DirectAccess, BranchCache und URL-basierter QoS von Microsoft Sichere VPN-Verbindungen mit Windows 7 und Windows Server 2008 R2

Autor / Redakteur: Stefan Riedl / Stephan Augsten

Der Fernzugriff auf das Firmen-Netzwerk ist angesichts zunehmender Zweigstellen und Home-Offices ein unverzichtbarer Bestandteil der Netzwerk-Infrastruktur. Mit dem Client-Betriebssystem Windows 7 und Windows Server 2008 R2 an zentraler Stelle bietet Microsoft neue Möglichkeiten für Virtual Private Networks – vor allem bei der Sicherheit.

Firmen zum Thema

Windows 7 bietet in Kombination mit Windows Server 2008 R2 neue Möglichkeiten für sichere Fernzugriffe auf das Firmennetz.
Windows 7 bietet in Kombination mit Windows Server 2008 R2 neue Möglichkeiten für sichere Fernzugriffe auf das Firmennetz.
( Archiv: Vogel Business Media )

Noch vor wenigen Jahren war es eine Besonderheit, wenn Mitarbeiter im Home-Office arbeiteten. Heutzutage ist das selbst in kleineren Firmen schon fast eine Selbstverständlichkeit. Denn Home-Office-Mitarbeiter sparen Fahrtkosten und arbeiten in ihrer häuslichen Umgebung in der Regel besonders effizient. Auch die Zweigstellen-Problematik gewinnt an Bedeutung, denn an zentraler Datenhaltung kommt auf kurz oder lang kaum ein Unternehmen mit Außenstellen mehr vorbei.

Microsoft begegnet diesen Marktanforderungen mit dem neuen Betriebssystemen Windows 7 in Kombination mit Windows Server 2008 R2. User von außerhalb des lokalen Netzwerks sollen im Home-Office oder der Außenstelle so im Unternehmensnetzwerk arbeiten können, als würden sie sich in der Hauptniederlassung befinden.

Insbesondere in Hinblick auf die Benutzerverwaltung und die Sicherheitsproblematik, hat sich Microsoft für Windows-7-Netzwerke einiges einfallen lassen. Security-Insider.de erläutert die wichtigsten Sicherheits- und Verwaltungsfunktionen in der Kombination Windows 7 und Windows Server 2008 R2.

Die Nachteile von VPN

Online müssen sie sein, die Nutzer von außerhalb. Und eine Breitbandanbindung ist für den reibungslosen Betrieb ebenso Voraussetzung. Meist setzen Unternehmen dabei auf sichere VPN-Verbindungen (Virtual Private Network).

Hierbei werden zwischen den miteinander kommunizierenden Netzwerken gesicherte „Datentunnel“ hergestellt. Bei der Einwahl setzt man in der Regel auf Zwei-Faktor-Authentifizierung, bei der Benutzername und Kennwort mit digitalen Zertifikaten, Token, Smartcards oder so genannten One Time Passwords kombiniert werden.

Der weitere Datenverkehr wird anschließend über geeignete Protokolle verschlüsselt: IPSec, TSL/SSL, ViPNet, PPTP und L2PT sowie PPPT und SSH kommen dabei zum Einsatz. Das Problem dabei: Die Einwahl zieht sich wegen der Sicherheitschecks in die Länge. Ein weiteres Problem ergibt sich, wenn die Datenpakete ausnahmslos über das Firmennetz geroutet werden: Greift man auf Webseiten zu, geschieht dies auch über Firmen-Proxies, was in Hinblick auf den verschlüsselungsbedingten Datenpaket-Overhead immens auf die Geschwindigkeit drücken kann.

Für derlei Szenarios werden für die Windows-7-Generation zwei mögliche Verbesserungen geboten. Zum einen sorgt die VPN-Verbindungswiederherstellung für einen reibungsloseren Ablauf. Zum anderen kann der Administrator die so genannte DirectAccess-Funktion nutzen.

Seite 2: Die VPN-Verbindungswiederherstellung unter Windows 7

Die VPN-Verbindungswiederherstellung unter Windows 7

Mit der „VPN-Verbindungswiederherstellung“ lässt sich ein VPN-Tunnel wieder aufbauen, wenn der Internetzugriff des Benutzers vorübergehend getrennt wurde. Das hilft insbesondere Nutzern mit einer mobilen Breitbandverbindung weiter, die sich durch Bereiche ohne Empfang bewegen (beispielsweise im ICE). Sobald der Rechner sich wieder mit dem Internet verbunden hat, stellt Windows 7 alle aktiven VPN-Verbindungen automatisch wieder her, was den Ablauf insgesamt reibungsloser gestaltet.

Gleichzeitig bietet Windows 7 sowohl Plug-and-Play-Zugriff als auch eine einheitliche Benutzeroberfläche für mobiles Breitband. Es spielt also keine Rolle mehr, ob der Benutzer die Verbindung über eine integrierte oder eine externe Datenkarte herstellt. Unter Windows 7 wird generell keine zusätzliche Provider-Software mehr benötigt, um eine Breitband-Verbindung für unterwegs herzustellen.

Die Vorteile von DirectAccess

Die Kombination aus Windows 7 auf dem Client und Windows Server 2008 R2 an zentraler Stelle, bietet Heimarbeitern eine neue Möglichkeit namens „DirectAccess“. Bei dieser Funktion gilt: Nutzt der Mitarbeiter im Home-Office das Internet, ist er gleichzeitig über einen Tunnel mit dem Firmennetz verbunden. So hat er Zugriff auf das Intranet und gemeinsam genutzte Dateien auf internen Rechnern.

Dabei werden aber nur die Zugriffe auf Firmenressourcen über den DirectAccess-Tunnel geleitet. Greift der Nutzer auf eine Internetseite zu, geschieht das auf „normalem“ Weg. Die Geschwindigkeit wird so erhöht und das Firmennetzwerk entlastet. Der Administrator kann allerdings andere Einstellungen vornehmen und den gesamten Traffic der Außenstellen ausnahmslos durch einen VPN-Tunnel leiten.

Apropos Administrator: Durch DirectAccess können angebundene Rechner remote verwaltet und aktualisiert werden – sogar wenn die User nicht angemeldet sind. Gleichzeitig sind Network-Access-Control-Mechanismen (NAC) möglich. Ist beispielsweise der Virenscanner des Nutzers, der sich per DirectAccess anmelden möchte, ausgeschaltet bzw. nicht mehr aktuell oder fehlen Patches auf dem Rechner, wird ihm der Zugriff auf das Firmennetz verweigert. Nach einer entsprechenden Fehlermeldung kann der Nutzer erst einen Zustand seines Rechners herstellen, der von den Security-Policies gefordert werden. Erst dann erlaubt ihm der DirectAccess-Türsteher den Eintritt ins Firmen-Netz.

Beim Direct-Access-Zugang wird ein IPSec-verschlüsselter Tunnel vom Client zum Direct-Access-Server hergestellt, auf dem Windows Server 2008 R2 läuft. Der Windows Server 2008 R2 leitet die Daten zum angewählten Zielhost im Unternehmensnetzwerk weiter. Der Administrator kann dabei Zugangsbeschränkungen festlegen.

Seite 3: Mehr Speed und weniger Staus im VPN-Tunnel

Mehr Speed und weniger Staus im VPN-Tunnel

Mit der BranchCache-Funktion wird in Windows-7/Windows-Server-2008-R2-Umgebungen die Netzwerkgeschwindigkeit bei angebundenen Zweigniederlassungen verbessert. Die Auslastung von WANs (Wide Area Network) wird reduziert. BranchCache speichert nämlich eine lokale Kopie auf angebundenen Rechnern von Daten, auf die Clients über Remote-Dateiserver zugreifen.

Diese Cache-Datei wird beispielsweise auf einem gehosteten Server in der Zweigstelle abgelegt oder gleich auf den Rechnern der einzelnen Nutzer. Wenn dann ein anderer Client die gleiche Datei anfordert, lädt er die Datei über das lokale Netzwerk herunter statt über das WAN. Dabei wird sichergestellt, dass nur autorisierte Clients auf die angeforderten Daten zugreifen können.

Vorfahrtsregeln für wichtige Webdienste

Zu Stoßzeiten auf der Datenautobahn wird es dennoch kommen. Um Staus von TCP/IP-Paketen zu vermeiden, können Administratoren in Netzwerken unter Windows 7 in Kombination mit Windows Server 2008 R2 so genannte Gruppenrichtlinien-Einstellungen für den Webtraffic vornehmen. Hierbei wird in Abhängigkeit von der URL priorisiert. Erstmals ist also von „URL-basiertem QoS“ (Quality of Service) die Rede. Wichtige URLs aus der täglichen Arbeit der Mitarbeiter bekommen so eine eingebaute Vorfahrt.

DNS-Sicherheitserweiterungen (DNSSEC)

Durch die Unterstützung des Protokolls DNSSEC (Domain Name System Security Extensions), können unter Windows 7- und Windows Server 2008 R2 DNS-Server authentifiziert werden. Diese Erweiterung von DNS sorgt nämlich dafür, dass die Authentizität sowie die Datenintegrität von DNS-Transaktionen gewährleistet werden.

Hierdurch können so genannte Man-in-the-Middle-Angriffe abgewehrt werden, bei denen Clients zu einem böswilligen Server umgeleitet werden. Das Ziel der Angreifer in diesem Fall: Kennwörter und vertrauliche Daten abfangen und ausnutzen.

Fazit

Nachdem Vista von vielen Administratoren und Sicherheits-Experten eher kritisch beäugt wurde, hat Microsoft in die Kombination aus Windows 7 auf den Clients und Windows Server 2008 R2 für einige neue Feature gesorgt, die für mehr Sicherheit sorgen und gleichzeitig den Arbeitsalltag in Home-Offices und Zweigstellen erleichtern.

(ID:2040654)