IPSec mit Windows 7 und Windows Server 2008 R2

Generell braucht es für IPSec mindestens 3 Firewall-Regeln:

• eine eingehende Regel auf dem Server,
• eine ausgehende Regel auf den Clients,
• eine Verbindungssicherheitsregel, welche die verschlüsselte Verbindung konfiguriert.

Server ist hier der Server der jeweiligen Anwendung, nicht zwangsweise der DC oder ähnliches.

Beispiel: Verschlüsseln von Telnet-Verbindungen

Als Beispiel kommuniziere eine vertikale Anwendung per Telnet-Protokoll, alternativ habe sich ein Administrator dermaßen an das unkomplizierte Protokoll gewöhnt, dass er darauf nicht verzichten möchte. In den Gruppenrichtlinien erstellt man eine GPO für die IPSec-Verschlüsselung aller Telnet-Verbindungen wie folgt:

1. Man erstellt die GPO und navigiert hier zu Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Windows-Firewall mit erweiterter Sicherheit.
2. Unter Verbindungssicherheitsregeln erstellt man eine neue Regel von Typ Benutzerdefiniert.
3. Für den Computer am Endpunkt 1 gibt man die IP-Adresse des Telnet-Servers an, für die Computer an Endpunkt 2 alle in Frage kommenden Clients, etwa als IP-Bereich oder lokales Subnetz.
4. Bei den Anforderungen verlangt man Authentifizierung ist für eingehende und ausgehende Verbindungen erforderlich.
5. Als Protokolltyp gibt man TCP an, bei den Ports für Endpunkt 1 23, der Port für Telnet. Bei den Ports für Endpunkt 2 muss man Alle Ports wählen, weil die ausgehenden Ports einer jeden Verbindung zufällig sind.
6. Nach der Fertigstellung des Assistenten für die Verbindungssicherheitsregel erstellt man unter Eingehende Regeln eine neue Regel vom Typ Benutzerdefiniert.
7. Hier wählt man als Protokolltyp TCP, als lokalen Port 23 und als Remoteport Alle Ports.
8. Als Richtlinie gibt man Verbindung zulassen, wenn sie sicher ist vor und konfiguriert hinter der Schaltfläche Anpassen die Regel Verschlüsselung der Verbindung erforderlich.
9. Nach der Fertigstellung des Assistenten für die eingehende Regel erstellt man unter Ausgehende Regeln eine neue Regel vom Typ Benutzerdefiniert.
10. Hier wählt man als Protokolltyp TCP, als lokalen Port Alle Ports und als Remoteport 23.
11. Als Richtlinie gibt man Verbindung zulassen, wenn sie sicher ist vor und konfiguriert hinter der Schaltfläche Anpassen die Regel Verschlüsselung der Verbindung erforderlich.
12. Die Verbindungssicherheitsregel appliziert man per GPO allen beteiligten Rechnern, die ausgehenden Regeln allen Clients, die eingehenden Regeln dem Server. Dies dient der Übersicht, es schadet ansonsten auch nicht, alle diese Richtlinien an alle beteiligten Rechner zu verteilen.

Prüfen der erfolgreichen Verschlüsselung

Nach Verteilung der Gruppenrichtlinien kann man in der Windows-Firewall mit erweiterter Sicherheit aller beteiligten Rechner die neuen Regeln einsehen. Unter dem Knoten Überwachung kann man testen, inwiefern sie auch auswirken: Dazu öffnet man eine Telnet-Verbindung zum Server und prüft sowohl Hauptmodus als auch Schnellmodus. Unter Verschlüsselung und Integrität im Hauptmodus und ESP-Integrität und ESP-Verschlüsselung im Schnellmodus muss jeweils eine Verschlüsselungsmethode aufgeführt sein. Es darf dort nicht Keine stehen, in diesem Fall wäre die Verbindung nicht per IPSec verschlüsselt.