Jump to content
Sign in to follow this  
Thyral

IPSec und kein Ende in Sicht !

Recommended Posts

Hallo,

 

ich habe ein Problem mit IPSec und Windows 2003 Server.

Folgendes habe ich gemacht !!

 

Ich habe auf einen Server in AD die Richtlinie mit den Snap-in Sicherer Server aktiviert. Dann bin ich an einen Client der Mitglied in AD ist und habe auch über das snap-in die Richtlinie, Client Nur Antworten aktiviert.

Wenn ich jetzt den Netzwerkmonitor mit laufen lasse, dann ist der IP Verkehr unverschlüsselt.

Warum ?

 

Dann habe ich ein Client genomme, der kein Mitglied der Domäne ist und habe dort auch die Richtlinie, sicherer Server aktiviert, nun, was soll ich sagen ? Ich bekomme keinen Connect wenn ich versuche auf den Server zu zugreifen.

 

Was ist an diesen Weg falsch, ich habe IPSec so verstanden, das je höher die Sicherheit sein soll, ich die Richtlinie anpassen muss, sowohl am Client alch auch am Server, wobei es nicht im Sinne des Servers ein Server sein muss, es kann ja auch ein Client mit Client verschlüsseln verschlüsseln.

 

So habe ich es verstanden.

 

Was ist falsch ?

 

THX

Share this post


Link to post

@IThome

hmm, ich glaube ich verstehe nicht ?

Muss sie nicht greifen, wenn ich keine Verbindung mehr bekomme ?

Ich habe Sie lokal auf den Clients aktiviert. Greift sie dann nicht automatisch ?

 

Bitte bring doch etwas Licht ins Dunkel !!

 

THX

Share this post


Link to post

Die Standardrichtlinien erfordern Kerberos zur Authentifizierung, daher kann keine Kommunikation mit einem Nicht-Member zustande kommen. Ich finde es verwunderlich , dass bei der zugewiesenen Standardrichtlinie "Sicherer Server" auf dem Server und "Client (nur Antwort)" auf dem Client eine unverschlüsselte Verbindung zustande kommen soll , was meiner Meinung nur passieren könnte, wenn ausschliesslich AH ausgehandelt wird oder wenn die Serverrichtlinie gar nicht aktiv ist. Der Client beginnt immer unverschlüsselt, was der Server zulässt (mit Client meine ich den mit der Richtlinie "Client (nur Antwort)", mit dem Server den mit der Richtlinie "Sicherer Server" oder "Server"), da die Einstellung "Unsichere Kommunikation annehmen, aber immer mit IPSec antworten" aktiv ist. Alle darauf folgende Kommunikation erfordert, dass erstmal Sicherheit ausgehandelt wird (mit Ausnahme von ICMP). In diesen Proposals gibt es keinen unverschlüsselten Verkehr, woraus ich schliesse, dass die Richtlinie nicht aktiv ist , die Einstellungen in irgendeiner Weise vom Standard abweichen oder Du nur ein PING gesendet hast ...

Share this post


Link to post

@IThome

 

Danke für deine Antwort, ich bin gerade dabei eine ganz neue Struktur aufzubauen. Ich will das es klappt und ich will es dann noch verstehen.

 

Bitte noch eine Frage !! Kann ich mit einen Rechner der IPSec an geschaltet hat, z.B sicherer Server auf einen anderen Rechner innerhalb einer Domäne zugreifen ? Egal ob er eine Richtlinie anhat oder nicht, es ist dann etweder verschlüsselt oder unverschlüsselt ?

Richtig ?

Share this post


Link to post

@all

 

Ich bekomme noch ein Schäuerchen :-))

 

Also, ich habe eine DOM und dort die Richtlinie (server) für lokalen Computer vergeben.

Alles klappt, solange ich nicht einen andere Richt5linie auf einen Client einstelle.

 

Nun habe ich in der andren Domäne eine Richtlinie (Server) eingestellt und ich bekomme keine Verbindung, wenn ich sie wieder auf cleint stelle, bekomme ich verbindung, aber unverschlüsselt.

 

WARUM ??

Share this post


Link to post

Was meinst Du mit Verbindung ? Von wo nach wo ? Stelle mal auf einem Knoten die "Server" Richtlinie ein und ändere testweise von Kerberos in "Vordefinierten Schlüssel". Auf einem anderen Knoten stellst Du "Client (nur Antwort)" ein und änderst von Kerberos in Vordefinierten Schlüssel. Wenn Du Dich von dem Client zum Server oder umgekehrt verbindest, findet eine Sicherheitsaushandlung statt. Vom Client oder Server aus zu jedem anderen Knoten, der entweder keine Richtlinie definiert hat oder nicht IPSec-fähig ist, wird unverschlüsselt kommuniziert ...

Share this post


Link to post

@IThome

Ich habe eine \\server\Freigabe Verbindung gemacht, leider unverschlüsselt oder garnicht !!

 

Hmm, irgendwie habe ich das System falsch verstanden.

Share this post


Link to post

Mach es so wie weiter oben beschrieben (zum Testen und verstehen). Dann erstellst Du vom Server aus eine Verbindung zum Client und eine ins Internet oder zu einem anderen Client, der keine aktive Richtlinie zugewiesen hast . Dann öffnest Du auf dem Server die MMC-Konsole "IP-Sicherheitsmonitor" und navigierst dort zu Schnellmodus - Sicherheitszuordnungen. Dort siehst Du Zuordnungen, die verschlüsselt sind (zu dem Client, dessen Richtlinie aktiv ist) und Zuordnungen, die nicht verschlüsselt sind (Internet) ...

Share this post


Link to post

@IThome

 

Danke, soweit hat es geklappt.

Jetzt kann ich aber immer noch nicht von einen Client ausserhalb der Domäne auf einen Rechner innerhalb der Domäne zugreifen.

Wenn ich es versuche, steht in der Sicherheitszuordnung der Domäne, esp, vertraulichkeit 3DES und ESP intigrität HMAC-SHA1, aber die Verbindung kommt nicht zu stande.

Ich habe im DOM-Server eingestellt, Sicherheit anforden und dort dann einen eigenen kurzen Kerberos Schlüssel vergeben.

Den Client habe ich Client nur Antworten eingestellt und auch den Kerberos Schlüssel gegeben.

 

Was ist falsch ??

Share this post


Link to post

Den Client habe ich Client nur Antworten eingestellt und auch den Kerberos Schlüssel gegeben.

Das was du da meinst hat eher nicht mit Kerberos zu tun, ist einfach ein gemeinsam genutztes Passwort.

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...