47

NT als Internet-Wählserver betreiben

Überblick

RAS (Remote Access Service) ist die technische Windows NTGrundlage für alle Netzfunktionen von Windows NT, bei denen nicht mehr nur im LAN gearbeitet wird. Seine ursprüngliche Bestimmung war die Einbindung von entfernten Clients in ein LAN über Wählverbindungen. Mittlerweile spielt aber auch die Verbindung mit dem Internet eine zunehmend wichtige Rolle, so daß auch hier RAS eine gute Lösung bietet.

Mobile Benutzer und kleine Außenbüros zählen zu den wichtigsten Einsatzbereichen von RAS. Diese lassen sich über RAS in das interne Netzwerk so einbinden, daß der Benutzer in der gleichen Form auf Ressourcen zugreifen kann wie ein direkt im LAN arbeitender Anwender. Voraussetzung dafür sind ein RAS-Client und ein RAS-Server.

RAS-Grundlagen

RAS wurde mit folgenden Zielen ausgelegt:

• Sicherheit
• Interoperabilität
• Wirtschaftlichkeit
• Skalierbarkeit
• Hohe Leistung
• Bedienungsfreundlichkeit
• Erweiterbarkeit

Funktionalität

Die eine Seite des RAS-Dienstes stellt der RAS-Server dar. Zwar kann hierfür auch die Workstation-Version von Windows NT verwendet werden, aber unter diesen Voraussetzungen kann jeweils nur ein einziger Client zugreifen. Der Windows NT Server unterstützt dagegen bis zu 256 gleichzeitige Client-Verbindungen.

Software-Datenkompression

Die in RAS gebotene Software-Datenkompression ermöglicht die Verbesserung des effektiven Durchsatzes. Die Daten werden vom RAS-Client komprimiert, im komprimierten Format über die Leitung geschickt und am anderen Ende vom Server dekomprimiert. In einer typischen Konfiguration verdoppelt sich der effektive Durchsatz durch die RAS-Datenkompression.

Datenverschlüsselung

RAS bietet jetzt zusätzlich zur Paßwort- auch die Datenverschlüsselung. Damit wird ein hohes Maß an Datenschutz für empfindliche Daten sichergestellt. Die meisten Kunden entscheiden sich zwar, die Verschlüsselung nicht zu nutzen, jedoch wird dieses Merkmal von Regierungsbehörden, Banken und Datenverschluesselunganderen sehr wohl genutzt. Microsoft RAS basiert auf der von der RSA Data Security Inc. entwickelten Verschlüsselungsmethode RC4. Um mehr RSA-Verschluesselungdarüber zu erfahren, besuchen Sie deren Web-Site unter http://www.rsa.com .

Sicherheit

Privatunternehmen und Regierungsbehörden setzen Lösungen mit entferntem Zugriff ein, die Sicherheit in unterschiedlichem Umfang voraussetzen, vom virtuellen öffentlichen Zugriff bis zur totalen Kontrolle. Mit RAS bietet Windows NT alle erforderlichen Werkzeuge, um jedes gewünschte Sicherheitsmaß zu implementieren.

Microsofts RAS bietet Sicherheit auf mehreren Ebenen – Betriebssystem, Dateisystem und Netzwerk – sowie Datenverschlüsselung und Ereignisprüfung. Einige Sicherheitsmerkmale werden vom NT-Betriebssystem bereitgestellt, während andere von RAS eingebracht werden. Jede Phase des Prozesses, z. B. Authentizität, Datenübertragung, Zugriff auf Ressourcen, Anmeldung und Prüfung, kann gesichert werden. Im nächsten Abschnitt wird die RAS-Sicherheit ausführlicher beschrieben.

Sicherheit von Windows NT

Grundsätzlich kann der Windows NT Server, der Host für RAS, als sichere Betriebsumgebung betrachtet werden. Windows NT wurde ausgelegt, um die Anforderungen der Sicherheitsklasse C-2 (US-Verteidigungsministerium) zu erfüllen. Das bedeutet, daß der Zugriff auf Systemressourcen individuell gesteuert und der gesamte Zugriff auf das System aufgezeichnet und geprüft werden kann. Ein Rechner, auf dem Windows NT Server läuft, kann allein über die Software total abgeriegelt werden.

Windows NT unterstützt unternehmensweite Sicherheit durch Nutzung eines Modells auf der Grundlage einer geschlossenen Domäne mit einer einzigen Netzanmeldung. Eine Domäne ist dabei einfach eine Sammlung von Servern, die zusammen verwaltet werden. Geschlossene Domänen richten Beziehungen ein, wobei die Benutzer und Gruppen einer Domäne Zugang zu Ressourcen in einer gesicherten Domäne erhalten können. Dadurch wird die Notwendigkeit umgangen, Einträge für User-Accounts auf mehrere Server im Netzwerk zu verteilen. In diesem bereits gesicherten Umfeld können die Benutzer anhand ihrer Zugriffsdaten authentifiziert werden. Versucht ein Benutzer, sich Zugang zu Ressourcen irgendwo im Netz zu verschaffen, wird ihm von Windows NT automatisch die Anmeldeprozedur angeboten. Innerhalb der geschlossenen Domäne, zu der der Benutzer gehört, muß er nach der ersten Anmeldung kein Paßwort mehr eingeben, auch wenn sein Account nur auf einem Server der Domäne vorhanden ist.

Dieses Modell erstreckt sich auch auf RAS-Benutzer. Der RAS-Zugriff wird aus der gesamten Ansammlung aller User-Accounts in Windows NT gewährt. Ein Verwalter kann einem einzelnen Benutzer, einer Gruppe von Benutzern oder allen Benutzern bestimmte Rechte gewähren, um sich in das Netz einzuwählen. Die Benutzer erhalten dann ihre Anmeldedaten, um sich über RAS an ihrer Domäne anzumelden. Hat RAS die Benutzer authentifiziert, können sie innerhalb ihrer Domäne beliebig Ressourcen benutzen.

Schließlich gibt es in Windows NT den Event Viewer. Alle System-, Anwendungs- und Sicherheitsereignisse werden in einer zentralen gesicherten Datenbank aufgezeichnet. Mit den entsprechenden Rechten können diese Daten von jeder Stelle im Netzwerk eingesehen werden. Im Ereignislog werden alle Versuche, das System zu knacken, aufgezeichnet. Ebenso werden Starts und Abbrüche von Diensten ohne entsprechende Berechtigungen und andere Eingriffsversuche aufgezeichnet. RAS nutzt den Event Viewer von Windows NT.

Authentizität und Sicherheit

Die Authentizität ist eine der entscheidenden Faktoren, die Unternehmen in puncto Sicherheit berücksichtigen müssen. Wichtige Fragen sind dabei:

• Wie kann der Schutz von Paßwörtern sichergestellt werden?
• Können wir unseren eigenen Sicherheitsmechanismus zusätzlich zu den von RAS und Windows NT gebotenen Sicherheitsfunktionen nutzen?
• Wird Rückruf unterstützt?

Diese Faktoren werden im weiteren Verlauf näher ausgeführt.

Authentifikationsprotokolle

RAS nutzt das CHAP (Challenge Handshake Authentication Protocol), um die sicherste Form der verschlüsselten Authentifikation bereitzustellen, die vom Server und vom Client unterstützt wird. CHAP nutzt einen Challenge/Response-Mechanismus mit einseitiger Verschlüsselung der Antwort. Das gilt als die sicherste Form der verschlüsselten Authentifikation, die es heute gibt. CHAP ermöglicht dem RAS-Server, die Kommunikation vom sichersten bis zum wenigsten sicheren Verschlüsselungsmechanismus auszuhandeln. Alle im Prozeß übertragenen Paßwörter werden geschützt.

Einschränkungen des Netzzugriffs

Der entfernte Zugriff auf das Netz unter RAS unterliegt der vollständigen Kontrolle des Systemverwalters. Zusätzlich zu allen Werkzeugen, die der Windows NT Server bereitstellt, bieten der RAS Administrator und der User Manager dem Systemverwalter die Möglichkeit, entfernte Zugriffsrechte auf der Grundlage einzelner Benutzer zu gewähren oder abzulehnen. Das bedeutet, daß der Zugriff auf das Netzwerk einem Benutzer, der über RAS auf das Netz zugreifen will, explizit zugeordnet sein muß.

Als weitere Schutzmaßnahme für Unternehmensnetze bietet der RAS Administrator einen Schalter, mit dem der Zugriff auf alle oder bestimmte Ressourcen gewährt werden kann. Dadurch können die Informationen, die entfernten Benutzern bereitgestellt werden, bis ins Detail kontrolliert werden.

Flexible Hardware-Optionen

RAS unterstützt eine breite Hardware-Palette. Derzeit werden über 1.700 PC, 300 Modems und 11 serielle Adapter unterstützt. Durch Auswahl einer entfernten Zugriffslösung mit sehr breiter Hardware-Unterstützung kann RAS-Hardwareunterstuetzungdas Systemdesign sehr flexibel ausgelegt werden. Eine umfassende Aufstellung der von RAS unterstützten Hardware finden Sie unter http.//www.microsoft.com/ntserver/hcl/hclintro.htm.

Sicherer Internet-Transfer mit der neuen PPTP-Technik

Zu den wichtigen Neuerungen beim RAS von Windows NT zählt vor allem die Unterstützung von PPTP (Point-to-Point Tunneling Protocol), mit dem sich Client/Server-Verbindungen unter Verwendung des Internet als Transportmedium aufbauen lassen. Der Datenverkehr zwischen Client und Server wird in IP-Pakete verpackt und kann auch verschlüsselt werden. Diese Option wird aber erst richtig reizvoll, wenn sie auch von Internet-Providern unterstützt wird, die das eigentliche Tunneling vornehmen. Die Basis für diese sogenannten virtuellen Privatnetze mit dem Internet als Grundlage ist bei Windows NT 4.0 somit gelegt.

PPTP hat aber noch weitere Vorteile. RAS arbeitet auf der Grundlage von PPTP so, daß eine Verbindung zwischen dem Client und einem Server, wie bereits erwähnt, über eine Wählverbindung aufgebaut wird. Neben Modemverbindungen werden aber auch ISDN und X.25 unterstützt.

Durch PPTP können Modems und ISDN-Karten vom RAS-Server des Unternehmens getrennt werden. Sie können einer Modemreihe beim Internet-Provider oder einem Front-End-Prozessor (REP) zugeordnet werden. Dadurch lassen sich beträchtliche Kosteneinsparungen erzielen, weil sich Modems, ISDN-Karten und andere Hardware-Teile nicht auf dem Server des Unternehmens, sondern beim Internet-Provider befinden.

Für Unternehmen, die ihre Netzwerke mit allem Drum und Dran lieber selbst verwalten und sich direkt an das Internet anschließen möchten, besteht durch PPTP die nötige Sicherheit.

Die PPTP-Verbindung über das Internet ist verschlüsselt und sicher, und sie funktioniert mit IP, IPX, NetBEUI und anderen wichtigen Protokollen.

RAS für Internet-Wählanschluß einrichten

Bei der Beschreibung in diesem Abschnitt wird von folgenden Annahmen ausgegangen:

• Sie haben einen Windows NT Server 4.0 oder höher installiert.
• Im Server ist eine Netzschnittstellenkarte installiert.
• Der Server ist an einem Netzwerk mit Zugriff auf das Internet angeschlossen.
• Im Server ist eines bzw. mehrere Modems installiert.

Die Aufgabe, die wir uns jetzt vornehmen, ist nicht ganz einfach. Viele Jahre lang und auch noch heute ist das ein Bereich, der normalerweise nur Fachleuten vorbehalten ist. Windows NT hat den Prozeß erheblich vereinfacht, so daß man jetzt im wesentlichen in klar definierten Schritten vorgehen kann:

• Installieren und Konfigurieren der seriellen Portkarten und Modems
• Laden der Treiber für intelligente serielle Karten
• Installieren von RAS
• Konfigurieren der Netzprotokolle
• Definieren der Zugriffsrechte für Benutzer

RAS wird über die Option DFÜ-Netzwerk in der Systemsteuerung von Windows NT installiert. RAS läuft als Dienst auf dem Server. Um RAS erfolgreich zu installieren, legen Sie die CD-ROM bereit. Gehen Sie in folgenden Schritten vor:

• Wählen Sie Netzwerk in der Systemsteuerung von Windows NT (siehe Abbildung 47.1). Dadurch wird das Dialogfenster Netzwerk geöffnet (siehe Abbildung 47.2).

Abbildung 47.1: RAS wird über das Netzwerk in der Systemsteuerung von Windows NT installiert

Abbildung 47.2: In diesem Dialogfenster klicken Sie auf Hinzufügen

• Im Register Dienste wählen Sie RAS-Dienst (Remote Access Service) und klicken auf Hinzufügen.
• Im nächsten Dialogfenster (Auswahl:Netzwerkdienst) markieren Sie den Eintrag Remote Access Service (siehe Abbildung 47.3) und klicken Sie auf OK.

Abbildung 47.3: Remote Access Service wählen

• Im Dialogfenster Windows NT Setup (siehe Abbildung 47.4) werden Sie aufgefordert, ein Verzeichnis für die Setup-Dateien einzugeben. Falls Sie RAS von der CD-ROM installieren, geben Sie das CD-Laufwerk und das Verzeichnis \i386 ein. Der Server installiert alle erforderlichen Dateien und Komponenten.

Abbildung 47.4: Das Dialogfenster Windows NT Setup

• Der Server wechselt in den Setup-Modus und fordert Sie auf, einen COM-Port zu konfigurieren. Haben Sie für ein bestimmtes Modem bereits einen COM-Port eingerichtet, wird dieser in der Liste angezeigt (siehe Abbildung 47.5). Wählen Sie im Listenfeld RAS Capable Devices einen geeigneten Port.
• Müssen Sie ein Modem konfigurieren, werden Sie von RAS darauf aufmerksam gemacht, daß jetzt versucht wird, ein Modem automatisch zu konfigurieren (siehe Abbildung 47.6). Die automatische Erkennung ist sehr hilfreich. Der Server holt sich die Einstellungen, die dem Modem entsprechen. Benutzen Sie ein Modem, das in der Vorgabeliste nicht enthalten ist, ersparen Sie sich durch diese automatische Routine eine Menge Arbeit. Gleichgültig, ob Sie sich für die automatische Erkennung oder die manuelle Konfiguration entscheiden, muß jeder Port im Dialogfenster Configure Port Usage konfiguriert werden (siehe Abbildung 47.7).

Abbildung 47.5: COM-Port für RAS auswählen

Falls Ihr Modem nicht in der Liste der Modems erscheint, die RAS unterstützt, sehen Sie in der Packung Ihres Modems nach. Eventuell befindet sich dort eine Diskette des Herstellers mit dem passenden Treiber. Andernfalls können Sie einen Treiber vom Hersteller anfordern.

Abbildung 47.6: Dialogfenster zum Installieren eines neuen Modems

Abbildung 47.7: In diesem Dialogfenster wird die Portbelegung konfiguriert

• Nachdem Sie die COM-Ports konfiguriert haben, klicken Sie auf OK. Dann fahren Sie mit dem Einrichten des Netzwerks fort. An diesem Punkt weisen Sie die gewünschten Netzprotokolle und das Routing zu.
• Klicken Sie auf die Schaltfläche Netzwerk (in dem Dialogfenster von Abbildung 47.8), um die Netzprotokolle und die Verschlüsselungsoptionen (Abbildung 47.9) zu konfigurieren.

Abbildung 47.8: Modemeinstellungen

Abbildung 47.9: Das Dialogfenster Netzwerkkonfiguration

• Da Sie diese Server als Internet-Wählserver konfigurieren, wählen Sie NetBEUI ab und wählen Sie die gewünschte Verschlüsselung.
• Im nächsten Schritt konfigurieren Sie TCP/IP. Klicken Sie auf die Schaltfläche Konfigurieren neben dem Optionsfeld TCP/IP.
• Stellen Sie sicher, daß TCP/IP korrekt eingerichtet ist (siehe Abbildung 47.10). Sie brauchen Client-Zugriff für das gesamte Netzwerk. Andernfalls können Benutzer nicht nach außen zum Internet weitergeleitet werden. Falls Sie einen statischen Adreßbereich benutzen, weisen Sie so viele IP-Adressen zu, wie Modems vorhanden sind.
• Nachdem Sie die Installation und die Modemkonfiguration beendet haben, starten Sie Ihren Server erneut.
• Anschließend wird eine neue Programmgruppe mit einem wichtigen Werkzeug – dem Remote Access Administrator – erstellt. Den brauchen Sie, um die RAS-Installation zu vervollständigen.

Abbildung 47.10: TCP/IP-Optionen für RAS konfigurieren

RAS konfigurieren

Der Remote Access Administrator (siehe Abbildung 47.11) ist das Werkzeug, mit dem Sie RAS starten, unterbrechen und wieder aufnehmen. Müssen Sie für Ihr Netzwerk mehrere RAS-Server einrichten, können Sie als Systemverwalter alle Server in diesem Werkzeug verwalten.

Abbildung 47.11: Der Remote Access Administrator

Sie müssen explizit jedem Benutzer das Recht zum Einwählen zuweisen. Das können Sie im Remote Access Administrator oder im User Manager. Das ist die häufigste Fehlerquelle beim Einrichten eines RAS-Servers.

Als ersten Schritt der Verwaltung Ihres RAS-Servers starten Sie den Remote Access Administrator und ordnen Sie den betreffenden Benutzern das Recht zu, sich in den Server einzuwählen. Wählen Sie Users, Permissions, dann erscheint das Dialogfenster von Abbildung 47.12.

Abbildung 47.12: In diesem Dialogfenster werden Benutzern Zugriffsrechte auf den Server zugeteilt

Wenn Sie unter Windows NT 3.51 arbeiten, können Sie Benutzerrechte nur im Remote Access Administrator zuweisen. In Windows NT 4.0 besteht zusätzlich die Möglichkeit, die Benutzerrechte im User Manager zu vergeben.

Klicken Sie auf die Schaltfläche Grant All, um allen Mitgliedern der Domäne den Zugriff zu gewähren. Das beinhaltet aber auch Gästekonten, deshalb müssen Sie sich das gut überlegen. Wenn Sie auf Revoke All klicken, werden alle Rechte mit einem Schlag wieder zurückgenommen. Das ist eine handliche Schaltfläche, wenn Sie Schwachstellen gefunden haben und alle Rechte zurückziehen wollen, um neu mit der Definition zu beginnen.

Eine besonders angenehme Funktionalität von RAS ist die Rückrufoption, mit der nach einer ersten Anwahl durch den Client ein erneuter Verbindungsaufbau durch den Server erfolgt. Sie erschweren einem Hacker damit, sich unerlaubt Zugang zu Ihrem Server zu verschaffen. Außerdem lassen sich dadurch über ein angeschlossenes Notebook auch Telefonkosten einsparen, beispielsweise in einem Hotel oder bei der Verwendung eines Handys.

Durch Doppelklick auf einen der in der Liste stehenden Kommunikationsports können Sie den Status und die Aktivität des Ports überwachen (siehe Abbildung 47.13).

Abbildung 47.13: In diesem Dialogfenster können die COM-Ports überwacht werden