Server- und Domänenisolierung mithilfe von IPSec und Gruppenrichtlinien Kapitel 1: Einführung in die Server- und Domänenisolierung

Das physische Isolieren von Computern und Netzwerken zum Zwecke des Daten- und Kommunikationsschutzes wird seit vielen Jahren praktiziert. Problematisch bei der physischen Isolierung ist, dass die IT-Infrastrukturen vieler Unternehmen nur schwer durch physische Schutzvorrichtungen geschützt werden können. Durch die Verbreitung der mobilen Clients und die Art der verteilten Netzwerkumgebungen sind physische Einschränkungen für die Implementierung und den Betrieb zu unflexibel.

Die Server- und Domänenisolierung ermöglicht die Einrichtung einer Sicherheitsebene für die logische Isolierung des Netzwerkverkehrs zwischen Computern oder Netzwerken. Wenn es einem Angreifer gelingt, Zugriff auf das interne Netzwerk eines Unternehmens zu erhalten und dieser Angreifer versucht, auf einen Server mit kritischen Unternehmensdaten zuzugreifen, kann der Zugriff durch die Server- und Domänenisolierung blockiert werden. Der vom Angreifer verwendete Computer wird als nicht vertrauenswürdiges Gerät des Unternehmens erkannt - selbst wenn der Angreifer ein gültiges Benutzerkonto und Kennwort verwendet hat.

Der Ansatz der logischen Isolierung verwendet Techniken zur Server- und Domänenisolierung und ermöglicht dadurch die Entwicklung einer flexiblen, skalierbaren und verwaltbaren Isolierungslösung, die die Sicherheit der Isolierung bietet, ganz ohne die Kosten oder die Inflexibilität, die üblicherweise mit physischen Schutzvorrichtungen verbunden sind.

Kurzzusammenfassung

Microsoft ist sich bewusst, dass große Unternehmen ständig wachsenden Herausforderungen bezüglich der Sicherung ihrer Netzwerkperimeter gegenüberstehen. Aufgrund des jeweiligen Unternehmenswachstums und den sich ändernden Geschäftsbeziehungen wird die Kontrolle über den physischen Zugriff auf die Netzwerke nahezu unmöglich. Täglich stellen Kunden, Vertragspartner und Berater aus geschäftlichen Gründen berechtigte Verbindungen zwischen ihren mobilen Geräten und Ihrem Netzwerk her. Durch die Einführung von drahtlosen Netzwerken und Verbindungstechnologien wie GPRS (General Packet Radio Service) und Bluetooth ist es einfacher denn je, Zugriff auf Netzwerke zu erhalten. Diese gesteigerte Konnektivität bedeutet, dass Domänenmitglieder auf dem internen Netzwerk vermehrt den signifikanten Risiken anderer auf diesem Netzwerk befindlichen Computer ausgesetzt sind, zusätzlich zu den Verletzungen der Perimetersicherheit. Auch wenn persönliche oder hostbasierte Firewalls mit dem Internet verbundene Clients schützen, sind sie noch nicht für den Schutz interner Server und Clients geeignet.

Die Server- und Domänenisolierung bietet Unternehmen eine Reihe von Vorteilen. Einer der wesentlichsten Vorteile ist, dass die Server- und Domänenisolierung eine Ebene der Netzwerksicherheit ermöglicht, durch die die Bedrohung durch nicht vertrauenswürdige Hosts, die auf vertrauenswürdige Domänenmitglieder auf dem internen Netzwerk eines Unternehmens zugreifen, entscheidend reduziert werden kann. Die Server- und Domänenisolierung kann ein wichtiger Bestandteil der Verteidigungsstrategie gegen die Ausbreitung von Viren, interne Hacker, den Missbrauch technologischer Ressourcen durch Mitarbeiter sowie Datendiebstahl sein. Darüber hinaus kann die Domänenmitgliedschaft sämtlicher Clients angefordert werden, die auf vertrauenswürdige Ressourcen (Clients oder Server) zugreifen möchten. So können diese Clients von den IT-Mitarbeitern besser verwaltet werden. Die Server- und Domänenisolierung kann zudem auch als primäre oder zusätzliche Strategie für den Datenschutz oder andere Sicherheitsanforderungen für Daten im Netzwerkverkehr eingesetzt werden, ohne bestehende Microsoft Windows-Anwendungen zu verändern oder VPN-Tunneling-Hardware im Netzwerk bereitzustellen.

Im Wesentlichen ermöglicht es die Server- und Domänenisolierung IT-Administratoren, die TCP/IP-Kommunikation von Domänenmitgliedern einzuschränken, bei denen es sich um vertrauenswürdige Computer handelt. Diese vertrauenswürdigen Computer können so konfiguriert werden, dass sie lediglich eingehende Verbindungen von anderen vertrauenswürdigen Computern oder einer bestimmten Gruppe vertrauenswürdiger Computer zulassen. Die Zugriffssteuerungen werden unter Verwendung der Active Directory®-Gruppenrichtlinie zentral verwaltet, um Netzwerkanmeldungsberechtigungen zu steuern. Fast alle TCP/IP-Netzwerkverbindungen können ohne Änderungen der Anwendungseinstellungen gesichert werden, da IPSec (Internet Protocol Security) in der Netzwerkebene unterhalb der Anwendungsebene arbeitet, um Authentifizierung und modernste End-to-End-Sicherheit zwischen Computern zu ermöglichen. Netzwerkverkehr kann in einer Vielzahl von jeweils anpassbaren Szenarien authentifiziert bzw. authentifiziert und verschlüsselt werden. Die Konfigurationen der Gruppenrichtlinie und die IPSec-Konfigurationen werden im Active Directory zentral verwaltet.

Das in diesem Leitfaden vorgestellte Konzept der logischen Isolierung umfasst zwei Lösungen: Die Domänenisolierung, mit der Domänenmitglieder von nicht vertrauenswürdigen Verbindungen isoliert werden, und die Serverisolierung, mit der sichergestellt wird, dass ein Server ausschließlich Netzwerkverbindungen vertrauenswürdiger Domänenmitglieder oder einer bestimmten Gruppe von Domänenmitgliedern akzeptiert. Diese Lösungen können einzeln oder in Kombination als Teil einer logischen Isolierungsgesamtlösung verwendet werden.

Die in diesem Leitfaden enthaltene getestete Lösung erfordert die folgende Mindestplattformkonfiguration:

• Windows 2000 mit Service Pack 4 oder höher
• Microsoft Windows Server 2003
• Windows XP mit Service Pack 2 oder höher

Mit diesen Konfigurationsanforderungen kann sichergestellt werden, dass sich die IPSec-Komponenten auf der entsprechenden Versionsebene befinden. Kommunikation mit Nicht-Windows-Plattformen oder nicht vertrauenswürdigen Systemen wird durch die IPSec-Konfiguration gesteuert mit einer Liste von Ausnahmen und/oder der Erlaubnis, auf unsichere Kommunikation (Nicht-IPSec) zurückzugreifen. Netzwerkadressübersetzer stellen bei der Verwendung von IPSec auf dem lokalen Netzwerk (LAN) mit den neuen Durchquerungsfunktionen für die Netzwerkadressübersetzung (NAT-T) keine Hürde mehr dar.

Anhand des Woodgrove Bank-Szenario wird in diesem Leitfaden die Implementierung der Server- und Domänenisolierung in einer repräsentativen Testumgebung demonstriert. Darüber hinaus wird in diesem Leitfaden veranschaulicht, welche Erfahrungen Microsoft mit der internen und externen (in Kundenumgebungen) Implementierung dieser beiden Lösungen sammeln konnte. Dieser Leitfaden wurde von einem Microsoft-Team spezialisierter Experten entwickelt und sowohl durch IT-Mitarbeiter von Microsoft als auch von einer Reihe von Kunden (durch ein Beta-Programm) geprüft.

Da beide Server- und Domänenisolierungsszenarien innerhalb des globalen internen Netzwerks von Microsoft realisiert wurden, ist das Unternehmen von der Sicherheit dieser Lösungen abhängig. Indem Microsoft seinen Kunden diese Lösungen empfiehlt, unterstützt es die langfristige Entwicklung in Richtung einer hochsicheren und verwaltbaren Infrastruktur für "Trustworthy Computing".

Zum Seitenanfang

Zielgruppe

Dieser Leitfaden soll eine Server- und Domänenisolierungslösung über den gesamten IT-Lebenszyklus hinweg unterstützen, von der ersten Bewertungs- und Genehmigungsphase bis hin zum Bereitstellen, Testen und Verwalten der abgeschlossenen Implementierung. Aus diesem Grund wurden die verschiedenen Kapitel dieses Leitfadens entsprechend den unterschiedlichen Anforderungen der Leser verfasst.

Dieses Kapitel ist in erster Linie für Entscheidungsträger in Unternehmen konzipiert, die in Erwägung ziehen, die Server- und Domänenisolierung in Ihr Unternehmen zu implementieren. Um den Inhalt dieses Kapitels zu verstehen, sind neben dem Verständnis der Geschäfts- und Sicherheitsanforderungen des jeweiligen Unternehmens keine speziellen technischen Kenntnisse erforderlich.

Die in diesem Leitfaden enthaltenen Kapitel zum Thema Planung (Kapitel 2, 3 und 4) sind zur Unterstützung für technische Architekten und IT-Spezialisten konzipiert, die für den Entwurf einer angepassten Lösung für das jeweilige Unternehmen verantwortlich sind. Um aus diesen Kapiteln den größtmöglichen Nutzen zu ziehen, ist ein gutes technisches Verständnis der involvierten Technologien und der aktuellen Infrastruktur des Unternehmens erforderlich.

Kapitel 5 sowie die Anhänge sind für Supportmitarbeiter konzipiert, die die Bereitstellungspläne für die jeweilige Unternehmenslösung erstellen. Darüber hinaus sind in diesem Leitfaden eine Reihe von Empfehlungen zum Fertigstellungsprozess einer erfolgreichen Lösungsbereitstellung sowie praktische Implementierungsschritte zur Erstellung einer Testumgebung enthalten.

Kapitel 6 dieses Leitfadens dient als Referenz für Mitarbeiter, die für den fortlaufenden Betrieb der jeweiligen Lösung zuständig sind, nachdem sie implementiert und für voll einsatzfähig erklärt wurde. Eine Reihe der in diesem Kapitel besonders hervorgehobenen betrieblichen Prozesse und Verfahren sollte in das so genannte "Operations Framework" des jeweiligen Unternehmens integriert werden.

Kapitel 7 enthält Informationen zur Problembehandlung bei einer IPSec-Implementierung. Da IPSec in erster Linie die Netzwerkkommunikation betrifft, stellen Informationen und Techniken zur Problembehandlung eine bedeutende Unterstützung für Unternehmen dar, die sich für die Implementierung von IPSec entscheiden.

Zum Seitenanfang

Die geschäftliche Herausforderung

Aufgrund des Aufbaus und der Beschaffenheit der hochgradig vernetzten Unternehmen und mobilen Netzwerkgeräte von heute ist die IT-Infrastruktur Ihres Unternehmens vielen Risiken ausgesetzt. Diese Risiken können von einer Vielzahl von Quellen stammen. Neben den Remotecomputern in kleinen Zweigstellen oder den Heimcomputern von Mitarbeitern können auch mobile Mitarbeiter, Vertragspartner und Kundencomputer eine solche Gefahrenquelle darstellen. In vielen Fällen geht diese Gefahr von bösartigen Softwareprogrammen (auch Malware genannt) wie Viren und Würmern aus, die versehentlich auf den Computer eines arglosen Benutzers heruntergeladen oder dort installiert wurden.

Auch wenn die logische Isolierung nicht als Virenabwehr an sich verstanden werden kann, so kann sie doch Teil einer umfassenden Antivirenlösung sein: Die logische Isolierung bietet eine zusätzliche Sicherheitsebene, mit der die Wahrscheinlichkeit von Angriffen verringert und, für den Fall dass ein Angriff tatsächlich stattfindet, die Auswirkungen auf ein Minimum reduziert werden können. Ein Kunde, der einen tragbaren Computer an Ihr Netzwerk anschließt, um Ihnen eine Kalkulationstabelle zur Verfügung zu stellen, stellt ein Risiko für die IT-Infrastruktur Ihres Unternehmens dar. Indem der Kunde eine direkte Verbindung zu Ihrem physischen Netzwerk herstellt, umgeht er sämtliche Perimeterverteidigungen, die zum Schutz gegen netzwerkbasierte Angriffe implementiert wurden.

Würde das interne Netzwerk, zu dem der Kunde die Verbindung herstellt, den direkten Zugriff auf die Server Ihres Unternehmens jedoch verweigern, wäre dieses Risiko wesentlich geringer. Die Frage ist, wie der Zugriff auf die Ressourcen eines Unternehmens auf die Computer beschränkt werden kann, bei denen ein solcher Zugriff tatsächlich erforderlich ist. Die Antwort ist die Server- und Domänenisolierung, eine Technik, die den Computer identifiziert und authentifiziert und so bestimmt, auf welche Ressourcen der jeweilige Computer zugreifen darf. Die Authentifizierung erfolgt, bevor sich der Benutzer anmeldet, und ist so lange wirksam, wie der Computer mit dem Netzwerk verbunden ist. Dieser Ansatz ermöglicht die Reduzierung potenzieller Risiken für wichtige Unternehmensdaten durch nicht identifizierte und nicht verwaltete Computer, die sich an Ihr Netzwerk anschließen.

Die geschäftlichen Vorteile

Zu den Vorteilen, die durch die Implementierung einer Sicherheitsebene mit logischer Isolierung entstehen, gehören:

• Zusätzliche Sicherheit. Eine Sicherheitsebene mit logischer Isolierung bietet zusätzliche Sicherheit für alle verwalteten Computer im Netzwerk.
• Strengere Kontrollen über den Zugriff auf spezifische Informationen. Mithilfe dieser Lösung erhalten Computer durch die Verbindung zum Netzwerk nicht automatisch Zugriff auf sämtliche Netzwerkressourcen.
• Niedrigere Kosten. Die Implementierung dieser Lösung ist in der Regel wesentlich kostengünstiger als die Implementierung einer physischen Isolierungslösung.
• Höhere Anzahl verwalteter Computer. Wenn Unternehmensdaten ausschließlich für verwaltete Computer verfügbar sind, müssen sämtliche Geräte verwaltete Systeme werden, um ihren Benutzern den Zugriff zu ermöglichen.
• Verbesserter Schutz gegen Malwareangriffe. Durch die Isolierungslösung wird der Zugriff nicht vertrauenswürdiger Computer auf vertrauenswürdige Ressourcen deutlich eingeschränkt. Ein Malwareangriff eines nicht vertrauenswürdigen Computers wird daher fehlschlagen, die Verbindung wird nicht zugelassen, selbst wenn der Angreifer über einen gültigen Benutzernamen und ein gültiges Kennwort verfügt.
• Verschlüsselung von Netzwerkdaten. Die logische Isolierung ermöglicht es, eine Verschlüsselung für sämtlichen Netzwerkverkehr zwischen ausgewählten Computern vorauszusetzen.
• Schnelle Notfallisolierung. Diese Lösung bietet die Möglichkeit, bestimmte Ressourcen innerhalb Ihres Netzwerkes im Ernstfall schnell und effizient zu isolieren.
• Schutz öffentlich verfügbarer Netzwerkverbindungen. Bestimmte Netzwerkverbindungspunkte (z. B. in einem Empfangsbereich) ermöglichen keinen direkten Zugriff auf sämtliche Ressourcen in Ihrem Netzwerk.
• Verbesserte Überwachung. Diese Lösung ermöglicht die Protokollierung und Überwachung des Netzwerkzugriffs verwalteter Ressourcen.

Die technologische Herausforderung

Eine moderne IT-Infrastruktur vor Angreifern zu schützen und gleichzeitig Mitarbeitern eine flexible und produktive Arbeitsweise zu ermöglichen ist keine leichte Aufgabe. Die Grundlagen der zahlreichen und unterschiedlichen Technologien zum Schutz einer Umgebung zu verstehen ist für viele schon schwierig genug. Zu sehen, wo genau die Lösung innerhalb einer typischen IT-Infrastruktur integriert werden kann und wie diese Lösung als Ergänzung zur bestehenden Netzwerkverteidigung konzipiert ist, könnte zum besseren Verständnis hilfreich sein.

Die folgende Abbildung, die eine typische Netzwerkinfrastruktur bestehend aus einer Reihe von Netzwerkverteidigungsebenen zeigt, veranschaulicht, wo logische Isolierung innerhalb einer typischen Umgebung integriert werden kann.

Abbildung 1.1: Infrastrukturbereiche und Netzwerkverteidigungsebenen

Bild in voller Größe anzeigen

Abbildung 1.1 zeigt eine einfache Illustration der verschiedenen Technologien, die für den Entwurf eines Tiefenverteidigungssicherheitsmodells für typische Netzwerkinfrastrukturen verwendet werden können. Eine solche Infrastruktur besteht üblicherweise aus folgenden Elementen:

• Remotebenutzer und Remotenetzwerke. In der Regel verwenden diese Remoteeinheiten VPNs, um eine Verbindung mit dem internen Netzwerk eines Unternehmens herzustellen und Zugriff auf die IT-Infrastruktur dieses Unternehmens zu erhalten.
• Internet. Das interne Netzwerk eines Unternehmens ist häufig durch mindestens ein Perimeterfirewallgerät mit dem Internet verbunden. Oft befinden sich die Perimeterfirewallgeräte in einem Perimeternetzwerk. Dieses Netzwerk bietet ein höheres Maß an Schutz vor externen Bedrohungen, die durch die Verbindung mit dem Internet hervorgerufen werden.
• Perimeternetzwerk. Dieses Netzwerk ist speziell für Server und Geräte vorgesehen, bei denen ein direkter Zugriff auf das Internet erforderlich ist und die daher einem höheren Angriffsrisiko ausgesetzt sind.
• Internes Netzwerk. Innerhalb dieses Netzwerkes sind üblicherweise die Netzwerke eines Unternehmens zusammengefasst, die sich tatsächlich an den jeweiligen Standorten des Unternehmens befinden, die als Teil der IT-Infrastruktur verwaltet werden.
• Quarantänenetzwerk. Dieses Netzwerk ist eine relativ neue Komponente und bietet eingeschränkte Konnektivität zu Computern, die vom jeweiligen Unternehmen vorgeschriebene Mindestanforderungen an Sicherheit nicht erfüllen. Das Bestehen der erforderlichen Tests bedeutet volle Konnektivität zum internen Netzwerk für Computer und Benutzer. Wenn die Tests nicht bestanden wurden, ermöglicht das Quarantänenetzwerk ausreichende Konnektivität, die zum Bestehen des Tests erforderlichen Elemente herunterzuladen und zu installieren. Microsoft bietet neue Funktionen, mit denen unter Verwendung von NAP (Network Access Protection, Schutz vor Netzwerkzugriff) Computer mit Remotezugriff unter Quarantäne gestellt werden können. Weitere Informationen hierzu finden Sie auf der Website Network Access Protection unter www.microsoft.com/nap (in englischer Sprache).
• Partnernetzwerke. Da sich diese Netzwerke nicht im Besitz des jeweiligen Unternehmens befinden oder von ihm verwaltet werden, werden streng kontrollierte Zugriffsrechte gewährt, um bestimmte Geschäftsanwendungen oder Prozesse über einen VPN-Tunnel oder Perimeterrouter (für Extranet-Kommunikation) zu ermöglichen.

Abbildung 1.1 zeigt, dass sich die logische Isolierung direkt auf die Kommunikation von Hosts des internen Netzwerkes konzentriert. VPNs werden von Remotezugriffsdiensten (RAS) verwaltet, um Remotebenutzern und Remotenetzwerken eine sichere Verbindung von Remotestandorten zu ermöglichen. Firewalls am Rande des Netzwerks schützen die Kommunikation zwischen dem Internet und den internen Netzwerken. Im Kombination mit NAP bietet RAS die Möglichkeit, Verbindungen von Remotebenutzern mithilfe eines Quarantänenetzwerks zu verwalten.

Derzeit werden diese verschiedenen Netzwerkverteidigungsmaßnahmen in der Regel als separate Komponenten eines Netzwerkentwurfs zur Tiefenverteidigung installiert und verwaltet. Im Laufe der nächsten Jahre werden diese Komponenten jedoch vermutlich zu einer gemeinsamen Netzwerkverteidigungslösung verschmolzen, die als eine einzige Komplettlösung implementiert und verwaltet werden kann.

Was bei vielen Netzwerkaufbauten fehlt, ist die Möglichkeit, Computer im internen Netzwerk voreinander zu schützen. Große interne Netzwerke unterstützen mitunter viele Unternehmen, und in einigen Fällen werden zur Verwaltung der Computer sowie der physischen Zugriffspunkte mehrere IT-Abteilungen benötigt. Infolgedessen sollten Sie das interne Netzwerk nicht einfach als ein Netzwerk betrachten, in dem es sich bei allen physisch verbundenen Computern um vertrauenswürdige Computer handelt, die untereinander über vollen Netzwerkzugriff verfügen.

Das Ziel der logischen Isolierung ist die Segmentierung und Isolierung des internen Netzwerkes, um so ein höheres Maß an Sicherheit zu ermöglichen, das keine physischen Schutzvorrichtungen erfordert. Die eigentliche technologische Herausforderung bei der logischen Isolierung ist, sie so zu implementieren, dass sie für das jeweilige Unternehmen sowohl verwaltbar als auch skalierbar ist. Einen Entwurf zu erstellen, der so komplex und restriktiv ist, dass er es dem Benutzer praktisch unmöglich macht, notwendige geschäftliche Aktionen auszuführen, kann schlimmer sein als überhaupt keine Isolierungslösung zu haben. Daher ist es unbedingt erforderlich, die Planungs- und Testphase vor der Bereitstellung der Lösung abgeschlossen zu haben. Dieser Leitfaden ermöglicht den Entwurf einer Lösung, die skalierbar und verwaltbar ist, die zudem kontrolliert bereitgestellt werden kann und Tests an verschiedenen Punkten der Bereitstellungsphase zulässt.

Nach der erfolgreichen Implementierung der logischen Isolierung bietet diese zusätzliche Sicherheitsebene Unterstützung bei der Reduzierung der Risiken für die verschiedenen Informationsressourcen im Netzwerk, ohne die Funktionalität der autorisierten Clients einzuschränken.

Zum Seitenanfang

Bilden eines Projektteams

Diese Lösung kann Auswirkungen auf sämtliche Bereiche der internen Netzwerkkommunikation eines Unternehmens haben, wodurch wiederum sämtliche auf diese Kommunikation angewiesenen Abteilungen und Benutzer betroffen sind. Aus diesem Grund ist es unerlässlich, dass sämtliche Erwartungen und Anforderungen des jeweiligen Unternehmens in allen Phasen des Projekts kommuniziert, dokumentiert, verstanden und in Betracht gezogen werden.

Da es unrealistisch ist anzunehmen, dass eine einzige Person sämtliche erforderlichen Aufgaben eines Projekts dieser Größenordnung bewältigen kann, empfehlen wir die Bildung eines Projektteams. Dieses Projektteam sollte sich aus Vertretern sämtlicher Abteilungen des Unternehmens zusammensetzen, zusätzlich zu den für den IT-Infrastrukturbereich zuständigen Experten. Die Arbeitsweise des Projektteams eines Unternehmens auszuführen würde den Rahmen dieses Leitfadens sprengen. Daher wird davon ausgegangen, dass ein während des gesamten Projekts zuständiges Team eingesetzt wird und dass die Anforderungen und Ziele der Lösung an die Projektbeteiligten und Anwender der Lösung während der verschiedenen Projektphasen entsprechend kommuniziert werden. Weitere Informationen zur Organisation eines solchen Projekts finden Sie auf der Website Microsoft Solutions Framework (MSF) unter www.microsoft.com/msf (in englischer Sprache).

Zum Seitenanfang

Überblick über den Leitfaden

Dieser Abschnitt bietet eine kurze Übersicht über die Inhalte der verschiedenen Kapitel des Leitfadens Server-und Domänenisolierung mithilfe von IPSec und Gruppenrichtlinien.

Kapitel 1: Einführung in die Server- und Domänenisolierung

Dieses erste Kapitel enthält eine Kurzzusammenfassung sowie eine kurze Einführung zum Inhalt der verschiedenen Kapitel dieses Leitfadens. In diesem Kapitel werden das Konzept der logischen Isolierung und Ansätze zur Server- und Domänenisolierung für Unternehmen behandelt, deren betriebswirtschaftliche Rechtfertigung erörtert sowie die leichte Eingliederung in eine typische IT-Infrastruktur aufgezeigt. Darüber hinaus enthält dieses Kapitel Informationen zum Woodgrove Bank-Szenario, das zur Prüfung des Konzepts sowie zu Entwicklungs- und Testzwecken übernommen wurde.

Kapitel 2: Grundlagen der Server- und Domänenisolierung

Kapitel 2 definiert das Konzept der vertrauenswürdigen Hosts und erörtert, wie eine Vertrauensstellung für die Erstellung einer Domänen- und Serverisolierungslösung verwendet werden kann. Es erforscht die Beziehung zwischen dem Konzept der Server- und Domänenisolierung, IPSec und Gruppenrichtlinien. Der technische Inhalt dieser Anleitung bietet eine detaillierte technische Erläuterung dessen, was bezüglich der Sicherheitsbedrohungen, gegen die die Lösung eingesetzt wird, und der technischen Probleme, die beim Einsatz von IPSec zur Erstellung einer Domänen- oder Serverisolierungslösung auftreten können, von der vorliegenden Lösung erwartet werden kann.

Kapitel 3: Ermitteln des aktuellen Status der IT-Infrastruktur

Bevor ein Projekt abgewickelt werden kann, ist es zwingend erforderlich, dass dem Ersteller der Lösung topaktuelle und verlässliche Informationen über die aktuelle IT-Infrastruktur zur Verfügung stehen. Diese Informationen sollten folgende Details umfassen: den aktuellen Zustand sämtlicher Netzwerkgeräte, die Konfigurationen von Servern und Arbeitsstationen sowie die Domänenvertrauensstellungen. Kapitel 3 beschäftigt sich mit den potenziellen Auswirkungen anderer Netzwerktechnologien, wie z. B. NAT, IPSec-basierte VPN-Remotezugriffclients, interne Firewalls und Proxys sowie interne portbasierte Filterung. Dieses Kapitel enthält Erläuterungen zu den zur Planung erforderlichen Informationen sowie Anweisungen dazu, wie Sie diese Informationen erfassen können.

Kapitel 4: Entwerfen und Planen von Isolierungsgruppen

Dieses Kapitel enthält Anweisungen zur Kombination der geschäftlichen Anforderungen des jeweiligen Unternehmens mit dem Entwurf einer Server- und Domänenisolierung, um diesen Anforderungen gerecht zu werden. Mithilfe der genauen schrittweisen Anweisungen kann ein Isolierungsgruppenentwurf erstellt werden, der den Sicherheitsanforderungen des Unternehmens im Hinblick auf die Isolierung entspricht. Kapitel 4 beschreibt außerdem verschiedene Bereitstellungsansätze, mit denen die Auswirkungen auf das jeweilige Unternehmen während der Bereitstellung auf ein Minimum reduziert und die Chancen auf eine erfolgreiche Implementierung maximiert werden können. Sämtliche Schritte und Prozesse dieses Kapitels werden anhand von Beispielen aus dem Woodgrove Bank-Szenario veranschaulicht.

Kapitel 5: Erstellen von IPSec-Richtlinien für Isolierungsgruppen

IPSec-Richtlinien ermöglichen das Durchsetzen der Regeln, in denen festgelegt ist, wie Computer untereinander kommunizieren sollen. Diese Regeln werden den Mitgliedern innerhalb der vertrauenswürdigen Domäne mithilfe von Gruppenrichtlinienobjekten bereitgestellt und zugewiesen. Dieses Kapitel enthält die Informationen, die Sie benötigen, um diese IPSec-Richtlinien zu erstellen und auf den Empfängercomputern bereitzustellen.

Kapitel 6: Verwalten einer Server- und Domänenisolierungsumgebung

Nachdem die Lösung nun installiert und betriebsbereit ist, gilt es, verschiedene Prozesse kennen zu lernen und zu dokumentieren, um zu gewährleisten, dass die Lösung im Alltag korrekt verwaltet und unterstützt wird. In diesem Kapitel wird ein Modell für Unterstützungsmöglichkeiten und verschiedene Managementprozesse und -verfahren vorgestellt, das Sie im Rahmen eines Gesamtkonzepts, z. B. im Microsoft Operations Framework (MOF), verwenden sollten. Weitere Informationen zu MOF finden Sie auf der Webseite für Microsoft Operations Framework unter www.microsoft.com/mof (in englischer Sprache).

Kapitel 7: Problembehandlung für IPSec

Mit der Bereitstellung und Anwendung der Lösung ist das Auftreten von Problemen kaum zu vermeiden. Dieses Kapitel erläutert eine Reihe von Verfahren, Aufgaben, Tools und Tipps zur Problembehandlung, die Ihnen dabei helfen, herauszufinden, ob die Probleme durch IPSec verursacht werden, und, falls dies der Fall sein sollte, Lösungsansätze zur Problembehandlung bieten.

Anhänge

Zusätzlich zu den verschiedenen Kapiteln bietet dieser Leitfaden eine Reihe von Referenzmaterialien, Arbeitshilfen und Skripts, die während der Entwicklung dieses Leitfadens zum Planen, Testen und Bereitstellen der Testumgebung bei Microsoft verwendet wurden. Die in diesen Anhängen enthaltenen Informationen können bei der Implementierung Ihrer eigenen Server- und Domänenisolierungslösungen von großem Nutzen sein. Das hier zur Verfügung gestellte Material ist so konzipiert, dass es in sämtlichen Projektphasen, von der ersten Envisioningphase bis zum normalen Betrieb der vollständig implementierten Lösung , Hilfestellung bietet.

Zum Seitenanfang

Beschreibung des Szenarios

Die Server- und Domänenisolierungslösungen wurden intern, innerhalb des internen Netzwerks von Microsoft implementiert. Basierend auf dem Kundenszenario der Woodgrove Bank wurde jedoch eine repräsentative physische Testimplementierung durchgeführt, um ein anschauliches allgemeines Modell für diese Lösung zur Verfügung stellen zu können. Die geschäftlichen und technischen Anforderungen dieses fiktiven Unternehmens (zusätzlich zu denen von Microsoft) bildeten die Grundlage für die Entwicklung dieser Lösung. Dieser Leitfaden umfasst viele der Support- und Verwaltungstechniken, die von den internen IT-Administratoren bei Microsoft routinemäßig verwendet werden. Wo jedoch Anforderungen und Personalbesetzungen der Woodgrove Bank von einzelnen Überlegungen bei Microsoft abweichen, wird dies mit ein speziellen Hinweis in diesem Leitfaden vermerkt.

Was ist die Woodgrove Bank?

Die Woodgrove Bank ist ein fiktives Unternehmen, das Microsoft als greifbares Beispiel, als eine allgemeine Bereitstellungshilfe für seine Kunden verwendet. Die Anforderungen der Woodgrove Bank basieren auf den vielen Erfahrungen, die Microsoft mit Unternehmenskunden gemacht hat. Als Bank ist das Woodgrove-Unternehmen auf ein hohes Maß an Sicherheit angewiesen. Nur so kann sichergestellt werden, dass die Geldanlagen der Bank sowie die vertraulichen Daten ihrer Kunden geschützt sind. Darüber hinaus muss die Woodgrove Bank einer Reihe von behördlichen und industriellen Bestimmungen gerecht werden. Die rechtlichen Bestimmungen werden hier nicht im Einzelnen erläutert, da sich diese je nach Land oder Region unterscheiden können.

Die Woodgrove Bank ist eine führende globale Investmentbank, die Kunden (Institutionen, Unternehmen, Regierung, Privatpersonen) in ihrer Rolle als finanzieller Mittler betreut. Zu den Geschäftsfeldern zählen Emission, Verkauf und Handel von Wertpapieren, Finanzberatung, Anlagestudien, Venture Capital und die Funktion als Broker für Kreditinstitute.

Die Woodgrove Bank ist eine Niederlassung der WG Holding Company, eines der führenden globalen Finanzdienstleistungsunternehmen mit Hauptsitz in London, England. Die WG Holding Company besitzt fünf Unternehmen: Woodgrove National Bank, Northwind Trading, Contoso, Ltd., Litware Financials und Humongous Insurance. Bei jedem dieser fünf Unternehmen handelt es sich um große Firmen mit jeweils mehr als 5.000 Mitarbeitern.

Geografisches Profil

Die Woodgrove Bank beschäftigt mehr als 15.000 Mitarbeiter in mehr als 60 Zweigstellen weltweit. Große zentrale Standorte (Hubstandorte) befinden sich in New York (5.000 Mitarbeiter), London (5.200 Mitarbeiter) und Tokio (500 Mitarbeiter). Jeder dieser Hubstandorte ist für eine Reihe von kleineren sekundären Standorten zuständig. (New York ist z. B. für die Standorte in Boston und Atlanta zuständig.) Zusätzlich zu den Hubstandorten gibt es zwei weitere primäre Unternehmensstandorte, nämlich Sydney und Johannesburg. Beide Standorte verfügen über eigene dedizierte Datei-, Druck- und Anwendungsserver.

Konnektivität zwischen den Standorten

Tokio und London sind über private Internetverbindungen mit dem Hubstandort in New York verbunden , mit einer zugesicherten Bandbreite von 6 Megabit pro Sekunde (Mbit/s) bzw. 10 Megabit pro Sekunde. Sämtliche regionalen Hubstandorte sind mit einer Übertragungsrate von 2 - 10 MB mit den zentralen Standorten verbunden. Die eigenständigen Zweigstellen verfügen über eine Bandbreite von 2 MB. Die kleinsten Zweigstellen verfügen in der Regel über eine WAN (Wide Area Network)-Konnektivität von 1 MB. Die Details dieser Konnektivität werden in Abbildung 3.1 des Kapitels 3 "Ermitteln des aktuellen Status der IT-Infrastruktur" dieses Leitfadens veranschaulicht.

IT-Herausforderungen für Unternehmen

Die Woodgrove Bank steht denselben Herausforderungen gegenüber, mit denen fast alle Unternehmen konfrontiert werden: Ertragssteigerung und Kostensenkung bei gleichzeitiger Verringerung von Anlagekosten. Die Bewältigung dieser Aufgaben hat fortlaufende Auswirkungen auf den IT-Bereich. Darüber hinaus haben u. a. folgende strategische Initiativen der Woodgrove Bank Auswirkungen auf den IT-Bereich:

• Erschließung neuer Märkte durch Fusionen und Übernahmen
• Verbesserung der Kundenzufriedenheit
• Steigerung der Mitarbeiterproduktivität
• Optimierung von Prozessen und Geschäftsabläufen
• Bereitstellung einer sicheren Umgebung

Neben den Auswirkungen, die diese Initiativen auf den IT-Bereich haben, sehen sich Entscheidungsträger des IT-Bereichs mit weiteren spezifischen Herausforderungen konfrontiert:

• Reduzierung der Gesamtkosten des IT-Bereichs
  • Reduzierung der Betriebskosten; Verbesserung der Verwaltbarkeit und Reduzierung der Verwaltungskosten; Reduzierung der Serveranzahl innerhalb der Umgebung und Konsolidierung heterogener Anwendungen und Dienste auf einzelnen Servern
  • Nutzung bestehender IT-Investitionen
  • Aufbau einer flexiblen IT-Infrastruktur
• Steigerung des ROI
  • Verbesserung der Auslastung
  • Verbesserung von Verfügbarkeit und Zuverlässigkeit
  • Nutzung neuer Hardwareplattformen
• Gewährleistung einer sicheren Arbeitsumgebung für Mitarbeiter, Partner und Kunden
• Bereitstellung von internen und externen SLAs (Service Level Agreements)
• Steigerung der geschäftlichen Flexibilität durch ortsunabhängigen Echtzeitzugriff auf Informationen

IT-Unternehmensprofil

Obwohl für die Serverumgebung der Woodgrove Bank Windows und UNIX verwendet wird, beruht die Infrastruktur auf einem Windows Server-Backbone. Die Bank verfügt über insgesamt 1.712 Windows-basierte Server, auf denen Windows 2000 oder höher ausgeführt wird.

• Datei- und Druckserver 785
• Webserver 123
• Infrastrukturserver 476
• Microsoft Exchange Server 98
• Microsoft SQL Server 73
• Entwicklungsserver 73
• Überwachungsserver 33
• Sonstige (Lotus Notes, Oracle) 51

Die Mehrheit der Server befinden sich in den drei zentralen Standorten in New York, London und Tokio.

PC-Umgebung

Fast alle Mitarbeiter der Woodgrove Bank verfügen über mindestens einen Computer. Den meisten Mitarbeitern stehen Desktop-PCs zur Verfügung; Außendienstmitarbeiter arbeiten mit mobilen Computern. Insgesamt verfügt die Woodgrove Bank über mehr als 17.000 so genannte End-User-PCs. Etwa 85 Prozent dieser PCs sind Desktopcomputer, die Zahl der mobilen Computer liegt bei 15 Prozent. Mehr als 95 Prozent der End-User-PCs sind Intel-basierte PCs, auf denen eine der Windows-Versionen ausgeführt wird. Die anderen 5 Prozent werden von Mac-Arbeitsstationen und einigen wenigen UNIX-Arbeitsstationen gebildet, die von bestimmten Abteilungen für LOB-Anwendungen (Line of Business) verwendet werden.

Überblick über die System- und Verwaltungsarchitektur

Das Netzwerk der Woodgrove Bank besteht aus mehreren IT-Zonen: ein zentrales Rechenzentrum, zwei Hubstandorte, zwei Satellitenbüros sowie ein Perimeternetzwerk für den Support von Remotebenutzern. Wie im folgenden Diagramm dargestellt, implementiert die Woodgrove Bank ein zentralisiertes Verwaltungsmodell zur zentralen Verwaltung von Servern und Desktops über die globale Hauptgeschäftsstelle in New York City.

Abbildung 1.2: Zentralisiertes IT-Verwaltungsmodell der Woodgrove Bank

Bild in voller Größe anzeigen

Verzeichnisdienst

Die Woodgrove Bank entschied sich dafür, für ihren Active Directory-Entwurf ein Dienstanbieter-Gesamtstrukturmodell zu übernehmen. Die Begründung: Dieses Modell bietet die Flexibilität, eine Gesamtstruktur für den Perimeter und eine separate gemeinsame Gesamtstruktur für interne Ressourcen zu haben. Diese Funktion kommt den Isolationsanforderungen der Server im Perimeternetzwerk entgegen. Die Woodgrove Bank entschied sich nicht für das Gesamtstrukturmodell, da dieses Modell nicht die Möglichkeit bietet, Perimeterserver von unternehmenswichtigen Daten zu isolieren. Die folgende Abbildung veranschaulicht die logische, von der Woodgrove Bank verwendete Active Directory-Struktur:

Abbildung 1.3: Directory-Dienstentwurf der Woodgrove Bank

Bild in voller Größe anzeigen

Die Perimetergesamtstruktur verwendet das Gesamtstruktur-Domänenmodell, das für die Verwaltung von Perimeterservern ausreichend ist. Die Replikationsanforderungen sind im Perimeter minimal, daher ist die Bereitstellung von Replikationsgrenzen oder die Verwendung des regionalen Mehrfachdomänenmodells zur Segmentierung der Gesamtstruktur nicht erforderlich. Hier ist wichtig zu erwähnen, dass die Woodgrove Bank diesen Entwurf ausschließlich für die Verwaltung von Perimeterservern verwendet. Wären Benutzerkonten im Perimeter platziert und befände sich der Perimeter in mehreren Standorten, wäre ein anderer Domänenentwurf erforderlich.

Die interne Gesamtstruktur basiert auf einem regionalen Mehrfachdomänenmodell. Die Woodgrove Bank erstellte drei regionale Domänen: Amerika, Europa und Asien. Zusätzlich implementierte sie eine dedizierte Stammdomäne der Gesamtstruktur zur Verwaltung der Gesamtstruktur-Funktionsebene. Dieses Modell bietet die Möglichkeit, die Replikationstopologie zu verwalten sowie die Verwaltung der Domänenebenenautonomie an die jeweilige Region zu deligieren.

Die Standorttopologie der Woodgrove Bank ist in drei regionale Bereiche unterteilt: Amerika, Europa und Asien (Asien/Pazifik). New York, London und Tokio bilden die zentralen Hubstandorte der Gesamttopologie.

Die für den Entwurf verantwortlichen Personen bei der Woodgrove Bank entschieden sich für einen Organisationseinheitsentwurf (OU), der primär objektbasiert ist. Die OU-Struktur wird in ihrer Gesamtheit in jeder der regionalen Domänen repliziert, und in der Stammdomäne der Gesamtstruktur wird eine Unterstruktur erstellt. Die Abbildung 3.2 im Kapitel 3 dieses Leitfadens bietet ein detailliertes Diagramm der von der Woodgrove Bank verwendeten OU-Struktur.

Woodgrove-Strategie für einen Server- und Domänenisolierungsrollout

Um herauszufinden, ob der Entwurf den Anforderungen der Woodgrove Bank entspricht, wurde ein Versuchsprojekt entwickelt. Anhand einer kleineren Testimplementierung wurde der von der Woodgrove Bank vorgestellte Entwurf (in der folgenden Abbildung dargestellt) geprüft.

Abbildung 1.4: Pilotentwurf der Woodgrove Bank

Bild in voller Größe anzeigen

Dieses Diagramm zeigt einen Teil der Computer, die im Woodgrove Bank-Szenario verwendet wurden, um die in diesem Leitfaden vorgestellten Szenarien zu testen. Ziel dieses Versuchsprojektes war es, den Testentwurf so vielfältig zu gestalten, dass die erwartete Funktionalität sichergestellt werden konnte , ohne Auswirkungen auf Produktionsserver und Mitarbeiter.

Die in diesem Leitfaden verwendeten Beispiele basieren auf den Erfahrungswerten durch die in Abbildung 1.4. dargestellte Infrastruktur des Pilotentwurfs.

Nach dem erfolgreichen Abschluss des Testimplementierungsprojektes wurde eine Servergruppe zur Implementierung eines Serverisolierungsszenarios bestimmt. Hierbei handelte es sich um Server der Klasse "NBI" (niedriger Businessimpact) , bei Beeinträchtigung der Konnektivität sind die Geschäftsabläufe kaum betroffen. Die IT-Administratoren und Supportmitarbeiter wurden in Techniken zur Problembehandlung geschult. Die Server wurden gründlich auf Leistung und Support überwacht. Verwaltungsrollen, Prozesse und Supportmethoden wurden getestet. Der nächste Schritt war die Pilotdomänenisolierung. Dafür wurde eine kleinere Domäne der Woodgrove Bank ausgewählt. Die Auswirkungen dieses Domänenisolierungsprojektes wurden minimiert, indem IPSec ausschließlich für die Netzwerk-Subnetze mit den meisten Domänenmitgliedern verwendet wurde. Zudem wurden eventuelle Auswirkungen reduziert, indem Klartextkommunikation (Nicht-IPSec) zugelassen wurde, wenn diese Domänenmitglieder mit anderen nicht in dieses Pilotprojekt involvierten Computern kommunizierten. Nach Abschluss dieser Pilotprojekte standen dem Projektteam sämtliche Informationen, die für die Erstellung und Implementierung eines vollständigen Entwurfs für das gesamte Unternehmen erforderlich waren, zur Verfügung.

Zum Seitenanfang

Zusammenfassung

Inhalt dieses Kapitels war die Einführung in die logische Isolierung. Darüber hinaus wurde erläutert, wie die Server- und Domänenisolierung zur Erstellung einer Unternehmenslösung (durch den Einsatz von IPSec und Gruppenrichtlinien) verwendet werden kann. Zusätzlich war in diesem Kapitel eine Kurzzusammenfassung sowie ein kurze Beschreibung der verschiedenen Kapitel dieses Leitfadens enthalten. Auf Grundlage dieser Informationen ist es möglich, zu verstehen, welche Möglichkeiten diese Lösung für Unternehmen bietet, wo sie innerhalb einer typischen IT-Infrastruktur integriert werden kann und welches Fachwissen erforderlich ist, damit diese Lösung ein voller Erfolg wird.

Zum Seitenanfang

| Home | Technische Artikel | Community