Fernzugriff auf Unternehmensnetze in Zeiten von Windows 7 Möglichkeiten und Grenzen der...

Fernzugriff auf Unternehmensnetze in Zeiten von Windows 7

Möglichkeiten und Grenzen der verschiedenen Windows-Bordmittel für Remote-AccessJürgen Höfling, IT-Fachjournalist

Fernzugriff mit VPN (1)

Der Fernzugriff (Remote-Access) auf das Firmennetzwerk sorgt im Zeitalter der IT-Nomaden für produktiveres Arbeiten

Fernzugriff mit VPN(2)

Die VPN-Verbindung („Tunnel“) ist sicher– durch Verschlüsselung – Authentifizierung

Fernzugriff mit VPN(3)

Große Protokoll-Vielfalt bei VPN L2TP = Layer 2 Tunneling Protocol PPTP = Point to Point Tunneling Protocol TSL/SSL= Transport Layer Security/ Secure Sockets Layer

Fernzugriff mit VPN(4)

SSH = Secure Shell Protocol IPSec = Internet Protocol Security IKEv1 und IKEv2 = Internet Key Exchange

Protocol MOBIKE = Mobility and Multihoming Protocol

Bordverpflegung ist kein 8-Gänge-Menü • Der in Win2k, XP, Vista eingebaute VPN-

Server erlaubt nur eine Verbindung.

VPN mit Windows-Bordmitteln(1)

VPN mit Windows-Bordmitteln(2)

• Die verwendete Protokoll-Kombination IPSec/L2TP erfordert entweder einen Windows-Server oder ein IPSec-Gateway, das auch L2TP kann

• Schlüsselaustauschprotokoll IKEv1“beißt“ sich mit NAT

VPN mit Windows-Bordmitteln(3)

Fazit: Das Verfahren taugt allenfalls als Notlösung zwischen zwei gleichartigen Windows -Rechnern, die nur ab und zu benutzt wird.

VPN mit Windows-Bordmitteln(4)

Erweiterte Bordverpflegung am Klapptisch• In Windows 7 kann der IPSec-VPN-Client mit

beliebigen VPN-Gateways kommunizieren• IKEv2 macht den Schlüsselaustausch einfacher• MOBIKE macht die Kommunikation mit mobilen

Geräten einfacher

VPN mit Windows-Bordmitteln(5)

Dennoch: Das VPN-Gateway von Microsoft („Routing and Remote Access) in Windows Server 2008 hat kein automatisiertes Tunnelmanagement und ist nicht mit anderen MS-Infrastrukturen verzahnt

Direct Access (1)

Freie Fahrt mit DirectAccess? Na ja!

Direct Access (2)

• Das VPN baut sich automatisch auf• Automatische Verbindungswiederherstellung• Durchgängige Authentifizierung und

Verschlüsselung• Management der Client-Rechner

Direct Access (3)

• Funktioniert nur mit Windows 7 Enterprise oder Ultimate sowie Windows Server R2

• Funktioniert nur mit Rechnern in derselben Domain

• Funktioniert nur in einem IPv6-affinen Kontext

Direct Access (4)

• Umsetzungsprozeduren von IPv4 auf IPv6 erzeugen Aufwand und Unsicherheiten

• Sicherheitsstrategie Forefront Unified Access Gateway erst im Betastadium

Direct Access (5)

DirectAccess als goldener MS-Käfig,denn DA basiert gänzlich auf einer MS-Infrastruktur (AD, Zertifikate)

DA als „Next Generation VPN“?

Neue Gestade, allerdings am MS-BinnengewässerDirectAccess kann in einem reinen MS-Infrastruktur-Umfeld interessant sein.

Anforderungen an Next Generation VPN (1)

VPN über Windows 7 und DA hinaus• Unabhängigkeit von Betriebssystem und

VPNGateway • Eine einzige Oberfläche für verschiedene

Zugriffsszenarien

Anforderungen an Next Generation VPN (2)

• Durchsetzung der Sicherheitsrichtlinien auf den Clients

• Personal Firewall• Zentrales Management• Revisionssichere Sicherheits-Dokumentation

Anforderungen an Next Generation VPN (2)

• Schnelles Ein- und Aussteuern von Nutzern („Fluktuationsmanagement“)

• Weiterverwendbarkeit vorhandener Infrastrukturen (AD, LDAP, RADIUS)

• Starke Authentifizierung

Anforderungen an Next Generation VPN (4)

• Einstellbare Service-Qualität (Priorität bestimmter Anwendungen)

• Zukunftssicherheit, das heißt frühzeitige Verfügbarkeit der VPN-Lösung für neue Betriebssysteme

Resümee

Gourmet-Bordmenü auf Klapptischen?

Die Bordverpflegung in puncto Fernzugriff bzw. VPN wird bei Microsoft zwar immer reichhaltiger, aber umso mehr wird die Enge der Klapptische spürbar.

Vielen Dank! Haben Sie Fragen?

Referent: Jürgen Höfling E-Mail: jhoefling@t-online.de Telefon: 0170 48 199 54 Bilder: www.pixelio.de

Technische Details zu den einzelnen Folien können unter meiner E-Mail-Adresse angefragt werden.