Direct Push und RSA SecurID kein Oxymoron mehr

  • Article

Momentan ist der Hype um die mobilen Clients und die direkte Emailzustellung auf das Endgerät ja kaum zu übersehen. Dabei sollte man jedoch notwendige Sicherheitsaspekte nicht aus den Augen verlieren. Die mobilen Geräte sind so klein, daß sie leicht verlegt oder gestohlen werden können. Die darin abspeicherbaren Datenmengen erreichen heutzutage jedoch spielend Gigabyte-Bereiche.

Wie können Administratoren diese Geräte besser sichern? Neben den neuen Möglichkeiten der zertifikatsbasierenden Anmeldung, Local Wipe, Remote Wipe, etc. fällt oft das Stichwort two factor authentication, durch die eine höhere Sicherheit gewährleistet werden soll. Der Benutzer muss ein Passwort wissen und in Besitz seines Tokens sein, um sich entsprechend ausweisen zu können.

RSA Security bietet mit SecurID eine kommerzielle Lösung an, die über den ISA Server 2004 in die Exchange Server-Veröffentlichung für Outlook Web Access nahtlos integriert werden kann. Das SecurID-Token generiert jede Minute eine neue Zahl, die nur durch den SecurID ACE-Server vorhersagbar ist. Für die Anmeldung an Outlook Web Access benötigt der Anwender dann zusätzlich die Zahl, die das Token generiert, was die Gefahr, die von Keyloggern auf z.B. dem Internet PC-Platz ausgeht, minimiert.

Diese Technik kann man auch für mobile Clients benutzen. Allerdings war der Komfort in der Anwendung bisher ein echter Blocker: Für manuelle Synchronisation mag es vielleicht noch tragbar sein, beim Synchronisieren die Zahl, die das Token anzeigt, zusätzlich mit einzugeben. Spätestens bei geplanten Synchronisationsvorgängen oder mit Direct Push trifft das Verfahren verständlicherweise nicht mehr auf die notwendige Akzeptanz beim Benutzer.

Jetzt kommt die gute Nachricht: RSA Security bietet mit der Aktualisierung des RSA Authentication Agent 5.3 for Web for IIS direkte Unterstützung auch für Microsoft Exchange Server 2003 ActiveSync. Wer also einen SecurID-Server schon im Einsatz hat, kann die Lösung jetzt auch auf die mobilen Clients ausdehnen. Die genaue Vorgehensweise ist von RSA beschrieben:

RSA Authentication Agent 5.3 for Web for IIS enables you to use Microsoft Outlook Web Access ActiveSync without having to reauthenticate every time ActiveSync is invoked. When you invoke ActiveSync by clicking Sync on the Pocket PC, the Agent provides a one-time authentication window for ActiveSync that is valid for a default of 15 minutes. This default time setting matches the default time setting of Cookies Always Expire After the Specified Time.

If you extend the duration of the browser session cookie by changing the value in the Cookies Always Expire After the Specified Time field on the Agent tab of the IIS configuration panel, you extend the one-time authentication window for ActiveSync to the same number of minutes. You can further extend the ActiveSync time window to remain valid beyond the maximum time duration of the browser session cookie by adding an entry to the registry.

Dafür ist unter HKEY_LOCAL_MACHINE\SOFTWARE\SDTI\RSAWebAgent ein neuer Eintrag vomTyp DWORD mit dem Namen ActiveSyncWindowExtension anzulegen, in dem die Anzahl von Minuten für das ActiveSync-Zeitfenster ohne erneute Authentifizierung festgelegt werden kann. Der Maximalwert ist 1440 (ein Tag).