst
Zeiterfassung

Consumer Goods

Anlageninventur
Gastgewerbe
Materiallager
Servicemanager
Verkaufsaussendienst
Zeiterfassung

Industrial

Anlageninventur
Instandhaltung
Materiallager
Service
Servicemanager
Zeiterfassung

Healthcare/Government
Anlageninventur
Instandhaltung
Lagerverwaltung unter SAP
Materiallager
Zeiterfassung

---

Softwaretools
MCL Collection
VT220 - 3270 - 5250 TE
Denso BHT Tools
OPAL Launch
Denso Software
SAPConsole
SAP Labelmanagement
SAP ITSMobile
WebSAPConsole
RTC Server
Drucken aus Android

---

Handheld Geräte

Industrie PDA

Alte Windows PDA
Alte Linux PDA
Alte DOS GPRS Terminal

WLAN Infrastruktur
WLAN Infrastruktur
WLAN Sicherheit Airdefense

Peripherie
WLAN und GPRS
mobile Drucker
Schutzhüllen

---

Support
robuste Handhelds
WinCe / PocketPC
Netzwerksicherheit
Sicherheit im WLAN
Akkucheck für MDE

Weitere Ressourcen

 

Kontakt Schweiz
Zürich

Lausanne

Kontakt Deutschland

Bodenseee
München
Frankfurt
Hamburg
Köln

Kontakt Österreich
Bregenz
Wien

Kontakt Dänemark
Hedensted

Online
Preis Anfrage
Support Anfrage

Impressum
Impressum