Sicherheit für den Internetauthentifizierungsdienst

Vorwort
Der Internetauthentifizierungsdienst (Internet Authentication Service, IAS) ist eine Methode zur Authentifizierung
von Benutzern, Kerberos nicht unähnlich. Der IAS ist die Microsoft Implementation eines RADIUS Servers.
IAS bietet Benutzern für die Dauer der Verbindung allerdings auch Autorisierung und Kontoführung. IAS agiert
als RADIUS-Server und -Proxy (Remote Authentication Dial-in User Service), der Kompatibilität mit einer Vielzahl
nicht von Microsoft stammender Hard- und Software schafft, darunter drahtlose Router, Authentifizierungsswichtes,
RAS-Server und VPN-Verbindungen.

IAS wird häufig verwendet, um einen Drittanbieter ISP die Authentifizierung von Einwählbenutzern über die Active
Directory Datenbank einer Organisation zu ermöglichen. Auf diese Weise können sich die Benutzer beim ISP
mithilfe ihrer Active Directory Benutzernamen und Kennwörter anmelden, auch wenn der ISP selbst den Active
Directory Dienst nicht verwendet. RADIUS ist wie die von Windows Server 2003 unterstützten Internetprotokolle
ein IETF-Standard (Internet Engineering Task Force).

 

Konfigurieren von IAS
IAS kann mit der Serververwaltung nicht installiert werden. Stattdessen verwenden Sie die Funktion Windows-
Komponenten hinzufügen/entfernen:

  1. Klicken Sie auf Windows-Komponenten hinzufügen/entfernen beim Punkt Software der System-
    steuerung.

  2. Klicken Sie im Assistenten für Windows-Komponenten auf Netzwerkdienste und dann auf Details.

  3. Wählen Sie Internetauthentifizierungsdienst im Dialogfeld Netzwerkdienste, klicken Sie auf OK und
    dann auf Weiter.

  4. Klicken Sie nach Abschluss der Installation auf Fertig stellen.

 

RADIUS Nachrichtenauthentifizierungen
Wenn Sie IAS für einen RADIUS-Client konfigurieren, dann geben SIe auch die IP-Adresse des Clients an.
Falls eine eingehende Access-Request-RADIUS Meldung anich von mindestens einer der IP-Adressen von
konfigurierten Clients stammt, verwirft IAS die Meldung automatisch. Dadurch wird der IAS Server geschü-
tzt. Wie jedoch bereits angemerkt, können Quell-IP-Adressen unzuverlässigerweise manipuliert (d.h. durch
andere IP-Adressen ersetzt) werden und somit sind deswegen für die Authentifizierung ungeeignet.

Gemeinsame geheime Schlüssel werden verwendet, um sicherzustellen, dass RADIUS Meldungen (mit
Ausnahme von Access-Request-Meldungen) von einem RADIUS-fähigen Gerät gesendet werden, an dem
jeweils der gleiche gemeinsame geheime Schlüssel konfiguriert ist. Gemeinsame geheime Schlüssel
sollen zudem gewährleisten, dass die RADIUS-Meldung während des Transports nicht modifiziert wurde
(dies bezeichnet man als Nachrichtenintegrität). Abschließend wird der gemeinsame geheime Schlüssel
zur Verschlüsselung einiger RADIUS-Attribute wie etwa User-Password und Tunnel-Password verwendet.
Um die Überprüfung von Meldungen bereitzustellen, können Sie die Verwendung des Message Authenti-
cator RADIUS Attributs aktivieren.

Hinweis:
Wenn SIe RADIUS-Clients über einen IP-Adressbereich angeben, müssen alle RADIUS-Clients innerhalb
dieses Bereichs den gleichen geheimen Schlüssel verwenden.

 

Kontosperrung
Mithilfe der RAS-Kontosperrungsfunktion können Sie angeben, wie oft eine Remotezugriffsauthentifizie-
rung bei einem gültigen Benutzer fehlschlagen kann, evor dem Benutzer der Zugriff verweigert wird.
Die RAS-Kontosperrung ist bei RAS-VPN Verbindungen über das Internet von großer Bedeutung. Ein An-
greifer kann versuchen, auf das Intranet eines Unternehmens zuzugreifen indem er während des Authen-
tifizierungsvorgangs der VPN Verbindung Anmeldeinformationen (einen gültigen Benutzernamen oder
ein erratenes Kennwort) sendet. Während eines Wörterbuchangriffs sendet der Angreifer Hunderte
oder Tausende von Anmeldeinformationen, wobei er eine Kennwortliste auf Grundlage häufig verwen-
deter Wörter oder Sätze verwendet.

Zum Aktivieren der RAS-Kontosprerrung müssen Sie den Eintrag MaxDenials im Registrierungsschl-
üssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\
AccountLockout auf den Wert 1 oder höher setzen. MaxDenials bezeichnet die maximale Anzahl
der fehlgeschlagenen Versuche, bevor das Konto gesperrt wird. Standardmäßig ist MaxDenials auf
den Wert 0 festgelegt. Dies bedeutet, dass die RAS Kontosperrung aktiviert ist.

Zum Ändern der Zeitdauer für das Zurücksetzen des Zählers für fehlgeschlagende Versuche müssen
Sie den Eintrag ResetTime (mins) im Registrierungsschlüssel HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout auf die erforderliche
Anzahl von Minuten festlegen. Standardmäßig ist ResetTime (mins) auf den Wert 0xb40 d.h. auf
2.880 Minuten (48 Stunden) festgelegt.

Zum manuellen Zurücksetzen eines gesperrten Benutzerkontos vor dem automatischen Zurücksetzen
des Zählers müssen SIe den Registrierungsunterschlüssel HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout\Domänenname:Benut-
zername löschen, der zum Kontonamen des Benutzers gehört.

 

Quarantänesteuerung
Ein RAS-Benutzer gibt Anmeldeinformationen an, um zu zeigen, dass er ein rechtmäßiger Benutzer
ist. Dies ist als Nachweis, gedacht, dass es sich bei dem Benutzer nicht um einen Angreifer handelt.
Die Authentifizierung eines Benutzers sagt aber nichts darüber aus, ob auf diesen Computer bösartige
Software wie Trojaner, Würmer oder Viren vorhanden sind. Glücklicherweise beitet IAS mit der Quaran-
tänesteuerung eine Möglichkeit zu bestimmen, ob der Computer eines RAS-Benutzers sicher ist. Auf
diese Weise kann verhindert werden, dass der Benutzer unwissentlich Würmer und Viren in einem bis
dahin sicheren Netzwerk verbreitet.

Die Quarantänesteuerung für IAS Netzwerkzugriff ist eine neue Funktion von Windows Server 2003 und
verzögert den normalen Remotezugriff auf ein privates Netzwerk, bis die Konfiguration des RAS-Com-
puters vo neinem Script, welches der Administrator implementiert hat, untersucht und bewertet wurde.
Stellt ein RAS-Computer eine Verbindung mit einem RAS-Server her, dann wird der Benutzer authen-
tifiziert, und der RAS-Computer erhält eine IP-Adresse. Dann allerdings wird die Verbindung in den Qua-
rantänemodus versetzt, in dem der Netzwerkzugriff eingeschränkt ist. Das administratorseitige Script
wird auf dem RAS-Computer ausgeführt. Meldet das Script dem RAS-Server seine erfolgreiche Aus-
führung und entspricht der RAS-Computer den aktuellen Netzwerkrichtlinien, dann wird der Quarantä-
nemodus aufgehoben, und der RAS-Computer erhält normalen Remotezugriff.

Die Quarantänebeschränkung, die einzelnen RAS-Verbindungen auferlegt werdne, umfassen einen
Satz von Quarantäneaketfiltern, die den Datenverkehr beschränken, der von und zum betreffenden RAS-
Client gesendet werden kann, und einem Sitzungszeitgeber, der festlegt wie lange der Client im Qua-
rantänemodus verbunden bleiben darf, bevor die Verbindung getrennt wird. Programme zur Konfigur-
ation und Implementierung der Quarantänesteuerung finden Sie im Windows Server 2003 Resource
Kit, das unter http://www.microsoft.com/windowsserver2003/techinfo/reskit/resourcekit.mspx erhäl-
tlich ist.

 

Überlegungen zur Protokollierung
IAS kann Authentifizierungs- und Kontoführungsanforderungen protokollieren. Diese Informationen
sind wesentlich, um zu ermitteln wann Benutzer eine verbindung herzustellen versucht haben, und
um erfolgreiche wie auch erfolglose Angriffe zu erkennen. Gehen Sie wie folgt vor, um die IAS-Pro-
tokollierung zu konfigurieren.

  1. Starten Sie die Konsole Internetauthentifizierungsdienst aus der Programmgrupe Verwaltung.

  2. Klicken Sie auf den Knoten RAS-Protokollierung im linken Fensterbereich.

  3. Klicken SIe im rechten Bereich mit der rechten Maustaste auf Lokale Datei und wählen Sie
    dann Eigenschaften.
    Das Dialogfeld Eigenschaften von Lokale Datei wird angezeigt.

  4. Wählen Sie Kontenführungsanforderungen, Authentifizierungsanforderungen und/oder Peri-
    odischer Status     aus, um die Protokollierung für diese Elemente zu aktivieren.

Wenn die IAS-Protokollierung aktiviert ist, werden die Protokolldateien standardmäßig im Ordner
%SystemRoot%\System32\LogFiles abgelegt. Die ACL für den Ordner LogFiles stellt die beste Sicherheits-
maßnahme für IAS-Protokolldateien dar. Diese Liste umfasst die Benutzer und Gruppen, die auf den Ordner
zugreifen dürfen. Zusätzlich sind allen Benutzern und Gruppen bestimmte Berechtigungen zugewiesen, die
festlegen, welche Handlungen der Benutzer bzw. die Gruppe an oder mit dem Ordner vornehmen kann.
Ähnlich wie bei IIS können auch die IAS-Protokolldaten direkt an einen Datenbankserver gesendet werden.

 

Schützen von IAS mit Firewalls
Wenn eine Firewall zwischen dem IAS-Server und einem Client oder einem anderen IAS-Server plaziert
wird, müssen an der Firewall die Anschlüsse geöffnet werden. Der Authentifizierungsdatenverkehr verwendet
die UDP Anschlüsse 1645 und 1812, der Kontoführungsdatenverkehr die UDP Anschlüsse 1813 und 1646.
Die Benachrichtigungs- und Überwachungskomponenten der Quarantänesteuerung verwenden standardmäßig
den Anschluss 7250. Aus diesem Grund müssen Sie Netzwerkdatenverkehr über Anschluss 7250 über die
Firewall zulassen, damit die Clientcomputer mit dem Überwachungsthread des RAS-Servers kommunizieren
können.

 

Erstellt von: Haßlinger Stefan
Im: Jahr 2006