218 Kapitel 4: Netzwerkzugriffssicherheit
Übung 1: Drahtloszugriff bei der Firma Contoso
Sie gehören zu der Arbeitsgruppe, die mit der Bereitstellung eines drahtlosen Netzwerks in
der neuen Niederlassung von Contoso in Kopenhagen beauftragt wurde. Das Bürogebäude
umfasst fünf Stockwerke, wobei die obersten beiden Stockwerke für die Büros der leitenden
Angestellten vorgesehen sind. In der letzten Zeit wurden in der dänischen Presse einige Be-
richte über nichtautorisierte Zugriffe auf die Firmennetzwerke veröffentlicht, bei denen die
Angreifer herausgefunden hatten, welche vorinstallierten Schlüssel verwendet wurden. Die
Netzwerke sollen jetzt natürlich vor solchen Angriffen geschützt werden. Die leitenden An-
gestellten wollen nicht, dass Benutzer der Drahtlosnetzwerke Smartcards verwenden oder
ihre Anmeldeinformationen eingeben müssen, um Zugang zum Drahtlosnetzwerk von Con-
toso zu erhalten. Schließlich wollen die leitenden Angestellten sicherstellen, dass nur ihre
Computer Verbindungen mit den Drahtlosnetzwerken herstellen können, die auf den beiden
oberen Etagen verwendet werden. Bei der Planung des Drahtlosnetzwerks von Contoso
muss Ihre Arbeitsgruppe folgende Fragen beantworten:
1. Welche Schritte sollten Sie unternehmen, um sicherzustellen, dass keiner der Drahtlos-
zugriffspunkte Ihrer Organisation Verbindungen mit vorinstallierten Schlüsseln authen-
tifiziert?
2. Welche Authentifizierungsmethode müssen Sie bei der Konfiguration der Drahtlos-
netzwerkrichtlinien auswählen?
3. Wie erreichen Sie, dass nur die leitenden Angestellten Verbindungen über die Draht-
loszugriffspunkte auf den oberen zwei Stockwerken des Bürogebäudes herstellen
können?
Übung 2: Schutz kritischer Infrastrukturteile bei der Firma Fabrikam
Sie gehören zu der Arbeitsgruppe, die für die Planung der Konfiguration und Bereitstellung
von NAP mit der IPSec-Erzwingungsmethode im Firmennetzwerk von Fabrikam zuständig
ist. Sie sollen Serververbindungssicherheitsrichtlinien entwickeln. Ihnen wurde gesagt, dass
nur Computer, die die Integritätsprüfung bestanden haben, mit Datei- und Druckservern
kommunizieren können sollen. Die Computerkonten der Datei- und Druckserver liegen in
der Organisationseinheit DateiDruck. Für Wartung und Updates wird ein eigenständiger
WSUS-Server verwendet. Alle Computer sollen in der Lage sein, ohne Authentifizierung
Verbindung mit diesem Server aufzunehmen. Am Stammsitz der Firma stehen alle Server im
selben Serverraum. Alle 20 Server sind in Racks untergebracht. Es ist zwar ein KVM-Switch
verfügbar, aber er kann jeweils nur mit fünf Servern verbunden werden. Solange kein drin-
gender Notfall vorliegt, werden die Server gewöhnlich über Remotedesktopverbindungen
verwaltet. Im Serverraum gibt es außerdem eine Reserve-Arbeitsstation, die von den Mit-
gliedern der Systemverwaltungsgruppe häufig verwendet wird, wenn sie direkt mit den
Servern arbeiten müssen. Entwickeln Sie nun Lösungen für folgende Probleme:
1. Welche Authentifizierungsmethode sollten Sie für eine Verbindungssicherheitsricht-
linie zur Domänenisolation konfigurieren?
2. Wie sollen ein- und ausgehende Verbindungen mit den Datei- und Druckservern
authentifiziert werden?
3. Wie können Sie für den Fall eines kritischen Fehlers in der NAP-Infrastruktur (wenn
zum Beispiel der CA für einen kürzeren Zeitraum nicht zugänglich ist) dafür sorgen,