Konfigurieren von IPSec
Vorwort
Nachdem IPSec auf einem Computer konfiguriert ist, wird das Verhalten von IPSec
durch die Richtlinien bestimmt, die
Sie konfigurieren. Eine IPSec-Richtlinie besteht aus IP-Filterlisten, Filteraktionen
und Authentifizierungsanforderungen.
Miteinander kombiniert ermöglichen diese Komponenten einer IPSec-Richtlinie,
Datenverkehr zu identifizieren, der blo-
ckiert oder zugelassen werden sollte oder für den eine Authentifizierung
notwendig ist. In der unteren Abbildung sehen
Sie, wie IP-Filter, IP-Filterlisten, Filteraktionen und Regeln eine IPSec-Richtlinie
definieren.
Bild von Seite 499
IP-Filter
IP-Filter beschreiben Netzwerkverkehr und werden von IPSec-Richtlinien benutzt,
um zu bestimmen, ob eine IP-Sicher-
heitsregel auf ein einzelnes Paket anwendbar sein sollte. IP-Filter können
Datenverkehr von oder an einen Satz von
IP-Adressen, WINS-Server, DNS-Server, DHCP-Server oder ein Standardgateway spezifizieren.
Sie können ebenfalls
einen IP-Filter konfigurieren, so dass er zu einer Quell- oder Ziel-Anschlussnummer
passt oder sogar zur IP-Protokoll-
nummer eines Pakets. Jedes der folgenden Beispiele kann entweder durch einen
einzigen IPSec-IP-Filter oder eine
Kombination von mehreren Filtern spezifiziert werden:
Jeder Datenverkehr
an oder von IP-Adresse 10.4.22.17
Jeder ICMP (Internet
Control Message Protocol)-Verkehr an oder vom Standardgateway
Jeder Datenverkehr,
der an TCP-Anschluss 80 vom internen Netzwerk gesendet wird
Alle ausgehenden
Verbindungen, ausgenommen die an bestimmte Server.
Mehrere IP-Filter können in einer IP-Filterliste
kombiniert werden. Tatsächlich ist das Einzige, das Sie mit einem IP-
Filter tun können, ihn einer IP-Filterliste hinzuzufügen, denn IPSec-Richtlinien
ermöglichen nur die Spezifizierung von
IP-Filterlisten. Wenn Ihre Anforderungen einfach sind, können Sie eine
IP-Filterliste erstellen, die aus einem einzigen
IP-Filter besteht. Die meisten IP-Filterlisten bestehen jedoch aus mehreren
IP-Filtern.
So gehen SIe vor, um etwas einer IP-Filterliste hinzuzufügen, etwas aus
ihr zu entfernen oder sie zu ändern. Klicken
Sie mit der rechten Maustaste auf den entsprechenden IP Sicherheitsrichtlinien-Knoten
im GPO-Editor oder dem
Snap-In IP-Sicherheitsrichtlinienverwaltung und
klicken Sie dann auf IP-Filterlisten und Filteraktionen
verwa-
lten.Das Dialogfeld IP-Filterlisten und Filteraktionen
verwalten wird geöffnet. Klicken Sie auf die Registerkarte
IP-Filterlisten verwalten. Sie können
dann auf die Schaltfläche Hinzufügen, Bearbeiten
oder Entfernen klicken.
(siehe untere Abbildung)
Bild von Seite 500
Wenn Sie im Dialogfeld IP-Filterlisten und Filteraktionen
verwalten auf Hinzufügen klicken,
wird das Dialogfeld
IP-Filterliste geöffnet. Wenn Sie in
diesem Dialogfeld auf Hinzufügen klicken,
können Sie IP-Filter erstellen. Sie
können einen Assistenten für das Erstellen der IP-Filter verwenden,
die Konfigurationsoption sind jedoch so einfach,
dass der Assistent nicht sehr nützlich ist. Unabhängig davon, wie
Sie die Filter konfigurieren, die Konfigurationsop-
tion sind die gleichen: Quelladresse, Zieladresse, Gespiegelt und Protokolltyp-
Die Quell- und Zieladressen bieten die gleichen Optionen. Wenn Sie Eigene
IP-Adresse wählen, können Sie jede
auf Ihrem Computer konfigurierte IP-Adresse spezifizieren. Sie sollten diese
Option in allen Filtern verwenden, außer
in denen, für die Datenverkehr durch den Computer geleitet wird. Anders
gesagt sollten Sie Eigene IP-Adresse an-
stelle von Beliebige IP-Adresse wählen,
wenn der Computer nicht als Firewall, Router oder IPSec-Tunnelendpunkt
dient. Die Optionen Spezielles IP-Subnetz
und Spezielle IP-Adresse sind selbsterklärend.
Sie sollten verwendet
werden, um IP-Filter zu erstellen, die Intranet, Extranet oder bestimmte Computer
spezifizieren. Wenn Sie beispiel-
sweise planen, Host für einen Webserver zu sein, auf den man vom Internet
aus zugreifen kann, für den aber Ver-
schlüsselung für Datenverkehr aus dem Intranet notwendig ist, sollten
Sie eine IPSec-Richtlinie mit einem Filter er-
stellen, der die IP-Subnetze Ihres Intranets spezifiziert.
Wenn Sie das Kontrollkästchen Gespiegelt
markieren, spielt es keine Rolle, welche Adressen Sie für Quelle und
Ziel angeben, da der IP-Filter zu Datenverkehr passt, bei dem die Quell-IP-Adresse
des Pakets mit der Ziel-IP-Ad-
resse des Filters übereinstimmt, und andersherum. Sie sollten die Option
Gespiegelt jedoch nicht markieren,
wenn Sie einen Filter für einen IPSec-Tunnel stellen.
Die Option Spezieller DNS-Name ist irreführend,
hier wird nicht der Hostname im IP-Filter gespeichert. Stattdessen
wird die IP-Adresse nachgesehen, die mit dem Hostnamen assoziiert wird, den
Sie zur Zeit der Filtererstellung angege-
ben haben, und diese IP-Adresse wird gespeichert. Dies ist eine wichtige Unterscheidung,
denn wenn Sie einen IP-
Filter erstellen, der den Hostnamen eines Computers spezifiziert, und dann die
IP-Adresse des Computers ändern,
passt der IP-Filter nicht mehr auf den Datenverkehr von diesem Computer.
Im Gegensatz dazu sind die Optionen DNS-Server, WINS-Server,
DHCP-Server und Standardgateway alle dy-
namisch aufgebaut. Immer, wenn eine IPSec-Richtlinie benutzt wird, die den Filter
verwendet, ruft IPSec die Liste
von DNS, WINS, DHCP oder Standardgateways aus der Computernetzwerkkonfiguration
und versucht, den Daten-
verkehr an diese Adressen anzupassen. Dies ermöglicht Ihnen, diese dynamischen
Adressen anzuwenden, wenn
Sie IPSec-Richtlinien an das gesamte Unternehmen weitergeben. Wenn verschiedene
Teile des Unternehmens
verschiedene Server verwenden, oder wenn sich die Serveradressen manchmal ändern,
funktionieren die IP-Filter
immer noch richtig.
Windows Server 2003 unterstützt zwei vordefinierte Filterlisten: ICMP-Datenverkehr
insgesamt und IP-Daten-
verkehr insgesamt. Sie können ICMP-Datenverkehr
insgesamt dazu verwenden, Anfragen von Anwendungen
wie Ping und Tracert anzupassen. Wie der Name schon sagt, können Sie IP-Datenverkehr
insgesamt dazu ver-
wenden, eingehenden oder ausgehenden IP-Verkehr anzupassen.
Filteraktionen
Sie verwenden Filteraktionen, auch Sicherheitsmethoden
genannt, um zu definierten, wie eine IPSec-Richtlinie Daten-
verkehr behandelt, auf den ein IP-Filter passt. Eine
Filteraktion reagiert auf eine von drei Arten: Sie verwirft den
Datenverkehr, lässt ihn zu oder versucht, Sicherheit auszuhandeln.
Wenn Sie Optionen Zulassen oder Blo-
ckieren für eine Filteraktion wählen, gibt es nichts weiter
zu konfigurieren. Sie brauchen tatsächlich nie mehr als eine
Filteraktion für die Optionen Zulassen
und Blockieren.
Es gibt einige zusätzliche Einstellungen beim Konfigurieren einer Filteraktion
zum Aushandeln von Sicherheit. Zuerst
müssen Sie wählen, ob der Server Kommunikation mit Clients zulässt,
die IPSec nicht zulassen, indem Sie das Kon-
trollkästchen Unsichere Komm. mit Computern
zulassen, die IPSec nicht unterstützen markieren oder die Mar-
kierung entfernen. Sie können IPSec nur erzwingen, wenn IPSec auf allen
Clientcomputern aktiviert ist. Andernfalls
haben Clients ohne IPSec keinen Zugriff auf den Server. Diese Einstellung ist
im Allgemeinen nur dann aktiviert, wenn
Active Directory dazu verwendet wird, IPSec-Konfigurationseinstellungen an alle
Computer im Netzwerk weiterzugeben.
Sie sollten, wenn möglich, den Filteraktions-Assistenten verwenden, um
Filteraktionen zu konfigurieren, weil das Kon-
figurieren der Integritäts- und Verschlüsselungseinstellungen kompliziert
sein kann. Die Seite Sicherheit des IP-Ver-
kehrs im Assistenten ermöglicht Ihnen, die Schutzsuites zu bestimmen,
die mit der Filteraktion assoziiert werden.
Sie können Verschlüsselung und Integrität,
Nur Integrität oder Benutzerdefiniert
wählen, konfiguriert der Assi-
stent die Filteraktion mit ESP-basierter Verifizierung (unter standardmäßiger
Verwendung des Hash-Algorithmus 1
[SHA1]) und Verschlüsselung (unter standardmäßiger Verwendung
von 3DES). Wenn Sie Nur Integrität wählen,
wird
die 3DES-Verschlüsselung (Triple-Data Encryption Standard) deaktiviert.
Wenn Sie Benutzerdefiniert wählen, können
Sie die speziellen Algorithmen konfigurieren, die Sie für Integrität
und Ver-
schlüsselung verwenden wollen, einschließlich der Option, MD5 anstelle
von SHA 1 für die Integrität zu benutzen, und
DES (Data Encryption Standard) anstelle des standardmäßigen 3DES.
Das Wählen von Benutzerdefiniert gibt
Ihnen
ebenfalls die Möglichkeit, die Standardeinstellungen für die Schlüsselerneuerung
im Schnellmodus zu ändern, indem
Sie eine Zeitspanne oder Daten eingeben. Wenn Sie beide Kontrollkästchen
Neuen Schlüssel alle: markieren (siehe
untere Abbildung), verwendet IPSec die Schnellmodusaushandlung, um einen neuen
Sitzungsschlüssel zu erstellen,
wenn eine vorgegebene Anzahl von Bytes übertragen wurde oder wenn die angegebene
Sekunden verstrichen sind - je
nachdem, was zuerst eintritt. Wenn Sie keine dieser Kontrollkästchen markieren,
startet IPSec die Schnellmodusaus-
handlung jede Sekunde oder nachdem 100 MB Daten übertrag wurden. Je häufiger
ein Sitzungsschlüssel neu erstellt
wird, desto schwerer ist es für einen Angreifer, Ihren Datenverkehr zu
entschlüsseln. Das Neuerstellen der Sitzungs-
schlüssel stellt jedoch auch eine Belastung für die Systemleistung
dar und vermindert den Netzwerkdurchsatz.
Insidertipp:
DIe Standardeinstellungen haben keine besonders negativen Auswirkungen auf die
Leistung, also gehen Sie nicht davon
aus, dass die Erhöhung des Sitzungsschlüssel-Erneuerungsintervalls
zu einer Leistungserhöhung führt. Die Erneuerung
der Sitzungsschlüssel hat nur dann eine merkbare negative Auswirkung, wenn
Sie so konfigurieren, dass der Sitzungs-
schlüssel extrem oft erneuert wird, also nach ein paar Sekunden.
Sie können mehrere Schutzsuites für eine einzige Filteraktion konfigurieren.
Wenn Sie dies tun, lassen Sie die Eigen-
schaften der Filteraktion anzeigen und verwenden Sie Nach
oben und Nach unten-Schaltflächen,
um die Priorität zu
bestimmen. IPSec beginnt die Aushandlungen mit der ersten Sicherheitsmethode
in der Liste. Wenn dies fehlschlägt,
arbeitet sich IPSec durch die Liste, bis eine Verbindung erfolgreich ausgehandelt
wird oder bis das Ende der Liste er-
reicht ist. Sie sollte die Abfolgt also von der sichersten zur am wenigsten
sicheren Methode anordnen. Dies stellt sicher,
dass IPSec zuerst die sicherste Verbindung mit möglichen Clients aushandelt
und nur auf weniger sichere Methoden
zurückgreift, wenn die Aushandlungen fehlschlagen.
Filteraktionen haben eine weitere Sicherheitsoption, die nicht im Filteraktions-Assistenten
konfiguriert werden kann:
Sitzungsschlüsel mit Perfect Forward Secrecy
(PFS) verwenden. Wenn Sie dieses Kontrollkästchen markieren,
wird festgestellt, dass Sie das neue Hauptschlüssel-Verschlüsselungsmaterial
jedes Mal neu aushandeln möchten,
wenn ein neuer Sitzungsschlüssel erforderlich ist. Dies verbessert vor
allem die Sicherheit der Verbindung, weil es für
einen Angreifer schwieriger gemacht wird, die Kommunikation zu entschlüsseln.
Es sind jedoch zusätzliche Aushan-
dlungen zwischen Client und Server notwendig, was die Leistung reduziert.
Insidertipp:
Die Verwendung von PFS-Sitzungsschlüsseln schreckt nur die Angreifer ab,
die brutalere Methoden verwenden, um
Datenverkehr zu entschlüsseln, eine eher sinnlose Aufgabe. Daher sollten
Sie PFS nur in Unternehmen verwenden,
welche die höchstmögliche Sicherheitsstufe haben.
So gehen Sie vor, um etwas einer Filteraktion hinzuzufügen, etwas aus ihr
zu entfernen oder sie zu ändern. Klicken
Sie mit der rechten Maustaste auf den entsprechenden IP Sicherheitsrichtlinien-Knoten
im GPO-Editor oder dem
Snap-In IP-Sicherheitsrichtlinienverwaltung
und klicken Sie dann auf IP-Filterlisten und Filteraktion
verwalten.
wird geöffnet. Klicken Sie auf die Registerkarte
Filteraktionen verwalten. Sie können dann auf die Schaltfläche
Hinzufügen, Bearbeiten
oder Entfernen klicken.
Windows Server 2003 unterstützt drei vordefinierte Filteraktionen: Zulassen,
Request Security und Require Security.
Zulassen bewirkt, dass der Verkehr weitergeleitet
wird. Bei Request Security wird versucht,
mit einem Client zu
verhandeln, der eine ungesicherte Verbindungsanforderung übermittelt. Wenn
sich Client und Server nicht auf einen
Satz von IPSec-Einstellungen einigen können, wird eine ungesicherte Verbindung
erstellt. Bei Require Security wird
ebenfalls versucht, eine authentifizierte und verschlüsselte Verbindung
mit dem Client auszuhandeln, die Verbindung
wird jedoch verworfen, wenn die Aushandlung fehlschlägt.
IP-Sicherheitsregeln
Eine IP-Sicherheitsregel besteht aus einer IP-Filterliste, einer Filteraktion
und, optional, einem Verbindungstyp und
Tunnelendpunkt. Sie können nur eine IP-Filterliste und eine Filteraktion
pro Regel festlegen. Wenn sich die Regel
auf Datenverkehr zwischen Netzwerken über einen IPSec-Tunnel bezieht, sollten
Sie die IP-Adresse des Tunnelpu-
nkts angeben. Sie können der IP-Filterliste trotzdem Filter hinzufügen;
Sie können einen Endpunkt konfigurieren
und die Regel nur auf den Datenverkehr auf einem betimmten Subnetz innerhalb
des Zielnetzwerk (erreichbar durch
den IPSec-Tunnel) beziehen.
Die Standardantwortregel wird verwendet, um den Computer für die Antwort
auf Anforderungen für sichere Kommunika-
tion zu konfigurieren, wenn keine andere Regeln passen. Wenn für eine aktive
Richtlinie keine Regel definiert ist, die
eine sichere Kommunikation anfordert, wird die Standardantwortregel angewendet
und die Sicherheit wird ausgehandelt.
Wenn beispielsweise Computer A sicher mit Computer B kommuniziert und auf Computer
B kein eingehender Filter
für Computer A definiert ist, wird die Standardantwortregel angewendet.
Hinweis
Die Standardantwortregel kann nicht gelöscht werden, aber sie kann deaktiviert
werden Sie ist standardmäßig für alle
Richlinien aktiviert.
Um das Sicherheitsrisiko von ungewollten Sicherheitsaushandlungen zu vermeiden,
können Sie die Standardantwort-
regel deaktivieren. Angreifer können den IPS-Aushandlungsvorgang, der durch
die Standardantwortregele aktiviert ist,
dazu verwenden, Informationen über den Computer zu erhalten. Ein geübter
Hacker kann spezielle Sicherheitsaus-
handlungen konstruieren, um anzufragen und so den Namen des Clients, Vertrauensstellungen
und andere Einstell-
ungen zu erfahren, die in der Standardantwortregel konfiguriert sind. Wenn Sie
beispielsweise Kerberos als Authenti-
fizierungsmethode für die Standardantwortregel verwenden, kann ein Angreifer
die Kerberos-Identität des Clients an-
fragen. Die Anfrageergebnisse liefern dem Hacker den Computernamen und die Domänenhierarchie,
also zum Bsp.
username@contoso.com. Wenn Sie zertifikatbasierte
Authentifizierung als Authentifizierungsmethode für die
Standardantwortregel verwenden, erhält der Hacker eventuell die Namen der
PKI-vertrauenswürdigen Stammzerti-
fizierungsstellen, die für die Standardantwortregel konfiguriert sind.
Sie müssen ebenfalls die Authentifizierungsmethode konfigurieren. Sie können
nur eine einzige Authentifizierungs-
methode mit dem Assistent für IP-Sicherheitsrichtlinien konfigurieren,
aber Sie können die Eigenschaften der Richt-
linie später bearbeiten, um weitere Authentifizierungsmethoden hinzuzufügen.
Sie können aus drei Authentifizierungs-
methoden wählen: Active Directory, Zertifikate und vorinstallierte Schlüssel.
Hinweis
Wenn Sie eine Regel erstellen, die Datenverkehr einfach blockiert oder zulässt,
werden Sie nicht aufgefordert, eine
Authentifizierungsmethode zu wählen, da keine Authentifizierung verwendet
oder angefordert wird.
Konfigurieren von IP-Sicherheitsrichtlinien
mit grafischen Programmen
IP-Filter, Filteraktionen und IP-Sicherheitsregeln sind nur sinnvoll, wenn Sie
einer IP-Sicherheitsrichtlinie hinzugefühgt
werden. Wenn Sie IP-Sicherheitsrichtlinien auf dem lokalen Computer konfigurieren,
können Sie das Snap-In Sicher-
heitsrichtlinienverwaltung verwenden. Sie können ebenfalls das Snap-In
GPO-Editor benutzen, um entweder lo-
kale oder Domänen-GPOs zu bearbeiten. Erweitern Sie im GPO-Editor die Option
Computerkonfiguration, Win-
dows Einstellungen und Sicherheitseinstellungen
und klicken Sie dann entweder auf IP-Sicherheitsrichtlinien
auf lokalem Computer oder auf Active Directory-basierte IP-Sicherheitsrichtlinien.
Da dieser Knoten evtl.
mehrere Bezeichnungen hat, bezieht sich diese Lektion einfach auf den Knoten
als IP-Sicherheitsrichtlinien.
So gehen Sie vor, um eine neue Sicherheitsrichtlinie zu erstellen: Klicken Sie
mit der rechten Maustaste auf den ent-
sprechenden IP-Sichheitsrichtlinien-Knoten im GPO-Editor oder dem Snap-In IP-Sicherheitsrichtlinienverwaltung
und klicken Sie dann auf IP-Sicherheitsrichtlinie
erstellen. Der Assistent für IP-Sicherheitsrichtlinien wird ange-
zeigt und führt Sie durch den Vorgang des Erstellens einer Sicherheitsrichtlinie.
Während des Konfigurationsvorgangs werden Sie aufgefordert, die Standardantwortregel
zu aktivieren. In den meisten
Fällen sollten Sie diese auch tun. Wenn Sie dies tun, werden Sie aufgefordert,
eine Authentifizierungsmethode auszu-
wählen.
Nachdem Sie mit dem Assistent für IP-Sicherheitsrichtlinien eine Richtlinie
erstellt haben, können Sie die Eigenschaft-
en der Sicherheitsrichtlinie bearbeiten, den Namen, die Beschreibung, das Richtlinienänderungsintervall
und die Schlü-
sselaustauscheinstellungen ändern. In der unteren Abbildung sehen Sie das
Dialogfeld Eigenschafen der IP-Sicher-
heitsregel Secure Server (Requiry Security). Verwenden Sie die Registerkarte
Regeln, um IP-Sicherheitsregeln hinzu-
zufügen, zu ändern oder zu entfernen. Verwenden Sie die Registerkarte
Allgemein, um eine Regel umzubenennen, zu
ändern, wie oft IPSec nach Aktualisierungen für die Richtlinie fragt
und um die Schlüsselaustauscheinstellungen fest-
zulegen.
Bild von Seite 506
Sie können im Dialogfeld IPSec-Richtlinien-Eigenschaften
in der Registerkarte Allgemein auf die Schaltfläche
Ein-
stellungen klicken, um die Schlüsselaustauscheinstellungen zu ändern.
Wenn Sie das Kontrollkästchen Haupt-
schlüssel für Perfect Forward Secrecy markieren, wird festgelegt,
dass Sie das neue Hauptschlüssel-Verschlü-
sselungsmaterial jedes Mal neu aushandeln möchten, wenn ein neuer Sitzungsschlüssel
erforderlich ist. Dies macht
es für einen Angreifer schwieriger, Ihre Kommunikation zu entschlüsseln.
Die Leistung wird jedoch negativ beeinflusst.
Wenn Sie dieses Kontrollkästchen nicht markieren (dies ist die Standardeinstellung),
werden neue Sitzungsschlüssel
aus dem aktuellen Hauptschlüssel-Verschlüsselungsmaterial bezogen
- ein schneller Vorgang.
Durch die Schaltfläche Methoden im Dialogfeld
Einstellungen für den Schlüsselaustausch
wird das Dialogfeld
Schlüsselaustausch-Sicherheitsmethoden
geöffnet, das Ihnen ermöglicht zu kontrollieren, welche IKE-Sicherheits-
methoden verwendet werden, um die Anmeldeinformation während des Authentifizierungsvorgangs
zu verschlüsseln.
Sie können IKE-Sicherheitsalgorithmen hinzufügen oder entfernen und
sie in der Reihenfolge arrangieren, in der sie
verwendet werden. IPSec versucht immer, den ersten Sicherheitsalgorithmus zu
verwenden, bevor es mit den ver-
bleibenden Algorithmen fortfährt. Wenn Sie keine ungewöhnlichen Sicherheitserfordernisse
festgestellt habe, die
eine Änderung dieser Liste notwendig machen, sollten die Standardeinstellung
für Sie genügen.
Windows Server 2003 unterstützt drei vordefinierte IP-Sicherheitsrichtlinien:
Client (Respond only), Server (Request
Security) und Secure Server (Require Security). Die Client-Sicherheitsrichtlinie
besteht nur aus der Standardantwort-
regel mit Kerberos-Authentifizierung. Alle Computer müssen die Client-Sicherheitsrichtlinie
haben oder eine andere
Richtlinie mit der Standardantwortregel, mit der eine IPSec-Verbindung erstellt
werden kann. Wenn Sie Server haben,
auf die von Client zugegriffen wird, bei denen nicht sicher ist, ob sie IPSec
aktiviert haben, sollten Sie die vordefinierte
Richtlinie Server (Request Security) zuweisen. Wenn Sie Server haben, auf die
nur von Computern zugegriffen werden
soll, die Sie konfiguriert haben, können Sie Sicherer Server (Require Security)
verwenden. Diese Richtlinie weist Ver-
bindungsanforderungen von Computern, auf denen IPSec nicht aktiviert ist, zurück.
Tipp
Wenn Sie einen Computer extern verwalten, sollten Sie bei der Zuweisung der
Sicherheitsrichtlinie Secure Server (Re-
quire Security) vorsichtig sein, oder bei jeder anderen Richtlinie, die keine
ungesicherte Kommunikation zulässt. Sie
könnten Anforderungen von Ihrem eigenen Computer blockieren!
Konfigurieren von IP-Sicherheitsrichtlinien
mit Befehlszeilenprogrammen
Sie werden zwar normalerweise grafische Programme zum Konfigurieren der IP-Sicherheitsrichtlinien
verwenden, in
Windows Server 2003 können Sie jedoch auch das Netsh-Befahlszeilenprogramm
für Skripting der IPSec-Konfigura-
tion verwenden. Netsh ist ein standardmäßiges Windows Server 2003-Befehlszeilen-Skriptingprogramm,
das Sie ver-
wenden können, um die lokalen oder Remote-Netzwerkkonfigurationen anzeigen
zu lassen oder zu ändern. Die Netsh-
IPSec-Befehle können in keiner anderen Version von Windows verwendet werden.
Um die Befehlszeile zum Konfigurieren von IPSec-Richtlinien auf Computern unter
Windows XP zu benutzen, verwen-
den Sie Ipseccmd.exe von der Windows XP-CD
im Ordner \Support\Tools. Um die Befehlszeile
zum Konfigurieren
von IPSec-Richtlinien auf Computern unter Windows 2000 zu benutzen, verwenden
Sie Ipsecpol.exe aus dem Win-
dows 2000 Server-Ressource Kit.
Um Netsh interaktiv zu verwenden, um IPSec-Einstellungen anzeigen zu lassen
oder zu ändern, öffnen Sie eine Einga-
beaufforderung und führen Sie den Befehl Netsh
ohne Parameter aus. Die interaktive Netsh-Eingabeaufforderung wird
gestartet. Geben Sie dann Ipsec static oder
Ipsec dynamic ein, um den Kontext für
Netsh festzulegen. Die foglenden
Befehle starten beispielsweise Netsh und setzen den Kontext auf IPSec dynamic:
C:\>netsh
netsh>ipsec
netsh ipsec>static
netsh ipsec static>
Der statische Modus ermöglicht Ihnen, Richtlinien erstellen, ändern
und zuweisen, ohne dass die aktive IPSec-Richtli-
nie beeinflusst wird. Im dynamischen Modus können Sie den aktvien Status
anzeigen lassen und Änderungen an der-
aktiven IPSec-Richtlinie sofort implementieren. Dynamische Netsh-Befehle haben
auf den Dienst nur Einfluss, wenn er
gerade aktiv ist. Wenn er gestoppt wird, werden die dynamischen Richtlinieneinstellungen
verworfen.
Der dynamische Modus kann recht nützlich sein, zum Beispiel wenn Sie sofort
eine Änderung an der IPSec-Verarbei-
vornehmen müssen. Einige IPSec-Befehle erfordern, dass der IPSec-Dienst
angehalten werden muss, andere nicht.
Der dynamische Modus hat jedoch auch Nachteile. Sollten Sie im dynamischen Modus
einen Fehler machen, haben
Sie keine Möglichkeit, diesen Fehler vor der Implementierung der Änderung
zu bemerken. Sie könnten eine falsche
Konfiguration erstellen, ohne eine Warnung zu erhalten.
Zertifikatsperrlisten-Überprüfung
Wie Sie erfahren haben, geben Zertifikatserver Zertifikatsperrlisten (Certificate
Revocation Lists, CRLs) aus, um Clients
zu aktualisieren, wenn Zertifikate widerrufen werden. Damit ein Clientcomputer
ein Zertifikat vollständig überprüfen kann,
muss er die CRL überprüfen, um zu bestätigen, dass das Zertifikat
nicht vom Aussteller widerrufen wurde. Da die Stan-
dards der CRL-Überprüfung noch in der Entwicklung steckten, als Windows
2000 herausgegeben wurde, überprüfen
Computer unter Windows 2000 nicht unbedingt CRLs nach Zertifikaten, die für
die IPSec-Authentifizierung verwendet
werden. Wenn Sie planen, Zertifikate für die IPSec-Authentifizierung zu
verwenden und Computer unter Windows 2000
in Ihrem Netzwerk haben, sollten Sie die Zertifikatsperrlisten-Überprüfung
aktivieren.
So aktivieren Sie die CRL-Überprüfung auf Computern unter Windows
2000:
ein Wert von 0 die CRL-Überprüfung
deaktiviert (Standard bei Windows 2000), ein Wert von 1 bewirkt, dass die CRL-Überprüfung
versucht wird und die Zertifikatbestätigung nur dann fehlschl-
ägt,
wenn das Zertifikat zurückgerufen wurde (Standard für Windows XP
Professional und Windows Server 2003).Andere Fehler,
die während der CRL-Überprüfung auftreten (wie beispielsweise,
dass der Sperr-URL nicht erreich-bar ist) bewirken
nicht, dass die Zertifikatbestätigung fehlschlägt. ein Wert von 2 bewirkt starke URL-Überprüfung,
was bedeutet, dass die URL-Überprüfung erforderlich ist unddas die Zertifikatbestätigung
fehlschlägt, wenn ein Fehler während der CRL-Verarbeitung auftritt.
Setzen Sie denWert in der
Registrierung, wenn Sie verstärkte Sicherheit möchten.Windows XP-Professional und Windows Server 2003 überprüfen die CRLs
automatisch, wenn IPSec-Verbindungen
authentifiziert werden. Vielleicht möchten Sie dies jedoch deaktivieren,
wenn Sie die CRL-Überprüfung als Ursache
eines Fehlers identifiziert haben. Um die CRL-Überprüfung zu deaktivieren,
öffnen Sie die Eingabeaufforderung und
führen Sie diesen Befehl aus:
netsh ipsec dynamic set config strongcrlcheck 0
Sicherheitswarnung
Die IPSec-CRL-Überprüfung stellt nicht sicher, dass die Zertifikatbestätigung
sofort fehlschlägt, wenn ein Zertifikat
widerrufen wurde. Es gibt eine Verzögerung zwischen dem Zeitpunkt, zu dem
ein widerrufenes Zertifikat in eine
aktualisierte und veröffentlichte CRL eingegeben wird und der Zeit, wenn
der Computer, der die IPSec-CRL-Über-
prüfung durchführt, diese CRL erhält. Der Computer erhält
keine neue CRL, bis die aktuelle CRL abgerufen ist oder
bis eine neue CRL veröffentlicht wird.
Praktische Übung: Konfigurieren von
IPSec-Richtlinien
In dieser Übung konfigurieren Sie zwei Arten von IPSec-Richtlinien: Eine
für Paketfilerung und eine für Authentifizierung
und Datenintegrität.
Übung 1: Konfigurieren der Paketfilerung
In dieser Übung konfigurieren Sie die Paketfiterung auf Computer1
so, dass Datenverkehr aus dem 192.168.1.0-Netz-
werk zugelassen wird, aber nur Webanforderungen aus anderen Netzwerken. Zuerst
stellen Sie zwei IP-Filterlisten,
um internen Datenverkehr und Webverkehr aus Netzwerken zu identifizieren.
Jetzt erstellen SIe eine Filteraktion zum Verwerfen von Datenverkehr:
Nun haben Sie eine IP-Filterliste und eine Filteraktion hinzugefügt. Dies
ändert jedoch nicht das Verhalten von Com-
puter1. Um das Verhalten zu ändern, müssen Sie eine IP-Sicherheitsrichtlinie
konfigurieren. Sie fügen jetzt in der
IP-Sicherheitsrichtlinie drei Regeln hinzu, um internen Datenverkehr zuzulassen,
um externen Webverkehr zuzulasen
und um jeden anderen Datenverkehr zu blockieren.
Erstellen Sie zuerst die Sicherheitsrichtlinie:
Klicken Sie dann auf die erste Regel zum Zulassen des internen Datenverkehrs:
Klicken Sie dann auf die zweite Regel zum Zulassen des externen Webverkehrs:
Fügen Sie jetzt die letzte Regel zum Blockieren des übrigen Datenverkehrs
hinzu: Anders als andere Firewalls ver-
wirft IPSec nicht standardmäßig Datenverkehr. Daher müssen Sie
eine Regel erstellen, damit Datenverkehr verwor-
fen wird, der nicht ausdrücklich zugelassen wurde.
Nun folgt der letzte Schritt: Das Zuweisen der Richtlinie. Klicken Sie auf
der rechten Seite des IP-Sicherheitsregeln-
Snap-In mit der rechten Maustaste auf Packet Filtering
und dann auf Zuweisen. Die Richtlinie tritt
sofort in Kraft
und der Datenverkehr von externen Netzwerken, der nicht für Anschluss 80
bestimmt ist, wird verworfen.
Übung 2: Aktivieren der Verschlüsselungs-
und Integritätsbestätigung
In dieser Übung konfigurieren Sie Computer1
und Computer2 so, dass IPSec für die
Verschlüsselungs- und Integri-
tätsbestätigung verwendet wird.
Nun wird die Kommunikation zwischen Computer1
und Computer2 verschlüsselt und authentifiziert.
Weil sie Mitglie-
der derselben Domäne sind, wird das Standard-Kerberos-Authentifizierungsprotokoll
auf dem Client (Respnd Only) und
dem Server (Request Security) die Authentifizierung erfolgreich durchführen.
Erstellt von: Haßlinger Stefan
Im: Jahr 2006