Acer verzögert das Android Update und weiterhin gibt es keine native Office Lösung. Damit man das Tab im Büroalltag einsetzbar ist, muss man nun Applikationen Remote nutzen. Klassisch fällt nun meist die Wahl auf Citrix ICA oder Microsoft RDP. Bei RDP kein Problem, kurz den 2X Client installiert und schon geht es los. ICA hingegen, weigert sich vehement eine Anwendung zu starten. Der Citrix Revicer wird zwar in den Speicher geladen, aber mehr passiert leider nicht. Solltet Ihr über eine VDI Struktur als Alternative nachdenken, dann funktioniert auch nur Microsoft oder VM-Ware. Hoffentlich liefert Citrix schnell ein Update.


 
Categories: Cloud

In Teil 1 habe ich beschrieben, wie man Daten innerhalb der Cloud sichert. In diesem Artikel möchte ich auf ein etwas komplizierteres Thema eingehen. Email Verschlüsselung ist nicht nur ein Thema für eine Cloud basierte Email Kommunikation, aber hierbei ist der Stellenwert noch höher. Wie immer zählen für mich bei solchen Lösungen Transparenz, Plattformunabhängigkeit und Standards. Zur sicheren Email Kommunikation setzte ich dabei immer auf den PGP Standard, um genau zu sein OpenPGP. Infos zum PGP Verfahren findet ihr hier: PGP - Verfahren 

Plattform unabhängig wird man wenn man ein Gateway im Drop-in Modus verwendet, bei dem der Datenstrom über das Gateway abgewickelt wird und dort Ver- und entschlüsselt wird. Bei bis zu 500 Usern reicht dafür auch ein Gateway mit nur 1 netzwerkkarte aus. Wie immer gilt die Grundregel, dass bei Cloud basierten Systemen das Key-Management innerhalb des eigenen Unternehmen bleibt und nur Verschlüsselte Daten transportiert werden. Die meisten Gateway haben noch keine direkte Verbindung zum Verzeichnisdienst können aber eine CSV Datei der User mit der eindeutigen Zuordnung der Emailadresse importieren. Entscheidend ist die Reihenfolge der Felder beim Export der Daten.

Wenn man klassisches PGP nutzen will, dann ist die Verschlüsselung immer Anwender bezogen und durch ein eindeutig zugeordnetes Schlüsselpaar gesichert. Soll eine domänenbasierte End-to-End Verschlüsselung realisiert werden, so benötigt man auf  beiden Seiten ein Gateway, da sonst immer nur eine Absenderadresse verwendet wird, was häufig zur Einstufung als SPAM führt. Regelbasiert muss man nun definieren, wie und wann die Verschlüsselung angewendet wird.

  • Immer für einen User gültig – Alle Emails werden automatisch verschlüsselt
  • Abhängig von der Zieldomäne – Nur Email an eine Zieldomäne werden verschlüsselt.
  • Abhängig von der Zieladresse – Nur Email an einen bestimmen Empfänger werden verschlüsselt
  • Abhängig von definierten Schlagwörtern – Wenn z.B. das Wort “Vertraulich” im Betreff gefunden wird, dann wird die Email automatisch verschlüsselt

Drop-in Modus ist mit wenigen Schritten zu realisieren:

  1. Die zu managende Domäne eintragen (Eigene Domäne)
  2. Den Server angeben über den die Mails dann versendet werden (relaying)
  3. Sende Connector im Email Server auf Smarthost umstellen (PGP Gateway)

Nun wird der gesamte Email Datenstrom über das PGP Gateway umgelenkt und regelbasiert verschlüsselt. Auf dem Client muss keine zusätzliche Software installiert werden. Es muss keine Anpassung im Email Client vorgenommen werden, was den Einsatz aller Geräte ermöglicht (Smartphone, Slate PC, verschiedene Betriebssysteme). Eine kleine Ausnahme ist hier der Email Zugriff über eine Weboberfläche. Um diesen Zugriff zu sichern, muss neben der Email Verschlüsselung auch der Transport der Email abgesichert werden (TLS – Transport Layer Security). Im Gateway wird die URL für dem Web-Zugriff umgelenkt wodurch die Email nicht entschlüsselt wird, sondern komplett verschlüsselt zum Empfänger transportiert wird und dort als Anhang in einer Email bereitgestellt wird. Öffnet man diese Email, dann fordert das System zur Eingabe des Kennworts auf. Erst danach kann die Email im Klartext gelesen werden.

Antwortet man auf eine mit PGP verschlüsselte Email, dann wird diese Antwort automatisch verschlüsselt und gesichert übertragen. Für Cloud Dienste sollte man das Gateway so konfigurieren, dass selbst interne Emails verschlüsselt werden und der Transportweg auch gesichert ist. 

Neben der PGP Verschlüsselung kann auch eine interne (oder externe) PKI eingebunden werden, schneller und einfacher geht es mit dem sicheren PGP Standard. OpenPGP ist 100% Kompatibel zu den kommerziellen PGP Versionen. Selbstverständlich ist das PGP Schlüsselpaar verschlüsselt auf dem Gateway gespeichert. Hat ein Benutzer bereits ein altes Schlüsselpaar, dann kann man diese über Import Schnittstellen einem Konto zuordnen, um bereits verschlüsselte Email weiterhin lesen zu können. Systembackups sind verschlüsselt und nur über das Gateway lesbar.

Bei der Auswahl des Cloud Providers ist darauf zu achten, dass man Zugriff auf die Konfiguration über den Sendeconnector bekommt, damit der Drop-in Modus konfiguriert werden kann. Die Email Datenbank sollte auch einem verschlüsselten Laufwerk liegen, welches in Teil 1 beschrieben worden ist.

Für Fragen stehe ich gerne zur Verfügung Smiley

Viel Spaß

Frank

MVP_Horizontal_FullColor_thumb


 
Categories: Cloud | Networking | Security

Immer wieder wird mir die gleiche Frage gestellt, wenn ein Kunde sich über die Möglichkeiten der Cloud-Nutzung im Unternehmen informiert.

Wie kann ich meine Daten schützen, wenn diese gar nicht mehr auf meinen Festplatten gespeichert sind?

Na ganz einfach: Transparente Datenverschlüsselung!

Selbstverständlich kommt nun die Frage: Was ist das und wie funktioniert so was?

Unter einer transparenten Datenverschlüsselung versteht man ein System, welches für den Anwender nahezu unsichtbar die Daten ver- und entschlüsselt, wenn er diese Speichert oder liest. Damit nicht genug, denn der Transportweg zum Zielspeicher sollte selbstverständlich auch verschlüsselt sein (TLS, Transport Layer Security). Weiterhin muss diese Lösung problemlos in einer virtuellen Desktop Infrastruktur (VDI) und Terminal Server Umgebung funktionieren. Gleiches gilt auch für den nativen Support von 64-Bit Architekturen.

Hat man ein solches Konzept geplant, kommt meist die interne Anforderung, dass man Daten so schützen kann das selbst die eigenen Administratoren keinen Zugriff erhalten können. Betriebsräte, Firmenärzte, Personalabteilung, Forschung und Entwicklung und das Management haben immer diese Anforderung, welche bei Nichterfüllung ein No-Go für das ganze Projekt sind.

Die Forderung der Gewaltentrennung macht den Einsatz von EFS (Encryptet File System) somit unmöglich, weil der Administrator als Recovery Agent immer in der Lage ist an die Daten zu kommen.

Hierzu wird eine separate Software genutzt, welche Rollen und Gruppen basiert die Verschlüsselung individuell für den Anwender sicherstellt. Auf dem Client PC oder oder in der virtuellen Umgebung wird eine Clientsoftware installiert, die eine eigene Authentifizierung nutzt. Achtung, Single Sign on (SSO), ist hier ein schweres Sicherheitsrisiko, weil ein Administrator ein Konto einfach übernehmen könnte und somit wieder Zugriff auf die Daten erhält! SSO NIEMALS aktivieren!!!!!

Die Software stellt Personenbezogene Zertifikate aus, kann aber auch vorhandene Zertifizierungsstellen einbinden. Sollte der Anwender sein Kennwort vergessen, dann kann nur er persönlich ein neues Kennwort anfordern, weil dieses aus seinem Profil heraus initiiert werden muss. Über ein 4-Augen Prinzip wird das neue Kennwort erzeugt und dem Anwender zur Verfügung gestellt. Hierbei handelt es sich um ein Einmal Kennwort, dass sofort nach Eingabe geändert werden muss. Sämtliche Vorgänge werden Revisionssicher in einer verschlüsselten Datenbank protokolliert um Missbrauch zu unterbinden.

Ist die Lösung implementiert, dann können die Daten beim Cloud-Provider von einem Rechenzentrum zum Anderen wandern ohne das man Angst haben muss das diese gelesen werden oder verloren gehen. Das Keymanagement bleibt immer in der eigenen Hoheit genau wie das Gateway zur Verschlüsselung der Daten. Alles was hinter dem Gateway passiert ist dann nur noch Kauderwelsch, sollte der Datenstrom über eine Man in the Middle Attacke abgehört werden.

Für Fragen stehe ich gerne zur Verfügung Smiley

Frank

MVP_Horizontal_FullColor

Enterprise Security


 
Categories: Cloud | Security | Software

July 6, 2011
@ 09:53 PM

In meinem letzten Artikel hatte ich ja bereits erwähnt, dass es nativ nur schwer möglich ist einen Business Einsatz für das Acer Iconia zu finden. Ich habe zumindest eine relativ bequeme Möglichkeit gefunden, wie man damit arbeiten kann. Man nutzt das Tab als Viewer für eine VDI Struktur oder per RDP. Auf dem Marktplatz wird der 2X Client kostenfrei angeboten, mit dem man Windows basierte RDP Session öffnen kann und dann ganz normal auf dem Windows Client arbeiten. Alternativ bietet der Client auch 2X Verbindungen an, um auch mit Linux basierten Clients arbeiten kann. Die Konfiguration ist denkbar einfach.

  • Hostname oder IP
  • Port
  • Anmeldename
  • Passwort
  • Konsole  (optional)
  • Name der Verbindung

Schon hat man die Verbindung gespeichert und kann ganz normal arbeiten. Tastatur und Maus werden per overlay eingeblendet und mit allen Funktionen unterstützt. Die ganze Lösung ist für LAN basierte Verbindungen ausgelegt und ist sehr stabil und sehr performant.

Richtig klasse wird es mit der WYSE Pocket Cloud! Der Hammer, mehr kann man da nicht sagen. Danke an Frank Schiewe für den genialen Tipp!!! Über den Markplatz lädt man die Pocket Cloud für Android runter. Für das zu kontaktierende System (PC oder Mac) lädt man das runter. Nun benötigt man nur noch einen Gmail Account, um die beiden Komponenten zu konfigurieren. Nach erfolgreichem Login stellt die Android Pocket Cloud über das Internet eine Verbindung zu dem Companion her und man kann zwischen RDP und VNC auswählen. Auch diese Lösung glänzt durch Performance und Stabilität. Die gewünschte Verbindung muss aus dem Internet erreichbar sein, sonst geht es natürlich auch nur per LAN.

!!!!! Wichtiger Hinweis !!!!!

Wenn man seinen Router öffnet und einen Port ins Internet stellt, dann muss dieser je nach Hardware speziell gesichert werden! Niemals sollte eine RDP Verbindung ungeschützt direkt im Internet ansprechbar sein!


 
Categories: ATE | Community | Software | Windows7

Seit Samstag den 02.07.2011 bin ich stolzer Besitzer eines Acer Iconia Tab A500. Auf dem Gerät ist Android 3.0.1 installiert. Nach kurzer Startphase, mussten nur schnell ein paar landesspezifische Daten eingegeben werden und schon war das Pad bereit. Sofort wurde mein privates WLAN gefunden, welches mit n-Standard betrieben wird. Sofort nach Internetzugang wurde durch Acer ein System Update eingespielt.

Um den Markplatz von Android nutzen zu können benötigt man ein Gmail Konto, welches ich problemlos über den Markplatz erstellen konnte. Danach hat man die frei Auswahl an Apps. Das Angebot ist echt bombastisch. Für jeden Zweck findet man eine Vielzahl an Apps und die meisten sogar kostenfrei! Probehalber habe ich mir die Apps installiert die ich von meinem iPod und meinem Windows Phone 7 kenne und die Qualität ist bei allen Systemen gleich.

Auf dem Tab ist als Browser selbstverständlich Google Chrome installiert. Der Browser ist echt flott, wenn man bedenkt, dass in dem Tab nur ein 1 GHz Prozessor seine Arbeit verrichtet. Wenn man eine Browsersession hat, in der Z.B. Fotos oder Chat Fenster eingeblendet werden, dann zeigen sich dennoch Schwächen. Das neue Fenster fängt stark an zu flackern und macht wirklich keinen Spaß. Ansonsten habe ich nichts gefunden, was nicht wirklich funktioniert. Sollte ein Plug-In fehlen, dann kann man das aus dem Marktplatz nachinstallieren und schon ist es ok. Das Scrollen und das Umschalten zwischen den Browser-Tabs funktioniert sehr flüssig. Hervorragend funktioniert die Pivot Funktion des Tabs in alle Richtungen und das Zoom mit Multi-Touch reagiert sehr schnell. Wenn man einige Seiten zoomt, dann kann man auch über die leichte Ungenauigkeit des Tabs hinwegsehen, das es bei kleinen Icons manchmal hat (oder meine Finger sind einfach zu groß).

Als Grafikchip ist ein Nvidia verbaut, der für HD Filme mit 720p vollkommen ausreichend ist, damit Filme ruckelfrei abgespielt werden. Acer liefert einige Spiele mit, die auch im HD Modus super flüssig laufen und mit sattem Sound wirklich Spaß machen. Gesteuert wird das mitgelieferte Need for Speed mit dem G-Sensor. Dabei kommt echtes Lenkrad Feeling auf. Bisher fehlt mir aber ein Office Paket, damit ich wirklich zufrieden wär. Bisher gibt es nur rudimentäre Ansätze die nicht wirklich gut sind. Ok, dafür habe ich mir das Pad auch nicht geholt, aber für einen Test wär es schon schön gewesen, auch mal ein Word Dokument zu verfassen und nicht nur zu betrachten (über Documents to Go).

Klasse finde ich, dass das Pad eine USB Schnittstelle und einen HDMI Anschluss hat und sich somit ganz deutlich vom Apple iPad abhebt. Über die USB Schnittstelle kann man nicht nur Daten wie Bilder und Musik abrufen, sondern auch Daten direkt auf das Pad kopieren. Zum Installieren von Apps ist es auch ok, da würde ich aber lieber direkt den Markplatz nutzen, das ist einfach bequemer. Über einen Kartenslot kann man das System erweitern. Mit bis zu 64 GByte microSDHC Karten kann man somit den internen Speicher aufrüsten und dieser steht sofort zur Verfügung.

Das glänzende Display ist für den Außenbetrieb bei starker Sonne nicht wirklich gut, aber in der Wohnung sehr brillant in der Wiedergabe von Bildern und Filmen. Damit man immer den sauberen Durchblick hat, legt Acer ein Microfasertuch dazu, um die vielen Fingerspuren verschwinden zu lassen.

Somit bleibt für mich als Feedback nur zu sagen, dass das Pad eine sehr gute Alternative zum iPad ist und sich für mich voll gelohnt hat. Acer hat zum 11.07 das Update 3.1 für Android angekündigt, welches dann einige Macken ausbügeln soll. Ich bin gespannt und werde sicher wieder berichten.


 
Categories: ATE | Networking