MOVEit Transfer verwendet die Standards TLS und SSH zur sicheren Übertragung von Daten zwischen sich selbst und verschiedenen Clients. MOVEit Transfer fungiert bei allen diesen Übertragungen als Server. Für den Erhalt eines SSL-Serverzertifikats (auch als „cert“ oder „X.509-Zertifikat“ bezeichnet) und eines SSH-Serverschlüssels ist MOVEit Transfer deshalb erforderlich.

Clientzertifikate bzw. Clientschlüssel sind optional. Sie können zusätzlich oder anstelle eines Kennworts zur Authentifizierung eines bestimmten Benutzers verwendet werden. Clientzertifikate können mit den beiden TLS-Schnittstellen (HTTPS und FTPS) und Clientschlüssel mit der SSH-Schnittstelle verwendet werden. In manchen Fällen werden Clientzertifikate auch auf Hardwaretokens gespeichert.

In den nachfolgenden Abschnitten werden die Komponenten beschrieben. Sie finden hier auch Verweise auf andere Abschnitte der Dokumentation mit ausführlichen Informationen zur Konfiguration.

Für den Einstieg sind auch die folgenden Verfahren hilfreich:

TLS-(SSL-)Serverzertifikate

TLS-Serverzertifikate erhalten Sie von Comodo, Thawte, Verisign oder einer anderen der zahlreichen auf dem Markt vertretenen kommerziellen Zertifizierungsstellen (CAs). Ebenso können Sie auch selbstgenerierte Zertifikate verwenden, diesen wird von gängigen Browsern wie Internet Explorer und Firefox aber nicht automatisch vertraut (in diesem Fall wird in der Fensterecke ein Sperrsymbol angezeigt). Im Falle eines selbstgenerierten Zertifikats müssten Ihre Clients explizit angeben, dass sie diesem Zertifikat vertrauen.

MOVEit Transfer-Serverzertifikate können an zwei Stellen konfiguriert werden:

  • HTTP/TLS (Web) – Hier muss das Zertifikat Ihrer MOVEit Transfer-Website mit dem Microsoft Internetdienste-Manager zugewiesen werden. (Menü [Site] Eigenschaften, Registerkarte Verzeichnissicherheit, Abschnitt Sichere Kommunikation)
  • FTP/TLS – Das gleiche Zertifikat muss Ihrer MOVEit Transfer FTP-Site ebenfalls mit der Anwendung MOVEit Transfer Config zugewiesen werden. (Registerkarte FTP Certs (FTP-Zertifikate))

TLS-(SSL-)Clientzertifikate

Bei Verwendung der HTTPS- oder der FTP/TLS-Schnittstelle werden die Benutzer bei der Anmeldung eventuell aufgefordert, ein TLS-Clientzertifikat bereitzustellen. Ausführliche Informationen hierzu finden Sie in den Abschnitten Clientzertifikate – Überblick und FTP – Konfiguration (Clientzertifikate verlangen).

SSH-Serverschlüssel

SSH-Schlüssel stehen in keiner Beziehung zu einer Zertifizierungsstelle, d. h. der MOVEit Transfer-SSH-Server generiert seinen eigenen Schlüssel einfach bei seiner ersten Ausführung.

Ihren Fingerabdruck können Sie jederzeit in der Anwendung MOVEit Transfer Config anzeigen. (SSH tab (Registerkarte SSH))

Siehe auch SSH-Schlüssel – Serverschlüssel – Überblick.

SSH-Clientschlüssel

SSH-Benutzer werden bei der Anmeldung eventuell zur Bereitstellung eines SSH-Clientschlüssels aufgefordert. Ausführliche Informationen hierzu finden Sie im Abschnitt SSH-Schlüssel – Clientschlüssel – Überblick.

Relative Sicherheit von Kennwörtern, Schlüsseln und Zertifikaten

Zum Schutz von Kennwörtern stellt MOVEit Transfer die folgenden Mechanismen bereit: eine erforderliche Kennwortstärke, den Ablauf von Kennwörtern, IP- und Sitzungsbeschränkungen pro Benutzer, automatische Aussperrungen sowie die Verwendung von verschlüsselten TLS- und SSH-Kanälen für die sichere Übertragung von Kennwörtern.

Clientzertifikate und Clientschlüssel sind in der Regel an bestimmte Computer oder Hardwaretokens gebunden. Um diese Berechtigungsnachweise missbrauchen zu können, müsste ein Angreifer die Kontrolle über den betreffenden Desktop oder Laptop haben (bei einem installierten Zertifikat bzw. Schlüssel) bzw. im Besitz des betreffenden Hardwaretokens sein. Alle Clientzertifikate und Clientschlüssel stützen sich auf einen öffentlichen und einen privaten Schlüssel. Bei diesem Modell reicht oft der Besitz des privaten Schlüssels eines Benutzers aus, um sich als dieser Benutzer ausgeben zu können. MOVEit Transfer arbeitet jedoch nicht direkt allein mit der einen Hälfte der Verschlüsselung eines Clientzertifikats bzw. -schlüssels, dem privaten Schlüssel, so dass Sicherheitsprobleme durch den Missbrauch des privaten Schlüssels nahezu ausgeschlossen sind.

Aufgrund der Schwächen von Kennwörtern und Clientzertifikaten bzw. -schlüsseln müssen sich Benutzer oft mit beidem authentifizieren. Um sich bei diesem Schema eines Computers bemächtigen zu können, müsste ein Angreifer schon im Besitz des Benutzerkennworts sein und sich Zugriff auf den privaten Schlüssel verschafft haben. Dieser aus zwei Faktoren bestehende Schutz ist für einen Angreifer schon wesentlich schwieriger zu kompromittieren als der alleinige Schutz durch ein Kennwort oder ein Clientzertifikat bzw. einen Clientschlüssel.

Unterschied zwischen Clientzertifikat und Clientschlüssel

Der wichtigste Unterschied zwischen SSH-Schlüsseln und TLS-Zertifikaten (X.509) besteht darin, dass es sich bei SSH-Schlüsseln um eigenständige Berechtigungsnachweise handelt, während TLS-Zertifikate verifiziert sein müssen.

SSH-Server (so auch MOVEit Transfer) ordnen SSH-Clientschlüssel jeweils einem bestimmten Benutzer zu. Wenn ein SSH-Client einen SSH-Schlüssel vorlegt und dieser mit demjenigen im Benutzerdatensatz übereinstimmt, wird der SSH-Client authentifiziert.

TLS-Server (so auch MOVEit Transfer) ordnen TLS-Clientzertifikate ebenfalls bestimmten Benutzern zu, jedoch führen TLS-Server für eingehende SSL-Clientzertifikate eine zusätzliche Hintergrundprüfung durch. TLS-Clientzertifikate werden von Zertifizierungsstellen (CAs) signiert und ausgegeben. TLS-Server führen eine Liste der Zertifizierungsstellen, denen sie vertrauen. Wenn ein TLS-Server ein gültiges TLS-Clientzertifikat erhält, er jedoch der Zertifizierungsstelle dieses Zertifikats nicht vertraut, lehnt er die Verbindung ab.

Die Konfiguration der TLS-Authentifizierung ist komplizierter als die Konfiguration der SSH-Authentifizierung.

Erforderliche Berechtigungsnachweise

MOVEit Transfer-Benutzer können sich mit Kennwörtern, Clientschlüsseln (nur SSH) oder Clientzertifikaten (HTTPs und FTP/TLS) authentifizieren. Die zulässigen Kombinationen können durch Optionen im Benutzerprofil für jeden Benutzer individuell festgelegt werden. (Die Standardeinstellungen werden auf Organisationsebene festgelegt.) Mögliche Einstellungen:

  • Nur Kennwort (Schlüssel und Zertifikate werden ignoriert)
  • Nur Schlüssel bzw. Zertifikat (Kennwörter werden ignoriert)
  • Kennwort ODER Schlüssel bzw. Zertifikat (wenn ein Berechtigungsnachweis übereinstimmt, wird der andere ignoriert)
  • Kennwort UND Schlüssel bzw. Zertifikat (siehe „Zweifaktor-Authentifizierung“)

Zweifaktor-Authentifizierung

Auf Systemen, die eine Zweifaktor-Authentifizierung verlangen, sind die folgenden Komponenten erforderlich:

  • Identitätsnachweis (i. d. R. der Benutzername)
  • Eindeutiger Berechtigungsnachweis 1 (i. d. R. ein Kennwort)
  • Eindeutiger Berechtigungsnachweis 2 (i. d. R. ein Clientzertifikat bzw. ein Clientschlüssel)

MOVEit Transfer unterstützt die Zweifaktor-Authentifizierung auf seiner HTTPs- und seiner FTP/TLS-Schnittstelle mit Clientzertifikaten und auf seiner FTP over SSH-Schnittstelle mit Clientschlüsseln. Zur Erzwingung dieser Anforderung für einen bestimmten Benutzer müssen auf jeder Schnittstelle die folgenden Optionen auf Benutzerebene aktiviert sein.

  • Require client key/certificate (Clientschlüssel/-zertifikat verlangen)
  • Require password if a key/certificate is presented (Zusätzlich zum Clientschlüssel/-zertifikat ein Kennwort verlangen)

Viele FTP/TLS-Clients unterstützen Einstellungen für die Zweifaktor-Authentifizierung (Kennwort und Zertifikat) sowohl im interaktiven als auch im Batchmodus. Der meist genutzte SSH-Client (OpenSSH) funktioniert jedoch nur im interaktiven Modus mit der Zweifaktor-Authentifizierung (im Batchmodus unterstützt OpenSSH nur die Einfaktor-Authentifizierung mit Nur Schlüssel oder Kennwort ODER Schlüssel).