Windows-7-Bordmittel für mehr Sicherheit – Teil 1 Windows 7 gewährleistet sichere VPN-Verbindungen mit DirectAccess

Autor / Redakteur: Peter Riedlberger / Stephan Augsten

Eine der wichtigsten Neuerungen von Windows 7 aus Security-Sicht ist DirectAccess. Diese Microsoft-Technologie erlaubt gegenüber traditionellen Virtual-Private-Network-Lösungen einen verbesserten Remote-Zugriff auf das Firmennetzwerk. Security-Insider.de hat sich mit dem VPN-Bordmittel von Windows 7 Professional und Ultimate befasst.

Firmen zum Thema

Windows verbindet: DirectAccess stellt automatisch einen VPN-Tunnel zwischen Client und dem Firmennetzwerk her.
Windows verbindet: DirectAccess stellt automatisch einen VPN-Tunnel zwischen Client und dem Firmennetzwerk her.
( Archiv: Vogel Business Media )

Angesichts der Beliebtheit und Verbreitung von Home-Office-Arbeitsplätzen sind viele VPN-Lösungen (Virtual Private Network) hoffnungslos veraltet. Es lässt sich kaum abschätzen, wie viel Arbeitszeit durch hängende VPN-Verbindungen sinnlos vergeudet wird. Die neue Microsoft-Technologie DirectAccess verspricht Abhilfe für diverse Schwächen traditioneller VPNs.

Der Einsatz von DirectAccess setzt Windows Server 2008 R2 als Serverbetriebsystem und Windows 7 (Enterprise oder Ultimate) auf dem Client voraus. Es wird empfohlen, auf dem Server keine anderen Features zu aktivieren, sodass er allein die Verfügbarkeit des Direct-Access-Zugang sicherstellt.

Ferner muss im Enterprise-Netzwerk mindestens ein Domänencontroller sowie ein DNS-Server mit Windows Server 2008 oder Windows Server 2008 R2 zur Verfügung stehen. Um die Sicherheit zu gewährleisten sind ferner eine Public-Key-Infrastruktur sowie IPsec-Richtlinien notwendig. Da DirectAccess auf IPv6 basiert, kommt man derzeit nicht ohne zusätzliche Tunnelmechanismen (6over4, Teredo, ISATAP) und Übersetzungsverfahren (NAT-PT) aus.

Grundlagen

Die grundlegende Idee hinter DirectAccess ist, dass der Client-Rechner stets transparent eine Verbindung zum Firmennetzwerk herstellt. Im Gegensatz zu einem traditionellen VPN entfällt damit die User-Interaktion. Dies entlastet nicht nur den Helpdesk – etwa im Fall eines Verbindungsabbruchs, in dem der Mitarbeiter erneut die Verbindung herstellen müsste – sondern erlaubt dem Administrator mehr Kontrolle über den Client-Rechner.

Da nämlich der Tunnel jederzeit steht, kann auch der Administrator jederzeit verwaltend eingreifen. Um Software-Patches oder Updates für den Virenscanner einzuspielen, muss man also nicht darauf warten, dass der Benutzer die VPN-Verbindung herstellt. Unter der Voraussetzung einer bestehenden Internet-Verbindung reicht es aus, dass der Anwender seinen Computer einschaltet.

Ein weiteres wesentliches Feature ist die Entlastung des Enterprise-Netzwerks. In einem traditionellen VPN-Netzwerk wird – wenn es erst einmal steht – der gesamte Internet-Traffic über das Firmennetzwerk geroutet. Doch diese Architektur ist einerseits störanfällig (fällt das VPN aus, geht gar nichts mehr) und verschwendet andererseits unnötig Kapazitäten. Im DirectAccess-Modell erfolgt über den Tunnel nur der Zugriff auf Firmenressourcen, während Internetanfragen direkt bearbeitet werden.

Seite 2: Sicherheitsfunktionen von DirectAccess

Sicherheitsfunktionen von DirectAccess

Bei der Authentifizierung und Verschlüsselung von DirectAccess baut Microsoft auf das IPsec-Protokoll. Da zwischen der Authentifizierung des Rechners und des Benutzers unterschieden wird, steht die IPsec-Verbindung, ehe es überhaupt zur Authentifizierung des Anwenders kommt. Dessen Anmeldung kann dann unter Zuhilfenahme weiterer Technologien erfolgen (Multifaktor-Autentifizierung), üblicherweise mittels Smartcards. Dies wird direkt durch DirectAccess unterstützt.

Aus der Sicht des Sicherheitsadministrators dürfte die verbesserte Verwaltbarkeit das wichtigste Feature sein. Wie bereits erwähnt muss sich der Benutzer nicht aktiv ins VPN einwählen, damit der Rechner administriert werden kann. Mehr noch: Er muss nicht einmal angemeldet sein, dass sich der Computer ja selbst authentifiziert und den Zugriff ermöglicht.

Auch bei DirectAccess stehen alle Möglichkeiten der Kontrolle mittels Gruppenrichtlinien zur Verfügung. Es kann genau festgelegt werden, welche Ressourcen remote zur Verfügung stehen und welche nicht. Übrigens kann, falls gewünscht, auch der gesamte Internet-Traffic des Clients durch das Firmennetzwerk geroutet werden.

Fazit

Manche der DirectAccess-Features dürften erfahrenen Administratoren bekannt vorkommen. Transparente Herstellung der Verbindung und Applikationspersistenz sind Features, die auch Produkte anderer Hersteller beherrschen. Neu ist allerdings, dass dies automatisch mit Windows-Produkten erreicht werden kann, ohne dass weitere Software-Investitionen nötig wären.

Wirklich neu ist also die nahtlose Integration dieser Technologie in das Windows-Server- und -Client-System, was dem Administrator (sobald sein Netz auf Windows-7-Clients aktualisiert ist) die Arbeit deutlich erleichtern dürfte. Weitere Informationen zu DirectAccess auf der Microsoft-Technet-Homepage.

(ID:2042880)