Für diesen Test haben wir das Unified Access Gateway 2010 (UAG) von der Microsoft-Website bezogen. Um es einzurichten, liefert Microsoft ein Setup-Programm mit mehreren Assistenten und Hilfen. Vor der Installation des UAG sollten in jedem Fall die aktuellen Windows-Updates von der Microsoft-Website ausgeführt und installiert werden. Ferner sind natürlich die Hard- und Softwareanforderungen auf die Leistungsfähigkeit und den Bedarf zu überprüfen.
Zu den wichtigsten Hardwareanforderungen zählen eine Dual-Core CPU mit wenigstens 2,66 GHz und 4 GByte Hauptspeicher sowie zwei Netzwerkadapter. Damit sind die Hardwarevoraussetzungen des UAG höher als jene des TMG. Dies gilt auch für die softwareseitigen Voraussetzungen. Hier verlangt das UAG einen Windows Server 2008 R2 in der Standard- oder Enterprise-Ausführung. Microsoft weist dabei explizit darauf hin, dass dieser Rechner ausschließlich für das UAG reserviert sein soll und darauf keine weiteren Anwendungen laufen sollten. Der Administrator, der den UAG einrichtet, muss außerdem ein Domain User sein. Der UAG selbst allerdings kann auch auf einen Member-Server oder auch auf einem Workgroup-Server eingerichtet werden.
Die Torwächterfunktion des UAG
Nach dem Setup startet ein Netzwerkkonfigurationsassistent. Dieser unterstützt den Anwender bei der initialen Einrichtung des UAG. In einem mehrstufigen Dialog fragt der Assistent nach den Angaben zur Netzwerkkonfiguration samt Netzwerkadaptern, den IP-Adressen und ähnlichen netzwerkbezogenen Einstellungen. Zu den weiteren Konfigurationsschritten zählt die Einrichtung der Servertopologie.
Hierbei ist zu wählen, ob nur eine UAG zum Einsatz kommt oder mehrere Gateways benötigt werden. Letzteres ist immer dann angeraten, wenn Leistung und Datendurchsatz erhöht werden müssen. Im Testszenario wählen wir eine praxisnahe Konfiguration als Single Server mit einer UAG. Bei einer Änderung der Konfiguration kann der Assistent jederzeit über das Menü wieder aufgerufen und neu gestartet werden. Nach dem Start der Managementkonsole verlangt das UAG ein Passwort und einen Verzeichnispfad zur Ablage der Konfigurationsdaten. Für spätere Rückgriffe auf diese Daten sichert der UAG diese Einstellungen in das gewählte Verzeichnis.
Der Trunk - ein konfigurierbares Zugangsportal
Nach der initialen Konfiguration des Unified Access Gateways sind die Vorbereitungen abgeschlossen. Die Konsole des UAG ist, verglichen mit anderen Verwaltungskonsolen, ungewöhnlich leer. Es gibt hier keine Hilfen oder Tool-Tipps, die sonst oftmals an dieser Stelle eingeblendet werden. Diese finden sich aber unter den Verwaltungsmenüs und dessen Assistenten. Im linken Fensterbereich fasst das UAG die Verwaltungsobjekte wie etwa die HTTP-Verbindungen, die HTTPS-Verbindungen und die DirectAccess-Verbindungen zusammen.
Zu den ersten Schritten beim Einrichten von neuen Zugangsportalen für die Benutzer des UAG gehört der Aufbau eines Trunks. Der Trunk ist das Kommunikationsportal für den Anwender und greift aus dem Internet über das UAG auf die Applikationen im Unternehmensnetz zu. Die Konfiguration des Trunks wird durch einen Assistenten unterstützt. Dieser Assistent verlangt zuerst die Angaben zum Typ des Trunks, wie beispielsweise dem Portal-Trunk, dem ADFS-Trunk oder der HPPT-Https-Redirection. Ferner ist der interne Verwaltungsname für den Trunk sowie sein nach außen publizierter Name, über den der Benutzer diesen findet, anzugeben. Außerdem sind die IP-Adressen für den HTTP- und HTTPS-Zugang zu bestimmen.
Sicherheit und Integration von Applikationen
Im nächsten Schritt ist festzulegen, wie der Benutzer authentifiziert werden soll. Hierbei unterstützt das UAG eine Vielzahl unterschiedliche Authentifizierungssysteme. Dies sind unter anderem Active Directory, Netcape LDAP Server, Notes Directory, Novell Directory, NT Domain- Authentifizierung, RADIUS, RSA SecureID, TACACS und WINHTTP.
Zur Sicherung der Endgeräte unterstützt das UAG Interne Access Policies oder den Rückgriff auf NAP. Anschließend erzeugt der Assistent den Portal-Trunk und die Startseite, die der Benutzer beim Kommunikationsaufbau erhält. Über die Eigenschaften (rechte Maustaste) sind die gesamten Konfigurationseinstellungen einzusehen und bei Bedarf zu ändern.
Nach der Einrichtung des Trunks machten wir uns an die Integration der Applikationen. Hier unterstützt das Tool eine Vielzahl an vorbereiteten Anwendungen. Dies umfasst natürlich die Serverdienste von Microsoft mitsamt den Zugriffen auf Terminal-Services, File-Shares und FTP-Dienste und auch auf die Anwendungen von Dritten. Im Rahmen unserer Evaluation integrierten wir diverse Anwendungen und auch die Remote Desktop Services für den Zugriff auf einen internen Terminaldienst. Ferner packten wir den Zugang auf Exchange mittels Outlook Web Access in das Zugangsportal. Die Integration verläuft analog zu den bisher beschrieben Verfahren.
Dedizierte Rechtezuordnung für den Benutzer
Um die korrekten Konfigurationen und die entsprechenden Zugriffe zu überprüfen, wird ein Client mit Browser benötigt. Über den veröffentlichen Trunk-Namen kann der Benutzer von außen darauf zugreifen. Beim ersten Aufruf wird ein ActiveX-Control oder Java-Applet zum Client gesandt. Dieses übernimmt die Kommunikation des Benutzergerätes mit dem Gateway. Anschließend erfolgt die Untersuchung des Clients auf dessen Sicherheitseinstellungen. Und schließlich erscheint die Login-Maske, die den Benutzer auffordert, seine Berechtigungen einzugeben.
Die Credentials werden vom UAG durch den eingestellten Authentifizierungsdienst geprüft. Erst nach Prüfung der Benutzerdaten erscheint das Trunk-Portal. Die dem Anwender in seinem Portal präsentierten Applikationen werden aus den Einträgen der Autorisierung und den Policies des Benutzergerätes abgeleitet. Was er mit der Anwendung anstellen darf, wird durch weitere Parameter, etwa durch Angaben zu den Download- oder Upload-Möglichkeiten, bestimmt.
Somit kann zum Beispiel festgelegt werden, dass ein prinzipiell berechtigter Benutzer auf fremden Geräten, wie etwa auf öffentlichen PCs im Internetcafé, keinen Download ausführen darf. Das ist eine Sicherheitseinrichtung, denn die Daten könnten dann, wenn sie nicht durch den Benutzer explizit gelöscht werden, auf dem Gerät verbleiben, was sie sicher nicht sollen. Weitere Berechtigungseinstellungen betreffen die Zeitdauer, nach der ein Verbindung zu unterbrechen ist beziehungsweise eine neue Autorisierung notwendig wird.
Fazit
Das Unified Access Gateway 2010 ermöglicht den Zugriff auf zentrale Unternehmensressourcen aus dem Internet. Dabei gehr das UAG weit über die Funktionen eines Standard-VPN-Gateways hinaus, das meist nur einen gesicherten Kanal anbieten.
Im Rahmen unseres kleinen Tests verlief die Arbeit mit dem Microsoft-Sicherheits-Tool fehlerfrei und ohne Hürden. Vor dem Einrichten eines entsprechenden Webzugangs muss sich der Administrator aber in jedem Fall mit den Konzepten und Grundlagen des UAG vertraut machen. Doch das gilt im Allgemeinen für nahezu alle Werkzeuge mit dieser Komplexität. Das UAG geht in seinen Funktionen weit über ein einfaches Gateway hinaus. Es ist die Fülle der Konfigurationseinstellungen, die das UAG gegenüber den einfachen Gateways auszeichnet. Wer seinen Mitarbeitern oder Partnern einen Zugriff auf die internen Dienste einrichten möchte, wird im UAG entsprechende - und gute - Hilfen dazu finden. (hal)