Projektarbeit VPN

Virtual Private Networking ( VPN ) unter Windows 2000Sicherer Remote Access im UnternehmenProjektarbeit im Rahmen der Schulung des IHK Bildungszentrums Karlsruhe zum ITSystemadministrator vom 07.10.2003 bis 16.03.2004, erstellt durch Michael Siebler

IHK Systemadministrator 2003/2004

Seite 1 von 38 Seiten erstellt von Michael Siebler

Virtual Private Networking unter Windows 2000 Sicherer Remote Access im Unternehmen

Inhaltsverzeichnis

Inhaltsverzeichnis1 1.2 Einleitung berblick Vorstellung des Unternehmens Projektumfang 6 2 bersicht ber die Technologie Was bedeutet VPN? Vorteile der VPN Technologie Aufgaben eines VPNs Protokolle, Verschlsselung und Zertifikate Umsetzung im Unternehmen Einrichten des VPN-Servers Einrichten der Clientverbindung Rollout und Support Windows 2000 und Smartcards Konfiguration Firewall Rckblick auf das Projekt Resm Quellenverzeichnis 37 38 17 32 34 35 36 7 8 9 10 Seite 3 4 6

2.2 3 3.1 3.2 3.3 3.4 4 4.1 4.2




berblick

berblickSichere Kommunikation gewinnt in der heutigen Zeit zunehmend an Bedeutung, vor allem wenn es um die betriebliche Kommunikation eines Unternehmens geht. Lngst haben Computer Einzug in den tglichen Broalltag gehalten, Netzwerke wurden eingerichtet und strengstens gegen den unbefugten Zugriff von auen durch Firewalls abgesichert. Innerhalb des Unternehmensnetztes bestehen strenge Security Policies, die den Zugriff auf Ressourcen und Daten straff reglementieren, alle User Accounts sind selbstverstndlich durch komplexe Passwrter gesichert. So sind also durch die Jahre kleine Inseln der vermeintlichen Sicherheit entstanden. Doch die steigenden Anforderungen an den flexiblen Mitarbeiter, der von unterwegs mal eben schnell seine E-Mails in der Firma checkt und sich die aktuellen Umsatzzahlen des Kunden ansieht, mit dem er in einer Viertelstunde einen Termin hat, erfordern die ffnung der Unternehmensnetze nach auen, um eben diese Flexibilitt zu ermglichen. Wenn nun im unternehmensinternen Netz mit hoher Wahrscheinlichkeit anzunehmen ist, dass die Daten vor unberechtigtem Zugriff oder gar vor Manipulation geschtzt sind, so ist in den ffentlichen Weiten des Internets genau gegenteiliges der Fall. In seltenen Fllen werden hier Daten gezielt von Industriespionen gescannt und ausgewertet. Sehr viel grer ist die Wahrscheinlichkeit, dass ein gewhnlicher Surfer, der auf einigen einschlgig bekannten Seiten und Diensten die entsprechende Software herunter geladen hat, nun versucht, soviel Schaden wie eben nur mglich anzurichten, indem er das Hacken zu seinem neuen Hobby auserkoren hat. Angesichts dieser Betrachtung scheidet das Internet als bekanntermaen unsicheres Medium zur sicheren bertragung sensibler Daten scheinbar aus. Also wurden fr den Zugang ins Firmennetz so genannte Dial-In Zugnge verwendet, die zwar unter sicherheitstechnischen Aspekten den Anforderungen gengen, jedoch mit extrem hohen Kosten verbunden sind, da diese je nach Standort des sich einwhlenden Benutzers ins Unermessliche steigen knnen. Im Zeitalter von Highspeed Internet verfgen bereits viele Mitarbeiter eines Unternehmens ber einen privaten DSL Anschluss, der den Zugang zum Internet zu gnstigen Fixpreisen ermglicht. Durch den Einsatz virtueller Privater Netzwerke knnen die Firmen Ihren Mitarbeitern den Zugang zum Firmennetz ber das Internet ermglichen, wobei die bestehenden DSL Anschlsse genutzt und somit drastische Kostensenkungen realisierbar sind. Auch herkmmliche Internetzugnge, bei denen sich die Anwender bei Ihrem regionalen Internet Service Provider (ISP) einwhlen knnen genutzt werden und fhren ebenso zu geringeren Kosten, da nur die Gebhren zum ISP anfallen und nicht wie frher teure Ferngesprche in die Firma ntig sind.




Vorstellung des Unternehmens

1.2


Im Rahmen dieses Projekts wird anhand des Beispieles der SWS Entertainment Systems GmbH ein Remote Access durch eine VPN-Verbindung ber das Internet implementiert. Die SWS Entertainment Systems ist ein mittelstndisches Unternehmen mit 164 Mitarbeitern, wovon 20 im Auendienst beschftigt sind. In den Geschftsgebuden ist ein Netzwerk aufgebaut, das 120 PCs umfasst, welche alle unter Windows 2000 Professional laufen. Des weiteren sind momentan 4 Server im Netzwerk eingesetzt, welche die bentigten Services und Programme zur Verfgung stellen. Nhere Funktionsbeschreibung siehe unten. Die Geschftsleitung besteht aus einem allein zeichnenden Geschftsfhrer, sowie 3 Prokuristen, die jeweils zusammen mit dem Geschftsfhrer zeichnungsbefugt sind. Der Geschftsfhrung direkt unterstellt sind die einzelnen Abteilungen mit ihren Abteilungsleitern, die ihre Entscheidungen fr ihren Zustndigkeitsbereich mit der Geschftsleitung abstimmen. Der Geschftsleitung beigeordnet ist das Sekretariat, in dem 5 Mitarbeiterinnen das Terminmanagement und sonstige verwaltende Aufgaben fr die GL bernehmen. Die Einkaufsabteilung umfasst 20 Mitarbeiter, fr die jeweils ein Computerarbeitsplatz eingerichtet ist. Jeder dieser 20 Mitarbeiter ist dem Einkaufsleiter unterstellt. Dem Einkauf nachgegliedert ist die Warenannahme und Reklamationsbearbeitung und die Qualittssicherung. In diesen beiden Abteilungen sind zusammen 20 Mitarbeiter beschftigt, von denen allerdings nur 3 an einem PC arbeiten. Die Abteilung Verkauf besteht aus insgesamt 40 Beschftigten, von denen 10 in der Unterabteilung Marktanalyse ttig sind. Sie sind fr die Informationsbeschaffung und Konkurrenzbeobachtung zustndig. Der Verkauf ist mit der Kundenauftragserfassung und der termingerechten Auftragsabwicklung befasst. Die Ttigkeiten werden vom Verkaufsleiter koordiniert und berwacht. In dieser Abteilung gibt es ausschlielich Arbeitspltze am PC. Die Disposition ist mit der Verwaltung und Auswertung der Lagerbestandsdaten betraut. Hier werden die Daten soweit aufbereitet, um eine Entscheidungsgrundlage fr die Planung der Beschaffungspolitik zu erhalten. 10 Mitarbeiter unter der Fhrung Dispositionsleiters treffen zusammen mit der Geschftsleitung Entscheidungen, die der Einkaufsabteilung als Vorgaben fr die Beschaffung zugefhrt werden. Allen Arbeitskrften steht ein PC Arbeitsplatz zur Verfgung. Der Disposition unterstellt ist die Lager- und Versandabteilung, in der 35 Mitarbeiter beschftigt sind, wovon allerdings nur 2 an einem PC beschftigt sind. Zuletzt bleibt die Abteilung Buchhaltung, in der 20 Beschftigte, die alle Zugang zum Netzwerk haben, die Geschftsvorflle der Firma SWS verbuchen. In der Firma wird ein Exchange Server eingesetzt, der den Mitarbeitern das Verwalten Ihrer EMails und Faxnachrichten sowie das Terminmanagement erleichtern soll. Zur Auftragsbearbeitung wird eine Auftragssoftware der Firma SAP verwendet. Auf einem Fileserver werden diverse Dokumentvorlagen zentral verwaltet und abgelegt. Jeder Mitarbeiter hat ein eigenes Homeverzeichnis, auf dem er seine Persnlichen Dokumente und Dateien IHK Systemadministrator 2003/2004 Seite 4 von 38 Seiten erstellt von Michael Siebler



speichern kann. Auf jedem Rechner im Netzwerk ist Office 2000 installiert. Die Profile der Benutzer sind servergespeichert und den Benutzern fest vorgeschrieben (Mandtory). Momentan gibt es in der Firma berlegungen, eine Zweigstelle zu Grnden. Wenn der VPNServer erfolgreich fr die Remote-Clients eingefhrt wird, soll diese Zweigstelle ebenfalls ber eine VPN-Verbindung an das Firmennetz angeschlossen werden.

Abbildung 1.1: Sollkonzept




Projektumfang

ProjektumfangDas Projekt umfasst die Einrichtung eines VPN-Servers unter Windows 2000 Server sowie die Erarbeitung einer Remote Access Policy. Weiterhin soll sichergestellt werden, dass die Clientkonfiguration es den Benutzern ermglicht, sich unkompliziert und schnell mit dem Firmennetzwerk zu verbinden. Es werden unterschiedliche Verfahren zur Authentifizierung der Benutzer vorgestellt und die ntigen Geschftsprozesse zum reibungslosen Ablauf und Integration in die bestehenden Ablufe vorgestellt. Dieses Projekt umfasst nicht die Einrichtung und Konfiguration einer Firewall. Es wird im Rahmen dieses Projekts davon ausgegangen, dass eine Absicherung des Netzwerkes vor unbefugtem Zugriff bereits implementiert wurde. Auch die Anwendungen und Daten, auf welche die User im Netzwerk zugreifen knnen, bleiben weitestgehend auen vor. Es werden aber die Ports, die fr eine VPN-Verbindung zum Server bentigt werden erlutert.

1.4 ProjektplanNachfolgend ist in einer bersicht der Zeitliche Rahmen fr die Durchfhrung des Projektes angegeben. Projektphasen Recherche, Informationssammlung, Vorbesprechung, Zielvereinbarung VPN-Service Einrichtung- und Konfiguration VPN-Clientkonfiguration Test und Abnahme der Installation Erstellen der Dokumentation Abbildung 1.2: Projektplan Zeitaufwand

2 Wochen 1 Tage 1 Std. 4 Wochen 3 Tage




Was bedeutet VPN?

Was bedeutet VPN?VPN ist eine Abkrzung und steht fr Virtual Private Network. Ein virtuelles privates Netzwerk ist im Grunde genommen die Simulation eines geschlossenen Netzes, zu dem nur berechtigte Personen und Computer Zutritt haben. Dadurch knnen private Netze durch Verbindungen ber freigegebene, ffentliche Netzwerke erweitert werden. Somit wird es mglich, vorhandene Netzwerkinfrastrukturen, wie die des Internets, fr die Vernetzung von Niederlassungen oder die Anbindung von Telearbeitspltzen und den Remote Access fr unterwegs zu nutzen. Es mssen keine Investitionen in neue, gesonderte Verbindungen gettigt werden. Durch die VPN-Verbindung wird sichergestellt, dass die sensiblen Daten vor unberechtigtem Zugriff und Manipulation geschtzt sind. Dies wird durch die Verschlsselung der bertragenen Daten mit Hilfe spezieller Verschlsselungsverfahren erreicht, auf welche weiter unten nher eingegangen wird.

Abbildung 2.1 VPN Tunnel


Aufgaben eines VPNs

Vorteile der VPN TechnologieDer wichtigste Vorteil eines Virtual Private Networks wurde bereits genannt: es kann erheblich zu Reduktion der Gesamtkosten eines Unternehmens genutzt werden, indem die hohen Kosten fr bisherige RAS-Zugnge eliminiert werden und nur noch Kosten fr die Einwahl zum lokalen ISP anfallen. Auch der hohe administrative Aufwand, der fr die Verwaltung der Modempools anfiel, entfllt durch die Einfhrung eines VPNs. Gerade in der heutigen Zeit, in der die IT immer fter unter Kostendruck gert, ist dies ein uerst wichtiges Kriterium. Zudem ist ein VPN sehr einfach und flexibel erweiterbar und bietet damit dem Unternehmen einen gewissen Schutz der gettigten Investitionen. Mobile Mitarbeiter sind bei einer VPN Implementierung in der Lage, von berall auf die Daten zuzugreifen, die Sie gerade bentigen. Das macht die Auendienstmitarbeiter flexibler und steuert dadurch unter Umstnden positiv zum Betriebsergebnis bei. Frher musste fr jeden Mitarbeiter der sich einwhlen wollte, eine separate Verbindung zum Modempool der Firma aufgebaut werden.

Abbildung 2.2 RAS Verbindung Durch den Einsatz eines VPN Servers ist firmenseitig nur noch eine Standleitung ins Internet ntigt. Die Clients whlen sich bei Ihren lokalen ISPs ein.

Abbildung 2.3 VPN Verbindung


Aufgaben eines VPNsEin VPN muss gewisse Anforderungen erfllen, um zu gewhrleisten, dass eine gesicherte Verbindung ber ein ffentliches Netz aufgebaut werden kann. Datensicherheit und -integritt Es muss sichergestellt sein, dass die vertraulichen Daten, die ber ffentliche Netze versendet werden, geschtzt sind. Der Zugriff und die Manipulation der Daten durch Dritte muss ausgeschlossen sein. Dies wird durch das Tunneln und Verschlsseln der Datenpakete erreicht. Authentifizierung der Clients Clientrechner, die eine Verbindung zum VPN-Server aufbauen wollen, mssen sich mit Ihrem Benutzernamen und dem zugehrigen Passwort diesem gegenber authentifizieren. Gegebenenfalls erfolgt eine berprfung der Zertifikate, falls die Einstellungen der Verbindung dies erfordern. Nur Benutzer und Computer, die explizit in den Gruppenrichtlinien des VPN-Servers zugelassen sind, knnen eine solche Verbindung zu diesem aufbauen. Dienstgte (Quality of Service) Die VPN-Verbindung sollte einen hohen QoS Wert haben, d.h. sie sollte im Grunde genommen stets verfgbar sein. Gerade bei LAN-Kopplungen ber eine VPN-Verbindung spielt dies eine auerordentlich wichtige Rolle, um den reibungslosen Betrieb des Netzwerkes nicht zu gefhrden. Schlssel und Zertifikate Zwischen VPN-Server und Client mssen fr eine sichere Verbindung die privaten Schlssel der beiden Partner gegenseitig akzeptiert werden. (s.o.) Adressierung Die IP Adressen der beiden Kommunikationspartner mssen gegenseitig bekannt sein. Nach der Authentifizierung wird dem Client eine IP aus einem vordefinierten Pool vom VPN Server aus dem lokalen Netzwerk vergeben. Multiprotokolluntersttzung Ein VPN muss mit allen Protokollen, die in ffentlichen Netzen vorkommen, umgehen knnen. Dies ist neben IP auch z.B. IPX. Dadurch wird gewhrleistet, dass eine Verbindung ber das Internet in jedem Fall mglich ist.


Protokolle, Verschlsselung und Zertifikate

2.2


Point-to-Point-Tunneling Protocol (PPTP) Das Point-to-Point-Tunneling Protocol ist ein Layer 2 Protokoll und wird in RFC 2637 dokumentiert. Beim PPTP Protokoll wird davon ausgegangen, dass zwischen dem beiden VPN Endpunkten eine Verbindung ber ein IP Netzwerk vorhanden ist. Es kapselt PPP-Frames fr die bertragung ber ein ffentliches Netz in IP-Datengramme ein. Zur Authentifizierung werden bei PPTP die gleichen Protokolle verwendet wie bei PPP, also beispielsweise das Extensible Authentication Protocol (EAP), Microsoft Challenge Handshake Authentication Protocol Version 2 (MS-CHAPv2) oder CHAP und das Password Authentication Protocol (PAP).

PPP Header

IP Header

GREHeader

PPP Header

verschlsselte PPP-Pakete

PPP Trailer

Abbildung 2.4 PPTP PPTP untersttzt folgende Authentifizierungsmechanismen. EAP MS-CHAPv2 MS-CHAP CHAP SPAP (Shiva Handshake Authentication Protocol) PAP

Layer-Two-Tunnelling Protocol (L2TP) L2TP ist eine Kombination aus L2F (Layer 2 Forwarding, entwickelt von Cisco Systems) und PPTP. Es vereint die Vorteile der beiden Protokolle. L2TP verschachtelt PPP-Rahmen und verschickt diese ber IP, Frame-Relay, X-25 oder ATMNetzwerke, wobei die L2TP Rahmen ihrerseits in UDP Rahmen eingepackt werden. L2TP besitzt keine eigenen Mechanismen zur Datenverschlsselung. Ein reiner L2TP-Tunnel kann also nicht als VPN bezeichnet werden, da die Daten unverschlsselt bertragen werden. Deshalb wird zur Verschlsselung der Daten das IPSec Protokoll eingesetzt Bei L2TP werden die selben Authentifizierungsmechanismen wie bei PPTP untersttzt.IPSec ESP Header IPSec ESP Auth Header

PPP Header

IP Header

IPSec Header

UDP Header

L2TP Header

PPP Header

PPP Pakete

PPP Trailer

Abbildung 2.5 L2TP/IPSec

Virtual Private Networking unter Windows 2000 Sicherer Remote Access im Unternehmen IP-Security-Protocol (IPSec)


Mit dem IPSec Protokoll knnen ausschlielich IP Pakete getunnelt werden. In der nchsten Version des IP-Protokolls, Ipv6, ist IPSec bereits integriert. Beim Einsatz von IPSec unterscheidet man zwei Verfahren: Transportmodus Beim Transportmodus wird lediglich der Inhalt des Datenteils verschlsselt, der ursprngliche Header mit den Adressen bleibt erhalten. Der Transportmodus kommt bei der bertragung in lokalen Netzwerken zur Anwendung, wo die Daten nicht ber ffentliche Verbindungen geroutet werden mssen.

Abbildung 2.6: IPSec Verbindung im Transport-Modus zwischen Host-1 und Host-2. Spezifiziert durch [RFC-2401] ist die Kombination von AH-Header und ESP-Header vorgegeben. (Quelle: VPN Virtual Private Networks, Wolfgang Bhmer)



Tunnelmodus Der Tunnelmodus kommt zum Einsatz, wenn eine Verbindung ber ein ffentliches Netzwerk aufgebaut wird. Das IP Paket wird dabei verschlsselt und in ein anderes IP Paket eingekapselt, welches mit einer ffentlichen Sender- und Empfngeradresse versehen ist.

Abbildung 2.7: IPSec Verbindung im Tunnel-Modus zwischen den zwei Hosts (H1, H2), sowie den Gateways (G1, G2) und einer sinnvollen Kombination von AH-Header und ESP-Header (Quelle: VPN Virtual Private Networks, Wolfgang Bhmer) In der IPSec Architektur kommen dem Authentication Header Protocol (AH), dem Encapsulating Security Protocol (ESP) und dem Key Management (entweder manuell oder ber das Internet Key Exchange Protocol) eine zentrale Rolle zu. Fr jede IPSec Verbindung ist eine sogenannte Security Association (SA) notwendig. Sie legt u.a. fest, welche Authentifizierungsmechanismen und welches Verfahren zur Sicherstellung der Datenintegritt verwendet werden, wie oft die Schlssel getauscht werden und wie lange diese gltig sind. Um verschiedene SAs zu unterscheiden, wird im Header des verwendeten Sicherheitsprotokolls, in diesem Fall der Authentication Header, der Security Parameter Index ausgewiesen.

Virtual Private Networking unter Windows 2000 Sicherer Remote Access im Unternehmen Authentication HeaderNext Header


12345678

Length Reserviert Security Parameter Index (SPI) Sequence Number Authentication Data (variable Lnge) 12345678 12345678 12345678

Abbildung 2.8 Authentication Header (AH) Der Authentication Header definiert eine kryptografische Prfsumme (Authentication Data), welche die Datenintegritt der statischen IP Felder und dem Datenteil sicherstellt. Er ist in RFC 2402 definiert. Diese Prfsumme wird durch eine Hash-Funktion, wie zum Beispiel SHA-1 (Secure Hashing Algorithmus) oder MD-5 (Message Diggest) errechnet. Es handelt sich um einen 128 Bit langen Schlssel, der aus einem beliebigen Eingangswert berechnet wird. Weitere Bestandteile sind die Felder Next Header, Length (gibt die Lnge des AH an), ein reserviertes Feld fr zuknftige Erweiterungen, der Security Parameter Index (s.o.) und die Sequence Number (schtzt vor Replay-Attacken). Der Authentication Header hat keinen Einfluss auf die Nutzdaten, welche also weiterhin unverschlsselt bleiben. Encapsulating Security Payload (ESP) 24 32bits Security association identifier (SPI) Sequence Number Payload data (variable length) Padding (0-255 bytes) Pad Length Next Header Authentication Data (variable) Abbildung 2.9: ESP-Header Quelle: http://www.javvin.com/protocolESP.html Security association identifier - a pseudo-random value identifying the security association for this datagram. Sequence Number - it contains a monotonically increasing counter value and is mandatory and is always present even if the receiver does not elect to enable the anti-replay service for a specific SA. Payload Data - a variable-length field containing data described by the Next Header field. Padding C padding for encryption. Pad length - indicates the number of pad bytes immediately preceding it. Next header - identifies the type of data contained in the Payload Data field, e.g., an extension header in IPv6 or an upper layer protocol identifier. Authentication Data - a variable-length field containing an Integrity Check Value (ICV) computed over the ESP packet minus the Authentication Data. Der ESP Header kann im Gegensatz zum Authentication Header sowohl eine Authentifizierung, als auch eine Verschlsselung der bertragenen Daten leisten. Definiert ist er in RFC

16



2406. Die Nutzdaten (Payload Data) werden vom ESP-Header und vom ESP-Trailer eingeschlossen. Anschlieend noch eine Darstellung des Aufbaus eines kompletten IPSec Pakets:

Abbildung 2.10 IPSec-Paket (Quelle: Windows Hilfe)

Virtual Private Networking unter Windows 2000 Sicherer Remote Access im Unternehmen Windows 2000 PKI Windows 2000 bietet von Haus aus die Mglichkeit, eine auf das Unternehmen und seine Bedrfnisse zugeschnittene Infrastruktur ffentlicher Schlssel (PKI) aufzubauen. Die Windows 2000 PKI besteht aus drei Teilen: Microsoft CryptoAPI und Cryptographic Service Provider (CSPs) Microsoft Zertifikatsdienste Zertifikatsspeicher Hierbei stellt CryptoAPI eine sichere Schnittstelle fr die kryptografischen Funktionen der installierbaren CSP-Module dar. CryptoAPI und CSP-Dienste stehen allen Applikationen und Diensten zur Verfgung, die kryptografische Dienste bentigen, beispielsweise muss bei der Installation der Windows 2000 Zertifikatsdienste ein CSP gewhlt werden. CSPs sind mit Modulen vergleichbar, die - wie im Fall der Smartcard CSPs - von Herstellern fr die Untersttzung ihrer Hardware oder - wie im Fall der von Microsoft verfgbaren CSPs - zur Untersttzung aktueller kryptografischer Verfahren und Algorithmen bereitgestellt werden knnen. Unter anderem werden die folgenden CSPs mit Windows 2000 geliefert: Microsoft Base Cryptographic Provider Dieser CSP stammt noch aus Zeiten der US-Exportrestriktionen fr kryptografische Verfahren/Schlssellngen und ist heutzutage nicht mehr zeitgem. Asymmetrische Verfahren werden nur mit bis zu 1024 bit Schlssellnge, RC2 und RC4 mit 40 bit untersttzt. Weder DES noch 3DES werden angeboten. Microsoft Enhanced Cryptographic Provider Hier sind alle aktuellen Standards implementiert, asymmetrische Verfahren knnen mit bis zu 16384 bit langen Schlsseln arbeiten, RC2 und RC4 mit bis zu 128 bit. Darber hinaus wird DES mit 56 sowie 3DES mit 112 und 168 Bit Schlssellnge untersttzt. Smart Card Cryptographic Service Provider Zwei verschiedene CSPs fr Smartcards ermglichen die Untersttzung fr GemSAFE- und Cryptoflex-Smartcards der Firmen Gemplus und Schlumberger. Die Microsoft Zertifikatsdienste sind in den Windows 2000-Serverversionen enthalten und bilden den Kern einer Windows 2000 PKI. Ihre Aufgaben sind die Vergabe und das Management von Zertifikaten nach dem X.509-Standard. Zertifikate dieses Typs werden von einer Vielzahl von Produkten auch anderer Hersteller untersttzt, da es sich um die aktuelle StandardZertifikatsform handelt. Die Zertifikatsdienste unter Windows 2000 untersttzen ein hierarchisches CA-Modell mit Stammzertifizierungsstellen (Root-CA), Zwischenzertifizierungsstellen (PCA) und ausstellenden Zertifizierungsstellen (CA). Darber hinaus werden auch externe CAs wie z.B. solche anderer Unternehmen oder kommerzieller Serviceprovider untersttzt. Wird unter Windows 2000 eine so genannte Organisationszertifizierungsstelle eingerichtet, so ist diese automatisch mit dem Active

Virtual Private Networking unter Windows 2000 Sicherer Remote Access im Unternehmen Directory gekoppelt. Active Directory enthlt fr die Organisationszertifizierungsstelle relevante Informationen wie Namen der Benutzerkonten, Zugehrigkeiten zu Sicherheitsgruppen und ein Set von Zertifikatsvorlagen, u.a. fr IPSec-Authentifizierung und Smartcard-Anmeldung. Smtliche Organisationszertifizierungsstellen werden automatisch im Active Directory erfasst. Von ihnen ausgegebene Zertifikate werden an das Active Directory oder an die Computer des Anforderungssenders bermittelt. Darber hinaus verffentlichen sie die Zertifikatssperrlisten (Certificate Revocation Lists, kurz CRL) ebenfalls im Active Directory oder alternativ auf Webseiten oder ffentlichen Ordnern, so dass diese Informationen automatisch von jedem Punkt innerhalb der Organisation abrufbar sind. Auerdem ist es mglich, per Gruppenrichtlinien (definiert in und verteilt durch das Active Directory) automatisch Zertifikate an Windows 2000-Computer, -Benutzer und -Dienste zu verteilen. Active Directory folgt eingeschrnkt dem X.500-Standard, LDAP ist das Standardzugriffsverfahren. Objekte wie Zertifikate und CRLs werden in Zertifikatsspeichern abgelegt, damit User, Dienste und Computer auf sie zugreifen knnen. Hierbei unterscheidet man zwei verschiedene Arten von Speichern: Physikalische Zertifikatsspeicher Physikalische Zertifikatsspeicher bezeichnen den Ort, an dem die Objekte tatschlich physikalisch abgespeichert werden. Dies kann die Registry oder das Active Directory sein. Durch die Benutzung logischer Zertifikatsspeicher wird der gemeinsame Zugriff von vielen Usern, Diensten und Computern auf diese physikalischen Speicherbereiche ermglicht, hnlich der Funktion eines Zeigers oder einer Verknpfung mit einer Datei. Logische Zertifikatsspeicher Logische Zertifikatsspeicher stellen organisatorische Bereiche bereit (z.B. Eigene Zertifikate eines Users oder Vertrauenswrdige Stammzertifizierungsstellen). In diesen Bereichen enthaltene Objekte zeigen auf deren physikalischen Speicherort. Betrachtet man beispielsweise einen Rechner mit mehreren Benutzern, so zeigt etwa ein Zertifikat, das in Vertrauenswrdige Stammzertifizierungsstellen eines Users abgelegt ist, unter Umstnden auf den gleichen physikalischen Ort wie das eines anderen Users. So knnen unntige Duplikate vermieden werden und man braucht sich um den tatschlichen Speicherort des Zertifikats nicht zu kmmern. Wo liegen die privaten Schlssel? An Endbenutzer ausgegebene Zertifikate und private Schlssel werden an einem gesicherten Ort aufbewahrt, der sich entweder auf dem lokalen System oder auf einer Smartcard befindet. Smartcards bieten hier einen hardwareseitigen Schutz. So enden Versuche Schlssel auszulesen oder auch mechanische Manipulationen in einer unbrauchbaren Karte. Auf einem blichen Windows 2000 System besteht ein solcher Hardwareschutz natrlich nicht. Zertifikate und Private Keys werden hier im benutzerbezogenen Teil der Registry des Rechners abgelegt also in der ntuser.dat, die sich im Benutzerprofil befindet. Dieser Bereich wird auch als Protected Store bezeichnet. Sollen Zertifikate und Schlssel eines Benutzers auf einem anderen Rechner zur Verfgung stehen, mssen entweder Servergespeicherte Profile eingesetzt werden, oder ein relativ umstndlicher und sicherheitstechnisch bedenklicher Export der Schlssel vorgenommen werden.


Einrichten des VPN-Servers

3.1


Der VPN Server wird auf einem neu aufgesetzten Windows 2000 Server mit Service Pack 3 eingerichtet. Auf dem Server laufen ansonsten keine weiteren Dienste, er soll nur den Zugang fr die VPN-Verbindungen bereitstellen. Der Server bentigt zwei Netzwerkschnittstellen, eine fr das LAN und eine fr die WAN Verbindung. Die Systemvoraussetzungen fr den Betrieb eines Windows 2000 Servers mssen erfllt sein, ansonsten muss die Maschine keine besonderen Anforderungen bzgl. der Ausstattung erfllen. Es knnte theoretisch ein lteres, gebrauchtes Gert verwendet werden, um Kosten einzusparen. Allerdings sollte gewhrleistet sein, dass der Server stabil luft und den Zugang zum Firmennetz nicht verhindert, indem er stndig ausfllt. Nach der Installation des Betriebsystems wird der Server als VPN-Server konfiguriert. Diese Einstellungen werden unter >Start >Programme >Verwalten >Routing und RAS vorgenommen.

Abbildung 3.1: Routing- und RAS aufrufen



In der Verwaltungskonsole Routing- und RAS wir durch einen rechten Mausklick auf den Servernamen im Kontextmen Routing und RAS konfigurieren und aktivieren aufgerufen.

Abbildung 3.2: Routing- und RAS konfigurieren und einrichten Im Setup-Assistent fr den Routing- und RAS Server wird die Option VPN-Server gewhlt.

Abbildung 3.3: VPN-Server einrichten



Als Verbindungsprotokoll wird das TCP/IP Protokoll gewhlt. Danach ist die WANSchnittstelle des Servers anzugeben.

Abbildung 3.4: TCP/IP fr Remote Clients auswhlen Im nchsten Schritt wird die Adressvergabe fr die VPN-Clients festgelegt. Es wird die Option Automatisch ausgewhlt.

Abbildung 3.5: IP Adresszuweisung



Die Option RADIUS-Server verwenden wird verneint, da es nur einen VPN Server geben wird.

Abbildung 3.6: RADIUS-Server verwenden Anschlieend wird der Assistent beendet. In der Verwaltungskonsole stellt sich der eingerichtete VPN-Server folgendermaen dar:

Abbildung 3.7: Neuer VPN-Server



Danach wird die Anzahl der fr die Remote Clientverbindungen zur Verfgung stehenden Ports definiert. Hierzu werden die Eigenschaften der Ports aufgerufen. Dort knnen dann jeweils fr L2TP und PPTP die Anzahl der Ports eingetragen werden.

Abbildung 3.8: PPTP Ports festlegen

Abbildung 3.9: L2TP Ports festlegen



Diese Einstellungen legen fest, wie viele gleichzeitige Verbindungen zum VPN Server aufgebaut werden knnen. Je nach Art der Anbindung des VPN-Servers an das Internet und der Anzahl der berhaupt bentigten Verbindungen sollte hier eine Einstellung gewhlt werden, die sowohl der Performance, als auch Sicherheitsvorgaben zutrglich ist. Ebenso wird hier definiert, dass der Server nur eingehende Verbindungen akzeptiert. Nach der Einrichtung der Ports werden die Eigenschaften des Servers bearbeitet. Zunchst wird festgelegt, dass dieser Server als Router nur fr LAN-Verbindungen dient, also nur an Ziele im Firmennetzwerk weiterleitet.

Abbildung 3.10: LAN-Routing



Nach den Einstellungen der Ports und der Konfiguration des VPN-Servers als Router fr die Weiterleitung im LAN, mssen nun die Zugriffsberechtigungen erteilt werden. Die Zugriffssteuerung erfolgt ber die Eigenschaften der jeweiligen Benutzer. Diese Lsung wurde gewhlt, da es sich um einige wenige Benutzer handelt, die Zugang zum VPN-Server erhalten sollen und der Verwaltungsaufwand somit eher gering ausfllt. Auf der Karteikarte Einwhlen wird die Option Zugriff gestatten ausgewhlt. In einem Abschnitt weiter unten werden weitere Bedingungen definiert, die entscheidend dafr sind, ob sich ein Client am Server anmelden darf. Erst wenn die Bedingungen der RAS-Richtlinien erfllt sind, kommen die Benutzerberechtigungen zur Einwahl zum tragen. Auch wenn einem Benutzer der Zugriff auf das Netzwerk in seinen Eigenschaften gestattet wurde, kann er sich nicht am Netzwerk anmelden, wenn er auch nur eine Bedingung der RAS-Richtlinien nicht erfllt.

Abbildung 3.11: Zugriffsrechte erteilen

Virtual Private Networking unter Windows 2000 Sicherer Remote Access im Unternehmen Als nchstes wird der Zertifikatsdienst auf diesem Computer installiert. Die Zertifikate dienen der Authentifizierung der an der Kommunikation beteiligten Partner. Unter >Start >Systemsteuerung >Software >Windows Komponenten hinzufgen wird der Zertifikatsdienst ausgewhlt. Es erscheint ein Assistent. Hier Zertifizierungsstelle eingegeben. werden zunchst die Informationen ber die

Abbildung 3.12: Informationen der Zertifizierungsstelle eingeben Danach mssen die Datenspeicherungspfade angegeben werden. In diesem Fall bleiben diese Werte auf Default. Der Assistent wird fertig gestellt und die Zertifikatsdienste werden installiert. Bei der Installation wird automatisch ein Computerzertifikat fr den Computer, auf dem die Zertifizierungsstelle installiert wurde, erstellt. Nach der Installation befindet sich im Startmen unter Verwalten ein neues Snap-In Zertifizierungsstelle. Beim aufrufen dieser Verknpfung, sehen wir die Verwaltungskonsole der Zertifikatsdienste.


Abbildung 3.13: Die neu erstellte Zertifizierungsstelle Die Zertifizierungsstelle des Unternehmens ist nun installiert. Auf den VPN Clients befinden sich momentan aber noch keine Zertifikate. Damit die Clients sich gegenber dem VPN Server beim Aufbau einer VPN-Verbindung authentifizieren knnen, muss auf den Clients ein Zertifikat angefordert werden. Dies geschieht ber den Webbrowser wie nachfolgend beschrieben. ber den Internet Explorer wird vom zuknftigen VPN-Client der Zertifikatsserver aufgerufen. Er ist erreichbar ber die Adresse http:///certsrv

Abbildung 3.14: Neues Zertifikat anfordern

Virtual Private Networking unter Windows 2000 Sicherer Remote Access im Unternehmen Auf der Willkommenseite des webbasierenden Assistenten wird die Option Ein Zertifikat anfordern ausgewhlt. Auf der Folgeseite wird die Option Benutzerzertifikat besttigt. Erweiterte Optionen werden in diesem Fall nicht eingestellt. Die Anforderung wird an die CA gesendet. Nach einer kurzen Wartezeit wurde das Zertifikat vom Server ausgestellt und kann nun auf dem Client installiert werden. Dazu muss nur auf den Link Dieses Zertifikat installieren geklickt werden.

Abbildung 3.15: Zertifikat installieren Es erscheint ein Dialogfeld, in dem abgefragt wird, ob dieses Zertifikat von der Zertifizierungsstelle Standort1 installiert werden soll. Dieses Fenster wird mit OK besttigt. Abschlieend erscheint eine Meldung im Browserfenster, die besagt, dass das Zertifikat installiert wurde. Das installierte Zertifikat kann unter den Internetoptionen, Reiter Inhalt unter dem Punkt Zertifikate angezeigt werden.


Abbildung 3.16: Installiertes Zertifikat anzeigen Nachdem allen vorgesehenen Benutzern die Zugriffsberechtigungen erteilt wurden und die Zertifizierungsstelle installiert wurde, geht es nun daran, Einstellungen fr die Verbindungen in den RAS-Richtlinien zu konfigurieren. Da dieser Server nur VPN-Verbindungen entgegennehmen soll, wird zunchst die Default-RAS-Richtlinie gelscht. Clients sollen sich an diesem Server nur anmelden knnen, wenn sie bei einer PPTPVerbindung die Microsoft Punkt-zu-Punkt-Verschlsselung (MPPE) mit 128 Bit und bei Verbindungen mit L2TP ber IPSec 3DES (Tripple Data Encryption Standard) untersttzen. Dazu wird eine neue RAS-Richtlinie erstellt, die Verbindungen nur zulsst, wenn dies Bedingungen erfllt sind. Auerdem soll festgelegt werden, wie sich die Clients gegenber dem Server authentifizieren knnen. Des weiteren ist fr die gegenseitige Authentifizierung der Kommunikationspartner nur das Extensible Authentication Protocol (EAP) zulssig. Dies ist die sicherste Form der Authentifizierung, die von Windows 2000 untersttzt wird. Weiterhin wird in der RAS-Richtlinie festgelegt, zu welchen Zeiten sich Benutzer am VPN Server anmelden knnen. Auch dies ist zur Absicherung des VPN ein relevantes Merkmal. In unserer Firma soll der Zugriff von 6.00 22.00 Uhr gestattet sein. Zu anderen Zeiten ist die Anmeldung am VPN nicht mglich. Zunchst wird eine neue RAS-Richtlinie definiert durch einen Rechtsklick auf die RASRichtlinien und Auswahl von neue RAS-Richtlinie. Der Richtlinie wird ein Name vergeben, der mglichst aussagekrftig sein sollte, was deren Funktion angeht.


Abbildung 3.17: Hinzufgen einer neuen RAS-Richtlinie Im nchsten Schritt wird festgelegt, welche Bedingungen erfllt werden mssen, damit diese neue Regel angewendet wird. Hier wird die Bedingung NAS-Port-Type stimmt ber ein mit Virtual (VPN) definiert.

Abbildung 3.18: Bedingungen fr die RAS-Richtlinie festlegen


Nun wird das Profil der Richtlinie bearbeitet. Hier knnen die Anforderungen fr die Clientverbindungen, auf welche diese Bedingung zutrifft, getroffen werden. In diesem Fall sind das alle VPN-Clients, weil die Bedingung entsprechend konfiguriert wurde. Unter der Karteikarte Verschlsselung wird ein Haken bei strkste Verschlsselung gesetzt. Die Haken bei keine Verschlsselung, Basisverschlsselung und starke Verschlsselung werden entfernt.

Abbildung 3.19: Strkste Verschlsselung auswhlen Die Einstellungen werden mit OK besttigt und die erste RAS Richtlinie wurde dadurch angelegt. Als nchstes soll nun festgelegt werden, dass sich nur VPN-Clients anmelden drfen, die sich ber das Extensible Authentication Protocol mittels eines Zertifikats oder einer Smartcard gegenber dem Server authentifizieren knnen. Dazu wird wieder eine neue RAS-Richtlinie erstellt und ebenfalls die Bedingung NAS-PortType stimmt ber ein mit Virtual (VPN) definiert. Im Profil dieser Richtlinie wird auf dem Reiter Authentifizierung lediglich das EAP-Protokoll ausgewhlt. Alle Haken bei anderen Auhentifizierungsmechanismen werden entfernt. Als EAP-Typ wird Smartcard oder anderes Zertifikat ausgewhlt. Somit knnen nur noch Clients eine VPN-Verbindung zum Server aufbauen, die sich entweder per Smartcard (hierzu folgt in einem Abschnitt weiter unten eine detaillierte Beschreibung) oder mit einem Zertifikat gegenber dem Server authentifizieren knnen.


Abbildung 3.20: Authentifizierungsmethode whlen Auch diese Einstellung wird gespeichert und eine weitere RAS Richtlinie wurde erstellt. Zuletzt werden in den RAS-Richtlinien noch die Anmeldezeiten, zu denen sich die Clients anmelden drfen, definiert. Auch die maximale Leerlaufzeit einer Verbindung wird hier eingestellt. Wiederum wird eine neue Richtlinie erstellt. Ebenso wie bei den vorangegangenen wird auch bei dieser RAS-Richtlinie als NAS-Port-Type Virtual (VPN) gewhlt. Im Profil der Richtlinie wird unter Einwahlbeschrnkungen angegeben, zu welchen Zeiten Anmeldungen mglich sind und wie lange eine Sitzung im Leerlauf sein darf.

Abbildung 3.21: Einwahlzeiten festlegen


Nachdem nun alle erforderlichen RAS-Policies konfiguriert wurden ergibt sich folgendes Bild in der Routing- und RAS Verwaltungskonsole:

Abbildung 3.22: bersicht RAS-Richtlinien Wenn nun ein Client versucht eine VPN-Verbindung zum Server aufzubauen, werden alle diese Richtlinien nacheinander abgearbeitet und es wird berprft, ob der Client allen Anforderungen gerecht wird. Zuletzt wird berprft, ob der angegebene Benutzer die Berechtigung hat, sich am Server anzumelden. Diese Einstellung wird - so wie weiter oben beschrieben - in den Eigenschaften der Benutzer festgelegt.


Einrichten der Clientverbindung

3.2


Nachdem nun serverseitig alle Vorkehrungen getroffen wurden und auf dem Client ein Zertifikat der Zertifizierungsstelle installiert wurde, wird nun die VPN-Verbindung des Clients eingerichtet. Hierzu werden unter den Eigenschaften der Netzwerkumgebung die Netzwerkverbindungen aufgerufen. Durch einen Doppelklick auf das Icon neue Verbindung wird der Netzwerkverbindungsassistent aufgerufen. Auf der Seite Netzwerkverbindungstyp wird Verbindung mit einem privaten Netzwerk ber das Internet herstellen ausgewhlt.

Abbildung 3.23: Verbindungstyp angeben Auf der folgenden Seite muss die Adresse des VPN-Servers, mit dem die Verbindung hergestellt werden soll, angegeben werden. Diese Verbindung soll von diesem Client aus nur diesem Benutzer zur Verfgung stehen. Deshalb wird die entsprechende Option auf der Folgeseite angehakt. Auf der letzten Seite des Assistenten wird der Verbindung ein Name gegeben. Auerdem besteht die Option, eine Verknpfung zu dieser Verbindung auf dem Desktop abzulegen. Nach der Fertigstellung des Assistenten wird das Verbindungsfenster angezeigt.



Nun kann die Verbindung zum VPN-Server hergestellt werden. Das Kennwort und der Benutzername, der die entsprechenden Einwahlrechte auf dem Server hat, werden eingegeben und die Verbindung besttigt. Der Client durchluft die Anmeldeprozedur und ist danach im Firmennetzwerk registriert.

Abbildung 3.24: VPN-Verbindung herstellen

Abbildung 3.25: Registrierter VPN-Client


Rollout und Support

Rollout und SupportFr den Start des produktiven Einsatzes ist eine Testphase geplant. Zunchst erhalten 5 der Auendienstmitarbeiter ihre Zugangsdaten. Diese 5 Mitarbeiter sollen whrend einer Zeit von 4 Wochen mit dem VPN-Zugang arbeiten, um absehen zu knnen, ob die Implementierung sicher luft. Whrend dieser Zeit werden alle Strungs- und Fehlermeldungen zentral von einem Supportmitarbeiter angenommen, der den Auendienstlern auch zur Verfgung steht, wenn es um Anwenderfragen bzgl. des VPN geht. Nach Abschluss der Testphase, sofern deren Verlauf zufrieden stellend war, wird zusammen mit o.a. Supportmitarbeiter anhand der Anzahl der Calls entschieden, ob fr die restlichen Auendienstmitarbeiter, Abteilungsleiter und Geschftsfhrer eine Schulung durchgefhrt werden muss, oder ob die Anwendung der neuen Technik keine Probleme bereitet. Die VPN Zugnge werden nur auf den Laptops der Auendienstmitarbeiter, Geschftsfhrer und Abteilungsleiter installiert. Andere Benutzer sind nicht vorgesehen. Die Anbindung der Zweigstelle wird ist fr einen spteren Zeitpunkt geplant. Alle Mitarbeiter die nun einen Zugang zum VPN Netzwerk haben, werden schriftlich ber die Risiken, die mit dem Verlust des Laptops oder den Zugriff unbefugter Dritter auf das Gert und damit auf die VPN-Verbindung in das Firmennetzwerk, aufgeklrt. Alle Zugriffe ber den VPN-Server werden aufgezeichnet, um den eventuellen Missbrauch von Auen nachvollziehen zu knnen. Es wird eine 24-Stunden erreichbare Hotline eingerichtet, die Verlustmeldungen der Laptops mit eingerichtetem VPN-Zugang entgegennimmt. Diese Zugnge werden unverzglich nach Eingang der Verlustmeldung gesperrt, um sicherzustellen, dass Unberechtigte Dritte keinen Zugriff auf das Firmennetzwerk erhalten. Sollten weitere Zugnge zum VPN bentigt werden, so sind diese Wnsche in einem schriftlichen Antrag mit hinreichender Begrndung fr die Notwendigkeit der Einrichtung beim Systemadministrator vorzulegen. Dieser entscheidet nach Absprache mit der Geschftsleitung, ob der Zugang eingerichtet wird, und ob ggf. Restriktionen fr den Zugang gelten sollen, die sich von den bisherigen RAS-Richtlinien unterscheiden. Fr einen spteren Zeitpunkt ist der Einsatz von Smartcards zur Benutzerauthentifizierung vorgesehen. Eine Erluterung der Funktion von Smartcards erfolgt unten. Sollte der VPN-Server ausfallen, gibt es momentan keine Mglichkeit, sich dennoch mit dem Firmennetzwerk zu verbinden. Mglich wre die Einrichtung eines zweiten VPN-Servers zu Redundanzzwecken. Dies kann eine hhere Dienstgte garantieren. Unter den derzeitigen Gegebenheiten muss gewhrleistet werden, dass der Dienst schnellstmglich wieder zur Verfgung gestellt wird, sofern er ausfallen sollte.


Windows 2000 und Smartcards

3.3

Windows 2000 und Smartcards

Smartcards sind sozusagen Mini-Computer, die in eine flache Plastikkarte eingebettet sind. Abgesehen vom fehlenden Magnetstreifen sehen sie genauso aus wie bliche EC- oder Kreditkarten, mit dem Unterschied, dass sie wesentlich mehr Daten aufnehmen knnen (z.B. 8 K bei GemSAFE-Smartcards). Windows 2000 untersttzt das ICC-Format (Integrated circuit cards) Karten dieses Typs sind in der Lage, komplexe Operationen wie digitale RSA-Signaturen durchzufhren. Statt sich nun wie blich mit einem Benutzernamen und Passwort anzumelden, schiebt der User seine Smartcard in den an seinen Computer angeschlossenen Smartcard-Reader und gibt seine zur Smartcard passende PIN ein ganz wie am Geldautomat der Bank. Von den beiden existierenden IC-Smartcard-Typen denen mit Kontakten und den kontaktlosen werden erstere von Windows 2000 untersttzt. Sie zeichnen sich durch eine goldene Kontaktplatte auf der Oberseite aus, hnlich dem Geldkartenchip auf neueren EC-Karten. Die enthaltenen 8 Kontakte stellen die Verbindung zwischen dem eingebetteten Chip und dem Smartcard-Reader her. Im Lieferumfang von Windows 2000 sind zwei verschiedene CSPs (Cryptographic Service Provider) enthalten, die von den jeweiligen Herstellern von Smartcards zur Untersttzung ihrer Produkte fr Windows 2000 entwickelt wurden. Gemplus steuerte hierzu den CSP fr GemSAFE-, Schlumberger den CSP fr Cryptoflex-Smartcards bei. Weitere RSA-basierte Smartcards werden von Windows 2000 ebenso untersttzt, sofern deren Hersteller einen CSP fr Windows 2000 zur Verfgung stellen. Darber hinaus sind fr einige gngige SmartcardReader die notwendigen Treiber bereits in Windows 2000 integriert, beispielsweise fr Gemplus- und Schlumberger-Reader mit seriellem Port, USB- und PCMCIA.


Konfiguration Firewall

3.4

Konfiguration Firewall

Da in unserem Unternehmen eine Firewall eingesetzt wird, die den eingehenden Datenstrom filtert, mssen hier noch Regeln definiert werden, damit der Zugang zum VPN funktioniert. Port 1701 UDP Port 1723 TCP Port 500 UDP any VPN Access Server L2TP (Layer 2 Tunnelling Protocol) any VPN Access Server PPTP (Point to Point Tunnelling Protocol) any VPN Access Server ISAKMP (Internet Key Exchange / IPSec)

Durch diese Einstellungen wird gewhrleistet, dass der Datenverkehr auf den frei geschalteten Ports von jeder anfordernden Adresse an den VPN-Server durchgelassen wird.


4.1

Resm

Im Nachhinein betrachtet hat sich dieses Projekt fr mich schwieriger dargestellt, als ich es erwartet hatte. Die Materie ist uerst komplex und schwierig zu berschauen. Ich habe die mir zur Verfgung stehenden Quellen mehr als nur einige Male zu Rate ziehen mssen, um in das Thema einsteigen zu knnen. Ich bin der Ansicht, dass das Konzept, welches ich Rahmen dieses Projektes erstellt habe, verbesserungswrdig ist. Aus diesem Grund bin ich zu dem Schluss gelangt, diesen aufgestellten Lsungsweg zunchst in einer Testumgebung zu erproben, und nicht wie oben beschrieben sofort in den realen Betrieb einzusteigen. Dies wre unter sicherheitstechnischen Gesichtspunkten nicht vertretbar.


4.2

Quellenverzeichnis

Anschlieend werden die Quellen angegeben, die ich zur Recherche benutzt habe. Windows 2000 Server Hilfe IT System Administrator Dokumentation Microsoft White Paper Virtuelle Private Netzwerke: Eine bersicht Sicherer Remote Access mit Windows 2000 (Diplomarbeit Sebastian Wagner, 2000) Microsoft Windows 2000 Server Resource Kit Chapter 9 Virtual Private Networking Virtual Private Networking with Windows 2000: Deploying Remote Access VPN VPN Die reale Welt der virtuellen Netze (Wolfgang Bhmer, HANSER Verlag 2002)

Documents

Projektarbeit VPN