BES 12.4: Secure Gateway Service mit IOS

Bei all den Fortschritten, die BES12 mit zahlreichen Updates machte, stellte sich immer irgendwie die Frage, wie es eigentlich mit Apples IOS  Geräten weitergehen sollte. Im Android Umfeld kamen nach und nach Knox und AfW, welche hervorragende Alternativen bei hoher Sicherheit ermöglichen. OS10 war sowieso schon immer hervorragend. Im IOS Umfeld gab es jedoch stets nur die beiden Optionen MDM Controls und Secure Workspace.

Bei MDM Control kann das Gerät lediglich verwaltet werden. Mittels eines Mailprofils kann man zwar Apples native Mailapp parametrisieren. Allerdings war es für eine Nutzung stets zwingend, den Mailserver direkt oder über Reverse Proxy (RP) im Internet zu exponieren. Eine Reverse Proxy Anbindung hat BlackBerry bei seinem Produkt auch nie mitgeliefert.

Die Secure Workspace bietet eine Alternative, Maildaten über die BlackBerry Infrastruktur sicher zu übertragen. Allerdings findet der app-basierte Container keine besondere Akzeptanz. Neben dem Umstand, dass er langsam und unzuverlässig ist, beklagten viele Anwender einen Verlust ihres “Apple-Gefühls”, was natürlich in den Kreisen gar nicht geht.

BlackBerry hat reagiert und will nach der Übernahme von GOOD nach und nach deren Suites einführen, die bessere Akzeptanz und Stabilität bringen. Die Secure Work Space ist daher bis Ende des Jahres abgekündigt.

Relativ unbemerkt hat in der letzten BES Version 12.4 ein neues Feature Einzug gehalten: Der Secure Gateway Service für IOS. Dahinter verbirgt sich eine neue Art der Anbindung von Apples nativer Mailapp über die BlackBerry Infrastruktur, was einerseits den Anwendern ihren Livestyle lässt und andererseits den Unternehmen die notwendige Sicherheit bringt. Der Trick ist so genial wie einfach: BlackBerry stellt hierzu in seiner Infrastruktur einem Kunden (genauer gesagt einer SRP-ID) einen “eigenen” Reverse Proxy bereit, mit dem die App verbunden wird. Über den BES Datenverkehr via Port 3101, natürlich AES-256 verschlüsselt, gelangen die Datenpackete dann zum intern stehenden Mailserver. Der Aufwand wird notwendig, weil IOS für die Mailapp und manches andere keine VPN-Umlenkung erlaubt.

Die Einfachheit des Verfahrens hat ihren Tribut in der Sicherheit: Es ist leicht nachvollziehbar, dass in der BlackBerry-Infrastruktur eine Entschlüsselung der Daten stattfinden muss, wenn man sie später als SSL-verschlüsselter EAS-Strom der nativen Apple Mailapp übergeben will. Somit haben wir hier keine Ende-zu-Ende Verschlüsselung mehr. Dafür allerdings natives Lock and Feel bei wenig Investition … ja, wenn man es denn nur zum Laufen bringt.

Wir haben viel in den verfügbaren Dokumentation gelesen und einfach herumexperimentiert. Sogar erfolglos den BlackBerry Support kontaktiert. Letztlich fanden wir nur durch Zufall einen Weg, wie der Secure Gateway Service zum Laufen zu bekommen ist. Gemäß der amtlichen Dokumentation funktioniert es, Stand jetzt, leider nicht. Daher wollen wir unseren Weg der Community zur Verfügung stellen, er wurde an drei unabhängigen Installationen erfolgreich überprüft. Für diese Anbindung wird eine Silber Lizenz benötigt.

Im ersten Schritt hinterlegt man die Zertifikate des Mailservers gemäß KB 000038067 im Repository des BES12 entsprechend der Abbildung:
01-Zertifikate

Ohne diesen Schritt kommt keine Verbindung nach Innen zustande. Wir vermuten, dass der Zertifikatsaustausch nicht stattfinden kann. Man findet die Zertifikate im Zertifikatsspeicher oder holt sie sich per Browser

Im zugewiesenen Enterprise-Konnektivitätsprofil wird unter “IOS” der Transport über BlackBerry Secure Connect Plus aktiviert.

02-Enterprisekonnektivitätsprpfil

Im zugewiesenen Mailprofil muss man unter dem Reiter “IOS” den BlackBerry Secure Gateway Service aktivieren.

03-Mailprofil
Wichtig ist dabei, dass der Mailserver mit internem vollqualifiziertem Namen angegeben wird.

Die IOS-APP “BES12 Secure Connect Plus” muss definiert und zugewiesen werden.

05-scp-App

Eine Installation auf dem Gerät scheint jedoch nicht erforderlich zu sein. Unlogisch, ja, ohne geht es aber nicht.

Das Apple Gerät nun wie gewohnt mittels des BES12-Clients aktivieren. Dabei etwas Geduld mitbringen, da einzelne Schritte im Ablauf, wie die Übertragung der Profile, etwas Zeit in Anspruch nehmen können. Den Erfolg kann man, nach einigem Warten, am Profil für den Mailaccount sehen:

04-mod.mailprofil

Tatsächlich wurde der im ursprünglichen Mailprofil angegebene interne Servername nun durch einem dynamischen Reverse Proxy auf bbsecure.com ersetzt. Der Server ist insofern “kundeneigen”, als die individuelle SRP-Adresse in der URL integriert ist. Nach Eingabe des Passworts wird synchronisiert.

Hat man alles richtig gemacht, wird das IOS-Gerät auf diesem Weg munter Mails senden und empfangen. Wir wünschen viel Erfolg mit dem BlackBerry Secure Gateway Service und Apple Geräten.

Forumsdiskussion

 

 

 

Dieser Beitrag hat 6 Kommentare

Schreibe einen Kommentar