Fernzugriff auf Unternehmensnetze in Zeiten von Windows 7
Möglichkeiten und Grenzen der verschiedenen Windows-Bordmittel für Remote-AccessJürgen Höfling, IT-Fachjournalist
Fernzugriff mit VPN (1)
Der Fernzugriff (Remote-Access) auf das Firmennetzwerk sorgt im Zeitalter der IT-Nomaden für produktiveres Arbeiten
Fernzugriff mit VPN(2)
Die VPN-Verbindung („Tunnel“) ist sicher– durch Verschlüsselung – Authentifizierung
Fernzugriff mit VPN(3)
Große Protokoll-Vielfalt bei VPN L2TP = Layer 2 Tunneling Protocol PPTP = Point to Point Tunneling Protocol TSL/SSL= Transport Layer Security/ Secure Sockets Layer
Fernzugriff mit VPN(4)
SSH = Secure Shell Protocol IPSec = Internet Protocol Security IKEv1 und IKEv2 = Internet Key Exchange
Protocol MOBIKE = Mobility and Multihoming Protocol
Bordverpflegung ist kein 8-Gänge-Menü • Der in Win2k, XP, Vista eingebaute VPN-
Server erlaubt nur eine Verbindung.
VPN mit Windows-Bordmitteln(1)
VPN mit Windows-Bordmitteln(2)
• Die verwendete Protokoll-Kombination IPSec/L2TP erfordert entweder einen Windows-Server oder ein IPSec-Gateway, das auch L2TP kann
• Schlüsselaustauschprotokoll IKEv1“beißt“ sich mit NAT
VPN mit Windows-Bordmitteln(3)
Fazit: Das Verfahren taugt allenfalls als Notlösung zwischen zwei gleichartigen Windows -Rechnern, die nur ab und zu benutzt wird.
VPN mit Windows-Bordmitteln(4)
Erweiterte Bordverpflegung am Klapptisch• In Windows 7 kann der IPSec-VPN-Client mit
beliebigen VPN-Gateways kommunizieren• IKEv2 macht den Schlüsselaustausch einfacher• MOBIKE macht die Kommunikation mit mobilen
Geräten einfacher
VPN mit Windows-Bordmitteln(5)
Dennoch: Das VPN-Gateway von Microsoft („Routing and Remote Access) in Windows Server 2008 hat kein automatisiertes Tunnelmanagement und ist nicht mit anderen MS-Infrastrukturen verzahnt
Direct Access (1)
Freie Fahrt mit DirectAccess? Na ja!
Direct Access (2)
• Das VPN baut sich automatisch auf• Automatische Verbindungswiederherstellung• Durchgängige Authentifizierung und
Verschlüsselung• Management der Client-Rechner
Direct Access (3)
• Funktioniert nur mit Windows 7 Enterprise oder Ultimate sowie Windows Server R2
• Funktioniert nur mit Rechnern in derselben Domain
• Funktioniert nur in einem IPv6-affinen Kontext
Direct Access (4)
• Umsetzungsprozeduren von IPv4 auf IPv6 erzeugen Aufwand und Unsicherheiten
• Sicherheitsstrategie Forefront Unified Access Gateway erst im Betastadium
Direct Access (5)
DirectAccess als goldener MS-Käfig,denn DA basiert gänzlich auf einer MS-Infrastruktur (AD, Zertifikate)
DA als „Next Generation VPN“?
Neue Gestade, allerdings am MS-BinnengewässerDirectAccess kann in einem reinen MS-Infrastruktur-Umfeld interessant sein.
Anforderungen an Next Generation VPN (1)
VPN über Windows 7 und DA hinaus• Unabhängigkeit von Betriebssystem und
VPNGateway • Eine einzige Oberfläche für verschiedene
Zugriffsszenarien
Anforderungen an Next Generation VPN (2)
• Durchsetzung der Sicherheitsrichtlinien auf den Clients
• Personal Firewall• Zentrales Management• Revisionssichere Sicherheits-Dokumentation
Anforderungen an Next Generation VPN (2)
• Schnelles Ein- und Aussteuern von Nutzern („Fluktuationsmanagement“)
• Weiterverwendbarkeit vorhandener Infrastrukturen (AD, LDAP, RADIUS)
• Starke Authentifizierung
Anforderungen an Next Generation VPN (4)
• Einstellbare Service-Qualität (Priorität bestimmter Anwendungen)
• Zukunftssicherheit, das heißt frühzeitige Verfügbarkeit der VPN-Lösung für neue Betriebssysteme
Resümee
Gourmet-Bordmenü auf Klapptischen?
Die Bordverpflegung in puncto Fernzugriff bzw. VPN wird bei Microsoft zwar immer reichhaltiger, aber umso mehr wird die Enge der Klapptische spürbar.
Vielen Dank! Haben Sie Fragen?
Referent: Jürgen Höfling E-Mail: [email protected] Telefon: 0170 48 199 54 Bilder: www.pixelio.de
Technische Details zu den einzelnen Folien können unter meiner E-Mail-Adresse angefragt werden.