M 4.145 Sichere Konfiguration von RRAS unter Windows 2000
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Auch unter Windows 2000 steht eine RAS (Remote Access Service) Komponente zur Verfügung, die jedoch auch als RRAS (Routing & RAS) bezeichnet wird. Der RRAS-Server unterstützt dabei außerdem den Aufbau verschlüsselter Kommunikationsverbindungen, so dass damit ebenfalls VPN (Virtual Private Network) Verbindungen möglich sind. Damit ist es z. B. möglich, zwei Windows 2000 Netze über ein unsicheres Kommunikationsmedium, etwa das Internet, miteinander zu verbinden. Es ist zu berücksichtigen, dass hierbei in der Regel das Firewall-Konzept entsprechend angepasst werden muss, siehe dazu Baustein B 3.301 Sicherheitsgateway (Firewall). Allgemeine Hinweise zu RAS finden sich außerdem im Baustein B 4.4 Remote Access, so dass im Folgenden nur die für Windows 2000 spezifischen Empfehlungen aufgeführt sind. Um im konkreten Fall eine sichere RAS-Konfiguration zu erreichen, sind jedoch alle relevanten Maßnahmenbündel auf ihre Anwendbarkeit hin zu überprüfen und entsprechend umzusetzen.
Der Windows 2000 RRAS-Server erlaubt als Besonderheit die Steuerung der Einwahlberechtigung für Benutzer durch so genannte RAS-Richtlinien (Policies). Hier können vielfältige Beschränkungen für die Einwahl festgelegt werden, z. B. die maximale Leerlaufzeit vor Trennen der Verbindung, die Vorgabe von Rufnummern, von denen aus die Einwahl erfolgen muss, sowie die Vorgabe des Einwahlmediums. Über die RAS-Richtlinien werden jedoch auch die erlaubten Authentisierungsverfahren festgelegt, deren Stärke und Sicherheit maßgeblich für die Sicherheit eines Netzes mit RAS-Einwahlmöglichkeit sind.
Bei der Windows 2000 RRAS Konfiguration ist dabei Folgendes zu berücksichtigen:
-
Die Einwahl ist mit den zur Verfügung stehenden Mitteln zu beschränken. Windows 2000 bietet hierfür die folgenden Kriterien an:
- Leerlaufzeit: Zeitdauer ohne Aktivitäten, nach der die Verbindung getrennt wird. Standardmäßig ist diese Eigenschaft nicht eingestellt, und Verbindungen im Leerlauf werden nicht durch den RAS-Server getrennt.
- Maximale Sitzungsdauer: Zeitdauer, über die eine Verbindung maximal besteht. Nach Ablauf der maximalen Zeitdauer für die Sitzung wird die Verbindung getrennt. Standardmäßig ist diese Eigenschaft nicht eingestellt, und beim RAS-Server besteht keine maximale Zeitdauer für Sitzungen.
- Tage und Uhrzeiten: Die Wochentage und Uhrzeiten, zu denen eine Verbindung zulässig ist. Wenn der Wochentag und die Uhrzeit der Verbindung nicht mit den konfigurierten Angaben übereinstimmen, wird die Verbindung verweigert. Standardmäßig ist diese Eigenschaft nicht eingestellt, und beim RAS-Server bestehen keine Einschränkungen hinsichtlich des Wochentags oder der Uhrzeit. Die Überprüfung auf zulässige Verbindungszeiten findet nur beim Aufbau einer Sitzung statt. Eine aktive Verbindung, die zu einem zulässigen Zeitpunkt aufgebaut wurde, wird auch nach dem Ablauf des zulässigen Zeitfensters nicht durch den RAS-Server getrennt.
- Einwählnummer: Eine bestimmte Rufnummer, die ein Anrufer verwenden muss, damit die Verbindung zugelassen wird. Wenn die Einwählnummer der Verbindung nicht mit der konfigurierten Einwählnummer übereinstimmt, wird die Verbindung verweigert. Standardmäßig ist diese Eigenschaft nicht eingestellt, und beim RAS-Server sind alle Einwählnummern zulässig.
- Einwählmedien: Arten der Medien, die ein Benutzer verwenden muss, damit eine Verbindung zugelassen wird, wie beispielsweise Modem (asynchron), ISDN oder virtuelles privates Netz (VPN). Wenn das Einwählmedium der Verbindung nicht mit dem vorgegebenen Einwählmedium übereinstimmt, wird die Verbindung verweigert. Standardmäßig ist diese Eigenschaft nicht eingestellt, und beim RAS-Server sind alle Medienarten zulässig.
-
Zur Authentisierung sollten nur starke Verfahren unter Verwendung ausreichend langer Schlüssellängen eingesetzt werden. Welche Schlüssellängen als ausreichend sicher erachtet werden, hängt vom Einsatzszenario ab und sollte in der RAS-Sicherheitsrichtlinie (siehe auch M 2.187 Festlegen einer RAS-Sicherheitsrichtlinie) festgelegt werden. Zu beachten ist, dass alle RAS-Clients mindestens eines der festgelegten Verfahren unterstützen müssen. Windows 2000 bietet standardmäßig folgende Authentisierungsverfahren an: EAP-TLS, MS-CHAP v2, MS-CHAP, CHAP, SPAP, PAP sowie nicht authentisierte Zugriffe.
- Nicht authentisierte Verbindungen dürfen nicht angenommen werden.
- Die Verfahren PAP, SPAP sowie MS-CHAP (in beiden Versionen) werden als unsicher eingestuft und sollten daher nicht verwendet werden.
- Muss MS-CHAP als Authentisierungsverfahren eingesetzt werden, so sollte die Version 2 genutzt werden, da diese sicherer ist als Version 1. Da auch in der Version 2 Sicherheitsprobleme gefunden wurden, sollte auf eine neuere Version zurückgegriffen werden, sobald eine solche verfügbar ist.
- EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) ist nur für einen RAS-Server verfügbar, der Mitglied in einer Windows 2000 Domäne ist. EAP-TLS erlaubt standardmäßig die zertifikats- und chipkartenbasierte Authentisierung, wobei Microsoft aus Sicherheitsgründen nur die Verwendung der chipkartenbasierten Variante empfiehlt.
- Die Nutzung von RADIUS erlaubt die zentrale Verwaltung von RAS-Zugangsberechtigungen.
- RAS-Verbindungen sollten grundsätzlich verschlüsselt sein, um ein hohes Maß an Sicherheit zu gewährleisten. Dazu sollten möglichst sichere
Verfahren zum Einsatz kommen. Die Möglichkeit, unverschlüsselte Verbindungen aufzubauen, sollte deaktiviert werden. Folgende Möglichkeiten werden durch Windows 2000 angeboten:
- Keine Verschlüsselung: Diese Option ermöglicht eine unverschlüsselte Verbindung und sollte nicht eingesetzt werden.
- Basisverschlüsselung: Bei DFÜ-Verbindungen und PPTP-basierten VPN-Verbindungen wird die Microsoft Punkt-zu-Punkt-Verschlüsselung (MPPE) mit einem 40-Bit-Schlüssel verwendet. Bei VPN-Verbindungen, die auf L2TP und IPSec basieren, wird eine 56-Bit-DES-Verschlüsselung eingesetzt. Diese Option sollte nicht verwendet werden.
- Starke Verschlüsselung: Bei DFÜ-Verbindungen und PPTP-basierten VPN-Verbindungen wird MPPE mit einem 56-Bit-Schlüssel verwendet. Bei VPN-Verbindungen, die auf L2TP und IPSec basieren, wird eine 56-Bit-DES-Verschlüsselung eingesetzt. Diese Option kann für Verbindungen eingesetzt werden, die vor zufälligem Mitlesen geschützt werden sollen. Für den Schutz vertraulicher Informationen während der Netzübertragung sollte diese Option nicht verwendet werden.
- Stärkste Verschlüsselung: Bei DFÜ-Verbindungen und PPTP-basierten VPN-Verbindungen wird MPPE mit einem 128-Bit-Schlüssel verwendet. Bei VPN-Verbindungen, die auf L2TP und IPSec basieren, wird die 3DES-Verschlüsselung (Triple DES) eingesetzt. Diese Option ist nur nach Einspielen des "High-Encryption-Pack" und des Service Pack 1 oder 2 verfügbar. Diese Option sollte für die Netzabsicherung gewählt werden, wenn vertrauliche Informationen übertragen werden.
- Die ausschließliche Steuerung der Einwahl über RAS-Richtlinien, z. B. in Abhängigkeit der Zugehörigkeit zu einer Benutzergruppe, ist nur in Domänen möglich, die im Native Mode betrieben werden.
- Die Einwahlberechtigung kann nicht über eine Gruppenrichtlinie (GPO) aktiviert werden. Dies muss für jeden Benutzer einzeln erfolgen.
Die hier aufgezeigten Empfehlungen und Hinweise können nur allgemeine Anhaltspunkte zur sicheren RAS-Konfiguration liefern, da die konkrete Konfiguration sehr vom Einsatzszenario und den damit verbundenen Sicherheitsanforderungen abhängt. Insofern ist eine entsprechende Anpassung auch unter Berücksichtigung der unternehmens- bzw. behördenweiten Sicherheitsleitlinie notwendig.
Ergänzende Kontrollfragen:
- Wurde ein bedarfsgerechtes RAS-Konzept entworfen und umgesetzt?
- Wurde das RAS-Konzept auf das Firewall-Konzept abgestimmt?
- Ist der RAS-Server so konfiguriert, dass er nicht authentisierte Verbindungen verweigert?
- Werden nur starke Authentisierungsmechanismen eingesetzt?
- Werden die übertragenen Daten verschlüsselt?