Jump to content

IPSec und kein Ende in Sicht !


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ich habe ein Problem mit IPSec und Windows 2003 Server.

Folgendes habe ich gemacht !!

 

Ich habe auf einen Server in AD die Richtlinie mit den Snap-in Sicherer Server aktiviert. Dann bin ich an einen Client der Mitglied in AD ist und habe auch über das snap-in die Richtlinie, Client Nur Antworten aktiviert.

Wenn ich jetzt den Netzwerkmonitor mit laufen lasse, dann ist der IP Verkehr unverschlüsselt.

Warum ?

 

Dann habe ich ein Client genomme, der kein Mitglied der Domäne ist und habe dort auch die Richtlinie, sicherer Server aktiviert, nun, was soll ich sagen ? Ich bekomme keinen Connect wenn ich versuche auf den Server zu zugreifen.

 

Was ist an diesen Weg falsch, ich habe IPSec so verstanden, das je höher die Sicherheit sein soll, ich die Richtlinie anpassen muss, sowohl am Client alch auch am Server, wobei es nicht im Sinne des Servers ein Server sein muss, es kann ja auch ein Client mit Client verschlüsseln verschlüsseln.

 

So habe ich es verstanden.

 

Was ist falsch ?

 

THX

Link zu diesem Kommentar

Die Standardrichtlinien erfordern Kerberos zur Authentifizierung, daher kann keine Kommunikation mit einem Nicht-Member zustande kommen. Ich finde es verwunderlich , dass bei der zugewiesenen Standardrichtlinie "Sicherer Server" auf dem Server und "Client (nur Antwort)" auf dem Client eine unverschlüsselte Verbindung zustande kommen soll , was meiner Meinung nur passieren könnte, wenn ausschliesslich AH ausgehandelt wird oder wenn die Serverrichtlinie gar nicht aktiv ist. Der Client beginnt immer unverschlüsselt, was der Server zulässt (mit Client meine ich den mit der Richtlinie "Client (nur Antwort)", mit dem Server den mit der Richtlinie "Sicherer Server" oder "Server"), da die Einstellung "Unsichere Kommunikation annehmen, aber immer mit IPSec antworten" aktiv ist. Alle darauf folgende Kommunikation erfordert, dass erstmal Sicherheit ausgehandelt wird (mit Ausnahme von ICMP). In diesen Proposals gibt es keinen unverschlüsselten Verkehr, woraus ich schliesse, dass die Richtlinie nicht aktiv ist , die Einstellungen in irgendeiner Weise vom Standard abweichen oder Du nur ein PING gesendet hast ...

Link zu diesem Kommentar

@IThome

 

Danke für deine Antwort, ich bin gerade dabei eine ganz neue Struktur aufzubauen. Ich will das es klappt und ich will es dann noch verstehen.

 

Bitte noch eine Frage !! Kann ich mit einen Rechner der IPSec an geschaltet hat, z.B sicherer Server auf einen anderen Rechner innerhalb einer Domäne zugreifen ? Egal ob er eine Richtlinie anhat oder nicht, es ist dann etweder verschlüsselt oder unverschlüsselt ?

Richtig ?

Link zu diesem Kommentar

@all

 

Ich bekomme noch ein Schäuerchen :-))

 

Also, ich habe eine DOM und dort die Richtlinie (server) für lokalen Computer vergeben.

Alles klappt, solange ich nicht einen andere Richt5linie auf einen Client einstelle.

 

Nun habe ich in der andren Domäne eine Richtlinie (Server) eingestellt und ich bekomme keine Verbindung, wenn ich sie wieder auf cleint stelle, bekomme ich verbindung, aber unverschlüsselt.

 

WARUM ??

Link zu diesem Kommentar

Was meinst Du mit Verbindung ? Von wo nach wo ? Stelle mal auf einem Knoten die "Server" Richtlinie ein und ändere testweise von Kerberos in "Vordefinierten Schlüssel". Auf einem anderen Knoten stellst Du "Client (nur Antwort)" ein und änderst von Kerberos in Vordefinierten Schlüssel. Wenn Du Dich von dem Client zum Server oder umgekehrt verbindest, findet eine Sicherheitsaushandlung statt. Vom Client oder Server aus zu jedem anderen Knoten, der entweder keine Richtlinie definiert hat oder nicht IPSec-fähig ist, wird unverschlüsselt kommuniziert ...

Link zu diesem Kommentar

Mach es so wie weiter oben beschrieben (zum Testen und verstehen). Dann erstellst Du vom Server aus eine Verbindung zum Client und eine ins Internet oder zu einem anderen Client, der keine aktive Richtlinie zugewiesen hast . Dann öffnest Du auf dem Server die MMC-Konsole "IP-Sicherheitsmonitor" und navigierst dort zu Schnellmodus - Sicherheitszuordnungen. Dort siehst Du Zuordnungen, die verschlüsselt sind (zu dem Client, dessen Richtlinie aktiv ist) und Zuordnungen, die nicht verschlüsselt sind (Internet) ...

Link zu diesem Kommentar

@IThome

 

Danke, soweit hat es geklappt.

Jetzt kann ich aber immer noch nicht von einen Client ausserhalb der Domäne auf einen Rechner innerhalb der Domäne zugreifen.

Wenn ich es versuche, steht in der Sicherheitszuordnung der Domäne, esp, vertraulichkeit 3DES und ESP intigrität HMAC-SHA1, aber die Verbindung kommt nicht zu stande.

Ich habe im DOM-Server eingestellt, Sicherheit anforden und dort dann einen eigenen kurzen Kerberos Schlüssel vergeben.

Den Client habe ich Client nur Antworten eingestellt und auch den Kerberos Schlüssel gegeben.

 

Was ist falsch ??

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...