Windows Server 2008 Network Access Protection (NAP)
Wird Windows Server wirklich sicher?

CloudNetzwerk-ManagementNetzwerkeServer

Windows Server 2008 erlaubt zahlreiche Dinge, mit denen der Administrator Netz und Workstations absichern kann. Ein erster Blick auf die Funktionen zeigt, was möglich ist, ob sich der Aufwand lohnt – und warum man sein Netz damit sogar lahmlegen kann.

Übertriebene Netzwerksicherheit?

Windows Server 2008 Network Access Protection (NAP)

Wie schon bei Windows Vista betreffen auch bei Windows Server 2008 viele Erweiterungen die Sicherheit. Dazu gehören auch die neuen Netzwerkrichtlinien- und Zugriffsdienste, besser bekannt unter der englischsprachigen Bezeichnung Network Access Protection (NAP).

Es handelt sich hierbei um eine Network-Access-Control-Lösung (NAC), die diverse Software- Hersteller und Netzwerk -Ausrüster bereits seit einiger Zeit anbieten. Die Gemeinsamkeit der verschiedenen NAC-Systeme besteht darin, dass die Zugriffsberechtigung auf Netzwerk- Ressourcen von vordefinierten Richtlinien abhängig gemacht wird. Die Zugangsbeschränkung kann dabei mit unterschiedlichen Methoden durchgesetzt werden.

Das System für die Kontrollfreaks unter den Administratoren ist umstritten, denn es erfordert erheblichen Aufwand, bevor es richtig funktioniert – und kann noch dazu das Netz lahmlegen, wie wir in ersten Tests feststellten. Alan Stevens von der IT Week hält NAP bzw. NAC für eine “Lösung ohne Problem”. Doch ist es wirklich so schlimm?

Richtig eingesetzt, kann das System schließlich für eine gehörige Portion weiterer Sicherheit im Netz sorgen. Aber ob sich der Aufwand.lohnt, müssen die IT-Chefs aber im Einzelfall und je nach Größe des Unternehmens selbst beurteilen. Unsere ersten Eindrücke finden Sie auf den folgenden Seiten.


Mittel zur Überprüfung der System-Gesundheit

Windows Server 2008 Network Access Protection (NAP)

Auch bei Microsofts NAP lassen sich diese beiden Bereiche unterscheiden. Nur wenn die vom Administrator definierten System- Integritätsrichtlinien, beziehungsweise System Health Validation policies (SHV), erfüllt sind, erhalten die NAP- Clients Vollzugriff auf das Netzwerk. In der Beta 3 von Windows Server 2008 bezeichnet Microsoft diese Clients als “nicht kompatibel” (noncompliant). Die verschiedenen Techniken, mit denen sich diese Beschränkung durchsetzen lässt, werden NAP-Erzwingungsmethoden genannt.

Ein erster Blick: NAP unterstützt in der Grundausstattung bereits einige Windows-spezifische SHV-Richtlinien. Drittanbieter haben die Möglichkeit, über das NAP-API eigene SHV-Module beizusteuern. Der in Windows Vista integrierte NAP-Client kann überprüfen, ob die Windows Firewall aktiviert ist, ob eine Antivirus- Software mit den aktuellen Signaturen installiert ist, der Spyware-Schutz aktiviert und aktuell ist, ob die automatisch-Update-Funktion an ist und ob alle verfügbaren Sicherheits- Updates installiert sind. Bei Letzerem lässt sich festlegen, ob die Updates von Microsofts Windows-Update-Dienst oder von den lokal eingerichteten Windows Server Update Services (WSUS) kommen müssen.

Der NAP-Client für Windows XP wird aller Voraussicht nach mit dem Service Pack 3 ausgeliefert werden. Da Windows XP über keinen eigenen Spyware- Schutz verfügt, wird dessen NAP-Client diese SHV-Richtlinie nicht unterstützen. Das ist wohl auch der Grund, warum man die Richtlinien für Windows Vista und Windows XP getrennt voneinander definieren muss. Konfiguriert werden die Richtlinien in der Konsole des Network Policy Server (NPS), dem Herzstück von Microsofts NAP-Infrastruktur.


“Erzwingungsmethoden” im Windows Server 2008

Windows Server 2008 Network Access Protection (NAP)

Nicht kompatible Clients erhalten zunächst nur eingeschränkten Zugriff in einem Quarantäne- Netzwerk. In diesem Netz befinden sich auch die Server, die nicht kompatible Clients kontaktieren können, um sich auf den neuesten Stand zu bringen. Das könnte beispielsweise ein Antivirus-Server sein, von dem die Clients die aktuellen Viren- Signaturen herunterladen. Die Erzwingungsmethoden zur Durchsetzung dieser Beschränkung sind bei Windows Server 2008 in fünf Netzwerk- Dienste integriert: DHCP, 802.1X, VPN, IPSec, und Terminal Services Gateway.

Die DHCP-Erzwingungsmethode lässt sich am einfachsten einrichten. Konfiguriert wird sie nicht auf dem NPS, sondern in der Konsole des DHCP-Servers. Unter Windows Server 2008 kann man hier unterschiedliche Bereichsoptionen für kompatible und nicht kompatible Clients definieren. So ist es etwa möglich, die Router-Definition wegzulassen, was diesen Rechnern den Zugriff auf das Internet verwehrt. Außerdem wird ihnen eine spezielle Subnetz- Maske zugeteilt, sodass sie im Intranet nur noch die Server im Quarantäne- Netzwerk erreichen können.

Im Prinzip funktionieren alle Erzwingungsmethoden ähnlich. Der jeweilige Server- Dienst wurde um eine NAP-Komponente erweitert, was ihm die Zuweisung netzwerkspezifischer Einstellungen in Abhängigkeit zur Richtlinienkonformität der Clients ermöglicht. Die Konfiguration dieser Einstellungen ist jedoch unterschiedlich, da diese ja vom jeweiligen Dienst abhängen.


Risiken durch Sicherheitsfunktionen

Windows Server 2008 Network Access Protection (NAP)

Im Falle der Erzwingungsmethode, die auf dem IEEE-Standard 802.1X zur Authentifizierung und Autorisierung in Ethernet-Netzwerken basiert, müssen hierfür außerdem Einstellungen an den Netzwerk- Swichtes vorgenommen werden. Voraussetzung dafür ist, dass der Switch 802.1X und die Zuweisung von virtuellen LANs anhand von RADIUS-Attributen erlaubt. NAP ist dann in der Lage, nicht kompatible Clients automatisch in ein eigenes VLAN zu verschieben. Wie die DHCP- Erzwingungsmethode eignet sich dieses Verfahren nur für den Einsatz im Intranet.

Die Erzwingungsmethoden, die auf Terminal Services Gateway und VPN aufbauen, finden dagegen beim Remote-Zugriff auf das Firmennetz Verwendung. “TS Gateway” ist ein neues Feature von Windows Server 2008. Es ermöglicht den Aufbau einer sicheren RDP-Verbindung zu einem Terminal Server durch einen SSL-Tunnel. Die TS-Gateway-Erzwingungsmethode ist die einzige, die nicht kompatiblen Clients komplett den Zugriff auf das Netz verwehrt. Bei der VPN-Methode können dagegen ähnlich wie bei den anderen Verfahren nicht kompatible Clients über IP-Filter einem Quarantänenetz zugewiesen werden.

Auch der Konfigurationsaufwand der verschiedenen Verfahren variiert beträchtlich. Bei der IPSec-Erzwingungsmethode muss dafür eigens ein Zertifikatdienst aufgesetzt werden, der digitale Zertifikate an die Clients verteilt. Eine Kommunikation zwischen zwei Rechnern ist im Normalfall dann nur noch möglich, wenn diese für IPSec konfiguriert wurden, wobei NAP dafür sorgt, dass nur kompatible Rechner die entsprechenden Zertifikate erhalten. So sicher dieses Verfahren sein mag, es birgt auch Risiken, denn bei einer Fehlkonfiguration liegt unter Umständen dann das ganze Netz lahm.


Komplex? Mit viel Sorgfalt doch noch sicher!

Windows Server 2008 Network Access Protection (NAP)

Der Vorteil dieser Methode ist, dass nicht autorisierte Rechner komplett aus dem Netz ausgeschlossen werden können. Das können nicht alle Verfahren in diesem Maße gewährleisten. Bei der DHCP-Erzwingungsmethode lässt sich beispielsweise nicht verhindern, dass Rechner ohne NAP-Client dennoch eine IP-Adresse mit Vollzugriff auf das Netz erhalten, etwa wenn diese manuell auf dem Computer eingetragen wird. Damit ist diese Methode unbrauchbar, um Besucher mit ihren Laptops aus dem Firmennetz auszusperren.

Sowohl bei der Auswahl der Erzwingungsmethode als auch bei der Konfiguration ist also höchste Sorgfalt geboten. Eine fehlerhaft aufgesetzte NAP-Infrastruktur kann zu erheblichen Netzstörungen führen oder aber bei zu laschen Regeln leicht umgangen werden. Schon bei der ersten Version von Microsofts NAC-Lösung handelt es sich um ein überaus komplexes System. Vor dessen Einführung im Unternehmensnetz sind deshalb eine det
ailierte Planung und ausführliche Tests unabdingbar.


Der Autor

Windows Server 2008 Network Access Protection (NAP)

Michael Pietroforte ist Leiter der EDV-Abteilung der Münchner Universitätsbib,iothek und betreiber des Weblogs 4sysops.com.