Virtual Private Networking ( VPN ) unter Windows 2000 Sicherer Remote Access im Unternehmen Projektarbeit im Rahmen der Schulung des IHK – Bildungszentrums Karlsruhe zum ITSystemadministrator vom 07.10.2003 bis 16.03.2004, erstellt durch Michael Siebler

IHK Systemadministrator 2003/2004

Seite 1 von 38 Seiten erstellt von Michael Siebler

Virtual Private Networking unter Windows 2000 Sicherer Remote Access im Unternehmen

Inhaltsverzeichnis

Inhaltsverzeichnis 1

Einleitung

Seite

1.2

Überblick Vorstellung des Unternehmens Projektumfang

3 4 6 6

2

Übersicht über die Technologie

2.2

Was bedeutet VPN? Vorteile der VPN Technologie Aufgaben eines VPN’s Protokolle, Verschlüsselung und Zertifikate

3

Umsetzung im Unternehmen

3.1 3.2 3.3 3.4

Einrichten des VPN-Servers Einrichten der Clientverbindung Rollout und Support Windows 2000 und Smartcards Konfiguration Firewall

4

Rückblick auf das Projekt

4.1 4.2

Resümé Quellenverzeichnis

IHK Systemadministrator 2003/2004

7 8 9 10

17 32 34 35 36

37 38

Seite 2 von 38 Seiten erstellt von Michael Siebler

Virtual Private Networking unter Windows 2000 Sicherer Remote Access im Unternehmen

Überblick

Überblick Sichere Kommunikation gewinnt in der heutigen Zeit zunehmend an Bedeutung, vor allem wenn es um die betriebliche Kommunikation eines Unternehmens geht. Längst haben Computer Einzug in den täglichen Büroalltag gehalten, Netzwerke wurden eingerichtet und strengstens gegen den unbefugten Zugriff von außen durch Firewalls abgesichert. Innerhalb des Unternehmensnetztes bestehen strenge Security Policies, die den Zugriff auf Ressourcen und Daten straff reglementieren, alle User Accounts sind selbstverständlich durch komplexe Passwörter gesichert. So sind also durch die Jahre kleine Inseln der vermeintlichen Sicherheit entstanden. Doch die steigenden Anforderungen an den flexiblen Mitarbeiter, der von unterwegs mal eben schnell seine E-Mails in der Firma checkt und sich die aktuellen Umsatzzahlen des Kunden ansieht, mit dem er in einer Viertelstunde einen Termin hat, erfordern die Öffnung der Unternehmensnetze nach außen, um eben diese Flexibilität zu ermöglichen. Wenn nun im unternehmensinternen Netz mit hoher Wahrscheinlichkeit anzunehmen ist, dass die Daten vor unberechtigtem Zugriff oder gar vor Manipulation geschützt sind, so ist in den öffentlichen Weiten des Internets genau gegenteiliges der Fall. In seltenen Fällen werden hier Daten gezielt von Industriespionen gescannt und ausgewertet. Sehr viel größer ist die Wahrscheinlichkeit, dass ein gewöhnlicher Surfer, der auf einigen einschlägig bekannten Seiten und Diensten die entsprechende Software herunter geladen hat, nun versucht, soviel Schaden wie eben nur möglich anzurichten, indem er das „Hacken“ zu seinem neuen Hobby auserkoren hat. Angesichts dieser Betrachtung scheidet das Internet als bekanntermaßen unsicheres Medium zur sicheren Übertragung sensibler Daten scheinbar aus. Also wurden für den Zugang ins Firmennetz so genannte Dial-In Zugänge verwendet, die zwar unter sicherheitstechnischen Aspekten den Anforderungen genügen, jedoch mit extrem hohen Kosten verbunden sind, da diese je nach Standort des sich einwählenden Benutzers ins Unermessliche steigen können. Im Zeitalter von Highspeed Internet verfügen bereits viele Mitarbeiter eines Unternehmens über einen privaten DSL Anschluss, der den Zugang zum Internet zu günstigen Fixpreisen ermöglicht. Durch den Einsatz virtueller Privater Netzwerke können die Firmen Ihren Mitarbeitern den Zugang zum Firmennetz über das Internet ermöglichen, wobei die bestehenden DSL Anschlüsse genutzt und somit drastische Kostensenkungen realisierbar sind. Auch herkömmliche Internetzugänge, bei denen sich die Anwender bei Ihrem regionalen Internet Service Provider (ISP) einwählen können genutzt werden und führen ebenso zu geringeren Kosten, da nur die Gebühren zum ISP anfallen und nicht wie früher teure Ferngespräche in die Firma nötig sind.

IHK Systemadministrator 2003/2004

Seite 3 von 38 Seiten erstellt von Michael Siebler

Virtual Private Networking unter Windows 2000 Sicherer Remote Access im Unternehmen

1.2

Vorstellung des Unternehmens

Vorstellung des Unternehmens

Im Rahmen dieses Projekts wird anhand des Beispieles der SWS Entertainment Systems GmbH ein Remote Access durch eine VPN-Verbindung über das Internet implementiert. Die SWS Entertainment Systems ist ein mittelständisches Unternehmen mit 164 Mitarbeitern, wovon 20 im Außendienst beschäftigt sind. In den Geschäftsgebäuden ist ein Netzwerk aufgebaut, das 120 PCs umfasst, welche alle unter Windows 2000 Professional laufen. Des weiteren sind momentan 4 Server im Netzwerk eingesetzt, welche die benötigten Services und Programme zur Verfügung stellen. Nähere Funktionsbeschreibung siehe unten. Die Geschäftsleitung besteht aus einem allein zeichnenden Geschäftsführer, sowie 3 Prokuristen, die jeweils zusammen mit dem Geschäftsführer zeichnungsbefugt sind. Der Geschäftsführung direkt unterstellt sind die einzelnen Abteilungen mit ihren Abteilungsleitern, die ihre Entscheidungen für ihren Zuständigkeitsbereich mit der Geschäftsleitung abstimmen. Der Geschäftsleitung beigeordnet ist das Sekretariat, in dem 5 Mitarbeiterinnen das Terminmanagement und sonstige verwaltende Aufgaben für die GL übernehmen. Die Einkaufsabteilung umfasst 20 Mitarbeiter, für die jeweils ein Computerarbeitsplatz eingerichtet ist. Jeder dieser 20 Mitarbeiter ist dem Einkaufsleiter unterstellt. Dem Einkauf nachgegliedert ist die Warenannahme und Reklamationsbearbeitung und die Qualitätssicherung. In diesen beiden Abteilungen sind zusammen 20 Mitarbeiter beschäftigt, von denen allerdings nur 3 an einem PC arbeiten. Die Abteilung Verkauf besteht aus insgesamt 40 Beschäftigten, von denen 10 in der Unterabteilung Marktanalyse tätig sind. Sie sind für die Informationsbeschaffung und Konkurrenzbeobachtung zuständig. Der Verkauf ist mit der Kundenauftragserfassung und der termingerechten Auftragsabwicklung befasst. Die Tätigkeiten werden vom Verkaufsleiter koordiniert und überwacht. In dieser Abteilung gibt es ausschließlich Arbeitsplätze am PC. Die Disposition ist mit der Verwaltung und Auswertung der Lagerbestandsdaten betraut. Hier werden die Daten soweit aufbereitet, um eine Entscheidungsgrundlage für die Planung der Beschaffungspolitik zu erhalten. 10 Mitarbeiter unter der Führung Dispositionsleiters treffen zusammen mit der Geschäftsleitung Entscheidungen, die der Einkaufsabteilung als Vorgaben für die Beschaffung zugeführt werden. Allen Arbeitskräften steht ein PC Arbeitsplatz zur Verfügung. Der Disposition unterstellt ist die Lager- und Versandabteilung, in der 35 Mitarbeiter beschäftigt sind, wovon allerdings nur 2 an einem PC beschäftigt sind. Zuletzt bleibt die Abteilung Buchhaltung, in der 20 Beschäftigte, die alle Zugang zum Netzwerk haben, die Geschäftsvorfälle der Firma SWS verbuchen. In der Firma wird ein Exchange Server eingesetzt, der den Mitarbeitern das Verwalten Ihrer EMails und Faxnachrichten sowie das Terminmanagement erleichtern soll. Zur Auftragsbearbeitung wird eine Auftragssoftware der Firma SAP verwendet. Auf einem Fileserver werden diverse Dokumentvorlagen zentral verwaltet und abgelegt. Jeder Mitarbeiter hat ein eigenes Homeverzeichnis, auf dem er seine Persönlichen Dokumente und Dateien IHK Systemadministrator 2003/2004

Seite 4 von 38 Seiten erstellt von Michael Siebler

Virtual Private Networking unter Windows 2000 Sicherer Remote Access im Unternehmen

Vorstellung des Unternehmens

speichern kann. Auf jedem Rechner im Netzwerk ist Office 2000 installiert. Die Profile der Benutzer sind servergespeichert und den Benutzern fest vorgeschrieben (Mandtory). Momentan gibt es in der Firma Überlegungen, eine Zweigstelle zu Gründen. Wenn der VPNServer erfolgreich für die Remote-Clients eingeführt wird, soll diese Zweigstelle ebenfalls über eine VPN-Verbindung an das Firmennetz angeschlossen werden.

Abbildung 1.1: Sollkonzept

IHK Systemadministrator 2003/2004

Seite 5 von 38 Seiten erstellt von Michael Siebler

Virtual Private Networking unter Windows 2000 Sicherer Remote Access im Unternehmen

Projektumfang

Projektumfang Das Projekt umfasst die Einrichtung eines VPN-Servers unter Windows 2000 Server sowie die Erarbeitung einer Remote Access Policy. Weiterhin soll sichergestellt werden, dass die Clientkonfiguration es den Benutzern ermöglicht, sich unkompliziert und schnell mit dem Firmennetzwerk zu verbinden. Es werden unterschiedliche Verfahren zur Authentifizierung der Benutzer vorgestellt und die nötigen Geschäftsprozesse zum reibungslosen Ablauf und Integration in die bestehenden Abläufe vorgestellt. Dieses Projekt umfasst nicht die Einrichtung und Konfiguration einer Firewall. Es wird im Rahmen dieses Projekts davon ausgegangen, dass eine Absicherung des Netzwerkes vor unbefugtem Zugriff bereits implementiert wurde. Auch die Anwendungen und Daten, auf welche die User im Netzwerk zugreifen können, bleiben weitestgehend außen vor. Es werden aber die Ports, die für eine VPN-Verbindung zum Server benötigt werden erläutert.

1.4 Projektplan Nachfolgend ist in einer Übersicht der Zeitliche Rahmen für die Durchführung des Projektes angegeben. Projektphasen

Zeitaufwand

Recherche, Informationssammlung, Vorbesprechung, Zielvereinbarung VPN-Service Einrichtung- und Konfiguration VPN-Clientkonfiguration Test und Abnahme der Installation Erstellen der Dokumentation Abbildung 1.2: Projektplan

2 Wochen 1 Tage 1 Std. 4 Wochen 3 Tage

IHK Systemadministrator 2003/2004

Seite 6 von 38 Seiten erstellt von Michael Siebler

Virtual Private Networking unter Windows 2000 Sicherer Remote Access im Unternehmen

Was bedeutet VPN?

Was bedeutet VPN? VPN ist eine Abkürzung und steht für Virtual Private Network. Ein virtuelles privates Netzwerk ist im Grunde genommen die Simulation eines geschlossenen Netzes, zu dem nur berechtigte Personen und Computer „Zutritt“ haben. Dadurch können private Netze durch Verbindungen über freigegebene, öffentliche Netzwerke erweitert werden. Somit wird es möglich, vorhandene Netzwerkinfrastrukturen, wie die des Internets, für die Vernetzung von Niederlassungen oder die Anbindung von Telearbeitsplätzen und den Remote Access für unterwegs zu nutzen. Es müssen keine Investitionen in neue, gesonderte Verbindungen getätigt werden. Durch die VPN-Verbindung wird sichergestellt, dass die sensiblen Daten vor unberechtigtem Zugriff und Manipulation geschützt sind. Dies wird durch die Verschlüsselung der übertragenen Daten mit Hilfe spezieller Verschlüsselungsverfahren erreicht, auf welche weiter unten näher eingegangen wird.

Abbildung 2.1 VPN Tunnel

Virtual Private Networking unter Windows 2000 Sicherer Remote Access im Unternehmen

Aufgaben eines VPN’s

Vorteile der VPN Technologie Der wichtigste Vorteil eines Virtual Private Networks wurde bereits genannt: es kann erheblich zu Reduktion der Gesamtkosten eines Unternehmens genutzt werden, indem die hohen Kosten für bisherige RAS-Zugänge eliminiert werden und nur noch Kosten für die Einwahl zum lokalen ISP anfallen. Auch der hohe administrative Aufwand, der für die Verwaltung der Modempools anfiel, entfällt durch die Einführung eines VPN’s. Gerade in der heutigen Zeit, in der die IT immer öfter unter Kostendruck gerät, ist dies ein äußerst wichtiges Kriterium. Zudem ist ein VPN sehr einfach und flexibel erweiterbar und bietet damit dem Unternehmen einen gewissen Schutz der getätigten Investitionen. Mobile Mitarbeiter sind bei einer VPN – Implementierung in der Lage, von überall auf die Daten zuzugreifen, die Sie gerade benötigen. Das macht die Außendienstmitarbeiter flexibler und steuert dadurch unter Umständen positiv zum Betriebsergebnis bei. Früher musste für jeden Mitarbeiter der sich einwählen wollte, eine separate Verbindung zum Modempool der Firma aufgebaut werden.

Abbildung 2.2 RAS Verbindung Durch den Einsatz eines VPN Servers ist firmenseitig nur noch eine Standleitung ins Internet nötigt. Die Clients wählen sich bei Ihren lokalen ISP’s ein.

Abbildung 2.3 VPN Verbindung

Virtual Private Networking unter Windows 2000 Sicherer Remote Access im Unternehmen

Aufgaben eines VPN’s Ein VPN muss gewisse Anforderungen erfüllen, um zu gewährleisten, dass eine gesicherte Verbindung über ein öffentliches Netz aufgebaut werden kann. Datensicherheit und -integrität Es muss sichergestellt sein, dass die vertraulichen Daten, die über öffentliche Netze versendet werden, geschützt sind. Der Zugriff und die Manipulation der Daten durch Dritte muss ausgeschlossen sein. Dies wird durch das Tunneln und Verschlüsseln der Datenpakete erreicht. Authentifizierung der Clients Clientrechner, die eine Verbindung zum VPN-Server aufbauen wollen, müssen sich mit Ihrem Benutzernamen und dem zugehörigen Passwort diesem gegenüber authentifizieren. Gegebenenfalls erfolgt eine Überprüfung der Zertifikate, falls die Einstellungen der Verbindung dies erfordern. Nur Benutzer und Computer, die explizit in den Gruppenrichtlinien des VPN-Servers zugelassen sind, können eine solche Verbindung zu diesem aufbauen. Dienstgüte (Quality of Service) Die VPN-Verbindung sollte einen hohen QoS Wert haben, d.h. sie sollte im Grunde genommen stets verfügbar sein. Gerade bei LAN-Kopplungen über eine VPN-Verbindung spielt dies eine außerordentlich wichtige Rolle, um den reibungslosen Betrieb des Netzwerkes nicht zu gefährden. Schlüssel und Zertifikate Zwischen VPN-Server und Client müssen für eine sichere Verbindung die privaten Schlüssel der beiden Partner gegenseitig akzeptiert werden. (s.o.) Adressierung Die IP Adressen der beiden Kommunikationspartner müssen gegenseitig bekannt sein. Nach der Authentifizierung wird dem Client eine IP aus einem vordefinierten Pool vom VPN Server aus dem lokalen Netzwerk vergeben. Multiprotokollunterstützung Ein VPN muss mit allen Protokollen, die in öffentlichen Netzen vorkommen, umgehen können. Dies ist neben IP auch z.B. IPX. Dadurch wird gewährleistet, dass eine Verbindung über das Internet in jedem Fall möglich ist.

Virtual Private Networking unter Windows 2000 Sicherer Remote Access im Unternehmen

2.2

Protokolle, Verschlüsselung und Zertifikate

Protokolle, Verschlüsselung und Zertifikate

Point-to-Point-Tunneling Protocol (PPTP) Das Point-to-Point-Tunneling Protocol ist ein Layer 2 Protokoll und wird in RFC 2637 dokumentiert. Beim PPTP Protokoll wird davon ausgegangen, dass zwischen dem beiden VPN Endpunkten eine Verbindung über ein IP Netzwerk vorhanden ist. Es kapselt PPP-Frames für die Übertragung über ein öffentliches Netz in IP-Datengramme ein. Zur Authentifizierung werden bei PPTP die gleichen Protokolle verwendet wie bei PPP, also beispielsweise das Extensible Authentication Protocol (EAP), Microsoft Challenge Handshake Authentication Protocol Version 2 (MS-CHAPv2) oder CHAP und das Password Authentication Protocol (PAP).

PPP Header

IP Header

GREHeader

PPP Header

verschlüsselte PPP-Pakete

PPP Trailer

Abbildung 2.4 PPTP PPTP unterstützt folgende Authentifizierungsmechanismen.      

EAP MS-CHAPv2 MS-CHAP CHAP SPAP (Shiva Handshake Authentication Protocol) PAP

Layer-Two-Tunnelling Protocol (L2TP) L2TP ist eine Kombination aus L2F (Layer 2 Forwarding, entwickelt von Cisco Systems) und PPTP. Es vereint die Vorteile der beiden Protokolle. L2TP verschachtelt PPP-Rahmen und verschickt diese über IP, Frame-Relay, X-25 oder ATMNetzwerke, wobei die L2TP Rahmen ihrerseits in UDP Rahmen eingepackt werden. L2TP besitzt keine eigenen Mechanismen zur Datenverschlüsselung. Ein reiner L2TP-Tunnel kann also nicht als VPN bezeichnet werden, da die Daten unverschlüsselt übertragen werden. Deshalb wird zur Verschlüsselung der Daten das IPSec Protokoll eingesetzt Bei L2TP werden die selben Authentifizierungsmechanismen wie bei PPTP unterstützt.

PPP Header

IP Header

IPSec Header

Abbildung 2.5 L2TP/IPSec

UDP Header

L2TP Header

PPP Header

PPP Pakete

IPSec ESP Header

IPSec ESP Auth Header

PPP Trailer

Virtual Private Networking unter Windows 2000 Sicherer Remote Access im Unternehmen

Protokolle, Verschlüsselung und Zertifikate

IP-Security-Protocol (IPSec) Mit dem IPSec Protokoll können ausschließlich IP Pakete getunnelt werden. In der nächsten Version des IP-Protokolls, Ipv6, ist IPSec bereits integriert. Beim Einsatz von IPSec unterscheidet man zwei Verfahren: Transportmodus Beim Transportmodus wird lediglich der Inhalt des Datenteils verschlüsselt, der ursprüngliche Header mit den Adressen bleibt erhalten. Der Transportmodus kommt bei der Übertragung in lokalen Netzwerken zur Anwendung, wo die Daten nicht über öffentliche Verbindungen geroutet werden müssen.

Abbildung 2.6: IPSec Verbindung im Transport-Modus zwischen Host-1 und Host-2. Spezifiziert durch [RFC-2401] ist die Kombination von AH-Header und ESP-Header vorgegeben. (Quelle: VPN Virtual Private Networks, Wolfgang Böhmer)

Virtual Private Networking unter Windows 2000 Sicherer Remote Access im Unternehmen

Protokolle, Verschlüsselung und Zertifikate

Tunnelmodus Der Tunnelmodus kommt zum Einsatz, wenn eine Verbindung über ein öffentliches Netzwerk aufgebaut wird. Das IP Paket wird dabei verschlüsselt und in ein anderes IP Paket eingekapselt, welches mit einer öffentlichen Sender- und Empfängeradresse versehen ist.

Abbildung 2.7: IPSec Verbindung im Tunnel-Modus zwischen den zwei Hosts (H1, H2), sowie den Gateways (G1, G2) und einer sinnvollen Kombination von AH-Header und ESP-Header (Quelle: VPN Virtual Private Networks, Wolfgang Böhmer) In der IPSec Architektur kommen dem Authentication Header Protocol (AH), dem Encapsulating Security Protocol (ESP) und dem Key Management (entweder manuell oder über das Internet Key Exchange Protocol) eine zentrale Rolle zu. Für jede IPSec Verbindung ist eine sogenannte Security Association (SA) notwendig. Sie legt u.a. fest, welche Authentifizierungsmechanismen und welches Verfahren zur Sicherstellung der Datenintegrität verwendet werden, wie oft die Schlüssel getauscht werden und wie lange diese gültig sind. Um verschiedene SA’s zu unterscheiden, wird im Header des verwendeten Sicherheitsprotokolls, in diesem Fall der Authentication Header, der Security Parameter Index ausgewiesen.

Virtual Private Networking unter Windows 2000 Sicherer Remote Access im Unternehmen

Protokolle, Verschlüsselung und Zertifikate

Authentication Header Next Header

12345678

Length Reserviert Security Parameter Index (SPI) Sequence Number Authentication Data (variable Länge) 12345678 12345678 12345678

Abbildung 2.8 Authentication Header (AH) Der Authentication Header definiert eine kryptografische Prüfsumme (Authentication Data), welche die Datenintegrität der statischen IP Felder und dem Datenteil sicherstellt. Er ist in RFC 2402 definiert. Diese Prüfsumme wird durch eine Hash-Funktion, wie zum Beispiel SHA-1 (Secure Hashing Algorithmus) oder MD-5 (Message Diggest) errechnet. Es handelt sich um einen 128 Bit langen Schlüssel, der aus einem beliebigen Eingangswert berechnet wird. Weitere Bestandteile sind die Felder Next Header, Length (gibt die Länge des AH an), ein reserviertes Feld für zukünftige Erweiterungen, der Security Parameter Index (s.o.) und die Sequence Number (schützt vor Replay-Attacken). Der Authentication Header hat keinen Einfluss auf die Nutzdaten, welche also weiterhin unverschlüsselt bleiben. Encapsulating Security Payload (ESP) 16

24 32bits Security association identifier (SPI) Sequence Number Payload data (variable length) Padding (0-255 bytes) Pad Length Next Header Authentication Data (variable) Abbildung 2.9: ESP-Header Quelle: http://www.javvin.com/protocolESP.html Security association identifier - a pseudo-random value identifying the security association for this datagram. • Sequence Number - it contains a monotonically increasing counter value and is mandatory and is always present even if the receiver does not elect to enable the anti-replay service for a specific SA. • Payload Data - a variable-length field containing data described by the Next Header field. • Padding ¨C padding for encryption. • Pad length - indicates the number of pad bytes immediately preceding it. • Next header - identifies the type of data contained in the Payload Data field, e.g., an extension header in IPv6 or an upper layer protocol identifier. • Authentication Data - a variable-length field containing an Integrity Check Value (ICV) computed over the ESP packet minus the Authentication Data. Der ESP Header kann im Gegensatz zum Authentication Header sowohl eine Authentifizierung, als auch eine Verschlüsselung der übertragenen Daten leisten. Definiert ist er in RFC •

Virtual Private Networking unter Windows 2000 Sicherer Remote Access im Unternehmen

Protokolle, Verschlüsselung und Zertifikate

2406. Die Nutzdaten (Payload Data) werden vom ESP-Header und vom ESP-Trailer eingeschlossen. Anschließend noch eine Darstellung des Aufbaus eines kompletten IPSec Pakets:

Abbildung 2.10 IPSec-Paket (Quelle: Windows Hilfe)

Virtual Private Networking unter Windows 2000 Sicherer Remote Access im Unternehmen Windows 2000 PKI Windows 2000 bietet von Haus aus die Möglichkeit, eine auf das Unternehmen und seine Bedürfnisse zugeschnittene Infrastruktur öffentlicher Schlüssel (PKI) aufzubauen. Die Windows 2000 PKI besteht aus drei Teilen: Microsoft CryptoAPI und Cryptographic Service Provider (CSPs) Microsoft Zertifikatsdienste Zertifikatsspeicher Hierbei stellt CryptoAPI eine sichere Schnittstelle für die kryptografischen Funktionen der installierbaren CSP-Module dar. CryptoAPI und CSP-Dienste stehen allen Applikationen und Diensten zur Verfügung, die kryptografische Dienste benötigen, beispielsweise muss bei der Installation der Windows 2000 Zertifikatsdienste ein CSP gewählt werden. CSPs sind mit Modulen vergleichbar, die - wie im Fall der Smartcard CSPs - von Herstellern für die Unterstützung ihrer Hardware oder - wie im Fall der von Microsoft verfügbaren CSPs - zur Unterstützung aktueller kryptografischer Verfahren und Algorithmen bereitgestellt werden können. Unter anderem werden die folgenden CSPs mit Windows 2000 geliefert: Microsoft Base Cryptographic Provider Dieser CSP stammt noch aus Zeiten der US-Exportrestriktionen für kryptografische Verfahren/Schlüssellängen und ist heutzutage nicht mehr zeitgemäß. Asymmetrische Verfahren werden nur mit bis zu 1024 bit Schlüssellänge, RC2 und RC4 mit 40 bit unterstützt. Weder DES noch 3DES werden angeboten. Microsoft Enhanced Cryptographic Provider Hier sind alle aktuellen Standards implementiert, asymmetrische Verfahren können mit bis zu 16384 bit langen Schlüsseln arbeiten, RC2 und RC4 mit bis zu 128 bit. Darüber hinaus wird DES mit 56 sowie 3DES mit 112 und 168 Bit Schlüssellänge unterstützt. Smart Card Cryptographic Service Provider Zwei verschiedene CSPs für Smartcards ermöglichen die Unterstützung für GemSAFE- und Cryptoflex-Smartcards der Firmen Gemplus und Schlumberger. Die Microsoft Zertifikatsdienste sind in den Windows 2000-Serverversionen enthalten und bilden den Kern einer Windows 2000 PKI. Ihre Aufgaben sind die Vergabe und das Management von Zertifikaten nach dem X.509-Standard. Zertifikate dieses Typs werden von einer Vielzahl von Produkten auch anderer Hersteller unterstützt, da es sich um die aktuelle StandardZertifikatsform handelt. Die Zertifikatsdienste unter Windows 2000 unterstützen ein hierarchisches CA-Modell mit Stammzertifizierungsstellen (Root-CA), Zwischenzertifizierungsstellen (PCA) und ausstellenden Zertifizierungsstellen (CA). Darüber hinaus werden auch externe CAs wie z.B. solche anderer Unternehmen oder kommerzieller Serviceprovider unterstützt. Wird unter Windows 2000 eine so genannte Organisationszertifizierungsstelle eingerichtet, so ist diese automatisch mit dem Active

Virtual Private Networking unter Windows 2000 Sicherer Remote Access im Unternehmen Directory gekoppelt. Active Directory enthält für die Organisationszertifizierungsstelle relevante Informationen wie Namen der Benutzerkonten, Zugehörigkeiten zu Sicherheitsgruppen und ein Set von Zertifikatsvorlagen, u.a. für IPSec-Authentifizierung und Smartcard-Anmeldung. Sämtliche Organisationszertifizierungsstellen werden automatisch im Active Directory erfasst. Von ihnen ausgegebene Zertifikate werden an das Active Directory oder an die Computer des Anforderungssenders übermittelt. Darüber hinaus veröffentlichen sie die Zertifikatssperrlisten (Certificate Revocation Lists, kurz CRL) ebenfalls im Active Directory oder alternativ auf Webseiten oder öffentlichen Ordnern, so dass diese Informationen automatisch von jedem Punkt innerhalb der Organisation abrufbar sind. Außerdem ist es möglich, per Gruppenrichtlinien (definiert in und verteilt durch das Active Directory) automatisch Zertifikate an Windows 2000-Computer, -Benutzer und -Dienste zu verteilen. Active Directory folgt eingeschränkt dem X.500-Standard, LDAP ist das Standardzugriffsverfahren. Objekte wie Zertifikate und CRL’s werden in Zertifikatsspeichern abgelegt, damit User, Dienste und Computer auf sie zugreifen können. Hierbei unterscheidet man zwei verschiedene Arten von Speichern: Physikalische Zertifikatsspeicher Physikalische Zertifikatsspeicher bezeichnen den Ort, an dem die Objekte tatsächlich physikalisch abgespeichert werden. Dies kann die Registry oder das Active Directory sein. Durch die Benutzung logischer Zertifikatsspeicher wird der gemeinsame Zugriff von vielen Usern, Diensten und Computern auf diese physikalischen Speicherbereiche ermöglicht, ähnlich der Funktion eines Zeigers oder einer Verknüpfung mit einer Datei. Logische Zertifikatsspeicher Logische Zertifikatsspeicher stellen organisatorische Bereiche bereit (z.B. Eigene Zertifikate eines Users oder Vertrauenswürdige Stammzertifizierungsstellen). In diesen Bereichen enthaltene Objekte zeigen auf deren physikalischen Speicherort. Betrachtet man beispielsweise einen Rechner mit mehreren Benutzern, so zeigt etwa ein Zertifikat, das in Vertrauenswürdige Stammzertifizierungsstellen eines Users abgelegt ist, unter Umständen auf den gleichen physikalischen Ort wie das eines anderen Users. So können unnötige Duplikate vermieden werden und man braucht sich um den tatsächlichen Speicherort des Zertifikats nicht zu kümmern. Wo liegen die privaten Schlüssel? An Endbenutzer ausgegebene Zertifikate und private Schlüssel werden an einem gesicherten Ort aufbewahrt, der sich entweder auf dem lokalen System oder auf einer Smartcard befindet. Smartcards bieten hier einen hardwareseitigen Schutz. So enden Versuche Schlüssel auszulesen oder auch mechanische Manipulationen in einer unbrauchbaren Karte. Auf einem üblichen Windows 2000 System besteht ein solcher Hardwareschutz natürlich nicht. Zertifikate und Private Keys werden hier im benutzerbezogenen Teil der Registry des Rechners abgelegt – also in der ntuser.dat, die sich im Benutzerprofil befindet. Dieser Bereich wird auch als Protected Store bezeichnet. Sollen Zertifikate und Schlüssel eines Benutzers auf einem anderen Rechner zur Verfügung stehen, müssen entweder Servergespeicherte Profile eingesetzt werden, oder ein relativ umständlicher und sicherheitstechnisch bedenklicher Export der Schlüssel vorgenommen werden.

Virtual Private Networking unter Windows 2000 Sicherer Remote Access im Unternehmen

3.1

Einrichten des VPN-Servers

Einrichten des VPN-Servers

Der VPN Server wird auf einem neu aufgesetzten Windows 2000 Server mit Service Pack 3 eingerichtet. Auf dem Server laufen ansonsten keine weiteren Dienste, er soll nur den Zugang für die VPN-Verbindungen bereitstellen. Der Server benötigt zwei Netzwerkschnittstellen, eine für das LAN und eine für die WAN Verbindung. Die Systemvoraussetzungen für den Betrieb eines Windows 2000 Servers müssen erfüllt sein, ansonsten muss die Maschine keine besonderen Anforderungen bzgl. der Ausstattung erfüllen. Es könnte theoretisch ein älteres, gebrauchtes Gerät verwendet werden, um Kosten einzusparen. Allerdings sollte gewährleistet sein, dass der Server stabil läuft und den Zugang zum Firmennetz nicht verhindert, indem er ständig ausfällt. Nach der Installation des Betriebsystems wird der Server als VPN-Server konfiguriert. Diese Einstellungen werden unter >Start >Programme >Verwalten >Routing und RAS vorgenommen.

Abbildung 3.1: Routing- und RAS aufrufen

Virtual Private Networking unter Windows 2000 Sicherer Remote Access im Unternehmen

Einrichten des VPN-Servers

In der Verwaltungskonsole Routing- und RAS wir durch einen rechten Mausklick auf den Servernamen im Kontextmenü Routing und RAS konfigurieren und aktivieren aufgerufen.

Abbildung 3.2: Routing- und RAS konfigurieren und einrichten Im Setup-Assistent für den Routing- und RAS Server wird die Option VPN-Server gewählt.

Abbildung 3.3: VPN-Server einrichten

Virtual Private Networking unter Windows 2000 Sicherer Remote Access im Unternehmen

Einrichten des VPN-Servers

Als Verbindungsprotokoll wird das TCP/IP Protokoll gewählt. Danach ist die WANSchnittstelle des Servers anzugeben.

Abbildung 3.4: TCP/IP für Remote Clients auswählen Im nächsten Schritt wird die Adressvergabe für die VPN-Clients festgelegt. Es wird die Option „Automatisch“ ausgewählt.

Abbildung 3.5: IP Adresszuweisung

Virtual Private Networking unter Windows 2000 Sicherer Remote Access im Unternehmen

Einrichten des VPN-Servers

Die Option RADIUS-Server verwenden wird verneint, da es nur einen VPN Server geben wird.

Abbildung 3.6: RADIUS-Server verwenden Anschließend wird der Assistent beendet. In der Verwaltungskonsole stellt sich der eingerichtete VPN-Server folgendermaßen dar:

Abbildung 3.7: Neuer VPN-Server

Virtual Private Networking unter Windows 2000 Sicherer Remote Access im Unternehmen

Einrichten des VPN-Servers

Danach wird die Anzahl der für die Remote Clientverbindungen zur Verfügung stehenden Ports definiert. Hierzu werden die Eigenschaften der Ports aufgerufen. Dort können dann jeweils für L2TP und PPTP die Anzahl der Ports eingetragen werden.

Abbildung 3.8: PPTP Ports festlegen

Abbildung 3.9: L2TP Ports festlegen

Virtual Private Networking unter Windows 2000 Sicherer Remote Access im Unternehmen

Einrichten des VPN-Servers

Diese Einstellungen legen fest, wie viele gleichzeitige Verbindungen zum VPN Server aufgebaut werden können. Je nach Art der Anbindung des VPN-Servers an das Internet und der Anzahl der überhaupt benötigten Verbindungen sollte hier eine Einstellung gewählt werden, die sowohl der Performance, als auch Sicherheitsvorgaben zuträglich ist. Ebenso wird hier definiert, dass der Server nur eingehende Verbindungen akzeptiert. Nach der Einrichtung der Ports werden die Eigenschaften des Servers bearbeitet. Zunächst wird festgelegt, dass dieser Server als Router nur für LAN-Verbindungen dient, also nur an Ziele im Firmennetzwerk weiterleitet.

Abbildung 3.10: LAN-Routing

Virtual Private Networking unter Windows 2000 Sicherer Remote Access im Unternehmen

Einrichten des VPN-Servers

Nach den Einstellungen der Ports und der Konfiguration des VPN-Servers als Router für die Weiterleitung im LAN, müssen nun die Zugriffsberechtigungen erteilt werden. Die Zugriffssteuerung erfolgt über die Eigenschaften der jeweiligen Benutzer. Diese Lösung wurde gewählt, da es sich um einige wenige Benutzer handelt, die Zugang zum VPN-Server erhalten sollen und der Verwaltungsaufwand somit eher gering ausfällt. Auf der Karteikarte Einwählen wird die Option Zugriff gestatten ausgewählt. In einem Abschnitt weiter unten werden weitere Bedingungen definiert, die entscheidend dafür sind, ob sich ein Client am Server anmelden darf. Erst wenn die Bedingungen der RAS-Richtlinien erfüllt sind, kommen die Benutzerberechtigungen zur Einwahl zum tragen. Auch wenn einem Benutzer der Zugriff auf das Netzwerk in seinen Eigenschaften gestattet wurde, kann er sich nicht am Netzwerk anmelden, wenn er auch nur eine Bedingung der RAS-Richtlinien nicht erfüllt.

Abbildung 3.11: Zugriffsrechte erteilen

Virtual Private Networking unter Windows 2000 Sicherer Remote Access im Unternehmen Als nächstes wird der Zertifikatsdienst auf diesem Computer installiert. Die Zertifikate dienen der Authentifizierung der an der Kommunikation beteiligten Partner. Unter >Start >Systemsteuerung >Software >Windows Komponenten hinzufügen wird der Zertifikatsdienst ausgewählt. Es erscheint ein Assistent. Hier Zertifizierungsstelle eingegeben.

werden

zunächst

die

Informationen

über

die

Abbildung 3.12: Informationen der Zertifizierungsstelle eingeben Danach müssen die Datenspeicherungspfade angegeben werden. In diesem Fall bleiben diese Werte auf Default. Der Assistent wird fertig gestellt und die Zertifikatsdienste werden installiert. Bei der Installation wird automatisch ein Computerzertifikat für den Computer, auf dem die Zertifizierungsstelle installiert wurde, erstellt. Nach der Installation befindet sich im Startmenü unter Verwalten ein neues Snap-In Zertifizierungsstelle. Beim aufrufen dieser Verknüpfung, sehen wir die Verwaltungskonsole der Zertifikatsdienste.

Virtual Private Networking unter Windows 2000 Sicherer Remote Access im Unternehmen

Abbildung 3.13: Die neu erstellte Zertifizierungsstelle Die Zertifizierungsstelle des Unternehmens ist nun installiert. Auf den VPN Clients befinden sich momentan aber noch keine Zertifikate. Damit die Clients sich gegenüber dem VPN Server beim Aufbau einer VPN-Verbindung authentifizieren können, muss auf den Clients ein Zertifikat angefordert werden. Dies geschieht über den Webbrowser wie nachfolgend beschrieben. Über den Internet Explorer wird vom zukünftigen VPN-Client der Zertifikatsserver aufgerufen. Er ist erreichbar über die Adresse http:///certsrv

Abbildung 3.14: Neues Zertifikat anfordern

Virtual Private Networking unter Windows 2000 Sicherer Remote Access im Unternehmen Auf der Willkommenseite des webbasierenden Assistenten wird die Option „Ein Zertifikat anfordern“ ausgewählt. Auf der Folgeseite wird die Option Benutzerzertifikat bestätigt. Erweiterte Optionen werden in diesem Fall nicht eingestellt. Die Anforderung wird an die CA gesendet. Nach einer kurzen Wartezeit wurde das Zertifikat vom Server ausgestellt und kann nun auf dem Client installiert werden. Dazu muss nur auf den Link “Dieses Zertifikat installieren“ geklickt werden.

Abbildung 3.15: Zertifikat installieren Es erscheint ein Dialogfeld, in dem abgefragt wird, ob dieses Zertifikat von der Zertifizierungsstelle Standort1 installiert werden soll. Dieses Fenster wird mit OK bestätigt. Abschließend erscheint eine Meldung im Browserfenster, die besagt, dass das Zertifikat installiert wurde. Das installierte Zertifikat kann unter den Internetoptionen, Reiter Inhalt unter dem Punkt Zertifikate angezeigt werden.

Virtual Private Networking unter Windows 2000 Sicherer Remote Access im Unternehmen

Abbildung 3.16: Installiertes Zertifikat anzeigen Nachdem allen vorgesehenen Benutzern die Zugriffsberechtigungen erteilt wurden und die Zertifizierungsstelle installiert wurde, geht es nun daran, Einstellungen für die Verbindungen in den RAS-Richtlinien zu konfigurieren. Da dieser Server nur VPN-Verbindungen entgegennehmen soll, wird zunächst die Default-RAS-Richtlinie gelöscht. Clients sollen sich an diesem Server nur anmelden können, wenn sie bei einer PPTPVerbindung die Microsoft Punkt-zu-Punkt-Verschlüsselung (MPPE) mit 128 Bit und bei Verbindungen mit L2TP über IPSec 3DES (Tripple Data Encryption Standard) unterstützen. Dazu wird eine neue RAS-Richtlinie erstellt, die Verbindungen nur zulässt, wenn dies Bedingungen erfüllt sind. Außerdem soll festgelegt werden, wie sich die Clients gegenüber dem Server authentifizieren können. Des weiteren ist für die gegenseitige Authentifizierung der Kommunikationspartner nur das Extensible Authentication Protocol (EAP) zulässig. Dies ist die sicherste Form der Authentifizierung, die von Windows 2000 unterstützt wird. Weiterhin wird in der RAS-Richtlinie festgelegt, zu welchen Zeiten sich Benutzer am VPN Server anmelden können. Auch dies ist zur Absicherung des VPN ein relevantes Merkmal. In unserer Firma soll der Zugriff von 6.00 – 22.00 Uhr gestattet sein. Zu anderen Zeiten ist die Anmeldung am VPN nicht möglich. Zunächst wird eine neue RAS-Richtlinie definiert durch einen Rechtsklick auf die RASRichtlinien und Auswahl von „neue RAS-Richtlinie“. Der Richtlinie wird ein Name vergeben, der möglichst aussagekräftig sein sollte, was deren Funktion angeht.

Virtual Private Networking unter Windows 2000 Sicherer Remote Access im Unternehmen

Abbildung 3.17: Hinzufügen einer neuen RAS-Richtlinie Im nächsten Schritt wird festgelegt, welche Bedingungen erfüllt werden müssen, damit diese neue Regel angewendet wird. Hier wird die Bedingung NAS-Port-Type stimmt über ein mit Virtual (VPN) definiert.

Abbildung 3.18: Bedingungen für die RAS-Richtlinie festlegen

Virtual Private Networking unter Windows 2000 Sicherer Remote Access im Unternehmen

Nun wird das Profil der Richtlinie bearbeitet. Hier können die Anforderungen für die Clientverbindungen, auf welche diese Bedingung zutrifft, getroffen werden. In diesem Fall sind das alle VPN-Clients, weil die Bedingung entsprechend konfiguriert wurde. Unter der Karteikarte Verschlüsselung wird ein Haken bei stärkste Verschlüsselung gesetzt. Die Haken bei keine Verschlüsselung, Basisverschlüsselung und starke Verschlüsselung werden entfernt.

Abbildung 3.19: Stärkste Verschlüsselung auswählen Die Einstellungen werden mit OK bestätigt und die erste RAS Richtlinie wurde dadurch angelegt. Als nächstes soll nun festgelegt werden, dass sich nur VPN-Clients anmelden dürfen, die sich über das Extensible Authentication Protocol mittels eines Zertifikats oder einer Smartcard gegenüber dem Server authentifizieren können. Dazu wird wieder eine neue RAS-Richtlinie erstellt und ebenfalls die Bedingung NAS-PortType stimmt über ein mit Virtual (VPN) definiert. Im Profil dieser Richtlinie wird auf dem Reiter Authentifizierung lediglich das EAP-Protokoll ausgewählt. Alle Haken bei anderen Auhentifizierungsmechanismen werden entfernt. Als EAP-Typ wird Smartcard oder anderes Zertifikat ausgewählt. Somit können nur noch Clients eine VPN-Verbindung zum Server aufbauen, die sich entweder per Smartcard (hierzu folgt in einem Abschnitt weiter unten eine detaillierte Beschreibung) oder mit einem Zertifikat gegenüber dem Server authentifizieren können.

Virtual Private Networking unter Windows 2000 Sicherer Remote Access im Unternehmen

Abbildung 3.20: Authentifizierungsmethode wählen Auch diese Einstellung wird gespeichert und eine weitere RAS Richtlinie wurde erstellt. Zuletzt werden in den RAS-Richtlinien noch die Anmeldezeiten, zu denen sich die Clients anmelden dürfen, definiert. Auch die maximale Leerlaufzeit einer Verbindung wird hier eingestellt. Wiederum wird eine neue Richtlinie erstellt. Ebenso wie bei den vorangegangenen wird auch bei dieser RAS-Richtlinie als NAS-Port-Type Virtual (VPN) gewählt. Im Profil der Richtlinie wird unter Einwahlbeschränkungen angegeben, zu welchen Zeiten Anmeldungen möglich sind und wie lange eine Sitzung im Leerlauf sein darf.

Abbildung 3.21: Einwahlzeiten festlegen

Virtual Private Networking unter Windows 2000 Sicherer Remote Access im Unternehmen

Nachdem nun alle erforderlichen RAS-Policies konfiguriert wurden ergibt sich folgendes Bild in der Routing- und RAS Verwaltungskonsole:

Abbildung 3.22: Übersicht RAS-Richtlinien Wenn nun ein Client versucht eine VPN-Verbindung zum Server aufzubauen, werden alle diese Richtlinien nacheinander abgearbeitet und es wird überprüft, ob der Client allen Anforderungen gerecht wird. Zuletzt wird überprüft, ob der angegebene Benutzer die Berechtigung hat, sich am Server anzumelden. Diese Einstellung wird - so wie weiter oben beschrieben - in den Eigenschaften der Benutzer festgelegt.

Virtual Private Networking unter Windows 2000 Sicherer Remote Access im Unternehmen

3.2

Einrichten der Clientverbindung

Einrichten der Clientverbindung

Nachdem nun serverseitig alle Vorkehrungen getroffen wurden und auf dem Client ein Zertifikat der Zertifizierungsstelle installiert wurde, wird nun die VPN-Verbindung des Clients eingerichtet. Hierzu werden unter den Eigenschaften der Netzwerkumgebung die Netzwerkverbindungen aufgerufen. Durch einen Doppelklick auf das Icon neue Verbindung wird der Netzwerkverbindungsassistent aufgerufen. Auf der Seite Netzwerkverbindungstyp wird „Verbindung mit einem privaten Netzwerk über das Internet herstellen“ ausgewählt.

Abbildung 3.23: Verbindungstyp angeben Auf der folgenden Seite muss die Adresse des VPN-Servers, mit dem die Verbindung hergestellt werden soll, angegeben werden. Diese Verbindung soll von diesem Client aus nur diesem Benutzer zur Verfügung stehen. Deshalb wird die entsprechende Option auf der Folgeseite angehakt. Auf der letzten Seite des Assistenten wird der Verbindung ein Name gegeben. Außerdem besteht die Option, eine Verknüpfung zu dieser Verbindung auf dem Desktop abzulegen. Nach der Fertigstellung des Assistenten wird das Verbindungsfenster angezeigt.

Virtual Private Networking unter Windows 2000 Sicherer Remote Access im Unternehmen

Einrichten der Clientverbindung

Nun kann die Verbindung zum VPN-Server hergestellt werden. Das Kennwort und der Benutzername, der die entsprechenden Einwahlrechte auf dem Server hat, werden eingegeben und die Verbindung bestätigt. Der Client durchläuft die Anmeldeprozedur und ist danach im Firmennetzwerk registriert.

Abbildung 3.24: VPN-Verbindung herstellen

Abbildung 3.25: Registrierter VPN-Client

Virtual Private Networking unter Windows 2000 Sicherer Remote Access im Unternehmen

Rollout und Support

Rollout und Support Für den Start des produktiven Einsatzes ist eine Testphase geplant. Zunächst erhalten 5 der Außendienstmitarbeiter ihre Zugangsdaten. Diese 5 Mitarbeiter sollen während einer Zeit von 4 Wochen mit dem VPN-Zugang arbeiten, um absehen zu können, ob die Implementierung sicher läuft. Während dieser Zeit werden alle Störungs- und Fehlermeldungen zentral von einem Supportmitarbeiter angenommen, der den Außendienstlern auch zur Verfügung steht, wenn es um Anwenderfragen bzgl. des VPN geht. Nach Abschluss der Testphase, sofern deren Verlauf zufrieden stellend war, wird zusammen mit o.a. Supportmitarbeiter anhand der Anzahl der Calls entschieden, ob für die restlichen Außendienstmitarbeiter, Abteilungsleiter und Geschäftsführer eine Schulung durchgeführt werden muss, oder ob die Anwendung der neuen Technik keine Probleme bereitet. Die VPN Zugänge werden nur auf den Laptops der Außendienstmitarbeiter, Geschäftsführer und Abteilungsleiter installiert. Andere Benutzer sind nicht vorgesehen. Die Anbindung der Zweigstelle wird ist für einen späteren Zeitpunkt geplant. Alle Mitarbeiter die nun einen Zugang zum VPN Netzwerk haben, werden schriftlich über die Risiken, die mit dem Verlust des Laptops oder den Zugriff unbefugter Dritter auf das Gerät und damit auf die VPN-Verbindung in das Firmennetzwerk, aufgeklärt. Alle Zugriffe über den VPN-Server werden aufgezeichnet, um den eventuellen Missbrauch von Außen nachvollziehen zu können. Es wird eine 24-Stunden erreichbare Hotline eingerichtet, die Verlustmeldungen der Laptops mit eingerichtetem VPN-Zugang entgegennimmt. Diese Zugänge werden unverzüglich nach Eingang der Verlustmeldung gesperrt, um sicherzustellen, dass Unberechtigte Dritte keinen Zugriff auf das Firmennetzwerk erhalten. Sollten weitere Zugänge zum VPN benötigt werden, so sind diese Wünsche in einem schriftlichen Antrag mit hinreichender Begründung für die Notwendigkeit der Einrichtung beim Systemadministrator vorzulegen. Dieser entscheidet nach Absprache mit der Geschäftsleitung, ob der Zugang eingerichtet wird, und ob ggf. Restriktionen für den Zugang gelten sollen, die sich von den bisherigen RAS-Richtlinien unterscheiden. Für einen späteren Zeitpunkt ist der Einsatz von Smartcards zur Benutzerauthentifizierung vorgesehen. Eine Erläuterung der Funktion von Smartcards erfolgt unten. Sollte der VPN-Server ausfallen, gibt es momentan keine Möglichkeit, sich dennoch mit dem Firmennetzwerk zu verbinden. Möglich wäre die Einrichtung eines zweiten VPN-Servers zu Redundanzzwecken. Dies kann eine höhere Dienstgüte garantieren. Unter den derzeitigen Gegebenheiten muss gewährleistet werden, dass der Dienst schnellstmöglich wieder zur Verfügung gestellt wird, sofern er ausfallen sollte.

Virtual Private Networking unter Windows 2000 Sicherer Remote Access im Unternehmen

3.3

Windows 2000 und Smartcards

Windows 2000 und Smartcards

Smartcards sind sozusagen Mini-Computer, die in eine flache Plastikkarte eingebettet sind. Abgesehen vom fehlenden Magnetstreifen sehen sie genauso aus wie übliche EC- oder Kreditkarten, mit dem Unterschied, dass sie wesentlich mehr Daten aufnehmen können (z.B. 8 K bei GemSAFE-Smartcards). Windows 2000 unterstützt das ICC-Format (Integrated circuit cards) Karten dieses Typs sind in der Lage, komplexe Operationen wie digitale RSA-Signaturen durchzuführen. Statt sich nun wie üblich mit einem Benutzernamen und Passwort anzumelden, schiebt der User seine Smartcard in den an seinen Computer angeschlossenen Smartcard-Reader und gibt seine zur Smartcard passende PIN ein ganz wie am Geldautomat der Bank. Von den beiden existierenden IC-Smartcard-Typen denen mit Kontakten und den kontaktlosen werden erstere von Windows 2000 unterstützt. Sie zeichnen sich durch eine goldene Kontaktplatte auf der Oberseite aus, ähnlich dem Geldkartenchip auf neueren EC-Karten. Die enthaltenen 8 Kontakte stellen die Verbindung zwischen dem eingebetteten Chip und dem Smartcard-Reader her. Im Lieferumfang von Windows 2000 sind zwei verschiedene CSP’s (Cryptographic Service Provider) enthalten, die von den jeweiligen Herstellern von Smartcards zur Unterstützung ihrer Produkte für Windows 2000 entwickelt wurden. Gemplus steuerte hierzu den CSP für GemSAFE-, Schlumberger den CSP für Cryptoflex-Smartcards bei. Weitere RSA-basierte Smartcards werden von Windows 2000 ebenso unterstützt, sofern deren Hersteller einen CSP für Windows 2000 zur Verfügung stellen. Darüber hinaus sind für einige gängige SmartcardReader die notwendigen Treiber bereits in Windows 2000 integriert, beispielsweise für Gemplus- und Schlumberger-Reader mit seriellem Port, USB- und PCMCIA.

Virtual Private Networking unter Windows 2000 Sicherer Remote Access im Unternehmen

3.4

Konfiguration Firewall

Konfiguration Firewall

Da in unserem Unternehmen eine Firewall eingesetzt wird, die den eingehenden Datenstrom filtert, müssen hier noch Regeln definiert werden, damit der Zugang zum VPN funktioniert. Port 1701 UDP

any VPN Access Server L2TP (Layer 2 Tunnelling Protocol)

Port 1723 TCP

any VPN Access Server PPTP (Point to Point Tunnelling Protocol)

Port 500 UDP

any VPN Access Server ISAKMP (Internet Key Exchange / IPSec)

Durch diese Einstellungen wird gewährleistet, dass der Datenverkehr auf den frei geschalteten Ports von jeder anfordernden Adresse an den VPN-Server durchgelassen wird.

Virtual Private Networking unter Windows 2000 Sicherer Remote Access im Unternehmen

4.1

Resümé

Im Nachhinein betrachtet hat sich dieses Projekt für mich schwieriger dargestellt, als ich es erwartet hatte. Die Materie ist äußerst komplex und schwierig zu überschauen. Ich habe die mir zur Verfügung stehenden Quellen mehr als nur einige Male zu Rate ziehen müssen, um in das Thema einsteigen zu können. Ich bin der Ansicht, dass das Konzept, welches ich Rahmen dieses Projektes erstellt habe, verbesserungswürdig ist. Aus diesem Grund bin ich zu dem Schluss gelangt, diesen aufgestellten Lösungsweg zunächst in einer Testumgebung zu erproben, und nicht wie oben beschrieben sofort in den realen Betrieb einzusteigen. Dies wäre unter sicherheitstechnischen Gesichtspunkten nicht vertretbar.

Virtual Private Networking unter Windows 2000 Sicherer Remote Access im Unternehmen

4.2

Quellenverzeichnis

Anschließend werden die Quellen angegeben, die ich zur Recherche benutzt habe.       

Windows 2000 Server Hilfe IT System Administrator Dokumentation Microsoft White Paper Virtuelle Private Netzwerke: Eine Übersicht Sicherer Remote Access mit Windows 2000 (Diplomarbeit Sebastian Wagner, 2000) Microsoft Windows 2000 Server Resource Kit Chapter 9 – Virtual Private Networking Virtual Private Networking with Windows 2000: Deploying Remote Access VPN VPN Die reale Welt der virtuellen Netze (Wolfgang Böhmer, HANSER Verlag 2002)