Server- und Domänenisolierung mithilfe von IPSec und Gruppenrichtlinien Kapitel 2: Grundlagen der Server- und Domänenisolierung

Seitdem lokale Netzwerke (LANs) in größerer Zahl eingesetzt werden, stehen IT-Verantwortliche vor der Herausforderung, widerstandsfähige, ständig verfügbare Netzwerkdienste bereitzustellen und gleichzeitig entsprechende Vorkehrungen gegen Angriffe auf die Sicherheit dieser Netzwerke festzulegen und durchzusetzen. Es wurden und werden eine Vielzahl unterschiedlichster Technologien für TCP/IP entwickelt, mit denen das Problem der Durchsetzung von Sicherheitsmaßnahmen auf Netzwerk- und Transportebene gelöst werden soll. Zu diesen Technologien gehören IPv6, 802.1X, Netzwerkswitches, VLAN-Segmentierung, Internet Protocol Security (IPSec) usw.

Eine eher unbeabsichtigte Folge der Einführung dieser Technologien besteht darin, dass die Netzwerksicherheit auf verschiedenen Ebenen implementiert wird. Diese Ebenen lassen sich verwenden, um Hosts oder Netzwerke (einzeln oder in Gruppen) voneinander zu trennen, sie zu segmentieren oder voneinander zu isolieren. In diesem Kapitel soll die von IPSec bereitgestellte Sicherheitsebene mit Blick auf die anderen Ebenen eingeordnet und organisiert werden. Außerdem wird erläutert, wie IPSec zusammen mit Gruppenrichtlinien in einer Lösung eingesetzt wird, die für eine verwaltbare und skalierbare Isolierung in einer Unternehmensumgebung sorgt.

Auf dieser Seite	In diesem Beitrag
Voraussetzungen für das Kapitel Zielgruppe des Kapitels Geschäftliche Anforderungen Identifizieren von vertrauenswürdigen Computern Wie lässt sich die Server- und Domänenisolierung in die Gesamtstrategie zur Netzwerkabsicherung einbinden? Verwendete Terminologie Wie lässt sich Server- und Domänenisolierung erreichen? Wovor kann die Server- und Domänenisolierung schützen? Wie lässt sich die Server- und Domänenisolierung bereitstellen? Zusammenfassung	Überblick - Server- und Domänenisolierung mithilfe von IPSec und Gruppenrichtlinien Kapitel 1: Einführung in die Server- und Domänenisolierung Kapitel 2: Grundlagen der Server- und Domänenisolierung Kapitel 3: Ermitteln des aktuellen Status der IT-Infrastruktur Kapitel 4: Entwerfen und Planen von Isolierungsgruppen Kapitel 5: Erstellen von IPSec-Richtlinien für Isolierungsgruppen Kapitel 6: Verwalten einer Server- und Domänenisolierungsumgebung Kapitel 7: Problembehandlung für IPSec Anhang A: Überblick über IPSec-Richtlinienkonzepte Anhang B: Zusammenfassung zu IPSec-Richtlinien Anhang C: Leitfaden zum Aufbau einer Testumgebung Anahng D: IT-Bedrohungskategorien Danksagungen
	Vollständige Lösung downloaden Server-und Domänenisolierung mithilfe von IPSec und Gruppenrichtlinien (engl.)

Voraussetzungen für das Kapitel

Bevor Sie die Informationen in diesem Kapitel für Ihre Zwecke nutzen, sollten Sie sicherstellen, dass Sie mit den folgenden Konzepten, Begriffen und Technologien vollständig vertraut sind. Diese Anleitung mag zwar auch für Leser interessant sein, die diese Voraussetzungen nicht erfüllen, es sei aber dennoch darauf hingewiesen, dass eine erfolgreiche Umsetzung der vorgeschlagenen Lösung sehr viel wahrscheinlicher ist, wenn alle genannten Voraussetzungen erfüllt sind.

Vorausgesetzte Kenntnisse

Sie sollten sich in den folgenden Bereichen mit Microsoft® Windows Server 2003 auskennen:

• Active Directory®-Verzeichnisdienstkonzepte, einschließlich Active Directory-Struktur und -Tools; Verwalten von Benutzern, Gruppen und anderen Active Directory-Objekten; Verwenden der Gruppenrichtlinien.

• Authentifizierung, einschließlich Verwendung von Kerberos 5 und einer Infrastruktur öffentlicher Schlüssel (Public Key Infrastructure, PKI)

• Microsoft Windows®-Systemsicherheit Sicherheitskonzepte wie Benutzer, Gruppen, Überwachung und Zugriffssteuerungslisten (Access Control Lists, ACLs), Verwendung von Sicherheitsvorlagen, gegenseitige Authentifizierung, Standardverfahren und -konzepte zur Namensauflösung, wie DNS (Domain Name System) und WINS (Windows Internet Naming Service), Standarddiagnosetools von Windows sowie Problembehandlungskonzepte und Verwenden von Gruppenrichtlinien oder Befehlszeilentools zur Anwendung von Sicherheitsvorlagen

• Vertrautheit mit TCP/IP-Begriffen und Konzepten, einschließlich Subnetzlayout, Netzwerkmaskierung und Routing Kenntnisse spezifischer Funktionen, Protokolle und Begriffe wie ICMP (Internet Control Message Protocol), ARP (Address Resolution Protocol) und MTU (Maximum Transmission Unit)

• Vertrautheit mit Prinzipien der Sicherheitsrisikoverwaltung

  Hinweis

  
  In Kapitel 6, "Deploying IPsec", des Windows Server 2003 Deployment Kit werden bestimmte Szenarien für den IPSec-Transportmodus besprochen, zum Zeitpunkt der Veröffentlichung des Deployment Kit als nicht empfehlenswert eingestuft wurden. Die Weiterentwicklung der Microsoft-internen Bereitstellung von IPSec sowie die zwischenzeitliche Verfügbarkeit zusätzlicher Anleitungen haben inzwischen zu geänderten Empfehlungen geführt.
  Während Multicast- und Broadcastverkehr weiterhin nicht IPSec verwenden können, sollten alle Arten von Unicast-IP-Verkehr mit IPSec abgesichert werden können. Jeder Kunde muss für sich die Vorteile einer Bereitstellung von IPSec in Domänen- und Serverisolierungsszenarien gegen die sich daraus ergebenden Kosten, Auswirkungen und anderen Einschränkungen abwägen. Microsoft empfiehlt jedoch mittlerweile die breitere Nutzung von IPSec in Kundennetzwerken (entsprechend diesen Anleitungen) und unterstützt diese auch.
  

Unternehmensvoraussetzungen

Für das Planen der Sicherheit einer Organisation ist in den meisten Fällen nicht eine Person allein zuständig. Die Informationen, die zur Bestimmung der genauen Anforderungen für eine Organisation erforderlich sind, stammen häufig aus einer Vielzahl von Quellen innerhalb der Organisation. Sie sollten sich daher mit anderen Personen in Ihrer Organisation besprechen, die in die Isolierungsplanung mit einbezogen werden müssen. Dies können z. B. Personen mit den folgenden Rollen sein:

• Geschäftssponsoren

• Benutzergruppenvertreter

• Für Sicherheit und Überwachung zuständige Mitarbeiter

• Für die Risikoverwaltung zuständige Gruppe

• Für Verwaltung, Betrieb und technische Aspekte von Active Directory zuständige Mitarbeiter

• Für Verwaltung, Betrieb und technische Aspekte von DNS (Domain Name System), Webservern und Netzwerk zuständige Mitarbeiter

  Hinweis

  
  Die Anzahl dieser Rollen muss nicht unbedingt mit der Anzahl der verschiedenen Personen übereinstimmen. Abhängig von der Struktur der jeweiligen IT-Organisation können Rollen von mehreren Personen besetzt werden bzw. mehrere Rollen können von ein und derselben Person übernommen werden.
  

Der Umfang eines Server- und Domänenisolierungsprojekts erfordert ein umfassendes Team, damit alle Geschäftsanforderungen, technischen Probleme und Auswirkungen auf die Benutzer sowie der Projektprozess als Ganzes richtig verstanden und erfasst werden können. Oftmals ist es vorteilhaft, eine Person festzulegen, die als Hauptansprechpartner für dieses Projekt fungiert, wenn Informationen von verschiedenen Personen erforderlich sind, wie z. B. von den Supportmitarbeitern oder den Benutzern, die von der Bereitstellung betroffen sein werden. Zwei der wichtigsten Gründe für das Fehlschlagen komplexer Projekte sind schlechte Planung und schlechte Kommunikation. Das Projektteam muss diese potenziellen Risiken kennen und sicherstellen, dass entsprechende Vorkehrungen getroffen werden.

Zum Seitenanfang

Zielgruppe des Kapitels

Dieses Kapitel richtet sich an technische Entscheidungsträger und Systemarchitekten, die für die Entwicklung einer individuellen Lösung zur Server- und Domänenisolierung in einer Organisation zuständig sind. Für eine optimale Nutzung dieses Kapitels sind technische Kenntnisse der zugehörigen Technologien sowie der aktuellen Infrastruktur der Organisation unabdingbar.

Zum Seitenanfang

Geschäftliche Anforderungen

Um erfolgreich zu sein, sollte sich die Lösung in jedem Fall nach den geschäftlichen Anforderungen Ihrer Organisation richten. Der Begriff "Isolierung" bezeichnet die logische oder physische Trennung eines Computers oder mehrerer Computer von der Netzwerkkommunikation mit anderen Computern. Sicherheitseinschränkungen wirken sich in jedem Fall auf den Alltagsbetrieb innerhalb der Organisation aus. Die im Rahmen der Lösung eingeführten Änderungen führen dazu, dass die Computer innerhalb der Domäne zukünftig anders miteinander und mit nicht vertrauenswürdigen Computern kommunizieren. Diese Lösung erfordert zeitliche Investitionen in die Planung und Untersuchung der Durchführbarkeit sowie Schulungsmaßnahmen für die IT-Supportmitarbeiter. Darüber hinaus muss, als Minimum, ein Programm zur Mitarbeiterunterweisung (Awareness Program) eingeführt werden. Für die zusätzlichen Sicherheitsdienste, die für den Netzwerkverkehr bereitgestellt werden, muss u. U. der Arbeitsspeicher der Server aufgestockt werden, und in einigen Fällen sind möglicherweise auch Netzwerkkarten mit Hardwarebeschleunigungsfunktion erforderlich. Zudem könnten auch andere Lösungen verfügbar sein, mit denen sich dieselben oder ähnliche Isolierungsziele erreichen lassen. Es ist daher wichtig, bei der Entscheidung auch den finanziellen Wert einzubeziehen, den die Lösung für das Unternehmen erbringen soll.

Gewährleisten der Einhaltung von behördlichen Bestimmungen

Je mehr personenbezogene Daten auf Computern gespeichert werden, desto stärker treten auch Datenschutzbelange in den Vordergrund. Die Kontrolle des Zugriffs auf Kunden- und Mitarbeiterdaten ist längst nicht mehr nur freiwillige Praxis. Abhängig von den für die Organisation geltenden Gesetzen und Vorgaben kann das Ausbleiben von Schutzmaßnahmen für vertrauliche Daten weit reichende finanzielle und rechtliche Konsequenzen nach sich ziehen. So müssen z. B. Organisationen in den USA u. U. die Anforderungen der folgenden Bestimmungen erfüllen:

• Federal Information Security Management Act (FISMA)
• Sarbanes-Oxley Public Company Accounting Reform and Investor Protection Act
• Gramm-Leach-Bliley Financial Services Modernization Act (GLBA)
• The Health Insurance Portability and Accountability Act (HIPAA)

Der HIPAA, ein Gesetz, das die elektronische Kommunikation im Gesundheitsweisen regelt, enthält strenge Richtlinien dazu, was Organisationen im Gesundheitswesen beim Umgang mit elektronischen Patienteninformationen zu beachten haben. Im HIPAA wird zwar keine bestimmte Technologie vorgeschrieben oder empfohlen, es wird aber genau festgelegt, welche Funktionalität vorhanden sein muss, um die Vorschriften des Gesetzes zu erfüllen und Risiken für elektronische Patienteninformationen zu reduzieren. Sie sollten, sofern für Sie zutreffend, auch die Nutzung von Domänen- oder Serverisolierung mit IPSec-Absicherung als technische Sicherheitsvorkehrung in Betracht ziehen, um die Vorgaben der folgenden HIPAA-Paragraphen zu erfüllen:

• Zugriffssteuerung 164.312(a)(1) durch Absicherung von eingehendem Netzwerkverkehr für vertrauenswürdige Computer mittels Gruppenrichtlinienautorisierungen und Verwendung von Verschlüsselung zum Schutz der elektronischen Patienteninformationen bei der Netzwerkübertragung
• Auditsteuerung 164.312(b) durch Audits, welche Computer miteinander kommunizieren
• Gewährleistung der Integrität 164.312(c)(1) durch Beschränken des eingehenden Netzwerkzugriffs durch Computer mit elektronischen Patienteninformationen auf eine spezifische Gruppe von autorisierten und vertrauenswürdigen Computern und Benutzern sowie durch Verhindern von Möglichkeiten zur Änderung der elektronischen Patienteninformationen während der Netzwerkübertragung mittels Integritäts- und Echtheitsprüfung aller Netzwerkpakete in Anwendungsverbindungen
• Personen - bzw. Entitätsauthentifizierung 164.312(d) durch Durchsetzung von Authentifizierungs- und Autorisierungsmaßnahmen für vertrauenswürdige Computer für den eingehenden Netzwerkzugriff auf andere vertrauenswürdige Computer
• Übertragungssicherheit 164.312(e)(1) durch Echtheits- und Integritätsprüfung sowie Verschlüsselung

Diese Anforderungen lassen sich häufig durch Verwendung von SSL (Secure Sockets Layer) und TLS (Transport Layer Security) erfüllen. So können Anwendungen z. B. Microsoft .NET-Technologie mit SSL/TLS nutzen, um die Einhaltung der HIPAA-Sicherheitsvorgaben zu gewährleisten. Nähere Informationen finden Sie im Whitepaper Healthcare Without Boundaries: Integration
Technology for the New Healthcare Economy unter www.microsoft.com/Resources/Healthcare/HealthcareEconomy.aspx (in englischer Sprache).

Für die Anwendungskommunikation müssen jedoch SSL/TLS-Nutzung und Algorithmensteuerungen ordnungsgemäß integriert sein. Die Hauptvorteile einer IPSec-Isolierungslösung bestehen darin, dass sie nicht nur alle Anwendungen, sondern auch das Betriebssystem des Hostcomputers schützt und dass sie eine Absicherung des Netzwerkverkehrs ermöglicht, ohne dass dazu vorhandene Anwendungen geändert werden müssen. Ausführlichere Informationen zu diesem Thema finden Sie im Abschnitt "Vergleich zwischen SSL/TLS und IPSec" weiter unten in diesem Kapitel.

Erfüllung gesetzlicher Vorgaben durch diese Lösung (gilt für die USA)

Das US-amerikanische Office of Management and Budget (OMB) veröffentlichte am 16.12.2003 ein Memorandum zum Thema E-Authentication Guidance for Federal Agencies. Dieses Dokument kann von der folgenden Website heruntergeladen werden: http://www.whitehouse.gov/omb/memoranda/fy04/m04-04.pdf. Laut diesem Memorandum entspricht das Risiko des Verlustes der Vertraulichkeit von Authentifizierungsinformationen dem Maß, in dem eine elektronische Authentifizierung (Authentifizierungsebene) erforderlich ist.

Die NIST Special Publication 800-63, "Electronic Authentication Guideline: Recommendations of the National Institute of Standards and Technology", definiert die technischen Anforderungen an die Authentifizierungsebenen 1 bis 4. In vielen Fällen machen strenge Anforderungen an die Benutzerauthentifizierung (Ebenen 3 und 4) ein Umschreiben oder Auswechseln von Anwendungen erforderlich. Wenn die Gesamtsicherheitsrisiken reduziert werden können, können Sie für den Zugriff auf in hohem Maße sicherheitsrelevante Informationen auch weniger kostenintensive Benutzerauthentifizierungsmechanismen einsetzen. Auf der Windows-Plattform wird durch Lösungen für die Server- und Domänenisolierung eine frühzeitige Ebene mit Authentifizierung von vertrauenswürdigen Computern, Zugriffssteuerungen, Authentifizierung des Netzwerkverkehrs und Verschlüsselung eingeführt, die bereits vor der Benutzerauthentifizierung auf Anwendungsebene greift. Der Einsatz einer Lösung für die Server- und Domänenisolierung kann daher die Notwendigkeit von Anwendungsänderungen reduzieren bzw. verzögern und helfen, die Einhaltung von Vorgaben zur Risikoverwaltung zu gewährleisten.

Um die Einhaltung gesetzlicher Vorschriften für Informationssicherheitsprodukte sicherzustellen, lässt Microsoft seine Produkte entsprechend zertifizieren. So erhielt Windows 2000 die EAL4-Zertifizierung (Common Criteria for IT Security Evaluation [ISO Standard 15408] evaluation assurance level 4 augmented with ALC_FLR.3 Systematic Flaw Remediation), welche sowohl für das Betriebssystem als auch für Datenschutzkategorien gilt.

Darüber hinaus wurde den IPSec-Kryptografiekomponenten von Windows 2000, Windows XP und Windows Server 2003 die Einhaltung der Kryptografieanforderungen von FIPS 140-1 bestätigt. Damit können Lösungen zur Server- und Domänenisolierung sowohl in militärischen als auch in behördlichen und öffentlichen IT-Umgebungen eingesetzt werden. Weitere Informationen finden Sie unter den folgenden Links:

• NSTISSP No. 11 Fact Sheet: National
  Information Assurance Acquisition Policy unter http://niap.nist.gov/cc-scheme/nstissp\_11\_revised\_factsheet.pdf
• Validated Products List (by Technology Type) unter http://niap.nist.gov/cc-scheme/vpl/vpl\_type.html
• Overview: Windows 2000 Common Criteria Certification unter www.microsoft.com/technet/security/prodtech/Windows2000/w2kccwp.mspx (in englischer Sprache)
• FIPS 140 Evaluation unter www.microsoft.com/technet/archive/security/topics/issues/fipseval.mspx (in englischer Sprache)

Die Informationen in diesem Abschnitt gelten für Organisationen in den USA. Regulierungen und gesetzliche Vorschriften zum Datenschutz wurden und werden jedoch weltweit erlassen. Verwiesen sei nur auf die EU-Datenschutzrichtlinie und die Datenschutzgesetze des Bundes (Österreich und Schweiz) bzw. der Bundesländer (Deutschland), die strenge Auflagen für den Datenschutz und den Schutz personenbezogener Informationen beinhalten.

Geschäftsrisikobewertungen der IT-Infrastruktur

Mit Geschäftsrisikobewertungen soll ermittelt werden, inwieweit die geschäftlichen Abläufe der Organisation von der IT-Infrastruktur abhängen. Eine IT-Sicherheitsrisikobewertung ist dazu da, Risiken für die Integrität der Informationen und die Stabilität der Dienste zu erkennen und einzustufen. Die Sicherheitsrisikobewertung sollte eine klare Begründung für die Notwendigkeit der Risikobeseitigung sowie eine Schätzung der durch die Risikominimierung entstehenden Kosten erbringen. Die Kostenschätzungen sind für die Bewertung der unterschiedlichen technischen Lösungen für die einzelnen Probleme von großer Bedeutung. Da es keine Lösung gibt, die das Risiko zu 100 % beseitigt, muss jede Lösung gegen anderen potenzielle Lösungen und deren Kosten abgewogen werden.

Für die endgültige Entscheidung macht es sich häufig erforderlich, die Kosten der Isolierungslösung mit der erreichbaren Minimierung des Risikos einer eingeschränkten oder fehlenden Dienstverfügbarkeit aufgrund der Ausbreitung von Viren- oder Wurminfektionen zu vergleichen. Für einige Organisationen stehen dagegen mehr die Auswirkungen und Kosten eines erfolgreichen Hackerangriffs auf den wertvollen Datenbestand im Vordergrund.

Die folgenden Kategorien sollten als Richtlinie für die Schätzung der Gesamtkosten eines Sicherheitsvorfalls betrachtet werden:

• Durch Dienstausfall verursachte Kosten. Zur Ermittlung der Gesamtkosten, die sich aus dem Dienstausfall eines Netzwerkservers ergeben, addieren Sie die folgenden Einzelposten:
  • Reaktionszeit des Supportpersonals bei Zwischenfällen
  • Umsatzverlust aufgrund der Unterbrechung des Dienstes der Anwendung
  • Interne Produktivitätsverluste
• Durch den Diebstahl von Informationen verursachte Kosten. Zur Bestimmung der Gesamtkosten, die sich aus dem Diebstahl von Informationen von einem internen Netzwerkserver ergeben, addieren Sie die folgenden Einzelposten:
  • Verlust des für die Entwicklung von Informationen erforderlichen geistigen Eigentums
  • Verlust zukünftiger Umsätze im gesamtbetrieblichen Maße aufgrund von verloren gegangenem Kundenvertrauen, sofern der Vorfall öffentlich bekannt wird
  • Verlust des Marktwertes aufgrund von verloren gegangenem Investorenvertrauen, sofern der Vorfall öffentlich bekannt wird
  • Interner Zeitaufwand für die erforderlichen Reaktionen der Marketing- und der Entwicklungsabteilung
  • Entgangene Chancen zur Umsatzgenerierung aufgrund interner Bemühungen zur Beseitigung der Folgen des Vorfalls
  • Erforderlicher Zeitaufwand zur Reduzierung der Auswirkungen des Missbrauchs von Informationen zum Zwecke der Schädigung des Unternehmens, der Mitarbeiter oder der Kunden durch Außenstehende
• Durch einen Verlust der Vertraulichkeit von Anmeldeinformationen für die Serveradministration entstandene Kosten. Zur Bestimmung der Gesamtkosten, die sich aus dem Verlust der Vertraulichkeit der Administratoranmeldeinformationen für den internen Netzwerkserver ergeben, addieren Sie die folgenden Einzelposten:
  • Interner Aufwand zur Reaktion auf den Angriff und zum Ersetzen des Servers
  • Interne Bekämpfung von Angriffen auf andere Computer, die durch den Verlust der Vertraulichkeit der Administratoranmeldedaten für den Server möglich geworden sind
• Durch rechtliche oder regulatorische Folgemaßnahmen entstandene Kosten. Zur Bestimmung der Gesamtkosten, die sich aus rechtlichen Folgemaßnahmen ergeben, addieren Sie die folgenden Einzelposten:
  • Kosten für rechtliche Maßnahmen, falls der Angreifer zwar identifiziert werden kann, Ihr Unternehmen im Rechtsstreit aber unterliegt
  • Kosten für rechtliche Maßnahmen, falls der Angreifer zwar identifiziert werden kann und Ihr Unternehmen den Rechtsstreit gewinnt, der Angeklagte aber nicht fähig ist, den gerichtlich festgelegten Schadenersatz zu zahlen
  • Kosten für Strafen, Prüfungen, Einschränkungen und andere Maßnahmen zur Wiederherstellung der gegenwärtigen Geschäftsumgebung

Investitionen in langfristige Vorgaben für die Informationssicherheit

Die Microsoft-Initiative "Network Access Protection" (NAP) bietet eine Plattform zur Entwicklung langfristiger Vorgaben, mit denen sichergestellt wird, dass Geräte, die auf das Netzwerk oder auf andere Geräte zugreifen, auch wirklich die geforderten Richtlinien einhalten. Zu den Bestandteilen dieser Initiative gehören die Remotezugriffsquarantäne und die Server- und Domänenisolierung, die bereits jetzt bei Plattformen ab Windows 2000 implementiert werden können. Die Kombination aus Funktionen zum Schutz des Netzwerks an dessen Grenzen und zur internen Isolierung stellt eine wirksame Maßnahme gegen Viren- und Wurmbefall sowie gegen Angriffe dar, die von nicht vertrauenswürdigen Computern ausgehen bzw. die sich den Verlust der Vertraulichkeit von Anmeldeinformationen zunutze machen.

Weitere Informationen zur NAP-Initiative finden Sie im Artikel "Network Access Protection (NAP)" unter https://www.microsoft.com/germany/sicherheit/newsletter/artikel/nap.mspx sowie auf der Network Access Protection-Website unter www.microsoft.com/nap (in englischer Sprache).

Weitere Informationen zu virtuellen privaten Netzwerken (VPNs) und zur Steuerung des Netzwerkzugriffs per Netzwerkquarantäne finden Sie auf der Website Virtual Private Networks for Windows Server 2003 unter www.microsoft.com/vpn (in englischer Sprache).

Zukünftige Windows-Versionen werden mit besser zu handhabenden und umfassenderen Funktionen für die Absicherung des Netzwerkzugriffs ausgestattet sein. Weitere Informationen finden Sie im Whitepaper Introduction to Network Access Protection unter www.microsoft.com/windowsserver2003/techinfo/overview/napoverview.mspx (in englischer Sprache).

Zum Seitenanfang

Identifizieren von vertrauenswürdigen Computern

Das Thema Vertrauenswürdigkeit und ihre Implikationen für Computer nimmt bei der Besprechung der Server- und Domänenisolierung einen hohen Stellenwert ein. Grundsätzlich bedeutet "Isolierung", dass ein bestimmter vertrauenswürdiger Host in der Lage ist zu entscheiden, wer auf Netzwerkebene darauf zugreifen kann. Das bedeutet, dass der Remotecomputer (unabhängig davon, ob er mittels WLAN, drahtgebundenem LAN, Internet oder einer anderen Methode mit dem Netzwerk verbunden ist) IPSec verwenden muss, um eine Vertrauensstellung auszuhandeln und den TCP/IP-Verkehr über die gesamte Verbindung zum Zielcomputer hinweg abzusichern. Dieses Modell zur durchgängigen Absicherung des Netzwerkverkehrs ("End-to-End") ermöglicht einen Schutz der über das Netzwerk übertragenen Daten, die andere verbindungsbasierte Netzwerkzugriffssteuerungs- und Sicherheitstechnologien (wie VPN, 802.1x oder 802.11 WEP) nicht bieten. Es ist von beträchtlichem Wert, bereits den Remotecomputer als vertrauenswürdig einstufen zu können, um sich vor dem Diebstahl, dem Verlust der Vertraulichkeit oder dem Missbrauch von Benutzeranmeldeinformationen zu schützen.

Im Kontext dieser Lösung wird unter dem Begriff Vertrauensstellung die Möglichkeit verstanden, die eine Organisation hat, in ausreichendem Maße sicherzustellen, dass sich ein bestimmter Computer in einem bekannten Zustand befindet und die Mindestanforderungen an die Sicherheit erfüllt, die von der Organisation vorgegeben wurden. Diese Anforderungen können technischer, sicherheitstechnischer oder/und geschäftlicher Natur sein. Sie geben auch den Zustand vor, in dem sich ein Computer befinden muss, bevor er eine Verbindung mit anderen Computern herstellt. Microsoft empfiehlt, in die Spezifikation für vertrauenswürdige Computer eine regelmäßig aktualisierte Liste von erforderlichen Sicherheitsupdates und Service Packs aufzunehmen. Diese Updates sollten idealerweise mittels eines Patchverwaltungssystems wie dem Windows Update Service oder dem Microsoft Systems Management Server (SMS) verwaltet und durchgesetzt werden. Die Häufigkeit der Anwendung dieser Aktualisierungen hängt davon ab, wie viel Zeit Ihre Organisation benötigt, die einzelnen Updates zu testen und bereitzustellen. Um ein größtmögliches Maß an Sicherheit zu gewährleisten, sollten Sie diese Updates jedoch so schnell wie möglich bereitstellen.

Nicht vertrauenswürdige Computer sind Computer, von denen nicht sicher gesagt werden kann, dass sie diese Sicherheitsanforderungen erfüllen. Im Allgemeinen wird ein Computer als "nicht vertrauenswürdig" eingestuft, wenn er entweder nicht verwaltet oder nicht abgesichert ist.

Die Lösung zur Server- und Domänenisolierung verfolgt das Ziel, die Risiken zu minimieren, denen vertrauenswürdige Ressourcen ausgesetzt sind. Dazu werden Tools, Technologien und Prozesse implementiert, die die Daten und Ausrüstungen der Organisation schützen. Die Lösung stellt Folgendes sicher:

• Nur diejenigen Computer, die als vertrauenswürdig eingestuft werden (also Computer, die bestimmte Sicherheitsanforderungen erfüllen), erhalten Zugriff auf vertrauenswürdige Ressourcen.
• Computern, die als nicht vertrauenswürdig gelten, wird der Zugriff auf vertrauenswürdige Ressourcen verweigert, sofern es keine spezifischen geschäftlichen Gründe gibt, die das Risiko eines Netzwerkzugriffs rechtfertigen.

Vertrauenswürdige Ressourcen sollten standardmäßig nur von anderen vertrauenswürdigen Ressourcen aus auf das Netzwerk zugreifen dürfen. Verwenden Sie darüber hinaus Zugriffszulassungs- oder -verweigerungsberechtigungen und Zugriffssteuerungslisten (Access Control Lists, ACLs) für bestimmte Benutzer und Computer innerhalb der vertrauenswürdigen Umgebung, um den Zugriff auf der Netzwerkebene zu steuern.

Durch Erstellen einer solchen vertrauenswürdigen Umgebung und Beschränken der zugelassenen Kommunikation innerhalb und außerhalb dieser Umgebung ergibt sich ein reduziertes Gesamtrisiko für die Datenbestände der Organisation. Zusätzlich können sich geschäftliche Vorteile wie die folgenden ergeben:

• Besseres Verständnis des Datenflusses in spezifischen Bereichen des Netzwerks
• Bessere Übernahme von Sicherheitsprogrammen zur Erreichung des vertrauenswürdigen Status
• Erstellung einer aktuellen Bestandsübersicht über die Host- und Netzwerkgeräte

In unserem Beispielszenario für die Woodgrove Bank gelten alle Computer als vertrauenswürdig, die unter Windows 2000 Service Pack (SP) 4, Windows XP SP2 oder höher bzw. Windows Server 2003 oder später ausgeführt werden und sich in Domänen befinden, die der Woodgrove Bank gehören und von ihr verwaltet werden. Außerdem werden vertrauenswürdige Ressourcen, darunter alle Computer unter Windows 2000 oder höher, bei denen die Sicherheitseinstellungen über Gruppenrichtlinien gesteuert werden, in regelmäßigen Abständen von IT-Mitarbeitern geprüft, um so sicherzustellen, dass sie auch weiterhin die Mindestanforderungen erfüllen. Die IT-Abteilung überprüft darüber hinaus, dass die Installation und Konfiguration spezieller Sicherheitssoftware (wie z. B. von Virenschutzprogrammen) zentral gesteuert wird und mit den Woodgrove-internen Sicherheitsanforderungen im Einklang steht. Weitere Informationen dazu, welche Computer im Kontext der Lösung als vertrauenswürdig eingestuft werden, finden Sie im Abschnitt "Bestimmung der Vertrauensstellung" in Kapitel 3, "Ermitteln des aktuellen Status der IT-Infrastruktur" dieses Leitfadens.

Nicht verwaltete Computer

Ein nicht verwalteter Computer ist ein Computer, dessen Sicherheitseinstellungen nicht zentral von der IT-Abteilung gesteuert werden. Auch ein Computer, der nicht die erforderlichen Sicherheitsverwaltungsfunktionen besitzt, wird als "nicht verwaltet" angesehen. Nicht verwaltete Computer werden als "nicht vertrauenswürdig" eingestuft, da nicht sicher festgestellt werden kann, ob diese Computer die Sicherheitsanforderungen der vertrauenswürdigen Computer erfüllen, auf die diese Computer zugreifen möchten.

Nicht abgesicherte Computer

Zu den nicht vertrauenswürdigen Computern gehören auch die Computer, die unter einem Betriebssystem laufen, das nicht so konfiguriert wurde bzw. werden kann, wie es die Sicherheitsanforderungen vorsehen. Nicht abgesicherte Computer können in die folgenden vier Gruppen eingeteilt werden:

• Computer mit niedriger Betriebssystemsicherheitseinstufung. Diese Gruppe umfasst Computer, auf denen ein Betriebssystem läuft, das nicht über die erforderliche Sicherheitsinfrastruktureinstufung verfügt. Zu diesen Betriebssystemen gehören Windows x, Microsoft Windows NT® und Windows CE. Die Features für die Sicherheitsinfrastruktur sind im Allgemeinen eher in moderneren Betriebssystemen, wie Windows XP und Windows Server 2003, zu finden. Diese Features umfassen Zugriffssteuerungsmaßnahmen (z. B. Dateiberechtigungen), die Netzwerksicherheitsfeatures Paketverschlüsselung und starke Authentifizierung sowie Autorisierung, unterschiedliche Berechtigungsebenen (Benutzer und Administrator), Unterstützung für die zentrale Verwaltung der Sicherheitseinstellungen, Unterstützung für die Gewährleistung der Vertraulichkeit und Integrität der Daten und Unterstützung für andere Sicherheitstechnologien (wie z. B. das Authentifizierungsprotokoll Kerberos und Zertifikatdienste).
• Falsch konfigurierte Computer. Selbst die sichersten Betriebssysteme können so konfiguriert werden, dass sie Angriffen Tür und Tor öffnen. Solche Computer müssen als nicht abgesicherte Geräte betrachtet werden.
• Computer, die nicht ausreichend aktualisiert wurden. Da es sich bei der IT-Sicherheit um einen sich ständig entwickelnden Bereich handelt, geben die meisten Softwareanbieter Softwareaktualisierungen heraus, mit denen sichergestellt werden soll, dass die neuesten Sicherheitsprobleme entsprechend gelöst werden. Es kann innerhalb der Organisation festgelegt werden, dass ein Host über ein Mindestmaß an Aktualisierungen verfügen muss, um als vertrauenswürdig eingestuft zu werden. In einem solchen Fall werden die Computer, die nicht über die nötigen Updates verfügen, als nicht abgesichert betrachtet.
• Vertrauenswürdige Computer, deren Vertrauenswürdigkeit verloren gegangen ist. Die Vertrauenswürdigkeit eines eigentlich als vertrauenswürdig eingestuften Computers kann verloren gehen. Ausgangspunkt dafür ist üblicherweise ein Angreifer, der selbst eine vertrauenswürdige Stellung besitzt und diese missbraucht. Wenn die Vertrauenswürdigkeit eines vertrauenswürdigen Computers kompromittiert wird, ist dieser so lange nicht mehr vertrauenswürdig, bis entsprechende Gegenmaßnahmen ergriffen wurden, um den Computer wieder in einen vertrauenswürdigen Zustand zurückzuversetzen. Dabei muss unbedingt Folgendes beachtet werden: Wenn Sie dem Benutzer eines Computers nicht vertrauen, können Sie auch diesem Computer nicht vertrauen.

Die Geräte, die in eine dieser vier Gruppen fallen, werden als nicht vertrauenswürdig eingestuft, da nicht sicher davon ausgegangen werden kann, dass ihre Vertrauenswürdigkeit nicht in irgendeiner Art und Weise kompromittiert wurde. Sie stellen daher ein signifikantes Risiko für die vertrauenswürdigen Computer dar, auf die sie zuzugreifen versuchen.

Per Server- und Domänenisolierung direkt erreichbare Ziele

Das Ziel der Server- und Domänenisolierung besteht darin, die Bedrohung zu reduzieren, die sich ergibt, wenn ein nicht vertrauenswürdiger Computer ohne Genehmigung auf einen vertrauenswürdigen Computer zuzugreifen versucht. Bei den aktuellen Plattformen basiert die Fähigkeit, einen Remotecomputer durch Einschränken des eingehenden Netzwerkzugriffs zu isolieren, darauf, dass der Computer mittels des IPSec-Sicherheitsaushandlungsprotokolls IKE (Internet Key Exchange) erfolgreich als Mitglied der Domäne authentifiziert werden kann. Die Benutzerauthentifizierung erfolgt erst nach der erfolgreichen Authentifizierung des Computers. Die IPSec-Sicherheitszuordnungen schützen alle Protokoll- Anwendungsverbindungen auf höheren Ebenen zwischen den beiden Computern. Durch die Server- und Domänenisolierung lassen sich daher die folgenden Ziele erreichen:

• Isolieren der Computer von vertrauenswürdigen Domänenmitgliedern von nicht vertrauenswürdigen Geräten auf Netzwerkebene.
• Sicherstellen, dass für den eingehenden Netzwerkzugriff auf ein vertrauenswürdiges Mitglied der Domäne im internen Netzwerk ein anderes vertrauenswürdiges Domänenmitglied verwendet werden muss.
• Ermöglichen, dass vertrauenswürdige Domänenmitglieder den eingehenden Netzwerkzugriff auf eine bestimmte Gruppe von Computern beschränken können, die alle zur Domäne gehören müssen.
• Fokussieren der Risiken durch Netzwerkangriffe auf eine kleinere Zahl von Hosts, wodurch eine Barriere für die vertrauenswürdige Domäne geschaffen wird, in der Risikominderungsstrategien (wie Protokollierung, Überwachung und Angriffserkennung) wirksamer umgesetzt werden können.
  • Konzentrieren und Priorisieren von Maßnahmen zur vorbeugenden Überwachung und Durchsetzung von Vorgaben, bevor der Angriff stattfindet.
• Konzentrieren und Beschleunigen der Maßnahmen zur Problembeseitigung und Wiederherstellung des vertrauenswürdigen Zustands vor, während und nach dem Angriff.
• Verbessern der Sicherheit durch die Einführung von starker gegenseitiger Authentifizierung auf Paketebene sowie von Maßnahmen zur Integritätsprüfung, zur Abwehr von Replay-Angriffen und zur Verschlüsselung, ohne dafür Anwendungen und Protokolle auf höheren Ebenen (wie SMB [Server Message Block] oder NetBT) ändern zu müssen.

Ziel der Server- und Domänenisolierung ist es, alle Netzwerkdienste auf dem vertrauenswürdigen Host vor nicht vertrauenswürdigen Netzwerkzugriffsversuchen und Angriffen zu schützen. Die Server- und Domänenisolierung sorgt dafür, dass die Hosts vor den Schwachstellen und Fehlern in den anderen Arten netzwerkbasierter Sicherheitsvorkehrungen sowie den Schwachstellen beim Schutz der Benutzeranmeldeinformationen besser geschützt sind. Lösungen zur Server- und Domänenisolierung beschäftigen sich letztlich mit ähnlichen Netzwerkbedrohungen wie andere netzwerkbasierten Sicherheitstechnologien auch, bieten jedoch ein über das Vermögen dieser Technologien hinausgehendes Maß an Netzwerkzugriffssteuerung und Datenschutz. So kann z. B. eine Lösung zur Server- und Domänenisolierung den eingehenden Zugriff auf das Netzwerk auf bestimmte vertrauenswürdige Hostcomputer beschränken und die Entscheidung auf die Domänenidentität des Hosts und des Benutzers stützen, um so den durchgehenden Schutz für diesen autorisierten Netzwerkverkehr zu gewährleisten. Die meisten netzwerkbasierten Sicherheitstechnologien unterstützen jedoch nur die Prüfung der Benutzeridentität.

Durch Server- und Domänenisolierung bekämpfbare Risiken

Das größte Risiko, das mithilfe der Server- und Domänenisolierung bekämpft wird, ist die Bedrohung, die sich aus dem nicht genehmigten Zugriff auf einen vertrauenswürdigen Computer durch einen nicht vertrauenswürdigen Computer ergibt. Es gibt Sicherheitsrisiken, die nicht allein mit dieser Lösung reduziert werden können. Werden diesen Sicherheitsrisiken nicht zusätzliche Sicherheitsprozesse und -technologien entgegengestellt, kann dies letztendlich zu einer Aufhebung der Sicherheitsvorteile der Isolierungslösung führen. Zu den ernsthaften Sicherheitsrisiken, die diese Lösung nicht direkt bekämpft, gehören die Folgenden:

• Risiko, dass als vertrauenswürdig eingestufte Benutzer sicherheitsrelevante Daten stehlen oder weitergeben. Die Isolierungslösung kann zwar steuern, wo Computer innerhalb des internen Netzwerks kommunizieren können, aber diese Steuerung kann von Benutzern mit Administratorrechten unterminiert werden. Diese Lösung ist nicht in der Lage, das Risiko zu eliminieren, dass eigentlich als vertrauenswürdig eingestufte Benutzer unbefugt sicherheitsrelevante Daten kopieren oder weitergeben.
• Risiko, dass die Vertraulichkeit der Anmeldeinformationen vertrauenswürdiger Benutzer verloren geht. Administratoren können zwar den größten Teil des Verkehrs mit IPSec absichern, um die für die Netzwerkanmeldung erforderlichen Anmeldeinformationen zu schützen, es ist aber nicht möglich, den zum Zwecke der Benutzeranmeldung an die Domänencontroller übertragenen Datenverkehr per IPSec zu schützen. Mit der Server- und Domänenisolierung kann ein Angreifer gezwungen werden, einen vertrauenswürdigen Host zu verwenden, um andere vertrauenswürdige Hosts anzugreifen. Angreifer können vertrauenswürdige Hosts auch mithilfe von gestohlenen oder anderweitig beschafften Anmeldeinformationen angreifen und dazu vertrauenswürdige Hosts verwenden, die von der Erfordernis ausgenommen wurden, IPSec mit vertrauenswürdigen Hosts zu verwenden (wie Domänencontroller oder DNS-Server), oder ihren Angriff von Hosts aus starten, die eingehende Verbindungen von nicht vertrauenswürdigen Computern akzeptieren. Auch wenn der Administrator die Möglichkeit hat zu steuern, ob vertrauenswürdige Hosts ausgehende Verbindungen mit nicht vertrauenswürdigen Hosts herstellen, kann diese Lösung nichts zur Minderung des Risikos beitragen, dass vertrauenswürdige Benutzer von einem Angreifer so ausgetrickst werden, dass sie ihre Anmeldeinformationen preisgeben.
• Böswillige Benutzer. In diese Kategorie fallen Benutzer, die zwar legitimiert sind, auf das Netzwerk zuzugreifen, diese Legitimation aber missbrauchen. So kann diese Lösung z. B. nichts dagegen tun, dass ein unzufriedener Mitarbeiter unter Verwendung eines vertrauenswürdigen Hosts, auf den dieser Mitarbeiter aufgrund seiner Funktion in der Organisation Zugriff hat, Informationen stiehlt. Wenn der Angreifer die Möglichkeit hat, direkt an einem vertrauenswürdigen Hostcomputer zu arbeiten, kann er nicht autorisierten und administrativen Zugriff auf den Host erhalten. Da sich die Server- und Domänenisolierung durch Administratoren deaktivieren lässt, ist es von großer Wichtigkeit, dass der Umfang der standardmäßigen Zugriffsrechte und die Anzahl der Administratoren (einschließlich Unternehmensadministratoren, Domänenadministratoren und lokale Administratoren auf Arbeitsstationen bzw. Mitgliedsservern) auf das Nötigste begrenzt wird.
• Risiko, dass nicht vertrauenswürdige Computer auf andere nicht vertrauenswürdige Computer zugreifen. Diese Lösung ist nicht in der Lage, das Risiko zu begrenzen, dass nicht vertrauenswürdige Computer von einem Angreifer verwendet werden, um andere nicht vertrauenswürdige Computer anzugreifen.
• Risiko, dass nicht vertrauenswürdige Computer bestimmte vertrauenswürdige Computer angreifen. Lösungen für die Server- und Domänenisolierung sind für den Schutz von vertrauenswürdigen Hosts konzipiert. Aus praktischen Bereitstellungserwägungen heraus werden bei dieser Lösung jedoch vertrauenswürdige Domänenmitglieder identifiziert, die, aus welchen Gründen auch immer, für die Aushandlung des Zugriffs auf andere vertrauenswürdige Hosts kein IPSec verwenden. Diese vertrauenswürdigen, aber nicht IPSec-fähigen Computer sind in einer Ausnahmeliste aufgeführt (gilt z. B. für Domänencontroller). Diese Lösung identifiziert darüber hinaus bestimmte vertrauenswürdige Hosts, auf die von nicht vertrauenswürdigen Computern zugegriffen wird, um Grenzdienste für die Isolierungsdomäne bereitzustellen. Ein Angreifer, der Zugriff auf einen Host in der Ausnahmeliste bzw. einen Grenzhost hat, kann so alle anderen vertrauenswürdigen Hosts innerhalb der Isolierungsdomäne angreifen.
• Gewährleistung der Einhaltung der Sicherheitsvorschriften durch vertrauenswürdige Hosts. In dieser Lösung wird beschrieben, wie sich vertrauenswürdige Hosts definieren lassen, wobei besonders zu beachten ist, dass alle Computer Mitglied einer Windows 2000- bzw. Windows Server 2003-Domäne sein müssen. Die Lösung setzt voraus, dass die domänenbasierte Authentifizierung (Kerberos) per IPSec-IKE erfolgreich verläuft, um die Vertrauensstellung zu bestätigen und so eine von IPSec geschützte Verbindung aufzubauen. Im Laufe der Zeit kann es aus verschiedenen Gründen dazu kommen, dass vertrauenswürdige Hosts nicht alle Kriterien für die Vertrauensstellung erfüllen, sich aber dennoch erfolgreich als Domänenmitglied authentifizieren können. Es liegt in der Verantwortlichkeit der IT-Verwaltungssysteme und -prozesse der Organisation sicherzustellen, dass die Domänenmitglieder die Vorgaben für vertrauenswürdige Hosts einhalten.

Um diese Probleme anzugehen, wurden allen Systemen in der Testumgebung der Woodgrove Bank die empfohlenen Sicherheitskonfigurationen und -vorlagen zugewiesen. Weitere Informationen zu den Sicherheitstechnologien und Verwaltungsprozeduren für die Windows-Plattform finden Sie auf der Website TechNet Sicherheit unter www.microsoft.com//germany/technet/sicherheit/.

Zum Seitenanfang

Wie lässt sich die Server- und Domänenisolierung in die Gesamtstrategie zur Netzwerkabsicherung einbinden?

Die Server- und Domänenisolierung wird zusätzlich zu anderen proaktiven und reaktiven Mechanismen eingesetzt, mit denen das Netzwerk und die an das Netzwerk angeschlossenen Geräte (Computer usw.) vor Angreifern geschützt werden. Da es sich bei der Sicherheit um ein vielseitiges Problem handelt, das einen gestaffelten (auf mehreren Ebenen basierenden) Ansatz erfordert, ist es hilfreich, sich mit dem Konzept der Tiefenverteidigung und den dahinter stehenden Grundgedanken zu beschäftigen. Eine umfassende Netzwerksicherheitsstrategie wendet die entsprechenden Technologien an, um die Risiken mit der höchsten Priorität zu bekämpfen, ohne dabei wesentlich von einzelnen Fehlerquellen abhängig zu werden. Welche nächste Verteidigungslinie würde bei Netzwerkangriffen und Infektionen auf internen vertrauenswürdigen Hosts ins Spiel kommen, wenn beispielsweise die Sicherheitsmaßnahmen an der Netzwerkgrenze aufgrund fehlerhafter Konfiguration oder böswilliger Handlungen eines Mitarbeiters ihren Dienst versagen? Was kann Angriffe auf allen vertrauenswürdigen Hosts in Europa oder Asien stoppen, wenn der Angreifer seine Verbindung über einen Ethernet-Anschluss in einem Konferenzraum in irgendeiner Zweigstelle in den USA herstellt?

Tiefenverteidigung

Die Tiefenverteidigung lässt sich am besten als ein gestaffelter Schutz des Computers begreifen, bei dem nicht nur ein einzelner Schutzmechanismus greift. Für eine erfolgreiche Staffelung der Abwehrmaßnahmen müssen zunächst die Infektionsquellen und Gegner identifiziert werden, die für einen Angriff auf die Organisation infrage kommen. Auch sollte herausgefunden werden, welche Ziele möglicherweise bedroht sein könnten. Ein möglicher Gegner wäre z. B. ein Konkurrent, der eine Wirtschaftsspionagefirma engagiert, um an Informationen über ein neues Produkt zu kommen, das sich bei Ihnen gerade in der Entwicklung befindet. Nachdem klar geworden ist, wer die Angreifer sein könnten und welche Ziele gefährdet sind, muss für die Computer, die von einem Angriff bedroht sind, festgelegt werden, wie auf Sicherheitsvorfälle zu reagieren ist. Dazu gehören Methoden zur Authentifizierung, zur Autorisierung, zur Sicherung der Vertraulichkeit und zur Nachweisbarkeit. Im Bereich der IT-Sicherheit gibt es eine bewährte Praxis, die sich in die Kurzformel "Schützen-Erkennen-Reagieren" kleiden lässt. Organisationen, die sich an diese Praxis halten, wissen, dass Angriffe auf jeden Fall stattfinden werden.Sie konzentrieren sich auf eine schnelle Erkennung dieser Angriffe und die Minimierung der Folgen, sei es in Form einer Dienstunterbrechung oder des Verlusts von Daten. In solchen Organisationen ist die Erkenntnis gewachsen, dass bei einer hohen Angriffswahrscheinlichkeit vor allem der Schutz der Daten und Ressourcen ("Assets") und weniger Maßnahmen zur Verhinderung des Angriffs im Vordergrund stehen sollten. Generell gilt: Es ist kostengünstiger, sich gegen einen Angriff zu verteidigen, als die Folgen eines Angriffs zu beseitigen.

Bei allen Verfahren zur Datensicherung liegt das Hauptaugenmerk auf Personen, Prozessen und Technologien. Isolierung bezieht alle diese Bereiche mit ein: Sie wird durch ein tief greifendes Verständnis der Risiken, Anforderungen und zu schützenden Ressourcen erreicht ein Verständnis, das sowohl Personal- als auch Prozesselemente umfasst. Darüber hinaus erfordert die Isolierung Kenntnisse des aktuellen Zustands des Netzwerks und der mit dem Netzwerk verbundenen Geräte, der Kommunikationsanforderungen, mit denen definiert wird, wie Computer interagieren sollten, und der Sicherheitsanforderungen, die dazu beitragen könnten, dass diese Anforderungen auf Einschränkungen treffen, die sie beim Erzielen des geeigneten Gleichgewichts zwischen Sicherheit und Kommunikation behindern.

Eine ausführlichere Besprechung dieses Themas finden Sie im Whitepaper Defense in Depth, das von der US-amerikanischen Nationalen Sicherheitsbehörde (National Security Agency) unter http://www.nsa.gov/snac/support/defenseindepth.pdf veröffentlicht wurde (in englischer Sprache).

Informationen und praktische Entwurfsbeispiele für diesen Prozess finden Sie im Kapitel Enterprise Design der Anleitung Windows Server System Reference Architecture unter www.microsoft.com/technet/itsolutions/wssra/raguide/Security\_Architecture\_1.mspx (in englischer Sprache).

Die folgende Abbildung zeigt, wie sich eine logische Isolierungslösung in die in der Windows Server System-Referenzarchitektur beschriebenen Tiefenverteidigungsstrategie einbinden lässt:

Abbildung 2.1: Tiefenverteidigung mit logischer Isolierung

Bild in voller Größe anzeigen

Die Abbildung zeigt, dass die logische Isolierungsebene die Aufgabe hat, durch die Steuerung der Netzwerkkommunikation direkt den Hostcomputer zu schützen. Ihre Rolle entspricht damit in weiten Teilen der einer hostbasierten Firewall. Während die Hostfirewall aber Verkehr an den Ports zulässt bzw. blockiert, stellt IPSec Zulassungs- und Blockierungsdienste bereit und handelt Dienste für den vertrauenswürdigen Netzwerkzugriff aus. Nachdem der Zugriff gewährt wurde, kann IPSec alle Pakete zwischen den beiden Computern absichern. Für die hier vorgestellte Lösung zur "logischen Isolierung" gilt Folgendes:

• Sie bietet keinen Schutz für Netzwerkgeräte, wie z. B. Router.
• Sie bietet keine Möglichkeit der Kontrolle des physischen Zugriffs auf das Netzwerk, wie z. B. die Festlegung, welchem Computer es erlaubt ist, eine RAS-VPN-Verbindung aufzubauen, noch verfügt sie über die Schutzfunktionen, die netzwerkbasierte Firewalls bieten.
• Sie bietet keinen Schutz für Netzwerkverbindungen, wie 802.1x für die Zugriffssteuerung und 802.11-WEP-Verschlüsselung für WLAN-Verbindungen. IPSec schützt jedoch den gesamten zwischen Quell- und Ziel-IP-Adresse übertragenen Verkehr auf allen Netzwerkverbindungen.
• Sie bietet keine Absicherung für sämtliche Hosts im Netzwerk, sondern nur für diejenigen, die in die Isolierungslösung eingebunden sind.
• Sie bietet keinen Schutz für Pfade auf Anwendungsebene, wie z. B. den gesamten Pfad, über den der E-Mail- und .NET-Nachrichtenverkehr fließt, sowie HTTP-Anforderungen, die zwischen Client und Webserverziel mehrere Male über Proxys geleitet werden.

Die Absicherung auf allen Ebenen sollte Bestandteil der Analyse zur Minderung von IT-Sicherheitsrisiken werden. Wenn z. B. einem bestimmten Computer kein Zugriff auf einen Server auf der Ebene der logischen Isolierung gewährt wird, spielt es keine Rolle, welcher Benutzer sich bei diesem Computer anmeldet. Allen Benutzern, selbst Administratoren, wird der Zugriff auf den Server verwehrt.

Vergleich zwischen SSL/TLS und IPSec

IPSec ist nicht als Ersatz für die Absicherung auf Anwendungsebene, wie z. B. SSL/TLS, gedacht. Einer der Vorteile der Verwendung von IPSec besteht darin, dass IPSec eine Absicherung des Netzwerkverkehrs für bestehende Anwendungen bereitstellen kann, ohne dass diese geändert werden müssen. Die Verwendung von IPSec in Umgebungen, in denen Anwendungen SSL/TLS verwenden, kann die folgenden Vorteile mit sich bringen:

• Sie hilft, alle Anwendungen und das Betriebssystem gegen Netzwerkangriffe durch nicht vertrauenswürdige Computer und andere Geräte abzusichern.
• Sie stellt eine Tiefenverteidigungsmaßnahme gegen die Möglichkeit der falschen oder nicht den Vorgaben entsprechenden Verwendung von SSL/TLS dar (z. B., wenn alle vertraulichen elektronisch gespeicherten Patienteninformationen weder verschlüsselt noch authentifiziert werden).
• Sie hilft zu verhindern, dass Benutzeranmeldeinformationen auf nicht vertrauenswürdigen Computern eingegeben werden, indem die Benutzer erst dann aufgefordert werden, sich bei der internen SSL/TLS-Website anzumelden, nachdem IPSec die gegenseitige Vertrauensstellung von Client und Server festgestellt hat.
• Sie bietet Absicherung, wenn es Ihnen nicht möglich ist, mithilfe von Windows-Registrierungseinstellungen rechtlich vorgegebene SSL/TLS-Algorithmen auszuwählen. Windows 2000, Windows XP und Windows Server 2003 bieten Einflussmöglichkeiten zur Steuerung der Registrierungsschlüssel für SSL/TLS-Algorithmen. Siehe dazu den Microsoft Knowledge Base-Artikel 245030, Wie Einschränken der Verwendung bestimmten Verschlüsselungsalgorithmen und kryptografisch Protokollen in Schannel.dll, unter https://support.microsoft.com/?kbid=245030.
• Sie bietet Absicherung, wenn keine Zertifikate verfügbar sind.

IPSec sichert den Verkehr zwischen Ausgangs- und Ziel-IP-Adresse ab. SSL/TLS kann den Verkehr über den gesamten Anwendungspfad (z. B. von einem Webbrowser über einen Webproxy zu einem Webserver) absichern.

Das US-amerikanische Standardisierungsinstitut NIST (National Institute for Standards and Technology) arbeitet derzeit an der Entwicklung einer Anleitung für den Einsatz von TLS. Die "Special Publication" 800-52, "Guidelines on the Selection and Use of Transport Layer Security", enthält Richtlinien für die Implementierung von TLS in US-Regierungsbehörden. Weitere Informationen zu dieser Anleitung finden Sie auf der Website NIST Computer Security Division unter http://csrc.nist.gov/publications/index.html (in englischer Sprache). Für den Einsatz von IPSec gibt es keine derartigen Richtlinien. Die US-amerikanische Nationale Sicherheitsbehörde (NSA) hat allerdings Richtlinien für die Verwendung von IPSec unter Windows 2000 herausgegeben. Diese Richtlinien finden Sie auf der NSA-Website unter http://nsa2.www.conxion.com/win2k/download.htm (in englischer Sprache). Organisationen, die die Richtlinien der NSA erfüllen müssen, sollten zusätzlich zu den NSA-Richtlinien auch den Entwurf der hier beschriebenen Lösung einer entsprechenden Überprüfung unterziehen.

IPSec mit zertifikatbasierter Authentifizierung bietet eine Absicherung, die in vielen Punkten derjenigen von SSL/TLS entspricht. Es gibt jedoch einige Unterschiede. Windows IPSec unterstützt nur einen kleinen Teil der kryptografischen Algorithmen, die TLS unterstützt und die in NIST 800-52 empfohlen werden (z. B. 3DES, SHA-1 und ephemerale 1024-Bit-Diffie-Hellman-Verschlüsselung). Die hier vorgestellte Lösung verwendet für die IKE-Authentifizierung zwischen Domänenmitgliedern statt zertifikatbasierter Signaturen Kerberos-Signaturen. Die Windows IPSec-IKE-Aushandlung sorgt mittels Kerberos und zertifikatbasierter Authentifizierung für die Feststellung der gegenseitigen Vertrauensstellung der beteiligten Computer. Da IKE nicht in die Anwendungen integriert ist, ist das Protokoll nicht in der Lage, anhand des Namens des Zielcomputers zu prüfen, ob es sich dabei um den Computer handelt, zu dem die Anwendung eine Verbindung herstellen soll. Daher besteht das Risiko von ausgeklügelten Man-in-the-Middle-Angriffen, die von anderen vertrauenswürdigen Hosts aus gestartet werden könnten. SSL/TLS dagegen kann, dank seiner Integration in die Anwendung, den Zielnamen nicht nur authentifizieren (als vertrauenswürdig einstufen), sondern diesen auch mit dem erwarteten Namen abgleichen.

Zum Seitenanfang

Verwendete Terminologie

Lassen Sie uns zunächst noch einmal einen Blick auf die Begriffe werfen, die im Zusammenhang mit der hier beschriebenen Lösung häufig verwendet werden. Wenn Sie mit diesen Begriffen bereits vertraut sind, können Sie diesen Abschnitt überspringen. Wenn Sie jedoch diese Begriffe und ihre Verwendung in diesem Kontext nicht richtig verstehen, könnten einige der Erklärungen in diesem Dokument für Sie verwirrend sein.

Begriffe im Zusammenhang mit der Isolierung

Die folgenden Begriffe werden speziell im Zusammenhang mit der logischen Isolierung verwendet. Sie sollten diese Begriffe in vollem Umfang verstehen, bevor Sie mit diesem Kapitel fortfahren:

• Isolierung. Logische Trennung eines Computers oder mehrerer Computer von anderen Computern.
• Domänenisolierung. Dieser Begriff definiert die Art der Isolierung, die vertrauenswürdige Computer von nicht vertrauenswürdigen Computern trennt. Ein Computer muss lediglich gültige Anmeldeinformationen bereitstellen und sich erfolgreich mit IKE authentifizieren, um isoliert zu werden. Die Domäne ist jede Domäne im Vertrauenspfad, auf die über eine bidirektionale Vertrauensstellung zwischen den beiden Hosts zugegriffen werden kann, die ihre Kommunikation abzusichern versuchen.
• Serverisolierung. Dieser Begriff definiert, wie Server den eingehenden Zugriff mittels IPSec und des Rechts "Auf diesen Computer vom Netzwerk aus zugreifen" für eine bestimmte Gruppe von vertrauenswürdigen Computern einschränken können.
• Logische Isolierung. Übergreifende Bezeichnung für Isolierungstechnologien, wie Domänenisolierung, Serverisolierung und NAP (Network Access Protection).
• Isolierungsgruppe. Logische Gruppierung vertrauenswürdiger Computer, für die dieselben Richtlinien zur Kommunikationssicherheit und damit im Wesentlichen dieselben Anforderungen an den ein- und ausgehenden Netzwerkverkehr gelten. Die Steuerungsmechanismen der Isolierungsgruppe für den ein- und ausgehenden Netzwerkzugriff können entweder mittels einer IPSec-Richtlinie und Zulassen/Blockieren-Aktionen oder aber durch das Aushandeln der Sicherheit durch IPSec in Kombination mit Gruppenrichtlinien-Netzwerkanmelderechten (und möglicherweise auch mit anderen Netzwerkkonfigurations- bzw. Verbindungseinstellungen) implementiert werden. Einzelne Anwendungen, Netzwerkdienste und Protokolle sollten über eine festgelegte Konfiguration verfügen, um Verkehrsanforderungen auf ihrer Ebene zu erfüllen. So kann z. B. eine Gruppe von Exchange-Servern zur Voraussetzung machen, dass der Client- oder Servercomputer, mit dem eine eingehende TCP/IP-Verbindung hergestellt werden soll, Mitglied einer vertrauenswürdigen Domäne ist. Diese Gruppe, der nicht erlaubt wird, ausgehende TCP/IP-Verbindungen zu Computern außerhalb der Domäne zu initiieren (mit bestimmten Ausnahmen), würde als Isolierungsgruppe "Exchange-Server" bezeichnet werden.
• Isolierungsdomäne. Isolierungsgruppe, in der die Mitgliedschaft in der Gruppe mit der Mitgliedschaft in der Windows-Domäne identisch ist. Wenn die Domäne über bidirektionale vertrauenswürdige Domänen verfügt, gehören die Mitglieder dieser Domänen zur Isolierungsdomäne. Da es sich um eine Isolierungsgruppe handelt, sind die Anforderungen für ein- und ausgehenden Netzwerkverkehr einfach: Eingehende Verbindungen werden nur zugelassen, wenn sie von anderen vertrauenswürdigen Mitgliedern der Domäne stammen. Ein Server, der sich in einer Server-Isolierungsgruppe befindet, kann Clients haben, die zur isolierten Domäne gehören.
• Netzwerkzugriffsgruppe (Network Access Group, NAG). Windows-Domänensicherheitsgruppe, die verwendet wird, um mithilfe der Gruppenrichtlinien-Sicherheitseinstellungen für Netzwerkanmelderechte den Netzwerkzugriff auf einen bestimmten Computer zu steuern. Diese werden speziell zur Durchsetzung der Anforderungen an den eingehenden Netzwerkverkehr für Isolierungsgruppen erstellt. Für jede Isolierungsgruppe kann es eine Zulassen-Netzwerkzugriffsgruppe (Allow Network Acess Group, ANAG) und eine Verweigern-Netzwerkzugriffsgruppe (Deny Network Access Group, DNAG) geben.
• Vertrauensstellung bzw. Vertrauenswürdigkeit. Besagt, dass der jeweilige Computer willens ist, die durch den Authentifizierungsvorgang geprüfte Identität zu akzeptieren. Wenn eine Domäne über eine Vertrauensstellung verfügt (vertrauenswürdig ist), impliziert dies, dass alle Mitglieder der Domäne davon ausgehen, dass der Domänencontroller die Identität erfolgreich geprüft und ordnungsgemäß Informationen zur Gruppenmitgliedschaft für diese Identität bereitgestellt hat. Eine Vertrauensstellung ist erforderlich, um die Kommunikation mit einem Remotecomputer mit IPSec abzusichern. Außerdem gilt ein Benutzer oder Computer mit Vertrauensstellung als akzeptabel, so dass das Risiko einer Kommunikation mit ihm aller Voraussicht nach gering ist.
• Potenziell vertrauenswürdiger Host. Computer, der so konfiguriert werden kann, dass er die Mindestvoraussetzungen der Organisation erfüllt und damit ein vertrauenswürdiger Host wäre, dies aber gegenwärtig nicht unbedingt ist. Es ist wichtig zu wissen, welche Computer potenziell vertrauenswürdig sind, um die Mitgliedschaft in vertrauenswürdigen Isolierungsgruppen planen zu können.
• Vertrauenswürdiger Host. Computer unter Windows 2000, Windows XP oder Windows Server 2003, der mindestens zu einer Windows 2000-Sicherheitsdomäne gehört und in der Lage ist, eine IPSec-Richtlinie durchzusetzen. Vertrauenswürdige Hosts müssen in der Regel bestimmte zusätzliche Verwaltungs- und Sicherheitsanforderungen erfüllen. Die Konfiguration des Hosts wird so gesteuert, dass die Sicherheitsrisiken für den Host als gering und verwaltet betrachtet werden. Bei vertrauenswürdigen Hosts besteht eine kleinere Wahrscheinlichkeit, dass sie zur Quelle einer Infektion oder eines Angriffs werden. Eine ausführliche Erörterung dieses Themas finden Sie in Kapitel 3, "Ermitteln des aktuellen Status der IT-Infrastruktur", dieses Leitfadens.
• Nicht vertrauenswürdiger Host. Hostcomputer, der nicht als vertrauenswürdiger Host angesehen wird. Seine Konfiguration ist entweder unbekannt oder wird nicht verwaltet. Die Gewissheit, dass dieser Host (bzw. ein Benutzer dieses Hosts), wenn mit dem Netzwerk verbunden, nicht der Ausgangspunkt einer Infektion oder eines Angriffs ist, ist, wenn überhaupt, nur sehr gering.
• Grenzhost. Vertrauenswürdiger Host, der Netzwerkverkehr von vertrauenswürdigen und nicht vertrauenswürdigen Hosts ausgesetzt ist und daher schärfer überwacht und besser gegen Angriffe verteidigt werden muss als andere vertrauenswürdige Hosts. Die Zahl der Grenzhosts sollte auf das Nötigste beschränkt werden, da sie ein höheres Risiko für die übrigen vertrauenswürdigen Hosts darstellen.
• Ausnahme. Computer innerhalb oder außerhalb einer Domäne, der kein IPSec verwendet. Es gibt zwei Arten von Ausnahmen: Zum einen gibt es Computer, die eine statische IP-Adresse nutzen, deren Adressen in der "Ausnahmeliste" der IPSec-Richtlinie verzeichnet sind, so dass vertrauenswürdige Hosts bei der Kommunikation mit diesen Computern kein IPSec einsetzen. Zum anderen gibt es Computer, die bei der Aushandlung sicherer Verbindungen von der Verwendung der IPSec-Richtlinie ausgenommen sind. Letzte können, müssen aber nicht in der Ausnahmeliste verzeichnet sein. Eine Ausnahme erfüllt u. U. die Anforderungen eines vertrauenswürdigen Hosts, verwendet aber bei der Kommunikation mit anderen vertrauenswürdigen Hosts in der Isolierungsdomäne kein IPSec.

Begriffe im Zusammenhang mit der Sicherheit

Vergewissern Sie sich, dass Sie die folgenden Begriffe aus dem Bereich der Sicherheit genau verstehen:

• Autorisierung. Prozess, bei dem einer Person, einem Computer, einem Prozess oder einem Gerät Zugriff auf bestimmte Informationen, Dienste oder Funktionen gewährt wird. Die Autorisierung erfolgt auf der Basis der während der Authentifizierung geprüften Identität der Person, des Computers, des Prozesses oder des Geräts.
• Authentifizierung. Prozess, bei dem die Anmeldeinformationen einer Person, eines Computers, eines Prozesses oder eines Geräts auf ihre Gültigkeit hin geprüft werden. Für die Authentifizierung ist es notwendig, dass die Personen, Prozesse oder Geräte, die auf das Netzwerk zugreifen möchten, Anmeldeinformationen bereitstellen, anhand derer eine Identitätsprüfung durchgeführt werden kann. Häufige Formen von Anmeldeinformationen sind private Schlüssel für digitale Zertifikate, ein geheimer Schlüssel, der vom Administrator auf beiden Geräten konfiguriert wurde (vorinstallierter Schlüssel), geheime Kennwörter für die Benutzer- oder Computerdomänenanmeldung oder biometrische Daten, wie der Fingerabdruck oder eine Netzhautabtastung.
• Spoofing: In diesem Leitfaden bezeichnet der Begriff "Spoofing" eine Form des Angriffs, bei dem der Angreifer vortäuscht, dass sein Verkehr von einer legitimen IP-Adresse stammt, um so zu versuchen, die Kommunikation zu stören oder Informationen auszuspionieren.
• Nachweisbarkeit. Verfahren, um sicherzustellen, dass niemand wahrheitswidrig abstreiten kann, eine Aktion auf einem Computer ausgeführt zu haben. Mittels Nachweisbarkeit erhält man einen ausreichend unwiderlegbaren Beweis dafür, dass ein Benutzer oder Gerät eine bestimmte Aktion ausgeführt hat, wie z. B. eine Geldüberweisung, den Abschluss eines Kaufvertrags oder das Senden einer Nachricht.
• Verschlüsselter Text. Verschlüsselter Text ist das Ergebnis des Verschlüsselungsprozesses und kann bei Vorhandensein des richtigen Entschlüsselungsschlüssels in lesbaren Klartext zurückgewandelt werden.
• Klartext. Kommunikation und Daten in ihrer unverschlüsselten Form.
• Hash. Ergebnis mit fester Größe, das man erhält, wenn man eine unidirektionale mathematische Funktion ("Hashalgorithmus") auf eine willkürlich festgelegte Menge von Eingabedaten anwendet. Eine Änderung der Eingabedaten zieht eine Änderung des Hashwertes nach sich. Hashfunktionen werden so gewählt, dass eine extrem niedrige Wahrscheinlichkeit besteht, dass zwei Eingaben dasselbe Ergebnis erzielen. Der Hashalgorithmus kann in einer Vielzahl von Operationen, darunter Authentifizierung und digitales Signieren, zum Einsatz kommen. Wird auch als "Nachrichten-Hash" bezeichnet.

Begriffe im Zusammenhang mit dem Netzwerk

Die folgenden Begriffe beziehen sich auf die Netzwerkelemente dieser Lösung:

• Initiator. Computer, der eine Netzwerkkommunikation mit einem anderen Computer startet.
• Responder. Computer, der auf die Aufforderung antwortet, über das Netzwerk zu kommunizieren.
• Kommunikationspfad. Verbindungspfad, der für den Netzwerkverkehr erstellt wird, der zwischen Initiator und Responder ausgetauscht wird.

Begriffe im Zusammenhang mit Gruppenrichtlinien

Die folgenden Begriffe beziehen sich auf Windows-Gruppenrichtlinien:

• Gruppenrichtlinienobjekt. Die von Ihnen erstellten Gruppenrichtlinieneinstellungen sind in einem Gruppenrichtlinienobjekt (Group Policy Object, GPO) enthalten. Durch Verknüpfung eines GPO mit ausgewählten Active Directory-Systemcontainern Websites, Domänen und Organisationseinheiten können Sie die Richtlinieneinstellungen des GPO auf die Benutzer und Computer in diesen Active Directory-Containern anwenden. Zum Erstellen von GPOs steht der Gruppenrichtlinienobjekt-Editor zur Verfügung, und zum organisationsweiten Verwalten der GPOs können Sie die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) nutzen.
• Domänenrichtlinie. Richtlinie, die zentral in Active Directory gespeichert ist.
• Lokale Richtlinie. Richtlinie, die auf einem einzelnen Computer gespeichert ist.

Grundlegende Begriffe im Zusammenhang mit IPSec

Vergewissern Sie sich, dass Sie die folgenden IPSec-Begriffe genau verstehen:

• IPSec-Richtlinie. Gruppe von Sicherheitsregeln für die Verarbeitung von Netzwerkverkehr auf der IP-Ebene. Eine Sicherheitsregel enthält Paketfilter, die mit einer Zulassen-, Blockieren- oder Aushandeln-Aktion verknüpft sind. Wenn eine Aushandlung erforderlich ist, enthält die IPSec-Richtlinie Authentifizierungs- und Sicherheitsmethoden für die Aushandlung mit dem gleichrangigen Computer.

• Permanente IPSec-Richtlinie. Mit Windows XP und Windows Server 2003 eingeführter IPSec-Richtlinientyp, mit dem IPSec-Richtlinieneinstellungen permanent zugewiesen werden können. Die permanente Richtlinie wird beim Start des IPSec-Dienstes angewendet und setzt so die IPSec-Einstellungen in lokalen oder Domänenrichtlinien außer Kraft.

• IKE-Aushandlung. Prozess beim Aufbau einer Netzwerkverbindung, mit dem ein Computer, der IPSec verwendet, bestimmt, ob er die Verbindung zulässt.

• Sicherheitszuordnung (Security Association, SA). Die Vereinbarung, die zwei Hosts darüber treffen, wie sie mittels IPSec kommunizieren möchten, sowie die verschiedenen Parameter, die diese Aushandlung definieren.

  • Hauptmodus-Sicherheitszuordnung. Diese Art der Sicherheitszuordnung ist die erste, die während der IKE-Aushandlung zwischen dem Initiator- und dem Responder erstellt wird.
  • Schnellmodus-Sicherheitszuordnung. Diese Art der Sicherheitszuordnung wird ausgehandelt, nachdem für jede Kommunikationssitzung zwischen den Hosts die Hauptmodus-Sicherheitszuordnung erstellt wurde.

• Auf unsichere Kommunikation zurückgreifen (Fallback). Mit dieser Option kann der IKE-Initiatorcomputer normalen TCP/IP-Verkehr (keinen IKE- oder IPSec-Verkehr) zulassen, falls es keine IKE-Antwort vom Responder gibt. Diese Option entspricht der Option Unsichere Kommunikation mit Computern zulassen, die IPSec nicht unterstützen auf der Eigenschaftenseite für die Filteraktion im Tool für die IPSec-Richtlinienverwaltung.

• Eingehendes Passthrough. Mit dieser Option kann ein IPSec-fähiger Computer normale eingehende TCP/IP-Pakete (nicht jedoch IKE- oder IPSec-Pakete) akzeptieren, die von einem Remotecomputer stammen. Die normale Antwort bei einem Protokoll der höheren Ebene ist ein ausgehendes Paket, das dann eine IKE-Initiierung zurück zum Remotecomputer auslöst. Diese Option entspricht der Option Unsichere Kommunikation annehmen, aber immer mit IPSec antworten auf der Eigenschaftenseite für die Filteraktion im Tool für die IPSec-Richtlinienverwaltung.

  Hinweis

  Hinweis.
  Wenn Sie auf einem Responder zwar "Eingehendes Passthrough", nicht aber "Auf unsichere Kommunikation zurückgreifen" aktiviert haben, kann der Responder nicht mit einem nicht-IPSec-fähigen Initiatorcomputer kommunizieren.
  

Darüber hinaus gibt es auch noch weitere wichtige Begriffe, die sich speziell auf Elemente von IPSec beziehen. Anhang A, "Überblick über IPSec-Richtlinienkonzepte", dieses Leitfadens bietet einen Überblick über diese IPSec-Begriffe und erläutert den IPSec-Gesamtprozess, den die Computer in den im Rahmen dieser Lösung erstellten Isolierungsgruppen verwenden werden.

Zum Seitenanfang

Wie lässt sich Server- und Domänenisolierung erreichen?

Der Ansatz, Computer zu isolieren, um sie vor Risiken zu schützen, ist nicht neu. Verfahren wie die Nutzung von Firewalls zur Segmentierung, der Einsatz von Zugriffssteuerungs- und Filtermechanismen bei der Nutzung von Routern und die physische Segmentierung von Netzwerkverkehr bieten alle ein gewisses Maß an Isolierung.

Die in diesem Leitfaden vorgestellt Lösung ist dafür konzipiert, mit den Ihrer Netzwerkinfrastruktur bereits vorhandenen Geräte und Verfahren zusammenzuarbeiten. Die Isolierung erfolgt dabei durch Änderung der Hostsoftwarekonfiguration in Windows 2000 und späteren Plattformen. Technologien und Prozeduren wie Netzwerksegmentierung, VLANs, Zugriffssteuerung an der Außengrenze des Netzwerks, Netzwerkquarantäne und netzwerkbasierte Angreifererkennung (Intrusion Detection) werden durch Implementierung oder Änderung der Konfiguration von Netzwerkgeräten erreicht. Die Server- und Domänenisolierung ergänzt alle diese vorhandenen Verfahren und bietet ein neues Maß an Absicherung für verwaltete Windows-Domänenmitglieder. Windows-IT-Administratoren können die Server- und Domänenisolierung ohne bzw. mit nur geringfügigen Änderungen der vorhandenen Netzwerkpfade, Verbindungsmethoden und Anwendungen und mit einer bereits vorhandenen Windows 2000- oder Windows Server 2003-Domäneninfrastruktur erzielen.

Komponenten der Server- und Domänenisolierung

Die Lösung zur Server- und Domänenisolierung besteht aus einer Reihe von wichtigen Komponenten, die zusammen die Lösung ermöglichen. Diese Komponenten werden in den folgenden Abschnitten beschrieben.

Vertrauenswürdige Hosts

Vertrauenswürdige Hosts sind Computer, die die IT-Organisation verwalten kann, damit die Mindestsicherheitsvoraussetzungen erfüllt werden. Häufig lässt sich dieser vertrauenswürdige Status nur dann erreichen, wenn auf dem Computer ein sicheres und verwaltetes Betriebssystem, Virenschutzsoftware und die neuesten Anwendungs- und Betriebssystemupdates installiert sind. Nachdem der Computer als vertrauenswürdig eingestuft wurde, besteht die nächste Komponente der Lösung darin, mittels Authentifizierung den Status des Computers zu bestätigen. Weitere Informationen zum Bestimmen des Status finden Sie in Kapitel 3, "Ermitteln des aktuellen Status der IT-Infrastruktur".

Hostauthentifizierung

Der Hostauthentifizierungsmechanismus bestimmt, ob der Computer, der versucht, eine Sitzung zu initiieren, über gültige Authentifizierungsanmeldeinformationen verfügt, die z. B. in Form eines Kerberos-Tickets, eines Zertifikats oder eventuell eines vorinstallierten Schlüssels vorliegen können. Gegenwärtig gibt es zwei Technologien, die diese Art der Authentifizierung auf Computern unter Windows bereitstellen können. Diese beiden Technologien werden in den folgenden Abschnitten näher erläutert.

Protokoll 802.1X

802.1X ist ein auf Standards basierendes Protokoll für die Authentifizierung von Benutzern und Geräten, damit diese dazu autorisiert werden können, über einen Netzwerkport auf Verbindungsebene, wie z. B. eine 802.11-WLAN-Verbindung oder einen 802.3-Ethernet-Anschluss, eine Verbindung mit dem Netzwerk herzustellen. Dies ermöglicht die Steuerung des Benutzererlebnisses (z. B. für Abrechnungszwecke), die Steuerung der Autorisierung und zusätzliche Features. Dieses Protokoll erfordert einen oder mehrere dedizierte(n) Server (z. B. RADIUS) und eine Netzwerkinfrastruktur, die das Protokoll unterstützt. Die Aufgabe von 802.1X ist es, Steuerungsmöglichkeiten über den Netzwerkzugriff und die kryptografischen Schlüssel für die 802.11-WEP-Verschlüsselung von WLAN-Verkehr zwischen dem Client und dem WLAN-Zugriffspunkt (AP) bereitzustellen. Nachdem dem Gerät der Zugriff auf das Netzwerk gewährt wurde, steht ihm normalerweise das gesamte interne Netzwerk offen. Die Daten werden am WLAN-AP entschlüsselt und dann im Klartext per TCP/IP an den Bestimmungsort weitergeleitet. Dabei können u. U. verschiedene Sicherungsmechanismen auf Anwendungsebene zum Einsatz kommen.

Die Sicherheitsanforderungen bei der Woodgrove Bank schreiben vor, dass alle vertrauenswürdigen Hosts vor dem Zugriff durch nicht vertrauenswürdige Computer im internen Netzwerk geschützt werden müssen. 802.1X könnte zwar durchsetzen, dass nur vertrauenswürdigen Computern über drahtlose und einige drahtgebundene Verbindungen Zugriff gewährt wird, aber die Switches, die für die meisten internen 802.3-Ethernet-Anschlüsse verwendet werden, sind nicht für die 802.1X-Authentifizierung ausgelegt. Die Nachrüstung jeder einzelnen LAN-Steckdose und aller Gebäude weltweit würde sehr hohe Kosten im Hinblick auf den Kauf und die Installation der entsprechenden Hardware mit sich bringen. Die Woodgrove Bank hat daher entschieden, 802.1X für die Absicherung des WLAN, nicht aber für die drahtgebundenen Ethernet-Anschlüsse einzusetzen.

Eine andere Vorgabe von Woodgrove bestand darin, den Verkehr zwischen vertrauenswürdigen Clients und den Verschlüsselungsservern auf der gesamten Übertragungsstrecke zu verschlüsseln. 802.1X wurde nicht für die Verschlüsselung drahtgebundener Verbindungen, sondern nur für die Verschlüsselung von Verkehr in Drahtlosnetzwerken konzipiert. Aber auch dann, wenn WLAN-Verbindungen verschlüsselt werden, sind die Daten nicht geschützt, sobald die Pakete im Anschluss an die Entschlüsselung durch den WLAN-AP in das interne LAN gelangen. 802.1X ist daher nicht in der Lage, die Anforderung an die Verschlüsselung auf dem gesamten Übertragungsweg (End-to-End) zu erfüllen.

Auch wenn 802.1X nicht alle Sicherheitsanforderungen der Woodgrove Bank erfüllt, kommt das Protokoll für die Absicherung des WLAN-Verkehrs zum Einsatz. Microsoft empfiehlt, 802.1X für die Absicherung von WLANs zu verwenden und bei drahtgebundenen Netzwerken möglichst eine Zugriffssteuerung zu implementieren. Weitere Informationen zum Einsatz von 802.1X finden Sie auf der Wi-Fi-Seite der Microsoft-Website unter https://www.microsoft.com/wifi (in englischer Sprache).

IPSec

IPSec ist das IETF-Standardsicherheitsprotokoll für IP. Es bietet einen allgemeinen, richtliniengestützten Sicherheitsmechanismus auf der IP-Ebene, der sich ideal für die hostweise Authentifizierung eignet. Eine IPSec-Richtlinie verfügt über Sicherheitsregeln und -einstellungen, mit denen der Fluss des IP-Verkehrs gesteuert wird, der bei einem Host ein- und ausgeht. Die Richtlinie kann zentral in Active Directory verwaltet werden, wobei für die Anwendung der Richtlinie auf die Domänenmitglieder Gruppenrichtlinienobjekte zum Einsatz kommen. Mit IPSec lassen sich sichere Verbindungen zwischen Hosts erstellen. Zur Aushandlung der Optionen, wie IPSec für die sichere Kommunikation verwendet werden soll, nutzen die Hosts das Aushandlungsprotokoll IKE (Internet Key Exchange oder Internetschlüsselaustausch). Die Vereinbarungen, die zwei Hosts darüber treffen, wie sie mittels IPSec kommunizieren möchten, sowie die verschiedenen Parameter, die diese Aushandlung definieren, werden Sicherheitszuordnungen oder kurz SAs (von "Security Association") genannt. Bei der IKE-Aushandlung werden eine Hauptmodus-Sicherheitszuordnung ("ISAKMP-SA") und ein Paar Schnellmodus-Sicherheitszuordnungen ("IPSec-SAs" eine für den eingehenden Verkehr, die andere für den ausgehenden Verkehr) eingerichtet. IKE erfordert eine gegenseitige Authentifizierung, um die Hauptmodus-Sicherheitszuordnung einzurichten. Windows-IKE kann eine der folgenden drei Methoden verwenden:

• Authentifizierungsprotokoll Kerberos Version 5
• Digitales X.509-Zertifikat mit entsprechendem Paar aus öffentlichem und privatem RSA-Schlüssel
• Vorinstallierter Schlüssel (eher eine Kennphrase als ein Kennwort)

Der häufigste Grund dafür, dass sich eine Organisation nicht für die Bereitstellung von IPSec entscheidet, liegt in der irrtümlichen Annahme, dass IPSec PKI-Zertifikate voraussetzt, die häufig schwierig bereitzustellen sind. Um die Notwendigkeit einer Infrastruktur öffentlicher Schlüssel (Public Key Infrastructure, PKI) zu vermeiden, hat Microsoft das Aushandlungsprotokoll IKE mit der Windows 2000-Domänenauthentifizierung (Kerberos) versehen.

Die Windows-IKE-Aushandlung kann so konfiguriert werden, dass auch die Kommunikation mit einem Computer möglich ist, der nicht auf die Anforderung zu einer IKE-Aushandlung reagiert. Diese Funktion wird als Zurückgreifen auf unsichere Kommunikation (oder auch "Fallback to clear") bezeichnet und ist während der IPSec-Bereitstellungsphase eine praktische Notwendigkeit. Im normalen Betrieb ist es sinnvoll, vertrauenswürdigen Hosts nur dann die Kommunikation mit nicht vertrauenswürdigen Computern und Geräten zu erlauben, wenn die Verbindungsanforderung vom vertrauenswürdigen Host ausgeht. Für die Beschreibung von Kommunikation, die IPSec mit den Formaten AH (Authentication Header) oder ESP (Encapsulating Security Payload) nicht absichern kann, wird der Begriff schwache Sicherheitszuordnung verwendet. IPSec protokolliert diese Kommunikation mithilfe einer Sicherheitsprotokoll-Erfolgsüberwachung, die die Ziel-IP-Adresse enthält, und überwacht die Verkehrsflussaktivität. Wenn nach einer bestimmten Leerlaufzeit (standardmäßig 5 Minuten) kein Verkehrsfluss mehr stattfindet, muss eine erneute Aushandlung stattfinden, sobald ausgehende Verbindungen hergestellt werden sollen.

IPSec bietet keine Unterstützung für statusbehaftetes Filtern von ausgehendem Verkehr für Verkehr innerhalb einer AH- oder ESP-Sicherheitszuordnung oder für Klartextverkehr in Zusammenhang mit einer schwachen Sicherheitszuordnung. Das heißt, wenn Sie die hier dargebotenen IPSec-Richtlinienentwürfe für die Server- und Domänenisolierung verwenden, ist der vertrauenswürdige Host aufgrund der schwachen Sicherheitszuordnung in der Lage, über einen der offenen Ports eingehende Verbindungen von einem nicht vertrauenswürdigen Computer zu empfangen. Dies ist eine potenzielle Schwachstelle, die von Angreifern ausgenutzt werden könnte. Auf der anderen Seite unterstützt dieser Entwurf auch bestimmte Protokolle, die aushandeln, welche Ports eingehende Verbindungen empfangen. Mithilfe einer hostbasierten Firewall, wie z. B. der Windows Firewall, kann zusätzlich zum IPSec-Schutz auch das statusbehaftete Filtern ausgehender Verbindungen eingerichtet werden. Netzwerkverkehr, der durch IPSec-AH bzw. -ESP ohne Verschlüsselung abgesichert wird, wird nicht als in Klartext angesehen, weil er mit Authentifizierung arbeitet und gegen Spoofing und unbefugte Änderung geschützt ist.

Da IPSec normale IP-Pakete in ein sicheres Format verkapselt, erscheinen die Pakete auf ihrem Weg durchs Netzwerk nicht mehr als TCP- und UDP-Pakete. Beim Versuch, IPSec in der Woodgrove Bank bereitzustellen, hat sich herausgestellt, dass die meisten Netzwerkverwaltungstools davon ausgehen, dass sich Anwendungen problemlos anhand ihrer TCP- bzw. UDP-Portnummern identifizieren lassen (z. B. Port 25 für E-Mail-Verkehr und Port 80 für Webverkehr). Wenn Sie IPSec verwenden, verliert der Verkehr seine Transparenz, und Router und Intrusion-Detection-Systeme sind nicht mehr in der Lage zu erkennen, welche Anwendung verwendet wird, bzw. die Daten im Paket zu prüfen. Aus diesem Faktor ergibt sich ein neuerliches Problem für die Netzwerkverwaltung, da er den Wert der gegenwärtig für die Verkehrsüberwachung, das Sicherheitsfiltern, WFQ (Weighted Fair Queuing) und die QoS-Klassifizierung (Quality of Service) verwendeten Tools reduziert.

Leider sind die Annahmen bezüglich der Sichtbarkeit des Verkehrs nicht in jedem Fall richtig und werden selbst ohne IPSec in wachsendem Maße ungenau. Es wird immer schwerer, aus der Portnummer auf eine bestimmte Anwendung zu schließen. So ist es z. B. möglich, einen Webserver auf einer willkürlich zugeordneten Portnummer auszuführen und die Portnummer im URL der Website zu dokumentieren. Auch die E-Mail-Filtermaßnahmen einiger Internetdienstanbieter (ISPs) lassen sich umgehen, indem Sie einen E-Mail-Dienst über eine alternative Portnummer laufen lassen. Viele P2P-Anwendungen sind portagil, d. h., sie verwenden zufällig ausgewählte Portnummern, um eine Entdeckung zu vermeiden. Anwendungen, die auf RPC-Diensten (Remote Procedure Call, Remoteprozeduraufruf) basieren, sind ebenfalls portagil, da RPC-Dienste für verschiedene Dienste zufällige Ports im kurzlebigen Bereich (oberhalb von 1024) verwenden.

Die wachsende Nutzung von Webdiensten wird aller Wahrscheinlichkeit nach zu Problemen bei der Verkehrsidentifizierung führen, da der Verkehr für diese Dienste auf HTTP bzw. HTTPS aufsetzt und dabei entweder Port 80 oder Port 443 verwendet. Clients und Server verwenden dann den HTTP-URL, um den Verkehr zu identifizieren. Alle Anwendungen, die an eine Webdienstarchitektur übertragen werden, werden von den Routern als einzelner undifferenzierter Datenstrom wahrgenommen, da der Verkehr für diese Webdienste nur über einen einzelnen Port oder einige wenige Ports geleitet wird, statt dass für jede Anwendung bzw. jeden Dienst eine eigene Portnummer zur Verfügung steht. Die Verwendung von SSL und TLS für HTTPS-Verbindungen und RPC-Verschlüsselung reduziert den Nutzen netzwerkbasierter Inspektionen als Verteidigungsmaßnahme gegen Angriffe. Da die Netzwerkverwaltungsanwendungen weiterhin die Adressen der Pakete analysieren konnten und auch der sonstige Verkehr, der nicht durch IPSec abgesichert wurde, sichtbar war, entschied die Woodgrove Bank, dass der partielle Verlust von Netzwerkverwaltungsfunktionen nicht zu einer signifikanten Beeinträchtigung der Pläne für das Projekt führte. Außerdem waren einige Hersteller von Netzwerkverwaltungstools bereit, ihre Tools so zu ändern, dass unverschlüsselte Formen von IPSec-Paketen inspiziert werden.

Die meisten hostbasierten Anwendungen müssen nicht modifiziert werden, um ordnungsgemäß mit IPSec zusammenzuarbeiten, wenn IPSec für die Absicherung des gesamten Verkehrs zwischen IP-Adressen eingesetzt wird. Aufgrund des Risikos von Netzwerkangriffen auf andere Netzwerkdienste versucht die vorliegende Lösung nicht, IPSec nur für spezifische Anwendungen oder Protokolle einzusetzen. Wenn Anwendungen nicht ordnungsgemäß mit IPSec zusammenarbeiten, kann der Administrator möglicherweise diesen Verkehr auf der Basis der für Server verwendeten IP-Adressen außerhalb der IPSec-Absicherung zulassen. Es wird davon abgeraten, Anwendungen auf der Grundlage eines bekannten Ports zuzulassen, da damit eine Lücke in der Absicherung geschaffen wird, die von Angreifern genutzt werden kann, um eingehende Verbindungen zu jedem beliebigen offenen Port herzustellen und somit die Isolierung wirkungslos zu machen. Anwendungen, die dynamisch zugeordnete Ports verwenden, können außerhalb der IPSec-Absicherung nicht zugelassen werden. Anwendungen, die mit Multicast- und Broadcast-IP-Adressierung arbeiten, haben bei der Zusammenarbeit mit dem IPSec-Entwurf für die Server- und Domänenisolierung möglicherweise Probleme. Windows IPSec unterstützt die Fähigkeit, den gesamten Multicast- und Broadcast-Verkehr zuzulassen. Das Filtern nach einzelnen Verkehrstypen ist jedoch nicht möglich. Wenn es Probleme mit der Kompatibilität von Anwendungen gibt, erkundigen Sie sich beim Hersteller, ob bzw. wann ein Patch oder Upgrade verfügbar ist/sein wird, mit dem das Problem behoben wird. Sollte es nicht möglich sein, die Anwendung zu aktualisieren oder gegen eine kompatible Anwendung auszutauschen, können Computer, die diese Anwendung nutzen müssen, nicht in die Isolierungsdomäne oder -gruppe aufgenommen werden.

Zusätzlich zu den Authentifizierungsfunktionen kann IPSec auch noch zwei weitere nützliche Dienste für die Hostkommunikation übernehmen: die Sicherstellung der Adressenintegrität und die Verschlüsselung des Netzwerkverkehrs.

• Sicherstellen der Adressenintegrität. IPSec kann mithilfe von AHs die Daten- und Adressenintegrität für jedes einzelne Paket garantieren. Windows-AH nutzt einen Keyed-Hashing-Mechanismus im Windows IPSec-Treiber. Die Verwendung von AH sorgt dafür, dass Replay-Angriffe verhindert werden, und bietet ein hohes Maß an Integritätsschutz, da kontrolliert wird, dass die einzelnen empfangenen Pakete auf dem Weg vom Sender zum Empfänger nicht geändert wurden. AH kann nicht ordnungsgemäß funktionieren, wenn der Verkehr durch ein Gerät geleitet wird, das mit Netzwerkadressenübersetzung (Network Address Translation, NAT) arbeitet, da NAT die Ausgangsadresse im IP-Header ersetzt und so die Sicherheitsvorgaben von IPSec-AH verletzt.

• Verschlüsseln des Netzwerkverkehrs. IPSec gewährleistet die Integrität und Vertraulichkeit der gesendeten Daten durch Verschlüsselung mittels ESP (Encapsulating Security Payload). ESP bietet zwar keinen Schutz der Adressenintegrität (es sei denn, die Option wird zusammen mit AH verwendet), kann aber so genutzt werden, dass NAT-Geräte per UDP-Verkapselung unbeschadet durchlaufen werden können. Wenn interne Netzwerke mit Geräten segmentiert werden, die NAT verwenden, bietet sich die Verwendung von ESP geradezu an, da ESP keine Paketverschlüsselung erzwingt. Windows IPSec unterstützt RFC 2410, in dem der Einsatz von ESP mit Null-Verschlüsselung (ESP Null) beschrieben wird. ESP Null ermöglicht die Prüfung der Echtheit und Integrität der Daten sowie den Schutz vor Replay-Angriffen ohne Verschlüsselung. Windows Server 2003-Netzwerkmonitor ist in der Lage, unverschlüsseltes ESP zu analysieren, um die normalen TCP/IP-Protokolle auf der höheren Ebene freizulegen. Wenn mit ESP-Verschlüsselung gearbeitet wird, ist eine Überwachung der Pakete nur dann möglich, wenn der Computer über eine IPSec-Hardwarebeschleunigungs-Netzwerkkarte verfügt, die zunächst die eingehenden Pakete entschlüsselt.

  Hinweis

  
  ESP mit Verschlüsselung bzw. Null-Verschlüsselung stellt, wie AH auch, starke IPSec-P2P-Beziehungen mit Authentifizierung bereit. Außerdem bietet die ESP-Option Schutz vor Replay-Angriffen und vor unerwünschten Veränderungen durch NAT-Geräte. Aus diesem Grund hat sich die Woodgrove Bank gegen die Implementierung von AH und für den Einsatz von ESP Null und ESP mit Verschlüsselung in ihrem Unternehmensnetzwerk entschieden.
  

IPSec kann in zwei verschiedenen Modi betrieben werden: im Tunnelmodus und im Transportmodus:

• IPSec-Transportmodus. Der Transportmodus von IPSec ist der empfohlene Modus, wenn es um die Absicherung des Verkehrs auf der gesamten Strecke von einem Host zu einem anderen Host geht. Der IPSec-Treiber fügt einfach an den ursprünglichen IP-Header noch einen IPSec-Header ein. Dabei bleibt der ursprüngliche IP-Header erhalten, und der Rest des Pakets wird entweder durch einen AH- oder einen ESP-Verschlüsselungsalgorithmus verschlüsselt. Die IPSec-Filter steuern, welcher Verkehr von IPSec blockiert, zugelassen oder verkapselt wird. Sie enthalten Informationen zur Quell- und Ziel-IP-Adresse (bzw. zu Subnetzen), zum Protokoll (z. B. ICMP oder TCP) sowie zum Quell- und Zielport. Filter können daher sehr spezifisch für nur einen Computer oder aber für alle möglichen Zieladressen und Protokolle gelten. Der Transportmodus ist so ausgelegt, dass er durch automatisches Aktualisieren von Filtern, die mit "Eigene IP-Adresse" konfiguriert wurden, dynamische IP-Adressen ermöglicht. Bei ihm fällt weniger Verwaltungsaufwand an, und er ist insgesamt wesentlich einfacher in der Anwendung als der IPSec-Tunnelmodus. Die Aushandlung des Transportmodus ist daher eine effiziente Methode, um mit IPSec abgesicherte eingehende Verbindungen zu autorisieren. Bei der Verwendung des IPSec-Transportmodus können die folgenden Probleme auftreten:
  • Anfängliche Verzögerung. IKE benötigt 1 bis 2 Sekunden, um die Aushandlung zu starten und abzuschließen. Während der fortdauernden Kommunikation versucht IKE automatisch, die Verschlüsselungsschlüssel zu aktualisieren, mit denen der Verkehr geschützt wird.
  • Vorgegebene Prioritätsreihenfolge für Filter. IPSec-Richtlinienfilter können sich überlagern und damit eine vorgegebene Prioritätsreihenfolge haben, wobei der spezifischste Filter zuerst angewendet wird. Daraus ergibt sich das Erfordernis, dass beide Seiten in einer Kommunikation über einen kompatiblen Satz von IPSec-Transportmodusfiltern für die IKE-Aushandlung verfügen müssen. So verwendet diese Lösung z. B. einen allgemeineren Filter für den "gesamten Verkehr", der die IPSec-Sicherheitseinstellungen aushandelt, sowie einen spezifischeren Filter, mit dem nur ICMP-Verkehr zugelassen wird, statt diesen Verkehr mit IPSec abzusichern.
  • Ressourcenbeanspruchung. Die Verschlüsselung im IPSec-ESP-Transportmodus kann sehr hohe Ansprüche an die Ressourcen stellen. Beim Kopieren von verschlüsselten Dateien steigt die CPU-Auslastung leicht auf Spitzenwerte von 80 % bis 100 %. Windows 2000, Windows XP und Windows Server 2003 bieten Unterstützung für Netzwerkkarten, die die IPSec-Verschlüsselung auf der Hardwareebene beschleunigen.
• IPSec-Tunnelmodus. Der IPSec-Tunnelmodus wird typischerweise für VPN-Tunnel zwischen statischen IP-Adressen von VPN-Gateways verwendet. Er erstellt so einen neuen IP-Header mit einem IPSec-Header. Das Originalpaket mit dem ursprünglichen IP-Header wird komplett verkapselt, um auf diese Weise ein Tunnelpaket zu bilden. Bei der Server- und Domänenisolierung kann der Tunnelmodus zur Absicherung des Verkehrs von einem statischen IP-Server zu einem IPSec-fähigen Router verwendet werden. Dies kann sich erforderlich machen, wenn der Zielhost keine IPSec-Unterstützung bietet. Bei der Woodgrove Bank gab es kein Szenario, bei dem der Tunnelmodus erforderlich war.

Weitere Informationen zu den technischen Details für Transport- und Tunnelmodus in IPSec finden Sie im Abschnitt Determining Your IPSec Needs des Kapitels "Deploying IPsec" im Bereich "Deploying Network Services" des Windows Server 2003 Deployment Kit unter www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/ (in englischer Sprache).
en-us/dnsbj_ips_wclw.asp.

Hostautorisierung

Nachdem der Host ermittelt hat, dass die empfangene Kommunikation von einer überprüfbaren Quelle stammt, muss er bestimmen, ob er dem Quellcomputer und -benutzer den Zugriff gestatten soll. Dieser Schritt ist deshalb so wichtig, weil der Umstand allein, dass ein Gerät zur Authentifizierung in der Lage ist, keine Garantie dafür darstellt, dass ihm auch der Zugriff auf einen bestimmten Host gewährt wird.

Microsoft empfiehlt die Verwendung von Standard-Windows-Gruppen, um zu verhindern, dass Benutzer und Computer uneingeschränkt auf die Ressourcen auf anderen Computern im Entwurf zugreifen können. Bei dieser Methode wird eine neue Authentifizierungsebene für die Computerkonten und die Benutzerkonten auf Netzwerk- und Anwendungsebene erstellt, wobei Berechtigungen für die zugewiesenen Benutzerrechte der lokalen Richtlinie auf dem Host zum Einsatz kommen, auf den zugegriffen werden soll. Durch die Verwendung der Benutzerrechtezuweisungen "Auf diesen Computer vom Netzwerk aus zugreifen" (ZULASSEN) und "Zugriff vom Netzwerk auf diesen Computer verweigern" (VERWEIGERN) lässt sich die Fähigkeit von Computern und Benutzern einschränken, auf Ressourcen zuzugreifen, auch wenn diese dieselben IPSec-Richtlinienparameter aufweisen und der angemeldete Benutzer Zugriffsrechte für die Ressource hat. Dieses zusätzliche Maß an Steuerungsmöglichkeiten ist für den Isolierungsansatz, der in dieser Lösung beschrieben wird, von grundlegender Bedeutung.

Die Gruppenfunktionen von Active Directory organisieren die Computer und Benutzer so, dass die erforderlichen Autorisierungsstufen auf einer verwaltbare und skalierbare Art und Weise zugewiesen werden können. Zur besseren Unterscheidung der Gruppen, die speziell für den Erhalt einer Hostzugriffsberechtigung erstellt wurden, von den Gruppen, die über die Standardberechtigungen für den Freigabezugriff verfügen, wird in diesem Leitfaden der Begriff Netzwerkzugriffsgruppen (Network Access Group, NAG) verwendet.

Die folgende Abbildung zeigt die Hauptschritte im gesamten Prozess zur Host- und Benutzerautorisierung der Lösung.

Abbildung 2.2: Benutzer- und Hostautorisierungsprozess

Bild in voller Größe anzeigen

Abbildung 2.2 zeigt einen aus fünf Schritten bestehenden Prozess (siehe folgende Liste), der im Anschluss an die Implementierung der Isolierungslösung bei allen Netzwerkkommunikationen befolgt wird.

1. Benutzerversuche, auf eine Freigabe auf dem Abteilungsserver zuzugreifen. Ein Benutzer, der auf dem Clientcomputer angemeldet ist, versucht, auf eine Freigabe auf einem vertrauenswürdigen Host innerhalb der logischen Isolierungslösung zuzugreifen. Durch diese Aktion versucht der Clientcomputer mittels des Protokolls zur Dateifreigabe (typischerweise SMB-Protokoll über TCP-Zielport 445) eine Verbindung zum vertrauenswürdigen Host herzustellen. Dem Client wurden im Rahmen der Lösung IPSec-Richtlinien zugeordnet. Die Anforderung für eine ausgehende TCP-Verbindung führt zu einer IKE-Aushandlung mit dem Server. Der Client erhält ein Kerberos-Ticket für die Authentifizierung gegenüber dem Server.

2. Aushandlung des IKE-Hauptmodus. Nachdem der Server vom Clientcomputer die anfängliche IKE-Kommunikationsanforderung erhalten hat, authentifiziert der Server das Kerberos-Ticket. Während der Authentifizierung prüft IKE, dass der Clientcomputer über die erforderlichen Hostzugriffsrechte gemäß den ZULASSEN- bzw. VERWEIGERN-Benutzerrechten in der Gruppenrichtlinie verfügt. Wenn dem Clientcomputer die erforderlichen Benutzerrechte zugewiesen sind, wird die IKE-Aushandlung abgeschlossen, und es wird eine Hauptmodus-Sicherheitszuordnung eingerichtet.

3. Aushandlung der IPSec-Sicherheitsmethode. Nachdem die IKE-Aushandlung über die Hauptmodus-Sicherheitszuordnung abgeschlossen wurde, werden die Sicherheitsmethoden der IPSec-Richtlinie überprüft, um mittels Sicherheitsmethoden für IPSec-SAs, die für beide Hosts akzeptabel sind, eine Verbindung auszuhandeln.

   Das folgende Flussdiagramm illustriert den vollständigen Prozess aus den Schritten 2 und 3:

   

   Abbildung 2.3: Überprüfung der Computer-Hostzugriffsberechtigung

   Bild in voller Größe anzeigen

4. Benutzer-Hostzugriffsberechtigungen für Benutzer geprüft. Nachdem die IPSec-geschützte Kommunikation hergestellt ist, führt das SMB-Protokoll mithilfe des Clientbenutzerkontos die Authentifizierung durch. Auf dem Server wird überprüft, ob das Benutzerkonto die erforderlichen Zugriffsberechtigungen für den Host besitzt, die in den Benutzerrechten ZULASSEN und VERWEIGERN in der Gruppenrichtlinie für den vertrauenswürdigen Host zugewiesen sind. Das folgende Flussdiagramm veranschaulicht diesen Prozess:

   

   Abbildung 2.4: Überprüfung der Benutzer-Hostzugriffsberechtigung

   Bild in voller Größe anzeigen

   Wenn das Benutzerkonto über die erforderlichen Benutzerrechte verfügt, wird der Prozess abgeschlossen, und es wird das Benutzeranmeldetoken erstellt. Nach Abschluss dieses Prozesses ist die Lösung zur logischen Isolierung mit ihren Sicherheitsüberprüfungen fertig.

5. Freigabe- und Dateizugriffsberechtigungen geprüft. Zum Schluss prüft der Server die Windows-Standardfreigabe- und -dateizugriffsberechtigungen, um sicherzustellen, dass der Benutzer Mitglied einer Gruppe ist, die die erforderlichen Berechtigungen für den Zugriff auf die vom Benutzer angeforderten Daten besitzt.

Durch die Verwendung von Netzwerkzugriffsgruppen kann in der Lösung ein außerordentlich hohes Maß an Kontrolle erzielt werden.

Das folgende Szenario stellt ein praktisches Beispiel dafür dar, wie die Schritte in der Lösung zur logischen Isolierung funktionieren:

Während einer Sitzung schließt ein Subauftragnehmer seinen tragbaren Computer an einen Netzwerkanschluss in einem Konferenzraum an, um einige Daten auf eine Freigabe eines Mitarbeiters auf dem Personalabteilungsserver zu kopieren. Frau Thomas aus der Personalabteilung teilt dem Subauftragnehmer den Pfad zu dieser Freigabe auf dem Personalabteilungsserver mit. Da es sich bei dem Computer des Subauftragnehmers nicht um einen bekannten bzw. vertrauenswürdigen Host handelt, wird der Computer auch nicht von der IT-Abteilung verwaltet, und es ist nicht bekannt, welche Sicherheitsvorkehrungen auf dem tragbaren Computer getroffen wurden. Die Dateien können also möglicherweise gefährlichen Code enthalten und damit zum Infektionsherd für die organisationsinternen Computer werden. Beim Versuch, eine Verbindung zum Personalabteilungsserver herzustellen, scheitert der Computer des Subauftragnehmers an Schritt 2 dieses Prozesses. Die Computer können keine IKE-Hauptmodus-SA aushandeln, weil der tragbare Computer das erforderliche Kerberos-Ticket nicht bereitstellen kann, das zum Überprüfen der Anmeldedaten des Computers benötigt wird. Damit ist er kein Bestandteil einer vertrauenswürdigen Domäne. Die IPSec-Richtlinienanforderungen der Isolierungsgruppe, zu der der Personalabteilungsserver gehört, erlauben es dem Server nicht, mit einem Host zu kommunizieren, der IPSec nicht verwendet. Sämtliche Kommunikationsversuche von diesem nicht vertrauenswürdigen Computer werden daher blockiert. Zusammenfassend kann gesagt werden, dass die Lösung zur logischen Isolierung dazu beiträgt, die IT-Infrastruktur vor der Bedrohung durch nicht vertrauenswürdige und nicht verwaltete Computer zu schützen, und zwar auch dann, wenn diese Computer physischen Zugriff auf das interne Netzwerk haben.

Dieses Beispiel zeigt, wie die Isolierung hostweise erzielt werden kann. Eine weitere wichtige Anforderung, die die Lösung erfüllen muss, besteht darin, die Isolierung zu reduzierten Verwaltungskosten bereitzustellen. Es ist möglich, Computer auf die gleiche Weise wie Benutzer zu Gruppen zusammenzufassen und diesen Gruppen dann in der lokalen Richtlinie der einzelnen Computer die Benutzerrechte ZULASSEN bzw. VERWEIGERN zuzuweisen. Die Verwaltung gestaltet sich bei einer solchen Herangehensweise jedoch schwierig, und auch eine Erweiterung ist ohne die Verwendung der Zentralisierungsfunktionen von Gruppenrichtlinien und Active Directory nicht so ohne weiteres möglich. Darüber hinaus sind umfangreiche Kenntnisse zu den erforderlichen Kommunikationspfaden nötig. Außerdem bietet dieser Ansatz allein weder eine starke Authentifizierung noch die Möglichkeit der Datenverschlüsselung. Wenn diese Hostzugriffsberechtigungen mit IPSec gekoppelt werden und die Hosts in Isolierungsgruppen eingeteilt sind, werden die Beziehungen zwischen den Gruppierungen deutlicher, und die Kommunikationspfade lassen sich leichter definieren (nachdem die Anforderungen klar dokumentiert wurden). Weitere Informationen zum Entwurf und Framework für Isolierungsgruppen finden Sie in Kapitel 4, "Entwerfen und Planen von Isolierungsgruppen".

Zum Seitenanfang

Wovor kann die Server- und Domänenisolierung schützen?

Bei der Server- und Domänenisolierung geht es darum einzuschränken, wie die Computer untereinander und mit Geräten kommunizieren dürfen, die versuchen, eine Kommunikation zu initiieren. Diese Einschränkungen basieren auf der Festlegung von Voraussetzungen, die erfüllt sein müssen, damit ein Gerät als vertrauenswürdig gilt, und ziehen damit eine Art Grenze um den Host. Das Festlegen von Maßnahmen zum Schutz der Grenze, wie Authentifizierung, Autorisierung und Prüfung des Netzwerkstandorts, mithilfe einer IPSec-Richtlinie, ist ein effektives Mittel zur Abwehr vieler Bedrohungen. Auch wenn es sich bei IPSec um keine vollständige Sicherheitsstrategie handelt, bietet dieser Ansatz doch eine zusätzliche Verteidigungslinie im Rahmen einer Gesamtsicherheitsstrategie.

Der folgende Abschnitt enthält Beschreibungen für einige typische Bedrohungen sowie eine kurze Erörterung des Themas "Erstellen von Bedrohungsmodellen". Weitere Informationen zu vertrauenswürdigen Geräten im Woodgrove Bank-Szenario und zu dem Entwicklungsprozess, anhand dessen Woodgrove Computer als vertrauenswürdig eingestuft hat, finden Sie im Abschnitt "Bestimmung der Vertrauensstellung" in Kapitel 3, "Ermitteln des aktuellen Status der IT-Infrastruktur".

Modellieren und Kategorisieren von Bedrohungen

In den letzten Jahren sind die Angriffe auf netzwerkbasierte Anwendungen und Server deutlich häufiger und komplexer geworden. Interessanterweise haben sich dabei sowohl die Arten und Stile der Angriffe als auch die grundlegenden Methoden zu deren Abwehr relativ wenig geändert. Einige Funktionen und Methoden zur Implementierung dieser Verteidigungsmaßnahmen haben sich hingegen durchaus geändert. Bevor Sie sich mit der für eine Lösung zur Server- und Domänenisolierung erforderlichen Planung beschäftigen, sollte Ihre Organisation eine detaillierte Risikoanalyse der vorhandenen Bedrohungen durchführen und ermitteln, welche Technologien und Prozesse eingesetzt werden können, um diesen Bedrohungen zu begegnen.

Im Laufe der Jahre sind zahlreiche Prozesse dokumentiert worden, anhand derer die Bedrohungen für eine Organisation identifiziert, kategorisiert und beziffert werden können. Diese Dokumentationen enthalten oft eine Methodik, mit deren Hilfe häufige Geschäfts-, Umgebungs- und technische Bedrohungen für eine Organisation analysiert werden können. Microsoft verwendet zur Erstellung von Bedrohungsmodellen die "STRIDE"-Methode. Das Wort STRIDE setzt sich aus den Anfangsbuchstaben der englischen Begriffe für die Kategorien der Bedrohungen zusammen, gegen die eine Absicherung erforderlich ist:

S Spoofing (Nachahmen der Identität)

T Tampering (unbefugte Änderung von Daten)

R Repudiation (Abstreitbarkeit)

I Information Disclosure (Verlust der Vertraulichkeit von Informationen)

D Denial-of-Service (Dienstverweigerung)

E Elevation-of-Privilege (unbefugte Erhöhung von Berechtigungen)

Es ist wichtig, in die Definition des Bedrohungsmodells genügend Zeit und Ressourcen zu investieren, damit dieses Modell die Gegebenheiten so genau wie möglich darstellt, so dass auch wirklich alle Ressourcen abgesichert werden können, die eines Schutzes bedürfen. Eine Erläuterung der konkreten Bedrohungen und Angriffe, denen mit einer Server- und Domänenisolierung entgegengewirkt werden kann, finden Sie in Anhang D, "IT-Bedrohungskategorien", in diesem Leitfaden. Eine ausführliche Beschreibung der Bedrohungsmodelle finden Sie in Kapitel 2, "Defining the Security Landscape", der Lösung Microsoft Solution for Securing Windows 2000 Server, die unter der folgenden Adresse zum Download bereitsteht: www.microsoft.com/technet/security/prodtech/win2000/secwin2k/02defsls.mspx (in englischer Sprache).

Zum Seitenanfang

Wie lässt sich die Server- und Domänenisolierung bereitstellen?

Nachdem Sie sich einen Überblick über die Bedrohungen für Ihre Organisation verschafft haben und Ihnen klar geworden ist, wie die Lösung zur Reduzierung dieser Bedrohungen beitragen kann, muss im nächsten Schritt überlegt werden, wie eine solche Lösung bereitgestellt werden kann. In diesem Abschnitt wird beschrieben, wie dieser Bereitstellungsprozess stattfinden kann.

Sammeln von Informationen

Als Allererstes, noch bevor Sie mit dem Entwurfsprozess beginnen, müssen Sie sich ein aktuelles und genaues Bild über den gegenwärtigen Zustand des Netzwerks in Ihrer Organisation verschaffen, das alle Arbeitsstationen- und Serverkonfigurationen sowie Kommunikationspfade umfasst. Eine effektive Lösung für die logische Isolierung kann nur entwickelt werden, wenn genau bekannt ist, was die Lösung eigentlich schützen soll.

Kapitel 3, "Ermitteln des aktuellen Status der IT-Infrastruktur", enthält eine detaillierte Beschreibung, wie Sie die Informationen zum aktuellen Zustand Ihres Netzwerks und der darin vorhandenen Geräte zusammentragen können. Dabei erhalten Sie alle Informationen, die Sie für die nachfolgenden Kapitel dieser Lösung benötigen. Diese Informationen können aber auch für andere Projekte in Ihrer Organisation von Nutzen sein. Vor allem wird Ihre Organisation dank dieses Ermittlungsprozesses in die Lage versetzt, die erforderlichen Kommunikationspfade für ihre Informationssysteme genau zu analysieren und zu untersuchen und somit fundierte Entscheidungen zu Kompromissen zu fällen, die bei der Abwägung zwischen den Risiken, Kommunikationsanforderungen und Geschäftsanforderungen nötig werden könnten.

Überblick über den IPSec-Bereitstellungsprozess

Nachdem Sie sich für einen Entwurf entschieden und diesen erstellt haben, muss als Nächstes ein Prozess eingerichtet werden, mit dem der Entwurf umgesetzt wird, wobei darauf zu achten ist, dass dieser Prozess verwaltbar ist und die Arbeit der Benutzer so wenig wie möglich beeinträchtigt. In Kapitel 4, "Entwerfen und Planen von Isolierungsgruppen", finden Sie detaillierte Erläuterungen, wie sich dies erreichen lässt. Die Grundzüge dieses Prozesses können jedoch wie folgt zusammengefasst werden:

1. Testen des Entwurfs und der IPSec-Richtlinien in einer Testumgebung. Sie sollten die vorgeschlagenen IPSec-Richtlinien in einer isolierten, Nicht-Produktionsumgebung testen, um sicherzustellen, dass der Entwurf den Erwartungen entsprechend funktioniert, und um ihn auf Probleme zu überprüfen, die sich aus den Richtlinieneinstellungen oder Bereitstellungsmechanismen ergeben könnten.
2. Bereitstellen des getesteten und genehmigten Entwurfs in einer Pilotumgebung. Wenn das Team sicher ist, dass der Entwurf in der Testumgebung erwartungsgemäß funktioniert, muss als nächster Schritt eine begrenzte Anzahl von Computern ausgewählt werden, auf denen eine Pilotbereitstellung der Lösung in einer Produktionsumgebung erfolgt. Die ausgewählten Computer und Benutzer sollten auf proaktive Weise unterstützt werden, um sicherzustellen, dass alle während der Testphase auftretenden Probleme so wenig wie möglich die Arbeitsfähigkeit der Benutzer beeinträchtigen.
3. Implementieren eines phasenbasierten Rollouts der Lösung. Der letzte Schritt des Prozesses besteht darin, anhand eines Plans den Entwurf in der restlichen Organisation zu implementieren. Vorsicht, dies ist kein einfacher Schritt! Die Planung dieses Schrittes sollte mit großer Sorgfalt erfolgen. Es kann passieren, dass ein entwickelter Entwurf (mit nur einer einzigen Änderung in einer IPSec-Richtlinie) auf vielen Computern dazu führt, dass sie nicht mehr auf die Netzwerkressourcen zugreifen können. Durch Testen und Organisieren Ihres Bereitstellungsplans sollten Sie daher sicherstellen, dass die Änderungen durch die Lösung so implementiert werden, dass, falls ein Konfigurations- oder Entwurfsfehler während der Testphase unentdeckt geblieben ist, die Rückkehr zu einem bekanntermaßen funktionierenden Status schnell möglich ist.

Kapitel 4, "Entwerfen und Planen von Isolierungsgruppen", enthält detaillierte Informationen zum Entwurfsprozess für die Isolierungsdomäne und zu den Möglichkeiten eines phasenbasierten Rollouts der Lösung.

Zum Seitenanfang

Zusammenfassung

In diesem Kapitel wurden die Ziele und Prozesse erläutert, auf denen die in diesem Leitfaden vorgestellte Lösung basiert. Obwohl IT-Experten sich bereits seit vielen Jahren der Vorteile von IPSec bewusst sind, sind viele von ihnen aufgrund des komplexen Charakters der Technologie einer Implementierung bisher aus dem Weg gegangen. Wenn die Lösung ohne soliden Entwurf, ohne durchgeplante Bereitstellung und ohne zuverlässige Testmethodik umgesetzt wird, können sich auch aus einer IPSec-Implementierung ernsthafte Konsequenzen ergeben.

Die Anleitungen in diesem Kapitel sollten vermitteln, dass durch logische Isolierung eine zusätzliche Sicherheitsebene geschaffen wird, die durch eine Kombination der Server- und Domänenisolierungsverfahren mit der Funktionalität der Windows-Plattform, IPSec, Gruppenrichtlinien und Active Directory eine verwaltbare und skalierbare Unternehmenslösung bereitstellt, die die Risiken für die Datenressourcen deutlich reduziert.

Die verbleibenden Kapitel beschäftigen sich mit den einzelnen Phasen zum Planen und Implementieren dieser Lösung. Kapitel 6, "Verwalten einer Server- und Domänenisolierungsumgebung", enthält Verfahren, die Sie für die alltägliche Ausführung einer Betriebsumgebung mit Server- und Domänenisolierung implementieren können. In Kapitel 7, "Problembehandlung für IPSec", finden Sie Informationen zu Unterstützungsmöglichkeiten sowie zur Fehlersuche und -beseitigung.

Zum Seitenanfang

| Home | Technische Artikel | Community