ipsec im internen Netzwerk einrichten

[gnoovy]

hi zusammen,

ich habe eine generelle Frage zu ipsec. Primär wird ja ipsec zur Verbindung zwischen zwei oder mehreren Standorten verwendet. Nur da ja "man in the middle attacken" nichts mehr seltenes sind und mittels einem Netzwerksniffer auch der Datenverkehr in einem internen Netzwerk ausspioniert werden kann wollte ich erstmals in einer Testumgebung für das interne Netzwerk ipsec einrichten.
Hierzu habe ich in einer neuen GPO-Richtlinie "Secure Server (Require Security)" auf meinem Test-DC mit OS W2k8 R2 SP1 gewählt. Wohl mit der Absicht andere Clients, welche keine Verschlüsselung unterstützen, abzuweisen.
Wenn ich diese Richtlinie zuweise kann sich jedoch mein Windows7 Client ebenfalls mit SP1 und Mitglied in der Domäne nicht mehr mit dem Server verbinden.
Was habe ich hier noch falsch gemacht?

[nerd]

Hi,

es ist grundsätzlich keine schlechte Idee IPsec auch im internen Netzwerk einzusetzen. Der Overhead ist bei den meisten Anwendungszenarien recht gering.

Ich würde dir als Einstieg empfehlen zuest mal einen normalen Anwendungsserver zu verwenden - DC's kann man überhaupt erst seit 2k8 mit IPsec ansteuern. Zudem solltest du deine ersten Tests mit Request Security machen - damit kommst du auf jeden Fall noch an das System auch wenn die IPsec Verbindung nciht zustande kommt. Wichtig ist auch, dass entsprechende (Maschinen-) Zertifikate auf den Systemen verteilt sind. Wenn das gegeben ist, dann sollte es mit o. g. Policy auch problemlos funktionieren.

[gnoovy]

ok aber wenn ich mit request security arbeite und ich auch verbindungen zustande bekomme woher weiß ich dann ob er auch wirklich ipsec benutzt oder sich normal verbindet?
Ah okay geht das nicht auch ohne Zertifikate?

Zusammengefasst bedeutet das ja dann folgendes:
- Installation Windows CA in Testdomäne
- Austellung Ipsec-Zertifikat über Zertifikatvorlage
- Anforderung des Zertifikats auf allen Servern / Clients
- Freischaltung der GPO Require Security

Richtig so? :-)

[nerd]

Hi,

Ipsec macht nur wirklich Sinn wenn du auch eine CA einsetzt. Wenn du für den Anfang mit Request Security arbeitest, dann kannst du über den Netwerkmonitor deines Vertrauens sehen ob die Payload verschlüsselt ist oder nicht bzw. ob der Schlüsselaustausch durchgeführt wurde oder nicht.

[gnoovy]

hi Nerd,

oki habe für den Anfang request Security getestet. Laut Netzwerk-Sniffer erscheint, sobald ich auf normale oder $-Freigaben eines DCs, servers, Clients wechsle, ESP. Somit scheint ja die Verschlüsselung zu funktionieren oder?

Bezüglich require Security sehe ich halt das Problem, dass bis auf dem DC an dem ich die Richtlinie definiere die anderen Rechner die GPO schon gar nicht mehr bekommen, da require Security gleich sperrt.

Nur wenn ich diese Richtlinie einsetzten möchte wie genau muss ich da Zertifikate in die Konfiguration einbinden? Eine CA habe ich in die Testumgebung implementiert.

In der require Security-Richtlinie habe ich im Bereich Authentifizierung eine vorhandene Kerberos-Konfiguration gesehen. Dort habe ich zusätzlich ein Zertifikat-Autentifizierung angegeben und ein Zertifikat meiner CA eingesetzt. Trotzdem wird die Kommunikation bei aktivierter Richtlinie weiterhin gesperrt.