IT-Academy Logo
Sign Up Login Help
Home - Betriebssysteme - Linux - Server/Internet/Netzwerk - Remote Access Service (RAS)



Remote Access Service (RAS)

Was ist Remote Access? Zwecke. Sicherheit. Sicherheitsmanagement mit RADIUS. Hauptfunktionen von RADIUS.


Autor: Sebastian Fladung (SFiL)
Datum: 01-04-2003, 15:57:40
Referenzen: Vernetzte IT -Systeme (Bildungsverlag E1NS Stam)
IT - Ausbildung – Vernetzte IT -Systeme (Medien-Institut Bremen)
Schwierigkeit: Anfänger
Ansichten: 7671x
Rating: 8.8 (5x bewertet)

Hinweis:

Für den hier dargestellte Inhalt ist nicht der Betreiber der Plattform, sondern der jeweilige Autor verantwortlich.
Falls Sie Missbrauch vermuten, bitten wir Sie, uns unter missbrauch@it-academy.cc zu kontaktieren.

[Druckansicht] [Als E-Mail senden] [Kommentar verfassen]



Was ist Remote Access?

Remote Access bedeutet, dass User, die sich außerhalb der Räumlichkeiten Ihres Unternehmens befinden, auf das Unternehmensnetzwerk zugreifen können, als würden sie im Hause arbeiten. Die Verbindung zum Unternehmensnetzwerk wird via Einwahl durch das Telefonnetz oder Internet hergestellt. Dies geschieht den Erfordernissen entsprechend analog, per Modem, ISDN oder GSM/Handy.

Diese Art der Netzwerkverbindung bietet sich vor allem an, wenn nur zu bestimmten Anlässen Daten aus dem Unternehmensnetzwerk benötigt werden oder an dieses übermittelt werden sollen.



Für welche Zwecke eignen sich Remote Access Services?
  • Für Mitarbeiter, die außerhalb der Geschäftszeiten oder Unterwegs noch Daten benötigen, ihre E-Mail erledigen wollen oder Daten, die am Tage auf dem Laptop oder PC gesammelt wurden in das Unternehmensnetzwerk einspeisen müssen.
  • Für mobile Vertriebsmitarbeiter, die Aufträge direkt zur Bearbeitung weitergeben oder die Verfügbarkeit bestimmter Artikel abfragen wollen.
  • Für Servicetechniker, die vor Ort Daten oder Informationen abrufen wollen.
  • Für Mitarbeiter, die nicht am Ort des Unternehmens arbeiten (Home Office User).
  • Für Filialen Ihres Unternehmens, die ihre Tagesabschlüsse sowie Nachbestellungen und ähnliche Informationen in das Unternehmensnetz senden und Daten aus dem Netz erhalten.
Wie wird auf das Unternehmensnetzwerk zugegriffen?

Hier müssen zwei Seiten betrachtet werden. Einerseits der Remote Access Server am Unternehmensstandort, der den Zugriff ermöglicht, andererseits die Geräte auf der Clientseite, die es den außerhalb des Unternehmens tätigen Mitarbeitern ermöglichen, auf das Netz zuzugreifen.
  1. Je nach Anzahl der mobilen bzw. Remotebenutzer, dem Zugriffsmedium (analog, ISDN, GSM) und den zu erfüllenden Sicherheitsfunktionen muss der Remote Access Server dimensioniert werden. Da jeder Hersteller von Remote Access Servern seinen Geräten spezielle Funktionalitäten implementiert, gibt es eine Vielzahl von Möglichkeiten, die angestrebten Funktionalitäten zu realisieren.
  2. Auch bei den Geräten auf der Clientseite, gibt es eine Vielzahl von technischen Möglichkeiten, die den jeweiligen Erfordernissen angepasst werden müssen. Hier bei ist z.B. bei Notebookuser zu beachten, dass das Passwort nicht gespeichert wird.
Sicherheit beim Dial-In

Ein Problem bei Remote Access ist die Sicherheit des Unternehmensnetzwerks. Da nicht davon ausgegangen werden kann, dass die entsprechenden Telefonnummern immer nur den jeweils berechtigten Benutzern bekannt sind, müssen geeignete Maßnahmen zum Schutz des Netzes vor unbefugten Zugriffen ergriffen werden.

Bei der Einbettung der Sicherheitsmechanismen für Remote Access in bestehende Sicherheitsstrategien ist zu bedenken, dass ein zu komplexes inhomogenes System von Administratoren nicht entsprechend gepflegt werden kann und somit wirkungslos wird.
Eine Vereinheitlichung der Zugangspunkte und Konzentration des Managements auf wenige zentrale Komponenten bringt "Sicherheit durch Einfachheit".

Je nach Anzahl der Remote Benutzer, der firmeninternen Sicherheitsstrategie und gewünschter Sicherheit sollten folgende Aspekte berücksichtigt werden:

Bedarf an Sicherheit
Lösung
Ergebnis
Beschränkte Sicherheit Abfrage nach User-Liste mit PAP verhindert irrtümliche Zugriffe
Mittlere Sicherheit CHAP anstatt PAP beugt Abhören des Logins vor
Hohe Sicherheit / feste Teilnehmerorte Rufnummerkennung / Callback keine Verbindung mit unbekannten Orten
Sehr hohe Sicherheit/auch wechselnde Teilnehmerorte Authentifizierungs-Server mit dynamischen Paßwortalgorithmen Schutz gegen Abhören; unbefugte User an erlaubten Orten; Mißbrauch von Komponenten nach Diebstahl


Sicherheitsmanagement mit RADIUS

RADIUS (Remote Authentication Dial in User Service) ist ein leistungsstarkes Werkzeug, mit dem sich Remote-Access-Sicherheitskonzepte flexibel planen und einrichten lassen. RADIUS ist eine Software, die auf einem separatem Rechner im Netzwerk läuft.

RADIUS folgt einem Client/Server-Modell. Bei der Anmeldung eines Benutzers sendet der Remote Access Server eine Verbindungsanfrage zum Radius-Server, der die Berechtigung des Benutzers überprüft. Nur wenn der anrufende Benutzer berechtigt ist eine Verbindung zum Netzwerk herzustellen, werden alle notwendigen Informationen (User-Profil) zum Remote Access Server gesandt, um die entsprechenden Dienste für diesen Benutzer zu ermöglichen.

Die Hauptfunktionen von RADIUS

Die Hauptfunktionen sind Authentifizierung, Autorisierung, Abrechnung.
  • Die Authentifizierung kontrolliert die Identität eines Benutzers. Um die Identität zu überprüfen, bietet RADIUS verschiedene Möglichkeiten, wie z.B. PAP (Password Authentication Protocol), CHAP (Challenge Handshake Authentication Protocol), Unix login und spezielle Algorithmen, die von anderen Sicherheitssystemen gesteuert werden.
  • Sobald ein Anwender authentifiziert ist beginnt die Autorisierung. Hierzu sendet der RADIUS Server zum Remote Access Server ein vordefiniertes Benutzerprofil, das festlegt, welche Zugriffsrechte dieser Benutzer hat. Neben diesen Berechtigungen kann das Benutzerprofil auch aus Aktionen bestehen, z.B. einem Rückruf (dabei trennt der Remote-Access-Server die Verbindung und ruft den Benutzer unter einer vorher festgelegten Nummer an). Dieser Mechanismus ist eine weitere Sicherheitsstufe.
  • Neben Authentifizierung und Autorisierung ist die Abrechnungsfunktion (Accounting) ein wichtiger Teil von RADIUS. Es wird eine Logdatei geführt, die Einwählversuche und weitere Informationen, z.B. wie lange die Verbindung aufgebaut war, festhält. Diese Informationen sind u.a. interessant, um die entstehenden Kosten auf die Kostenstellen (in einem Unternehmen) der Benutzer umzulegen.
Weitere Sicherheitssysteme und Sicherheitsprodukte

Neben der beschriebenen RADIUS Software gibt es noch eine Reihe weiterer Produkte, welche die Sicherheit bei Remote Access erhöhen. Einen sehr hohen Sicherheitsgrad bieten dynamische Passwörter. Hier wird für jeden Login ein neues einmaliges Passwort erzeugt. Der Remotebenutzer hat hierzu ein kleines Gerät, auf dem eine Ziffernfolge generiert wird, die neben dem Benutzerpasswort mit eingegeben werden muss. Diese Ziffernfolge ändert sich entweder in einem bestimmten zeitlichen Intervall oder bei jedem Einwahlversuch.

Quellen

Vernetzte IT -Systeme (Bildungsverlag E1NS Stam)
IT - Ausbildung - Vernetzte IT -Systeme (Medien-Institut Bremen)


SFiL
Junior-Member
Beitrag vom:
25-06-2004, 17:53:55

VPN

Servus,
nein das geht natürlich nicht. RAS geht nur über analog/ISDN. Was du meinst, dafür benötigst du ein VPN. dann musst du nur die Firewall entsprechend einrichten, und dann sollte das klappen.
Ich denke, du interessierst dich bestimmt für Windowsbasierende VPNs.
z.B. http://openvpn.sourceforge.net/ ist einfach.

Sebastian

-----------------------------------------------------


Hackergod1
Rookie
Beitrag vom:
24-06-2004, 22:21:02

geht das mit auch mit DSL

der firmen rechner verfügt über eine dsl anbindung. wen ich auf den rechner zugreifen möchte muss der rechner sich aber nicht online befinden oder?

es soll eigendlich so sein das ich von überall meinen pc erreichen kann. und meine webkamera zur online videoüberwachung nutzen möchte!

was über remote funktioniert, soweit ich weis. bitte um schnelle Antwort

-----------------------------------------------------


pc-tom
Rookie
Beitrag vom:
04-10-2003, 22:54:13

sicherheit

meine meinung? ist vollkommen ok persönlich habe ich noch ne frage und zwar in meiner domäne habe ich gruppen angelegt ok jetzt habe ich einen ras server aufgesetzt und möchte einer gruppe erlauben sich via isdn ein zuwählen und möchte diese gruppe hinzufügen. doch diese gruppe kann ich nicht auswählen( sie erscheint garnicht in dem auswahl fenster) obwohl sie wenn ich auf den dc schaue da ist der ras ist nur memberserver und als gruppe kann ich nur lokal die wins gruppe hinzufügen was mache ich verkehrt?? thomas

-----------------------------------------------------


[back to top]



Userdaten
User nicht eingeloggt

Gesamtranking
Werbung
Datenbankstand
Autoren:04510
Artikel:00815
Glossar:04116
News:13565
Userbeiträge:16552
Queueeinträge:06247
News Umfrage
Ihre Anforderungen an ein Online-Zeiterfassungs-Produkt?
Mobile Nutzung möglich (Ipone, Android)
Externe API Schnittstelle/Plugins dritter
Zeiterfassung meiner Mitarbeiter
Exportieren in CSV/XLS
Siehe Kommentar



[Results] | [Archiv] Votes: 1157
Comments: 0