Jump to content

verschlüsselte Kommunikation im LAN

holunder

Von holunder
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

holunder Rising Star

holunder   10

Geschrieben
Geschrieben

Hallo. Das Thema ist schon oft behandelt wurden aber der Durchblick :shock: ist nicht wirklich leicht zu bekommen. In einer bestehenden Domain möchte ich die Kommunikation zwischen Domaincontroller und Clients mittels Zertifikaten verschlüsseln. Die Theorie und meine Vorstellung sollte vielleicht nachfolgend realisiert werden können.

Auf dem Domaincontroller wird eine CA installiert und via Computer Gruppenrichtlinie sollen dann die Zertifikate für die Clients (die Mitglied der Domain sind) automatisch ausgestellt werden. Nur dann soll mit dem Server kommuniziert werden können. Allerdings soll DHCP weiterhin funktionieren, damit "Fremde" wenigstens noch surfen können. Zugriff für Fremde auf Freigaben des DC's sollen damit unterbunden werden. Wenn meine Idee falsch ist -> auch kein Problem. Meine Testumgebung WIN2k3 Standard. / WINXP SP2 .. Mit freundlichen Grüßen Holunder

Link zu diesem Kommentar
grizzly999 Grand Master

grizzly999   11

Geschrieben
Geschrieben

Um auf die Frage oben zu antworten:

Das ist durchausmöglich, auch ohne Ca und Zertifikate, Stichwort "IPSec" schon gennant, ABER: Man sollte da wirlich sehr gutes KnowHow haben,man braucht manuell angepasste IPsec-Richtliniene, außer man nimmt die Standardrichtlinie "Server-Sicherheit anfordern". Dann kann es allerdings auch sein, dass unverschlüsselte Kommuniation stattfinden kann.

 

Zudem sollte man sich bewußt sein, dass IPSec auf einem DC möglich ist, aber von Microsoft nicht supportet wird.

 

Außerdem stellt sich die Frage, warum soll der ganze Verkehr zum DC verschlüsselt werden? Ist das wirklich nötig. Wenn man - vielleicht auch berechtigte -Angst vor "Informaton Disclosure", "Tampering" oder anderen Netzwerkangriffen hat, sind da andere Server im netz mit Sicherheit bessere und begehertere Ziele.

 

Dazu kommt, dass solch' eine Maßnahme nur eine von ganz vioelen im Bereich Security sein kann, was meist dann nicht der Fall ist, bzw. um es deutlicher zu sagen, Ich verschlüssele hier den Verkehr, aber an anderen Stellen nicht, lasse schlampige Kennwörter zu, oder LM-Authentifizierungsverkehr, da kann ich mir den Aufwand punktuell an dieser Stelle sparen. Daher eben die Frage: Was will ich mit dieser Maßnahme erreichen?

 

 

grizzly999

Link zu diesem Kommentar
holunder Rising Star

holunder   10

Geschrieben
  • Autor
Geschrieben

@grizzly999

Daher eben die Frage: Was will ich mit dieser Maßnahme erreichen?

Im Moment gilt es die "Forschungsarbeit" voran zu treiben. Verhindert soll werden:

1.) auch wenn ein PC oder Notebook sich den Weg bis zu einer Netzwerkdose bahnt und eine IP Adresse erhält (z.b. durch DHCP oder zufällig die richitgen LAN Parameter manuell konfiguriert werden), dieses Gerät nicht die Möglichkeit eingeräumt bekommt via Netzwerkungebung eine Auflistung aller vorhandenen PC's im LAN erhält.

2.) Allerdings sollen einige vertrauenswürdigen Geräte, die nicht Mitglied der Domain sind (deswegen die CA.wenn es anders realisierbar ist dann auch gern anders), zügig die Möglichkeit erhalten auf Ressourcen im LAN zugreifen zu können. Da wäre doch die Weboberfläche ideal dafür geeignet. Zertifikatsbeantragung würde dann durch einen Admin erfolgen und innerhalb weniger Augenblicke könnte dieses Gerät am Netzleben teilnehmen. Da stellt sich allerdings die Frage, ob überhaupt auf dei CA zugegriffen werden kann, solange kein Vertrauen besteht?

 

MAC Adressenfilterung wird nicht gewünscht.

Das war es eigentlich schon :) Gruß Holunder

Link zu diesem Kommentar
grizzly999 Grand Master

grizzly999   11

Geschrieben
Geschrieben

Jetzt verstehe ich das Anliegen, erneut von mir ein ABER: Ihr habt das alles durchdacht und geplant?

Was ist anschließend (IPSec wäre jetzt entsprechend implementiert) mit Zugriff auf Netzwerkdruckern, was mit Zugriff auf andere Netzwerkgeräte wie managbare Switches, Printerboxen, um ein paar Beispiele zu nennen?

Können alle Clients IPSec?

Die von MS standardmäßigen Unterschiede in den DefaultExemptions-Levels für 2000/XP/2003 berücksichtigt?

Wie bekommen die Nicht-AD-Clients Ihr Zertifikat, um dann anschließend IPSec damit zu machen?

 

Das ist alles keine einfache Sache und bedarf eines großen Analyse und Planungsaufwandes, u.U. auch einen kräftigen Griff in die Portokasse, wegen neuer Hardware ......

 

 

grizzly999

Link zu diesem Kommentar
holunder Rising Star

holunder   10

Geschrieben
  • Autor
Geschrieben

@grizzly999

erneut von mir ein ABER:
das oder die 'Aber' sind auf jeden Fall gewünscht. :)
Ihr habt das alles durchdacht und geplant?
Im Moment findet alles im Kopf statt. Und es wird gerade Informationsbeschaffung betrieben, um dann Vor- und Nachteile abwägen zu können. Ein einfaches Adanauerkreuz eben. Mögliche Wege können getestet und danach als Eventualität, mit all den Einschränkungen oder Mehrkosten, zur Verfügung gestellt werden. Wenn es überhaupt zu einer Umstellung kommt. Am Anfang steht die Idee und eine Testumgebung. Jetzt geht es daran die 1. Idee auszuprobieren. Im Moment stellt sich die Frage welchen Kryptographieanbieter wir benutzen sollen und ob die CA unbedingt AD integriert sein muss? Wir möchten die CA auch für das Erstellen von Benutzerzertifikaten nutzen, um eine VPN Einwahl (L2TP/IPsec) realisieren zu können. Ist diese Kombination möglich? Gruß Holunder
Link zu diesem Kommentar
carlito Veteran

carlito   10

Geschrieben
Geschrieben
Danke für die hilfreichen Tipps :) und für alle die noch suchen sollte wohl

"Domänenisolierung" helfen Netzwerkschutz mit Hilfe von IPSec - Schutz vor Viren, Schutz von Servern, Isolierung von Domänen

 

Unter dem Stichwort Server and Domain Isolation findest du viele Artikel zu diesem Thema.

 

Mirosoft IT verwendet das, um sicherzustellen, dass jeder Zugriff auf die Server authentifiziert erfolgt. (IPsec mit Authentifizierung, ohne Verschlüsselung). Dazu ein Whitepaper: Improving Security with Domain Isolation: Microsoft IT implements IP Security (IPsec)

Link zu diesem Kommentar
holunder Rising Star

holunder   10

Geschrieben
  • Autor
Geschrieben

Hallo,,

 

@ASR

Portauthentifizierung mit 802.1x wäre meine Wahl, damit kannst Du das LAN/WLAN auf Zertifikatsbasis absichern
Daran haben wir noch gar nicht gedacht. Das wird später ausprobiert :)

 

@carlito

IPsec mit Authentifizierung, ohne Verschlüsselung
Das könnte es werden. Es wäre also möglich, die Authentifizierung der Computer innerhalb der Domain, mittels Zertifikaten zu realisieren. Also weg von ohne Authentifizierung hin zu Zertifikaten für die Computerauthentifizierung. Aber um das besser verstehen zu können, würde mich der Authentifizierungsprozess näher interessieren. Bei Benutzern wird nach Benutzernamen und Kennwort gefragt. Bei Computerobjekten? Die gehören ja der Gruppe "Authentifizierte Benutzer" an (ich hoffe jetzt nichts durcheinander zu bringen). Welches Kennwort wird benutzt und welcher Anmeldename? Oder werden Computer nach ihrem Computerobjekt authentifiziert? Das würde dann den Zugriff auf Ressourcen nur erweitern, da Computer ohne Domainmitgliedschaft auch schon auf grosse Teile der Netzressourcen zugreifen können. Kann es mittels Zertifikatsauthentifizierung realisiert werden, dass nur Computer die sich erfolgreich mittels Zertifikat authentifiziert haben auf Ressourcen zugreifen können die den Filterregeln von IPsec Sicherheitsreichtlinien entsprechen? Ein Computer ohne Zertifikat und ohne Domainmitgliedschaft kann dann nur noch DHCP und DNS z.B. nutzen?

 

@grizzly999

Und wenn schon, dann auf einer Enterprise Edition installieren
im Moment steht mir nur der Std. zur Verfügung. Gibt es da gravierende Unterschiede? Bei der Benutzervorlage glaube ich ist der grösste Unterschied oder? Die gibt es nicht bei nicht AD integriert oder? :( Ja ist ziemlich umständlich.

 

Freu mich schon auf Antworten (Bin gerade dabei Server- und Domänenisolierung mithilfe von IPSec und Gruppenrichtlinien alle Artikel zu verinnerlichen) Gruß Holunder

Link zu diesem Kommentar
grizzly999 Grand Master

grizzly999   11

Geschrieben
Geschrieben
@grizzly999

im Moment steht mir nur der Std. zur Verfügung. Gibt es da gravierende Unterschiede? Bei der Benutzervorlage glaube ich ist der grösste Unterschied oder? Die gibt es nicht bei nicht AD integriert oder? :( Ja ist ziemlich umständlich.

 

Freu mich schon auf Antworten (Bin gerade dabei Server- und Domänenisolierung mithilfe von IPSec und Gruppenrichtlinien alle Artikel zu verinnerlichen) Gruß Holunder

Bei der EE steht zur Verfügung, selber definierte Certificate Templates zu erstellen. Ein Vorteil, der nicht nur nicht zu unterschätzen ist, sondern den ich als elemtentar betrachte, will man "richtig" mit Zertifikaten arbeiten. Enterprise CAs gehen auch mit de Standard Edition, aber wie ASR schon sagte, kein Autoenrollement. Für das, was Ihr vorhabt - neben selberdefinierten Cert-Templates - eigentlich auch unabdingbar. IMHO.

 

 

grizzly999

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...