Mehr über cryptas.com Cryptas Security Cryptas Consulting
Cryptoshop Hilfe! Cryptoshop Kontakt! Cryptoshop Merkzettel! Cryptoshop Warenkorb! Zur Kassa gehen! Go to the english page!
+ Produkte
· · · · · · · · · · · · · · · · · · · · · · ·
+ Lösungen
· · · · · · · · · · · · · · · · · · · · · · ·
+ Knowledge Base
  Sicherheitsziele  
  Security Governance  
  Kryptographie  
  Technologie  
  Smart Card Anwendungen  
  Authentisierung  
  PKI  
  So Geht's  
  MyID - Screens etc.  
  SecureDoc - Screens etc.  
  Benutzerauthentisierung  
  E-Mail Sicherheit  
  MS-Enterprise-CA  
  Sicheres WLAN  
  Webauthentisierung  
  Remote Access  
  MS File-Encryption  
· · · · · · · · · · · · · · · · · · · · · · ·
+ Service
· · · · · · · · · · · · · · · · · · · · · · ·
     
Management
· · · · · · · · · · · · · · · · · · · · · · ·
Security Officer
· · · · · · · · · · · · · · · · · · · · · · ·
System Engineer
· · · · · · · · · · · · · · · · · · · · · · ·
Purchasing
· · · · · · · · · · · · · · · · · · · · · · ·
Maintenance
· · · · · · · · · · · · · · · · · · · · · · ·
 
 

VPN  |  VPN-Management bei MS

MS - VPNs
 
INFO & WISSEN
 

Tunneling-Verfahren bei MS
Bei Microsofts VPN Unterstützung kommen entweder PPTP mit MPPE (Microsoft Point to Point Encryption) als Verschlüsslungsmethode zum Einsatz, oder L2TP, wobei diese Implementierung MPPE nicht unterstützt sondern stattdessen IPSec zur Verschlüsselung verwendet.

Mit PPTP ist der Einsatz von der PPP Erweiterung EAP möglich, womit bei Einsatz z.B. von EAP-TLS auch gleich Schlüsselmaterial für die folgende Verschlüsselung (z.B. für MPPE) möglich ist. Bei L2TP/IPSec wird über IKE Schlüsselmaterial vereinbart.
Prinzip eines VPN Tunnel

Prinzip eines VPN Tunnel



Vorteile von PPTP
Für PPTP ist eine PKI nicht unbedingt erforderlich. L2TP/IPSec benötigt eine PKI für die Computerzertifikate für den VPN-Server und alle VPN-Clients zur Nutzung der Public Key Authentifizierungsmechanismen in IKE .

PPTP-Clients können auch unter Verwendung von NAT (Network Address Translator) betrieben werden. Allerdings nur, wenn die NAT-Implementierung die Verarbeitung von PPTP-Verkehr unterstützt. L2TP/IPSec basierte VPN-Clients und Server können nicht mit NAT zusammen betrieben werden. Es sei den, sowohl Server als auch Client unterstützen IPSec-NAT-Traversal (NAT-T). IPSec-NAT-T wird von Windows Server 2003, dem Microsoft L2TP/IPSec VPN-Client und dem L2TP/IPSec NAT-T Update für Windows XP und Windows 2000 zur Verfügung gestellt.

Vorteile von L2TP/IPSec
Die Verwendung von L2TP/IPSec über PPTP mit Windows Server 2003 bietet einige Vorteile, so bietet IPSec ESP für jedes einzelne Paket neben der Verschlüsselung eine Authentifizierung, eine gesicherte Integrität, sowie einen Schutz vor Wiederholungs-Angriffen. PPTP bietet im Gegensatz dazu nur eine Sicherung der Datenvertraulichkeit auf Paketebene.

L2TP/IPSec-Verbindungen unterstützen eine stärkere Authentifizierung, da sie sowohl eine Authentifizierung auf Computerebene (über Zertifikate) und auf Benutzerebene (über ein PPP-Authentifizierungsprotokoll) erfordern.

PPP-Pakete werden während der Benutzerauthentifizierung verschlüsselt verschickt. Dies liegt daran, dass der PPP-Verbindungsaufbau bei L2TP/IPSec nach der IPSec-Security Association stattfindet. Wenn die PPP-Autorisierung abgefangen wird, können diese Daten bei manchen PPP-Authentifizierungsprotokollen für einen Offline- Wörterbuchangriff verwendet werden. So könnte der Angreifer Benutzerpasswörter erlangen. Durch die Verschlüsselung der PPP-Authentifizierung werden solche Angriffe schwieriger.

Quarantänesteuerung
Bei Windows Server 2003 gibt es jetzt eine Quarantänesteuerung, die es erlaubt, den Zugriff auf das interne Netzwerk solange zu verzögern, d.h. im Quarantäne-Modus zu halten, bis die Konfiguration des RAS-Computers durch ein Skript am RAS-Rechner verifiziert wurde.

Notwendig dazu ist ein RAS-Server unter Windows Server 2003, auf dem der Quarantine Notification Listener Dienst ausgeführt wird sowie ein RADIUS-Server unter Windows Server 2003 und dem Internet Authentication Service (IAS), für den eine Quarantäne-Richtlinie mit der passenden Quarantäne-Einstellung konfiguriert ist.

Weiters wird ein mit dem Windows Server 2003 Verbindungs-Manager-Verwaltungskit erstelltes Profil mit einem entsprechenden Script und einer Benachrichtigungskomponente benötigt.

RAS-Kontosperrung und Paketfilterrichtlinien
Eines vorweg, die RAS-Kontosperrung hat nichts mit der Einstellung Kontosperrung in den Eigenschaften eines Benutzerkontos bei der Administration von Kontosperrungsrichtlinien zu tun. Die RAS-Kontosperrung definiert, wie oft die RAS-Authentifizierung eines gültigen Benutzerkontos fehlschlagen darf, bevor der Remotezugriff für diesen Benutzer gesperrt wird. Damit werden Wörterbuchangriffe auf passwortgesicherte VPNs erschwert, allerdings können sich die Nutzer selbst aussperren, bzw. ein DoS ermöglicht.

Wenn das, standardmäßig deaktivierte, Feature aktiviert wird, besteht für einen Angreifer die Möglichkeit, ein beliebiges Konto einfach durch mehrere ungültige Authentifizierungsversuche zu sperren. Damit wird dann natürlich auch der legitime Benutzer ausgesperrt.

Zusätzlich können Paketfilter für RAS-Verbindungen über die Verbindungseinschränkungen der RAS-Richtlinien definiert werden. Bei einem Verbindungsversuch definieren diese Paketfilter den von und zu dem VPN-Client gestatteten IP-Verkehr. Damit wird verhindert, dass VPN-Clients Pakete versenden, die sie nicht erstellt haben. Wenn ein RAS-Client eine VPN-Verbindung erstellt, erstellt er standardmäßig auch eine Standardroute. Hierdurch wird dann der gesamte Verkehr für die Standardroute über die VPN-Verbindung gesendet. Wenn andere Computer Verkehr zum VPN-Client weiterleiten, und diesen also als Router verwendet, dann wird dieser Verkehr ebenfalls über die VPN-Verbindung gesendet.

Da der VPN-Server solche Computer jedoch nicht authentifiziert hat, ist dies ein Sicherheitsproblem. Der vom anderen Computer weitergeleitete Verkehr hat nämlich denselben Netzwerkzugriff, wie der Verkehr, der vom authentifizierten RAS-Client stammt. Damit der VPN-Server solchen Traffic entgegennimmt, konfiguriert man einen Paketfilter über die RAS-Richtlinie. Die Standard-RAS-Richtlinie von Windows Server 2003 entspricht bereits dieser Konfiguration.



Linktipps
VPN in Server 2003
Microsoft L2TP/IPSec VPN Client
L2TP/IPSec NAT-T Update MS-Knowledge Base 818043
Quarantänesteuerung - MS Technet (deutsch)



VPN-Management bei MS


Tunneling


IPSec


Zurück zur vorherigen Seite!Zum Seitenanfang!Zur Startseite
  VPN-Management bei MS  
  Tunneling  
  IPSec  
 
  VPN  
  MS Remote Desktop und Terminalserver  
  Vertraulichkeit und Authentizität  
  Security Economics  
  Passworte vs. OTP vs. PKI  
  CobiT - Systemsicherheit durch PKI  
  MS-Enterprise-CA  
  Stromchiffren  
 
Demo Area Download Bereich Forum E-Mail an die Redaktion Cryptoshop Newsletter Sicherheit auf Cryptoshop.com
Impressum AGB Verbraucherhinweise Datenschutz Newsletter Copyright © 2011 CRYPTAS. Alle Rechte vorbehalten Jobs & Karriere