|
|
 |
 |
Fernzugriff - Remote Access |
| |
|
|
|
Mit Remote Access Service (RAS) ist es möglich über teure Telefonverbindungen Zugriff auf ein internes Netzwerk zu ermöglichen. Eine kostengünstige Alternative für die Herstellung der Verbindung ist natürlich die Verwendung des Internets. Leider geht diese Lösung auf Kosten der Sicherheit, da der Datenverkehr im Internet erheblich leichter zu kompromittieren ist, als ein PSTN (Public Switched Telephone Network).
Um Vertraulichkeit und Integrität bei einer solchen Verbindung sicherzustellen legt man am besten einen kryptographisch gesicherten Tunnel
über/durch das Internet vom Client bis zum Einwählpunkt in das interne Netz. Diese Lösung wird als "voluntary Tunnel" bzw. allgemeiner als VPN
bezeichnet. Bei solchen Lösungen muss natürlich auch die Authentizität festgestellt werden, die man bei RAS oft über ein vordefiniertes Call-Back durchführte. Bei VPN-Lösungen kommen von Pre-Shared-Keys und Passworten bis Zertifikaten
und OTP
viele Authentifizierungsmethoden zum Einsatz.
Aufgrund ihrer Exponiertheit sind VPN-Server natürlich ein bevorzugter Angriffspunkt und deshalb sollte man bei VPN-Lösungen auf jeden Fall starke Authentifizierungsmechanismen verwendet werden. Die Gefahr ist doch um ein vielfaches höher einzuschätzen, als es bei "Wardialing"
jemals war.
|
Radius |
Im RFC 2865 und folgenden, ist das Remode Authentication Dial In User Service Protokoll beschrieben, welches für den Transport von Informationen über Authentifizierung, Autorisation und Konfiguration zwischen einem NAS (Network Access Server) als "Einwählpunkt" und einem Authentication Server im Hintergrund. Authentifizierungsmechanismus ist neben PAP und CHAP, wo der NAS eine aktive Aufgabe, wie das Stellen der Challenge, zu erfüllen hat, durch die RADIUS Extensions (RFC 2869 bzw. RFC 3579) auch EAP, und damit werden flexible Authentifizierungsarten möglich, wobei der NAS nur noch das Routing zum Authentication Server übernimmt.
|
|
|
|
|
|
 |
|
|
|
|
|
|
|
|
|
|
Impressum