Schlagwort-Archive: BlackBerry

Untersuchung zur Sicherheit der Over-the-air-Erzeugung von Master Encryption Keys zwischen BlackBerry-Geräten und dem BlackBerry Enterprise Server

Im aktuellen Newsletter (der sehr zu empfehlen ist) von ERNW wird das Thema over-the-air-Erzeugung von Master Encryption keys zwischen Blackberry Server und Handheld analysiert. Der Artikel geht dabei sehr detailiert auf die Funktionsweise und die verwendeten Mechanismen zum sicheren Austausch des Schlüsselmaterials ein. Das Fazit der Bewertung fällt dabei „pro“ RIM aus:

(…) Die Erzeugung von Master Encryption Keys zur Inbetriebnahme von BlackBerry-Geräten und für das automatische Update von Master Encryption Keys zwischen BlackBerry-Geräten und dem BlackBerry Enterprise Server (BES) wird aufgrund der vorliegenden Untersuchung als sicher im Sinne aktueller Sicherheitsstandards bewertet. (…)

Neben dem reinen Austausch des Schlüsselmaterials gibt der Artikel auch weitere Hinweise wie die Policy des BES zu konfigurieren ist um einen sicheren Betrieb sicherstellen  zu können:

  • aktivieren der „Content Protection“ um die auf dem BlackBerry gespeicherten Daten (Schlüssel) zu schützen
  • setzen der Policy „Content Protection Strength IT-Policy“ auf „stronger“ um einen 283-bit langen ECC-Schlüssel zu erzwingen
  • aktivieren des Passwortschutzes mit der Policy „Password Required IT-Policy“ (sonst macht die Content Protection wenig Sinn 😉 )
  • setzen der „Minimum Password Length IT-Policy“ auf einen sicheren Wert – der Artikel empfiehlt hier zwölf Zeichen – dies dürfte jedoch in wenigen Umgebungen bei den Benutzern Zuspruch finden 😉

Zusätzlich zu dem Artikel des ERNW lege ich jedem auch noch die Untersuchungen des Frauenhofer Institutes ans Herz. Diese Untersuchung deckt alle Teile mit Ausnahme der Over-the-air-aktivierung ab und sollte daher als Basis jeder guten BES Konfiguration verwendet werden.

Frauenhofer SIT 2006

Frauenhofer SIT 2008 (deutlich hilfreicher als das 2006er Dokument)

Vodafone legts wirklich darauf an…

So, heute habe ich jetzt die letzte Abbuchung von Vodafone erhalten und was muß ich feststellen? Die Jungs sind echt der Hammer! Jetzt behaupten die doch tatsächlich schon wieder, dass ich für ~70 € extra im Ausland BlackBerry Dienste genutzt habe. Grundsätzlich kann ich ja mit solchen Aussagen leben – ABER NICHT, WENN MEIN BLACKBERRY SERVER SCHON ANFANG DES MONATS VOM UMZUGSUNTERNEHMEN EINGEPACKT WURDE! Mein Puls ist echt auf 180 und ich habe gerade echt lust nun doch meinen Anwalt einzuschalten. *grrrr* und sowas vor dem Wochenende.

… letzter Post zu dem Thema: http://www.security-blog.eu/2009/04/20/nie-wieder-vodafone/

Failed to open the default message store using the MAPI profile BlackberryManager

Hi,

meine Versuche den Blackberry Enterprise Servers (BES) auf einem ganz normalen Windows 2003 R2 (x86) System zu installieren wurde ich in den letzten Tagen nach dem erforderlichen Reboot und dem Start der Management Console durch die Fehlermeldung:

Failed to open the default message store using the MAPI profile BlackberryManager.

begrüßt. Auch mehrfaches neu installieren und hunderfaches prüfen der lokalen und Exchange Rechte konnten den Server nicht dazu bewegen die Installation zu Ende zu bringen.

Nachdem ich schon fast aufgegeben hatte habe ich gestern den Server ein weiteres mal neu installiert und danach den BES Installiert und oh Wunder, nach dem Reboot ging die Installation weiter! Das einzige, was  bei dieser Installation von den anderen Installationversuchen abweichend war, war die Tatsache, dass ich mich auf den Server nicht via RDP sondern mit Hilfe der VMWare-Konsole verbunden hatte!

Um das ganze gegen zu prüfen habe ich also (jetzt war ich neugierig…) die aktuelle VM gesichert und den SnapShot vor der Installation des BES eingespielt. Die Installation habe ich dann via RDP Verbindung gestartet und siehe da, o. g. Fehlermeldung begrüßte mich nach dem Reboot… Nach einem erneuten zurück setzten der VM und einer Erfolgreichen Installation via Konsole bin ich mir jetzt sicher, dass es an der RDP Sitzung hängt – warum auch immer…

Exchange 2007 & BlackBerry Enterprise Server

Heute habe ich auf ServerHowTo.de eine neue Anleitung veröffentlicht welche die Installation eines BlackBerry Enterprise Servers in einer Exchange 2007 Umgebung beschreibt. Finden können Sie die Anleitung unter:

http://www.ServerHowTo.de/(…)

Ergänzend zu dem Artikel noch einige Hinweise zum Thema Sicherheit.

Da der BlackBerry Server eine Verbindung ins Internet aufbaut um dort mit den Servern von RIM die Mails auszutauschen, gehört der BES bzw. besser der BlackBerry Router in eine DMZ die auf der einen Seite die Kommunikation mit den RIM Servern erlaubt und auf der anderen Seite die Verbindung zum Exchange Server ermöglicht.

Der Account (BESAdmin) unter dem i. d. R. der BlackBerry Enterprise Server installiert wird besitzt sehr weitgehende Rechte auf die Mailboxen der BlackBerry Benutzer. Es sollte daher sicher gestellt werden, dass der Account nur die nötigsten Rechte erhält. Das setzen des „senden als“ Recht für alle Benutzer sollte daher nur dann gewählt werden, wenn tatsächlich alle oder nahezu alle Benutzer in der Exchange Umgebung einen BlackBerry benutzen. Des Weiteren sollte das Passwort des BESAdmin in einem Notuserverfahren verwaltet werden um das unbemerkte mitlesen von fremden eMails durch Administratoren über diesen Account verhindern zu können.

Die BlackBerry Endgeräte bieten die Möglichkeit die gespeicherten Inhalte zu verschlüsseln. Diese Option sollte insbesondere dann aktiviert werden, wenn vertrauliche Informationen (was heute fast überall der Fall ist) über das Medium eMail ausgetauscht werden. Zusätzlich bietet der BlackBerry Enterprise Server die Möglichkeit ein gestohlenes oder verlorenes zu „putzen“ und zu deaktivieren. Gestohlene BlackBerry Endgeräte sind daher recht wertlos für einen Dieb.

Der BES verfügt über die Möglichkeit Richtlinien an die Clients zu verteilen. Die vorhandenen Einstellungen sollten entsprechend der Sicherheitsbedürfnisse des Unternehmens angepasst werden. Dinge wie das erzwingen von Anmeldepassworten sollten dabei obligatorisch sein und von den Anwendern auch nicht geändert werden können. Nach einem Update lohnt es sich i. d. R. immer einen Blick in die Richtlinien zu werfen – diese werden dabei regelmäßig erweitert.

Beim Patchen der Exchange und BES Server ist Vorsicht geboten. Nicht selten hört man, dass nach einem Patch des Exchange Servers die „senden als“ Rechte des BESAdmin verschwunden sind. Wenn Sie also nach einem Update von Ihren Benutzern hören, dass diese zwar Mails empfangen aber nicht senden können sollten Sie diese Berechtigungen zuerst prüfen. Des Weiteren ist der BES sehr empfindlich, was seine API zum Exchange Server angeht. Ein Update des Exchange Servers macht daher u. U. auch ein entsprechendes Update des BES notwendig!