G 3.42 Unsichere Konfiguration der RAS-Clients
Die Sicherheit des RAS-Systems hängt sowohl von der sicheren Konfiguration der RAS-Server als auch der RAS-Clients ab. Unterliegt die Konfiguration des Servers noch der vollständigen Kontrolle eines Administrators, so befinden sich RAS-Clients häufig außerhalb der Behörde bzw. des Unternehmens. Damit kann der Rechner nur noch lose in administrative Abläufe eingegliedert werden. Insbesondere beim Einsatz mobiler RAS-Clients können Benutzer auch mit gewissen administrativen Rechten ausgestattet sein, um Probleme beim RAS-Zugang durch Ändern von RAS-Konfigurationsparametern selbst oder unter telefonischer Anleitung zu beheben.
Generell ergibt sich durch die eingeschränkten Kontrollmöglichkeiten der Systemadministration die Gefahr, dass RAS-Clients unsicher konfiguriert sind. Beispiele sind:
- Browser sind häufig sehr unübersichtlich zu konfigurieren, was immer wieder zu Fehleinstellungen führt. Durch das Ausschalten von Sicherheitsmechanismen (z. B. Aktivieren von Java, JavaScript, ActiveX) kann nicht vertrauenswürdige Software auf den Client gelangen.
- Problematisch ist auch die Installation nicht zugelassener Software auf dem RAS-Client, da diese Sicherheitslücken aufweisen kann bzw. Computer-Viren oder Trojanische Pferde eingeschleppt werden können.
- Die vorhandenen Sicherheitsmechanismen für den RAS-Zugang werden vom Benutzer in vielen Fällen nicht oder nicht korrekt eingestellt (siehe auch G 5.91 Abschalten von Sicherheitsmechanismen für den RAS-Zugang).
- Zu weiteren Problemen kann es kommen, wenn inkompatible Authentisierungsmechanismen zwischen RAS-Client und RAS-Server benutzt werden. So ist z. B. das Authentisierungsprotokoll MS-CHAP eines Windows 3.11-RAS-Clients inkompatibel mit dem MS-CHAP-Protokoll eines Windows NT 4.0-Servers. Dies führt dazu, dass Verbindungen nicht aufgebaut werden können.