VPNs mit Windows 2000
Artikel erschienen in Swiss IT Magazine 2000/40
Innerhalb nur weniger Jahre haben sich virtuelle private Netzwerke, kurz VPN, als Standardtechnologie etablieren können. Microsoft hat darauf schon unter Windows NT reagiert und gemeinsam mit mehreren anderen Herstellern das Tunneling-Protokoll PPTP definiert und implementiert. Bei Windows 2000 ist nun mit L2TP ein weiteres Protokoll für die Realisierung von VPNs hinzugekommen.
L2TP (Layer 2 Tunneling Protocol) hat dabei die deutlich grösseren Chancen für die Zukunft. Microsoft hat zwar die Sicherheitsrisiken, die PPTP (Point-to-Point Tunneling Protocol) zumindest theoretisch hat, adressiert, gerade im heterogenen Umfeld ist L2TP aber zunehmend das bevorzugte Tunneling-Protocol. Solange allerdings in reinen Microsoft-Umgebungen gearbeitet wird, spricht wegen der einfacheren Konfiguration einiges auch dafür, auf PPTP zu setzen. PPTP kann bei Windows 2000 mit 128-Bit-Verschlüsselung arbeiten. Es ist für Windows NT und Windows 9x verfügbar. L2TP wird dagegen im Windows-Umfeld ohne Add-ons von Drittherstellern ausschliesslich unter Windows 2000 unterstützt. Die Sicherheit der Verbindungen wird über IPsec konfiguriert. IPsec aber ist in der Konfiguration ein vergleichsweise komplexes Protokoll.
Der Aufbau von VPNs ist bei Windows 2000 eng mit der RAS- und Routing-Funktion verbunden. Faktisch routet der VPN-Server die Verbindungen in das lokale Netzwerk weiter. Dementsprechend erfolgt die Konfiguration sowohl beim Client als auch beim Server in Verbindung mit der RAS-Konfiguration.
Für die Serverkonfiguration wird die Anwendung Routing und RAS verwendet. Dort kann im Kontextmenü eines Servers die Option Routing und RAS konfigurieren und aktivieren ausgewählt werden, worauf ein Assistent gestartet wird.
Im ersten Schritt kann dort die Option VPN-Server selektiert werden, wenn ein RAS-Server mit Unterstützung für PPTP oder L2TP eingerichtet werden soll.
Der nächste Schritt ist die Protokollauswahl. Über PPTP können beliebige Protokolle geroutet werden, während L2TP in Verbindung mit IPsec ausschliesslich mit TCP/IP genutzt werden kann. Die Bedeutung der Protokollunabhängigkeit von PPTP ist allerdings mit heute fast flächendeckender Verbreitung von IP als Standardprotokoll deutlich zurückgegangen.
Hier können gegebenenfalls auch Protokolle hinzugefügt werden. Diese werden dann auf dem Server eingerichtet und aktiviert. Der nächste Schritt ist dann die Auswahl der zu verwendenden Internetverbindung. Die Geräte, die hier eingesetzt werden, sollten zu diesem Zeitpunkt bereits installiert sein. Anschliessend muss konfiguriert werden, ob die Clients ihre IP-Adressen aus einem statischen Pool erhalten oder ob der RAS-Server entsprechend der Anzahl unterstützter Verbindungen Adressen bei einem DHCP-Server beziehen soll. Auch der Internetauthentifizierungsdienst, also die RADIUS-Unterstützung von Windows 2000, kann mit Hilfe des Assistenten aktiviert und, falls noch nicht geschehen, auch installiert werden. Anschliessend wird der Dienst automatisch gestartet.
Die Einstellungen können dann bei den Eigenschaften des Servers in Routing und RAS angepasst werden. Von besonderer Bedeutung sind hier die Eigenschaften des Ordners Ports. Standardmässig werden bei VPN-Servern 128 Ports pro Tunneling-Protokoll bereitgestellt. Diese Zahl kann entsprechend der zu erwartenden Verbindungen reduziert oder erhöht werden.
Interessant für die Konfiguration sind auch die RAS-Richtlinien, die konfiguriert werden können. Dort lässt sich einstellen, welche Tunneling-Protokolle zugelassen sind respektive abgewiesen werden.
Der VPN-Client wird unter Windows 2000 dagegen bei den Netzwerk- und DFÜ-Verbindungen eingerichtet. Auch hier wird wieder über einen Assistenten gearbeitet. Durch Auswahl von Verbindung mit einem privaten Netzwerk über das Internet herstellen wird mit der Konfiguration von VPNs begonnen. Der erste Schritt besteht dabei in der Auswahl der DFÜ-Verbindung zum Internet-Provider. Aus Sicht von Clients erfolgt die Verbindung zu einem VPN-Server immer in zwei Schritten. Zuerst wird die Verbindung mit dem Internet aufgenommen. Dazu erfolgt typischerweise eine Anwahl bei einem Provider. Die DFÜ-Verbindung, die dafür verwendet werden soll, muss bereits konfiguriert sein. Der zweite Schritt ist dann der Zugriff auf die IP-Adresse eines Servers im Internet. Der VPN-Server muss zwingend über eine öffentliche IP-Adresse verfügen. Es kann dann noch ausgewählt werden, ob diese Verbindung nur für den gerade aktiven Benutzer oder alle Anwender auf dem Client-System genutzt werden soll.
Nachdem die Basiskonfiguration abgeschlossen ist, können noch die Eigenschaften der Verbindung konfiguriert werden. Hier sind insbesondere zwei Register von Bedeutung. Unter Sicherheit kann festgelegt werden, mit welchem Mass an Sicherheit gearbeitet werden soll.
Die Standardeinstellung ist, dass ein sicheres Kennwort erzwungen wird und eine Datenverschlüsselung erforderlich ist. Bei VPNs sollte grundsätzlich mit Verschlüsselung gearbeitet werden, da das Internet als Trägermedium verwendet wird. Über die Schaltfläche Erweitert kann ein weiteres Dialogfeld aufgerufen werden, in dem noch zusätzliche Konfigurationseinstellungen zur Sicherheit vorgenommen werden können. Dort kann das Niveau der Anmeldesicherheit detailliert festgelegt werden. Unter anderem kann hier definiert werden, dass EAP (Extensible Authentication Protocol) in Verbindung mit Smartcards eingesetzt wird.
Das zweite wichtige Register ist Netzwerk. Dort lässt sich der Typ des anzurufenden VPN-Servers festlegen. Dieser kann entweder automatisch gewählt oder zwingend auf PPTP beziehungsweise L2TP gesetzt werden. Hier wird also konfiguriert, mit welchem der beiden Tunneling-Protokolle gearbeitet werden soll oder ob ein Client beide Alternativen unterstützen soll.
Falls L2TP eingesetzt wird, muss im nächsten Schritt noch IPsec für die Verschlüsselung der Übertragung konfiguriert werden. IPsec wird, wie bereits oben erwähnt, auf der Windows-Plattform nur bei Windows 2000 unterstützt. Die Konfiguration erfolgt über IPsec-Richtlinien, die wiederum über Gruppenrichtlinien auf dezentrale Systeme verteilt werden können. Sie lassen sich aber mit Hilfe des MMC-Snap-Ins IP-Sicherheitsrichtlinien auch auf lokalen Systemen konfigurieren. Mit diesem Tool können dann IP-Sicherheitsrichtlinien erstellt und bearbeitet werden. Die Richtlinien können dann über den Befehl Zuweisen im Kontextmenü aktiviert werden, wobei nur aktivierte Richtlinien verarbeitet werden.
Die Konfiguration von IPsec ist nicht trivial. Wenn beispielsweise ein bestimmtes Mass an Sicherheit von einem Server zwingend angefordert wird, dann muss bei den Clients auch eine IPsec-Richtlinie aktiviert sein, um überhaupt eine Verbindung herstellen zu können. IPsec-Richtlinien bestehen aus einer oder mehreren IP-Sicherheitsregeln, die wiederum eine Kombination von IP-Filterlisten, Filteraktionen, Authentifizierungsmethoden, Tunneleinstellungen und Verbindungstyp sind.
Die IP-Filterlisten legen fest, welche Kommunikation überhaupt zulässig ist. Hier können die Quell- und Ziel-IP-Adressen, die Ports und andere Parameter ähnlich wie bei Firewalls oder Routern eingeschränkt werden. Die Konfiguration von IP-Filterlisten setzt profunde Kenntnisse über das TCP/IP-Protokoll voraus. Die Filteraktion bestimmt, wie das System reagiert, wenn die eingehenden Pakete der IP-Filterliste entsprechen. Die Kommunikation kann dann zugelassen oder verweigert werden. Ausserdem ist es möglich, die Verschlüsselung anzufordern oder zu erzwingen. In der Praxis macht es wenig Sinn, mit optionaler Verschlüsselung zu arbeiten. Entweder sind die Daten so sensibel, dass sie verschlüsselt werden müssen oder nicht.
An dieser Stelle wird ein Vorteil der Kombination von L2TP in Verbindung mit IPsec im Vergleich zu PPTP deutlich. Mit IPsec kann gezielt für einzelne Kommunikationsinhalte gesteuert werden, ob diese verschlüsselt werden oder nicht. So ist es beispielsweise problemlos möglich, die Kommunikation mit einem SAP R/3-Server gezielt zu verschlüsseln. Bei PPTP wird dagegen entweder grundsätzlich verschlüsselt oder gar nicht.
Die Authentifizierungsmethode bei IPsec legt dann fest, wie die Authentifizierung der Systeme beim Verbindungsaufbau erfolgt. Hier kann mit Kerberos, mit X.509-Zertifikaten oder mit fest vorgegebenen Zeichenketten gearbeitet werden. Letzteres ist aber unter dem Aspekt der Sicherheit abzulehnen. Bei den Tunneleinstellungen wird der Endpunkt der Kommunikationsverbindung beschrieben, also der Computer, mit dem die Verbindung aufgebaut werden soll. Schliesslich kann noch festgelegt werden, ob es sich um eine LAN- oder eine RAS-Verbindung handelt.
Wichtig ist, dass solche IPsec-Regeln immer über ein Zusammenspiel von Regeln auf der Client- und der Server-Seite arbeiten. Das bedeutet, dass beispielsweise die Filterregeln oder die Authentifizierungsmethoden zusammenpassen müssen. IPsec erfordert daher eine umfassende und differenzierte Planung.
Letztlich sind sowohl PPTP als auch L2TP in Verbindung mit IPsec sichere und brauchbare Lösungen für den Aufbau von VPNs. Dadurch, dass sie über die gleiche Client- und Server-Schnittstellen arbeiten und konfiguriert werden, ist es durchaus denkbar, zunächst mit PPTP zu beginnen und beim Schritt zu Windows-2000-Systemen und im heterogenen Umfeld dann schrittweise zu L2TP zu wechseln. Unter Windows 2000 ist hier keine zusätzliche Software erforderlich. Der Vorteil von PPTP liegt heute in der breiten Plattformunterstützung und der einfacheren Konfiguration. Für L2TP spricht, dass es zunehmend zum Standard wird und darüber hinaus mit IPsec auch die Verschlüsselung sehr viel differenzierter konfiguriert werden kann.