Rückblick auf dieses Kapitel 217
Rückblick auf dieses Kapitel
Um den in diesem Kapitel behandelten Stoff zu vertiefen und einzuüben, können Sie folgen-
de Aufgaben durchführen:
■ Lesen Sie die Zusammenfassung des Kapitels sorgfältig durch.
■ Arbeiten Sie die Übungen mit Fallbeispiel durch. Diese Szenarien beschreiben Fälle
aus der Praxis, in denen die Themen dieses Kapitels zur Anwendung kommen. Sie
werden aufgefordert, eine Lösung zu entwickeln.
■ Arbeiten Sie die vorgeschlagenen Übungen durch.
■ Machen Sie einen Übungstest.
Zusammenfassung des Kapitels
■ Drahtlose Netzwerke zwischen Clients werden als Ad-hoc-Netzwerke bezeichnet.
Drahtlose Netzwerke mit Drahtloszugriffspunkten nennt man Infrastrukturnetzwerke.
Ein drahtloses Netzwerk wird durch seine SSID identifiziert.
■ WEP ist ein Zugangsprotokoll für Drahtlosnetzwerke, das einen gemeinsamen Schlüssel
vorsieht, aber keine sichere Verschlüsselung bietet. WPA/WPA2-Personal verwendet
ebenfalls gemeinsame Schlüssel. WPA/WPA2-Enterprise sieht zur Authentifizierung
RADIUS-Server vor und unterstützt Smartcards, digitale Zertifikate sowie Benutzer-
name und Kennwort.
■ Jedes eingehende Datenpaket wird anhand der Firewallregeln überprüft und so behan-
delt, wie es die passende Regel vorschreibt. Ist keine passende Regel vorhanden, wird
das Datenpaket verworfen. Der ausgehende Datenverkehr wird standardmäßig zuge-
lassen.
■ Sie können Firewallregeln in den Gruppenrichtlinien festlegen. Firewallregeln werden
auf einem Windows Server 2008-Computer automatisch aktiviert, wenn der entspre-
chende Rollendienst oder ein Feature installiert wird, das die Aktivierung erfordert.
■ Verbindungssicherheitsregeln legen fest, wie Verbindungen zwischen Computern her-
gestellt
werden. Isolationsregeln isolieren Hosts anhand der Authentifizierungskriterien.
Authentifizierungsausnahmen umgehen die Verbindungssicherheitsregeln. Server- und
Tunnelregeln legen fest, wie Computergruppen miteinander kommunizieren.
■ NAP verwendet einen Teil der Maßnahmen, mit denen ein Computer geschützt wird,
als Kriterium für die Zulassung zum Netzwerk. Es gibt verschiedene Methoden für den
Netzwerkzugriffsschutz. Welche davon am besten geeignet ist, hängt von den jeweili-
gen Umständen ab.
Übungen mit Fallbeispiel
In den folgenden Übungen mit Fallbeispiel wenden Sie Ihr Wissen über Windows-Firewall,
den Drahtlosnetzwerkzugriff und den Netzwerkzugriffsschutz an. Antworten auf die Fragen
finden Sie im Abschnitt „Antworten“ am Ende des Buchs.
218 Kapitel 4: Netzwerkzugriffssicherheit
Übung 1: Drahtloszugriff bei der Firma Contoso
Sie gehören zu der Arbeitsgruppe, die mit der Bereitstellung eines drahtlosen Netzwerks in
der neuen Niederlassung von Contoso in Kopenhagen beauftragt wurde. Das Bürogebäude
umfasst fünf Stockwerke, wobei die obersten beiden Stockwerke für die Büros der leitenden
Angestellten vorgesehen sind. In der letzten Zeit wurden in der dänischen Presse einige Be-
richte über nichtautorisierte Zugriffe auf die Firmennetzwerke veröffentlicht, bei denen die
Angreifer herausgefunden hatten, welche vorinstallierten Schlüssel verwendet wurden. Die
Netzwerke sollen jetzt natürlich vor solchen Angriffen geschützt werden. Die leitenden An-
gestellten wollen nicht, dass Benutzer der Drahtlosnetzwerke Smartcards verwenden oder
ihre Anmeldeinformationen eingeben müssen, um Zugang zum Drahtlosnetzwerk von Con-
toso zu erhalten. Schließlich wollen die leitenden Angestellten sicherstellen, dass nur ihre
Computer Verbindungen mit den Drahtlosnetzwerken herstellen können, die auf den beiden
oberen Etagen verwendet werden. Bei der Planung des Drahtlosnetzwerks von Contoso
muss Ihre Arbeitsgruppe folgende Fragen beantworten:
1. Welche Schritte sollten Sie unternehmen, um sicherzustellen, dass keiner der Drahtlos-
zugriffspunkte Ihrer Organisation Verbindungen mit vorinstallierten Schlüsseln authen-
tifiziert?
2. Welche Authentifizierungsmethode müssen Sie bei der Konfiguration der Drahtlos-
netzwerkrichtlinien auswählen?
3. Wie erreichen Sie, dass nur die leitenden Angestellten Verbindungen über die Draht-
loszugriffspunkte auf den oberen zwei Stockwerken des Bürogebäudes herstellen
können?
Übung 2: Schutz kritischer Infrastrukturteile bei der Firma Fabrikam
Sie gehören zu der Arbeitsgruppe, die für die Planung der Konfiguration und Bereitstellung
von NAP mit der IPSec-Erzwingungsmethode im Firmennetzwerk von Fabrikam zuständig
ist. Sie sollen Serververbindungssicherheitsrichtlinien entwickeln. Ihnen wurde gesagt, dass
nur Computer, die die Integritätsprüfung bestanden haben, mit Datei- und Druckservern
kommunizieren können sollen. Die Computerkonten der Datei- und Druckserver liegen in
der Organisationseinheit DateiDruck. Für Wartung und Updates wird ein eigenständiger
WSUS-Server verwendet. Alle Computer sollen in der Lage sein, ohne Authentifizierung
Verbindung mit diesem Server aufzunehmen. Am Stammsitz der Firma stehen alle Server im
selben Serverraum. Alle 20 Server sind in Racks untergebracht. Es ist zwar ein KVM-Switch
verfügbar, aber er kann jeweils nur mit fünf Servern verbunden werden. Solange kein drin-
gender Notfall vorliegt, werden die Server gewöhnlich über Remotedesktopverbindungen
verwaltet. Im Serverraum gibt es außerdem eine Reserve-Arbeitsstation, die von den Mit-
gliedern der Systemverwaltungsgruppe häufig verwendet wird, wenn sie direkt mit den
Servern arbeiten müssen. Entwickeln Sie nun Lösungen für folgende Probleme:
1. Welche Authentifizierungsmethode sollten Sie für eine Verbindungssicherheitsricht-
linie zur Domänenisolation konfigurieren?
2. Wie sollen ein- und ausgehende Verbindungen mit den Datei- und Druckservern
authentifiziert werden?
3. Wie können Sie für den Fall eines kritischen Fehlers in der NAP-Infrastruktur (wenn
zum Beispiel der CA für einen kürzeren Zeitraum nicht zugänglich ist) dafür sorgen,
Get Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
