Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 5.41 Sichere Konfiguration des Fernzugriffs unter Windows NT - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 5.41 Sichere Konfiguration des Fernzugriffs unter Windows NT

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Über RAS (Remote Access Service) können sich Benutzer von entfernten IT-Systemen mit lokalen Windows NT Systemen verbinden. Dafür muss auf dem entfernten IT-System der RAS-Client und auf dem lokalen IT-System, das die Fernverbindung annimmt, der RAS-Server installiert sein. Diese Benutzer können über RAS so arbeiten, als wären sie direkt mit dem Netz verbunden. Die entfernten Clients verwenden dabei Standardprogramme, um auf Ressourcen zuzugreifen. Mit Hilfe des Dateimanagers bzw. Explorers werden beispielsweise Netzlaufwerke und Drucker verbunden. Diese Verbindungen sind permanent, d. h. Benutzer müssen Verbindungen zu Netzressourcen während ihrer Sitzung nicht erneut aufbauen. Als Clients werden die Systeme Windows NT, Windows 95, WfW, MS-DOS und OS/2 unterstützt.

Der Benutzer baut eine Verbindung zum RAS-Server mit Hilfe eines lokalen Modems, X.25 oder einer ISDN-Karte auf. Der RAS-Server, der auf einem Windows NT Server ausgeführt wird, authentisiert den Benutzer und bedient die Sitzungen, bis diese durch den Benutzer oder den Netzadministrator beendet werden. Alle Dienste, die normalerweise einem mit einem LAN verbundenen Benutzer zur Verfügung stehen (Datei- und Druckfreigabe, Datenbankzugriff und Benachrichtigung), sind über die RAS-Verbindung möglich.

Der Zugriff auf RAS wird aus dem Pool sämtlicher Windows NT Benutzerkonten gewährt. Mit Hilfe des Benutzer-Managers können einem einzigen Benutzer, einer Benutzergruppe oder sämtlichen Benutzern die Einwählberechtigung ins lokale Netz erteilt werden. Weiterhin bietet die RAS-Verwaltung eine Option, die den Zugriff auf alle Ressourcen ermöglicht, auf die der RAS-Host im Netz zugreifen kann, bzw. nur auf die lokal auf dem Computer vorhandenen Ressourcen. Dann nutzen die Anwender ihre Domänenanmeldung zum Herstellen der Verbindung über RAS. Wurde die Zugriffsberechtigung des Benutzers vom RAS geprüft, kann er die lokalen Ressourcen oder, falls ihm die Berechtigung dazu erteilt wurde, die Ressourcen in der ganzen Domäne sowie in den vertrauten Domänen nutzen.

Über das Challenge Handshake Authentication Protocol (kurz CHAP) vermittelt der Remote Access Server die sicherste der angebotenen Formen verschlüsselter Zugriffsberechtigung, die sowohl vom Server als auch vom Client unterstützt wird. CHAP ermöglicht dem RAS-Server die abwärts gerichtete Aushandlung vom sichersten Verschlüsselungsmechanismus bis zum unsichersten Verfahren mit Klartextübertragung und schützt die in diesem Prozess übertragenen Kennwörter.

CHAP lässt den Einsatz diverser Verschlüsselungsalgorithmen zu. RAS arbeitet insbesondere mit dem kryptographischen Protokoll MD5. RAS greift für die Authentisierung auf DES-Verschlüsselung zurück, wenn sowohl der Client als auch der Server mit RAS arbeiten. Windows NT, Windows für Workgroups sowie Windows 95 handeln bei der Datenkommunikation untereinander immer die DES-verschlüsselte Echtheitsbestätigung aus. Bei Verbindung mit externer RAS-Server- oder Client-Software ist eine Echtheitsbestätigung mit SPAP oder unverschlüsseltem Text möglich, falls das externe Produkt keine verschlüsselte Echtheitsbestätigung unterstützt.

MD5, ein Verschlüsselungsschema, das von diversen PPP-Implementationen für verschlüsselte Echtheitsbestätigungen eingesetzt wird, kann vom Microsoft RAS-Client ausgehandelt werden, wenn eine Verbindung zu anderen RAS-Servern besteht.

PAP arbeitet mit einfachen, unverschlüsselten Kennwörtern und hat damit als für Echtheitsbestätigungen verantwortliches Protokoll am wenigsten zu bieten. Dieses Protokoll wird normalerweise ausgehandelt, wenn die externe Arbeitsstation und der Server sich nicht auf eine Verschlüsselungsform einigen können, die mehr Sicherheit bietet.

Das RAS-Verschlüsselungsprotokoll sollte gemäß der folgenden Tabelle in Abhängigkeit vom zu erreichenden Schutzbedarf so gewählt werden, dass mindestens das dort angegebene Protokoll verwendet wird. Dies kann bedeuten, dass bei hohen Sicherheitsanforderungen die Verwendung von Clients, die das geforderte Protokoll nicht unterstützen, ausgeschlossen werden muss.

 
Schutzbedarf  Verschlüsselungsart  RAS-Verschlüsselungsprotokoll 
Hoch  Einseitig  CHAP, MD5 
Mittel  Beidseitig  SPAP 
Niedrig  Unverschlüsselter Text  PAP 

Tabelle: RAS-Verschlüsselungsprotokoll in Abhängigkeit vom Schutzbedarf

Datenverschlüsselung schützt Daten und gewährleistet eine sichere Anwählverbindung. Der RAS-Administrator kann den RAS-Server so einstellen, dass die Datenübertragung immer in verschlüsselter Form zu erfolgen hat. Die Benutzer, die an diesem Server angeschlossen sind, verschlüsseln automatisch alle gesendeten Daten.

Hinweis: Diese Option setzt voraus, dass alle angeschlossenen Clients verschlüsseln können. Falls dies gegeben ist, wie z. B. in einem homogenen Windows NT Netz, so ist diese Option auf jeden Fall zu aktivieren.

Die Startoptionen von RAS werden über die Systemsteuerungsoption "Dienste" eingestellt, und die Konfigurierung erfolgt über die Systemsteuerungsoption "Netzwerk", wobei hier auch die Wahl des Authentisierungsverfahrens geschieht. Durch Wahl der Option "Nur Microsoft-verschlüsselte Echtheitsbestätigung" kann die Wahl von CHAP mit MD5 erzwungen werden; zusätzlich lässt sich dann auch die Verschlüsselung des Datenstroms einschalten. Dabei werden die übertragenen Daten in den deutschen Versionen von Windows NT nicht mit DES, sondern mit RC4 verschlüsselt.

RAS unterstützt Sicherheits-Hosts anderer Hersteller, wobei der Sicherheits-Host zwischen den Fernbenutzer und den RAS-Server geschaltet ist. Ein Sicherheits-Host ist ein zusätzlicher Rechner im Netz, der Sicherheitsdienste wie die Unterstützung von Chipkarten anbietet. Ein derartiger Sicherheits-Host bietet im Allgemeinen eine zusätzliche Sicherheitsstufe, indem er eine Ausweiskarte zur Echtheitsbestätigung anfordert oder ähnliche starke Authentisierungsverfahren unterstützt, bevor der Zugriff auf den RAS-Server erteilt wird.

Als zusätzliche Sicherheitsmaßnahme bietet RAS die Zugriffsüberwachung per Rückruf (Callback). Mit dieser Funktion kann der Systemadministrator verlangen, dass ein bestimmter Fernbenutzer von einer vorher festgelegten Stelle aus (z. B. privater Telefonanschluss) anruft oder dieser von einer beliebigen Stelle aus zurückgerufen werden kann. Bei der Zugriffsüberwachung per Rückruf leitet der Anwender einen Anruf ein und stellt die Verbindung mit dem RAS-Server her. Der RAS-Server legt dann auf und ruft einen Augenblick später die vorher zugeteilte Rückrufnummer an. Bei Verwendung des analogen Telefonnetzes sind hierzu Rückrufmodems einzusetzen, während bei Übertragung über ISDN bzw. X.25 (z. B. Datex-P) die Leistungen dieser Netze in Anspruch genommen werden können. Dabei ist allerdings zu beachten, dass die Sicherheit der Partneridentifikation bei Wechsel des X.25-Carriers, also bei grenzüberschreitender Datenübertragung, nicht mehr gewährleistet ist.

Unter RAS wird der Fernzugriff auf das Netz vom Systemadministrator gesteuert. Zusätzlich zu den Dienstprogrammen, die zusammen mit Windows NT Server geliefert werden, bietet das Dienstprogramm RAS-Verwaltung dem Administrator die Möglichkeit, Zugriffsberechtigungen für einzelne Benutzer und/oder Gruppen zu erteilen bzw. wieder zu entziehen. Das bedeutet, dass der Zugriff auf das Netz - obwohl RAS auf einem Computer mit Windows NT Server läuft - jedem Benutzer, der auf das Netz über RAS zugreifen darf, ausdrücklich erteilt werden muss. Dabei gewährleistet dieses Verfahren nicht nur, dass Fernzugriff ausdrücklich erlaubt werden muss, sondern erlaubt zudem das Festlegen von Rückrufbeschränkungen.

RAS bietet ein zusätzliches Maß an Sicherheit. Die RAS-Verwaltung bietet eine Option, die den Zugriff auf alle Ressourcen ermöglicht, die der RAS-Host wahrnimmt, bzw. nur auf die lokal auf dem Computer vorhandenen Ressourcen. Somit kann der Administrator genau steuern, welche Daten einem Fernbenutzer zur Verfügung stehen. Nach Möglichkeit sollte die Erlaubnis zum Durchgriff auf weitere Rechner im Netz nur sehr restriktiv oder überhaupt nicht erteilt werden, um bei einem Durchbrechen der Sicherheitsbarrieren den möglichen Schaden zu begrenzen.

Hinweis: Wird RAS in einer Domäne verwendet, wirken sich Änderungen der RAS-Berechtigung nicht sofort auf alle Server aus. Es kann bis zu 15 Minuten dauern, bis eine Änderung auf alle Server der Domäne repliziert worden ist. Bei Bedarf können die Domänen explizit neu synchronisiert werden, um sicherzustellen, dass ein Benutzer mit entzogenen Berechtigungen bis zur automatischen Replikation der Änderung bereits keinen Zugriff auf das Netz mehr hat.

Ergänzende Kontrollfragen: