Bereitstellung von IPSec
Vorwort
Das Konfigurieren von IPSec auf einzelnen Computern ist unkompliziert. Damit
eine IPSec-Implementierung in
großen Unternehmen erfolgreich ist, müssen IPSec-Richtlinien jedoch
an alle Computer im Unternehmen vertei-
lt werden. Der Active Directory-Verzeichnisdienst macht die Weitergabe von IPSec
viel leichter, als sie ohne
Active Directory wäre, aber nicht alle Clientcomputer sind Teil einer vertrauenswürdigen
Domäne. Um IPSec
in der Praxis erfolgreich einzuführen, ist ein Verständnis der verschiedene
Methoden zur Bereitstellung von
IPSec notwendig und für die Umstände, in denen die jeweilige Methode
angewendet wird.
Nachdem IPSec bereitgestellt wurde, müssen Sie in der Lage sein, IPSec
zu überwachen und eine Problem-
behandlung durchzuführen. Für das Überwachen und die Problembehandlung
von IPSec sind bestimmte Pro-
gramme und Kenntnisse notwendig, da es die Interpretation der Netzwerkkommunikation
nahezu unmöglich
macht. Das Überwachen von IPSec ist notwendig, um zu bestätigen, dass
IPSec erfolgreich bereitgestellt
wurde und die Kommunikation aktiv schützt. Das Überwachen ist ebenfalls
eine wichtige Technik zum Isolie-
ren von Problemen, die während der IPSec-Aushandlungen entstehen können.
Bereitstellung von IPSec
IPSec kann unter Verwendung von Active Directory-Gruppenrichtlinienobjekten
(Group Policy Object, GPOs) weiter-
gegeben werden, wie auch die meisten anderen Sicherheitseinstellungen. Alternativ
dazu kann IPSec unter Verwen-
dung von Batchdateien und drei verschiedenen IPSec-Befehlszeilenprogrammen konfiguriert
werden. Das gibt Ihnen
die Flexibilität, IPSec auf Computern zu verwenden, die nicht Mitglieder
einer Domäne sind, oder auf Computern, die
Mitglieder von Domänen sind, die Sie nicht verwalten.
Während der Aspekt des Konfigurieren einer zertifikatsbasierten Authentifizierung
einfach ist, ist die Weitergabe von
Windows Server 2003-Zertifikatdiensten für IPSec wesentlich komplexer.
Bereitstellung von IPSec unter Verwendung
von Active Directory
Wenn Ihr Unternehmen eine Active Directory-Domäne hat, sollten Sie Active
Directory möglichst immer zur Bereitstell-
ung von IPSec verwenden. Das wichtigste Programm zum Erstellen von IPSec-Richtlinien
ist die grafische Benutzer-
oberfläche des Snap-Ins IP-Sicherheitsrichtlinienverwaltung.
Sie können dieses Snap-In dazu verwenden, IPSec-
Richtlinien zu erstellen, zu ändern und zu aktivieren, und diese Richtlinien
mittels des Snap-Ins GPO-Editor dann einer
Domäne, einer Site oder einer Organisationseinheit in Active Directory
zuzuweisen.
Tipp:
Um die IP-Sicherheitsrichtlinienverwaltung genau steuern zu können, verwenden
Sie einen Computer, um lokale IP-
Sicherheitsrichtlinien zu konfigurieren. Dann benutzen Sie die Menübefehle
Richtlinien importieren und Richtlinien
exportieren der IP-Sicherheitsrichtlinienverwaltung, um IPSec-Richtlinien
zu sichern und wiederherzustellen. Wenn
Sie eine IPSec-Richtlinie erstellt haben, verwenden Sie ein Versionskontrollsystem,
um Änderungen der Richtlinie
während der Entwicklungs-, Test- und Wiedergabephasen zu verfolgen.
Wenn Sie IPSec-Richtlinien durch GPOs bereitstellen, müssen SIe wissen,
wie sich IPSec-Richtlinien von anderen
Typen von Sicherheitseinstellungen unterscheiden. Die meisten Einstellungen
in einer Sicherheitsvorlage können
kombiniert werden, indem sie in ein einziges GPO importiert werden. Wenn mehrere
GPOs mit überlappenden Ein-
stellungen einem Einzelcomputer zugewiesen werden, löst der Computer automatisch
die widersprüchlichen Einst-
ellungen einwandfrei, wenn ein Computer mehrerer Rollen erfüllt.
Sicherheitswarnung
IPSec-Richtlinien können wie jedes andere Objekt geschützt werden.
Lokale IPSec-Richtlinien sind in der Registrier-
ung unter HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\IPSec\
gespeichert. Acitve Directory-
basierte IPSec-Richtlinien sind unter CN=IP Security,
CN=System, DC=domainname, DC=topleveldomain ge-
speichert. Beachten Sie bitte, dass lokale Administratoren Lesezugriff auf eine
zugewiesene IPSec-Richtlinie haben,
nachdem diese in der lokalen Registrierung zwischengespeichert wurde. Das bedeutet,
dass es keinen Weg gibt,
hochrestriktiven Lesezugriff für eine Active Directory-basierte IPSec-Richtlinie
zu ermöglichen.
Nur eine IPSec-Richtlinie kann auf einen Einzelcomputer angewendet werden. Wenn
mehrere GPOs einem Einzel-
computer mehrere IPSec-Sicherheitsrichtlinien zuweisen, wird nur das GPO mit
dem höchsten Vorrang angewendet.
Bei IPSec-Richtlinien wird die gleiche Vorrangsreihenfolge wie bei anderen Gruppenrichtlinieneinstellungen
verwendet,
nämlich von der niedrigsten zur höchsten: Lokales GPO, Site, Domäne,
Organisationseinheit.
Bild von Seite 529
Wenn Sie beispielsweise eine Sicherheitsrichtlinie für Webserver erstellen,
bei der Zertifikate für die Authentifizierung
verwendet werden, und Sie erstellen eine andere Richtlinie für interne
Server, bei der Kerberos verwendet wird, können
Sie nicht beide Richtlinien einem Einzelcomputer zuweisen, indem Sie mehrere
GPOs verwenden. Stattdessen über-
schreibt eine Richtlinie die anderen. Wenn Sie versuchen, mehrere IPSec-Richtlinien
einem lokalen Computer zuge-
wurde, gibt das Snap-In IP-Sicherheitsrichtlinienverwaltung
eine Warnung aus: "Die Richtlinie ist zugewiesen,
wird aber von der zugewiesenen Active Directory-Richtlinie außer Kraft
gesetzt. (Siehe obere Abbildung)
Weitere Informationen
Wie auch bei anderen GPO-Einstellungen können Sie den Richtlinienergebnissatz
(RSoP) verwenden, um zu besti-
mmen, welche IPSec-Richtlinie aktuell angewendet wird.
Das bedeutet, dass Sie so wenig verschiedene IPSec-Richtlinien wie möglich
erstellen sollten. Sie können jedoch IP-
Filter verwenden, um komplexe IP-Sicherheitsrichtlinien zu erstellen, die verschiedene
Einstellungen für verschiedene
Computerrollen enthalten. Wenn Ihr Unternehmen beispielsweise interne Dateiserver
benötigt, um Kerberos-IPSec-Au-
thentifizierung zu verwenden, und externe Mailserver, um zertifikatbasierte
IPSec-Authentifizierung zu verwenden, kö-
nnen Sie eine einzige IPSec-Richtlinie erstellen, mit der Kerberos-Authentifizierung
für Anforderungen von internen
Clients und Zertifikatsauthentifizierungen für Anforderungen von externen
Clients ausgehandelt werden. Sie können
ebenfalls die Dateiserver- und die Richtlinie, für die Kerberos-Authentifizierung
benötigt wird, für den Dateiserver an,
und wenden Sie eine andere IPSec-Richtlinie, für die zertifikatsbasierte
Authentifizierung benötigt wird, für den Mail-
server an.
Keine dieser beiden Lösungen ist perfekt. Das Trennen der Rollen auf einzelne
Computer erfordert zusätzlich Aufwand
bezüglich der Serverhardware und der Systemadministration. Die Verwendung
von IP-Filtern zur Erstellung von Regeln,
bei denen verschiedene Filteraktionen basierend auf der Quell-IP-Adresse angewendet
werden, schließt die Möglichkeit
aus, dass Benutzer von einer externen IP-Adresse aus auf den Dateiserver zugreifen
können oder mit dem Mailserver
von einer internen IP-Adresse aus kommunizieren. Theoretisch können IP-Filter
basierend auf den Anschlussnummern
erstellt werden, die von Dateifreigabe- und Nachrichtenprotokollen verwendet
werden. Clientcomputer könnten nur als
Dateiserver oder Mailserver mit dem Server verbunden werden - nicht als beides.
Insidertipp
Es gibt einen Weg, mehrere Sicherheitsrichtlinien auf einem Computer zu verwenden:
Durch die Verwendung von vir-
tuellen Computern. Virtuelle Computer können zum gleichzeitigen Ausführen
mehrere Instanzen von verschiedenen
Betriebssystemen auf einem Computer verwende werden. Unternehmen benutzen virtuelle
Computer in Servern, um
Konflikte zwischen Serveranwendungen zu vermeiden, wie beispielsweise die Beschränkung,
nur eine IPSec-Richt-
linie auf einen Computer anwenden zu können. Beispiele sind Microsoft Virtual
PC 2004 und Microsoft Virtual Server
2005. Informationen über diese Software finden Sie unter http://www.microsoft.com/virtualpc/.
Wenn Sie IPSec-Richtlinien für Ihr Unternehmen erstellen, befolgen Sie
vor allem folgende Regel: Halten Sie die Richt-
linie(n) möglichst einfach. Auch wenn Sie mehrere Level für die Sicherheit
mehrerer Computer ermöglichen möchten,
verwenden Sie so wenig Richtlinien wie möglich, um die Komplexität
Ihres Systems zu minimieren. Ein einfaches
System ist weniger fehleranfällig; außerdem ist die Problembehandlung
einfacher. Sie können den Prozess der IPSec-
Weitergabe weiterhin vereinfachen, indem Sie vordefinierte Richtlinien verwenden:
Client, Sicherheit anfordern und
Sicherheit erforderlich. Diese Richtlinien wurde konfiguriert, um ein maximales
Level an Kompatibilität sicherzustellen,
ohne dass die Sicherheit vernachlässigt wird.
Es gibt eine wichtige Einschränkung des Einsatzes von IPSec beim Schutz
der Kommunikation innerhalb einer Dom-
äne:Sie sollten IPSec und Kerberos-Authentifizierungen nicht zwischen Domänenmitglieder
und Domänencontrollern
verwenden. Zum Aufbau einer IPSec-Verbundung muss eine Anforderung an einen
Domänencontroller gesendet
werden, aber wenn für diese Anforderung eine IPSec-Verbindung aufgebaut
werden muss, kann die Internetschlüssel-
austausch (Internet Key Exchange, IKE)-Aushandlung nicht abgeschlossen werden.
Außerdem können keine anderen
authentifizierten Verbindungen mit anderen Protokollen erstellt werden und keine
anderen IPSec-Richtlinieneinstell-
ungen auf diese Domäne mittels Gruppenrichtlinien angewendet werden. Aus
diesen Gründen unterstützt Microsoft
die Verwendung von IPSec für die Kommunikation zwischen Domänenmitgliedern
und Domänencontrollern nicht.
Es gibt weitere Einschränkungen beim Einsatz von IPSec zum Schutz des Verkehrs
an einen Cluster. Viele Cluster-
und Lastenausgleichsdienste verwenden dieselbe IP-Adresse für alle Knoten
in einem Cluster, so dass Inkompatibili-
täten mit IPSec entstehen. Windows Server 2003 IPSec hat proprietäre
Erweiterungen, die eine Zusammenarbeit
mit den Diensten Windows Server 2003 Netzwerkauslastenausgleich in Windwos Cluster
ermöglichen. Eine Unter-
stützung dieser Erweiterung existiert jedoch nicht in Micorosoft Windows
2000- und Windows XP IPSec-Clientim-
plementierungen, so dass Sie in Bezug auf die Konnektivität mit Verlusten
rechnen müssen, wenn Sie Windows
2000-Clusterknoten hinzufügen oder entfernen.
Bereitstellen von IPSec mithilfe von Skripts
Wenn ein Computer kein Mitglied einer Windows 2000-Domäne oder einer Windows
Server 2003-Domäne ist, kann er
IPSec-Richtlinien nicht aus Active Directory beziehen. Sie können jedoch
die Befehlszeilenprogramme Netsh, Ipsec-
cmd.exe und Ipsecpol.exe verwenden, um IPSec-Skripts zu erstellen. Sie
können diese Skripts dann als Skripts
zum Starten für jeden Computer in Ihrem Netzwerk verwenden. Sie können
Ipsecpol.exe nur auf Computern unter
Windows 2000 verwenden, Ipseccmd.exe nur auf
Computern unter Windows XP und Netsh-Befehle nur auf Compu-
tern unter Windows Server 2003.
Drei verschiedenen Skriptingprogramme für die drei Betriebssysteme machen
die Verwaltung zwar zu einer Heraus-
forderung, die drei Programme sind jedoch ähnlich in ihrer Funktionalität.
Obwohl die genauen Parameter variieren,
bietet jedes Programm seperate statische und dynamische Konfigurationsmodi und
die Möglichkeit, existierende
IPSec-Konfigurationsinformationen anzeigen zu lassen. Für jedes Programm
ändert der dynamische Konfigurations-
modus die aktuell ausgeführten IPSec-Einstellungn; der statische Konfigurationsmodus
änder die perma-
nente Konfiguration. Anders gesagt gehen die dynamischen Konfigurationsänderungen
nach einem Neu-
start des Computers verloren, die statischen Konfigurationsänderungen bleiben
jedoch bestehen.
Praxistipp: Skripting von IPSec-Richtlinien
Vermeiden Sie Skripting von IPSec-Richtlinien unter allen Umständen. Dies
wäre anders, wenn es eine einzige Befehls-
zeilen-Schnittstelle gäbe, die für alle Windows-Betriebssysteme funktioniert,
so aber ist der Aufwand zu groß.
Viele Unternehmen arbeiten mit mehreren Windows-Versionen. Wenn Sie also IPSec-Richtlinien
für das gesamte
Unternehmen schreiben möchten, müssen Sie entweder jeweils separate
Skripts für Windows Server 2003, Win-
dows XP und Windows 2000 erstellen oder ein einziges, komplexes Skript, das
Befehle für jedes der Skripting-
programme enthält.
Glücklicherweise hat Microsoft eine IPSec-Funktion in Netsh integriert,
es gibt jedoch leider keine übergreifende
Skriptingschnittstelle für alle unterstützten Windows-Plattformen.
IPSec-Skripting wäre viel praktischer, wenn die
Netsh-IPSec-Erweiterungen für die früheren Versionen von Windows erhältlich
wären oder wenn Windows Server
2003 abwärtskompatibel wäre mit IPSecCmd und IPSecPol.
Bis dahin müssen Sie, wenn Sie IPSec-Skripting mit Active Directory verwenden,
separate GPOs für jede Version
von Windows erstellen und die Windows-Verwaltungsinstrumentation (Windows Management
Instrumentation, WMI)
benutzen, um separate Anmeldeskripts an verschiedene Plattformen weiterzugeben.
Sie könnten ebenfalls ein Skript
erstellen, das alle drei verschiedenen IPSec-Skriptingprogramme einschließt.
Dieses Skript könnte etwa so aussehen:
Netsh IPSec static add ...
Netsh IPSec static add ...
Netsh IPSec static add ...
IPSecCmd ...
IPSecPol ...
Einige der Befehle würden auf keiner Version von Windows funktionieren,
aber dann würde einfach eine Fehlermeldung an-
gezeigt, die Sie ignorieren könnten. Das Skript ist nicht nur nachlässig
geschrieben, sondern vor allem fehleranfällig. Man
muss drei verschiedene Skriptingprogramme kennen und jedes Mal, wenn Sie eine
IPSec-Richtlinie ändern, müssen Sie
die Befehle für jedes der Programme ändern.
Netsh
Um IPSec-Richtlinien auf Computern unter Windows Server 2003 mit einem Skript
zu erstellen, verwenden Sie die Netsh-
IPSec-Befehle. Es gibt zwei Arten, dies zu tun: Verwenden Sie den Befehl Netsh
ipsec static add, um IP-Filter, Regeln
und IPSec-Richtlinien hinzuzufügen, oder verwenden Sie den Befehl Netsh
ipsec static importpolicy, um eine gespeich-
erte IPSec-Richtlinie zu importieren.
Hinweis:
In Windows 2000 und Windows XP gibt es ebenfalls Netsh, jedoch ohne die IPSec-Erweiterungen.
Der leichteste Weg, eine Liste von IP-Sicherheitsrichtlinien auf einem Computer
aufzufüllen, ist ironischerweise ein graf-
isches Programm. Erstellen Sie zuerst mit dem Snap-In IP-Sicherheitsrichtlinienverwaltung
die Richtlinien, Expor-
tieren Sie die Richtlinien dann in eine Datei. Erstellen Sie danach ein Skript,
mit dem die Richtlinien mit dem Netsh-
Befehlszeilenprogramm auf den Windows Server 2003-basierten Computer importiert
wird. So können Sie die IPSec-
Richtlinien in Ihrem Unternehmen zentral verwalten: durch das Exportieren von
Richtlinien, die von allen Computern
verwendet werden, auf einen zentralen Dateiserver. Verteilen Sie dann Skripts
zum Starten, die die IP-Sicherheits-
richtlinien importieren, und weisen Sie eine der Richtlinien zu.
Sie können IPSec-Richtlinien ebenfalls direkt aus einer Befehlszeile heraus
erstellen, ohne sich auf grafische Pro-
gramme verlassen zu müssen. Der Befehl Netsh
ipsec static add filteraction kann verwendet werden, um neue
Filteraktionen zu erstellen. Die Befehle Netsh ipsec
static add filter und Netsh ipsec static add
filterlist werden
zur Erstellung von IP-Filtern und IP-Filterlisten verwendet. Der Befehl Netsh
ipsec staticc add policy kann verwem
det werden, um neue Richtlinien zu erstellen, die sofort zugewiesen werden können.
Sie können den Befehl Netsh
ipsec static add rule dazu verwenden, einer Richtlinie Regeln hinzuzufügen,
indem Sie IP-Filterlisten und Filter-
aktionen spezifizieren.
Tipp:
Für den Netsh-Befehl gibt es einen sehr komplizierten Satz von Parametern.
Eine detaillierte Liste dieser Parameter
erhalten Sie, wenn Sie einen der Befehle ohne Parameter ausführen. Wenn
Sie beispielsweise die Syntax für das
Hinzufügen einer Regel in Netsh sehen möchten, öffnen Sie eine
Eingabeaufforderung und starten Sie Netsh ipsec
static add rule.
Mit dem folgenden Neths-Skript wird eine neue Richtlinie erstellt. Mit der ersten
Zeile wird eine Richtlinie namens
TestPolicy erstellt und zugewiesen. Beim Zuweisen der Richtlinie wird die Zuweisung
der anderen IPSec-Richtlinien
automatisch aufgehoben. Mit der zweiten Zeile wird eine Filteraktion namens
DropPacket mit der Blockierungsaktion
(Block) hinzugefügt. Mit der dritten Zeile wird der neuen IPSec-Richtlinie
TestFilter eine Regel namens NoICMP hinzu-
gefügt. Die Regel NoICMP wird erstellt, indem die vordefinierte IP-Filterliste
All ICMP Traffic verwendet wird sowie die
neu erstellte Regel namens Drop Packet.
netsh ipsec static add policy name=TestPolicy assign=yes
activatedefaultrule=no
netsh ipsec static add filteraction name=DropPacket action=block
netsh ipsec static add rule name=NoICMP police=TestPolicy filterlist="All
ICMP Traffic" filteraction=Drop-
Packet
IPSecCmd
In der Übung zur Problembehandlung wurde der Befehl netsh
ipsec static add policy dazu verwendet, eine Batch-
datei zum Konfigurieren und Zuweisen einer Richtlinie zu erstellen. Für
die Erstellung einer lokalen oder Active Dire-
ctory-basierten IPSec-Richtlinie auf Computern unter Windows XP können
Sie Ipseccmd.exe verwenden, ein Windows-
Support-tool, das sich im Ordner Supporttools
unter Windows XP befindet. Um IPSecCmd zu installieren, müssen
Sie eine vollständige Installation der Supporttools ausführen. Bei
einer normalen Installation wird das Programm
IPSec-Cmd nicht installiert.
Die Syntax für IPSecCmd ist komplex. Die Erstellung von Skripts mit IPSecCmd
ist selbst für Skriptingerfahrene eine
Herausforderung und die resultierenden Skripts sind schwierig zu warten. Wenn
Sie ein Skript erstellen, müssen Sie
einplanen, dass eine andere Person das Skript warten muss, falls Sie nicht zur
Verfügung stehen. Da Sie Syntax für
die Administratoren, die die Wartung übernehmen, nicht einfach sein. Aus
diesen Gründen sollten Sie IPSecCmd
nur dann verwenden, wenn es wirklich notwendig ist.
Bei IPSecCmd wird eine ähnliche Syntax wie bei IPSecPol verwendet, diese
ist jedoch ganz anders als bei Netsh.
Während in Netsh separate Befehle für die Erstellung von IP-Filtern,
Regeln, Filteraktionen und Richtlinien verwendet
werden, kann IPSecCmd jede dieser Komponenten einer IPSec-Richtlinie mit einem
einzigen Befehl erstellen. Starten
Sie beispielsweise folgenden Befehl zur Erstellung und Zuweisung einer lokalen
Richtlinien namens Test-Policy mit
einer Regel namens Secure Traffic, bei der ein gespiegelter Filter für
Datenverkehr zum lokalem Computer verwendet
wird und ein vorinstallierter Schlüssel als Authentifizierungsmethode:
ipseccmd -f 0+* -a p:"localauth" -w reg -p TestPolicy -r "SecureTraffic"
-x
Tipp:
Detailliertere Informationen über die Verwendung von IPSecCmd sehen Sie,
wenn Sie bei einer Eingabeaufforderung
Folgendes eingeben und ausführen: Ipseccmd -?
/ more
IPSecPol
Zur Erstellung von lokalen oder Active Directory-basierten IPSec-Richtlinien
auf Computern mit Windows 2000 können
Sie Ipsecpol.exe verwenden, ein Befehlszeilenprogramm aus dem Windows 2000 Server
Resource Kit. Ipsecpol.exe
ist kein vollständiges Befehlszeilen- oder Skriptingprogramm (Sie können
beispielsweise Ipsecpol.exe nicht zum Lö-
schen oder Umbenennen von Filterlisten oder Filteraktionen verwenden), es wird
auch nicht von einem anderen Micro-
soft-Standardsupporttool unterstützt.
Bei IPSecPol wird eine Syntax verwendet, die der von IPSecCmd ähnlich ist,
das IPSecCmd aus IPSecPol entwickelt
wurde. Meistens müssen Sie nur den Namen des Befehls ändern, wenn
Sie ein Skript an Computer weitergeben, auf
denen Windows 2000 und Windows XP läuft. Starten Sie beispielsweise folgenden
Befehl zur Erstellung und Zuweis-
ung einer lokalen Richtlinie namens TestPolicy mit einer Regel namens Secure
Traffic, bei der ein gespiegelter Filter
für Datenverkehr zum lokalen Computer verwendet wird und ein vorinstallierter
Schlüssel als Authentifizierungsmethode:
ipsecpol -f 0+* -a p:"localauth" -w reg -p TestPolicy -r "SecureTraffic"
-x
Ein Unterschied zwischen IPSecCmd und IPSecPol ist, dass IPSecPol nich dazu
verwendet werden kann, Informat-
ionen über die aktuelle IPSec-Konfiguration des Computers anzeigen zu lassen.
Sie können IPSecPol von der Mic-
rosoft-Website herunterladen unter http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/
ipsecpol-o.asp.
Bereitstellen von Zertifikatdiensten für
IPSec
Obwohl Kerberos der einfachste Weg ist, IPSec-Peers zu authentifizieren, bieten
Zertifikate größere Flexibiltät zur
Authentifizierung von Nicht-Windows-IPSec-Peer und anderen Computern, die nicht
Mitglieder einer Active Direct-
ory-Domäne sind. Unter Windows 2000 und Windows Server 2003 können
Sie Zertifikatdienste verwenden, um
Computerzertifikate für die IPSec-Authentifizierung automatisch zu verwalten.
IPSec unterstützt ebenfalls die
Verwendung einer Reihe von Nicht-Microsoft-X.509-PKI-Systemen (Public Key Infrastructure).
Windows Server
2003 IKE ist kompatibel mit einigen Zertifikatdiensten, einschließlich
der von Microsoft, Entrust, VeriSign und
Netscape. Wenn Sie ein Nicht-Microsoft-PKI-System verwenden, muss das PKI-System
in der Lage sein, Zer-
tifikate an Computer auszustellen und die Zertifikate im Windows CrypotAPI (Cryptographic
Application Pro-
gramming Interface)-Zertifikatspeicher zu speichern.
Die Verwendung der Zertifikatauthentifizierung durch IPSec ist kompatibel mit
vielen verschiedenen PKI-Struk-
turen und IKE hat relativ geringe Anforderungen an die Inhalte eines Zertifikats.
Normalerweise können Com-
puter, die einen gemeinsamen vertrauenswürdigen Stamm haben oder deren
Zertifikate sich durch eine Ver-
trauensstellung gegenseitiger Zertifizierung verketten können, sind in
der Lage, zertifikatbasierte Authentifi-
zierung für IPSec zu verwenden. Um Zertifikate für die IPSec-Authentifizierung
zu verwenden, definieren Sie
eine geordnete Liste von akzeptablen Namen von Stammzertifizierungsstellen (Certification
Authority CA)
in der Authentifizierungsmethode.
Wichtig:
Zertifikate von Zertifikatdiensten, bei denen die erweiterte Option auf Verstärkte
Sicherheit für den privaten
Schlüssel aktivieren festgelegt ist, funktionieren nicht bei der
IKE-Authentifizierung, da keine PIN (Personal
Identification Number) eingegeben werden kann, um während der IKE-Aushandlung
auf den privaten Schlüssel
zuzugreifen.
Wenn die IKE-Authentifizierung fehlschlägt, können Sie die Authentifizierung
nicht mit einer anderen Methode
wiederholen. Aus diesem Grund sollten Sie, bevor Sie eine IPSec-Richtlinie anwenden,
die zur Authentifizierung
Zertifikate verwenden kann, sicherstellen, dass alle Zielcomputer die richtigen
Zertifizierungszertifikate haben
und gültige Computerzertifikate. Zusätzlich sollten Sie, um das korrekte
Funktionieren der Zertifikatautentifi-
zierung sicherzustellen, Ihre PKI-Infrastruktur mit verschiedenen Konfigurationen
der IPSec-Richtlinien vor der
Weitergabe testen.
Unter Windows Server 2003 können SIe die IPSec-Zertifikat-zu-Konten-Zuordnung
aktivieren (siehe untere Abb-
ildung). Dies bewirkt, dass IPSec während der Zertifikatsauthentifizierung
das Computerkonto des Peers in der
Active Direcotry-Gesamtstruktur überprüft. IPSec ermöglicht den
Zugriff vom Peer nur, wenn der Peer ein gültiges
Computerkonto hat und das Konto das Benutzerrecht Auf
diesen Computer vom Netzwerk aus zugreifen hat.
Das verbessert die Sicherheit, da die Möglichkeit ausgeschlossen wird,
dass ein Computer eine IPSec-Verbindung
mit dem Server aufbauen kann, der zwar ein gültiges, von Ihrer Zertifizierungsstelle
ausgegebenes Zertifikat hat,
aber kein Domänenmitglied ist. Die Zertifikat-zu-Konten-Zuordnung kann
jedoch nur dann genutzt werden, wenn alle
IPSec-Verbindungen von Computern in der gleichen Gesamtstruktur kommen.
Bild von Seite 536
Wenn Sie die Zertifizierungsauthentifizierung verwenden, um eine Vertrauensstellung
zwischen IPSec-Peers aufzu-
bauen, können Sie Windows Server 2003 so konfigurieren, dass Zertifizierungsstellennamen
von Zertifikatsanforder-
ungen ausgeschlossen werden. Das Ausschließen des Zertifizierungsstellennamens
hindert böswillige Andwender
daran, kritische Informationen über die Vertrauensstellungen zwischen Computern
zu erfahren, wie den Namen des
Unternehmen, das den Computer besitzt und die Domänenmitgliedschaft des
Computers (wenn ein interner PKI ver-
wendet wird). Obwohl der Ausschluß des Zertifizierungsstellennamens aus
Zertifikatsanforderungen die Sicherheit
erhöht, benötigen Computer mit mehreren Zertifikaten aus verschiedenen
Stämmen eventuell die Zertifizierungsstellen-
stammnamen, um das richtige Zertifikat auszuwählen. Außerdem ist
es möglich, dass einige Nicht-Microsoft-IKE-
Implementierungen nicht auf eine Anforderung antworten, die keinen Zertifizierungsstellennamen
enthält. Deshalb
kann das Ausschließen des Zertifizierungsstellennamens aus den Zertifikatsanforderungen
verursachen, dass die
IKE-Zertifikatsauthentifizierung in manchen Fällen fehlschlägt.
Praktische Übung: Bereitstellen der
IPSec-Konfiguration
In dieser Übung werden Sie IPSec unter Verwendung von zwei Methoden bereitgestellt:
Mit einem Active Directory-
GPO und durch den Import einer Richtlnie im Befehlszeilenmodus.
Übung 1: Konfigurieren der Zertifikatdienste für die IPSec-Authentifizierung
In dieser Übung werden Sie Zertifikatdienste konfigurieren, um IPSec-Zertifikate
zu registrieren, Computer1 und
Computer2 registrieren und dann eine IPSec-Richtlinie
weitergeben, für die Zertifikatsauthentifizierung benötigt
wird, und zwar durch Verwendung eines Active Direcotory-basierten GPO.
Installieren Sie zunächst die Zertifikatdienste, falls sie noch nicht installiert
sind.
Als Nächstes stellen SIe die vordefinierte IPSEC-Zertifikatvorlage aus:
Als Nächstes registrieren Sie Computer1
und Computer2 mit der IPSec-Sicherheitsvorlage.
Wiederholen Sie den fol-
genden Prozess für Computer1 und Computer2:
Jetzt haben Sie alles Notwendige getan, um Computer1
und Computer2 die Kommunikation durch Verwendung
von
IPSec (authentifiziert durch Zertifikate) zu ermöglichen. Damit die neue
IPSec-Richtlinie sofort wirksam wird, führen
Sie den Befehl gpupdate /force auf Computer1
und Computer2 aus. Überprüfen Sie
dann, ob Computer1 und
Computer2 eine Verbindung aufbauen können:
Übung 2: Importieren von IP-Sicherheitsrichtlinien
mit Netsh
In dieser Übung exportieren Sie eine Sicherheitsrichtlinie aus dem IP-Sicherheitsrichtlinienverwaltungs-Snap-In.
Dann
importieren Sie es mit Netsh, um zu demonstrieren, wie man Sicherheitsrichtlinien
mit Skripts zum Starten importiert.
Überwachen von IPSec
Das Überwachen von IPSec ist wichtig zur Bestätigung dafür, dass
IPSec in Ihrem Unternehmen einwandfrei funktio-
niert. IPSec muss ebenfalls genau überwacht werden, wenn es Probleme bei
der Implementierung gibt oder wenn es
Netzwerkkonnektivitätspobleme gibt, die mit IPSec zusammenhängen hönnten.
Tipp:
Das Überwachen von IPSec ist ebenfalls der beste Weg zu lernen, wie IPSec
funktioniert. Wenn Sie IPSec noch
nicht ganz verstanden haben, investieren Sie etwas Zeit, um IPSec-Verbindungen
zu erstellen und diese mit den
verschiedenen beschriebenen Programmen zu überwachen.
IP-Sicherheitsmonitor-Snap-In
IP-Sicherheitsmonitor ist ein Windows XP- und Windows Server 2003-Snap-In, das
zur Überwachung und Problem-
behandlung von IPSec verwendet wird. Wenn eine IPSec-Richtlinie aktiv ist, können
Sie diese Konsole verwenden,
um die Richtlinie und ihre Vorgänge zu untersuchen.
Die Informationen in IP-Sicherheitsmonitor sind in drei Knoten unterteilt: Aktive
Richtlinie, Hauptmodus und Schnell-
modus. Der Knoten Aktive Richtlinie (siehe untere Abbildung) zeigt Informationen
über aktuell zugewiesene Richt-
linien. Diese Informationen beinhalten den Namen der Richtlinie, das letzte
Änderungsdatum und den Ursprung.
Wenn Sie wissen möchten, wie eine bestimmte Richtlinie auf einen Computer
angewendet wurde, überprüfen Sie
diesen Knoten, um das GPO zu identifizieren, das die Richtlinie zugewiesen hat.
Bild von Seite 544
Hauptmodus
Wie Sie wissen, ist die Hauptmodus-Aushandlung die erste Phase beim Erstellen
einer IPSec-Verbindung. Der Haupt-
modus erstellt allgemeine Sicherheitsprotokolle von zwei Hosts, bestimmt Hauptschlüssel-Verschlüsselungsmaterial,
das zur Verschlüsselung der Kommunikation verwendet wird, und authentifiziert
die Computer selbst.
Eine der nützlichsten Funktionen des IP-Sicherheitsmonitor-Snap-Ins ist
seine Fähigkeit, aktive Sicherheitszuordnungen
(Security Associations, SAs) schnell zu betrachten. Um dies zu tun, erweitern
Sie den Hauptmodus und klicken Sie
dann auf Sicherheitszuordnung. Auf der rechten
Seite wird eine Liste mit aktiven Sicherheitszuordnung angezeigt,
einschließlich der IP-Adresse auf dem IPSec-Peer. Doppelklicken Sie auf
eine Sicherheitszuordnung, um die Eigen-
schaften dieser Sicherheitszuordnung zu sehen (siehe untere Abbildung). Das
Dialogfeld Sicherheitszuordnungs-
Eigenschaften zeigt Ihnen die IP-Adressen von zwei Peers, das für
Verschlüsselung und Integrität verwendete Pro-
tokoll und eine Liste der Schnellmodus-Sicherheitszuordnungen, die aus dieser
Hauptmodus-Sicherheitszuordnung
zeigt die Verhandlungsrichtlinien, die zur Erstellung aller Schnellmodus-Sicherheitszuordnungen
verwendet wurde.
Bild von Seite 545
Der wichtigste Knoten innerhalb des Hauptmodusknoten des IP-Sicherheitsmonitors
ist der Statistikknoten. Der
Statistikknoten ist das wichtigste Programm zur Überwachung von IPSec,
da er Statistiken über Phase 1 der IPSec-
Aushandlungen enthält, einschließlich der Anzahl von aktiven IKE-Aushandlungen
und der Gesamtanzahl der erfolg-
reichen Aushandlungen und Authentifizierungen. In der unteren Tabelle werden
die nützlichen Hauptmodus-Statistiken
aufgeführt.
| Hauptmodus-Statistik | Beschreibung |
| Aktiv abgerufen | Die Anzahl der IKE-Aushandlungsanforderungen in der Warteschlange. Normalerweise
ist die Anzahl der aktiv abgerufenen Aushandlungsanforderungen 1. Wenn IPSec
nicht mit der Anzahl der eingehenden Anforderungen Schritt halten kann,
für die IKE-Aushandlungen benötigt werden, erhöht sich die
Anzahl in dieser Statistik um die Anzahl der Anforderungen, die für
die Bearbeitung in der Warteschlange von IKE stehen. Wenn Sie eine Problembehandlung
von Leistungsproblemen durchführen, die auftreten, wenn Clients zu
einem IPSec-aktivierten Server Verbindungen erstellen, beobachten Sie diesen
Parameter, um zu bestimmen, ob Hauptsmodus-Aushandlungen der Grund für
das Problem sind. Wenn die Anzahl andauernd hoch bleibt, verwenden Sie das
Leistungs-Snap-In, um die Prozessorausnutzung auf dem Server zu beobachten. Wenn die Prozessorauslanstung ebenfalls hoch ist, sollten Sie über einen stärkeren Prozessor für den Server oder die Verwendung einer Netzwerkkarte mit integrierter IPSec-Verarbeitung nachdenken. |
| Erfassungsfehler | Die Gesamtanzahl der erfassten ausgehenden Anforderungen, die fehlgeschlagen sind, seit der IPSec-Dienst das letzte Mal gestartet wurde. Es ist nicht ungewöhnlich, dass dieser Indekator höher als Null ist, wenn IPSec normal funktioniert. Wenn die Zahl jedoch steigt, hat ein IPSec-Peer bei der Erstellung einer Verbindung Probleme. Sie können die IKE-Ablaufverfolgung verwenden, um den Peer und das Problem zu identifizieren. |
| Empfangsfehler | Die Gesamtanzahl der erfassten Fehler während des Eingangs von IKE-Nachrichten, seit der IPSec-Dienst das letzte Mal gestartet wurde. |
| Sendefehler | Die Gesamtanzahl der Fehler während des Sendens von IKE-Nachrichten, seit der IPSec-Dienst das letzte Mal gestartet wurde. Die Anzahl der Sendefehler steigt normalerweise bei Computern an, die Sicherheitszuordnungen über temporäre Netzwerkverbindungen erstellen, wie DFÜ-Verbindungen, Virtuelles Privates Netzwerk (VPN)-Tunnel und kabellose Verbindungen. Daher ist dies nicht unbedingt ein Zeichen dafür, dass ein Problem gelöst werden muss. |
| Abgerufene Heapgröße | Die Aktiv abgerufen-Statistik misst die Anzahl der eingehenden Verbindungen in der Warteschlange; diese Statistik misst die ausgehenden Verbindungen in der Warteschlange. Diese Anzahl steigt bei größer Auslastung an und sinkt dann allmählich, wenn der Abgerufene Heap abgebaut wird. Wenn die Anzahl hoch bleibt, ist dies ein Zeichen, dass der Computer Probleme bei der Erstellung einer IPSec-Verbindung auf einem Remotecomputer hat. |
| Authentifizierungsfehler | Die Gesamtanzahl der Identitäts-Authentifizierungsfehler, die während der Hauptmodus-Aushandlungen aufgetreten sind, seit der IPSec-Dienst das letzte Mal gestartet wurd. Wenn Sie Schwierigkeiten haben, sicher zu kommunizieren, überwachen Sie diesen Indikator, um zu bestimmen, ob das Problem von einem Hauptmodus-Aushandlungsfehler verursacht wurde. Wenn dies der Fall ist, lesen Sie die Informationen zur Problembehandlung bei Authentifizierungsproblemen. |
| Aushandlung Fehler | Die Gesamtanzahl der Aushandlungsfehler, die während der Hauptmodus- oder Schnellmodus-Aushandlungen aufgetreten sind, seit der IPSec-Dienst das letzte Mal gestartet wurde. Wenn dieser Indikator ansteigt, überprüfen Sie Ihre Authentifizierungs- und Sicherheitsmethoden-Einstellungen für eine nicht übereinstimmende Authentifizierungsmethode, eine nicht korrekte Authentifizierungsmethode-Konfiguration oder nicht übereinstimmende Sicherheitsmethoden oder Einstellungen. |
| Erfasst insgesamt | Die Gesamtanzahl der Anforderungen, die an IKE gesendet wurden, seit der IPSec-Dienst das lezte Mal gestartet wurde, um eine Sicherheitszuordnung zu erstellen. Diese Anzahl enthält Abrufe, die in schwachen Sicherheitszuordnungen resultieren, die nicht verschlüsselt sind. |
| IKE-Hauptmodus | Die Gesamtanzahl der erfolgreichen Sicherheitszuordnungen, die während der Hauptmodus-Aushandlungen aufgetreten sind, seit der IPSec-Dienst das letzt Mal gestartet wurde. |
| IKE-Schnellmodus | Die Gesamtanzahl erfolgreichen Sicherheitszuordnungen, die während der Schnellmodus-Aushandlungen aufgetreten sind, seit der IPSec-Dienst das letzte Mal gestartet wurde. |
| Schwache Zuordnung | Die gesamte Anzahl der Aushandlungen, die in unverschlüsselten, schwachen Sicherheitzuordnungen resultierte. Dies reflektiert normalerweise die Anzahl der Zuordnungen, die mit Computern vorgenommen wurde, die nicht auf die Hauptmodus-Aushandlungs-Versuche reagierten. Dies kann Computer einschließen, die IPSec nicht erkennen und Computer, die IPSec erkennen, aber keine geeignete IPSec-Richtlinie hatten, um die Hauptmodus- und Schnellmodus-Aushandlungen sind, werden sie trotzdem als Schnellmodus-Sicherheitszuordnungen behandelt. Schwache Sicherheitszuordnungen sind nicht durch IPSec geschützt. |
| Ungültige empfangene Pakete | Die Anzahl von empfangenen IKE-Nachrichten, die ungültig sind, einschließlilch der IKE-Nachrichten mit ungültigen Headerfeldern und falschen Nutzlastlängen. Ungültige IKE-Nachrichten werden meistens von nicht passenden vorinstallierten Schlüsseln zwischen IPSec-Peers verurscht. Es besteht nicht unbedingt ein Problem, wenn diese Anzahl größer als Null ist, da ungültige Pakete während einer normalen IPSec-Kommunikation erhalten werden können. |
Schnellmodusstatistik
Schnellmodus, auch bekannt als Phase 2 der IPSec-Aushandlungen, tritt nach dem
Hauptmodus auf und dies
regelmäßig, während eine IPSec-Verbindung verwendet wird. Das
IP-Sicherheitsmonitor-Programm hat einen
Schnellmodusknoten, den Sie verwenden können, um aktuelle Informationen
über Schnellmodus-Aushandlungen
anzusehen. Die im Schnellmodusknoten enthaltenen Informationen sind ähnlich
wie die im Hauptmodus, einsch-
ließlich der Auflistung der aktiven Schnellmodus-Sicherheitszuordnungen.
Die nützlichste Information kann von innerhalb des Schnellmodus-Statistikknoten
angesehen werden. Die Schnell-
modusstatistiken enthalten andere Informationen als die im Hauptmodus, einschließlich
der Gesamtanzahl der ver-
schlüsselten und authentifizierten Bytes. In der unteren Tabelle werden
die wichtigsten Parameter im Schnellmodus-
Statistikknoten aufgelistet.
| Schnellmodusstatistiken | Beschreibung |
Aktive Sicherheitszu- |
Die Anzahl der aktiven Schnellmodus-Sicherheitszuordnungen. |
| Abgeladene Sicherheits- zuordnungen |
Die Anzahl der aktiven Schnellmodus-Sicherheitszuordnungen, die in Hardware abgeladen wurden. Einige Netzwerkadapter können IPSec-Verarbeitung beschleunigen, indem sie IPSec-Verschlüsselungsfunktionen in Hardware abladen. Wenn Sie keinen solchen Netzwerkadapter verwenden, bleibt dieser Wert Null. |
| Ausstehende Schlüssel- vorgänge |
Die Anzahl der IPSec-Schlüsselaustauschvorgänge, die gerade bearbeitet werden, aber noch nicht abgeschlossen sind. |
| Hinzugefügte Schlüssel und Gelöschte Schlüssel | Die Gesamtanzahl der Schlüssel für Schnellmodus-Sicherheitszuordnungen, die erfolgreich hinzugefügt oder gelöscht wurden, seit der Computer das letzte Mal gestartet wurde. |
| Erneute Schlüssel | Die Gesamtanzahl der erfolgreichen Erneute Schlüssel-Vorgänge für Schnellmodus-Sicherheitszuordnungen, seit der Computer das letzte Mal gestartet wurde. Erneute Schlüssel-Vorgänge treten nach Hauptmodus-Aushandlungen regelmäßig auf. Wenn Sie nicht-standardmäßige Einstellungen für Erneute Schlüssel festlegen, sollten Sie diese Statistik beobachten, um sicherzustellen, dass diese Vorgänge wie gewohnt auftreten. |
| Aktive Tunnel | Die Anzahl der aktiven IPSec-Tunnel |
| Ungültige Sicherheitspara- meterindex-Pakete |
Die Gesamtanzahl der Pakete, für welche der Sicherheitsparameterindex (Security Parameter Index, SPI) falsch war, seit der Computer das letzte Mal gestartet wurde. Wenn der SPI falsch war, kann es sein, dass eingehende Sicherheitszuordnungen abgelaufen sind und ein Paket, für das der alte SPI verwendet wurde, gerade angekommen ist. Diese Nummer kann ansteigen, wenn Intervalle für Erneute Schlüssel kurz sind und es viele Sicherheitszuordnungen gibt. Eine große Anzahl von Paketen mit ungültigen SPIs, die innerhalb von kurzer Zeit empfangen werden, sind Anzeichen für einen Packet-Spoofing-Angriff. |
| Nicht entschlüsselte Pakete | Die Gesamtanzahl der Pakete, die nicht entschlüssel werden konnten, seit der Computer das letzte Mal gestartet wurde. Ein Paket kann nicht entschlüsselt werden, wenn es die Validierungsprüfung nicht besteht. |
| Nicht authentifizierte Pakete | Die Gesamtanzahl der Pakete, für welche Daten nicht verifiziert werden konnten (für welche die Integritäts-Hash-Überprüfung fehlgeschlagen ist), seit der Computer das letzte Mal gestartet wurde. Wenn diese Anzahl ansteigt, kann dies ein Zeichen für IPSec-Packet-Spoofing, eine Modifizierungsattacke oder beschädigte Pakete durch Netzwerkdienste sein. |
| Pakete mit manueller Rahmenerkennung | Die Gesamtanzahl der Pakete, die eine ungültige Sequenznummer enthielten, seit der Computer das letzte Mal gestartet wurde. Wenn diese Anzahl ansteigt, kann dies durch ein Netzwerkproblem oder einen Replay-Angriff verursacht werden. |
| Gesendete vertrauliche Bytes und Empfangene vertrauliche Bytes | Die Gesamtanzahl der verschlüsselten Bytes, die mit dem Encapsulating Security Payload (ESP)-Protokoll gesendet oder empfangen wurde, seit der Computer das letzte Mal gestartet wurde. |
| Gesendete authentifizierte Bytes und Empfangene authentifizierte Bytes | Die Gesamtanzahl der verschlüsselten Bytes, die mit dem Authentification Header (AH)-Protokoll gesendet oder empfangen wurde, seit der Computer das letzte Mal gestartet wurde. |
| Gesendete Transportbytes und Gesendete Übertragung- bytes |
Die Gesamtanzahl der Bytes, die mit dem IPSec-Transportmodus gesendet oder empfangen wurden, seit der Computer das letzte Mal gestartet wurde. |
| Bytes gesendet in Tunneln und Bytes empfangen in Tunneln | Die Gesamtanzahl der Bytes, die mit dem IPSec-Tunnelmodus gesendet oder empfangen wurden, seit der Computer das letzte Mal gestartet wurde. |
| Gesendete abgeladene Bytes und Empfangene abgeladene Bytes | Die Gesamtanzahl der Bytes, die durch IPSec-Hardware-Abladen gesendet oder empfangen wurden, seit der Computer das letzte Mal gestartet wurde. |
Ereignisanzeige
Wie bei vielen Funktionen von Windows Server 2003 können Sie auch IPSec
so konfigurieren, dass Ereignisse in
einem Ereignisprotokoll aufgezeichnet werden. Dies ist nützlich für
die Bestätigung, das IPSec richtig funktioniert,
für die Problembehandlung bei IPSec und zum Aufspüren von erfolgreichen
und nicht erfolgreichen Eindringen. IPSec
kann zwei Ereignisse für zwei Arten von Aktionen erstellen: Erfolgreiche
und nicht erfolgreiche Aushandlungen und
verworfene Pakete.
Insidertipp:
Ich verwende die Ereignisanzeige nicht gern für die Problembehandlung bei
IPSec. Die Ereignisse bieten einfach
nicht genug Informationen und man muss zu viele Ereignisse durchgehen, die keine
problematischen Zustände
anzeigen. Ich verwende lieber das IP-Sicherheitsmonitor-Snap-In, IKE-Ablaufverfolgung
und Netzwerkmonitor, da
diese detailiertere und nützlichere Informationen für die Problembehandlung
bieten.
Überwachung von IPSec-Aushandlungen
Das Erstellen und das Löschen von IPSec-Sicherheitszuorndungen wird als
Netzwerkanmeldungsereignis verfolgt.
Um diese Ereignisse zu verfolgen, müssen Sie Erfolgsüberwachung oder
Fehlerüberwachung für die Anmledeer-
eignisse-Überwachungsrichtlinie für Ihre Domäne oder den lokalen
Computer aktivieren. IPSec zeichnet den Erfolg
oder das Fehlschlagen jeder Hauptmodus- oder Schnellmodus-Aushandlung sowie
das Beginnen oder das Been-
den jeder Aushanldung als separate Ereignisse auf. Die IKE-Ereigniskategorie
wird ebenfalls zum Verfolgen von Be-
nutzeranmeldungsereignissen in anderen Diensten als IPSec verwendet, also sehen
Sie nicht nur IPSec-Ereignisse.
Planung:
Auf einem ausgelasteten Server kann das Aktivieren der Verfolgung von Anmeldeereignissen
bewirken, dass das
Sicherheitsereignisprotokoll mit IKE-Ereignissen gefüllt wird. Erhöhen
Sie die Größe Ihres Sicherheitsereignis-
Protokolls, um den Verlust wichtiger Informationen zu verhindern. Wenn Sie die
Anmeldeereignisse überwachen-
Richtlinie aktivieren wollen, aber keine IKE-Ereignisse sehen möchten,
erstellen Sie in der Registrierung den Wert
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Audit\DisableIKEAudits
und setzen Sie diesen
auf 1. Auf Windows 2000 können Sie das Verfolgen von IKE-Ereignissen nicht
deaktivieren.
Um jedes Mal ein Ereignis hinzuzufügen, wenn ein Benutzer IPSec-Richtlinien
ändert, aktivieren Sie Richtlinien-
ändeurngen überwachen-Richtlnie. In Windows 2000 müssen
Sie sowohl die Einstellung Richtlinienänderung
überwachen als auch Prozessverfolgung
überwachen aktivieren, um den Erfolg oder das Fehlschlagen von
IPS-Richtlinienänderungsereignissen zu sehen. Nachdem diese Richtlnien
aktiviert wurden, werden folgende Erei-
gnisse Ihrem Sicherheitsereignisprotokoll hinzugefügt:
Ereignis-ID
541, Erfolgsüberwachung: Aufgezeichnet, wenn IKE erfolgreich eine
Hauptmodus-Sicherheitszu-
ordnungsparameter
oder eine IPSec-Sicherheitszuorndung aushandelt. Die Sicherheitszuordnungsparameter
werden in der
Beschreibung des Ereignisses notiert (siehe untere Abbildung). Die aufgezeichneten
Informationen
beinhalten Informationen
zum IP-Filter, zu Sicherheitsalgorithmen und zu Schlüsselaustauscheinstellungen.
Bild von Seite 550
Ereignis-ID
542, Erfolgsüberwachung: Aufgezeichnet bei der erfolgreichen Löschung
einer IPSec-Sicherheits-
zuordnung durch
IKE. Eine IPSec-Sicherheitszuordnung kann eventuell gelöscht werden, wenn
die Sicherheit-
szuordnungs-Gültigkeitsdauer
abgelaufenist, weil eine neue Sicherheitszuordnung während einer Schnellmodus-
Erneuter-Schlüssel-Phase
erstellt wurde, weil der IPSec-Peer eine Löschmeldung gesendet hat, weil
die IPSec-
Richtlinie geändert
wurde oder weil der IPSec-Dienst angehalten wurde.
Ereignis-ID
543, Erfolgsüberwachung: Aufgezeichnet bei der erfolgreichen Löschung
einer Hauptmodus-Sicher-
heitszuordnung.
Eine IKE-Hauptmodus-Sicherheitszuordnung kann eventuelle gelöscht werden,
wenn die Sicher-
heitszordnungs-Gültigkeitsdauer
abgelaufen ist, weil der IPSec-Peer eine Löschmeldung gesendet hat, weil
die
IPSec-Richtlinie
geändert wurde oder weil der IPSec-Dienst angehalten wurde.
Ereignis-ID 544, Erfolgsüberwachung: Aufgezeichnet, wenn eine IKE-Aushandlung
wegen eines Zertifikats-
vertrauensfehlers
und des darauf folgenden Authentifizierungsfehlers beendet wurde. Dieser Fehler
kann auf-
treten, weil
keine gültige Zertifikatskette auf dem IPSec-Peer gefunden werden konnte
oder weil die gefundene
Zertifikatskette
nicht an eine vertrauenswürdige Stammzertifizierungsstelle gesendet werden
konnte.
Ereignis-ID
545, Fehlerüberwachung: Aufgezeichnet, wenn eine IKE-Aushandlung
wegen eines Validierungs-
fehlers einer
Computer-Zertifikatsignatur beendet wurde. Dies tritt selten auf, weil es anzeigt,
dass das Computer-
zertifikat auf
dem IPSec-Peer ein unpassendes RSA-Typ- öffentliches/privates Schlüsselpaar
hat.
Ereignis-ID
546, Fehlerüberwachung: Aufgezeichnet, wenn eine Sicherheitszuordnung
wegen eines ungültigen
IKE-Vorschlags
eines IPSec-Peers nicht erstellt werden kann. Dieser Fehler tritt normalerweise
auf, wenn eine
IPSec-Richtlinie
falsch konfiguriert wurde.
Ereignis-ID
547, Fehlerüberwachung: Aufgezeichnet, wenn die IKE-Aushandlung
fehlschlägt. Die Gründe für
diesen Fehler
werden im Text über das Ereignis aufgeführt.
Protokollieren verworfener Pakete
Mit IPSec können Sie dem Systemereignisprotokoll Ereignisse hinzufügen,
wenn Pakete gefiltert werden (siehe untere
Abbildung). Die Arten von Fehlern in der Paketbearbeitung, die IPSec im Systemereignisprotokoll
aufzeichnet, hängen
von der verfügbaren Protokollierungsstufe ab. Die IPSec-Treiberprotokolle
können Ereignisse beim Verwerfen von ein-
gehenden und ausgehenden Paketen während des Startens des Computers und
der Arbeitsvorgänge aufzeichnen.
Das IPSec-Treiberereignisprotokoll ist standardmäßig deaktiviert
und sollte nich über einen längeren Zeitraum verwen-
det werden. Abhängig von der festgelegten Protokollierungsstufe können
viele Ereignisse entstehen, die das System-
ereignisprotokoll sehr schnell füllen.
Bild von Seite 552
Um alle eingehenden und ausgehenden verworfenen Pakete und alle Paketverarbeitungsfehler
im Systemereignisproto-
koll auf einem Computer unter Windows Server 2003 aufzuzeichnen, setzen Sie
die IPSec-Treiberprotokollierungsstufe
auf 7. Standardmäßig schreibt. der IPSec-Treiber die Ereignisse einmal
in der Stunde in das Systemereignisprotokoll,
wenn ein Schwellenwert bei der Anzahl der Ereignisse erreicht wurde. Für
eine Problembehandlung sollten Sie diesen
Intervall auf den minimalen Wert, 60 Sekunden setzen. Um die IPSec-Diagnose
zu aktivieren und den Protokollierungs-
intervall auf 60 Sekunden zu setzen, führen Sie nach einer Eingabeaufforderung
den folgenden Befehl durch und starten
Sie den Computer neu:
netsh ipsec dynamic set config ipsecdiagnostics 7
netsh ipsec dynamic set config ipsecloginterval 60
Insidertipp:
Der minimale Wert für das IPSec-Protokollierungsintervall ist 60 Sekunden,
dann fügt IPSec jede Minute eine Gruppe
von Ereignissen bezüglich verworfener Pakete hinzu. Die nächste Übung
zeigt, dass dies jedoch nicht so funktioniert.
Stattdessen fügt IPSec einmal in zwei Minuten Ereignisse hinzu. Wenn Sie
das IPSec-Protokollierungsintervall auf
einen Wert über zwei Minuten setzen, scheint dies korrekt zu funktionieren.
Das tatsächliche Minimum scheint also
120 Sekunden zu sein. Da die Netsh-Entwickler zu denken scheinen, es sind 60
Sekunden, sollten Sie sich diesen
Wert merken, für die Praxis können Sie sich den Minimalwert von 2
Minuten merken.
Die gerade beschriebenen Befehle können jedoch nicht auf einem Computer
unter Windows XP verwendet werden.
Um IPSec-Treiberereignisse einem Systemereignisprotokoll auf einem Computer
unter Windows XP hinzuzufügen,
setzen Sie den Wert HKEY_LOCAL_MACHINE\System\CurrentControlSet\IPSec\EnableDiagnostic
in der Re-
gistrierung auf den Wert 7. Um den Diagnose-Intervall auf ein Minimum von einmal
pro Minute zu ändern, setzen Sie
den Registrierungswert HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPSec\LogInterval
DWORD
auf dem Computer mit Windows XP auf 60 in Dezimaleinheiten.
Hinweis:
Sie müssen den Computer nach diesen Änderungen neu starten, da der
IPSec-Treiber die Diagnosestufe nur während
des Startens liest.
Standardmäßig ist das Ereignisprotokoll für den IPSec-Treiber
deaktiviert, dies ist gleichwertig damit, die Diagnose-
stufe auf 0 zu stellen. Wenn Sie die Paketereignisprotokollierung für den
IPSec-Treiber aktivieren, können Sie einen
der folgenden Werte für verschiedene Protokollierungsstufen festlegen:
Der IPSec-Treiber zeichnet Ungültige-Sicherheitsparameterindex-Ereignisse
(mit Ereignis-ID4283) auf, wenn er ein
IPSec-fomatiertes Paket erhält, das er nicht interpretieren kann. Diese
Ereignisse treten auf wegen der Art und Weise,
in der IKE die Übermittlung der IPSec-Sicherheitszuordnungen während
Erneuter Schlüssel verarbeitet. Sie können
normalerweise ignoriert werden.
Hinweis:
Sie können die Protokollierung von Ungültige-Sicherheitsparameterindex-Ereignissen
in Windows 2000 nicht deakti-
vieren. Standardmäßig werden diese Ereignisse unter Windows XP und
Windows Server 2003 nicht protokolliert.
IKE-Ablaufverfolgung
Für manche Problembehandlungs-Situationen wird eine detailliertere Analyse
benötigt, als sie mit der Ereignisanzeige
erzielt werden kann. Die IKE-Ablaufverfolgungsprotokollierung ist eine detaillierte
Protokollierung zur Problembehand-
lung der IKE-Funktionalität unter kontrollierten Umständen. Beachten
Sie, dass die Information in diesem Ablaufverfol-
gungsprotokoll nicht gut dokumentiert sind und das Vorwissen von ISAKMP RFC
2408 und IKE RFC 2409 benätigt
wird, um dieses Protokoll zu interpretieren. Erfahrende IPSec-Administratoren
finden es jedoch evtl. nützlich. Sie kö-
nnen die Ablaufverfolgung von IKE-Aushandlungen aktivieren, wenn die Überwachungsfehlerereignisse
keine genü-
genden Informationen liefern.
Um die Ablaufverfolgung auf einem Computer unter Windows 2000 oder Windows XP
zu ermöglichen, erstellen Sie den
Registrierungswert HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\PoliceAgent\Oakley\Enable
Logging und setzen ihn auf 1. Starten Sie dann entweder den Computer
neu oder führen Sie die Befehle net stop
policyagent und net start policyagent
nach der Eingabeaufforderung aus.
In Windows Server 2003 können Sie das IKE-Ablaufverfolgungsprotokoll aktivieren
oder deaktivieren, während der
IPSec-Dienst läuft, indem Sie die Netsh-Befehle für IPSec verwenden.
Um dies zu tun, öffnen Sie eine Eingabeauf-
forderung und führen Sie folgenden Befehl durch: netsh
ipsec dynamic set config ikelogging 1. Alternativ dazu
können Sie IKE-Ablaufverfolgung mit dem Ausführen des folgenden Befehls
deaktivieren: netsh ipsec dynamic set
config ikelogging 0.
Das IKE-Ablaufverfolgungsprotokoll wird als Datei
%SystemRoot%\Debug\Oakly.log angezeigt. Eine neue Oakley.log
-Datei wird jedesmal erstellt, wenn der IPSec-Dienst gestartet wird.
Die vorige Version der Oakly.log-Datei wird
unter
dem Dateinamen Oakly.log.sav gespeichert.
Das Protokoll ist auf 50.000 Zeilen beschränkt. Wenn die
Oakly.log-
Datei voll ist, wird die aktuelle Datei als Oakly.log.bak
gespeichert und eine neue Oakly.log-Datei
wird erstellt.
Da viele IKE-Aushandlungen gleichzeitig auftreten können, sollten Sie die
Anzahl der Aushandlungen minimieren und
das IKE-Ablaufverfolgungsprotokoll so kurz wie möglich aktivieren, damit
das Protokoll leichter interpretierbar ist. Ver-
wenden Sie IP-Adressen, SPI, Zeitstempel und Sicherheitszuordnungs-Identifizierer,
um Meldungen zu identifizieren,
die mit einer Sicherheitsaushandlung oder IPSec-Sicherheitszuordnungs-Verarbeitungssitzung
verbunden sind.
Nachfolgenden finden Sie ein Beispiel für eine Oakly.log-Datei.
Auf den ersten Blick sieht sie verwirrend aus. Die
meisten Zeilen sind nach sorgfältiger Prüfung jedoch selbsterklärend.
Die ersten zwei Zeilen zeigen Datum und Zeit,
der Rest jeder Zeile ist eine Beschreibung dessen, was IPSec zu diesem bestimmten
Zeitpunkt tut.
12-22: 16:57:29:383:73c Sending: SA = 0x02B08C60 to 192.168.1.211:Type 2.500
12-22: 16:57:29:383:73c ISAKMP Header: (V1.0), Ien = 500
12-22: 16:57:29:383:73c I-COOKIE da86678465cfcfb
12-22: 16:57:29:383:73c R-COOKIE 0000000000000000
12-22: 16:57:29:383:73c exchange: Oakly Main Mode
12-22: 16:57:29:383:73c flags: 0
12-22: 16:57:29:383:73c next payload: SA
12-22: 16:57:29:383:73c message ID: 00000000
12-22: 16:57:29:383:73c Ports S: f401 D:401
12-22: 16:57:45:406:73c retransmit: sa = 02B08C60 centry 00000000 , count =
5
Netsh
Netsh als Programm zum Konfigurieren von IPSec-Richtlinien im Befehlszeilenmodus
verwendet werden. Es kann je-
doch ebenfalls zum Überwachen und zur Problembehandlung bei IPSec auf Computern
unter Windows Server 2003
verwendet werden. Es bietet Zugriff auf mehrere wichtige Informationen, auf
die sonst nicht mit grafischen Programmen
zugegriffen werden kann. Die Überwachung besteht aus dem Anzeigen der Richtlinieninformation,
Erhalten von Diagno-
seinformationen und dem Protokollieren von IPSec-Informationen, oder beidem.
Wenn Sie Netsh ausführen, können
Sie alle möglichen Informationen finden, indem Sie das IP-Sicherheitsmonitor-Snap-In
ausführen.
Um schnell einen detaillierten Schnappschuss der IPSec-Informationen auf einem
Computer zu erhalten, führen Sie
die folgenden Befehle nach einer Eingabeaufforderung aus:
Netsh ipsec dynamic show all > ipsec.txt
Notepad ipsex.txt
Diese beiden Befehle geben alle dynamischen IPSec-Informationen in eine Teytdatei
aus. Diese wird mit Notepad geöff-
net. Sie können die Informationen auch nach einer Eingabeaufforderung ansehen.
Die Ausgabe des Befehls ist jedoch
so lang, dass das Bild sehr schnell von der Eingabeaufforderung weg nach unten
läuft.
Tipp:
Ich bevorzuge den Befehl Netsh ipsec dynamic show
all, damit ich mir nicht alle der verschiedenen Netsh
ipsec
dynamic show-Befehle merken muss. Wenn Sie jedoch eine genauere Kontrolle
über die Informationen möchten, die
Sie erhalten, verwenden Sie die spezifischeren Netsh-Parameter. Um diese aufzulisten,
führen Sie folgenden Befehl
nach der Eingabeaufforderung aus: Netsh ipsec dynamic
show ?.
Konsole Leistung
Der flexibelste Weg, um IPSec zu überwachen, ist die Verwendung der Konsole
Leistung. Diese
Konsole hat zwei
Snap-Ins: Systemmonitor
sowie Leistungsprotokolle und Warnungen.
Systemmonitor
ermöglicht, die Echt-
zeitstatistiken vieler Systemleistungsindikatoren zu überwachen. Sie können
eine Balkengrafik, einen Testbereich
oder eine Liniengrafik verwenen (siehe unter Abbildung). In Leistungsprotokolle
und Warnungen werden bestimmte
Leistungsindikatoren in einer Protokolldatei gespeichert. Dies ermöglicht
Ihnen, später eine Analyse des Verlaufs
dieser Indikatoren mit dem Systemmonitor-Snap-In durchzuführen. Leistungsprotokolle
und Warnungen kann eben-
falls eine E-Mail-Nachricht oder einen anderen Alarm senden, wenn der Indikator
einen bestimmten Schwellenwert
erreicht.
Bild von Seite 556
Beide Snap-Ins der Konsole Leistung
bieten die gleichen Indikatoren. IPSec-Indikatoren befinden sich im IPSec v4-
IKE-Leistungsobjekt, das Hauptmodus-Statistiken enthält, und im IPSec v4-Treiberleistungsobjekt,
das Schnellmodus-
Statistiken enthält. Die Indikatoren in den Leistungsobjekten entsprechen
stark den Statisikparametern aus dem IP-
Sicherheitsmonitor-Snap-In, aber die Indikatoren sind etwas anders benannt.
Der Parameter Gesendete Transport-
bytes im IP-Sicherheitsmonitor im Schnellmodus-Statistikknoten
sollte denselben Wert haben wie der Indikator Ge-
sendete Transportbytes insgesamt im IPSec v4-Treiberleistungsobjekt.
Sie können sich jedoch auch leicht unter-
scheiden, da das IP-Sicherheitsmonitor-Snap-In weniger oft aktualisiert wird.
Netzwerkmonitor
Netzwerkmonitor ist ein Programm zur Protokollanalyse - auch als Sniffer
bezeichnet. Netzwerkmonitor ist eine optio-
nale Komponente in Windows 2000 Server und Windows Server 2003, mit der Netzwerkverkehr
aufgezeichnet und ana-
lysiert werden kann, während dieser an und vom Computer gesendet wird.
Die Version von Netzwerkmonitor, die kost-
enlos im Windows-Betriebssystem verfügbar gemacht wird, ist eine eingeschränkte
Version des Netzwerkmonitor-Pro-
gramms im Microsoft System Management Server (SMS). Die wichtigste Einschränkung
dabei ist, dass die Version
in Windows nur Netzwerkverkehr aufzeichnet, der direkt an und direkt vom Computer
gesendet wird, auf dem das Pro-
gramm läuft. Um Netzwerkverkehr aufzuzeichnen, der von anderen Computern
oder an andere Computer gesendet wird,
müssen Sie SMS verwenden.
Der Netzwerkmonitor-Parser in Windows 2000 kann keinen ESP-Verkehr interpretieren.
In Windows Server 2003 kann
der Parser ESP-Verkehr interpretieren, wenn ein IPSec-Hardwarebeschleunigungsadapter
die Verschlüsselung oder
Entschlüsselung dieses Datenverkehrs übernimmt oder wenn Sie ESP ohne
Verschlüsselung verwenden. Ansonsten
sehen Sie nur den ESP-Verkehr, der mit einem Remotecomputer ausgetauscht wird
(siehe unter Abbildung). Sie kön-
nen die Andwendungsschichtdaten im ESP-Header nicht interpretieren, da sie verschlüsselt
sind.
Bild von Seite 557
Um Netzwerkmonitor zu installieren, öffnen Sie die Systemsteuerung
und dann Software.
Klicken Sie auf Windows-
Komponenten hinzufügen/entfernen. Klicken
Sie auf Verwaltungs- und Überwachungsprogramme
und dann
auf Details.
Markieren Sie das Kontrollkästchen Netzwerkmonitorprogramme
und klicken Sie dann auf OK.
Klicken
Sie auf Weiter
und dann folgen Sie den Anweisungen des Installationsassistenten. Wenn die Installation
abgeschlo-
ssen ist, klicken Sie auf Fertig stellen.
Weiter Informationen:
Weiter Informationen über SMS finden Sie auf der System Management Server
Website unter http://www.microsoft.
com/sms/.
Netcap
Netcap.exe ist ein Befehlszeilenpogramm, mit dem Sie Netzwerkverkehr in einer
Aufnahmedatei aufzeichnen können.
Sie können diese Datei dann in Netzwerkmonitor laden, um den aufgezeichneten
Datenverkehr anzusehen. Sie müssen
das Netzwerkmonitor-Programm nicht auch einem Computer unter Windows Server
2003 installieren, um Netcap zu
verwenden. Sie können Netcap auch auf Computern unter Windows XP verwenden.
Das Programm ist verfügbar, nach-
dem die Windows Server 2003 Supporttools installiert wurden. Wenn Sie den Befehl
das erste Mal ausführen, wird
der Netzwerkmonitortreiber automatisch installiert.
Ping
Das beliebteste Programm für die Problembehandlung von Netzwerkverbindungen,
Ping, kann mehr oder weniger nütz-
lich sein für die Problembehandlung von IPSec. Wenn Sie IPSec-Filter verwenden,
um ICMP (Internet Control Message
Protocol)-Verkehr zu blockieren, funktionieren weder Ping noch Tracert, da IPSec
eingehende Anforderungen heraus-
filtert. Außerdem starten Ping-Anforderungen keine Sicherheitsaushandlung,
wenn SIe die Standard-Sicherheitsricht-
linien verwenden. Sowohl Server (Sicherheit anfordern) als auch Server (Sicherheit
erforderlich) verbieten ICMP-Verkehr
ausdrücklich, und benötigen ICMP auch nicht, um die Sicherheit auszuhandeln
(siehe unter Abbildung).
Bild von Seite 558
Wenn Sie eine IP-Sicherheitsregel mit der Filterliste "ICMP-Datenverkehr
insgesamt" erstellen, die eine Filteraktion
zum Aushandeln der Sicherheit verwendet und ICMP nicht von einer Internetverbindungsfirewall
(Internet Connection
Firewall, ICF) blockiert wird, kann Ping ein nützliches Programm sein.
In diesen Fällen zeigt der Ping-Client die Mel-
dung "IP-Sicherheit wird ausgehandelt" während des IKE-Aushandlungsprozesses.
Nach erfolgreicher Aushandlung
sehen Sie die Standard-Ping-Antwortnachricht und die erfolgreiche Aushandlung
wird von den IPSec-Überwachungs-
programmen wiedergegeben.
IPSecMon
Auf Computern unter Windows 2000 gibt es das IP-Sicherheitsmonitor-Snap-In nicht.
Stattdessen gibt es ein grafisch-
es Programm namens IP-Sicherheitsmonitor. Um diese Programm unter Windows 2000
zu starten, klicken Sie auf
Start, dann
auf Ausführen,
dann geben Sie ipsecmon ein und klicken auf OK.
Das Windows 2000-IP-Sicherheits-
monitor-Programm zeigt etwa die gleich Information wie das IP-Sicherheitsmonitor-Snap-In,
einschließlich einer Liste
der aktiven Sicherheitszuordnungen und Statistiken wie gesendete vertrauliche
und authentifizierte Bytes und Gesamt-
anzahl der ungültigen Sicherheitsparameterindex-Pakete.
IPSecCmd
Wie schon erwähnt, kann IPSecCmd verwendet werden, um IPSec-Informationen
auf Computern unter Windows XP im
Befehlszeilenmodus anzeigen zu lassen. Die Syntax, die zur Anzeige aller verfügbaren
IPSec-Informationen verwendet
wird, ist einfach Ipseccmd show all.
In IPSecPol fehlt der Fragemodus von IPSecCmd und daher kann man IPSec-
Informationen nicht aus der Windows 2000-Befehlszeile abfragen.
Netdiag
Netdiag.exe ist ein Befehlszeilenprogramm, das verwendet werden kann, um IPSec-Informationen
auf Computern unter
Windows 2000 anzeigen zu lassen. Es gibt Netdiag ebenfalls für Windows
Server 2003, aber die IPSec-Funktionen von
Netdiag wurden deaktiviert. In Windows 2000 findet man Netdiag in den Windows
2000 Supporttools, die man ebenfalls
aus dem Internet herunterladen kann. Es befindet sich auf der Windows XP-Installations-CD.
Sie können es installieren,
indem Sie Setup.exe
aus dem Ordner Supporttools
ausführen und die Option Vollständige
Installation wählen.
Um Informationen über die aktuelle IPSec-Richtlinie im Befehlszeilenmodus
anzeigen zu lassen (auf einem Computer
unter Windows 2000 oder Windows XP), führen Sie folgende Befehle aus:
Netdiag/test:ipsec. Die Ausgabe sieht etwa so aus:
IP Security test . . . . . . . . . : Passed
Service status is: Started
Service startup is: Automatic
Local IPSec Policy Active: "Client (Respond Only)"
Description: "Communicate normally (unsecured). Use the default response
rule to
negotiate with servers that request security. Only the requested protocol and
port
traffic with that server is secured".
Last Change (Timestamp): Thu Dec 25 21:45:33 2003
Police Path:
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy
(72385236-70fa-11d1-864c-14a300000000)
Note: run "ipseccmd /?" for more detailed information
Praktische Übung: Überwachen von IPSec
In dieser Übung werden Sie verschieden Techniken anwenden, um IPSec-Verkehr
auf Computer1
und Computer2
zu
überwachen.
Übung 1: Überwachen von IPSec-Richtlinien
mit IP-Sicherheitsmonitor.
In dieser Übung überwachen Sie IPSec unter Verwendung des IP-Sicherheitsmonitor-Snap-Ins.
Übung 2: Überwachen von IPSec mit dem Netzwerkmonitor.
In dieser Übung werden Sie den Netzwerkmonitor verwenden, um zu bestätigen,
dass der Datenverkehr zwischen
Computer1 und Computer2
verschlüsselt ist.
Übung 3: Protokollieren verworfener Pakete
In dieser Übung werden Sie Computer1 so konfigurieren, das verworfene Pakete
protokolliert und ICMP-Pakete mit
ICPSec gefiltert werden. Dann senden Sie ein Ping an Computer1
von Computer2 und analysieren die Ereignisse,
die dem Systemereignisprotokoll hinzugefügt wurden.
Erstellt von: Haßlinger Stefan
Im: Jahr 2006