Zertifikatsmanagement im Public Spot (PDF) - LANCOM Systems
Zertifikatsmanagement im Public Spot (PDF) - LANCOM Systems
Zertifikatsmanagement im Public Spot (PDF) - LANCOM Systems
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
. . . c o n n e c t i n g y o u r b u s i n e s s<strong>LANCOM</strong> Techpaper<strong>Zertifikatsmanagement</strong> <strong>im</strong> <strong>Public</strong> <strong>Spot</strong>EinleitungSicherheit ist bei dem Einsatz eines <strong>Public</strong> <strong>Spot</strong>s einwichtiges Thema. Dabei liegt der Focus auf der Verschlüsselungder Benutzeranmeldung und nicht derdes allgemeinen Datenverkehrs über das WLAN. Diesist relevant, damit sowohl Betreiber, als auch Nutzersicherstellen können, dass mit den Zugangsdaten, diezur Verfügung gestellt werden, kein Missbrauch getriebenwird. Dieses Techpaper geht darauf ein, wieZertifikate für eine entsprechende Sicherheit sorgen.HTTPSUm die sichere Anmeldung zu gewährleisten, wirdauf HTTPS, eine Kombination von HTTP und SSL (SecureSockets Layer) zurückgegriffen, damit die Datenverschlüsselt zwischen Client und Server übertragenwerden. Hierbei wird das Gerät, welches den <strong>Public</strong><strong>Spot</strong> bereitstellt als Server betrachtet und das Gerät,welches ihn nutzt als Client.HTTPS nutzt Zertifikate des Standards X.509 der InternationalTelecommunication Union (ITU). Ein Zertifikatbesteht <strong>im</strong>mer aus zwei Bestandteilen, einem öffentlichenSchlüssel und einer Signatur, die mit Hilfe einesprivaten Schlüssels erstellt wurde. Der private Schlüsselbleibt dabei <strong>im</strong>mer <strong>im</strong> Besitz des Servers und wirdnicht übertragen.Öffentliche und „Self-Signed“ ZertifikateGrundsätzlich gibt es drei verschiedene Arten Zertifikatezu erstellen: „Self-Signed“ Zertifikate, bei demder Server seinen öffentlichen Schlüssel selbst signiert,öffentliche Zertifikate, die von einer vertrauenswürdigenStammzertifizierungsstelle (Certificate Authority -kurz CA) signiert wurden, und als dritte Möglichkeitdie Signierung des öffentlichen Schlüssels durch eineprivate CA.Die Aufgabe einer vertrauenswürdigen CA ist es sicherzustellen,dass der Antragsteller des Zertifikatsfür eine best<strong>im</strong>mte Domäne auch der tatsächlicheDomänenbesitzer ist, um den Missbrauch mit öffentlichenZertifikaten zu verhindern. Ist eine Stammzertifizierungsstelle(Root CA) <strong>im</strong> Webbrowser als vertrauenswürdigeingestuft, werden alle Zertifikate, welchevon ihr signiert wurden, auch als vertrauenswürdigangesehen. Somit wird von einem Webbrowser dieAnmeldeseite eines <strong>Public</strong> <strong>Spot</strong>s dann als vertrauenswürdigbehandelt, wenn ein entsprechendes, von eineröffentlichen Stammzertifizierungsstelle signiertes,Zertifikat verfügbar ist. Sicherheitswarnungen (Abb.1),die auf das Fehlen eines vertrauenswürdigen Zertifikatszurückzuführen sind, treten also nicht auf.Ein solches Zertifikat ist allerdings kostenpflichtig undhat nur eine begrenzte Laufzeit und wird daher meistdann eingesetzt, wenn der <strong>Public</strong> <strong>Spot</strong> für geschäftlicheZwecke genutzt wird.Sicherheitswarnungen des Browsers sind bei „Self-Signed“ Zertifikaten nicht zu umgehen, da der Webserverzunächst nicht vom Browser als vertrauenswürdigeingestuft ist. Self-Signed Zertifikate haben aberauch Vorteile. Zum einen werden sie von dem Serverbei Bedarf generiert und müssen nicht erst beantragtwerden und zum anderen ist ein Self-Signed Zertifikatkostenlos, da keine externe Dienstleistung in Anspruchgenommen werden muss.Abb.1 Sicherheitswarnung des Internet Explorers1
. . . c o n n e c t i n g y o u r b u s i n e s s<strong>LANCOM</strong> Techpaper<strong>Zertifikatsmanagement</strong> <strong>im</strong> <strong>Public</strong> <strong>Spot</strong>Zusätzliche SicherheitFür <strong>Public</strong> <strong>Spot</strong>s bietet es sich an, mit einer Firewallspezifische Protokolle und Ports zu sperren, um Missbrauchweiter vorzubeugen.Der AnmeldevorgangBei einer Verbindung mit dem entsprechenden Webserverwird das Zertifikat an den Client übertragen unddieser prüft, ob die Signatur des Zertifikats vertrauenswürdigist. Zertifikate einer Stammzertifizierungsstelle,bestehend aus ihrem öffentlichen Schlüssel und signiertmit ihrem privaten Schlüssel, sind in den Webbrowsernhinterlegt. Wird die Signatur als authentischeingestuft, generiert der Client einen zufälligen Sitzungsschlüssel,der mit dem öffentlichen Schlüssel desWebservers verschlüsselt wird. Dieser Datensatz wirdBenutzerfreundlichkeitIn einem <strong>Public</strong> <strong>Spot</strong> ist die Benutzerfreundlichkeitsehr wichtig. Von daher sollte auf öffentliche Zertifikatezurückgegriffen werden, um Nutzer nicht denSicherheitswarnungen des Webbrowsers auszusetzenund dadurch zu verunsichern.nun an den Webserver übermittelt, der ihn mit Hilfeseines privaten Schlüssels entschlüsseln kann.Nun habe beide Parteien, Webserver und Client denSitzungsschlüssel. Hiermit wird nun ein SSL-Tunnel miteiner 128 Bit Verschlüsselung zwischen Webserver undClient hergestellt, der genutzt wird um Daten zwischenden beiden Parteien zu übertragen. Somit sind die Anmeldedatenverschlüsselt und können nicht von drittenmissbraucht werden.Der Anmeldevorgang ist in Abb.2 schematisch dargestellt.ClientErwerb von ZertifikatenZertifikate, die durch eine vertrauenswürdige Stammzertifizierungsstellesigniert wurden, können bei denentsprechenden Unternehmen erworben werden. EinigeBeispiele für Unternehmen, die einen entsprechendenService anbieten, sind Deutsche Telekom (Telesec)und Verisign. Die Kosten für Standardzertifikate, dieals vertrauenswürdig eingestuft werden, bewegen sichin einem Rahmen von niedrigen zweistelligen Beträgenpro Monat.ServerAufruf der HTTPSAnmeldeseiteAnfrageServerzertifikatPrüfungServerzertifikatServerzertifikatÖffentlicher Schlüssel,signiert mit priv. SchlüsselÜbertragungServerzertifikatÖffentlicherSchlüsselPrivaterSchlüsselErstellungSitzungsschlüsselSitzungsschlüsselempfangenesServerzertifikatVerschlüsselungSitzungsschlüsselÜbertragungSitzungsschlüsselEntschlüsselungSitzungsschlüsselSSL-TunnelVerschlüsselung durch SitzungsschlüsselSitzungsschlüsselAbb.2 Schematische Darstellung eines HTTPS-Anmeldevorgangs2
. . . c o n n e c t i n g y o u r b u s i n e s s<strong>LANCOM</strong> Techpaper<strong>Zertifikatsmanagement</strong> VDSL2-Technologie <strong>im</strong> <strong>Public</strong> <strong>Spot</strong>ImplementierungSobald das Zertifikat vorhanden ist, muss es aufdem Gerät zur Verfügung gestellt werden. Bei einem<strong>LANCOM</strong> Gerät kann dies komfortabel mit Hilfe vonLANconfig oder WEBconfig (Abb.3) geschehen. Zusätzlichmuss noch über WEBconfig oder Kommandozeile<strong>im</strong> Feld Geraete-Hostname (Abb.4) der Name, auf dendas Zertifikat verweist eingetragen werden. Die Auflösungdes Names zur entsprechenden IP-Adresse desGerätes muss natürlich gegeben sein.Abb.3 Einspielen eines Zertifikats über WEBconfigAbb.4 Eintrag des Gerätenamens über WEBconfigFazitBei geschäftlich genutzten <strong>Public</strong> <strong>Spot</strong>s ist zu einemvertrauenswürdig eingestuftem Zertifikat zu raten, daes eine größere Sicherheit bietet und bei Gästen undKunden kein Gefühl der Unsicherheit durch durch Sicherheitswarnmeldungendes Webbrowers hervorruft.Entsprechende Zertifikate sind einfach und kostengünstigzu beziehen, und die Integration in <strong>LANCOM</strong><strong>Public</strong> <strong>Spot</strong> Lösungen kann einfach und schnell erfolgen.© 2011 <strong>LANCOM</strong>, <strong>LANCOM</strong> <strong>Systems</strong> und LCOS sind eingetragene Marken. Alle anderen verwendeten Namen und Bezeichnungen können Marken oder eingetragene Marken ihrer jeweiligen Eigentümer sein. Änderungen vorbehalten. Keine Gewähr für technische Ungenauigkeiten und/oder Auslassungen. 10/11www.lancom.de<strong>LANCOM</strong> <strong>Systems</strong> GmbH I Adenauerstr. 20/B2 I 52146 Würselen I Deutschland I E-Mail info@lancom.de
Change language