Startseite 
 1. Grundlagen IPSec 
 2. Konfiguration von IPSec 
 Aushandlungsbasis 
 Sicherheitszuweisungen 
 Konfiguration von Filterlisten...  
 Authentifizierungsverfahren 
 3. IPSec-Richtlinien 
 Richtlinienregel 
 IP-Filterliste 
 IP-Filteraktion 
 4. Verbindungssicherheitsregeln 
 Konfiguration von Verbindungss...  

IPSec

Grundlagen IPSec Konfiguration von IPSec IPSec-Richtlinien Verbindungssicherheitsregeln
IPSec ist eine Möglichkeit Traffic in einem Netzwerk abzusichern. Die Methoden dabei umfassen  Authentifizierung ebenso wie Verschlüsselung.
SA - Security Association
AH - Authentication Header
ESP - Encapslating Security Payload
IKE - Internet Key Exchange
L2TP - Layer 2 Tunneling Protocol
PPTP - Point-to-Point Tunneling Protocol

1. Grundlagen IPSec
IPSec bietet Unterstützung für sicheren Datenverkehr auf zweierlei Weise, Authentifizierung und  Verschlüsselung
  • Authentifizierung: Es ist möglich den Ursprung des Datenverkehrs zu authentifizieren. So kann  festgestellt werden, dass die Daten von einem vertrauenswürdigem Absender stammen und  diese Absendeadresse nicht gefälscht wurde. Mit der Feststellung der Datenintegriät läßt sich  bestimmen, dass die Daten auf dem Transportweg nicht manipuliert wurden. Abschließend  läßt sich auch noch festlegen, dass ein wiederholtes Abspielen der Daten unterbunden wird  (Anti-Replay Schutz)
  • Verschlüsselung: Mit Verschlüsselungen lassen sich Daten absichern, so dass sie von nicht  autorisierten Hosts nicht gelesen werden können.
Zu IPSec gehört immer eine IPSec-Richtlinie. Diese bedingt eine IPSec-Richtlinienregel, die mit  einer IP-Filterliste und einer IP-Filteraktion verknüpft ist. Eine IPSec-richtlinie kann auf einem  einzelnen Computer angewandt werden oder mithilfe einer Gruppenrichtlinie.

2. Konfiguration von IPSec


Aushandlungsbasis
Die Aushandlungsbasis zwischen IPSec Partner (SA - Security Association) beruht auf einem  Internet Key Exchange (IKE). 
IKE stellt eine Richtlinie zusammen, die die Vereinbarung zwischen den IPSec-Partnern enthält. In  der SA werden dabei Sicherheitsdienste, Schutzmechanismen und kryptografische Schlüssel  definiert.
IKE wird wie folgt organisiert:
1. Einrichtung einer Hauptmodus-SA
2. Aushandeln des Kommunikationsverfahrens und des Verschlüsselungsalgorithmus.
3. Erstellen einer Schnellmodus-SA
4. Senden der Daten
Die Hauptmodus-SA bestimmt also die Rahmenbedingungen der Verbindungen, in der  Schnellmodus-SA wird der Datenverkehr organisiert.

Sicherheitszuweisungen
Sicherheitszuweisungen erfolgen über Authentifizierung und Verschlüsselungsmethoden.
Die Schlüsselbegriffe hier sind SA- Security Association, AH - Authentication Header und ESP -  Encapsulated Security Payload. Die Organisation der SA läuft über den Internet Key Exchange  (IKE).

Konfiguration von Filterlisten und Filteraktionen
In den Filterlisten können die IPSec Partner definiert werden und es ist auch möglich die Art des  Verkehrs zu definieren, der von der Filterliste betoffen ist (etwa IP oder ICMP). Es ist auch möglich  den Filter zu spiegeln, d.h. die Endpunkte der IPSec Kommunikation (Quelle und Ziel) werden  vertauscht.
In den Gruppenrichtlinien sind drei vordefinierte Filteraktionen definiert:
  • Permit/Zulassen: Läßt ungesicherte Kommunikation zu,
  • Security request: Diese Filter läßt ungesicherte Kommunikation zu, versucht aber eine  abgesicherte Kommunikation auszuhandeln.
  • Security require: Hier kann Kommunikation nur über eine abgesicherte Verbindung erfolgen.  Kann einer der IPSec-Partner nicht die erforderlichen Standards erfüllen, wird die  Kommunikation abgebrochen.

Authentifizierungsverfahren
Es gibt drei Verfahren zur Authentifizierung in IPSec
  • Kerberos. Kerberos ist das Standardauthentifizierungsverfahren in einer Active Directory  Umgebung.Wenn zwei IPSec Endpunkte innerhalb von Active Directory identifizierbar sind,  muss man diese lediglich der Domänen hinzufügen und keine weiteren Einstellung sind nötig.
  • Zertifikate. Die Authentifizierung mithilfe von Zertifikaten ist die sicherste Möglichkeit IPSec  einzusetzen. Hier muss für jeden Host ein Zertifikat ausgestellt und installiert werden, das die  beteiligten IPSec-Partner als vertrauenswürdig einstuft. Dabei können unterschiedliche  Ausstellungsinstanzen für die Zertifikaten genutzt werden, aber jeder Host muss der  Zertifikatsstelle vertrauen, die das Zertifikat für den anderen Host ausgestellt hat. Zertifkate  lassen sich auch für Produktivumgebungen nutzen, für die Kerberos nicht zum Einsatz  kommen kann.
  • Vorinstallierte Schlüssel. Da vorinstallierte Schlüssel unverschlüsselt in Active Directory und  den beteiligten Hosts gespeichert werden, ist dies eine eher unsichere Variante. Hier können  vorinstallierte Schlüssel für IPSec Endpunkte zugewiesen werden um Verschlüsselungen  zwischen Hosts zu ermöglichen.

Vordefinierte IPSec-Richtlinien
In den Gruppenrichtlinien stehen bei Windows Server 2008 drei vordefinierte IPSec-Richtlinien.
  • Client (respond only). Wenn einem Computer über ein Gruppenrichtlinienobjekt diese IPSec-  Richtlinie zugewiesen wird, fordert dieser Computer von sich aus keinen abgesicherten Verkehr  an, wird er jedoch zu einer abgesicherten Kommunikation aufgefordert, handelt er eine  entsprechend abgesicherte Verbindung aus.
  • Server (Request Security). Mit dieser vordefinierten Richtline nimmt der entsprechende Host  ungesicherte Kommunikation entgegen, versucht aber immer auch zusätzlich eine sichere  Verbindung auszuhandeln. Damit wird der Datenverkehr gewährleistet, auch wenn die  Kommunikationspartner nicht in der Lage sind IPSec einzusetzen.
  • Sicherer Server (Require Security). Diese Verbindung benötigt einen abgesicherten  Datenverkehr und ist für Datenkommunikation mit erhöhten Sicherheitsanforderungen zu  empfehlen.

3. IPSec-Richtlinien
IPSec wird normalerweise im Transportmodus innerhalb eines Intranets eingesetzt. Es ist jedoch  möglich IPSec im Tunnelmodus einzusetzen, um Datenverkehr über das Internet via VPN zu  schützen. Dabei wird ein geschütztes Datenpaket in ein ungeschütztes Datenpaket eingepackt.

Richtlinienregel
Grundsätzlich gibt es vier Möglichkeiten Datenverkehr zu organisieren: Sicherheit aushandeln,  Sicherheit anfordern, zulassen und blocken.
Dabei erhält die jeweils spezifischste Richtlinienregel Vorrang.

IP-Filterliste
In der IP-Filterliste lassen sich die Parameter für den oder die Filter festlegen. Mit Filtern lassen  sich unter anderem Quell- und Zieladresse, Adressbereich, Computername, Portnummer oder  Servertyp (z.B. WINS, DNS, DHCP u.a.) bestimmen, die von diesem Filter betroffen sind.

IP-Filteraktion
Die Möglichkeiten Filteraktionen festzulegen sind umfangreich im Detail.
Sicherheit aushandeln: Hier kann neben der Authentifizierung auch Verschlüsselung ausgehandelt  werden und bestimmt werden in welcher Reihe welcher Verschlüsselungsalgorithmus zum Einsatz  kommt.
Blocken: Der Datenverkehr wird hier bezogen auf die Filterliste unterbunden.
Sicherheit anfordern: Auch hier kann neben Authentifizierung Verschlüsselung zum Einsatz  kommen. Wird jedoch von einem der Aushandlungspartner keine entsprechende Sicherheit  angeboten, unterbleibt der Datenverkehr.
Zulassen: Hier wird der Datenverkehr auch ohne Authentifizierung und Verschlüsselung  zugelassen. Diese Aktion kann nötig werden, um auch ungeschützten Verkehr zu erlauben.

4. Verbindungssicherheitsregeln
Verbindungssicherheitsregeln sich schwächer als IPSec-Richtlinien.
Auch hier läßt sich anhand einer Kriterienliste der Netzwerkverkehr steuern. Im Gegensatz zu  IPSec betrifft eine Verbindungssicherheitsregel aber den gesamten IP-Verkehr und nicht nur  auswählbare Arten des IP-Traffics. Standardmäßig ist in Verbindungssicherheitsregeln nur die  Authentifizierung eingestellt, dies läßt sich aber um Verschlüsselungskritierien erweitern. Wenn die  zuvor definierten von der Verbindungssicherheitsregel betroffen Partner nicht den Kriterien  entsprechen, wird der Netzwerkverkehr standardmäßig unterbunden.

Konfiguration von Verbindungssicherheitsregeln
Es gibt 5 Regeltypen, unter denen man auswählen kann, wenn man eine benutzerdefinierte  Verbindungssicherheitsregel erstellen will.
1) Isolierung: Das ist ein Regeltyp, mit dem man den Verbindungsaufbau von Computern die ihren  Standort nicht in der Domäne haben, unterbinden kann. Bei der Isolierung erfolgt die Verbindung  aufgrund festgelegter Netzwerkstandorte der beteiligten Hosts.
2) Authentifizierungsausnahme: Hier kann festgelegt werden, dass ein definierter Computer sich  nicht authentifizieren muss. Dies kann nötig werden, um Zugang z.B. zu wichtigen  Infrastrukturservern zuzulassen.
3) Server-to-Server. Mit dieser Verbindungssicherheitsregel lassen sich die Endpunkte der  Kommunikation festlegen. Dies kann auf der Ebene einzelner IP-Adressen oder Adressbereiche  umgesetzt werden.
4)Tunnel: Einstellungsmöglichkeiten für den Verkehr über VPN
5) Benutzerdefiniert: Induvidualisierte Regel zum Verbindungsaufbau.
Seitenanfang