4 Netzwerkzugriff Prüfungsanforderungen von Microsoft: Configuring Network Access o Configure remote access o Configure Network Access Protection (NAP) o Configure network authentication o Configure wireless access o Configure firewall settings Quelle: Microsoft Lernziele: RAS VPN RADIUS Netzwerkauthentifizierung Wireless Zugriff NAP 4.1 Einführung Der Netzwerkzugriff ist ein Thema, das immer mehr an Bedeutung gewinnt. Einerseits sind viele Mitarbeiter in den Firmen mobil unterwegs, und benötigen die Möglichkeit, auf die internen Ressourcen zugreifen zu können, andererseits ist die Sicherheit hierbei ein nicht zu vernachlässigendes Problem. Windows Server 2008 bietet für diesen Bereich gute und innovative Lösungen, die Sie im Detail kennen sollten. 311
RAS 4.2 RAS RAS bedeutet Remote Access Service. Sie benötigen einen RAS-Server, damit von außen auf ein Firmennetz zugegriffen werden kann. Es gibt mehrere Möglichkeiten, warum Sie auf ein Firmennetz von außen zugreifen müssen: Ein einzelner Benutzer wählt sich über das Internet ins Firmennetz ein Ein einzelner Benutzer wählt sich direkt ins Firmennetz ein Eine Verbindung eines externen Netzes zum Firmennetz über das Internet Eine direkte Verbindung eines externen Netzes zum Firmennetz Abbildung 4.1: RAS 4.2.1 Der Zugriff auf ein Netzwerk Aufgrund der zwei verschiedenen Möglichkeiten, auf den RAS-Server zugreifen zu können, gibt es zwei verschiedene Möglichkeiten, eine Verbindung aufzubauen DFÜ VPN 312
DFÜ-Verbindung Eine DFÜ-Verbindung ist eine direkte Anwahl an das Firmennetz mithilfe einer Telefonnummer. Diese Verbindungsart kann recht teuer sein, hat aber den Vorteil, dass eine dedizierte Leitung für die Kommunikation benutzt wird, und die Daten somit nicht so gefährdet sind, wie bei einer Übertragung über das Internet. Leider ist die Telefonleitung nicht direkt für die Übertragung von Daten geeignet, der eigentliche Einsatzbereich einer Telefonleitung ist die Übertragung von Sprache. Aus diesem Grund wird ein Protokoll benötigt, das die Übertragung von Daten über die Telefonleitung ermöglicht. Für diese Aufgabe stehen zwei verschiedene Protokolle zur Verfügung SLIP (Serial Line Interface) PPP (Point to Point Protocol) SLIP SLIP ist das ältere Protokoll. Für eine Verbindung wird eine TCP/IP Verbindung und eine statische IP-Adresse benötigt. SLIP wird von Windows Server 2008 nicht unterstützt, die Microsoft Clients dagegen können mit SLIP eine Verbindung aufbauen. PPP PPP ist das neuere Protokoll. PPP kann mit allen Arten von Netzwerken kommunizieren, NetBEUI, TCP/IP oder IPX/SPX. PPP wird von Microsoft sowohl auf der Clientseite als auch auf der Serverseite unterstützt. ACHTUNG! Microsoft unterstützt auf der Clientseite sowohl das ältere Protokoll SLIP, als auch das neuere Protokoll PPP, auf der Serverseite dagegen wird nur das Protokoll PPP unterstützt! Eine DFÜ-Verbindung einzurichten, ist sehr einfach. Sie öffnen bei einem 313
RAS Vista-Client das Netzwerk- und Freigabecenter und wählen Eine Verbindung oder ein Netzwerk einrichten. Abbildung 4.2: DFÜ-Verbindung einrichten Hier wählen Sie Verbindung mit dem Arbeitsplatz herstellen. Abbildung 4.3: Direkt wählen oder VPN Auf der nächsten Seite wählen Sie aus, ob Sie eine DFÜ- oder eine VPN- Verbindung herstellen möchten. 314
Direkt wählen bedeutet natürlich in diesem Fall das Erstellen einer DFÜ- Verbindung. Abbildung 4.4: Wahlparameter Nun geben Sie die Rufnummer ein, und entscheiden sich, ob Sie eine Smartcard verwenden wollen, oder nicht. Abbildung 4.5: Benutzername und Kennwort Natürlich werden auch Benutzername und Kennwort benötigt. 315
RAS VPN-Verbindung Eine VPN-Verbindung ist eine Verbindung zu einem RAS-Server, die das Internet zur Informationsübertragung nutzt. Auch hierbei wird prinzipiell die Telefonleitung benutzt, aber nur, um eine Verbindung zum Internet Service Provider herzustellen. Sie wählen sich also bei Ihrem Internetdienstanbieter ein. Von dort aus werden die Daten ins Internet weitergeleitet. Diese Art der Datenübertragung ist sehr günstig, aber leider nicht sehr sicher. Aus diesem Grund muss eine Möglichkeit gefunden werden, die Datenübertragung über einen VPN-Tunnel zu verschlüsseln. Für diese Verschlüsselung werden VPN-Protokolle benutzt. Auch hier gibt es mehrere Protokolle: PPTP (Point to Point Tunneling Protocol) L2TP (Layer 2 Tunneling Protocol) Funktion PPTP L2TP Header Komprimierung Nein Ja Tunnel Authentifizierung Nein Ja Eigene Verschlüsselung Ja Nein Kann mit IP-basierten Netzwerken benutzt Ja Ja werden Kann mit Netzwerken benutzt werden, die auf Frame Relay, X25 oder ATM basieren Nein Tabelle 4.1: Vergleich PPTP und L2TP Ja L2TP erscheint in allen Belangen besser, bis auf den wichtigsten: L2TP kann nicht verschlüsseln. Das ist aber kein Problem, denn L2TP erlaubt eine Verschlüsselung, die viel besser ist, als die eigene Verschlüsselung von PPTP. Mit L2TP ist es möglich, eine Verschlüsselung über IPSec zu machen. IPSec ist ein Industriestandard, und momentan wohl eine der sichersten Verschlüsselungen. Bei IPSec werden die Daten von der sendenden Netzwerkkarte bis zur empfangenden Netzwerkkarte verschlüsselt. 316
Versuchen Sie, wenn möglich, bei einem VPN immer L2TP zusammen mit IPSec zu benutzen. SSTP (Secure Socket Tunneling Protocol) Seit Windows Server 2008 und Windows Vista gibt es ein neues VPN- Protokoll: SSTP. SSTP ermöglicht die Verkapselung von PPP-Paketen (PPP = Point-to-Point- Protokoll) über HTTP. Damit haben wir die Möglichkeit, eine VPN-Verbindung durch eine Firewall einzurichten, ohne dass weitere Ports geöffnet werden müssen. SSTP benutzt standardmäßig Port 443, also den SSL-Port. Deswegen müssen Sie auf dem VPN-Server ein Computerzertifikat installieren, bei dem der Name des Antragstellers mit dem Hostnamen des VPN-Servers übereinstimmt. ACHTUNG! SSTP ist ein wirklich gutes VPN-Protokoll, da die Konfiguration der Firewall sehr einfach ist. Allerdings können Sie SSTP nur benutzen, wenn der VPN-Server Windows 2008 ist und der Client Windows Vista mit SP1. Das Herstellen einer VPN-Verbindung ist ebenfalls im Netzwerk- und Freigabecenter einzurichten. Sie wählen lediglich auf der entsprechenden Karteikarte VPN aus. Abbildung 4.6: VPN 317
RAS Danach definieren Sie den Endpunkt des VPN-Tunnels. Dies ist der RAS-Server der Firma. Sie können den Server mit dem Namen oder mit der IP-Adresse identifizieren. Abbildung 4.7: Endpunkt des VPN ACHTUNG! Die bessere Wahl ist es, den Zielrechner mit der IP-Adresse zu identifizieren, da dies der schnellere Weg ist, denn Sie benötigen keine Namensauflösung mehr. Das entsprechende VPN-Protokoll können Sie auf der Karteikarte Netzwerk einstellen. 4.2.2 Eingehende Verbindung (RAS-Server und VPN-Server) Eingehende Verbindungen werden im Netzwerk von einem Server entgegengenommen. Dieser Server ist die Schnittstelle für die Verbindung zwischen Intranet und Außenstellen. Damit dieser Server als RAS- oder VPN-Server fungieren kann, muss auf ihm der Dienst Routing und RAS als Rolle installiert und dann konfiguriert werden. 318
Abbildung 4.8: Rolle einrichten Konfigurieren von RAS Um einen Server als RAS- bzw. VPN-Server zu konfigurieren, öffnen Sie die Konsole Routing und RAS. Klicken Sie mit der rechten Maustaste auf den Namen des Servers und wählen Sie Routing und RAS konfigurieren und aktivieren. Abbildung 4.9: Routing und RAS aktivieren 319
RAS Im nächsten Schritt wählen Sie die Funktion aus. Abbildung 4.10: Auswahl der Serverfunktion Für einen RAS-Server wählen Sie den entsprechenden Punkt. Die nächste Frage ist die Auswahl, ob Sie einen RAS-Server VPN-Server oder eine Kombination beider Funktionen installieren möchten. 320
Abbildung 4.11: RAS und / oder VPN In jedem Fall müssen Sie nun die externe Schnittstelle angeben, das bedeutet, die Schnittstelle, über die sich die Clients einwählen werden. Abbildung 4.12: Auswahl der externen Schnittstelle 321
RAS Wenn Sie VPN gewählt haben, ist diese Schnittstelle an das Internet angeschlossen, und Sie können noch zusätzlich Paketfilter definieren. ACHTUNG! Diese Paketfilter sind nur eine rudimentäre Lösung! In einem professionellen Netzwerk sollte in jedem Fall eine professionelle Firewall zusätzlich konfiguriert sein! Die nächste Frage, die Sie beantworten müssen, ist die Zuteilung der IP- Adressen. Die Clients, die sich einwählen, können entweder ihre IP-Adressen aus einem statischen Pool erhalten, der auf dem RAS-Server definiert wird, oder vom firmeninternen DHCP-Server. Abbildung 4.13: Adresszuteilung Nun müssen Sie sich noch entscheiden, ob dieser RAS-Server ein RADIUS- Client sein soll, oder nicht. Über RADIUS (NAP) erfahren Sie weiter unten mehr. 322
Abbildung 4.14: RADIUS Wenn Sie die dynamische IP-Adressierung für die Clients gewählt haben, erhalten Sie nun eine Meldung, dass Sie einen DHCP-Relay-Agent auf der externen Schnittstelle definieren müssen. Abbildung 4.15: DHCP-Relay-Agent Konfigurieren des RAS-Servers Nun ist der RAS-Server installiert, Sie sollten sich nun mit der Konsole bekannt machen, und einige wichtige Konfigurationsmöglichkeiten kennenlernen. Alle Netzwerkschnittstellen, die Ihnen zur Verfügung stehen, werden Ihnen im Knotenpunkt Netzwerkschnittstellen angezeigt. 323
RAS Abbildung 4.16: Netzwerkschnittstellen Ebenfalls können Sie im Knotenpunkt Ports erkennen, dass in der Standardinstallation bereits eine Menge an virtuellen Ports eingerichtet worden sind. Ports sind virtuelle Schnittstellen, die sowohl konfiguriert als auch beliebig hinzugefügt werden können. Betrachten wir die Eigenschaften der Ports. Abbildung 4.17: Ports Sie sehen, dass es einige vordefinierte Ports gibt: 324
Port für DSL (PPPoE) 1 Port für VPN (PPTP) 128 Port für VPN (L2TP) 128 Port für VPN (SSTP) 128 Abbildung 4.18: Anzahl der Ports Durch Auswahl der entsprechenden Ports und klicken auf die Schaltfläche Konfigurieren können Sie die Einstellungen beeinflussen. Abbildung 4.19: Einstellungen der Ports 325
RAS Wählen bei Bedarf Auch bei einer RAS Verbindung können Sie eine Schnittstelle für Wählen bei Bedarf konfigurieren. Abbildung 4.20: Wählen bei Bedarf Die Vorgehensweise ist hier genauso wie bei einem Router. RAS-Richtlinien Windows Server 2008 hat einen hohen Sicherheitsstandard bezüglich der Einwahlrechte für RAS. Zunächst einmal werden alle Einwahlversuche zurückgewiesen, niemand kann auf das Firmennetz zugreifen. Die Zugriffsregelung wird mithilfe von RAS-Richtlinien gemacht. RAS-Richtlinien bestehen aus drei verschiedenen Teilen: Bedingungen: Bedingungen sind Parameter, die mit dem Einwahlversuch übereinstimmen müssen. Bedingungen können sein: 326
Tageszeit Gruppenzugehörigkeit Bestimmte IP-Adressen Wenn der Einwahlversuch die Bedingungen der ersten RAS-Richtlinie erfüllt, wird diese Richtlinie abgearbeitet, wenn nicht, werden die Bedingungen der nächsten RAS-Richtlinie untersucht, solange, bis entweder eine Richtlinie mit den Einwahlbedingungen übereinstimmt, oder das Ende der Liste erreicht ist. Zugriffsrechte: Wenn eine RAS-Richtlinie abgearbeitet wird, wird als nächstes überprüft, ob im Konto des Benutzers der RAS Zugriff gestattet ist. Bei Verweigern im Konto wird die Verbindung sofort beendet, sonst werden die Zugriffsrechte in der RAS-Richtlinie angewendet. Profil: Im Profil sind die physischen Parameter der Verbindung definiert, zum Beispiel Verschlüsselung Authentifizierung Diese Parameter müssen vom Client angewendet werden können, sonst wird die Verbindung noch an dieser Stelle abgelehnt. Alle drei Komponenten werden nacheinander überprüft. Der Ablauf ist folgendermaßen: 327