Jump to content

IPSec und kein Ende in Sicht !

Thyral

Von Thyral
in Windows Forum — Allgemein

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

ChristianHemker Veteran

ChristianHemker   10

Geschrieben
Geschrieben

Nach meinen Erfahrungen in Testumgebungen und Schulungsnetzen kann ich das Verhalten nur als korrekt (Wie von Microsoft dokumentiert) beschreiben. Allerdings waren das dann auch immer keine dauerhaften IPSec Einrichtungen.

In diesen Umgebungen wurde alles einwandfrei verschlüsselt und Ping wurde dauerhaft unverschlüsselt durchgelassen. Das funktionierte mit allen sinnvollen Richtlinienkombinationen.

Link zu diesem Kommentar
IThome Grand Master

IThome   10

Geschrieben
Geschrieben
Warum diese Sicherheitsregel dann allerdings bei den Sicherheitsrichtlinien definiert ist, kann ich nicht verstehen?

ICMP wird zur Fehlerdiagnose benutzt, kommt keine sichere Verbindung zustande , kann hiermit z.B. die grundsätzliche Erreichbarkeit überprüft werden. Ausserdem kann der mit dieser Richtlinie abgesicherte Server von jedem via ICMP erreicht werden, der keine zugewiesene Sicherheitsrichtlinie hat (also z.B. auch von einem DC, der per PING feststellt, ob die anzuwendenden Gruppenrichtlinien über eine langsame Verbindung angewendet werden). Wie auf welche Art auf Netzwerkverkehr reagiert wird, wird durch das Lastgewicht der IPSec-Filter festgelegt

http://www.microsoft.com/germany/technet/datenbank/articles/600635.mspx

edit: hab´s im nachhinein noch mehrfach geändert, weil es mir nicht richtig gefiel ... :D

edit2: hab´s mal gesnifft, hat mir keine Ruhe gelassen. Besteht noch keine Sicherheitsverknüpfung, schickt der Client (Client (nur Antwort)) ICMP Echo Request Pakete zum Server, da der Client von sich aus niemals eine Sicherheitsaushandlung beginnt. Der Server antwortet wegen des konfigurierten ICMP-Filters unverschlüsselt mit ICMP Echo Reply Paketen. Besteht aber eine Sicherheitsverknüpfung, schickt der Client nur noch ESP-Pakete, in denen sich die ICMP-Nutzlast befindet (um die Nutzlast zu sehen, habe ich auf Client und Server einen Proposal erstellt, der keine ESP-Vertraulichkeit und nur ESP-Integrität beinhaltet und diese Proposals nach oben geschoben). Der Server antwortet nicht etwa ebenfalls mit ESP-Paketen, sondern anhand seines ICMP-Filters mit ICMP Echo Reply Paketen. Der Server verhält sich also genau so, wie er soll ...

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...