Windows-7-Bordmittel für mehr Sicherheit – Teil 1
Windows 7 gewährleistet sichere VPN-Verbindungen mit DirectAccess
15.01.2010 | Autor / Redakteur: Peter Riedlberger / Stephan Augsten
Eine der wichtigsten Neuerungen von Windows 7 aus Security-Sicht ist DirectAccess. Diese Microsoft-Technologie erlaubt gegenüber traditionellen Virtual-Private-Network-Lösungen einen verbesserten Remote-Zugriff auf das Firmennetzwerk. SearchSecurity.de hat sich mit dem VPN-Bordmittel von Windows 7 Professional und Ultimate befasst.
Angesichts der Beliebtheit und Verbreitung von Home-Office-Arbeitsplätzen sind viele VPN-Lösungen (Virtual Private Network) hoffnungslos veraltet. Es lässt sich kaum abschätzen, wie viel Arbeitszeit durch hängende VPN-Verbindungen sinnlos vergeudet wird. Die neue Microsoft-Technologie DirectAccess verspricht Abhilfe für diverse Schwächen traditioneller VPNs.
Der Einsatz von DirectAccess setzt Windows Server 2008 R2 als Serverbetriebsystem und Windows 7 (Enterprise oder Ultimate) auf dem Client voraus. Es wird empfohlen, auf dem Server keine anderen Features zu aktivieren, sodass er allein die Verfügbarkeit des Direct-Access-Zugang sicherstellt.
Ferner muss im Enterprise-Netzwerk mindestens ein Domänencontroller sowie ein DNS-Server mit Windows Server 2008 oder Windows Server 2008 R2 zur Verfügung stehen. Um die Sicherheit zu gewährleisten sind ferner eine Public-Key-Infrastruktur sowie IPsec-Richtlinien notwendig. Da DirectAccess auf IPv6 basiert, kommt man derzeit nicht ohne zusätzliche Tunnelmechanismen (6over4, Teredo, ISATAP) und Übersetzungsverfahren (NAT-PT) aus.
Grundlagen
Die grundlegende Idee hinter DirectAccess ist, dass der Client-Rechner stets transparent eine Verbindung zum Firmennetzwerk herstellt. Im Gegensatz zu einem traditionellen VPN entfällt damit die User-Interaktion. Dies entlastet nicht nur den Helpdesk – etwa im Fall eines Verbindungsabbruchs, in dem der Mitarbeiter erneut die Verbindung herstellen müsste – sondern erlaubt dem Administrator mehr Kontrolle über den Client-Rechner.
Da nämlich der Tunnel jederzeit steht, kann auch der Administrator jederzeit verwaltend eingreifen. Um Software-Patches oder Updates für den Virenscanner einzuspielen, muss man also nicht darauf warten, dass der Benutzer die VPN-Verbindung herstellt. Unter der Voraussetzung einer bestehenden Internet-Verbindung reicht es aus, dass der Anwender seinen Computer einschaltet.
Ein weiteres wesentliches Feature ist die Entlastung des Enterprise-Netzwerks. In einem traditionellen VPN-Netzwerk wird – wenn es erst einmal steht – der gesamte Internet-Traffic über das Firmennetzwerk geroutet. Doch diese Architektur ist einerseits störanfällig (fällt das VPN aus, geht gar nichts mehr) und verschwendet andererseits unnötig Kapazitäten. Im DirectAccess-Modell erfolgt über den Tunnel nur der Zugriff auf Firmenressourcen, während Internetanfragen direkt bearbeitet werden.
Seite 2: Sicherheitsfunktionen von DirectAccess
Inhalt des Artikels:
Eine sehr gute Darstellung!
Problematisch ist die Umsetzung von DirectAccess bei bestehenden...
lesen
posted am 12.03.2010 um 11:34 von Unregistriert
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2042880)
