Archivieren und Wiederherstellen von Zertifikaten
Vorwort
TCP/IP (Transmission Control Protocol/Internet Protocol), die von den meisten
privaten Netzwerken und dem Internet
meist verwendeten Protokollsuite, wurde nicht im Hinblick auf hohe Sicherheit
entwickelt. Diese Protokoll ist sogar
außerordentlich angreifbar. Kommunikation wird zwischen mehreren Dutzend
Netzwerkgeräten hin- und her gesendet
und im Falle des Internets hat der Sender der Nachricht keine Kontrolle darüber,
wer die Netzwerkausrüstung besitzt,
welche die Nachrichten übermittelt. Diese ist eine gute Gelegenheit für
Angreifer, private Kommunikation abzuhören.
Bei TCP/IP-Kommunikation ist es leicht, eine andere Identität anzunehmen
und zu manipulieren. Wenn ein Computer
eine TCP/IP-Nachricht erhält, kann er nicht bestimmen, ob die IP-Adresse
in der Nachricht ech ist oder ob die Nach-
richt währen der Übermittlung manipuliert wurde. Dies mach TCP/IP
angreifbar für Man-in-the-Middle-Angriffe, die ein
Hacker benutzen kann, um private Daten und Benutzeranmeldeinformationen zu knacken.
IPSec (Internet Protocol Security) ist eine neuere Protokollsuite, die mit TCP/IP
zusammenarbeitet, um die Kommuni-
kationsintegrität zu bestätigen, Computer zu authentifizieren und
Datenverkehr zu verschlüsseln. Wenn eingesetzt, re-
duziert IPSex das Risiko von verschiedenen Angriffen erheblich. In Microsoft
Windows Server 2003 sind, wie auch in an-
deren aktuellen Microsoft Windows-Versionen, IPSec-Funktionen enthalten. Das
Verstehen, Planen und Konfigurieren
einer IPSec-Infrastruktur ist jedoch eine komplexe Aufgabe. Hier lerne wir die
Grundlagen von IPSec, bekommen Infor-
mationen für die Planung des IPSec-Einsatzes und machen sich mit den Programmen
für die Konfiguration von IPSec
vertraut.
IPSec im Windows Server 2003-Betriebssystem schützt Netzwerke vor aktiven
und passiven Angriffen durch die Sich-
erung von IP-Paketen unter Verwendung von Paketfilterung, Verschlüsselung
und Erzwingung von vertrauenswürdiger
Kommunikation. IPSec ist nützlich für die Verbesserung der Sicherheit
und Integrität von Host-zu-Host-, Host-zu-Netz-
werk- und Netzwerk-zu-Netzwerk-Kommunikation. IPSec kann ebenfalls asl hostbasierte
Firewall zur Absicherung von
Clients und Servern durch Paketfilterung verwendet werden.
Hier werden universelle und grundlegende Aspekt von IPSec behandelt. Die Informationen
beziehen sich ausdrücklich
auf Computer unter Windows Server 2003 und andere Windows-basierte Computer.
Die Informationen geben jedoch
auch wieder, wie IPSec auf UNIX, Linus und anderen Computer eingesetzt würde.
IPSec-Überblick
IPSec ist ein Gerüst von offenen Standards, die helfen, private
und sichere Kommunikation über IP-Netzwerke (Internet
Protocol) durch die Verwendung krypotografischer Sicherheitsdienste sicherzustellen.
IPSec unterstützt Datenintegrität,
Datenvertraulichkeit, Datenurstrungsauthentifizierung und Replay-Schutz auf
Netzwerkebene. Da IPSec in der Internet-
schicht (Schicht 3) integriert wird, bietet es Sicherheit für fast alle
Protokolle in der TCP/IP-Suite. Da IPSec für Anwen-
dungen transparent ist, muss man keine separate Sicherheit für jede Anwendung
konfigurieren, die TCP/IP verwendet.
IPSec kann verwendet werden, um Paketfilerung zu ermöglichen, um Datenverkehr
zwischen zwei Hosts zu verschlüss-
eln und zu authentifizieren und um ein Virtuelles Privates Netzwerk (VPN) zu
erstellen. Die Nutzung dieser Funktion von
IPSec hilft gegen:
Netzwerkbasierte
Denial-of-Service-Angrifft von nicht vertrauenswürdigen Computer
Datenbeschädigung
Datendiebstahl
Diebstahl
von Benutzeranmeldeinformationen
Administrative
Kontrolle von Servern, anderen Computern und dem Netzwerk
Neben der Verbesserung der Sicherheit kann IPSec ebenfalls dazu verwendet werden,
Geld zu sparen, indem Komm-
unikation zwischen externen Büros und RAS-Client (Remote Access, Remotezugriff)
über das Internet ermöglicht wird,
anstatt eher teure dedizierte Verbindungen zu verwenden, die Sicherheit auf
einer physischen Ebene bieten.
Sichern von Host-zu-Host-Kommunikation
Sie können IPSec verwenden, um die Kommunikation zwischen zwei Computern
zu verschlüsseln und die Integrität
dieser Kommunikation zu bestätigen. IPSec kann beispielsweise Datenverkehr
zwischen Domänencontrollern auf ver-
schiedenen Sites schützen, zwischen Webservern und Datenbankservern oder
zwischen Webclients und Webservern.
Wenn ein IPSec-Client versucht, eine Verbindung zu einem IPSec-Server zu erstellen,
handeln Client und Server IP
Sec-Integrität und Verschlüsselungsprotokolle aus. Nachdem die IPSec-Verbindung
erstellt wurde, werden die Daten
der Anwendung innerhalb der IPSec-Verbindung ermittelt.
Stellen Sie sich beispielsweise das normale Szenario vor, wenn ein Benutzer
E-Mails von einem Server unter Verwen-
dung von POP3 (Post Office Protocol Version 3) herunterlädt. Wenn IPSec
nicht aktiviert ist, startet die E-Mail-Client-
software die Verbindung direkt zur E-Mail-Serversoftware. Der Benutzername und
das Kennwort werden sofort Klar-
text übermittelt, so dass jeder mit einem Programm zu Protokollanalyse
wie Netzwerkmonitor die Anmeldeinforma-
tionen des Benutzers abfangen kann. Ein Angreifer, der einen Router kontrolliert,
kann die Inhalte der E-Mail-Nach-
richt des Benutzers verändern, wenn sie heruntergeladen werden, ohne dabei
entdeckt zu werden.
Stellen Sie sich das gleich Szenario mit aktiviertem IPSec vor. In diesem Fall
sende IPSec eine Nachricht zurück an
den Client, der eine IPSec-Verbindung anfordert, wenn der Server die POP3-Anforderung
vom E-Mail-Client erhält. Der
Client stimmt zu und IPSec handelt die Verschlüsselung und die Integritätsprotokoll
aus. IPSec fängt auf dem Client-
computer den Netzwerkverkehr des E-Mail-Clients ab und speichert diesen in verschlüsselten
IPSec-Paketen. Diese
Pakete werden dann über TCP/IP an den Server gesendet. IPSec auf dem Server
erhält die Pakete, entschlüsselt die
Inhalte und gibt die ursprüngliche Kommunikation des E-Mail-Clients an
die E-Mail-Serversoftware weiter.
In diesem Szenario mit aktiviertem IPSec wird weder vom E-Mail-Client noch von
der E-Mail-Serversoftware bemerkt,
dass die Kommunikation von IPSec geschützt wurde. Ähnlich können
Router und Firewalls zwischen Client und Se-
rver die Kommunikation nicht ändern oder die Benutzeranmeldeinformationen
herausfiltern. Tatsächlich können Router
und Firewalls noch nicht mal feststellen, dass der Benutzer E-Mails herunterlädt,
da das POP3-Protikoll innerhalb
der IPSec-Pakete vollständig verboren ist.
IPSec kann in zwei verschiedenen Modi arbeiten: Transpordmodus
und Tunnelmodus. Normalerweise sollten Sie
den
Transportmodus verwenden, um Host-zu-Host-Kommunikation zu schützen. Im
Transportmodus tunnelt IPSec Daten-
verkehr beginnend in der Transportschicht, auch bekann als Schicht 4. Daher
kann IPSec im Transportmodus den UDP/
TCP-Protokoll-header (User Datagram Protocol/Transmission Control Protocol)
und die ursprünglichen Daten verschlü-
sseln, aber die IP-Header selbst kann nicht geschützt werden.
IPSec transportiert die Anwendungsdaten, indem es einen IPSec-Header und -Trailer
an ausgehende Pakete anhängt.
Abhängig vom verwendeten IPSec-Protokoll werden die ursprünglichen
Inhalte der ausgehenden Pakete verschlüsselt.
IPSec Position im Paket, wenn es im Transportmodus arbeitet, wird in der unteren
Abbildung gezeigt. Das Diagramm
zeigt IPSec mit dem ESP-Protokoll. ESP ist das gebräuchlichere der beiden
IPSec-Protokolle, da es Authentifizierung
und Verschlüsselung bietet.
Bild von Seite 480
Planung
Planen Sie, IPSec zur Authentifizierung oder Verschlüsselung von Kommunikation
zwischen einem privaten und einem
öffentlichen Netzwerk zu verwenden? Stellen Sie sicher, dass Ihr NAT-Server
NAT-T unterstützt. Ist die nicht der Fall,
rechnen Sie mit den Kosten einer Aktualisierung zusätzlich zu den Kosten
der Einführung von IPSec.
Sichern von Host-zu-Host-Kommunikation
IPSec wird oft für die Authentifizierung und Verschlüsselung von Datenverkehr
direkt zwischen zwei Hosts verwendet
werden. IPSec kann jedoch auch Datenverkehr schützen, der von einem einzigen
Host an ein ganzes Netzwerk ge-
schickt wird, wi in der unteren Abbildung gezeigt. Dies wird meist in Remotezugriff-Szenarien
verwendet. Früher mu-
ssten sich in vielen Unternehmen die Benutzer in RAS-Server einwählen,
die mit dem privaten Netzwerk des Unterneh-
mens verbunden waren. Heutzutage können Unternehmen die Kosten der Unterhaltung
von DFÜ-Servern vermeiden, in-
dem sie IPSec verwenden, um externen Benutzern zu ermöglichen, sich über
das Internet mit dem privaten Netzwerk
des Unternehmens zu verbinden. Die meisten Sicherheitsexperten stimmen darin
überein, dass IPSec eine ähnliche
Sicherheitsstufe wie ein DFÜ-RAS-Zugriff bietet.
Bild von Seite 481
Wie sie wissen, verwenden Sie fast immer IPSec-Transportmodus, wenn Sie geschützten
Verkehr direkt zwischen
zwei Hosts senden. Wenn Sie Datenverkehr zwischen einem Host und einem Netzwerk
schützen oder zwischen zwei
Netzwerken, müssen Sie IPSec-Tunnelmodus
verwenden. Im Transportmodus werden UDP/TCP-Header und die An-
wendungsdaten zwischen IPSec-Header und -Trailer gespeichert, im Tunnelmodus
wird das gesamte Paket gespei-
chert, wie Sie in der unteren Abbildung sehen. Der IP-Header, der die Quell-
und Zieladressen enthält, muss inner-
halb des IPSec-Paketes gespeichert werden, da der Datenverkehr für einen
anderen Computer als für den bestimmt
ist, mit dem die IPSec-Verbindung erstellt wurde.
Stellen Sie sich noch einmal das Szenario vor, in dem ein externer Benutzer
E-Mails von einem Mailserver auf einem
privaten Netzwerk abruft. Wenn der E-Mail-Client des Benutzers versucht, eine
Verbindung zur IP-Adresse des Mail-
servers zu erstellen, ermittelt IPSec auf dem Clientcomputer, dass Datenverkehr
an ein Netzwerk gesendet wird, auf
das durch Verwendung des Tunnelmodus zugegriffen werden kann. IPSec auf dem
Client erstellt dann eine IPSec-Ver-
bindung zum IPSec-Gateway, das Zugriff auf das interne Netzwerk ermöglicht.
IPSec kapselt dann das gesamte vom E-Mail-Client erstellte Paket, einschließlich
der Quell- u. Ziel-IP-Adressen, dem
TCP-Header und der Anwendungsdaten. IPSec fügt einen neuen IP-Header mit
der Zieladresse des IPSec-Gateways
entschlüsselt das Paket, stellt die ursprünglichen Bedingungen wieder
her, in denen es sich befand, als es vom E-Mail-
Client gesendet wurde. Der ursprüngliche IP-Header wird ebenfalls wiederhergestellt,
einschließlich der ursprünglichen
Quell- u. Ziel-IP-Adressen. Schließlich gibt das IPSec-Gateway das Pakte
an den Mailserver weiter.
Wie auch beim Transportmodus wird vom E-Mail-Client nicht bemerkt, dass die
Kommunikation mit IPSec geschützt
war. Anders als beim Transportmodus wird vom Betriebssystem des Mailservers
nicht bemerkt, dass IPSec verwendet
wurde, da das IPSec-Gateway den IPSec-Header und -Trailer entfernt hat, bevor
die Pakete an das private Netzwerk
weitergegeben wurden.
Praxistipp
Wenn Hosts in zwei Netzwerken über das Internet kommunizieren und auf allen
Clients IPSec aktiviert ist, kann der
Transportmodus verwendet werden, um den Datenverkehr zwischen einzelnen Hosts
zu verschlüsseln, oder der Tunnel-
modus kann verwendet werden, um den gesamten Verkehr zwischen den beiden Netzwerken
zu verschlüsseln. Natür-
lich ist der Tunnelmodus praktischer, weil dafür nicht auf jedem Host IPSec
aktiviert werden muss - aber welcher
Modus ist sicherer?
Der Tunnelmodus ist sicherer als der Transportmodus -theoretisch. Denken Sie
daran, dass VPNs ein Schutz dagegen
sind, dass Angreifer Ihren Datenverkehr abfangen, analysieren und die so erhaltenen
Informationen missbrauchen.
Stellen Sie sich vor, dass ein Angreifer IPSec-verschlüsselte Pakete abfängt,
die zwischen den privaten Netzwerken
zweier konkurierender Unternehmen versendet werden. Wenn der Tunnelmodus verwendet
wird, kann der Angreifer nur
bestimmen, wie viel Datenverkehr zwischen den beiden Netzwerken hin- und her
gesendet wird, und wann er gesendet
wird. Diese Informationen können nützlich sein, denn der Angreifer
könnten den plötzlich ansteigenden Datenverkehr
zwischen den beiden Unternehmen so interpretieren, dass eine Übernahme
bevorsteht. Diese Insiderinformation kann
er dann einsetzen, indem er Aktienpakete kauft und illegal Profit macht.
Wenn der Transportmodus verwendet wird, kann der Angreifer das versendete Datenvolumen
analysieren, wie beim Tu-
nnelmodus. Ein Angreifer kann auch die Form
des Datenverkehrs zwischen Hosts innerhalb des Netzwerks analysieren.
Durch Analyse der Form kann er eventuell die internen IP-Adressen von Web -und
E-Mail-Server bestimmen und eine
Teilkarte des privaten Netzwerks erstellen. Obwohl er die verschlüsselten
Inhalte der Pakete nicht sehen kann, so kann
er doch die Länge der Pakete und die Kommunikationsmuster untersuchen.
Webverkehr kann beispielsweise erkannt
werden, selbst wenn er verschlüsselt ist, da Webbrowser mehrere, kurze
Anfragen an einen Webserver senden, der
viele, viel längere Antworten zurücksendet mit den Dateien, die eine
Website ausmachen. E-Mail-Server, Sicherungs-
server und Active Directory-Dienst-Domänenconroller können von Angreifern
ebenfalls durch die Analyse der Form des
Datenverkehrs identifiziert werden.
Wären diese Informationen denn, wenn ein Angreifer Ihren Datenverkehr abfangen
und analysieren kann, auch wirklich
nützlich? Wahrscheinlich nicht, aber ich habe mit einigen Unternehmen gesprochen,
welche diese Möglichkeit als
Rechtfertigung benutzen, keine VPNs zu verwenden, also muss man dieses Risiko
zumindest kennen. Wo wir gerade
dabei sind: Ein Hut aus Alufolie vermindert das Risiko, dass Aliens meine Gedanken
lesen, aber ich setz mir trotzdem
keinen auf.
Sichern von Netzwerk-zu Netzwerk-Kommunikation
IPSec kann ebenfalls verwendet werden, um zwei Remotenetzwerke zu verbinden.
Bevor Internetkonnektivität verbreitet
war, wurden externe Büros mit privaten Verbindungen durch Kommunikationsunternehmen
versehen. Diese Verbin-
dungen bestanden gewöhnlich aus einer Leitung (etwa T1 in den USA oder
E1 in Europa) von jedem der externen Büros
zu einem über einen Switch verbundenen Frame Relay-Netzwerk, das Datenverkehr
über große Entfernungen ermög-
lichte.
Heutzutage verwenden viele Unternehmen immer noch private Verbindungen, um Büros
zu verbinden. Private Verbind-
ungen haben einige Vorteile, besonders Kontrollierbarkeit und Stabilität.
Obwohl das Internet immer verlässlicher wird,
fluktuieren einige Leistungsfaktoren wie verwendbare Bandbreite, Latenz und
Jitter immer noch unvorhersehbar. Private
Verbindungen geben die Bandbreite einer Kommunikationsverbindung vor und folgen
immer dem gleichen Pfad - garan-
tieren also, dass die Leistung immer die gleiche bleibt.
IPSec kann zwei externe Büros über das Internet verbinden und bietet
die gleiche Konnektivität wie eine private Ver-
bindung, die eine vorhandene Internetverbindung verwendet. IPSec verwendet Authentifizierung
und Verschlüsselung,
um das Risiko zu vermeiden, dass Datenverkehr abgefangen wird, eine private
Verbindung baut auf physische Sicher-
heit, um das Abhörrisiko zu verringern. Für Viele ist die durch IPSec
und die durch eine private Verbindung garantierte
Sicherheit ähnlich genug, so dass die zusätzlichen Kosten für
eine private Verbindung nicht gerechtfertig sind.
IPSec kann jedoch nicht die verwendbare Bandbreit des Internets oder die Latenz
stabilisieren oder dess Verlässlich-
keit erhöhen. Wenn IPSec verwendet wird, um zwei Büros über das
Internet zu verbinden, mieten beide Büris Verb-
indungen von einem lokalen Internetdienstanbieter. Dann erstellen Administratoren
in beiden Büros einen verschlüss-
elten IPSec-Tunnel zwischen einem IPSec-Gateway in jedem Büro (siehe unter
Abbildung). Für die Clients in beiden
Netzwerken agieren die Gateways wie Standortrouter. Die Clients müssen
IPSec nicht unterstützen, um den Tunnel
zu benutzen.
Bild von Seite 484
Praxistipp: Vergleichen
von Sicherheitsstufen
Während der später Neunziger, als das Internet boomte, arbeitete ich
bei einme Internetdienstanbieter, der als Dienst-
leistung die Verbindung externer Büros durch VPNs anbot. Zu dieser Zeit
verwendeten die meisten Unternehmen für
ihre Verbindungen mit externen Büros gelaste Verbindungen wie T1 und Frame
Relay-Verbindungen. Sie waren mit
diesen "privaten" Verbindungen sehr zufrieden und waren sehr misstrauisch,
wenn es darum ging, Datenverkehr (ver-
schlüsselt oder unverschlüssel) über das "öffentliche"
Internet zu versenden.
Meiner Meinung nach sind private Verbindungen jedoch nicht sicherer als öffentliche
Verbindung. Man muss sich eben-
falls auf eine dritte Partei verlassen, die den Datenverkehr zwischen beiden
Standorten hin- und herschickt. Bei priva-
ten Verbindungen brauchen Sie ein oder mehrere Kommunikationsunternehmen. Eines
dieser Unternehmen könnte
sich theoretisch in Ihr Netzwerk hängen und sich den unverschlüsselten
Datenverkehr ansehen. Bei öffentlichen Ver-
bindungen wird Ihr Datenverkehr von einem oder mehreren Internetdienstanbietern
versendet. Der Hauptnachteil beim
Verwenden einer öffentlichen Verbindung ist, dass Sie nicht genau wissen,
wer Ihre Daten versendet. Bei der dynam-
ischen Natur des Internets wäre es nicht unmöglich, dass Ihr Datenverkehr
durch einen dritten Internetdienstanbieter
weitergeleitet wird. Und theoretisch können Sie diesem Anbieter vielleich
nicht trauen.
Ob Sie jedoch öffentliche oder private Netzwerke für den Datentransport
verwenden: Es gibt wahrscheinlich niemanden,
der den Zugriff, die Zeit und den Willen hat, Ihren Datenverkehr abzuhören.
Wenn Ihr Datenverkehr zu einem Drittanbie-
ter umgeleitet wird, dann wird dieser kaum bemerken, dass interessante Daten
durch sein Netzwerk gehen. Selbst
wenn das so wäre, dann hat der Anbieter wahrscheinlich nicht die nötige
Ausrüstung, um Ihren verschlüsselten Daten-
strom abzufangen und genug Daten zusammen zu bekommen, um die Verschlüsselung
zu knacken und irengendetwas
Nützliches herauszufinden.
Zusammenfassend kann man sagen, dass es ein kleines, theoretische Risiko der
Datengefährdung gibt, unabhängig da-
von, ob Sie ein öffentliches oder privates Netzwerk verwenden. Ich denke,
die Risiken sind ungefähr gleich groß. VPNs
sind jedoch viel günstiger als private Verbindungen, was heißt, dass
Sie noch Geld übrig hätten, ds Sie in andere
Sicherheitsmaßnahmen stecken können wir Personal.
Beide Enden des Tunnels können Server unter Windows Server 2003 sein, müssen
sie aber nicht. IPSec ist ein Satz
von Internetstandards, der von vielen Betriebssystemen und Netzwerkgeräten
unterstützt wird. Ein oder beide Tunnel-
endpunkte können Nicht-Microsoft-Firewalls, Netzwerkgeräte, Windows
2000-basierende Server oder UNIX/Linux-
Server sein.
Aushandeln von IPSec-Verbindungen
Leider wurde IP ursprünglich nicht im Hinblick auf Authentifizierung oder
Verschlüsselung entwickelt. Als das Internet
wuchs und TCP/IP das bevorzugte Netzwerkprotokoll wurde, wurde auch die ungesicherte
Form der Kommunikation
Standard. IPSec ermöglicht Computern, weiterhin IP zu verwenden, allerdings
mit Authentifizierung und Verschlüss-
elung.
Auf den meisten Computern in IP-Netzwerken ist IPSec jedoch nicht aktiviert.
Das Resultat ist, dass Computer mit
aktiviertem IPSec so konfiguriert sind, dass sie Remotecomputern höflich
bitten, IPSec zu verwenden, um die Ver-
bindungssicherheit zu verbessern. Wenn die beiden Computer feststellen, dass
beide IPSec haben, können sie sich
auf einen Satz von Sicherheitsstandards einigen - sie können beginnen,
IPSec zu verwenden. Dieser Vorgang wird
IPSec-Aushandlung genannt.
Nicht alle IPSec-Aushandlungen sind erfolgreich. Oft schlagen die Aushandlungen
fehl, da einer der beiden Computer
IPSec nicht anwenden kann. Oder auf den Computern sind nicht die gleich Sicherheitsprotokolle
aktiviert, was heißen
würde, dass sie sich nicht auf einen Satz von Standards einigen können.
In diesen Fällen kehren die Computer ent-
weder zu ungesicherter IP-Kommunikation zurück oder legen fest, dass sie
gar nicht kommunizieren, wenn sie IPSec
nicht verwenden können.
IKE (Internet Key Exchange, Internetschlüsselaustausch) ist der Algorithums,
durch den die erste Sicherheitszuord-
nung oder SA (Security Association), ein sicherer Kanal, ausgehandelt wird.
IKE ist eine Kombination aus ISAKMP
(Internet Security Association Key Management Protocol) und dem Oakle-Schlüsselbestimmungsprotokoll.
Eine
Aushandlung in zwei Phasen wird ausgeführt. Hauptmodus und Schnellmodus.
Hauptmodus
Bei der ersten langen Form der IKE-Aushandlung (Hauptmodus oder Phase I) wird
die Authentifizierung
durchgeführt und das Hauptschlüsselmaterial wird erstellt, um eine
ISAKMP-Sicherheitszuordnung zw-
ischen Computern zu erstellen. Das Resultat wird ISAKMP-Sicherheitszuordnung
oder IKE-Sicherheitszuord-
nung genannt. Nachdem die ISAKMP-Sicherheitszuordnung erstellt wurde,
bleibt diese für eine auf den Hostcom-
putern festgelegte Zeit bestehen - standardmäßig sind das acht Stunden
auf Computern unter Windows. Wenn am
Ende der acht Stunden imm noch aktiv Daten übertragn werden, wird die Hauptmodus-Sicherheitszuord-
nung automatisch neu ausgehandelt.
Die Hauptmodus-Aushandlung geschieht in drei Phasen:
In Teil I der Hauptmodus-Aushandlungen wird unverschlüsselte Kommunikation
verwendet, um die Schutzsuites zu
identifizieren, die verfügbar sind, und um festzulegen, welche Algorithmen
während der Sitzung verwendet werden.
Der IPSec-Client sendet dem IPSec-Server eine Liste von Schutzsuites, die der
Client unterstützt. Jede vorgeschla-
gene Schutzsuite beinhaltet Attribute für Verschlüsselungsalgorithmen,
Hash-Algorithmen, Authentifizierungsmetho-
den und Diffie-Hellman-Oakley-Gruppen. Der IPSec-Server antwortet dem Client
dann mit der ausgewählten Schutz-
suite. Dies ist meist die erste kompatible Schutzsuite.
Sicherheitswarnung
Ein Windows-IPSec-Client schlägt Schutzsuites in der Reihenfolge vor, in
der sie in einer Filteraktion aufgelistet sind.
Ein Windows IPSec-Server verwendet die erste passende Schutzsuite, die der Client
auflistet. Daher bestimmt der
Windows-Client die Priorität der Schutzsuites, nicht der Server. Sie sollte
die Abfolge also von der sichersten zur am
wenigsten sicheren Suite anordnen.
Nachdem eine Schutzsuite ausgehandelt wurde, wird in Teil 2 des Hauptmodus ein
öffentliches und ein privates Diffie-
Hellman-Oakley-Gruppe. Der IPSec-Host tauscht öffentliche Schlüssel
aus und erstellt dann separat das Hauptmodus-
Hauptschlüssel-Verschlüsselungsmaterial. Dieses Verschlüsselungsmaterial
wird verwendet, um den zwischen den
beiden Hosts hin- und her gesendeten Verkehr zu verschlüsseln, so dass
die Kommunikation zukünftig privat ist.
In Teil 3 der Hauptmodus-Aushandlung wird die Authentifizierung durchgeführt.
Die Authentifizierung für die Haupt-
modus-Aushandlung ist eine computerbasierte Authentifizierung. Die den Authentifizierungsvorgang
wird lediglich
die Identität der Computer bestätigt, nicht die der Person, welche
die Computer während des Authentifizierungsvor-
gangs benutzen. Welche Nachrichten genau während
dieser Phase ausgetauscht werden, hängt davon ab,
welche Authentifizierungsmethode verwendet wird.
Schnellmodus
Während der Schnellmodus- (auch bekannt als Phase
2) IKE-Aushandlung wird ein sicherer Kanal zwischen
zwei
Computern eingerichtet, um Daten zu schützen. Da in dieser Phase SAs (Sicherheitszuordnungen)
durch den IPSec-
Dienst ausgehandelt werden, werden die während des Schnellmodus erstellten
SAs die IPSec-SAs genannt. Zwei
SAs werden erstellt, jede mit eigenem SPI-Label (Security Parameter Index).
Eine IPSec-SA wird für eingehenden
Verkehr verwendet, die andere für ausgehenden. Während des Schnellmodus
wird das Verschlüsselungsmaterial
erneuert oder es werden, wenn notwendig, neue Schlüssel erstellt. Außerdem
wird eine Schutzsuite, die spezifischen
IP-Verkehr schützt, ausgewählt.
IPSec-Host führen IKE-Schnellmodus-Aushandlungen regelmäßig
aus, um das Risiko zu verringer, dass ein Angreifer
den in der Kommunikation verwendeten Schlüssel bestimmen kann. In jeder
neuen Aushandlung werden zwei neue
IPSec-Sicherheitszuordnungen mit neuen Schlüsseln und SPIs erstellt. Standardmäßig
führen Computer unter
Windows die Schnellmodus-Aushandlung jede Stunde aus oder nachdem 100 MB übertragen
wurden.
Beide Seiten der Verbindung können den neuen Aushandlungsprozess starten.
Daher startet die Site, die zuerst
das vordefinierte Sitzungsschlüssellimit erreicht, die Neuaushandlung.
Durch die Erstellung einiger IPSec-Verbindungen wird Ihr Computer nicht gleich
hängen bleiben. Für den Aushan-
dlungsvorgang wird allerdings sehr viel Verarbeitungszeit benötigt. Wenn
Sie einen Server haben, der zwischen
mehreren Dutzend und Tausenden von eingehenden IPSec-Verbindungen pro Sekunde
verarbeiten muss, beob-
achten Sie die Prozessorauslastung des Servers. Wenn
die Prozessorauslastung ständig über 30 Prozent
während der Stosszeiten beträgt, sollten Sie darüber nachdenken,
eine Netzwerkkarte hinzuzufügen,
welche die IPSec-Verarbeitung übernimmt. Die
Netzwerkkarte kann die Aushandlung verarbeiten,
während
der Prozessor des Servers sich mit interessanteren Aufgaben beschäftigt.
Die Erstellung einer IPSec-Verbindung ist prozessorintensiv, da eine asymmetrische
öffentliche Schlüsselkrypto-
graphie verwendet wird. Die Daten, die übertragen werden, nachdem die Verbindung
erstellt wurd, sind durch
symmetrische gemeinsame Schlüsselkrypotgraphie verschlüsselt, daher
wird (nach aktuellen Standards) keine
große Prozessorkapazität beansprucht. Das Auslagern der Prozessornutzung
nützt nur etwas, wenn der Server
andauern eine große Anzahl von neuen
Verbindungen verarbeiten muss.
Authentifizierungsheader und ESP
IPSec kann zwei Protokolle verwenden: Authentifizierungsheader
(AH) und ESP. Diese Protokolle können separat
oder zusammen eingesetzt werden. AH bietet Datenquellen-Authentifizierung, Datenintegrität
und Anti-Repla-Schutz
für das gesamte Paket, einschließlich dem IP-Header und der Datennutzlast
im Paket. Natürlich bietet AH keinen
Schutz für die Felder im IP-Header, die während der Übertragung
geändert werden dürfen, wie der Abschnittzähler.
AH verschlüsselt Daten nicht. Das bedeutet, es bietet keine Vertraulichkeit.
Angreifer können die Inhalte der
Pakete lesen, wenn sie diese abfangen, aber die Pakete können nicht verändert
werden.
ESP wird häufiger verwendet als AH, da es Datenquellen-Authentifizierung,
Datenintegrität, Anti-Replay-Schutz und
Vertraulichkeit bietet. AH und ESP können zusammen verwendet werden, ESP
wird jedoch meist allein verwendet.
Sie sollten AH gegenüber ESP nur dann vorziehen, wenn Daten und Header
im Paket vor Modifikation und Authenti-
fizierung geschützt werden müssen, aber nicht verschlüsselt sein
müssen. Sie können dies tun, wenn Sie einen
Eindringlingsalarm, eine Firewall oder einen QoS-Router (Quality of Service)
haben, der die Inhalte des Pakets über-
prüfen muss. Andernfalls sollten Sie die Vorteile des Datenschutzes nutzen,
den ESP bietet. Wenn IPSec-Verkehr
über einen NAT-Server geleitet werden muss, müssen Sie ESP verwenden,
da ESP das einzige IPSec-Protokoll ist,
das NAT-T unterstützt.
IPSec in Windows
IPSec ist standardmäßig erhältlich und kann verwendet werden,
um Netzwerkkommunikation für Windows 2000,
Windows XP Professional und Windows Server 2003 zu schützen. Zusätzlich
ist ein Legacy-Client für Microsoft
Windows NT 4.0, Windows 98 und Windows Millenium Edition (ME) erhältlich.
Sie können den Legacy-Client
herunterladen unter http://www.microsoft.com/windows2000/server/evaluation/news/bulletins/12pcient.asp.
Verbesserung in Windows Server 2003
In Windows Server 2003 sind mehrere Verbesserungen der IPSec-Verwaltbarkeit
enthalten. Das Snap-In-Sicher-
heitsmonitor, eingeführt in Windows XP Professional,
ersetzt das Programm Ipsecmon.exe
aus Windows 2000
Server. Sie können jetzt das Netsh-Programm verwenden, um IPSec aus Befehlszeiten
heraus zu konfigurieren,
so wie Sie das mit anderen Netzwerkkonfigurations-Einstellungen tun würden,
anstatt dedizierte Befehlszeilenpro-
gramme verwenden zu müssen. Auch die Problembehandlung ist leichter. Sie
können das Snap-In Richlinien-
ergebnissatz verwenden, um vorhandene IPSec-Richtlinienzuweisungen
anzeigen zu lassen.
Auch die IPSec-Sicherheit wurde verbessert. Windows 2000 Server war während
des Startens angreifbar bezüglich
Netzwerkkartenattacken, sogar wenn IPSec konfiguriert wurde. Nun können
Sie Computerstartsicherheit konfigurieren,
um den Netzwerkverkehr während des Starts zu verwalten. Dies lässt
nur den ausgehenden Datenverkehr während des
Computerstarts zu, eingehenden Datenverkehr, der als Antwort auf den ausgehenden
gesendet wurde und DHCP-Ver-
kehr (Dynamic Host Configuration Protocol). Frühere Versionen von Windows
ließen automatisch mehrere Typen von
Datenverkehr durch IPSec-Filter gehen. Windows Server 2003 lässt standardmäßig
nur IKE-Verkehr durch.
Frühere Versionen von Windows enthüllten mehr Informationen als nötig
gegenüber Angreifern, wenn öffentliche Schlü-
ssel für die Authentifizierung von IPSec-Verbindungen verwendet wurden.
Windows Server 2003 kann so konfiguriert
werden, dass der Name der Zertifizierungsstelle ausgeschlossen wird, so dass
Vertrauensverhältnisse nicht enthüllt,
werden. Jetzt können Sie dynamisch Adressierung verwenden, um die Adressen
der DHCP-, DNS, WINS-Server Filter
zu erstellen, als dies mit Windows XP oder Windows 2000 möglich war, nur
weil Clients andere Netzwerkkonfigura-
tionen haben.
Paketfilterung
Der primäre Zweck von IPSec ist die Sicherung der Integrität von Hosts
und die Verschlüsselung von Datenverkehr. Die
IPSec-Implementierung von Windows Server 2003 ermöglicht außerdem
eingeschränkte Firewallfunktion für Endsys-
teme. Dies war sehr wichtig bei Windows-Versionen vor Windows XP. In Windoes
XP und Windows Server 2003 ist
jedenfalls ICF (Internet Connection Firewall) enthalten; dies bietet eine leistungsfähigere
statusbehaftete Paketfilterung
als IPSec.
Die Funktionen von IPSec und ICF überschneiden sich zwar, beide haben jedoch
eigene Funktionen. ICF ist statusbe-
haftet und IPSec bietet Filterung basierend auf Quell- und Ziel-IP-Adressen.
Beide können auf Computern unter Windows
XP Professional und Windows Server 2003 glücklicherweise zusammen verwendet
werden.
Sie sollten ICF auf Computern unter Windows XP Professional und Windows Server
2003 aktivieren, unabhängig davon,
ob Sie IPSec verwenden oder nicht. Um eine
korrekte IKE-Verwaltung der IPSec SAs sicherzustellen, müssen
Sie ICF so konfigurieren, dass ISAKMP für UDP-Anschluss 500 zugelassen
wird. Wenn Sie NAT-T verwenden,
müssen Sie ebenfalls Datenverkehr über UDP-Anschluss 4500 zulassen.
ISAKMP ist jedoch kein vorkonfigurierter
ICF-Dienst, also müssen Sie es hinzufügen. Um ISAKMP hinzuzufügen,
klicken Sie auf die Registerkarte Erweitert
im Dialogfeld Eigenschaften
der Schnittstelle
des gefilterten Netzwerks. Klicken Sie dann auf
die Schaltfläche Ein-
stellungen. Klicken Sie auf die Registerkarte
Dienste und
dann auf Hinzufügen.
Geben Sie die Einstellungen im
Dialogfeld ein (siehe untere Abbildung), klicken Sie auf OK
und wiederholen Sie den Vorgang für die zweite Anschluss-
nummer.
Bild von Seite 490
Erstellt von: Haßlinger Stefan
Im: Jahr 2006