Sicherheit auf dem PrüfstandSicherer Zugriff an jedem Ort

John Morello

Der Technologietrend in Richtung „verbundenes und mobiles Personal“ ist heute nicht mehr zu übersehen. In vielen Organisationen agieren immer mehr Mitarbeiter und Mitarbeiterinnen von weit entfernten Büros aus, betreiben Telearbeit oder sind häufig unterwegs, um Kunden zu besuchen. Durch einen problemlosen und vom Aufenthaltsort unabhängigen Zugriff auf Anwendungen und Daten kann die Produktivität deutlich

gesteigert werden. Bis vor kurzem war das Einrichten eines sicheren Remotezugriffs jedoch meist durch das Installieren von Clientsoftware, das Eingeben obskurer Befehle und lange Verbindungszeiten gekennzeichnet.

In den vergangenen Jahren konnte eine Reihe von Ansätzen beobachtet werden, mit denen der Remotezugriff zu einer einfachen und umgänglichen Technologie weiterentwickelt werden sollte. So gibt z. B. Outlook® Web Access (OWA) dem Benutzer ein einfaches, browserbasiertes Mittel für den Zugriff auf E-Mails, Kalender und Kontakte an die Hand, und dies ohne die Komplexität eines voll ausgebauten virtuellen privaten Netzwerks (VPN) mit Layer 3. Technologien wie OWA sind ein wichtiger Bestandteil einer Lösung für „Zugriff überall“, die meisten Organisationen verfügen jedoch über eine Vielzahl wichtiger Anwendungen bei denen dieses integrierte Browserverhalten nicht möglich ist. In diesen Fällen stellen beispielsweise Terminaldienstlösungen effektive Methoden dar, mit denen den Benutzern der Zugriff auf ihre Anwendungen von jedem beliebigen Ort aus ermöglicht wird.

In Windows Server® 2008 hat Microsoft den Umfang der bereits mitgelieferten Features der Terminaldienste wesentlich erweitert. Terminaldienste verfügt nun über ein übergangsloses Fenster, ein Veröffentlichungsfeature „RemoteApp“ auf Anwendungsbasis, einen universellen Druckertreiber in Easy Print und ein browserbasiertes Portal mit dem Namen „TS-Webzugriff“. Zusätzlich – und besonders wichtig für den Zugriff überall – verfügt Windows Server 2008 auch über die Komponente „TS-Gateway“. Diese Komponente beinhaltet die SSL-Kapselung für das Remotedesktopprotokoll (Remote Desktop Protocol, RDP) und ermöglicht dadurch das einfache und sichere Durchlaufen von Firewalls und NAT-Geräten (Network Address Translation, Netzwerkadressübersetzung). TS-Gateway lässt sich außerdem in eine andere neue Technologie in Windows Server 2008, den Netzwerkzugriffsschutz (Network Access Protection, NAP) integrieren. Durch diese Kombination ist eine Überprüfung des Endpunktclientzustands möglich. Eine Kombination all dieser Komponenten ermöglicht Organisationen das Erstellen von Lösungen, mit denen Benutzer auf einfache Weise und sicher von jedem beliebigen Aufenthaltsort aus auf ihre Anwendungen und Daten zugreifen können.

In dieser Rubrik werden schwerpunktmäßig die Aspekte des Entwurfs von Netzwerken und Sicherheitsmechanismen bei Lösungen für den ortsunabhängigen Zugriff erörtert, weniger die Details zur Verwaltung von Terminaldienstkomponenten. Die Methoden zum Erstellen einer solchen Lösung werden auf Basis der in Windows Server 2008 enthaltenen Technologien aufgezeigt.

Wo liegt bei virtuellen privaten Netzwerken mit Layer 3 das Problem?

Beim Einsatz neuer Technologien sind besonders die Vorteile gegenüber derzeitigen Ansätzen von Bedeutung. Erst dadurch kann der Nutzen des neuen Modells beurteilt werden. Bei klassischen VPN mit Layer 3 müssen typischerweise zwei wesentliche Probleme angesprochen werden: Sicherheit und Benutzerfreundlichkeit.

Es mag nicht einleuchtend erscheinen, gerade die Sicherheit als ein Problem vieler moderner VPNs mit Layer 3 anzuführen. Geht es bei einem VPN nicht genau darum, einen sicheren Tunnel durch das Internet bereitzustellen? Um dies zu verstehen, sollte im Einzelnen bedacht werden, was normalerweise als Bedrohung für VPN angesehen wird. Es soll nicht heißen, dass die über diese VPNs übertragenen Daten abgefangen oder manipuliert werden können, denn die Verschlüsselung der Datenströme ist in den meisten VPNs mit Layer 3 hervorragend. Stellen Sie sich stattdessen vor, welche Bedrohung Remotecomputer mit Vollzugriff auf alle Ports und alle Protokolle des Netzwerks Ihrer Organisation darstellen. Das Problem sind nicht die von den Layer 3-VPNs verschlüsselten und übertragenen Datenströme. Stattdessen stellen eher die Remoteclients, die durch diese Tunnel eine Verbindung herstellen, ein hohes Risiko für Ihr internes Netzwerk dar. Erinnern Sie sich noch daran, dass die meisten der von Malware wie Slammer oder Blaster betroffenen Organisationen nicht über Computer im internen Netzwerk oder durch Hacker, die die Firewall überwinden konnten, infiziert wurden? Die Infektion kam stattdessen über Remotemitarbeiter, die von ihren infizierten Computern aus über VPN eine Verbindung zum internen Netzwerk herstellten. Wenn diese VPNs vollständig geroutete, auf Layer 3 basierende Verbindungen herstellen, erhält der Remotecomputer oftmals den gleichen Zugriff (sowohl zum Guten als auch zum Schlechten) auf interne Ressourcen wie ein Computer, der im Datencenter steht.

Zusätzlich ist der Betrieb von Layer 3-VPNs oftmals teuer, da Software auf Computern installiert und konfiguriert werden muss, die sich nicht im Verantwortungsbereich der IT-Gruppe der Organisation befinden. So erfordert beispielsweise das Installieren eines VPN-Clients auf dem privaten Heimcomputer eines Benutzers das Erstellen von speziell zugeschnittenen Installationspaketen und ausführlichen Installationsanleitungen für den Benutzer und möglicherweise die Behebung von Konflikten mit Anwendungen auf dem Computer des Benutzers. Außerdem können beträchtliche Verwaltungskosten entstehen, wenn neue Versionen des Clients bereitgestellt werden müssen oder wenn sich Konfigurationsdaten ändern (z. B. beim Hinzufügen eines neuen VPN-Endpunkts). Für den Benutzer erfolgt die Arbeit über dieses VPN oftmals nicht intuitiv. Da das VPN ausschließlich eine Layer 3-Verbindung bietet, ist es nicht einfach, die benötigten Geschäftsanwendungen und -daten für den Benutzer leicht zugänglich und sichtbar zu machen.

Lösen der Probleme mithilfe von Terminaldiensten

Terminaldienste und andere so genannte VPN-Technologien mit Layer 7 oder VPN-Technologien auf Anwendungsebene lösen diese beiden Probleme, da mit diesen Technologien wesentlich genauer kontrolliert werden kann, auf welche Ressourcen und Protokolle die Benutzer zugreifen können. Außerdem gestaltet sich der Umgang der Endbenutzer mit ihren Computern durch diese Technologien wesentlich einfacher und intuitiver als je zuvor.

Aus der Perspektive der Sicherheit besteht der wichtigste Unterschied zwischen einem Layer 3-VPN und einem VPN mit Terminaldiensten und TS-Gateway darin, dass die Verbindung zum internen Netzwerk nicht über eine komplett offene Pipeline erfolgt. Eine Lösung mit Layer 3 erstellt nämlich auf dem lokalen Computer eine virtuelle Schnittstelle mit vollständigem Routing in das interne Netzwerk, eine Lösung mit TS-Gateway hingegen ermöglicht ausschließlich RDP-Paketen den Zugriff auf das interne Netzwerk. Folglich ist die Gesamtangriffsfläche um ein Vielfaches kleiner, und im Rahmen des RDP können wesentlich genauere Steuerelemente zum Einsatz kommen. Ein Beispiel: obwohl das RDP das Umleiten von Laufwerken zulässt, können Organisationen das NAP in ihre TS-Gateways integrieren und dadurch diese Funktion sperren, wenn der Remotecomputer nicht beweisen kann, dass seine Antivirussoftware auf dem aktuellen Stand ist.

Für Endbenutzer besteht der offensichtlichste Unterschied zwischen einem Layer 3-VPN und einer auf Terminaldiensten aufbauenden Lösung in einem wesentlich einfacheren Setup (oftmals ist überhaupt kein Setup erforderlich) und in einem bedeutend einfacheren und intuitiveren Zugriff auf Anwendungen und Daten. Da der Client für die Remotedesktopverbindung integraler Bestandteil von Windows ist (und durch übliche Wartungstechnologien wie Windows® Update auf dem aktuellen Stand gehalten wird), muss normalerweise keine Clientsoftware installiert werden. Durch geschickte Nutzung von TS-Webzugriff können Benutzer über eine einzige URL auf all ihre Anwendungen und Daten zugreifen. Durch einfaches Klicken auf die gewünschte Anwendung startet TS-Gateway das sichere Tunneln der Verbindung über das Internet, und die Anwendung wird problemlos auf dem Desktop des Benutzers bereitgestellt. Anders ausgedrückt gleichen Erscheinungsbild und Verhalten einer lokal installierten Anwendung, einschließlich der Möglichkeiten zum Kopieren und Einfügen und zum Minimieren in die Taskleiste. Durch Anwendungen und Daten, die über einen auf Terminalserver basierenden Ansatz für den Remotezugriff einfacher auffindbar sind und ohne Zeitverzögerung zur Verfügung stehen, wird die Benutzerzufriedenheit erheblich erhöht. Außerdem sinken die Supportkosten.

Mögliche Netzwerkarchitekturen

Es gibt zwei grundlegende Ansätze für den Netzwerkentwurf zur Bereitstellung eines TS-Gatewayservers über das Internet. Bei einer Lösung wird TS-Gateway in das Umkreisnetzwerk zwischen zwei Layer 3/4-Firewalls gepackt. Bei der anderen Lösung verbleibt TS-Gateway im internen Netzwerk, und im Umkreisnetzwerk wird eine Firewall auf Anwendungsebene (z. B. Microsoft® ISA Server, Microsoft Intelligent Application Gateway oder eine der zahlreichen Drittanbieterlösungen) eingerichtet, die eingehende HTTPS-Frames überprüft. Die Pakete werden erst nach Analyse dieser eingehenden Sitzungen an den internen TS-Gatewayserver weitergeleitet.

Wenn eine Organisation ausschließlich über Layer 3/4-Firewalls mit einfacher statusbehafteter Paketprüfung verfügt, kann das TS-Gatewaygerät direkt in das Umkreisnetzwerk platziert werden, wie in Abbildung 1 dargestellt. Bei diesem Entwurf beschränkt die mit dem Internet verbundene Firewall die Konnektivität zum TS-Gateway und sorgt dafür, dass aus dem Internet ausschließlich HTTPS-Datenverkehr zum TS-Gateway gelangt. Die Firewall überprüft diesen Datenverkehr jedoch nicht auf Anwendungsebene. Sie leitet den Datenverkehr einfach zum TS-Gateway weiter. Der TS-Gatewayserver extrahiert anschließend die RDP-Frames aus den HTTPS-Paketen und leitet sie an den entsprechenden Back-End-Server weiter. Diese Back-End-Server werden in den meisten Fällen durch eine zweite Firewall vom Umkreisnetzwerk getrennt. Diese zweite Firewall ist so konfiguriert, dass RDP-Frames vom TS-Gateway an die entsprechenden internen Server weitergeleitet werden.

Abbildung 1** Bei einer Layer-3/4-Firewall wird TS-Gateway im Umkreisnetzwerk platziert. **(Klicken Sie zum Vergrößern auf das Bild)

Dieses Szenario wird zwar vollständig unterstützt und kann für viele Organisationen von Nutzen sein, weist jedoch zwei bedeutende Nachteile auf: Erstens: Da TS-Gateway direkt aus dem Internet Datenverkehr empfängt, ist das Risiko eines externen Angriffs relativ hoch. Ein Angreifer könnte versuchen, das Gateway über die SSL-Sitzung zu attackieren, und da die Front-End-Firewall lediglich die Header und nicht die eigentlichen Daten überprüft, könnten diese Sitzungen das Gateway erreichen. Das heißt aber nicht, dass TS-Gateway eine Schwachstelle ist. TS-Gateway wurde den gleichen strengen Regeln für Sicherheitsentwurf und -tests unterworfen wie das gesamte Produkt Windows Server 2008. In diesem Szenario ist TS-Gateway jedoch einem höheren Risiko ausgesetzt, da es mit ungefiltertem Datenverkehr direkt aus dem Internet zu tun hat. Der zweite bedeutende Nachteil besteht im höheren Umfang des Datenverkehrs, der zwischen dem Gateway und der Back-End-Firewall zugelassen werden muss. Um Benutzer authentifizieren zu können, muss TS-Gateway mit Active Directory® kommunizieren. Damit diese Kommunikation möglich ist, muss die Back-End-Firewall für eine viel breitere Palette an Ports und Protokollen Ausnahmen genehmigen, als lediglich HTTPS zuzulassen. Diese breitere Palette an Kommunikationsmöglichkeiten stellt bei diesem Entwurf ebenfalls ein relativ hohes Risiko dar.

Ein besserer Ansatz für den Zugang eines TS-Gateways zum Internet besteht darin, eingehende HTTPS-Sitzungen von einer Firewall auf Anwendungsebene (Layer 7) überprüfen zu lassen, bevor diese Sitzungen das Gateway erreichen (siehe Abbildung 2). Bei diesem Entwurf können immer noch traditionelle Layer 3/4-Firewalls vorhanden sein und ein Umkreisnetzwerk bilden. Anstelle von TS-Gateway wird jedoch die Layer 7-Firewall im Umkreisnetzwerk platziert. Wenn Datenverkehr die äußere Firewall erreicht, filtert diese Firewall alles außer HTTPS-Frames aus und leitet diese Frames anschließend an die Layer 7-Firewall weiter. Die Layer 7-Firewall beendet die SSL-Sitzung, überprüft den unverschlüsselten Inhalt des Datenstroms, blockiert Datenverkehr mit schädlichen Inhalten und sendet anschließend die RDP-Frames durch die Back-End-Firewall und weiter zum TS-Gateway. Beachten Sie, dass die Layer 7-Firewall die Frames vor dem Senden zum TS-Gateway auf Wunsch auch wieder verschlüsseln könnte. Dieser Ansatz ist für ein privates Netzwerk einer Organisation möglicherweise zu aufwändig, kann aber für gehostete Datencenter oder bei gemeinsam genutzten Netzwerken sehr zweckmäßig sein.

Abbildung 2** Verwenden einer Firewall auf Anwendungsebene mit einem TS-Gatewaygerät **(Klicken Sie zum Vergrößern auf das Bild)

Durch diesen Entwurf werden beide Nachteile der zuerst vorgestellten Lösung eliminiert. Da der TS-Gatewayserver ausschließlich Datenverkehr erhält, der bereits von der Layer 7-Firewall überprüft wurde, verringert sich das Risiko, dass Angriffe aus dem Internet durchkommen. Die Layer 7-Firewall müsste diese Angriffe filtern und nur sauberen, überprüften Datenverkehr zum Gateway zurücksenden.

Der zweite wesentliche Vorteil dieser Lösung besteht in der Position des Gateways bezüglich des internen Netzwerks. Da der aus dem Internet eingehende Datenverkehr von der Layer 7-Firewall überprüft wird, bevor er das Gateway erreicht, kann das Gateway im internen Netzwerk verbleiben und bei Authentifizierungen direkt auf Domänencontroller und bei Benutzersitzungen direkt auf RDP-Hosts zugreifen. Ferner können wesentlich restriktivere Richtlinien für die Back-End-Firewall eingerichtet werden. Es ist nicht erforderlich, sowohl RDP-Datenverkehr als auch Datenverkehr für die Verzeichnisauthentifizierung zuzulassen. Das Zulassen von RDP-Sitzungen von der Layer 7-Firewall zum TS-Gateway genügt vollauf. Das Verwenden einer Layer 7-Firewall als Front-End der TS-Gatewaybereitstellung stellt eine Lösung mit höherer Sicherheit bereit. Diese Lösung ist einfacher zu verwalten, und ein Umgestalten des bereits vorhandenen Umkreisnetzwerks ist nicht erforderlich.

Integration von NAP

Ressourcen zu Terminaldiensten

• Terminaldienste in Windows Server 2008
• Windows Server 2008-Terminaldienste TechNet-Forum
• Terminaldienste-Teamblog
• Microsoft Intelligent Application Gateway 2007
• Network Access Protection (NAP) für Windows Server 2008
• Network Access Protection (NAP)-Teamblog
• Schrittweise Anleitungen zu Windows Server 2008 Beta 3

Das Schlüsselelement einer Lösung für den ortsunabhängigen Zugriff ist unumstritten ein ausgewogener Entwurf des Umkreisnetzwerks. Von gleicher Wichtigkeit sind jedoch Konformität und Sicherheit der Geräte an den Endpunkten. Da RDP ein reichhaltiges Protokoll ist, das viele Arten von Geräteumleitungen zulässt, z. B. RDP-Sitzungen und Drucker, ist es außerordentlich wichtig, dass die Clients, die eine Verbindung zu Ihrer Lösung herstellen, die Sicherheitsrichtlinien Ihrer Organisation einhalten. Auch mit einer sicheren, auf bewährten Methoden basierenden Netzwerktopologie wie bei den oben diskutierten Lösungen, kann es einem Endbenutzer, der beispielsweise eine Verbindung zu einem Terminalserver von einem unsicheren Computer aus herstellt, letztendlich trotzdem noch passieren, dass vertrauliche Daten verloren gehen oder dass schädliche Dateien auf den Terminalserver gelangen. Obwohl das Ausmaß der Konnektivität und damit das Schadenspotenzial bedeutend geringer sind als bei einer Verbindung über ein Layer 3-VPN, ist es trotzdem wichtig, das Risiko von Datenverlusten möglichst gering zu halten und für eine Einhaltung der IT-Richtlinien zu sorgen.

Netzwerkzugriffschutz (Network Access Protection, NAP) ist eine neue Technologie in Windows Server 2008, mit der Sie nicht nur kontrollieren können, wer eine Verbindung zu Ihrem Netzwerk herstellen kann, sondern auch von welchen Systemen ein Verbindungsaufbau ermöglicht werden soll. So können Sie z. B. mithilfe von NAP sicherstellen, dass nur Computer mit aktivierter Firewall und aktueller Antivirussoftware eine Verbindung zum Netzwerk herstellen können. NAP ist eine erweiterbare Lösung, die nicht nur das interne Netzwerk der Organisation, sondern auch Remotebenutzer einschließt, unabhängig davon, ob die Verbindung über ein Layer 3-VPN oder über TS-Gateway hergestellt wird. Durch Integration von NAP in Ihren TS-Gatewayentwurf können Sie dafür sorgen, dass nur die Systeme, die Ihre Sicherheitsrichtlinien einhalten, eine Verbindung zu Ihrem Netzwerk herstellen können. Weitere Informationen über NAP finden Sie unter der Rubrik „Sicherheit auf dem Prüfstand“ in der Ausgabe des TechNet Magazins vom Mai 2007, die online unter technetmagazine.com/issues/2007/05/SecurityWatch verfügbar ist.

Die Integration von NAP in eine TS-Gateway-Bereitstellung ist ein einfacher Prozess, beim dem ein einziger zusätzlicher Dienst in den Entwurf einbezogen wird. Bei diesem Dienst handelt es sich um den Netzwerkrichtlinienserver (Network Policy Server, NPS), der entweder auf dem TS-Gatewayserver selbst oder auf einer separaten Betriebssysteminstanz installiert werden kann. Anschließend werden mithilfe der TS-Gateway-MMC Verbindungsautorisierungsrichtlinien (Connection Authorization Policies, CAP) erstellt, in denen festgelegt wird, welche RDP-Funktionen bei einem bestimmten Zustand des Computers zulässig sind. Der TS-Gatewayserver wird so konfiguriert, dass der NPS bei jedem Verbindungsversuch überprüft und das SoH (Statement of Health) für diese Verbindung an den NPS übermittelt wird. Der Netzwerkrichtlinienserver vergleicht anschließend das SoH mit seinen Richtlinien und teilt TS-Gateway mit, ob die Verbindung beim gegebenen Zustand des Clients zugelassen werden kann oder nicht.

Ein solcher Vorgang ist in Abbildung 3 dargestellt: Ein nicht richtlinienkonformes System ist nicht für die Verwendung von Windows Update konfiguriert. In den Sicherheitsrichtlinien der Organisation ist jedoch vorgeschrieben, dass „Automatische Updates“ aktiviert ist. Wenn ein Benutzer versucht, mit diesem Computer eine Verbindung zum TS-Gateway herzustellen, erzeugt und sendet der Computer ein SoH. Dieses SoH lautet in etwa: „Meine Firewall ist aktiv, und meine Antivirussoftware ist auf dem aktuellen Stand, automatische Updates sind jedoch deaktiviert“. TS-Gateway leitet dieses SoH einfach an den NPS weiter (TS-Gateway kann das SoH nicht selbst decodieren), und der NPS vergleicht dieses SoH mit den vom Administrator definierten Richtlinien. Da automatische Updates deaktiviert wurden, bestimmt der NPS, dass die Verbindung der „nicht richtlinienkonformen“ Richtline entspricht und teilt TS-Gateway mit, dass die Verbindung nicht zugelassen werden soll. TS-Gateway trennt daraufhin die Verbindung und teilt dem Benutzer mit, dass der Computer die Sicherheitsrichtlinien der Organisation nicht erfüllt. Der Benutzer kann nun die erforderlichen Korrekturen vornehmen (in diesem Fall müssten einfach „Automatische Updates“ aktiviert werden) und erneut versuchen, die Verbindung herzustellen. Dadurch wird ein neues SoH erzeugt, der NPS erkennt den ordnungsgemäßen Zustand, und TS-Gateway lässt die Verbindung zu.

Abbildung 3** Nur richtlinienkonforme Systeme können eine Verbindung herstellen **(Klicken Sie zum Vergrößern auf das Bild)

Schlussbemerkung

Windows Server 2008 verfügt über alle wichtigen Bausteine einer Lösung für einen sicheren ortsunabhängigen Zugriff. TS-Gateway stellt eine sichere Methode zum Tunneln von Remotedesktopsitzungen über das Internet zur Verfügung und bietet Organisationen eine breite Palette an Möglichkeiten für die Integration von TS-Gateway in bereits vorhandene Netzwerke. Es besteht die Möglichkeit, TS-Gateway direkt in das Umkreisnetzwerk oder hinter eine Layer 7-Firewall wie ISA Server oder Intelligent Application Gateway zu platzieren. Mit einer Kombination aus NAP und TS-Gateway kann eine Überprüfung des Zustands der Geräte an den Endpunkten integriert werden. Durch Überprüfung der Geräte an den Endpunkten können Organisationen nicht nur sicherstellen, dass der Verbindungsaufbau durch einen zulässigen Benutzer erfolgt, sondern auch, dass deren Computer den IT-Sicherheitsrichtlinien entsprechen. Eine Kombination dieser Technologien stellt Organisationen Funktionen für den Remotezugriff zur Verfügung, die sicherer und effizienter zu betreiben sind und verbesserte Benutzerfreundlichkeit bieten. Weitere Informationen finden Sie auf den in der Randleiste „Ressourcen zu Terminaldiensten“ aufgeführten Websites.

John Morello ist seit 2000 für Microsoft tätig. Als leitender Berater hat er Sicherheitslösungen für Fortune 100-Unternehmen sowie für US-amerikanische Kunden aus dem zivilen Bereich und dem Verteidigungswesen entworfen. Derzeit arbeitet er als leitender Programmmanager in der Windows Server Group an Technologien für ortsunabhängigen Zugriff. Sie können den Blog seines Teams unter blogs.technet.com/WinCAT lesen.

© 2008 Microsoft Corporation und CMP Media, LLC. Alle Rechte vorbehalten. Die nicht genehmigte teilweise oder vollständige Vervielfältigung ist nicht zulässig.