|
|
|
|
|
MOVEit Transfer verwendet die Standards SSL und SSH zur sicheren Übertragung von Daten zwischen sich selbst und verschiedenen Clients. MOVEit Transfer fungiert bei allen diesen Übertragungen als Server. Für den Erhalt eines SSL-Serverzertifikats (auch als „cert“ oder „X.509-Zertifikat“ bezeichnet) und eines SSH-Serverschlüssels ist MOVEit Transfer deshalb erforderlich.
Clientzertifikate bzw. Clientschlüssel sind optional. Sie können zusätzlich oder anstelle eines Kennworts zur Authentifizierung eines bestimmten Benutzers verwendet werden. Clientzertifikate können mit den beiden SSL-Schnittstellen (HTTPS und FTPS) und Clientschlüssel mit der SSH-Schnittstelle verwendet werden. In manchen Fällen werden Clientzertifikate auch auf Hardwaretokens gespeichert.
In den nachfolgenden Abschnitten werden die Komponenten beschrieben. Sie finden hier auch Verweise auf andere Abschnitte der Dokumentation mit ausführlichen Informationen zur Konfiguration.
Für den Einstieg sind auch die folgenden Verfahren hilfreich:
SSL-Serverzertifikate erhalten Sie von Comodo, Thawte, Verisign oder einer anderen der zahlreichen auf dem Markt vertretenen kommerziellen Zertifizierungsstellen (CAs). Ebenso können Sie auch selbstgenerierte Zertifikate verwenden, diesen wird von gängigen Browsern wie Internet Explorer und Firefox aber nicht automatisch vertraut (in diesem Fall wird in der Fensterecke ein Sperrsymbol angezeigt). Im Falle eines selbstgenerierten Zertifikats müssten Ihre Clients explizit angeben, dass sie diesem Zertifikat vertrauen.
MOVEit Transfer-Serverzertifikate können an zwei Stellen konfiguriert werden:
Bei Verwendung der HTTPS- oder der FTP/SSL-Schnittstelle werden die Benutzer bei der Anmeldung eventuell aufgefordert, ein SSL-Clientzertifikat bereitzustellen. Ausführliche Informationen hierzu finden Sie in den Abschnitten Clientzertifikate – Überblick und FTP – Konfiguration (Clientzertifikate verlangen).
SSH-Schlüssel stehen in keiner Beziehung zu einer Zertifizierungsstelle, d. h. der MOVEit Transfer-SSH-Server generiert seinen eigenen Schlüssel einfach bei seiner ersten Ausführung.
Ihren Fingerabdruck können Sie jederzeit in der Anwendung MOVEit Transfer Config anzeigen. (SSH tab (Registerkarte SSH))
Siehe auch SSH-Schlüssel – Serverschlüssel – Überblick.
SSH-Benutzer werden bei der Anmeldung eventuell zur Bereitstellung eines SSH-Clientschlüssels aufgefordert. Ausführliche Informationen hierzu finden Sie im Abschnitt SSH-Schlüssel – Clientschlüssel – Überblick.
Zum Schutz von Kennwörtern stellt MOVEit Transfer die folgenden Mechanismen bereit: eine erforderliche Kennwortstärke, den Ablauf von Kennwörtern, IP- und Sitzungsbeschränkungen pro Benutzer, automatische Aussperrungen sowie die Verwendung von verschlüsselten SSL- und SSH-Kanälen für die sichere Übertragung von Kennwörtern.
Clientzertifikate und Clientschlüssel sind in der Regel an bestimmte Computer oder Hardwaretokens gebunden. Um diese Berechtigungsnachweise missbrauchen zu können, müsste ein Angreifer die Kontrolle über den betreffenden Desktop oder Laptop haben (bei einem installierten Zertifikat bzw. Schlüssel) bzw. im Besitz des betreffenden Hardwaretokens sein. Alle Clientzertifikate und Clientschlüssel stützen sich auf einen öffentlichen und einen privaten Schlüssel. Bei diesem Modell reicht oft der Besitz des privaten Schlüssels eines Benutzers aus, um sich als dieser Benutzer ausgeben zu können. MOVEit Transfer arbeitet jedoch nicht direkt allein mit der einen Hälfte der Verschlüsselung eines Clientzertifikats bzw. -schlüssels, dem privaten Schlüssel, so dass Sicherheitsprobleme durch den Missbrauch des privaten Schlüssels nahezu ausgeschlossen sind.
Aufgrund der Schwächen von Kennwörtern und Clientzertifikaten bzw. -schlüsseln müssen sich Benutzer oft mit beidem authentifizieren. Um sich bei diesem Schema eines Computers bemächtigen zu können, müsste ein Angreifer schon im Besitz des Benutzerkennworts sein und sich Zugriff auf den privaten Schlüssel verschafft haben. Dieser aus zwei Faktoren bestehende Schutz ist für einen Angreifer schon wesentlich schwieriger zu kompromittieren als der alleinige Schutz durch ein Kennwort oder ein Clientzertifikat bzw. einen Clientschlüssel.
Der wichtigste Unterschied zwischen SSH-Schlüsseln und SSL-Zertifikaten (X.509) besteht darin, dass es sich bei SSH-Schlüsseln um eigenständige Berechtigungsnachweise handelt, während SSL-Zertifikate verifiziert sein müssen.
SSH-Server (so auch MOVEit Transfer) ordnen SSH-Clientschlüssel jeweils einem bestimmten Benutzer zu. Wenn ein SSH-Client einen SSH-Schlüssel vorlegt und dieser mit demjenigen im Benutzerdatensatz übereinstimmt, wird der SSH-Client authentifiziert.
SSL-Server (so auch MOVEit Transfer) ordnen SSL-Clientzertifikate ebenfalls bestimmten Benutzern zu, jedoch führen SSL-Server für eingehende SSL-Clientzertifikate eine zusätzliche Hintergrundprüfung durch. SSL-Clientzertifikate werden von Zertifizierungsstellen (CAs) signiert und ausgegeben. SSL-Server führen eine Liste der Zertifizierungsstellen, denen sie vertrauen. Wenn ein SSL-Server ein gültiges SSL-Clientzertifikat erhält, er jedoch der Zertifizierungsstelle dieses Zertifikats nicht vertraut, lehnt er die Verbindung ab.
Die Konfiguration der SSL-Authentifizierung ist komplizierter als die Konfiguration der SSH-Authentifizierung.
MOVEit Transfer-Benutzer können sich mit Kennwörtern, Clientschlüsseln (nur SSH) oder Clientzertifikaten (HTTPs und FTP/SSL) authentifizieren. Die zulässigen Kombinationen können durch Optionen im Benutzerprofil für jeden Benutzer individuell festgelegt werden. (Die Standardeinstellungen werden auf Organisationsebene festgelegt.) Mögliche Einstellungen:
Auf Systemen, die eine Zweifaktor-Authentifizierung verlangen, sind die folgenden Komponenten erforderlich:
MOVEit Transfer unterstützt die Zweifaktor-Authentifizierung auf seiner HTTPs- und seiner FTP/SSL-Schnittstelle mit Clientzertifikaten und auf seiner FTP over SSH-Schnittstelle mit Clientschlüsseln. Zur Erzwingung dieser Anforderung für einen bestimmten Benutzer müssen auf jeder Schnittstelle die folgenden Optionen auf Benutzerebene aktiviert sein.
Viele FTP/SSL-Clients unterstützen Einstellungen für die Zweifaktor-Authentifizierung (Kennwort und Zertifikat) sowohl im interaktiven als auch im Batchmodus. Der meist genutzte SSH-Client (OpenSSH) funktioniert jedoch nur im interaktiven Modus mit der Zweifaktor-Authentifizierung (im Batchmodus unterstützt OpenSSH nur die Einfaktor-Authentifizierung mit Nur Schlüssel oder Kennwort ODER Schlüssel).