Der Stier schützt die Herde
Windows-2003-Server-Nachfolger – Network Computing stellte Longhorn auf den Prüfstand. Wir wollten herausfinden, ob Microsoft der Einlösung ihres Versprechens, Netzwerke sicherer zu machen, mit diesem Betriebssystem ein Stück näher gekommen ist.
Geht es um Sicherheit, ist Microsoft wie ein Blitzableiter. Seit Monaten liegt das Unternehmen wegen des Schließens des Vista-Kernels unter Gewittern. Und das erste Sicherheitsloch in Vista wurde am 22. Dezember ‘06 veröffentlicht – gerade einmal drei Wochen nach dem generellen Release des Betriebssystems.
Ein Licht im Dunkeln für Microsoft ist Windows-Longhorn-Server, ein gründliches Redesign des Windows-Kernels. Longhorn konzentriert sich neben vereinfachtem Management und besserer Performance wirklich auf höhere Sicherheit. Um herauszufinden, wie signifikant ein Umstieg auf das Redmonder Server-Betriebssystem der nächsten Generation sein könnte, testete Network Computing anhand einer Beta-Version die jüngsten Sicherheits-Features.
Wochen des Ausprobierens, Verbiegens und Schikanierens führten zu einem überaus positiven Eindruck. Longhorn enthält tatsächlich signifikante Verbesserungen der Sicherheit für das Setup und die Konfiguration, die Modularität und die Entdeckung des Client-Gesundheitzustands. Eine erweiterte Firewall und ein neuer IP-Stack stecken ebenfalls im Paket.
Administratoren werden viele Sicherheitsdetails finden, die Microsoft-Produkten in der Vergangenheit fehlten. Beispielsweise das beste kleine Feature, das viele Anwender vielleicht niemals bemerken werden: Während der Task-Wizard für die anfängliche Konfiguration läuft, ist kein Netzwerkzugriff auf den Server möglich. Solche Kleinigkeiten lassen Gutes hoffen. In größerem Rahmen nutzt Longhorn Microsofts Network-Access-Protection-Technik (NAP), um Remote-Access-Verbindungen zusätzliche Sicherheit zu bieten.
Unglücklicherweise verlangt NAP Änderungen auf den existierenden Desktops. Um die Vorteile von Longhorn-Server vollständig nutzen zu können, sind mindestens existierende XP-Installationen zu aktualisieren oder auf Vista umzustellen. Das werden viele Organisationen, besonders solche, die unterschiedliche Client-Betriebssysteme einsetzen, nicht leicht schlucken.
Die IT muss auch in Schulung investieren: Bei den von NAP generierten Alerts werden sich Administratoren die Haare raufen, und engere Restriktionen im Netzwerk werden die Benutzer zu mehr remedierenden Aktionen zwingen. Die IT muss ihren Geschäftsplan und interne Erwartungen entsprechend anpassen. Gut vorstellbar, dass sich der Gesamtgewinn eines Longhorn-Upgrades erst zeigt, wenn die Endpunkte ebenfalls aktualisiert sind.
Dreifacher Schutz
Mit NAP geht Longhorn über die Netzwerkzugriff-Quarantäne-Steuerung von Windows-Server-2003 hinaus, die lediglich Remote-Access-Verbindungen schützte: NAP schützt VPN-, DHCP- und IPsec-Verbindungen.
NAP stellt drei Funktionen zur Verfügung, die Unternehmens vor falschen (Rogue-) Clients schützen: Netzwerkrestriktionen beschränken den Zugriff auf Clients, die den Unternehmens-Sicherheitsrichtlinien entsprechen. Falsche Clients gelangen für eine weitere Behandlung in Quarantäne. Und NAP erlaubt der IT eine Netzwerk-Richtlinien-Validierung für erforderliche Patches, aktuelle Virensignaturen und richtige Firewall-Konfigurationseinstellungen.
Schließlich ergreift NAP Maßnahmen zur Behandlung von Clients. Erfüllt ein Client die Health-Check-Richtlinien nicht, kann ein Administrator ihn automatisch auf den verlangten Übereinstimmungsgrad aktualisieren lassen. Diese Art der Netzwerk-Zugriffssteuerung erfordert Client-Management-Software, beispielsweise Microsofts Systems-Management-Server. NAP unterstützt auch eine Konfiguration, die nur beobachtet. Dabei erhält auch der nicht konforme Client Zugriff auf einige Netzwerkressourcen, und der Administrator kümmert sich später um die Übereinstimmungsgrade.
Um NAP nutzen zu können, benötigen die Endpunkte einen NAP-Client-Agenten. Ein solcher ist in Vista und Longhorn enthalten, für XP befindet sich Software im Beta-Test. Für NAP-Server ist der Prozess ein wenig komplexer, denn diese müssen NAP-Administration-Server, einen System-Health-Validator, eine Health-Richtlinie, einen Health-Zertifikatsserver, einen Remediation-Server und einen Richtlinienserver ausführen.
Im Testnetzwerk mit zwei Longhorn-Servern war es möglich, eine Autorisierungsrichtlinie zu konfigurieren, die den VPN-Zugriff nur für Clients mit eingeschalteter Windows-Firewall erlaubte. Clients, die diese Richtlinie nicht erfüllten, wurden zu einer Webseite auf dem Remediation-Server geleitet. Dort erfuhren die Benutzer, dass die Verbindung nicht möglich sei, und erhielten Informationen darüber, was sie tun müssen, um die Richtlinie zu erfüllen. Offensichtlich war dies nur ein einfacher Test, aber Netzwerkadministratoren werden die System-Health-Validators und Autorisierungsrichtlinien gut an ihre Installationen anpassen können.
Fortgeschrittene Sicherheit
Obwohl sich die Datensicherheitswelt derzeit auf die Endpunkte konzentriert, bilden nach wie vor die Netzwerk-Firewalls die erste Verteidigungslinie. Hier baut Microsoft auf ihre Inbound-only-Firewall auf. Tests zeigten, dass Longhorns Firewall eine Reihe von Sicherheitserweiterungen bietet. Den guten Eindruck trübt eine entmutigende und manchmal redundante Schnittstelle.
Longhorn bringt einige Firewall-Erweiterungen, darunter ein auf Profile gestütztes Management, Unterstützung der Filterung ein- und ausgehenden Verkehrs, das neue MMC-Snap-in für das Management und IPsec-Management sowie Firewall-Filterung in einer gemeinsamen Schnittstelle.
Die Filterung ein- und ausgehenden Verkehrs ist ein nützliches neues Feature. Die Grundeinstellung blockiert sämtlichen eingehenden Verkehr, wenn er keiner konfigurierten Regel entspricht oder eine Antwort auf eine Anfrage eines Computers im Netzwerk ist. Dieses Firewall-Verhalten ist ein guter Anfang und wird das Stoppen von Würmern und Viren unterstützen. Regeln lassen sich für die üblichen Felder konfigurieren: Quell- und Ziel-IP-Adressen sowie -TCP/UDP-Ports, Active-Directory-Konten und -Gruppen, Dienste sowie ICMP und ICMP für IPv6-Verkehr über Type und Code.
Das auf Profilen basierende Management ist besonders hilfreich für die Vereinfachung sicherer Gerätekonfigurationen. Administratoren erhalten drei Grundprofile: Domäne, Privat und Public. Das Domänen-Profil dient zur Spezifikation des Verhaltens von Clients in einem Netzwerk mit Domänencontroller. Das Privat-Profil dient für Clients, die mit einem hinter einem Router liegenden Netzwerk verbunden sind. Public ist schließlich das Profil für Clients, die direkt mit dem Internet verbunden sind.
In diesen Profilen enthalten sind Standard-Inbound- und -Outbound-Regeln. Zwar ist die Schnittstelle ein bisschen einschüchternd, aber immerhin hat Microsoft das Setup und die Konfiguration der Firewall-Konfiguration durch einen Getting-Started-Abschnitt in der Managementschnittstelle vereinfacht.
IPsec-Integrationsregeln
Um Ablauschen und Datenveränderungen zu verhindern, hat Microsoft IPsec in Longhorn eingebaut. Die Implementation ist gründlich und enthält eine leicht zu nutzende Konfigurationsschnittstelle. Zwar werden standardmäßig keine IPsec-Regeln konfiguriert, aber der offerierte Assistent macht es einfach genug, dies mit jeden der fünf Typen zu tun: Isolation, Authentifikationsausnahme, Server-zu-Server, Tunnel oder Custom. Isolationsregeln beschränken Verbindungen basierend auf Authentifikationsregeln, beispielsweise Domänenmitgliedschaft oder Health-Status. Authentifikationsausnahmeregeln lassen sich nutzen, um individuelle Computer von IPsec-Restriktionen auszuschließen. Server-zu-Server-Regeln authentifizieren Verbindungen zwischen spezifischen Endpunkten, und Tunnel-Regeln authentifizieren Verbindungen zwischen Gateways.
Die Firewall-Management-Schnittstelle vereinfacht das Management von Eingangs- und Ausgangsrichtlinien. Sie bietet eine vollständige Beschreibung der Richtlinien, während Regeln nach Dienst und Netzwerkprofil gruppiert werden. Der New-Connection-Security-Rule-Wizard erlaubt dem Administrator, eine Regel auf Grundlage eines Programms, Ports oder definierten Dienstes oder eine benutzerdefinierte Regel zu erzeugen. In der MMC erzeugte Regeln lassen sich einfach im- oder exportieren. Alle neuen Funktionen können durch Active-Directory-Gruppenrichtlinienobjekte verwaltet werden.
Eine der größten Herausforderungen bei der Firewall-Konfiguration ist es sicherzustellen, dass Regeln korrekt definiert sind. An diesem Punkt leistet Longhorn bewundernswerte Arbeit. Im Test wurde beispielsweise eine Regel erzeugt, die Internetzugriff von der Serverkonsole verbietet. Diese Regel blockierte einfach den Zugriff des Internet-Explorers auf das Internet. Fügt ein Administrator diese Regel den Gruppenrichtlinien hinzu, wird damit der Browser unternehmensweit blockiert. Regeln für eingehende Zugriffe und IPsec-Richtlinien ließen sich ebenso einfach konfigurieren.
TCP/IP-Stack
Die wahrscheinlich größte Änderung, die Longhorn für die Netzwerkschicht bringt, ist ein neuer TCP/IP-Stack. Er soll die Installation vereinfachen, die Performance verbessern und die Speichernutzung reduzieren. Das, was Microsoft den Next-Generation-TCP/IP-Stack nennt, enthält eine zweischichtige IP-Architektur für IPv4 und IPv6 sowie ein verbessertes automatisches Tuning der TCP/IP-Einstellungen.
Die zweischichtige Architektur bedeutet, dass IPv4 und IPv6 sich die Transport- und Framingschichten teilen – Administratoren brauchen IPv6 nicht mehr als separaten Stack zu installieren. Tatsächlich ist IPv6 in Longhorn der Standard-Stack. Im Test zeigten sich keine IPv4-Connectivity-Probleme. IPv6 lässt sich aber nicht mehr de-installieren – wer IPv6 nicht nutzen und es deshalb ausschalten möchte, muss die Registry modifizieren. Glücklicherweise hat Microsoft den notwendigen Eingriff dokumentiert.
Der neue TCP/IP-Stack passt die TCP-Fenstergröße individuellen Verbindungen automatisch an. Die Autotuning-Fähigkeit sollte die Effizienz des Datentransports über schnelle Netzwerkverbindungen erhöhen.
Microsoft hat außerdem natives TCP-»Chimney«-Offloading eingeführt. Das ist ein großer Vorteil für Organisationen, die auf IP basierenden Speicher nutzen und künftig auf 10-Gigabit-Ethernet aufrüsten wollen. Mit diesem Feature verbessert Longhorn die Netzwerk-Performance, indem es Netzwerkaufgaben auf den Adapter verschiebt.
dj@networkcomputing.de
