Wer kennt es nicht, oft unterwegs, oft auch was vergessen, man möchte auf sein LAN zurückgreifen, quälend langsam über Software-VPN durchs ISO/OSI gequält, Session verloren, Zeit und Lust, nun bietet Microsoft mit Windows 7 und dem neusten Server 2008 R2 eine Möglichkeit an, sich ohne große Konfigurationen höchst elegant mit seinem LAN zu verbinden.
IPv6 LAN + https/ipsec – WAN + IPv6 Client
Microsoft greift damit die Problematik auf, das die Provider aufgrund angeblich fehlender Kundennachfrage nicht auf IPv6 umstellen, Microsoft setzt Impulse und Trends, endlich über das entsprechende Netzwerkprotokol, lang ersehnte Funktionen nutzen zu können.
Für mich als Benutzer ist das so einfach, dass ich mir gar keine Gedanken mehr machen muss, was wo liegt. Zugriff auf Firmenressourcen funktioniert einfach. Das einzige, was ich davon merke ist die vorgeschaltete Sicherheit. So ist es beim Microsoft-eigenen Direct Access (DA) Piloten so, dass ich mich auf einem Rechner, der für DA aktiviert ist nur noch mit Smartcard anmelden kann. Ein Benutzername/Passwort Login ist nicht mehr möglich. Ebenso läuft Network Access Protection (NAP) im Enforcement Modus. Das bedeutet: Sobald mein Virenscanner ausgeschaltet oder nicht aktuell ist oder mir Security Updates fehlen war’s das mit dem Zugriff auf das Firmennetz (egal ob über Direct Access oder im Büro): Ich muss erst einen policykonformen Zustand auf dem Rechner haben, bevor ich auf Firmenressourcen zugreifen kann.
Wie funktioniert das Ganze aber nun? Die Kernidee von Direct Access ist, dass ein IPv6/IPSec Tunnel den Client mit einem Direct Access Server (Windows Server 2008 R2) transparent über das Internet herstellt. Der DA Server wiederum leitet dann die Daten zum Zielhost im Firmennetz weiter. Der Administrator kann dabei einstellen, ob alle Firmenrechner zugänglich sind oder nur eine bestimmte Auswahl.
IPv6? Ja, aus Sicht des Clients ist das Firmennetz ein reines IPv6 Netz. Nun hat man aber meist keinen direkten IPv6 Zugang über das Internet. Daher werden je nach Netzwerkzugang (direkt im Internet oder hinter einer Firewall, abhängig von der Firewallkonfiguration) verschiedene IPv6 Tunneltechniken wie 6to4, ISATP, Teredo oder wenn nur http(s) möglich ist IP-HTTPS verwendet, um die Kommunikation zwischen Client und Direct Access Server zu ermöglichen. Nach meiner Erfahrung findet Direct Access so gut wie immer einen Weg, den Tunnel aufzubauen.
Soll ein Rechner im Firmennetz erreicht werden, der kein IPv6 kann wird NAT-PT verwendet. Alle Firmenrechner müssen im firmeninternen DNS eingetragen sein, damit der Client die IPv6-Adresse des Zielservers erhält. Eine Verbindung über IPv4 IP-Adresse funktioniert also nicht.
Direct Access sollte mit zusätzlichen Sicherheitstechnologien kombiniert werden. So ist 2-Faktor-Authentifizierung (zum Beispiel wie bei uns über Smartcard) empfohlen, und auch Network Access Protection sollte verwendet werden, damit keine virenverseuchten Rechner auf diesem Weg Zugang zum Firmennetz erhalten.