Bundesamt für Sicherheit in der Informationstechnik

M 4.411 Sichere Nutzung von DirectAccess unter Windows

Verantwortlich für Initiierung: Leiter IT

Verantwortlich für Umsetzung: Administrator

Seit Windows 7 und Server 2008 R2 ist mit DirectAccess eine VPN -Technologie in das Betriebssystem integriert. Sie soll den Fernzugriff auf Ressourcen im lokalen Netz vereinfachen und Benutzer ermöglichen, ihre Clients überall so zu verwenden, als wären sie direkt mit dem LAN verbunden.

Um das zu erreichen, baut DirectAccess ohne Zutun der Benutzer und bereits vor der Anmeldung am Betriebssystem einen IPSec -Tunnel zu einer Gegenstelle auf Basis von Windows Server 2008 R2 im LAN auf. Es ist zu beachten, dass nur die beiden Versionen Enterprise und Ultimate von Windows 7 in der Lage sind, auf Ressourcen zuzugreifen, die durch einen DirectAccess-Server unter Windows Server 2008 R2 freigegeben wurden.

Über diese Gegenstelle sind zentrale Infrastrukturkomponenten wie Active Directory und DNS erreichbar ("Infrastructure Tunnel"). Für diesen ersten Tunnel wird nur das Computerkonto des Client-Rechners zur Authentisierung verwendet, das heißt, dieserTunnel steht einem Angreifer, der sich unbefugten Zugang zum Client-System verschafft, prinzipiell offen.

Nach erfolgter Benutzeranmeldung wird ein zweiter IPSec-Tunnel aufgebaut, über den der Zugriff auf weitere interne Ressourcen erfolgt ("Intranet Tunnel").

Bei der Einrichtung des DirectAccess-Zugriffs gibt es verschiedene Konfigurationsmöglichkeiten:

  • Voller Intranetzugriff: In diesem Szenario haben über DirectAccess angebundene Systeme uneingeschränkten Zugriff auf alle Ressourcen im Intranet.
  • Ausgewählte Server: Über DirectAccess angebundene Systeme haben nur Zugriff auf ausgewählte Server im Intranet.
  • Ende-zu-Ende: Soll das über DirectAccess angebundene System auf einen Server im Intranet zugreifen, zum Beispiel für eine bestimmte interne Anwendung, so kann der per IPSec verschlüsselte Kanal vom Client bis zum Zielserver geführt werden. Auf diese Weise ist nicht nur der Zugriff von außen, sondern auch der Transport durch das LAN abgesichert.

Dabei ist zu beachten, dass die Rechner im internen Netz bei DirectAccess ausschließlich über IP v6 angesprochen werden können. Systeme, die im internen Netz nur per IPv4 erreichbar sind, sind mit DirectAccess nicht zugänglich. Die Beschränkung kann mit NAT64 oder Proxies umgangen werden, was jedoch zu Problemen mit Anwendungen führen kann.

Für die Kommunikation zwischen externem DirectAccess-Client und Gateway besteht diese Beschränkung nicht. Hier sind zahlreiche Möglichkeiten implementiert, um die erforderliche IPv6-Verbindung auch über eine vorhandene IPv4-Anbindung zu realisieren, so dass an die Anbindung des Clients keine erhöhten Anforderungen bestehen. Der DirectAccess-Client prüft die vorhandenen Verbindungsmöglichkeiten und wählt selbstständig ein passendes Protokoll aus.

Die Konfiguration von DirectAccess kann entweder über die dafür bereitgestellte DirectAccess Management Console erfolgen, oder über das Kommandozeilentool Network Shell und Gruppenrichtlinienobjekte.

Insbesondere im Einsatzszenario mit vollem Intranetzugriff stellt DirectAccess einen kritischen Zugang zum internen Netz dar. Dieser Zugang erfordert besondere Sicherheitsmaßnahmen. Es ist möglich, für den DirectAccess-Zugang ein bestimmtes Sicherheitsniveau bei der Authentisierung einzufordern, beispielsweise auf der Grundlage einer Chipkarte mit PIN (Zwei-Faktor-Authentisierung). Von dieser Beschränkungsmöglichkeit sollte beim Einsatz von DirectAccess Gebrauch gemacht werden.

Weiterhin ist es wichtig, dass der Tunnel ins interne Netz nur aufgebaut wird, wenn sich das angebundene System im Besitz eines rechtmäßigen Benutzers befindet. Deshalb sollten solche Systeme mit einer Festplattenverschlüsselung versehen werden (zum Beispiel gemäß M 4.337 Einsatz von BitLocker Drive Encryption ) und über eine automatische Sperrung bei Inaktivität des Benutzers verfügen (siehe M 4.2 Bildschirmsperre ).

Beim Zugriff auf das interne Netz von mobilen Systemen aus besteht stets ein erhöhtes Risiko von Schadsoftware-Infektionen, da die mobilen Systeme unter Umständen infiziert sein könnten. Um zumindest grundlegende Sicherheitseigenschaften des Endgeräts zu prüfen, bevor eine Verbindung per DirectAccess zugelassen wird, kann der DirectAccess-Zugang mit einer Netzzugriffsschutz-Prüfung versehen werden (siehe M 4.410 Einsatz von Netzwerkzugriffsschutz unter Windows ).

Der DirectAccess-Server muss für die Clients von außen erreichbar sein und stellt daher einen möglichen Angriffspunkt auf das interne IT -Netz dar. Für seine Einbindung in das Netz ist M 4.224 Integration von VPN-Komponenten in ein Sicherheitsgateway zu beachten. Dabei ist zu berücksichtigen, dass der DirectAccess-Server Mitglied der Windows-Domäne sein muss.

In der Standardeinstellung teilen DirectAccess-Clients ihren Datenverkehr zum Intranet und ihren Datenverkehr zum Internet auf. Während Verbindungen zu Ressourcen im Intranet automatisch durch den DirectAccess-Tunnel geführt werden, baut das Client-System Verbindungen ins Internet direkt und außerhalb des Tunnels auf. Diese Verhaltensweise soll das interne Netz und den Tunnel von Datenverkehr entlasten.

In diesem Szenario kann jedoch der DirectAccess-Client auch einen Netzübergangspunkt darstellen, den ein Angreifer benutzt, um sich vom Internet über den Client Zugriff auf das interne Netz zu verschaffen. Gleichzeitig sind die vom Client direkt aufgebauten Internet-Verbindungen nicht durch eventuell vorhandene zentrale Sicherheitseinrichtungen geschützt, wie Proxy-Server mit Content-Filterung.

Aus den genannten Gründen sollte abweichend von der Voreinstellung aller Datenverkehr vom Client durch den DirectAccess-Tunnel geleitet werden ("Force Tunneling"). So wird ein kontrollierter und sicherer Internetzugriff über die vorhandenen Sicherheitseinrichtungen realisiert und "Hintereingänge" ins interne Netz werden verhindert.

Prüffragen:

  • Ist zum Verbindungsaufbau per DirectAccess Zwei-Faktor-Authentisierung erforderlich?

  • Ist auf allen DirectAccess-Clients eine Festplattenverschlüsselung aktiviert?

  • Ist der DirectAccess-Server auf geeignete Art in einem Sicherheitsgateway integriert?

  • Wird Datenverkehr vom Client in das Internet als auch in das Intranet durch den DirectAccess-Tunnel geleitet ("Force Tunneling")?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK