Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 4.145 Sichere Konfiguration von RRAS unter Windows 2000 - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 4.145 Sichere Konfiguration von RRAS unter Windows 2000

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Auch unter Windows 2000 steht eine RAS (Remote Access Service) Komponente zur Verfügung, die jedoch auch als RRAS (Routing & RAS) bezeichnet wird. Der RRAS-Server unterstützt dabei außerdem den Aufbau verschlüsselter Kommunikationsverbindungen, so dass damit ebenfalls VPN (Virtual Private Network) Verbindungen möglich sind. Damit ist es z. B. möglich, zwei Windows 2000 Netze über ein unsicheres Kommunikationsmedium, etwa das Internet, miteinander zu verbinden. Es ist zu berücksichtigen, dass hierbei in der Regel das Firewall-Konzept entsprechend angepasst werden muss, siehe dazu Baustein B 3.301 Sicherheitsgateway (Firewall). Allgemeine Hinweise zu RAS finden sich außerdem im Baustein B 4.4 Remote Access, so dass im Folgenden nur die für Windows 2000 spezifischen Empfehlungen aufgeführt sind. Um im konkreten Fall eine sichere RAS-Konfiguration zu erreichen, sind jedoch alle relevanten Maßnahmenbündel auf ihre Anwendbarkeit hin zu überprüfen und entsprechend umzusetzen.

Der Windows 2000 RRAS-Server erlaubt als Besonderheit die Steuerung der Einwahlberechtigung für Benutzer durch so genannte RAS-Richtlinien (Policies). Hier können vielfältige Beschränkungen für die Einwahl festgelegt werden, z. B. die maximale Leerlaufzeit vor Trennen der Verbindung, die Vorgabe von Rufnummern, von denen aus die Einwahl erfolgen muss, sowie die Vorgabe des Einwahlmediums. Über die RAS-Richtlinien werden jedoch auch die erlaubten Authentisierungsverfahren festgelegt, deren Stärke und Sicherheit maßgeblich für die Sicherheit eines Netzes mit RAS-Einwahlmöglichkeit sind.

Bei der Windows 2000 RRAS Konfiguration ist dabei Folgendes zu berücksichtigen:

Die hier aufgezeigten Empfehlungen und Hinweise können nur allgemeine Anhaltspunkte zur sicheren RAS-Konfiguration liefern, da die konkrete Konfiguration sehr vom Einsatzszenario und den damit verbundenen Sicherheitsanforderungen abhängt. Insofern ist eine entsprechende Anpassung auch unter Berücksichtigung der unternehmens- bzw. behördenweiten Sicherheitsleitlinie notwendig.

Ergänzende Kontrollfragen: