Sicher ins Intranet ohne VPN: Microsoft Direct Access im Test

Mit Direct Access bietet Microsoft ein überraschend gut durchdachtes zukunftsorientiertes Konzept. Unternehmen können auf diese Weise Schritt für Schritt zu einem VPN-freien IPv6-Netzwerk migrieren, ohne dass zu irgendeinem Zeitpunkt eine „harte Umstellung“ erfolgen muss. Ein gleichzeitiger Betrieb einer VPN-Einwahl und von Direct Access ist problemlos möglich. Dabei ergibt sich jedoch eine größere Angriffsfläche.

Für viele Unternehmen sind die technischen Voraussetzungen, die für Direct Access erforderlich sind, allerdings nicht kurzfristig zu schaffen: Benötigt werden mindestens zwei Servern mit Windows Server 2008 R2, mindestens zwei, besser vier, öffentliche IPv4-Adressen sowie Clients mit Windows 7 in der Enterprise- oder Ultimate-Edition.

Ebenso gibt es kein Konzept für die Erreichbarkeit von Intranet-Servern mit Unix-Betriebssystemen. Die PKI-Infrastruktur von Microsoft ist zwar einfach und komfortabel zu verwalten, jedoch steht noch keine integrierte Lösung zur Verfügung, um die Microsoft-Zertifikate über Netfilter (iptables) per IPSec an die IPv6-Interfaces von Linux zu binden und Zugriffsregeln durchzusetzen.

In puncto Interoperabilität sollte Microsoft noch nachbessern. Das ist natürlich nicht ganz einfach, da die grundlegenen Funktionsweisen der unter anderem für die Zugangssicherung auf IP-Ebene zuständigen Filter-Layer Windows Base Filtering Engine und Netfilter (Linux) recht unterschiedlich sind. Ansonsten werden Router-Hersteller ähnliche Konzepte entwickeln und die Marktführerschaft übernehmen, wie es bei der VPN-Einwahl der Fall ist. Die VPN-Einwahl realisieren Unternehmen heutzutage meist über ihre Router oder Security-Gateways. Das hat allerdings meist den Grund, dass Microsofts PPTP-Protokoll Sicherheitsprobleme nachgesagt werden. Sie sind in aktuellen Windows-Versionen jedoch nur noch dadurch bedingt, dass ein „schwaches“ Passwort Einbrüche ermöglicht.