IPSec mit Windows 7 und Windows Server 2008 R2

    Per IPSec verschlüsselte Telnet-VerbindungDie Klartext-Übertragung sensibler Daten will man im lokalen Netzwerk nicht haben, da ein beliebiger Netzwerk-Sniffer ausreicht, um die mitzulesen. Eine Strategie dagegen kann sein, auf sichere Protokolle umzusteigen, etwa im Intranet nur noch HTTPS statt HTTP zu verwenden. Wenn das mit den vorhandenen Anwendungen nicht möglich ist, bietet sich an, den gesamten Datenverkehr mit IPSec auf der Vermittlungsschicht (internet layer) des TCP/IP-Protokollstapels zu verschlüsseln. Im Gegensatz zu Verschlüsselungsmethoden auf der Transportschicht wie SSL/TLS muss IPSec dabei nicht in die Anwendung implementiert werden, ist also für diese komplett transparent.

    Active Directory als bevorzugte Umgebung

    Am einfachsten verteilt man die IPSec-Regeln per Gruppenrichtlinie im Active DirectoryTechnisch werden IPSec-Verbindungen über Firewall-Regeln hergestellt. Für die Implementation bedeutet eine Active-Directory-Umgebung daher den geringsten Aufwand. Es bietet bereits eine integrierte Authentifizierung per Kerberos und erlaubt die schnelle und unkomplizierte Verteilung der entsprechenden Firewall-Regeln. Voraussetzung ist Active Directory für IPSec jedoch nicht: Verteilt man die Firewall-Regeln auf andere Weise an die beteiligten Rechner und regelt die Authentifizierung untereinander, funktioniert das Protokoll auch in Arbeitsgruppen.

    3 Regeln für funktionierendes IPSec

    Generell braucht es für IPSec mindestens 3 Firewall-Regeln:

    • eine eingehende Regel auf dem Server,
    • eine ausgehende Regel auf den Clients,
    • eine Verbindungssicherheitsregel, welche die verschlüsselte Verbindung konfiguriert.

    Server ist hier der Server der jeweiligen Anwendung, nicht zwangsweise der DC oder ähnliches.

    Beispiel: Verschlüsseln von Telnet-Verbindungen

    Als Beispiel kommuniziere eine vertikale Anwendung per Telnet-Protokoll, alternativ habe sich ein Administrator dermaßen an das unkomplizierte Protokoll gewöhnt, dass er darauf nicht verzichten möchte. In den Gruppenrichtlinien erstellt man eine GPO für die IPSec-Verschlüsselung aller Telnet-Verbindungen wie folgt:

    1. Man erstellt die GPO und navigiert hier zu Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Windows-Firewall mit erweiterter Sicherheit.
    2. Unter Verbindungssicherheitsregeln erstellt man eine neue Regel von Typ Benutzerdefiniert.
    3. Für den Computer am Endpunkt 1 gibt man die IP-Adresse des Telnet-Servers an, für die Computer an Endpunkt 2 alle in Frage kommenden Clients, etwa als IP-Bereich oder lokales Subnetz.
    4. Bei den Anforderungen verlangt man Authentifizierung ist für eingehende und ausgehende Verbindungen erforderlich.
    5. Als Protokolltyp gibt man TCP an, bei den Ports für Endpunkt 1 23, der Port für Telnet. Bei den Ports für Endpunkt 2 muss man Alle Ports wählen, weil die ausgehenden Ports einer jeden Verbindung zufällig sind.
    6. Nach der Fertigstellung des Assistenten für die Verbindungssicherheitsregel erstellt man unter Eingehende Regeln eine neue Regel vom Typ Benutzerdefiniert.
    7. Hier wählt man als Protokolltyp TCP, als lokalen Port 23 und als Remoteport Alle Ports.
    8. Als Richtlinie gibt man Verbindung zulassen, wenn sie sicher ist vor und konfiguriert hinter der Schaltfläche Anpassen die Regel Verschlüsselung der Verbindung erforderlich.
    9. Nach der Fertigstellung des Assistenten für die eingehende Regel erstellt man unter Ausgehende Regeln eine neue Regel vom Typ Benutzerdefiniert.
    10. Hier wählt man als Protokolltyp TCP, als lokalen Port Alle Ports und als Remoteport 23.
    11. Als Richtlinie gibt man Verbindung zulassen, wenn sie sicher ist vor und konfiguriert hinter der Schaltfläche Anpassen die Regel Verschlüsselung der Verbindung erforderlich.
    12. Die Verbindungssicherheitsregel appliziert man per GPO allen beteiligten Rechnern, die ausgehenden Regeln allen Clients, die eingehenden Regeln dem Server. Dies dient der Übersicht, es schadet ansonsten auch nicht, alle diese Richtlinien an alle beteiligten Rechner zu verteilen.

    Prüfen der erfolgreichen Verschlüsselung

    Nach der Verteilung der Richtlinien testet man ihre AuswirkungNach Verteilung der Gruppenrichtlinien kann man in der Windows-Firewall mit erweiterter Sicherheit aller beteiligten Rechner die neuen Regeln einsehen. Unter dem Knoten Überwachung kann man testen, inwiefern sie auch auswirken: Dazu öffnet man eine Telnet-Verbindung zum Server und prüft sowohl Hauptmodus als auch Schnellmodus. Unter Verschlüsselung und Integrität im Hauptmodus und ESP-Integrität und ESP-Verschlüsselung im Schnellmodus muss jeweils eine Verschlüsselungsmethode aufgeführt sein. Es darf dort nicht Keine stehen, in diesem Fall wäre die Verbindung nicht per IPSec verschlüsselt.

    2 Kommentare

    Bild von hscheck
    hscheck sagt:
    19. Februar 2011 - 14:24

    Sehr einfache Anleitung, danke.
    Aber ein Paar Fragen noch:
    Funktioniert das durch NAT auch?
    Sind dynamische IPs von beiden Seiten möglich? Was sind dann Endpunkt 1 und 2?
    Funktioniert das mit Broadcast (Net-BIOS, DHCP)?
    Ich versuche es mit SMB in Arbeitsgruppe/PSK und es will noch nicht funktionieren, sogar im Subnetz...

    Bild von Andreas Kroschel
    21. Februar 2011 - 11:29

    Guten Morgen,

    IPsec funktioniert mit NAT Traversal, ein paar Firewall-Einstellungen sind dazu nötig.

    Ich denke, das was Sie vorhaben, ist im Prinzip realisierbar, eine seriöse Antwort erfordert aber mehr Tiefenschärfe, so daß ich separate Beiträge dafür geeigneter als den Kommentarbereich sehe. Ich freue mich über Ihr Interesse und werde Ihre Fragen als Anregungen aufnehmen, in welchen Richtung sich das Thema vertiefen läßt.