Das Unified Access Gateway 2010 ist die zweite wichtige Komponente aus der Forefront-Suite zur Absicherung der Netzwerke. Im Kern handelt es sich beim Unified Access Gateway (UAG) um ein SSL-VPN-Gateway. Damit ermöglicht das UAG einen kontrollierten Zugriff vom Internet auf die Server und Dienste im Unternehmen. Zugriffe dieser Art werden oftmals über VPN-Gateways, gesicherte RDP-Tunnels oder auch über das Threat Management Gateway aus dem Forefront-Produktportfolio abgewickelt. Doch wie ist in diesem Zusammenhang das Unified Access Gateway 2010 einzuordnen?
Das Besondere am Unified Access Gateway 2010 st sein ausgeklügeltes Berechtigungs- und Sicherheitssystem. Das Gateway ermöglicht durch umfangreiche Berechtigungssteuerung die Bereitstellung von Applikationen oder Diensten für die Nutzer und erlaubt dabei eine sehr granulare Abstufung der Rechte. Analog zu den derzeitigen Entwicklungen und auch den Erwartungen von Microsoft entwickelt sich die IT-Nutzung in weitaus offenere und dynamische Systeme. Die traditionelle Trennung zwischen LAN, WAN und Internet löst sich auf, ebenso die feste Zuordnung in interne Mitarbeiter, externe Nutzer oder Website-Besucher. Das ist nicht unbedingt neu, und die Entwicklung kann man schon seit Jahren verfolgen. Doch es hat massive Auswirkungen auf die Struktur der heutigen IT- und Sicherheitssysteme wie auf das Forefront Unified Access Gateway 2010.
Das könnte Sie auch interessieren:
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation TecChannel. (ph)
Bereitstellung von Anwendungen durch Trunks
Die zentrale Funktion des Unified Access Gateway 2010 liegt in der Bereitstellung der Applikationen und der Daten für den Nutzer aus dem Internet. Dies fasst Microsoft unter dem Begriff Application Publishing zusammen. Hierbei kommen Trunks zum Einsatz. Ein Trunk ist mit einem Portal vergleichbar, dass den Zugang zu den Applikationen im Unternehmensnetz ermöglicht; er beinhaltet die freigegebenen Applikationen, die für externe Benutzer eingerichtet werden. Äquivalent verhält es sich mit den Daten: Auch sie werden durch den Trunk für die externen Anwender bereitgestellt.
Um die unterschiedlichen Anforderungen der Netzwerkzugriffe abzudecken, offeriert das Unified Access Gateway 2010 unterschiedliche Trunk-Varianten: Der Portal-Trunk realisiert ein Zugriffsportal für unterschiedliche Applikationen und Benutzer. Er stellt die Verbindung zu den Informationsquellen und den Daten direkt und ohne Umwege her. Durch den Portal-Trunk kann man auf mehrere Applikation unter einer IP-Adresse zugreifen. In dieser 1:n-Abbildung erhält der Benutzer eine einzige Verbindung über das Portal. Dabei dient der sogenannte Redirection Trunk der gesicherten Abwicklung einer Verbindung durch Umlenkung einer http-Verbindung hin zu einer gesicherten HTTPS-Kommunikation. Der sogenannte Basic Trunk wiederum stellt genau eine Webanwendung zur Verfügung.
Applikationspublizierungen durch das UAG
Die Publizierung der Applikationen gilt sowohl für Web-Applikationen als auch für traditionelle Anwendungen. In der derzeitigen Version des Unified Access Gateway 2010 unterstützt Microsoft dabei die folgenden Applikationsvarianten und deren Veröffentlichung:
Publizierung von Webanwendungen: Hierbei werden Webanwendungen für den Internetzugang publiziert. Diese Methode basiert auf einen Reverse Proxy zur Applikationspublizierung. Die Kommunikation zwischen dem Benutzer und der Anwendung wird hierbei überwacht und auf Berechtigung geprüft. Damit wird sichergestellt, dass nur Verbindungen aufgebaut werden, die berechtigt und korrekt konfiguriert sind. Zum Umfang des Unified Access Gateway 2010 gehören hier unter anderem die Untersuchungen der Verbindungen zu Microsoft-Anwendungen und zu weiteren Applikationen von Drittherstellern.
Publizierung von Remote-Anwendungen: Die Remote Desktop Services (ehemals Terminal Services) ermöglichen einen Zugriff auf den Desktop des Zielgerätes. Diese Form des Zugriffs lässt sich im Unified Access Gateway 2010 durch Remote Desktop Services Gateway abbilden.
Publizierung von Client/Server-Anwendungen: Die Veröffentlichung von Client/Server-Anwendungen im Kontext des Unified Access Gateway 2010 basiert auf gesicherten Verbindungen. Das UAG setzt dabei auf die Weiterleitung der Kommunikationsobjekte wie TCP-Sockets und Ports. Zum Funktionsumfang des Unified Access Gateways 2010 gehört auch die Authentifizierung der Benutzer gegenüber den Verzeichnissystemen. Hierbei wird eine Vielzahl unterschiedlicher Directories unterstützt.
VPN-Client Access: Das Unified Access Gateway 2010 unterstützt auch weiterhin traditionelle VPN-Verbindungen. Diese können im UAG-Portal für die Benutzer bereitgestellt werden, um damit auf die Ressourcen im Unternehmen zuzugreifen. Die Bereitstellung des VPN-Gateways wird durch den Forefront Unified Access Gateway 2010 Network Connector vereinfacht. Alternativ steht mit dem Secure Socket Tunneling Protocol (SSTP) ein weiteres gesichertes Protokoll für VPN-Tunnel zur Verfügung.
Dateizugriff vom Internet auf das Unternehmensnetz: Um auf Verzeichnisse und Dateien im Unternehmensnetz zuzugreifen, liefert das Unified Access Gateway 2010 einen weiteren passenden Konnektor. Dieser erlaubt einen gesicherten Zugang von außen auf die Dateiserver des Unternehmens.
Rundumschutz durch mehrfache Absicherung
Die Liste der Zugriffswege und Applikationen, wie oben zusammengestellt, umfasst alle gängigen Varianten, um auf einen entfernten Dienst, eine Applikation oder Verzeichnisse zuzugreifen. Über das Unified Access Gateway 2010 erfolgt dabei die Absicherung gegen Missbrauch oder Ausspähen. Dies geschieht durch Authentisierung und Autorisierung des Benutzers und seiner Rechte. Hierzu verbinden sich die Portalbesucher via Internet mit dem Trunk über den logischen Namen der Webadresse beziehungsweise einer IP-Adresse. Zur Authentifizierung der Benutzerangaben stellt das Unified Access Gateway dann eine Verbindung zu diversen Authentifizierungssystemen, wie etwa LDAP, RADIUS, Novell Directory, Notes Directory, NT-Verzeichnis und natürlich dem Active Directory, her.
Zusätzlich erfolgt eine Überprüfung des Gerätes und seiner Unversehrtheit durch die Integration mit NAP-Diensten. Sind der Konfigurations- und Sicherheitsstatus des Rechners und den Login-Angaben bekannt, wird schließlich das situationsbezogene Portal aufgebaut. Schlussendlich erfolgt die Übertragung der Daten nur auf verschlüsseltem Wege beziehungsweise über einen gesicherten Kommunikationskanal.
Fazit
Um auf einen entfernten Dienst zuzugreifen, setzte man in der Vergangenheit oftmals auf VPNs oder Terminaldienste. Diese Verfahren erlauben jedoch keine Abstufung der Zugriffsrechte und Sicherungsmöglichkeiten. Da es aber einen wesentlichen Unterschied macht, ob der zugangssuchende Benutzer beispielsweise von einer abgesicherten Zweigstelle oder aus einem Internetcafé aus Zugang erwirkt, müssen auch die Abstufungen für die Rechte des Benutzers granularer werden. Dies waren einige der zentralen Aufgaben, die Microsoft mit dem Unified Access Gateway 2010 realisiert hat. (TecChannel/hal)