 |
Remote-Zugang
Der Zugang zum Netz über Wählleitungen (analoges Telefon, ISDN, xDSL) erfolgt
normalerweise über einen oder mehrere Remote Access Server (RAS), in Einzelfällen auch üner einen Rechner mit angeschlossenem Modem, ISDN-Karte oder xDSL-Anschluß. Deren Aufgabe ist es, ankommende digitale oder analoge Anrufe entgegenzunehmen, eine Benutzerauthorisierung durchzuführen und, falls diese erfolgreich war, die Verbindung des anrufenden Rechners mit dem internen Datennetz freizugeben. Der ferne Rechner verhält sich dann so, als ob er direkt am Datennetz angeschlossen wäre. Als Übertragungsprotokoll wird in der Regel PPP (Point to Point Protokoll, erlaubt IP- und IPX-Verbindungen), SLIP (Serial Line Internet Protokoll, veraltet, nur für IP-Verbindungen) und ggf. ARAv2 (Apple Remote Access Version 2) angeboten.
Ein spezieller Terminalserver-Modus gestattet es, sich mit einem normalen
Terminalprogramm (z.B. Hyperterminal, Kermit, usw.) auf dem Access Server anzumelden
und von dort aus Telnetverbindungen aufzubauen. IP Adressen werden normalerweise aus
einem IP Adresspool vergeben. Oft werden auch virtuelle Verbindungen
unterstützt. Diese erlauben den physikalischen Abbau von Verbindungen, wenn gerade
keine Daten übertragen werden, ohne daß die logische Verbindung verloren geht.
Die Verbindung wird automatisch mit den gleichen Parametern wie vorher wieder aufgebaut,
wenn Daten wieder übertragen werden müssen. Für die
standardisierte Authentifizierung am Modem- und am Internetzugang setzt sich zunehmend
das RADIUS-Protokoll (Remote Authentication and Dial-In User Service) durch. Seine
Client-Proxy-Server-Architektur erlaubt die flexible Positionierung an Netzzugangspunkten
und wird von fast allen Herstellern von Modemservern unterstützt. In Kombination mit
DHCP und PPP ist die Aufgabe der Konfiguration der anwählenden Endsysteme in
automatisierter Weise gelöst. Der Radius-Server ist ein zentraler
Authentifizierungs-Server, an den sich alle RAS-Server wenden. Auf diese Weise lassen
sich unabhängig von der Netz-Infrastruktur alle Remote-User zentral verwalten und
Benutzerprofile mit Zugangsrestriktionen definieren, aber auch zusätzliche
Sicherheitsverfahren vorsehen. Beispielsweise kann festgelegt werden, dass der Nutzer
nur nach einem Rückruf durch den Einwahlknoten an eine zuvor vereinbarte Rufnummer
Zugriff auf das Unternehmensnetzwerk bekommen darf. Diese Informationen übergibt
der Radius-Server an den RA-Server, der das weitere Login entsprechend koordiniert. Der
Vorteil dieses Verfahrens liegt in den einmalig generierten Zugangsdaten der Nutzer,
die auch in verteilten Netzwerken jederzeit aktuell verfügbar sind und mit einfachen
administrativen Eingriffen an zentraler Stelle definiert und verändert werden
können. Darüber hinaus ist die innerbetriebliche Abrechnung der Nutzung des
Systems durch ein entsprechendes Accounting möglich.
Das Radius-Protokoll setzt auf UDP auf. Die Struktur eines Radius-Pakets ist ausgesprochen
einfach. Es besteht aus fünf grundlegenden Elementen:einem Radius-Code, einem
Identifier, einer Angabe zur Paketlänge, einem Authenticator und gegebenenfalls aus
einer Reihe von Attributen. Der Radius-Code beschreibt die Aufgabe des Datenpakets. Die
Codes 1, 2 und 3 verwalten den reinen Access vom Request bis zur Bestätigung oder
Abweisung. Die Codes 4 und 5 dienen dem Accounting. Der Identifier ist acht Bit lang
und dient der Zuordnung von Anfragen und Antworten. Das sicherheitstechnisch wichtigste
Feld eines Radius-Rahmens ist der Authenticator, der eine Länge von 16 Oktetts
beziehungsweise vier 32-Bit-Worten hat. Dabei wird zwischen dem Request Authenticator
und dem Response Authenticator unterschieden. Inhalt des Request Authenticators ist eine
Zufallszahl, die das gesamte Feld ausfüllt. Die Länge dieser Zufallszahl
gewährleistet mit einer sehr hohen Wahrscheinlichkeit die Einmaligkeit dieses Wertes.
Damit bietet das System einen gewissen Schutz vor Hackerattacken. Mit dem Versand des
Request Authenticators werden die Zugangsdaten des Nutzers, der sich im gesicherten
Netzwerk anmelden möchte, als Attribute übergeben. Der Radius-Server wird
diese Anfrage entweder mit einer Access-Accept-, Access-Reject- oder
Access-Challenge-Nachricht beantworten, die ihrerseits mit einem 16 Oktett langen
Response Authenticator versehen ist. Dieser ist ein MD5-Hash-Fingerprint setzt sich
zusammen aus dem empfangenen Radius-Paket einschließlich der Attribute sowie
den geheimen Zugangsdaten, die auf dem Server abgelegt sind, zusammensetzt. Die
Attribute eines Radius-Pakets beinhalten alle wichtigen Informationen, die zwischen
dem RAS und dem Radius-Server ausgetauscht werden müssen. Aufgrund dieser Werte
wird dann der Benutzer vom RAS akzeptiert oder zurückgewiesen.
Der Remote angemeldete Benutzer kann nach der Authentisierung auf alle Serverdienste
innerhalb des Firmennetzes zugreifen. Problematisch wird es, wenn auch ein
administrativer Zugriff auf die Server erfolgen soll. Bei Servern auf UNIX- oder
Linux-Basis ist der Zugang über Telnet möglich. Der Administrator hat
dann ein Terminal-Fenster mit textbasiertem Dialog auf seinem lokalen Rechner und
kann per Kommandozeilen alle Aufgaben erledigt. Da beim Telnet-Protokoll alle
Informationen im Klartext übertragen werden, ist es auf jeden Fall ratsam,
statt Telnet die 'Secure Shell' (SSH) zu verwenden, bei der alle Datendialoge
verschlüsselt erfolgen. Ist der Rechner des Administrators mit einer grafischen
Oberfläche (X Window System) ausgestattet, können die Arbeiten des
Administrators auch grafisch erfolgen.
Bei Windows-Servern ist die Fernadministration schon schwieriger. Bei Windows NT
ist man auf Fernwartungs-Programme wie "Pcanywhere" von Symantec oder das kostenlose
Hackertool "BackOrifice"
(http://www.cultdeadcow.com/tools/bo.html)
angewiesen. Die Installation von Windows 2000 ist in bezug auf Kommandozeilen-Utilities
für die Remote-Administration etwas mangelhaft. Unter Windows 2000 wurde für
die Fernadministration von Servern ein Remoteverwaltungstool entwickelt, der in den
Termenial-Server Diensten integriert wurde. Bei Windows 2000 wurden zum Unterschied
zu Windows NT die Terminalserverdienste schon integriert. Der Terminaldienst kann in
zwei Betriebsmodi installiert werden, im "Remoteverwaltungsmodus" oder im
"Anwendungsmodus".
- Der "Remoteverwaltungsmodus" ist ausschließlich für die Fernadministration
der Server gedacht. Darum sind hierfür auch keine extra Lizenzen erforderlich. Die
Anzahl der möglichen Verbindungen zum Server sind begrenzt.
- Der "Anwendungsmodus" entspricht dem ehemaligen Terminal-Server weshalb für
diesen Modus auch entsprechende Client-Lizenzen erforderlich sind. Hier können dann
aber auch 32-Bit-Anwendungen über diesen Modus ausgeführt werden.
Auch der Telnetserver kann zur Fernadministration benutzt werden. Unter Windows NT
gab es nur einen Telnet-Client und der Telnet-Server mußte aus dem Resource-Kit
oder anderen Tools genommen werden. Windows 2000 liefert nun auch einen Terminal-Server
mit, welcher automatisch mit installiert wird, aber noch als Dienst aktiviert werden
muß. Der Telnetserver bietet aber nur eine Befehlszeile, wogegen beim
Terminalserver auch die grafischen Administrationstools benutzen werden können.
|
|
|
DIENSTE
