Free Trial

Safari Books Online is a digital library providing on-demand subscription access to thousands of learning resources.

  • Create BookmarkCreate Bookmark
  • Create Note or TagCreate Note or Tag
  • PrintPrint
Share this Page URL
Help

Kapitel 15. Netzwerkrichtlinien- und Zug... > Erstellen von IPSec-Richtlinien

15.7. Erstellen von IPSec-Richtlinien

IPSec-Richtlinien können entweder zusammen mit dem Netzwerkzugriffsschutz (NAP) eingerichtet werden oder, wie unter Windows Server 2003, ohne diese Funktion. Wollen Sie IPSec zusammen mit NAP einsetzen, sollten Sie zunächst die NAP-Einstellungen vornehmen, wie auf den vorderen Seiten beschrieben wurde. Solche Richtlinien erstellen Sie am besten über die Einstellungen der erweiterten Firewall über die Gruppenrichtlinien. Sie können dazu die Default Domain Policy verwenden oder für IPSec eine neue Gruppenrichtlinie erstellen, die Sie dann mit der OU verknüpfen, in der Sie die Computerkonten der Server und PCs aufnehmen, die per IPSec kommunizieren können sollen:

  1. Sie finden die notwendigen Einstellungen für IPSec in der Gruppenrichtlinienverwaltung über Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Windows-Firewall mit erweiterter Sicherheit/Windows-Firewall mit erweiterter Sicherheit – LDAP.

  2. Rufen Sie über die rechte Maustaste die Eigenschaften von Windows-Firewall mit erweiterter Sicherheit – LDAP auf.

  3. Anschließend stehen Ihnen verschiedene Registerkarten zur Verfügung, auf denen Sie Voreinstellungen treffen müssen. Hauptsächlich werden hier die Einstellungen für die verschiedenen Netzwerkprofile der PCs vorgenommen. Sie sollten für alle Netzwerkprofile identische Einstellungen vornehmen.

  4. Setzen Sie den Firewallstatus auf Ein (Empfohlen).

  5. Setzen Sie die Option für Eingehende Verbindungen auf Blocken (Standard).

  6. Setzen Sie die Option für Ausgehende Verbindungen auf Zulassen (Standard).

  7. Führen Sie diese Einstellungen für alle drei Netzwerkprofile durch.

  8. Bestätigen Sie die Eingaben mit OK.

    Abbildung 15.51. Aktivieren der Windows-Firewall und sicherer Verbindungen über Gruppenrichtlinien

  9. Klicken Sie anschließend auf Verbindungssicherheitsregeln und wählen Sie Neue Regel aus. Danach können Sie auswählen, welche Art von Regel Sie erstellen wollen. Dazu stehen Ihnen verschiedene Möglichkeiten zur Verfügung. Für die Einrichtung von IPSec-Verbindungen eignet sich am besten die Option Isolierung, die Sie auch auswählen sollten. Eine Isolierungsregel schränkt Verbindungen auf der Grundlage der von Ihnen definierten Authentifizierungskriterien ein. So können Sie Computer Ihrer Domäne von Computern außerhalb der Domäne isolieren. Die Authentifizierungsausnahme kann verwendet werden, um Computer unabhängig von anderen Verbindungssicherheitsregeln von der Anforderung auszunehmen, sich selbst zu authentifizieren. Dieser Regeltyp wird gewöhnlich verwendet, um den Zugriff auf Infrastrukturcomputer (Active Directory-Domänencontroller, Zertifizierungsstellen oder DHCP-Server) zu gewährleisten, mit denen der betreffende Computer bereits kommunizieren muss, bevor eine Authentifizierung durchgeführt werden kann. Obwohl die Computer von der Authentifizierung ausgenommen sind, können sie nach wie vor von der Firewall blockiert werden, sofern keine Firewallregel die Verbindung zulässt. Mit dem Regeltyp Server zu Server wird die Kommunikation zwischen zwei Computern, zwischen zwei Subnetzen oder zwischen einem bestimmten Computer und einer Gruppe von Computern authentifiziert. Mit einem Tunnel wird die Kommunikation zweier Computer zwischen Tunnelendpunkten abgesichert, z.B. bei virtuellen privaten Netzwerken oder L2TP-Tunneln (IPsec Layer Two Tunneling Protocol).

  10. Auf der nächsten Seite des Assistenten legen Sie die Art der Authentifizierung fest. Wählen Sie hier die Option Authentifizierung ist für eingehende Verbindungen erforderlich und muss für ausgehende Verbindungen angefordert werden aus. Mit dieser Option bestimmen Sie, dass der gesamte eingehende Datenverkehr authentifiziert oder anderenfalls blockiert wird. Der ausgehende Datenverkehr kann authentifiziert werden, ist aber auch bei fehlerhafter Authentifizierung zugelassen. Mit der Option Authentifizierung für eingehende und ausgehende Verbindungen anfordern legen Sie fest, dass der gesamte ein- und ausgehende Datenverkehr authentifiziert wird, lassen die Kommunikation jedoch auch bei fehlerhafter Authentifizierung zu. Wenn die Authentifizierung durchgeführt werden kann, wird der Datenverkehr authentifiziert. Die Option Authentifizierung ist für eingehende und ausgehende Verbindungen erforderlich legt fest, dass der gesamte ein- und ausgehende Datenverkehr authentifiziert oder anderenfalls blockiert wird.

    Abbildung 15.52. Erstellen einer Isolierungs-Verbindungssicherheitsregel für IPSec

    Abbildung 15.53. Festlegen der Authentifizierungs-Anforderungen für eine neue Verbindungssicherheitsregel

  11. Auf der nächsten Seite legen Sie fest, auf welche Art die Authentifizierung hergestellt werden soll. Wählen Sie hier Computerzertifikat aus. Bei dieser Methode ist ein gültiges Integritätszertifikat zur Authentifizierung erforderlich oder wird angefordert. Die Option Standard legt die Authentifizierungsmethode gemäß der Konfiguration auf der Registerkarte IPSec-Einstellungen in den Eigenschaften der Windows-Firewall mit erweiterter Sicherheit fest. Bei Computer und Benutzer (Kerberos V5) wird sowohl die Computer- als auch die Benutzerauthentifizierung verwendet. Das bedeutet, dass sowohl die Benutzer- als auch die Computerauthentifizierung angefordert werden oder erforderlich sein können, bevor die Kommunikation fortgesetzt wird. Das Authentifizierungsprotokoll Kerberos Version 5 kann nur verwendet werden, wenn sowohl Computer als auch die Benutzer Mitglieder einer Domäne sind. Bei Computer (Kerberos V5) ist die Computerauthentifizierung über Kerberos Version 5 erforderlich oder wird angefordert. Benutzer (Kerberos V5) ist die Benutzerauthentifizierung mit Hilfe von Kerberos Version 5.

    NOTE

    Bei Kerberos wird die Identität des Benutzers und die Identität des authentifizierenden Servers festgestellt. Kerberos arbeitet mit einem so genannten Ticket-System, um Benutzer zu authentifizieren. Kennwörter werden in einem Active Directory niemals über das Netzwerk übertragen. Damit sich ein Benutzer an einem Server authentifizieren kann, um zum Beispiel auf eine Freigabe eines Dateiservers zuzugreifen, wird ausschließlich mit verschlüsselten Tickets gearbeitet. Ein wesentlicher Bestandteil der Kerberos-Authentifizierung ist das Schlüsselverteilungscenter (Key Distribution Center, KDC). Dieser Dienst wird auf allen Windows Server 2008-Domänencontrollern ausgeführt und ist für die Ausstellung der Authentifizierungstickets zuständig. Der zuständige Kerberos-Client läuft auf allen Windows 2000, Windows Server 2003, 2008, XP und Vista-Computern. Wenn sich ein Benutzer an einer Arbeitsstation im Active Directory anmeldet, muss er sich zunächst an einem Domänencontroller und dem dazugehörigen KDC authentifizieren.

    Abbildung 15.54. Authentifizierung mit Kerberos in Active Directory

    Im nächsten Schritt erhält der Client ein Ticket-genehmigendes Ticket (TGT) vom KDC ausgestellt. Nachdem der Client dieses TGT erhalten hat, fordert er beim KDC mit Hilfe dieses TGT ein Ticket für den Zugriff auf den Server an. Diese Authentifizierung führt der Ticket-genehmigende Dienst (Ticket Granting Service, TGS) auf dem KDC aus. Nach der erfolgreichen Authentifizierung des TGT durch den TGS, stellt dieser ein Dienstticket aus und übergibt dieses Ticket an den Client. Dieses Dienstticket gibt der Client an den Server weiter, auf den er zugreifen will, in diesem Beispiel der Dateiserver. Durch dieses Ticket kann der Dateiserver sicher sein, dass sich kein gefälschter Benutzer mit einem gefälschten Benutzernamen anmeldet. Durch das Dienstticket wird sowohl der authentifizierende Domänencontroller als auch der Benutzer authentifiziert. Der genaue Ablauf dieses Verfahrens ist in Abbildung 15.54 skizziert. Sollten Probleme mit dem Schlüsselverteilungscenter oder Kerberos im Allgemeinen auftreten, besteht unter Umständen noch ein Problem bei der Kerberosauthentifizierung. In diesem Fall wird allerdings in der Regel eine entsprechende Fehlermeldung bei dcdiag.exe angezeigt, die auf Probleme mit LDAP oder Kerberos hinweist. Kerberos ist für die Anmeldung in Active Directory von existenzieller Wichtigkeit.

  12. Aktivieren Sie die Option Nur Integritätszertifikate akzeptieren. Bei dieser Methode ist ein gültiges Integritätszertifikat zur Authentifizierung erforderlich oder wird angefordert.

  13. Klicken Sie auf Durchsuchen und wählen Sie die erstellte Root-CA aus (Abbildung 15.55).

    Abbildung 15.55. Konfigurieren der Authentifizierung für eine IPSec-Verbindungssicherheitsregel

  14. Aktivieren Sie auf der nächsten Seite die Regel für alle drei Netzwerkprofile.

  15. Schließen Sie die Erstellung der Regel mit der Definition der Bezeichnung ab.

  16. Die Regel wird anschließend in der Gruppenrichtlinie unter den Verbindungsregeln angezeigt.


  

You are currently reading a PREVIEW of this book.

                                                                                                                    

Get instant access to over $1 million worth of books and videos.

  

Start a Free 10-Day Trial


  
  • Safari Books Online
  • Create BookmarkCreate Bookmark
  • Create Note or TagCreate Note or Tag
  • PrintPrint