Verschlüsselung des Netzwerkverkehrs zw. Client und Server

Hallo,

ich habe soeben als Praktikant die Aufgabe bekommen, mich schlau zu machen, wie man den Datenverkehr zwischen einem Server (W2K) und Clients (W2K + XP) realisieren kann (lokales Firmennetzwerk).

Das ganze soll möglichst unkompliziert (bin dummer Praktikant :D ) und mit boardeigenen Mitteln umgesetzt werden (die Kosten - jaja).

Ich finde einfach keinen Ansatzpunkt. Vielleicht habt ihr ja ein paar Schlagwörter für mich...

PS - Eine Frage am Rande: Wenn im Netzwerk nur mit Switches gearbeitet wird, kann man dann mit Sniffern (Ethereal etc) den Verkehr abhöhren? Ich vermute, das geht nur mit Hubs.

Tausend Dank für eine Antwort

Hallo,

 

ich habe soeben als Praktikant die Aufgabe bekommen, mich schlau zu machen, wie man den Datenverkehr zwischen einem Server (W2K) und Clients (W2K + XP) realisieren kann (lokales Firmennetzwerk).

Das ganze soll möglichst unkompliziert (bin dummer Praktikant :D ) und mit boardeigenen Mitteln umgesetzt werden (die Kosten - jaja).

Ich finde einfach keinen Ansatzpunkt. Vielleicht habt ihr ja ein paar Schlagwörter für mich...

 

PS - Eine Frage am Rande: Wenn im Netzwerk nur mit Switches gearbeitet wird, kann man dann mit Sniffern (Ethereal etc) den Verkehr abhöhren? Ich vermute, das geht nur mit Hubs.

 

Tausend Dank für eine Antwort

hi,

was meinst du mit datenverkehr realisieren? erklär bitte etwas genauer.

spielt keine rolle, ob switch oder hub eingesetzt wird, um den verkehr abzuhören.

mfg

Ich meine den allgemeinen Traffic. Alle Datenpaket von Recher A zu Server B sollen verschlüsselt (sicher) sein.

So, das es für einen Angreifer nicht mehr möglich ist, die Daten mitzulesen.

Ich meine den allgemeinen Traffic. Alle Datenpaket von Recher A zu Server B sollen verschlüsselt (sicher) sein.

So, das es für einen Angreifer nicht mehr möglich ist, die Daten mitzulesen.

[EDIT] war wohl falsch :( [/EDIT]

Du hast ein Stichwort verlangt, mehr kann ich dir hier auch nicht geben, aber die Lösung heißt:

IPSec

Ist kostnefrie, weil integriert, ist aber nichts triviales. Mache dich da etwas schlau und du hast gefunden, was du suchst ;)

grizzly999

Du hast ein Stichwort verlangt, mehr kann ich dir hier auch nicht geben, aber die Lösung heißt:

 

IPSec

 

Ist kostnefrie, weil integriert, ist aber nichts triviales. Mache dich da etwas schlau und du hast gefunden, was du suchst ;)

 

grizzly999

ipsec kannst mal ansehen. bis du darin fit bist, ist wohl dein praktikum vorbei ;-)

Wieso VPN :rolleyes:

Just plain IPSec im LAN, sonst nichts....

grizzly999

spielt keine rolle, ob switch oder hub eingesetzt wird, um den verkehr abzuhören.

Seit wann? :suspect: Ein Switch sollte per default nur den Traffic für die an diesem Port angeschlossenem IPs auch dorthin leiten. (Poisoning etc. mal aussen vor gelassen)

Bei einem Hub ist aller Traffic an jedem Port verfügbar.

D.h. sniffing des gesammten Traffics bei einem Switch ist nicht so einfach möglich wie bei einem Hub.

@TO

IPSec wäre wahrscheinlich das mittel der Wahl wenn es sich um ein LAN handelt.

[EDIT]

Zu langsam .. man sollte nicht telefonieren während dem Posten. grizzly999 war schneller.

[/EDIT]

Na klasse :D

Ist wahrscheinlich sehr kompliziert, IPSec zu realisieren?!

Ja, es ist ein LAN.

Gibt es den ein deutschsprachiges "How-To-Do" für Dummis :suspect: ?

Noch eine Frage: Kann man in der ADS nicht so eine Verschlüsselung einfach aktivieren? Also bereits eingebaut als Boardmittel?? (IP-Sicherheitsrichtlinienverwaltung: Hier gibt es doch soetwas wie Client-Server)

Seit wann? :suspect: Ein Switch sollte per default nur den Traffic für die an diesem Port angeschlossenem IPs auch dorthin leiten. (Poisoning etc. mal aussen vor gelassen)

Bei einem Hub ist aller Traffic an jedem Port verfügbar.

D.h. sniffing des gesammten Traffics bei einem Switch ist nicht so einfach möglich wie bei einem Hub.

[offtopic]

schon klar, aber ich meine mit einem spiegelport wäre es möglich, auch den datenverkehr mit ethereal zu sniffen. korrigier mich bitte, wenn ich auf dem holzweg bin :)

Nein, schon korrekt. Dazu müsstest du aber erst die Berechitgung am Switch haben um einen Port solchermassen zu konfigurieren.

@Ice-Tee

Genau mit diesen Richtlinien wird IPSec aktiviert. Allerdings werden dazu Zertifikate für die beteiligten Computer benötigt etc. Google mal, es gibt sicher Whitepapers von MS dazu

Na klasse :D

Ist wahrscheinlich sehr kompliziert, IPSec zu realisieren?!

Ja, es ist ein LAN.

Gibt es den ein deutschsprachiges "How-To-Do" für Dummis :suspect: ?

 

Noch eine Frage: Kann man in der ADS nicht so eine Verschlüsselung einfach aktivieren? Also bereits eingebaut als Boardmittel?? (IP-Sicherheitsrichtlinienverwaltung: Hier gibt es doch soetwas wie Client-Server)

Genau das meinte ich, per GPO. Ob IPSec per AD-Richtlinie oder lokler Richtlinie (oder gar netsh), egal.

Man kann das mit den Standardrichtlinien machen, aber ich warne ausdrücklich davor, ohne genauere Ahnung eine der Richtlinien einfach zu benutzen. Tun kann man es, aber bei Risiken und Nebenwirkungen fragen Sie den GPO-Verwalter :D

Im Ernst: man kann sich hier schnell die eignenen Füße absägen

grizzly999

Na klasse :D

Ist wahrscheinlich sehr kompliziert, IPSec zu realisieren?!

Ja, es ist ein LAN.

Gibt es den ein deutschsprachiges "How-To-Do" für Dummis :suspect: ? ]

Also ich hab noch keine gesehen... jemand sonst? evtl.?

Noch eine Frage: Kann man in der ADS nicht so eine Verschlüsselung einfach aktivieren? Also bereits eingebaut als Boardmittel?? (IP-Sicherheitsrichtlinienverwaltung: Hier gibt es doch soetwas wie Client-Server)

Kann man, doch dazu brauchst du eine komplette PKI (Pubic Key Infrastructure) um es effektiv und sicher nutzen zu können... jede Menge know How Nötig! Vor allem muss man sowas planen, nicht mal eben kurz anschlten und gucken was passiert bzw. nich passiert... Da würde ich schon einen entsprechnden MOC Kurs bzw. einen externen Berater heranziehen...

bisschen was von MS:

http://www.microsoft.com/germany/technet/datenbank/articles/600209.mspx

Kann man, doch das brauchst du eine komplette PKI (Pubic Key Infrastructure) um es effektiv und sicher nutzen zu können... jede Menge know How Nötig!

Ne, bestimmt nicht. MAn braucht im AD überhaupt keine PKI dazu, das funktioniert oberprima ohne (nur mit Kerberos V5). Aber mit dem Know-How (allgemein), da hast du recht

grizzly999

Okey - dokey.

Stellt sich noch die Frage, welches den nun einfacher zu etablieren ist?

Ich denke IPsec ist sicherer, Kerberos V5 ist einfacher. Oder?

Kann mir den jemand erklären, wie genau ich eine GPO einstellen muss, um die Netzwerkommunikation mit Kerberos V5 zu verschlüsseln?

Unter: ADS - Computerkonfiguration - Windows-Einstellungen - Sicherheitseinstellungen - IP-Sicherheitsrichtlinienverwaltung

Und wie genau gehts weiter?

Auf der rechten Seite sind zu sehen: Client / Server / Sichere Server

Mit "Eigenschaften" kann ich diese jeweils öffnen.

Wie gehts jetzt weiter??

Werde ich doch auf einer VM testen ;)

Würde mich riesig freuen, wenn mir da jemand ein wenig genauer unter die Arme hilft.