Ausprobiert: Ciscos neuer VPN-Client für das iPhone

MobileSicherheitSmartphone

Ciscos AnyConnect Secure Mobility Client für Apples iOS verspricht Nutzern von iPhone und iPod Touch mobilen Zugriff auf Unternehmensressourcen, ohne dass sich IT-Admins um ihre Sicherheitsrichtlinien sorgen müssen.

Wenn Anwender über mobile Geräte Zugriff auf Unternehmensressourcen erhalten sollen, muss die IT-Abteilung einen Drahtseilakt vollführen. Sie muss vernünftige Schutzmechanismen aufbauen und gleichzeitig sicherstellen, dass die Unternehmensressourcen flexibel nutzbar bleiben. Das wird vor allem dann zur Herausforderung, wenn mobile Mitarbeiter glauben, ihre Geräte selbst kontrollieren und frei nutzen zu können. Wer zuhause im Home-Office oder in einem entfernten Büro sitzt, wird mit hoher Wahrscheinlichkeit die gleichen Geräte, die er zum Arbeiten nutzt, auch privat einsetzen. Das macht es notwendig, dass die IT-Abteilung Sicherheitsrichtlinien umsetzt, die den Kontext einbeziehen, in dem ein Endgerät genutzt wird und auch die große Bandbreite an Geräten berücksichtigt, die zum Einsatz kommen.

Ciscos AnyConnect-Secure-Mobility-Client für Apple iOS wandelt sicher auf diesem schmalen Grat zwischen aufdringlicher Kontrolle und unsicherer Nutzung. Die Lösung wurde entwickelt, um mit VPN-Servern von Cisco wie der ASA-5500-Serie und Ciscos Websecurity-Appliances, beispielsweise der IronPort-S-Serie, zusammenzuarbeiten, um eine sichere Authentifizierung auf der einen Seite und die Durchsetzung von Anwendungsprotokollen und Richtlinien auf der anderen Seite zu ermöglichen.

iPhone-Client

Die Client-Software für Apple iOS wurde am 21. September veröffentlicht. Sie kann kostenlos in Apples App Store heruntergeladen werden und stellt sichere VPN-Verbindungen zu jedem Modell von Ciscos Adaptive Security Appliance her. Die Software setzt auf SSL (Secure Sockets Layer) und DTLS (Datagram Transport Layer Security), wobei das letztere eine Implementierung des TLS-Protokolls ist, die mit UDP-Traffic arbeitet.

Der AnyConnect-VPN-Client für Apple iOS benötigt iOS 4.1 und wird aktuell von Geräten wie dem iPhone 3G, iPhone 3GS, iPhone 4 und neueren iPod-Touch-Modellen unterstützt. Cisco rechnet damit, den Client später in diesem Jahr auch für das iPad bereitstellen zu können, wenn Apple iOS 4.2 veröffentlicht. Die AnyConnect-Plattform von Cisco steht derzeit in Version 2.5 bereit, jedoch setzt diese erste Veröffentlichung für Apple iOS noch auf der Codebasis von AnyConnect 2.4 auf. Deshalb werden unter iOS die neuen Funktionen, die ab AnyConnect 2.5 eingeführt werden, noch nicht unterstützt.

Diese Version des AnyConnect-Clients für Apple iOS unterstützt nur manuell angelegte VPN-Profile, importierte AnyConnect-Profile und Konfigurationen, die mit Apples iPhone-Konfigurationswerkzeug generiert wurden. Allerdings ist Apples Tool recht eingeschränkt, beispielsweise kann es keine Profile erzeugen, die volles Netzwerk-Roaming erlauben. Wird ein solches Netzwerk-Roaming gewünscht, empfiehlt Cisco, stattdessen VPN-Provisioning über AnyConnect zu verwenden. Obwohl die Nutzer der Geräte einige Teile der Konfiguration ändern können, die von Apples Tool oder dem AnyConnect-Server installiert wurde, bleiben andere Optionen für den Anwender gesperrt. Es kann allerdings nur ein importiertes AnyConnect-Profil auf dem Gerät existieren.

Einrichtung und Konfiguration

Der Client für Apple iOS bietet einen ähnlichen Funktionsumfang wie Ciscos AnyConnect-Clients für Linux, Mac OS X und Windows. Die Einrichtung eines VPN-Zugangs für den AnyConnect-Client auf einem iPhone gelingt ziemlich einfach. Wenn dies manuell geschieht, darf der Anwender eine Beschreibung für das VPN eingeben, gefolgt von der Serveradresse, entweder als herkömmlicher Domain-Name oder als IP-Adresse. Sieht die Installation eine Gruppen-basierte Konfiguration vor, dann kann dies als Teil der Server-URL spezifiziert werden.

AnyConnect für Apple iOS kann für die Authentifizierung mit Hilfe von Zertifikaten konfiguriert werden. Das ist die Voraussetzung, um das Connect-on-Demand-Feature von Apple iOS zu nutzen. Es ist ziemlich nützlich, wenn man alle Zugriffe auf bestimmte Ressourcen oder Domains immer über eine bestimmte VPN-Verbindung leiten möchte.

Statistiken und Protokolle stehen in einem Tab in der Software zur Verfügung. Einfache Verbindungsdetails wie Status, Verbindungsdauer, Client-Adresse und gesendete und empfangene Daten werden zu jeder Verbindung zusammen mit Buttons für weitere Informationen und Client-Logs eingeblendet. Standardmäßig ist die Protokollierung ausgeschaltet, kann aber problemlos aktiviert werden. Wenn die Funktion eingeschaltet ist, ist es möglich, in diesem Fenster Protokolle schnell und einfach per E-Mail zu versenden.