Jump to content

Absicherung ADS mit IPSec und IP-Sicherheitsrichtlinien


mjs
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Leute,

 

ich habe die folgende Aufgabenstellung erhalten und mir fehlen leider die Ideen und entsprechenden Ansatzpunkte.

 

Es ist ein Server mit Windows 2003 (Standard Edition) installiert. Hierauf befinden sich neben der Active Directory (Domain Controller) auch ein SQL Server für die entsprechende Client-Anwendung.

 

Ich soll nun sicherstellen, dass die komplette Kommunikation der Clients zum Server und umgekehrt verschlüsselt erfolgen. Die Clients sind Windows XP Pro Kisten.

 

Aus diesem Grund habe ich auf dem Server und dem Client lokale IP-Sicherheitsrichlinen installiert und mit einem PSK versehen. Wenn ich nun den Traffic sniffe sehe ich die Kommunikation verschlüsselt im ESP. Jedoch funktioniert dies nur, wenn der Client sich nicht in der Active Directory befindet.

 

Sobald ich der Active Directory beitrete und mich anmelden will, geschieht dies wiederum vollkommen unverschlüsselt. Deshalb habe ich die IP-Sicherheitsrichlinie auch für die Domäne erstellt (IP-Sicherheitsrichlinie auf Active Directory). Nun Habe ich sie unter Sicherheitsrichtlinie für Domäne zugewiesen.

 

Leider funktioniert hier die Anmeldung nicht, da der Client keine Verbindung zum Server aufbauen kann.

 

 

Folgende Fragen stelle ich mir :

Was mache ich hier falsch ?

Kennt ihr eine entsprechende Anleitung ?

Geht das so wie ich es mir vorstelle ?

Muss ich lokale und Domänen-Sicherheitsrichtlinien aktivieren ?

Brauche ich noch andere Gruppenrichtlinien, ausser der "Default Domain Policy" und der "Default Domain Controller Policy" und wenn ja, warum ?

Muss ich diese IP-Sicherheitsrichlinie auch unter dem Punkt Sicherheitsrichtlinie für Domänencontroller zuweisen ?

 

 

In den Microsoft FAQs steht leider auch ein Hinweis, der besagt, dass es nich empfohlen ist den kompellten Traffic der Kommuniikation (Client - Server) zu verschlüsseln. Wenn es sich jedoch momentan nur um einen einzigen Server handelt, ist dies doch egal, oder ?

 

Momentan könnte ich auch mal mit der Lösung leben, dass nur der SMB Verkehr (Ports 137-139, 455) verschlüsselt wird. Leider bekomme ich das wirklich nicht hin.

 

Ich brauche dringent Eutre Hilfe.

 

 

Vielen Dank für Eure Hilfe.

 

Gruss

Matze

Link zu diesem Kommentar

Leider kann ich dir hier jetzt keine detailierte Anleitung geben, nicht, weil ich das nicht könnte, sondern weil das schon einiges an Planungsbedarf und "gedanklichem" Aufwand braucht, daneben ein SEHR GUTES VERSTÄNDNIS für IPsec. Das solltest du zuerst aufbauen und in einer Testumgebung vertiefen bzw. austesten.

 

Dein praktisches Problem ist schlichtweg: du zwingst den Server im Moment auf IPSec-Schutz, der Client hat dann schon ein Problem, die Richtlinie selber zu ziehen, weil er ja nicht verschlüsseln kann um die GPO zu erhalten, verschlüsseln kann er aber erst mit der GPO, umdie zu erhalten, ..... usw --> die Katze beißt sich in den Schwanz.

Mal so in aller Schnelle: Entweder das ganze sauber durchplanen oder auf dem Client mit lokalen IPSec-Policies arbeiten.

 

Sorry für diese vielleicht unbefriedigende Antwort :(

 

 

grizzly999

Link zu diesem Kommentar

Danke, für deine Antwort.

 

Ich habe hier beireits eine Testumgebung stehen, mit der ich diese ganze Sache austesten und vertiefen möchte. Gneu wie Du es geschreiben hast...

 

Ich habe noch eine Frage zu deinem Statement.

Das Problem habe ich erkannt, ich zwinge den Server IPSec zu benutzen, und der Cleint kann dies nicht umsetzen, da er erst gar nicht die verschlöüsselte GPO erhält, RICHTIG ?

 

In meiner Testumgebung habe ich dann versucht, nicht den ganzen Traffic, sondern nur den Datentransfer (SMB und Netbios) zu verschlüsseln. Kann es sein, dass auch hier sich die Katze in den Schwanz beist, da die GPO auch via SMB erstmals übertragen werden müssen ? Und dies geht nicht ?

 

Was meinst Du hiermit "Entweder das ganze sauber durchplanen oder auf dem Client mit lokalen IPSec-Policies arbeiten" ???

 

 

Gruss

Matze

Link zu diesem Kommentar

Ich habe noch was vergessen,

Grundlagen und Wissen zum Thema IPSec ist vorhanden. Jedoch habe ich bis dato IPSec immer nur unter Linux/Unix eingesetzt. Vielleicht verstehst Du hier und jetzt meine Problem.

 

Mir fehlen die Punkte zum Realisieren und Punkte die ich Beachten muss, um IPSec in der Active Directory und Windows 2003 Server zu´m laufen zu bringen.

 

Gruss

Matze

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...