Startseite 
 1. Grundlagen NAT 
 2. Remotenetzwerke 
 DFÜ 
 VPN 
 3. Zugriff auf Drahtlosnetzwerke 
 Schutzmechanismen 
 RADIUS-Server 

Verbindungen zu Netzwerken

Grundlagen NAT Remotenetzwerke Zugriff auf Drahtlosnetzwerke
Nicht jeden Gast begüßt man gerne bei sich zuhause. Ebenso wie eine solide Haustür, den  Zugang zum trauten Heim limitiert, ist es auch nötig den Zugang zu Netzwerken abzusichern.  Windows Server 2008 bietet eine umfangreiche Palette an Möglichkeiten dies zu organisieren.
NAT - Network Adress Translation
ICS - Internet Connection Sharing
RRAS - Routing und Remote Access Service
WEP - Wired Equivalent Protection
WPA - Wireless Protected Access
Wegen der wesentlich größeren und anders strukturierten IPv6 Adressraums ist es bei IPv6 nicht  mehr nötig auf NAT zurückzugreifen

1. Grundlagen NAT
Mit der Network Adress Translation ist es mögllich, Hosts, die interne private IP-Adressen  verwenden, Zugriff auf externe Netze zu gewähren. Windows Server 2008 läßt sich als NAT-Server  einsetzen, in der Regel nutzt man dazu aber andere dezidierte Geräte.
Generell werden für NAT zwei Netzwerkkarten verwendet, eine für die Konnektivität nach innen, und   eine Netzwerkkarte für die Verbindung in die weite Welt.
Neben der Möglichkeit für kleinere Gruppen ICS zu verwenden, ist es auch möglich RRAS für NAT  einzusetzen.
  • ICS -  Geeignet für kleine Heimnetzwerke. RRAS muss deaktiviert sein. Die interne Adresse  lautet 192.168.0.1 für das Intranet werden hier Adressen aus dem Bereich 192.168.0.0/24  vergeben. ICS fungiert hier als DHCP-Server.
  • RRAS - Geeignet für größere Intranets. Hier ist es möglich einen eigenen DHCP-Server zu  nutzen und andere Adressbereiche aus dem privaten IP-Adressraum

2. Remotenetzwerke
Neben WLAN Technologien gibt es zwei alternativen und Erweiterungen der Verbindung zu  Netzwerken. DFÜ und VPN.
Der Zugang über eine DFÜ-Verbindung erfolgt über eine analoge Telefonleitung mithilfe eines  Modems. Ebenso wie beim Zugang über Access Points ist es hier möglich einen RADIUS-Server  festzulegen um Nutzern die Möglichkeit zur Authentifizierung, zum Zugang und zum Zugriff auf  Netzwerkressourcen zu gewähren.
Die Verbindung per VPN erfolgt über das Internet und auch hier ist es möglich einen RADIUS-  Server mit allen Funktionalitäten einzubinden.

DFÜ
DFÜ ist weitgehend veraltet, mitunter wird aus Sicherheitsaspekten aber noch eine Konnektivität  per DFÜ eingerichtet. Der Vorgang einen RADIUS-Server entsprechend einzurichten ist weitgehend   unproblematisch.

VPN
VPN ermöglicht es mittels Tunneltechnologie über das Internet Verbindungen zum Netzwerk  aufzunehmen.
VPN - Virtual Private Network - auf der Ebene von Windows Server 2008 beinhaltet drei VPN  Technologien:
  • PPTP (Point-to-Point Protocol). PPTP ist sowohl microsoftspezifisch, wie es auch von anderen   Herstellern unterstützt wird. Dabei werden Quelle und Ziel vordefiniert und entsprechend im  RADIUS-Server und im Client eingerichtet. PPTP benutzt Point-to-Point Protocol (PPP) zur  Authentifizierung und zur Verschlüsselung. Bei Verwendung von microsoftspezifischen  Authentifizierungsverfahren wie PEAP - MS-CHAP v2, EAP - MS- CHAP v2 u.a. wird kein  Clientzertifikat benötigt
  • L2TP (Layer 2 Tunneling Portocol). Diese VPN-Technologie nutzt offene Standards und wird  von den meisten Betriebssystemen (darunter auch Microschrott) unterstützt. L2TP verwendet  PPP für die Benutzerauthentifizierung und IPSec für die Peerauthentifizierung auf  Computerebene, zur Datenverschlüsselung und zur Datenauthentifizierung. Bei L2TP müssen  Zertifikate vorliegen.
  • SSTP (Secure Socket Tunneling Protocol). Dank der http-Kapselung zur Datenübertragung  kann SSTP Konnektivität auch zu solchen Netzwerken herstellen, bei denen PPTP und L2TP  blockiert wird. SSTP verwendet PPP zur Benutzerauthentifizierung und SSL (Secure Socket  Layer) zur Datenübertragung. Hier ist ein Zertifikat auf Serverebene nötig und die Clients  müssen der ausstellenden Zertifizierungsstelle vertrauen.

3. Zugriff auf Drahtlosnetzwerke
Die Datenübertragung über Funkwellen nimmt immer größeren Raum ein. Allgemein erfolgt der  Datenverkehr hier unverschlüsselt und es sind verschiedene Sicherheitsanforderungen für eine  Verbindung zu Netzwerken zu berücksichtigen.
Der Standard 802.11b wird nach und nach durch den 802.11g Standard abgelöst, der schnelleren  Datenverkehr ermöglicht.
Access Points (Drahtloszugriffspunkte) können jedoch erzwingen, dass sich Clients  authentifizieren um Zugang zum Netz zu bekommen. Es ist dabei möglich einen privaten Schlüssel   zu vereinbaren, der eine Verschlüsselung ermöglicht.

Schutzmechanismen
Der Zugriff auf ein Drahtlosnetzwerk läßt sich auf unterschiedliche Weise reglementieren. Es ist  aber auch möglich, diesen Bereich ungesichert zu lassen, so dass jeder Netzzugang erhält.  Darüber hinaus sind zwei Hauptmethoden im Einsatz
  • WEP -  Wired Equivalent Protection bietet einen Basisschutz, Der  Verschlüsselungsmechanismus ist hier allerdings eher schwach und läßt sich leicht umgehen.
  • WPA - Wireless Protected Access bietet stärkeren Verschlüsselungsschutz als WEP und  entwickelt sich zunehmend zum Standard. WPA läßt sich weiter aufteilen.
WPA-PSK (PSK - pre shared Key). Hier wird ein statischer Schlüssel verwendet, der den Clients  mitgeteilt werden muss, damit sich Netzzugang erhalten
WPA-EAP (EAP - Extensible Authentication Protocol). Hier steht ein NPS-Server zur Verfügung  (NPS - Network Policy Server) an den Authentifizierungsanforderungen gesendet werden. Ist der  Client in der Domäne registriert, erhält er Zugang auch ohne dass ein Schlüssel eingetippt werden  muss.
Es gibt zwei hauptächliche Varianten von Drahtlosnetzwerken. WLAN im Infrastrukturmodus, bei  dem alle Geräte auf einen zentralen Zugriffspunkt zugreifen und ad-hoc Netzwerke ohne zentrale  Instanz, bei der sich die Beteiligten untereinander vernetzen.
Für WEP und WPA-PSK ist es nötig einen Infrastruktur zur Verfügung zu stellen, die die Verteilung   des Schlüssels regelt. Der Schlüsselbegriff ist hier PKI - Public Key Infrastructur. PKI wird oft über   eine Zertifikatslösung organisiert, bei der eine Zertifikatsautorität (Certificate Authority - CA) einen  entsprechenden Schlüssel erstellt und dieser Schlüssel von einer Zertifizierungsstelle (Registration  Authority - RA) weiterverteilt wird.
Über Windows läßt sich in drei Varianten der Zugriff auf ein Drahtlosnetzwerk organisieren: Nur  Computer, nur Benutzer und Benutzer und Computer.

RADIUS-Server
RADIUS (Remote Authentication Dial-in User Service) ist der de-facto Standard für den Zugang zu  Netzwerken über Drahtlosverbindungen. Basis dabei ist das Triple-A System: Authentifizierung,  Access und Acounting.
Windows Server 2008 läßt sich als RADIUS-Server einsetzen um den Zugriff auf ein Netzwerk über  Drahtlosverbindungen zu organisieren. Dabei können unterschiedliche Authentifizierungsmethoden  gewählt werden.
  • PEAP - Geschütztes (Protected) EAP. Basis hierbei ist ein Zertifikat, das sowohl bei der  Zugangsinstanz wie auch bei allen Clients vorliegen und installiert sein muss. Dabei müssen  alle Clients und auch der RADIS-Server der Zertifizierungsstelle vertrauen. Geeignet für PKI.
  • Smartcard oder anderes Zertifikat. Selbsterklärend.
  • Gesichertes Kennwort (EAP-MSCHAP v2) - Hierbei ist ein Zertifikat im RADIUS-Server  hinterlegt. Die Clients müssen der ausstellenden Zertifizierungsstelle vertrauen und die Einwahl   erfolgt über die Logindaten für den Domänenzugang.

RADIUS-Proxy
Es ist möglich, die Zugriffsweise weiter auszudifferenzieren und einen RADIUS-Proxy einzurichten,  z.B. um die Zugriffe auf spezielle RADIUS-Server weiterzuleiten. IAS (Internet Authentication  Server) wie auch NPS (Network Protection Server) können als RADIUS-Proxy eingesetzt werden 
Seitenanfang