G 5.91 Abschalten von Sicherheitsmechanismen für den RAS-Zugang
Die Sicherheit eines RAS-Zugangs hängt wesentlich von der korrekten Nutzung der angebotenen Sicherheitsmechanismen ab. In der Regel ist es jedoch möglich, das RAS-System so zu konfigurieren (Client und/oder Server), dass schwache oder keine Sicherheitsmechanismen zum Einsatz kommen. Werden z. B. die zur Datenverschlüsselung eingesetzten Mechanismen beim Verbindungsaufbau dynamisch zwischen Client und Server verhandelt (dies kann beispielsweise bei der Nutzung von IPSec oder SSL geschehen), so erfolgt diese Verhandlung meist dadurch, dass der Client dem Server eine Liste von unterstützten Verfahren (so genannte Cipher-Suites) zur Auswahl anbietet, aus denen sich der Server eines auswählt. Die Liste der verwendbaren Verfahren kann durch entsprechende Konfiguration verändert werden. Meist ist auch die Option "keine Verschlüsselung" möglich.
Ist die unverschlüsselte Verbindungsaufnahme eine erlaubte Option zwischen Client und Server, so besteht grundsätzlich die Gefahr, dass die Absicherung der übertragenen Daten deaktiviert wird. Dies betrifft insbesondere RAS-Clients, wenn den Benutzern die Möglichkeit gegeben wird, die Konfiguration des RAS-Systems bei Problemen an die lokalen Gegebenheiten anzupassen.
Beispiele:
- Die Absicherung der RAS-Kommunikation soll mittels IPSec unter Windows 2000 erfolgen. Auf dem RAS-Server ist eingestellt, dass die IPSec-Verschlüsselung angefordert, jedoch nicht erzwungen wird, so dass RAS-Clients potentiell auch ungesicherte Verbindungen aufbauen können. Da einem RAS-Benutzer die mit der Verschlüsselung einhergehenden Leistungseinbußen auf seinem älteren Laptop nicht akzeptabel erscheinen, schaltet er die IPSec-Verschlüsselung ab. Die RAS-Verbindung wird nun unverschlüsselt aufgebaut.
- Unter älteren Windows NT-Versionen kann die Verschlüsselung der RAS-Verbindung mittels MPPE (Microsoft Point to Point Encryption) nur dann durchgeführt werden, wenn als Authentisierungsverfahren MS-CHAP eingesetzt wird. Nur bei Verwendung von MS-CHAP werden die zur Verschlüsselung notwendigen Parameter zwischen Client und Server ausgetauscht. Um ein standardisiertes Authentisierungsverfahren zu benutzen, stellt ein Benutzer das CHAP-Verfahren ein. Eine Verschlüsselung der RAS-Verbindung mittels MPPE kann nun nicht mehr erfolgen, obwohl die entsprechende Option aktiviert ist.