Lantranet [dot] com

bloggin' like a Professional

  • Navigator

    open all | close all
  • Kategorien

  • Neueste Beiträge

IPSec

IPSec

Datenauthentifizierung
– Datenursprung
– Datenintegrität

Datenverschlüsselung
– Daten sind unlesbar, falls sie abgefangen werden

Erzwingen von IPSEC

1. IPSEC Richtlinien
– sowohl für die Authentifizierung als auch für Verschlüsselungsdienste
– über lokale Sicherheitsrichtlinie oder GPO
– Richtlinie besteht aus Richtlinienregeln (legen fest, wann & wie IP-Verkehr geschützt werden soll)
– Jede Richtlinienregel ist mit Filterliste & Filter-Aktionen verknüpft
– Jede Filterliste ist mit einem Satz von IP-Filtern (deff. Quell & Zieladressen)& Filter-Aktionen verknüpft

Filteraktionen: (blocken, zulassen, Sicherheit aushandeln)
– wie soll Sicherheit aussehen?
– Authentifizierung und /oder Verschlüsselung?
– in welcher Reihenfolge werden die Verschlüsselungsalgorythmen angewendet?
– ist unverschlüsselte / ungesicherte Kommunikation möglich, falls keine Einigung auf gemeinsames Sicherheitsprotokoll erzielt werden kann?

2. Verbindungssicherheitsregeln
– standardmäßig nur Authentifizierung
– Konfigurierbar über Firewall mit erweiterter Sicherheit und über die GPO’s
– Einstellungen über Firewall importierbar /exportierbar
– keine Filter & Filter-Aktionen
– gelten immer für den gesamten IP-Verkehr zwischen Subnetzen und Servern

Sicherheitszuordnungen (SA Security Assosiation):

Computer handelt IPSec-Verbindung aus = Daten werden über Sicherheitszuordnungen geschützt.

Sicherheit der „SA“ wird gewährleistet durch:
(1.) Authentication Header (AH)                             => Authentifizierung
(2.) Ecapsulationg Security Payload (ESP)            => Verschlüsselung

Aufbau einer IPSEC Verbindung

–          IKE – Protokoll (Internet Key Exchange) erstellt die „SA“ für die Verbindung

–          IKE stellt Richtlinie zusammen, auf die sich beide Kommunikationspartner geeinigt haben

–          Richtlinie definiert die „SA“

IKE führt zweiphasige Aushandlungsoperation durch:
(Jede Phase benutzt eigene „SA“!)

Phase 1:      Hauptmodus-Aushandlung
dient zum Schutz der zweiten IKE-Aushandlungsphase

Phase 2:      Schnellmodus-Aushandlung
erstellen einer SA, die den Anwendungsverkehr schützt

2 verschiedene Modi von IPSec

Transportmodus                                                                            Tunnelmodus

Sicherheit von Endpunkt zu Endpunkt
VPN mit IPSec, L2TP

Authentifizierungsmethoden

  • Kerberos
    – innerhalb der AD-Gesamtstruktur
    – Hosts müssen Domänenmitglieder sein
  • Zertifikate
    – wenn Kerberos nicht möglich ist
    – jeder Host benötigt Computerzertifikat
    – können von verschiedenen „CA’s“ ausgestellt worden sein
    (Vertrauensstellungen der verschiedenen Hosts zu den entsprechenden CA’s)

Vorinstallierter Schlüssel

–          Kennwort, das beide IPSec-Partner kennen
–          werden im AD, im Klartext gespeichert
–          nur für Testzwecke

net start policyagent
netstop policyagent

  IP-Filterliste Filteraktion
Richtlinienregel1 Filter 1: Telnet Verkehr von 192.168.3.32Filter 2: Pop3 Verkehr von 192.168.3.200 Sicherheit aushandelnVerschlüsselung zwingend erforderlich
Richtlinienregel2 Filter 1: der gesamte Telnet-VerkehrFilter 2: der gesamte Pop3-Verkehr Blocken
Richtlinienregel3 Filter 1: Der gesamte Netzwerkverkehr Sicherheit aushandelnAuthentifizierung anfordern

Die erste Regel hat Priorität, weil sie den Verkehr am spezifischsten definiert

Anhand des Typs (Telnet, POP3)
Anhand der Adresse (192.168.3.32, 192.168.3.200)

Die zweite Regel definiert den Verkehr

Nur anhand des Typs (Telnet oder POP3)

Die dritte Regel hat die geringste Priorität

Gilt für den gesamten Verkehr


…to be continued