Jump to content
Sign in to follow this  
gnoovy

ipsec im internen Netzwerk einrichten

Recommended Posts

hi zusammen,

 

ich habe eine generelle Frage zu ipsec. Primär wird ja ipsec zur Verbindung zwischen zwei oder mehreren Standorten verwendet. Nur da ja "man in the middle attacken" nichts mehr seltenes sind und mittels einem Netzwerksniffer auch der Datenverkehr in einem internen Netzwerk ausspioniert werden kann wollte ich erstmals in einer Testumgebung für das interne Netzwerk ipsec einrichten.

Hierzu habe ich in einer neuen GPO-Richtlinie "Secure Server (Require Security)" auf meinem Test-DC mit OS W2k8 R2 SP1 gewählt. Wohl mit der Absicht andere Clients, welche keine Verschlüsselung unterstützen, abzuweisen.

Wenn ich diese Richtlinie zuweise kann sich jedoch mein Windows7 Client ebenfalls mit SP1 und Mitglied in der Domäne nicht mehr mit dem Server verbinden.

Was habe ich hier noch falsch gemacht?

Share this post


Link to post
Share on other sites

Hi,

 

es ist grundsätzlich keine schlechte Idee IPsec auch im internen Netzwerk einzusetzen. Der Overhead ist bei den meisten Anwendungszenarien recht gering.

 

Ich würde dir als Einstieg empfehlen zuest mal einen normalen Anwendungsserver zu verwenden - DC's kann man überhaupt erst seit 2k8 mit IPsec ansteuern. Zudem solltest du deine ersten Tests mit Request Security machen - damit kommst du auf jeden Fall noch an das System auch wenn die IPsec Verbindung nciht zustande kommt. Wichtig ist auch, dass entsprechende (Maschinen-) Zertifikate auf den Systemen verteilt sind. Wenn das gegeben ist, dann sollte es mit o. g. Policy auch problemlos funktionieren.

Share this post


Link to post
Share on other sites

ok aber wenn ich mit request security arbeite und ich auch verbindungen zustande bekomme woher weiß ich dann ob er auch wirklich ipsec benutzt oder sich normal verbindet?

Ah okay geht das nicht auch ohne Zertifikate?

 

Zusammengefasst bedeutet das ja dann folgendes:

- Installation Windows CA in Testdomäne

- Austellung Ipsec-Zertifikat über Zertifikatvorlage

- Anforderung des Zertifikats auf allen Servern / Clients

- Freischaltung der GPO Require Security

 

Richtig so? :-)

Share this post


Link to post
Share on other sites

Hi,

 

Ipsec macht nur wirklich Sinn wenn du auch eine CA einsetzt. Wenn du für den Anfang mit Request Security arbeitest, dann kannst du über den Netwerkmonitor deines Vertrauens sehen ob die Payload verschlüsselt ist oder nicht bzw. ob der Schlüsselaustausch durchgeführt wurde oder nicht.

Share this post


Link to post
Share on other sites

hi Nerd,

 

oki habe für den Anfang request Security getestet. Laut Netzwerk-Sniffer erscheint, sobald ich auf normale oder $-Freigaben eines DCs, servers, Clients wechsle, ESP. Somit scheint ja die Verschlüsselung zu funktionieren oder?

 

Bezüglich require Security sehe ich halt das Problem, dass bis auf dem DC an dem ich die Richtlinie definiere die anderen Rechner die GPO schon gar nicht mehr bekommen, da require Security gleich sperrt.

 

Nur wenn ich diese Richtlinie einsetzten möchte wie genau muss ich da Zertifikate in die Konfiguration einbinden? Eine CA habe ich in die Testumgebung implementiert.

 

In der require Security-Richtlinie habe ich im Bereich Authentifizierung eine vorhandene Kerberos-Konfiguration gesehen. Dort habe ich zusätzlich ein Zertifikat-Autentifizierung angegeben und ein Zertifikat meiner CA eingesetzt. Trotzdem wird die Kommunikation bei aktivierter Richtlinie weiterhin gesperrt.

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...