BlackBerry Secure Connect Plus / Connectivity: Erläuterung und Anleitung

Mit dem Update des BlackBerry Enterprise Service 12 auf Version 12.2 ist für Nutzer eine sehr wichtige Funktion erhältlich: BlackBerry Secure Connect Plus.

BlackBerry Secure Connect Plus stellt einen sicheren IP-Tunnel zwischen geschäftlichen Apps auf BES12 verwalteten Geräten mit Android, BlackBerry OS10 sowie iOS und dem Netzwerk eines Unternehmens her.

Nach einem Rebranding heißt die App nun Connectivity, die Dienste und Policies laufen bisher noch unter dem Namen Secure Connect Plus.

Erläuterung

Secure Connect Plus

BlackBerry Secure Plus übernimmt den IP Traffic zwischen den mobilen Geräten und dem BlackBerry Enterprise Service (BES) 12 und überträgt diesen Ende-zu-Ende verschlüsselt. Dies stellt eine sichere Verbindung für Nutzer dar, die keinen Zugriff auf das Unternehmens-Wi-Fi-Netz oder VPN haben. Der Dienst ist hinter der Unternehmensfirewall installiert, somit werden die Daten nur durch die Unternehmensrichtlinien zugelassene und vertrauenswürdige Zonen verschickt.

BlackBerry Secure Connect Plus und ein unterstütztes Gerät bauen einen sicheren IP Tunnel auf wenn es die beste und sicherste Möglichkeit ist. Der sichere IP Tunnel wird dabei über den BES12 und der BlackBerry Infrastruktur aufgebaut und jedes Gerät bekommt einen eigenen IP Tunnel zugewiesen.

Der IP Tunnel unterstützt IPv4 Protokolle wie TCP und UDP. Solange der Tunnel offen ist, können alle Anwendungen aus dem Work Perimeter auf diese Verbindung zugreifen. Sobald der Nutzer wieder in Reichweite eines Unternehmens-Wi-Fi ist oder ein VPN zur Verfügung steht wird der Tunnel deaktiviert.

Funktionsweise BlackBerry Secure Connect Plus

Funktionsweise SCS

  1. Das Endgerät schickt ein Signal über einen TLS Tunnel und Port 443 an die BlackBerry Infrastruktur, um eine Anfrage für einen sicheren Tunnel abzusetzen. Das Signal ist Ende-zu-Ende verschlüsselt und nutzt nach FIPS-140 zertifizierte Certicom Bibliotheken mit RSA und ECC Schlüsseln.
  2. BlackBerry Secure Connect Plus erhält das Signal über Port 3101 von der BlackBerry Infrastruktur.
  3. Das Endgerät und BlackBerry Secure Connect Plus handeln die Tunnel Parameter aus und richten einen sicheren Tunnel über TURN durch die BlackBerry Infrastruktur ein. Die Authentifizierung und Verbindung ist dabei per DTLS Ende-zu-Ende verschlüsselt.
  4. BlackBerry Secure Connect Plus übernimmt den Transport der IP-Pakete und die Ver- sowie Entschlüsselung.
  5. BlackBerry Secure Connect Plus terminiert den Tunnel sobald er nicht mehr benötigt wird.

BlackBerry Secure Connect Plus kann über einen einzigen TURN Zuteilung in der BlackBerry Infrastruktur mehrere Tunnel aufbauen. Jeder Tunnel ist für ein anderes Gerät und hat eine einzigartige ID und DTLS Kontext.

Anleitung

Voraussetzungen für BlackBerry Secure Connect Plus

  1. Verifizierung, ob die BES12 Domäne die Voraussetzungen für BlackBerry Secure Connect Plus erfüllt. (Folgt weiter unten im Beitrag)
  2. Im Enterprise-Konnektivitätsprofil BlackBerry Secure Connect aktivieren (rot umrandet) unter Richtlinien und Profile.
    Enterprise Konnektivitätsprofil
  3. Optional: DNS Einstellungen für die BES12 Secure Connect Plus App unter Einstellungen/Infrastruktur/BlackBerry Secure Connect Plus hinterlegen. Ansonsten werden die Daten des BES12 Host Computer genommen.
    BB SCS DNS Einstellungen
  4. Den Nutzern direkt oder über eine Gruppe das Konnektivitätsprofil zuweisen.

BES12 Domäne

Die Unternehmensfirewall muss ausgehende Verbindung über Port 3101 für <region>.turnb.bbsecure.com and<region>.bbsecure.com zulassen. Falls der BES12 zur Nutzung eines Proxy Servers konfiguriert ist, müssen diese Subdomains über Port 3101 über den Proxy Server erreichbar sein.

Die BlackBerry Secure Connect Plus Komponente muss in jeder BES12 Instanz aktiv sein.

BlackBerry 10 Geräte

  • Mindestens BlackBerry OS10.3.2
  • Aktivierungsprofile:
    Work and personal – Corporate (Geschäftlich und persönlich – Unternehmen)
    Work space only (Nur beruflicher Bereich)
    Work and personal – Regulated (Geschäftlich und persönlich – reguliert)

Samsung KNOX Workspace Geräte

  • Mindestens Android OS 5.0 (Lollipop)
  • Mindestens Samsung KNOX MDM 5.0
  • Mindestens Samsung KNOX 2.1
  • Aktivierungsprofile:
    Work space only – Samsung KNOX (nur beruflicher Bereich – Samsung KNOX)
    Work and personal – full control – Samsung KNOX (Geschäftlich und persönlich – vollständige Kontrolle (Secure Work Space)

Android for Work Geräte

  • Mindestens Android OS 5.0 (Lollipop)
  • Aktivierungsprofil:
    Work and personal – user privacy – Android for Work Premium activation type

Besonderheit BlackBerry Secure Connect Plus / Connectivity App

 

Auf Android Geräten muss der Nutzer einigen Anwendungsberechtigungen der Secure Connect Plus App (erhältlich im Google Play Store) zustimmen. Nachdem diese akzeptiert wurden sind keine weiteren Eingaben durch den Nutzer notwendig. Die Anwendung kann zur Überprüfung der Verbindung geöffnet werden.

Auf BlackBerry 10 Geräten ist die App versteckt und benötigt keine Nutzerinteraktionen.

Forumsdiskussion

Beitrag von Ben Witt und Claus Börschig.

bb10qnx