M 4.113 Nutzung eines Authentisierungsservers beim RAS-Einsatz
Verantwortlich für Initiierung: IT-Sicherheitsmanagement-Team
Verantwortlich für Umsetzung: Administrator
Für RAS-Systeme mit vielen Benutzern muss darüber nachgedacht werden, wie die Benutzerverwaltung für den RAS-Zugang effizient durchgeführt werden kann. In der Regel muss jeder RAS-Benutzer auch eine Systemidentität (Benutzerkonto des Betriebssystems) erhalten bzw. über ein solches Benutzerkonto identifiziert werden. Einige Betriebssysteme bieten hier die direkte Integration der RAS-Funktionalität (z. B. Windows NT) und eine gemeinsame Benutzerverwaltung. Für mittlere und große Netze, die organisatorisch meist in mehrere Teilnetze (Domänen, Verwaltungsbereiche) aufgeteilt sind, besteht in vielen Fällen das Problem, dass in jedem Verwaltungsbereich eine getrennte Verwaltung der Benutzerdaten durchgeführt wird. Sollen sich Benutzer auch an fremden Teilnetzen anmelden können, müssen hier Querberechtigungen (Cross-Zertifikate, Vertrauensstellungen) oder ein zentraler Verzeichnisdienst eingerichtet und gepflegt werden. Eine weitere Alternative ist, dass die Benutzer zusätzlich ein Benutzerkonto in dem anderen Teilnetz erhalten, dies erschwert aber die Verwaltung der Benutzerdaten. Insbesondere im RAS-Kontext haben sich hier spezielle Authentisierungssysteme herausgebildet, die auch für den "normalen" Authentisierungsprozess bei der Systemanmeldung genutzt werden können. Typische Vertreter sind beispielsweise RADIUS, TACACS, TACACS+, SecureID, SafeWord, etc.
Prinzipiell besitzen diese Systeme folgenden Aufbau:
- Die Authentisierungsdaten der Benutzer werden durch einen zentralen Server verwaltet.
- Das Programm zur Systemanmeldung wendet sich zur Überprüfung der vom Benutzer eingegebenen Authentisierungsdaten an den Authentisierungsserver.
- Zur Kommunikation zwischen Anmeldeprozess und Authentisierungsserver wird in der Regel ein abgesichertes Protokoll eingesetzt.
Der Anmeldeprozess muss dazu die Nutzung externer Authentisierungsserver unterstützen und die Netzadresse des zu benutzenden Authentisierungsservers muss in den Konfigurationsdaten des Anmeldeprozesses korrekt eingetragen sein. Will sich ein Benutzer nun am System anmelden - gleichgültig ob er dazu eine RAS-Verbindung benutzt oder sich direkt im LAN befindet - laufen grob vereinfacht folgende Schritte ab:
- Findet ein Verbindungsaufbau mit dem System- oder RAS-Anmeldeprozess statt, kontaktiert dieser den Authentisierungsserver und informiert ihn über den eingegangenen Verbindungswunsch eines Benutzers. Der Authentisierungsserver sendet - sofern ein "Challenge-Response" Verfahren zum Einsatz kommt - eine so genannte "Challenge" an den Prozess zurück, der diese an den Benutzer weiterleitet.
- Der Benutzer gibt sein Authentisierungsgeheimnis ein. Dies kann je nach verwendetem System ein Passwort oder ein Einmalpasswort in den unterschiedlichsten Ausprägungen (Nummern, Text) sein.
- Der Anmeldeprozess leitet die Daten (meist transparent für den Benutzer) an den Authentisierungsserver weiter.
- Der Authentisierungsserver verifiziert die Benutzerdaten und signalisiert dem Anmeldeprozess das Ergebnis der Überprüfung.
- Der Zugang zum (Access-)Netz wird nach erfolgreicher Überprüfung gewährt.
Durch die Verwendung von zentralen Authentisierungsservern kann erreicht werden, dass einerseits die Authentisierungsdaten konsistent verwaltet werden und andererseits bessere Authentisierungsmechanismen genutzt werden können, als sie von den Betriebssystemen standardmäßig unterstützt werden. Hier sind insbesondere Chipkarten- und Token-basierte Mechanismen zu nennen. Je nach System erzeugen diese z. B. Einmalpasswörter, die auf einem Display angezeigt werden und die der Benutzer als Passwort angeben muss.
Für mittlere und große Netze wird die Verwendung von Authentisierungsservern insbesondere im RAS-Bereich empfohlen, da diese eine wesentlich höhere Sicherheit bei der Benutzer-Authentisierung bieten. Berücksichtigt werden muss jedoch, dass auch diese Server administriert und gewartet werden müssen. Ein Authentisierungsserver muss so im Netz platziert werden, dass er einerseits performant erreicht werden kann, aber andererseits auch vor unberechtigten Zugriffen geschützt ist.
Ergänzende Kontrollfragen:
- Wird das externe Authentisierungssystem durch das Betriebssystem und das RAS-System unterstützt?
- Erlaubt die RAS-Client-Software die Nutzung eines Chipkartenlesers für chipkartenbasierte Authentisierungssysteme?
- Welche Sicherheitsmechanismen werden durch das externe Authentisierungssystem angeboten?