Sicherer Dateitransfer mit IBM Sterling Connect:Direct

Es gibt viele Möglichkeiten Dateien zwischen unterschiedlichen Systemen zu übertragen. Allerdings sind nur wenige davon zuverlässig, performant und sicher. IBM Sterling Connect:Direct kann hier als gutes Beispiel genannt werden, welches die genannten Anforderungen erfüllt.

Neben der Basis-Absicherung, welche auf dem Userproxy, der Benutzer von entfernten Systemen auf lokale Benutzer mappt, der Benutzerverwaltung, mit der man die Rechte der einzelnen Nutzer feingranular festlegen kann, und der Netmap, in der alle Kommunikationspartner aufgelistet werden, basiert, gibt es noch eine Zusatzoption, die sich Secure+ nennt.

Secure+ ermöglicht die Authentifizierung der Kommunikationspartner mit Hilfe von Zertifikaten und die Verschlüsselung der übertragenen Daten mit Hilfe von SSL, TLS oder STS. In diesem Blogeintrag werde ich auf die Möglichkeiten der SSL- und TLS-basierten Absicherung eingehen.

Für die Verschlüsselung von Daten gibt es zwei unterschiedliche Vorgehensweisen:

• Symmetrische Verschlüsselung
• Asymmetrische Verschlüsselung

Bei der symmetrischen Verschlüsselung wird ein und derselbe Schlüssel zur Ver- und Entschlüsselung genutzt, wohingegen es bei der asymmetrischen Verschlüsselung jeweils unterschiedliche Schlüssel gibt. Es gibt den sogenannte Public Key zum Ver- und den Private Key zum Entschlüsseln. Letzteres Verfahren hat den Vorteil, dass man den Public Key veröffentlichen kann, somit jeder Daten verschlüsseln, aber nur diejenige Person, die den Private Key besitzt, die Daten wieder entschlüsseln kann.

Mit Hilfe der Authentifizierung lässt sich nun noch sicherstellen, dass ein Kommunikationspartner der ist, für den er sich ausgibt. Ein Beispiel aus dem echten Leben ist das Überprüfen des Personalausweises.

In Connect:Direct Secure+ werden dafür digitale Zertifikate genutzt, in denen die Identität einer Node festgeschrieben wird. Diese Zertifikate werden entweder von einer Certification Authority (CA) ausgestellt oder es werden eigene self-signed Zertifikate erstellt. Vergleicht man das Vorgehen in Connect:Direct mit dem vorangegangenen Beispiel, wäre der Personalausweis das Zertifikat und die Personalausweisbehörde die Certification Authority.

Weiteren wird hier der Pfad zum Trusted Root Zertifikat der CA hinterlegt, mit welchem überprüft wird, ob man dem Zertifikat, welches eine Remotenode sendet, vertrauen kann. Zusätzlich gibt es noch die Möglichkeit, weitere Informationen aus dem Zertifikat mit zu erwartenden Werten abzugleichen. Über die sogenannte Client Authentication Option kann man festlegen, ob auch die Authentifizierung des anderen Kommunikationspartners erfolgen soll.

Mit den Zertifikaten werden gleichzeitig auch die Public Keys verteilt. Erst nachdem die Authentifizierung erfolgreich durchgeführt und ein Verschlüsselungsalgorithmus gefunden wurde, den beide Nodes unterstützen, können die Daten verschlüsselt ausgetauscht werden.

Connect:Direct bietet bereits mit den Grundeinstellungen eine sehr hohes Maß an Sicherheit. Dennoch besteht häufig die Anforderung, dass die übertragenen Daten nicht von anderen mitgelesen werden können und sich die Kommunikationspartner gegenseitig authentifizieren müssen, bevor überhaupt eine Session gestartet wird. Hier kommt Secure+ zum Einsatz, welches auf ausgereifte und weit verbreitete Technologien setzt. Mit seinen vielen Einstellungsmöglichkeiten kann Connect:Direct Secure+ sehr flexibel konfiguriert werden, um sichere Dateiübertragungen umzusetzen.