Benutzerauthentifizierung bei ausgehenden Webanfragen
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2004
Oftmals ist es erforderlich, dass für ausgehende Webanfragen (also Anfragen über http, https und ftp) eine Zugriffskontrolle auf Benutzerebene erfolgen kann. In vielen Unternehmen wird aus arbeitsrechtlichen- oder aus Sicherheitsgründen nicht allen Mitarbeitern ein uneingeschränkter Internetzugang ermöglicht. Um das zu Kontrollieren ist der ISA Server bestens geeignet. Der ISA Server kann grundsätzlich bei allen Zugriffsarten Regeln pro IP-Adresse oder pro Benutzer freigeben. Standardmäßig ist keine Benutzerauthentifizierung aktiviert.
Benutzerauthentifizierung kann an mehreren Stellen verwendet werden. Sobald der Firewallclient installiert ist, können für alle nicht-Webprotokolle benutzerabhängige Zulassungsregeln erstellt werden. Somit kann z.B. erreicht werden, dass für Benutzer Birgit von jedem Rechner aus ausgehende SMTP Anfragen erlaubt sind. Ohne den Firewallclient würde dies nur über Clientadresssätze und somit nur basierend auf einer oder mehreren IP-Adresse möglich sein.
Damit auch für die Webprotokolle http, https und ftp eine Benutzerauthentifizierung möglich wird, muss der Webproxyclient verwendet werden. Sowohl der Firewallclient als auch der SecureNAT-Client scheitern am Webproxyfilter. Zuvor muss natürlich der ISA Server für die Benutzerauthentifizierung konfiguriert werden.
Dazu muss man im Knoten Netzwerke in die Eigenschaften des internen Netzwerkes gehen:
In der Registerkarte "Webproxy" kann man den Webproxy für dieses Netzwerk aktivieren und den Abhörport (Listener) konfigurieren. Standard ist Port 8080.
Über die Schaltfläche "Authentifizierung..." gelangt man zu folgenden Optionen:
Über den Schalter Authentifizierung ist für alle Benutzer erforderlich wird die Authentifizierung für das ganze interne Netzwerk eingeschaltet.
Hinweis: Wird der Schalter "Authentifizierung ist für alle Benutzer erforderlich" nicht aktiviert, kann dennoch eine Benutzerauthentifizierung erzwungen werden. Wenn eine Regel für http/ftp mit einer Gruppe existiert, gilt diese auch nur für die Gruppenmitglieder. Unabhängig vom gesetzten Schalter. Es ist daher immer wichtig, die richtige Authentifizierungsmethode zu verwenden. In einer reinen Windows-Umgebung sollte die Integrierte Authentifizierung aktiviert sein.
Im oben abgebildeten Fall haben die Mitglieder der Gruppe Administratoren uneingeschränkten Internetzugriff. Alle anderen Benutzer dürfen nur die Webseiten aufrufen, die durch die Systemrichtlinie erlaubt sind.
Je nach vorhandener Netzwerkumgebung muss jedoch die Authentifizierungsmethode angepasst werden. Dies ist zum Beispiel der Fall wenn als Webbrowser nicht der Microsoft Internet Explorer (ab 5.x) verwendet wird. Die anderen Browser unterstützen nämlich die Integrierte Authentifizierung nicht.
Hier eine kurze Zusammenstellung der fünf angebotenen Authentifizierungsmethoden (Auszug aus der Online-Hilfe):
- Standardauthentifizierung
HTTP verwendet als Standardauthentifizierungsmethode die Standardauthentifizierung. Die Standardauthentifizierung sendet und empfängt Benutzerinformationen als leicht lesbare Textzeichen. Während Kennwörter und Benutzernamen verschlüsselt werden, wird bei der Standardauthentifizierung keine Verschlüsselung verwendet. Im Folgenden wird das Authentifizierungsverfahren bei der Standardauthentifizierung beschrieben:- Der Client fordert den Benutzer auf, Benutzername und Kennwortinformationen einzugeben.
- Die Anmeldeinformationen werden anschließend vom Client verschlüsselt und an den Server gesendet.
- Für den Benutzernamen wird das Vorhandensein eines Kontos auf dem
Microsoft Internet Security & Acceleration Server-Computer (ISA Server)
oder in einer vertrauten Domäne des ISA Servers überprüft.
- Digestauthentifizierung
Die Digestauthentifizierung bietet dieselben Funktionen wie die Standardauthentifizierung, die Authentifizierungsinformationen werden jedoch auf andere Weise übertragen. Die Authentifizierungsinformationen durchlaufen einen Einwegprozess, der oft als Hashprozess bezeichnet wird. Das Ergebnis dieses Prozesses wird Hashwert oder Nachrichten-Hash genannt. Es kann nicht entschlüsselt werden, d. h. der ursprüngliche Text kann nicht aus dem Hashwert entziffert werden.
Vor dem Hashprozess werden zusätzliche Informationen zum Kennwort hinzugefügt, sodass niemand den Kennworthashwert erfassen und zur Nachahmung des echten Benutzers verwenden kann. Es werden Werte hinzugefügt, die bei der Identifizierung des Benutzers, des Computers und der dazugehörigen Domäne helfen. Um zu verhindern, dass ein widerrufenes Kennwort verwendet wird, wird hier eine Zeitmarkierung hinzugefügt. Dies ist ein deutlicher Vorteil gegenüber der Standardauthentifizierung, da das Kennwort nicht abgefangen und von einer unberechtigten Person verwendet werden kann.
Die Digestauthentifizierung kann nur in Windows 2000-Domänen verwendet werden.
- Integrierte Windows-Authentifizierung
Die integrierte Windows-Authentifizierung ist eine sichere Form zur Benutzerauthentifizierung, da der Benutzername und das Kennwort nicht über das Netzwerk gesendet werden. Die integrierte Windows-Authentifizierung kann entweder das Kerberos V5-Authentifizierungprotokoll oder das eigene Herausforderung/Rückmeldung-Authentifizierungsprotokoll verwenden.
- SSL-Zertifikat
Sie können die Secure Sockets Layer (SSL)-Sicherheitsfunktionen zur Authentifizierung verwenden. Wenn ein Client ein Objekt von einem Server anfordert, gibt es zwei Möglichkeiten zur Zertifizierung:- Der Server authentifiziert sich selbst, indem er ein Serverzertifikat an den Client sendet.
- Der Server fordert den Client auf, sich zu authentifizieren. In diesem Fall muss der Client dem Server ein geeignetes Clientzertifikat präsentieren.
SSL führt die Authentifizierung durch, indem während des Anmeldeprozesses der Inhalt einer verschlüsselten digitalen Identifikation vom Webbrowser des Benutzers überprüft wird. (Die Benutzer erhalten ihre Clientzertifikate von einer externen Organisation, der beide vertrauen.) Die Serverzertifikate enthalten identifizierende Informationen über den Server. In den Clientzertifikaten sind normalerweise identifizierende Informationen über den Benutzer und die Organisation, von der das Zertifikat ausgestellt wurde, enthalten.
- RADIUS
RADIUS (Remote Authentication Dial-In User Service) ist ein Industriestandardprotokoll, das in RFC 2865, "Remote Authentication Dial-in User Service (RADIUS)", beschrieben ist. Das RADIUS-Protokoll dient zur Authentifizierung. Ein RADIUS-Client (in der Regel ein DFÜ-Server, VPN-Server oder Drahtloszugriffspunkt) sendet Benutzeranmeldeinformationen und Verbindungsparameterinformation in Form einer RADIUS-Nachricht an einen RADIUS-Server. Der RADIUS-Server authentifiziert die RADIUS-Clientanforderung und sendet eine RADIUS-Nachrichtenantwort zurück.
Clientanmeldeinformationen werden durch RADIUS-Server nicht nur authentifiziert, sondern auch autorisiert. Wenn daher ISA Server vom RADIUS-Server eine Antwort erhält, gemäß der die Clientanmeldeinformationen nicht zugelassen werden, kann dies auch bedeuten, dass der RADIUS-Server den Client nicht autorisieren konnte. Selbst nach erfolgter Authentifizierung der Anmeldeinformationen kann ISA Server eine Clientanforderung unter Umständen auf Grundlage der Autorisierungsrichtlinie des RADIUS-Servers ablehnen.
Anmerkung: RADIUS-Benutzer müssen Anmeldeinformationen im Format Domäne\Benutzer (und nicht als Benutzer@Domäne) an ISA Server übergeben.
Sie können ISA Server so konfigurieren, dass für die RADIUS-Benutzerauthentifizierung bestimmte RADIUS-Server verwendet werden.
RADIUS-Authentifizierung für ausgehende Anforderungen
Bei Verwendung von IAS (Internet Authentication Service) als RADIUS-Server müssen Sie im Einwählprofil der RAS-Richtlinie von IAS die unverschlüsselte Authentifizierung aktivieren, d. h. PAP (Password Authentication-Protokoll) oder SPAP (Shiva Password Authentication-Protokoll). Die Aktivierung von IAS für PAP oder SPAP ist eine profilbasierte IAS-Einstellung. Alle RADIUS-Clients, die diese Richtlinienbedingungen erfüllen, können dann eine Verbindung zum IAS-Server über PAP oder SPAP herstellen.
Nun kann eine Richtlinie, die eines der Webprotokolle zulässt auf Benutzer oder Gruppen eingeschränkt werden.
Stand: Friday, 28. August 2009/DR.
