Secure Email zur Signierung und Verschlüsselung des E-Mail-Verkehrs mit einer Windows Server 2008 R2 Enterprise Public Key Infrastructure (PKI) kann als weiterer Baustein zur Realisierung einer sicheren IT Infrastruktur implementiert werden. Neben einer komplexen 802.1x WLAN und 802.1x Wired Infrastruktur mittels RADIUS (Network Policy Server, NPS), einer IPSec / SSTP VPN Infrastruktur, dem Login mittels Smart Cards, einer Verschlüsselung des Dateisystems (Encrypted File Systems, EFS), LDAPS für Domänen Controller (z.B. für Single Sign-On) und dem Absichern von Webservern (https) kommt somit weiteres Know-how und eine Lösung für ein dauerhaft hohes Maß an IT Sicherheit und Investitionssicherheit zum Einsatz.
Windows Server 2008 R2 IPSec / SSTP VPN Infrastruktur
Windows Server 2008 R2 VPN Infrastruktur mit PKI und Network Policy Server.
Die Realisierung einer komplexen Remote Access VPN Infrastruktur mit Windows Server 2008 R2 und Windows 7 ist inzwischen problemlos möglich. Die Windows 7 Clients greifen mit „Boardmitteln“ nativ per IPSec oder SSTP (SSL over HTTPS) auf einen „Remote Access VPN Server Windows 2008 R2“ zu. Per RADIUS (NPS) werden die IPSec bzw. SSTP VPN User mittels Zertifikaten die von einer Enterprise Public Key Infrastructure (PKI) gegen das Active Directoy authentifiziert. Der Access Server kann in diesem Szenario in die DMZ integriert werden. Für den IPSec Zugriff aus dem Internet werden lediglich die UDP Port 500 (IPSec ISAKMP) und 4500 (NAT-T), sowie IPSec-ESP (Enhanced Serial Port, IP-Protokoll 50) benötigt. SSTP hingegen benötigt nur den TCP Port 443 (HTTPS). Der UDP Port 1701 (LT2P) ist somit obsolet.
Für die Implentierung einer solchen VPN Infrastruktur stehe ich Ihnen gerne zur Verfügung.
802.1X Authenticated Wired Access
Windows Server 2012 R2 – 802.1x Authenticated Wired Access
Nach der Implementierung der Active Directory Windows Server 2012 R2 Enterprise Public Key Infrastructure (PKI) und der zertifikatbasierten 802.1x WLAN Struktur mittels Network Policy Server steht nun auch eine 802.1x Authentifizierung für die Ethernet Clients zur Verfügung. Die Realisierung erfolgte auch hier mit EAP-TLS / PEAP-TLS. Die als RADIUS Clients eingesetzten Switches authentifizieren die Clients mittels Computerzertifikaten für den Zugriff auf die Netzwerkinfrastruktur. Jetzt steht hier die Entwicklung, Erstellung und Umsetzung eines Sicherheitskonzepts für Besprechungsräume auf dem Plan.
Active Directory Fine-Grained Password Policies
AD DS Fine-Grained Password und Account Lockout Policies
Kennwortrichtlinien (nach dem IT-Grundschutz-Katalog des Bundesamtes für Sicherheit in der Informationstechnik, BSI) innerhalb einer Active Directory Domäne müssen in vielen Enterprise Umgebungen den entsprechenden Anforderungen (z.B. der Produktion) angepasst und feingekörnt werden. Aus diesem Grund kommen inzwischen die AD DS Fine-Grained Password und Account Lockout Policies vermehrt zum Einsatz. Die ersten erfolgreichen Implementierungen dieser FGPP habe ich inzwischen vorgenommen.
Active Directory Enterprise Public Key Infrastructure (PKI)
Active Directory Enterprise Public Key Infrastructure (PKI)
In den letzten Wochen habe ich erfolgreich eine Active Directory Windows Server 2012 R2 Enterprise Public Key Infrastructure (PKI) bei einem Kunden in Dortmund konzipiert und implementiert. Zusätzlich integrierte ich eine komplexe 802.1x WLAN Struktur mittels RADIUS (Network Policy Server, NPS). Die 802.1x Authentifizierung nach IEEE-Standard erfolgt zertifikatbasiert mit EAP-TLS / PEAP-TLS. Als nächste Ausbaustufe dieser Infrastruktur werden auch die kabelgebundenen Clients integriert. Weiterhin werden zukünftig auch Smartcards zum Einsatz kommen.
Mobile Datenkommunikation – Konzepte für mobile Infrastrukturen
Vortrag Ahauser Technologiegespräche 2009:
Clientless SSL VPN (WebVPN)
Als Clientless SSL VPN werden Systeme bezeichnet, die den Transport privater Daten über öffentliche Netzwerke ermöglichen und als Verschlüsselungsprotokoll TLS verwenden. Clientless SSL VPN (WebVPN) bietet von jedem Ort einen sicheren Zugang zum Firmennetzwerk. Benutzer können mittels eines sicheren browserbasierten SSL Zugangs auf Ressourcen des Firmennetzwerks zugreifen.
Single Sign-On
Fedora Directory Server – LDAP als Bindeglied zwischen UNIX und Active Directory
Vortrag auf der Business Online 2007
Open Source Squid Proxy Server als zentrale Kontrollinstanz
Mein Vortrag auf der Business Online 2006:
