Bundesamt für Sicherheit in der Informationstechnik

M 4.113 Nutzung eines Authentisierungsservers bei Remote-Access-VPNs

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator

Für Remote-Access-VPNs (RAS-VPNs) mit vielen Benutzern muss darüber nachgedacht werden, wie die Benutzerverwaltung für entfernte Zugänge (englisch: Remote Access) effizient durchgeführt werden kann. In der Regel muss jeder RAS-Benutzer auch eine Systemidentität (Benutzerkonto des Betriebssystems) erhalten und bei der Nutzung eines solchen Benutzerkontos identifiziert und authentisiert werden. In einigen Betriebssystemen (z. B. aktuellen Windows-Versionen) ist direkt eine RAS-Funktionalität und eine gemeinsame Benutzerverwaltung integriert. Bei mittleren und großen Netze, die organisatorisch meist in mehrere Teilnetze aufgeteilt sind (Domänen, Verwaltungsbereiche), besteht in vielen Fällen das Problem, dass in jedem Verwaltungsbereich eine getrennte Verwaltung der Benutzerdaten durchgeführt wird. Sollen sich Benutzer auch an fremden Teilnetzen anmelden können, müssen hier Querberechtigungen (Cross-Zertifikate, Vertrauensstellungen) oder ein zentraler Verzeichnisdienst eingerichtet und gepflegt werden. Eine weitere Alternative ist, dass die Benutzer zusätzlich ein Benutzerkonto in dem anderen Teilnetz erhalten, dies erschwert aber die Verwaltung der Benutzerdaten. Insbesondere im RAS-Kontext haben sich spezielle Authentisierungssysteme herausgebildet, die auch für den "normalen" Authentisierungsprozess bei der Systemanmeldung genutzt werden können. Typische Vertreter sind beispielsweise RADIUS, TACACS, TACACS+und andere LDAP -basierte Verzeichnisdienste.

Prinzipiell besitzen diese Systeme folgenden Aufbau:

  • Die Authentisierungsdaten der Benutzer werden durch einen zentralen Server verwaltet.
  • Das Programm zur Systemanmeldung wendet sich zur Überprüfung der vom Benutzer eingegebenen Authentisierungsdaten an den Authentisierungsserver.
  • Zur Kommunikation zwischen Anmeldeprozess und Authentisierungsserver wird in der Regel ein abgesichertes Protokoll eingesetzt.

Der Anmeldeprozess muss dazu die Nutzung externer Authentisierungsserver unterstützen. Weiterhin muss die Netzadresse des zu benutzenden Authentisierungsservers in den Konfigurationsdaten des Anmeldeprozesses korrekt eingetragen sein. Will sich ein Benutzer nun am System anmelden, laufen grob vereinfacht folgende Schritte ab, gleichgültig, ob er dazu eine RAS-Verbindung benutzt oder sich direkt im LAN befindet:

  • Findet ein Verbindungsaufbau mit dem System- oder RAS-Anmeldeprozess statt, kontaktiert dieser den Authentisierungsserver und informiert ihn über den eingegangenen Verbindungswunsch eines Benutzers. Der Authentisierungsserver sendet, sofern ein "Challenge-Response" Verfahren zum Einsatz kommt, eine so genannte "Challenge" an den Prozess zurück, der diese an den Benutzer weiterleitet.
  • Der Benutzer authentisiert sich gegenüber dem VPN-Client, beispielsweise durch Passworteingabe oder ein Token.
  • Der Anmeldeprozess leitet die Authentisierungsdaten (meist transparent für den Benutzer) an den Authentisierungsserver weiter.
  • Der Authentisierungsserver verifiziert die Benutzerdaten und signalisiert dem Anmeldeprozess das Ergebnis der Überprüfung.
  • Der Zugang zum (Access-)Netz wird nach erfolgreicher Überprüfung gewährt.

Durch die Verwendung von zentralen Authentisierungsservern kann erreicht werden, dass einerseits die Authentisierungsdaten konsistent verwaltet werden und andererseits bessere Authentisierungsmechanismen genutzt werden können, als sie von den Betriebssystemen standardmäßig unterstützt werden. Hier sind insbesondere Chipkarten- und Token-basierte Mechanismen zu nennen. Je nach System erzeugen diese z. B. Einmalpasswörter, die auf einem Display angezeigt werden und die der Benutzer als Passwort angeben muss.

Für mittlere und große Netze wird die Verwendung von Authentisierungsservern insbesondere im RAS-Bereich empfohlen, da diese eine wesentlich höhere Sicherheit bei der Benutzer-Authentisierung bieten. Berücksichtigt werden muss jedoch, dass auch diese Server administriert und gewartet werden müssen. Ein Authentisierungsserver muss so im Netz platziert werden, dass er einerseits performant erreicht werden kann, aber andererseits auch vor unberechtigten Zugriffen geschützt ist.

Prüffragen:

  • Ist für den RAS -Zugang und für den Zugang zu Systemen und Anwendungen eine konsistente Benutzerverwaltung gewährleistet?

  • Erfüllen die genutzten Authentisierungsverfahren des RAS - VPN die festgelegten Sicherheitsanforderungen?

  • Falls eigenständige Authentisierungsserver zum Einsatz kommen: Werden diese Authentisierungsserver sicher betrieben und vor unberechtigten Zugriffen geschützt?

Stand: 13. EL Stand 2013