Sicherer Dateitransfer mit IBM Sterling Connect:Direct

Wissensbeitrag

Es gibt viele Möglichkeiten Dateien zwischen unterschiedlichen Systemen zu übertragen. Allerdings sind nur wenige davon zuverlässig, performant und sicher. IBM Sterling Connect:Direct kann hier als gutes Beispiel genannt werden, welches die genannten Anforderungen erfüllt.

Basis-Absicherung in Connect:Direct

Neben der Basis-Absicherung, welche auf dem Userproxy, der Benutzer von entfernten Systemen auf lokale Benutzer mappt, der Benutzerverwaltung, mit der man die Rechte der einzelnen Nutzer feingranular festlegen kann, und der Netmap, in der alle Kommunikationspartner aufgelistet werden, basiert, gibt es noch eine Zusatzoption, die sich Secure+ nennt.

Secure+ ermöglicht die Authentifizierung der Kommunikationspartner mit Hilfe von Zertifikaten und die Verschlüsselung der übertragenen Daten mit Hilfe von SSL, TLS oder STS. In diesem Blogeintrag werde ich auf die Möglichkeiten der SSL- und TLS-basierten Absicherung eingehen.

Sicherheitstechnische Grundlagen

Security, Identity & Access Management als Grundlage für die Digitale Transformation

Bevor wir die konkrete Implementierung in Connect:Direct betrachten, müssen bestimmte Begrifflichkeiten geklärt werden.

Damit Dateien während des Austausches nicht von einem Dritten mitgelesen werden können, müssen diese verschlüsselt übertragen werden. Unter der Verschlüsselung versteht man ein Verfahren, mit dem lesbare Daten so verändert werden, dass sie nicht durch Dritte gelesen werden können. Nur von der verschlüsselnden Instanz berechtigte Systeme können die Daten entschlüsseln und wieder in eine lesbare Form bringen.

Für die Verschlüsselung von Daten gibt es zwei unterschiedliche Vorgehensweisen:

  • Symmetrische Verschlüsselung
  • Asymmetrische Verschlüsselung

Bei der symmetrischen Verschlüsselung wird ein und derselbe Schlüssel zur Ver- und Entschlüsselung genutzt, wohingegen es bei der asymmetrischen Verschlüsselung jeweils unterschiedliche Schlüssel gibt. Es gibt den sogenannte Public Key zum Ver- und den Private Key zum Entschlüsseln. Letzteres Verfahren hat den Vorteil, dass man den Public Key veröffentlichen kann, somit jeder Daten verschlüsseln, aber nur diejenige Person, die den Private Key besitzt, die Daten wieder entschlüsseln kann.

Mit Hilfe der Authentifizierung lässt sich nun noch sicherstellen, dass ein Kommunikationspartner der ist, für den er sich ausgibt. Ein Beispiel aus dem echten Leben ist das Überprüfen des Personalausweises.

In Connect:Direct Secure+ werden dafür digitale Zertifikate genutzt, in denen die Identität einer Node festgeschrieben wird. Diese Zertifikate werden entweder von einer Certification Authority (CA) ausgestellt oder es werden eigene self-signed Zertifikate erstellt. Vergleicht man das Vorgehen in Connect:Direct mit dem vorangegangenen Beispiel, wäre der Personalausweis das Zertifikat und die Personalausweisbehörde die Certification Authority.

Vorgehen in Connect:Direct Secure+

Arbeit am Laptop

Das Secure+ Admin Tool wird dafür genutzt, die sogenannte Parameterdatei zu verändern, welche der zentralen Konfiguration von Secure+ dient. Neben der Netmap muss sich auch hier für jede Remotenode ein Eintrag befinden. Es werden die Verschlüsselungsalgorithmen und das Protokoll für die Übertragungen festgelegt, die von der jeweiligen Remotenode und der lokalen Node verwendet werden können.

Weiteren wird hier der Pfad zum Trusted Root Zertifikat der CA hinterlegt, mit welchem überprüft wird, ob man dem Zertifikat, welches eine Remotenode sendet, vertrauen kann. Zusätzlich gibt es noch die Möglichkeit, weitere Informationen aus dem Zertifikat mit zu erwartenden Werten abzugleichen. Über die sogenannte Client Authentication Option kann man festlegen, ob auch die Authentifizierung des anderen Kommunikationspartners erfolgen soll.

Mit den Zertifikaten werden gleichzeitig auch die Public Keys verteilt. Erst nachdem die Authentifizierung erfolgreich durchgeführt und ein Verschlüsselungsalgorithmus gefunden wurde, den beide Nodes unterstützen, können die Daten verschlüsselt ausgetauscht werden.

Fazit

Connect:Direct bietet bereits mit den Grundeinstellungen eine sehr hohes Maß an Sicherheit. Dennoch besteht häufig die Anforderung, dass die übertragenen Daten nicht von anderen mitgelesen werden können und sich die Kommunikationspartner gegenseitig authentifizieren müssen, bevor überhaupt eine Session gestartet wird. Hier kommt Secure+ zum Einsatz, welches auf ausgereifte und weit verbreitete Technologien setzt. Mit seinen vielen Einstellungsmöglichkeiten kann Connect:Direct Secure+ sehr flexibel konfiguriert werden, um sichere Dateiübertragungen umzusetzen.

Autor

Wolfgang Schmidt
(ehemaliger) GeschäftsführerX-INTEGRATE Software & Consulting GmbHKontakt