Diplomarbeit

Gesicherter Zugang zum Firmennetzwerk mit PDAs auf Basis
Pocket PC 2003

Verfasser:

Roland Link

7. Semester
Studiengang Wirtschaftsinformatik

Eingereicht am 22. Februar 2005

Vorwort

[...]

Inhaltsverzeichnis

Vorwort ... II
Inhaltsverzeichnis  ... III
Abbildungsverzeichnis  ... VI
Tabellenverzeichnis  ... VI
Abkürzungsverzeichnis  ... VII
Zeichenerklärung  ... VIII

1 Einleitung  ... 1
1.1 Motivation  ... 2
1.2 Aufgabenstellung und Zielsetzung  ... 2
1.3 Vorgehensweise ... 3

2 Grundlage eines Firmenintranets ... 4
2.1 Internet-Intranet-Abgrenzung  ... 4
2.1.1 Wesentliche Elemente des Internet  ... 4
2.1.2 Das Intranet als Internet im Unternehmen ... 7
2.2 Anforderungen an Intranets ... 8
2.2.1 Organisatorische Anforderungen ... 8
2.2.2 Technische Anforderungen ... 9
2.2.3 Anwendungsbezogene Anforderungen ... 10
2.3 Funktionalitäten  ... 12

3 Funktionsweise mobiler Geräte auf Basis Pocket PC 2003  ... 13
3.1 Hardware ... 13
3.1.1 Display  ... 14
3.1.2 Prozessor ... 14
3.1.3 RAM ... 15
3.1.4 ROM  ... 15
3.1.5 Akkubetriebsdauer ... 15
3.1.6 Erweiterungen ... 15
3.2 Systemsoftware ... 16
3.2.1 Betriebssystem  ... 16
3.2.2 ActiveSync  ... 19
3.3 Anwendungssoftware ... 19
3.3.1 PIM  ... 20
3.3.2 Office  ... 20
3.3.3 Multimedia und Grafik  ... 20
3.4 Schnittstellen ... 21
3.4.1 Drahtlose Schnittstellen  ... 21
3.4.2 Kabelgebundene Schnittstellen  ... 21
3.4.3 Sonstige Schnittstellen ... 21
3.5 Sicherheit ... 22
3.5.1 Gerätebezogene Authentifikation ... 22
3.5.2 Gerätebezogene Datensicherheit  ... 24
3.5.3 Fazit zur gerätebezogenen Sicherheit  ... 25

4 Möglichkeiten des Zugangs zu einem Firmenintranet  ... 26
4.1 Kommunikation per Kabel ... 26
4.1.1 Mobiler Einsatz  ... 26
4.1.2 Einsatz am Arbeitsplatz  ... 27
4.2 Drahtlose Datenübertragung für kurze Entfernungen ... 28
4.2.1 Infrarot  ... 28
4.2.2 Bluetooth ... 29
4.2.3 Wireless LAN ... 30
4.3 Drahtlose Datenübertragung für große Entfernungen  ... 32
4.3.1 GSM ... 32
4.3.2 HSCSD  ... 34
4.3.3 GPRS ... 34
4.3.4 UMTS ... 35

5 Zugangsmöglichkeiten auf Basis MDA III  ... 36
5.1 Einstieg  ... 36
5.2 Hardware ... 36
5.3 Betriebssystem  ... 37
5.4 Schnittstellen ... 37

6 Virtuelle Private Netzwerke ... 38
6.1 Einführung ... 38
6.2 Sicherheitsanforderungen  ... 40
6.2.1 Datenvertraulichkeit  ... 40
6.2.2 Integrität ... 42
6.2.3 Benutzer-Authentifizierung ... 43
6.3 VPN-Formen  ... 46
6.3.1 Intranet-VPN  ... 46
6.3.2 Extranet-VPN ... 47
6.3.3 Remote-Access-VPN ... 47
6.4 Tunneling-Technologien  ... 49
6.4.1 Tunneling-Modelle  ... 49
6.4.2 Tunneling- und Verschlüsselungsprotokolle  ... 51

7 Lösungsvarianten: Mobiler Zugriff auf Unternehmensnetze ... 57
7.1 Zugang zum Unternehmensnetz über GPRS ... 58
7.1.1 Voraussetzungen an die PDA-Hardware für einen GPRS-Zugang  ... 58
7.1.2 Voraussetzungen an das Betriebssystem für einen GPRS-Zugang ... 59
7.1.3 Aufbau einer sicheren GPRS-Datenübertragung ... 59
7.1.4 Fazit  ... 63
7.2 Zugang zum Unternehmensnetz über Wireless LAN ... 64
7.2.1 WLAN-Zugangsvoraussetzungen an den PDA und das Betriebssystem  ... 64
7.2.2 Aufbau einer sicheren WLAN-Datenübertragung  ... 65
7.2.3 Fazit  ... 69

8 Implementierung einer PDA-Remote-Access-Lösung  ... 70
8.1 Analyse  ... 71
8.1.1 Anforderungen  ... 71
8.1.2 Randbedingungen und Mengengerüst ... 71
8.1.3 Investitionsanalyse ... 72
8.2 Konzeption ... 74
8.2.1 Grobkonzept  ... 74
8.2.2 Netz-Design  ... 75
8.2.3 Security-Design ... 76
8.2.4 Betriebskonzept  ... 76
8.2.5 Feinkonzept  ... 77
8.2.6 Entscheidungsfindung ... 77
8.3 Realisierung ... 77
8.3.1 Netzwerk & Security Integration ... 77
8.3.2 Pilotierung ... 77
8.3.3 Korrektur Feinkonzept ... 78
8.4 Betrieb ... 78
8.4.1 Migration und Inbetriebnahme  ... 78
8.4.2 Userunterstützung und Trouble-Shooting ... 78

9 Zusammenfassung und Ausblick ... 79

Anhangverzeichnis  ... 81

Quellenverzeichnis ... 84

Abbildungsverzeichnis
Abbildung 1: Systemübersicht Mobile Corporate Access ... 3
Abbildung 2: Protokollköpfe der Datenpakete bei TCP/IP ... 6
Abbildung 3: Funktion des Webservers ... 10
Abbildung 4: Pocket PCs mit Windows-Betriebssystem ... 14
Abbildung 5: Marktanteile der PDA-Betriebssysteme ... 17
Abbildung 6: Auswahlmenü zur optionalen Kennwortfestlegung ... 23
Abbildung 7: Netzzugriff über Infrarot ... 28
Abbildung 8: Netzzugriff über Bluetooth ... 30
Abbildung 9: Netzzugriffe über Bluetooth Access Points  ... 30
Abbildung 10: Wireless LAN Architekturen ... 31
Abbildung 11: Netzzugriffe über Wireless LAN Access Points ... 32
Abbildung 12: Weltweite Verbreitung des GSM-Standards ... 32
Abbildung 13: Download-Geschwindigkeiten im Vergleich  ... 35
Abbildung 14: MDA III  ... 36
Abbildung 15: Prinzip der VPN-Technologie  ... 39
Abbildung 16: Prognose zur weltweiten Marktentwicklung von IP-VPN ... 39
Abbildung 17: Vorgehensweise bei einer symmetrischen Verschlüsselung ... 41
Abbildung 18: Prinzip der asymmetrischen Verschlüsselung ... 42
Abbildung 19: Authentifizierung mit PAP ... 44
Abbildung 20: Authentifizierung mit RADIUS  ... 45
Abbildung 21: Beispiel einer SecureID-Karte  ... 45
Abbildung 22: Anwendungsbereiche der VPN-Technologie ... 46
Abbildung 23: Wichtige VPN-Einsatzgebiete ... 46
Abbildung 24: Remote-Access-Konzentrator  ... 47
Abbildung 25: VPN-Konzentrator  ... 48
Abbildung 26: Tunneling-Modelle ... 50
Abbildung 27: Vergleich Layer 2 - Layer 3 Tunneling-Protokolle  ... 51
Abbildung 28: L2TP im Ende-zu-Ende-Modell  ... 53
Abbildung 29: IPSec im Tunnelmodus  ... 55
Abbildung 30: Remote Office versus Mobile Office  ... 57
Abbildung 31: GPRS-Netzzugangsvarianten für PDAs ... 58
Abbildung 32: Verbindungsmanager  ... 60
Abbildung 33: IPSec/L2TP und PPTP ... 60
Abbildung 34: Authentifizierungsvorgang mit User-RADIUS ... 61
Abbildung 35: Gesicherte PPP-Verbindung  ... 62
Abbildung 36: Verbindungsaufbau über C-WLAN ... 69
Abbildung 37: Projektphasen bei Implementierung von PDA-Remote-Access  ... 70
Abbildung 38: Projekt-Netz-Design mit Ist- und Sollzustand  ... 75
Abbildung 39: Einsatzgebiete von WLANs ... 82
Abbildung 40: Logische Abfolge einer EAP-Authentifizierung ... 82
Abbildung 41: WLAN Zero Configuration  ... 83

Tabellenverzeichnis
Tabelle 1: OSI-Referenzmodell  ... 5
Tabelle 2: TCP/IP- versus OSI-Referenzmodell ... 5
Tabelle 3: Beispiele für unterschiedliche Intranet-Integrationsgrade ... 11
Tabelle 4: PPTP, L2TP und IPSec im Vergleich  ... 55
Tabelle 5: Vergleich von Ansätzen zur WLAN-Absicherung  ... 67
Tabelle 6: Kosten bei Implementierung der PDA-Remote-Access-Lösung ... 73

Abkürzungsverzeichnis

[...]

1 Einleitung

In der Informationstechnologie werden heute die Unternehmen mit einer rasanten Entwicklung konfrontiert. Der Datenaustausch nimmt stark zu und macht die Kommunikationstechnologie zum Dreh- und Angelpunkt des heutigen Wirtschaftslebens. Die Anforderungen an die Unternehmensnetze steigen, da immer mehr Personen und Dienste in ihre Netzwerke integriert werden sollen. Hinzu kommt das Agieren auf globalen Märkten und eine wachsende Verflechtung der Unternehmen.

Eine besondere Bedeutung erfährt in diesem Zusammenhang die Mobilität: Hierzu zählt die Möglichkeit der Mitarbeiter, sich an verschiedenen Standorten des Unternehmens oder mehr noch, von jedem Punkt aus, mit einem einfachen Procedere jederzeit Zugang zum internen Netz zu erhalten. Nach dem Motto Any Place-Any Time haben sich auch die Hersteller technischer Geräte den Drang nach zunehmender Mobilität zur Aufgabe gemacht. Der Markt stellt hier eine Vielzahl von Lösungen bereit, angefangen vom Handy über PDA bis hin zum Smartphone.

Doch auch die Anpassung traditioneller Verfahren zum Datenaustausch wie Briefpost und Faxkommunikation haben mit wachsender Vernetzung von Rechnersystemen ihren Beitrag zu einer flexibleren Unternehmenskommunikation geleistet. Die Technologieanpassung bei der Datenübertragung auf elektronischem Weg hin zur verteilten und vernetzten IT-Struktur hat zu einer Vereinfachung, Beschleunigung von Abläufen und einer Weiterverarbeitung von Informationen geführt, bei der – früher übliche – Medienbrüche nahezu entfernt wurden. Um dieses Kriterium auf alle Unternehmensbereiche abzubilden, sind Prozess- und Netzerweiterungen erforderlich, die eine unmittelbare Verfügbarkeit von aktuellen Informationen gewährleisten. Interne Unternehmensnetze sind dabei nicht mehr nur auf den geographischen Standort und seine Außenstellen beschränkt. Eine flexible und gleichzeitig kostengünstige Ausweitung des internen Netzes zu den mobilen Mitarbeitern vor Ort sind hierzu erforderlich. Beispielsweise ist der Vertriebsmitarbeiter im Außendienst auf die Ressourcen und Informationen des Unternehmensnetzwerkes angewiesen.

Die Herausforderung einer maximalen Flexibilität fordert hingegen auch einen Höchstwert an Sicherheit, da der mobile Zugriff auf geschäftskritische Anwendungen und sensible Unternehmensdaten erfolgt. Dabei sind sowohl die mobilen Geräte als auch die Netzzugangsmöglichkeiten vor unberechtigter Nutzung zu schützen. Unter Zuhilfenahme spezieller Protokolle und Verschlüsselungsverfahren ist die Abschottung der unternehmenseigenen Daten gegenüber Unbefugten erzielbar.

1.1 Motivation

Die Mobilität gewinnt beim Datenaustausch zunehmend an Bedeutung.

Exemplarisch dargestellt am Beispiel eines großen Versicherungsunternehmens: Die Außendienstmitarbeiter greifen über Handy und PDA mobil auf das firmeninterne Customer Relationship Management System zu, um so Aufträge einfach und schnell an die Unternehmenszentrale weiterzugeben. Mittels Bluetooth-Funktechnologie werden die Daten vom PDA an das Mobiltelefon übertragen und von hier aus direkt an das interne System gesendet.

Das mobile Büro schafft ein Großteil der Papierarbeit ab und setzt bei den Außendienstmitarbeitern neue Kapazitäten frei. Die Konzentration auf Kernaufgaben ist hier das Ergebnis.

Zentral gespeicherte Kunden- und Produktdaten stehen in aktueller Form dem Außendienst zur Verfügung. Die PDAs sind mittels Mobilfunk an die Zentrale angebunden und ermöglichen die Datenkommunikation zwischen mobilem Endgerät und zentraler EDV – Any Place-Any Time.

1.2 Aufgabenstellung und Zielsetzung

Gegenstand der vorliegenden Diplomarbeit ist die Darstellung von sicheren Zugangsmöglichkeiten zum Firmennetz mit einem PDA auf der Basis des Betriebssystems Pocket PC 2003.

Abgeleitet aus der Aufgabenstellung ergeben sich vordergründig vier zu berücksichtigende Kriterien:

• Die Sicherheit
• Der Einsatz im Unternehmen
• Der PDA als Zugangsmedium
• Pocket PC 2003 als Betriebssystem

Alle vier Komponenten zusammen bilden die Grundlage zur Betrachtung und Darstellung der Zugangstechniken und –Möglichkeiten. Das Kriterium Sicherheit muss dabei ganzheitlich betrachtet werden und die Sicherheitsbereiche der Authentifikation für Geräte- und Netzwerk-Zugriff sowie die gespeicherten Daten berücksichtigen. Das Ziel dieser Arbeit ist es, vor dem Hintergrund der aktuell realisierbaren Übertragungswege und Schutzmechanismen die jeweils sicherste Zugangsvariante aufzuzeigen und auf die verbleibenden Restrisiken hinzuweisen. Dabei wird besonderes Augenmerk auf die mobilen Übertragungsmedien wie beispielsweise GPRS gelegt.

1.3 Vorgehensweise

Um den in der Aufgabenstellung und Zielsetzung genannten Ansprüchen gerecht zu werden, ist zunächst eine detaillierte Betrachtung der beteiligten Bereiche erforderlich. Welche Komponenten genau für den sicheren Zugang zum Unternehmensnetz (im folgenden Mobile Corporate Access oder Remote Access genannt) Anwendung finden, werden in der strukturierten Abbildung 1 dargestellt:

[....]