Microsoft ISA Server 2006

8 Virtuelle private Netzwerke (S. 353-354)

Immer häufiger melden Unternehmen Bedürfnisse an, Daten und Applikationen standortunabhängig zur Verfügung zu stellen. Mitarbeiter der eigenen Firma sollen jederzeit und überall Zugriff auf benötigte Informationen haben, unabhängig davon, ob sich der Mitarbeiter an einem Gerät im Netzwerk eines Partners oder Kunden oder an einem mobilen Gerät befindet (z.B. Notebook oder Pocket-PC). Für Administratoren stellen diese erweiterten Netzwerkzugriffe oft eine Herausforderung dar.

Virtuelle private Netzwerke (VPNs) decken diese Bedürfnisse ab. Ein VPN stellt eine Erweiterung des firmeneigenen Netzwerks dar und bietet die Möglichkeit, externe Clients unter Verwendung eines (meist gemeinsam genutzten) Mediums wie z.B. dem Internet am firmeneigenen Netzwerk anzubinden. So ist es diesen Geräten möglich, auf Ressourcen zuzugreifen, die sonst nur internen Benutzern zur Verfügung stehen. Das VPN stellt dabei eine virtuelle Punkt-zu-Punkt-Verbindung zwischen dem Client und dem Firmennetzwerk her. Nach dem Aufbau der VPN-Verbindung stehen dem Client theoretisch alle Dienste und Protokolle des internen Netzwerks zur Verfügung – je nach Konfiguration der Firewall-Richtlinie auf dem ISA Server.

Dieses Kapitel zeigt, wie VPN-Lösungen implementiert werden, um die Bedürfnisse von Unternehmen abzudecken.

Es werden folgende Hauptthemen behandelt:

- VPN-Einführung
- VPN-Funktionen von ISA Server 2006
- Remote-VPN-Clients
- Standort-zu-Standort-VPNs
- VPN-Quarantäne
- Ausgehende VPN-Verbindungen

8.1 VPN-Einführung

Mit diesem Buch sollen Sie das Produkt ISA Server 2006 kennen lernen, es soll Sie nicht zu einem VPN-Spezialisten machen. Damit Sie aber die Grundprinzipien von VPNs dennoch verstehen und nachvollziehen können, warum welche Konfigurationsschritte notwendig sind, werden in diesem Abschnitt die wichtigsten Grundlagen behandelt und erklärt.

8.1.1 Tunneling-Protokolle

Für die Übertragung von Daten zwischen einem Client und einem Netzwerk bzw. zwischen zwei unabhängigen Netzwerken wird ein Verbindungsnetzwerk verwendet, über das Daten in verschlüsselter Form übertragen werden können. Als Verbindungsnetzwerk wird in vielen Fällen das Internet verwendet. Bei der Datenübertragung mittels VPNs werden Datenrahmen mithilfe eines Tunneling-Protokolls in einen zusätzlichen Header gekapselt. Dieser Header wird verwendet, um das Paket über das Netzwerk, das sich zwischen den beiden zu verbindenden Netzwerken befindet, zu übertragen. Nach Ankunft eines Pakets am Tunnelendpunkt wird der zusätzliche Header entfernt (Entkapselung) und der ursprüngliche Datenrahmen dem Zielgerät zugestellt. Für die Herstellung eines Kommunikationstunnels werden von ISA Server 2006 unterschiedliche Tunneling-Protokolle zur Verfügung gestellt.

8.1.2 PPTP

PPTP (Point-to-Point Tunneling Protocol) kann Netzwerkverkehr unterschiedlicher Protokolle, z.B. von TCP/IP oder IPX/SPX, in einen IP-Header kapseln, um Pakete über ein IPbasierendes Netzwerk zu übertragen. PPTP kommt bei Benutzer- und Router-zu-Router- VPNs zum Einsatz und unterstützt folgende Funktionen:

Benutzerauthentifizierung (Windows, RADIUS, EAP)
Dynamische IP-Zuweisung
Datenverschlüsselung mit MPPE (Schlüssellängen von 40, 56 oder 128 Bit)
Datenkomprimierung

Bei PPTP beginnt die Verschlüsselung erst, nachdem sich der Benutzer erfolgreich authentifiziert hat, weil der gemeinsame Schlüssel für die Datenverschlüsselung aus einen vom Benutzerkennwort abgeleiteten Hash generiert wird. Dadurch muss sichergestellt werden, dass die Anmeldeinformationen auf sichere Weise vom VPN-Client zum VPN-Server übertragen werden. Zudem ist durch dieses Verfahren die Sicherheit von PPTPVerbindungen indirekt abhängig von der Stärke von Benutzerpasswörtern.