Planen einer IPSec-Infrastruktur
Vorwort
Sie können IPSec mit ein paar Mausklicks für Ihre gesamte Domäne
aktivieren - aber das wäre nicht klug. Wenn es
nicht korrekt konfiguriert ist, kann IPSec kleinere Probleme verursachen, wie
beispielsweise eine Netzwerkanwen-
dung, die weniger leisten kann, oder größere Probleme wie den totalen
Verlust der Netzwerkkonnektivität. Nur durch
sorgfältige Planung kann sichergestellt werden, dass IPSec erfolgreich
eingeführt wird. Diese Planung umfasst die
Wahl einer Authentifizierungsmethode, die Entscheidung, wie man IPSec und Active
Directory integriert und die Aus-
führung mit Ihrer geplanten IPSec-Konfiguration kompitabel sind.
Active Directory-Überlegungen
Für Unternehmen mit vielen Computern, die konsistent verwaltet werden müssen,
ist es das Beste IPSec-Richtlinien
durch GPOs (Group Police Object, Gruppenrichtlinienopjekte) weiterzugeben. Sie
können lokale IPSec-Richlinien
Computern zuweisen, die nicht Mitglied einer vertrauenswürdigen Domänen
sind, das Verteilen von IPSec-Richtlinien
und das Verwalten der IPSec-Richliniekonfiguration und der Vertrauensstellungen
ist jedoch viel zeitaufwändiger bei
Computern, die nicht Domänenmitglieder sind.
Ein weiterer Vorteil der Verwendung einer Active Directory-basierten IPSec-Richtlinie
ist, dass die Berechtigungen über
den Container IP-Sicherheitsrichtlinien in Active
Directory weitergeben können, so dass bestimmte Administra-
toren IPSec im gesamten Unternehmen verwalten können. Diese Administratoren
müssen jedoch nicht unbedingt die
Berechtigungen haben, direkt die einzelnen Computer zu verwalten, welche die
IPSec-Richtlinie erhalten. Dies ist sehr
wichtig für Unternehmen, in denen die Verantwortlichkeit für Sicherheitsbelange
zwischen verschiedenen Gruppe auf-
geteilt wird.
Um Berechtigungen im IP-Sicherheitsrichtlinien-Container weiterzugeben, müssen
Sie ein Programm zum Bearbeiten
von Active Directory verwenden, wie beispielsweise ADSI-Edit. ADSI-Edit. ist
ein Windows-Supporttool, das Active
Directory Service Interfaces (ADSI) verwendet. Die Windows-Supporttools können
aus dem Ordner \Support\Tools
auf den Windows 2000 und Windows Server 2003-Betriebssystem-CDs installiert
werden.
Ein IPSec-Richtlinien-Administrator benötigt meistens Schreibzugriff für
alle IPSec-Richtlinienobjekte. Sie sollten die
Berechtigungen nicht für einzelne IPSec-Richlinien zuweisen. Wenn viele
Administratoren in Ihrem Unternehmen
Active Directory-basierte IPSec-Richtlinien verwalten möchten, sollten
Sie alle IPSec-Änderungen durch existierende
Domänen-Administratoren weitergeben lassen. Die Personen, die Änderungen
an einer IPSec-Richtlinie vornehmen,
können lokale IPSec-Richtlinien in einer Testumgebung konfigurieren und
dann Domänenadministrator oder einen
anderen Administrator zu exportieren. Der Domänenadministrator oder einen
anderen Administrator zu exportieren.
Der Domänenadministrator, die eine IPSec-Richtlinie ändern können,
was das Risiko von Fehlern verringert, die
eine IPSec-Richtlinie negativ beeinflussen können.
Wenn eine Active Directory-basierte IPSEc-Richtlinie auch geeignet für
die Sicherung der meisten Kommunikation
für eine Gruppe von Servern ist, müssen Sie eventuell trotzdem eine
IPSec-Richtlinie für einen bestimmten Server
ist, müssen diese tun, indem Sie das IPSec-Befehlszeilenprogramm in Windows
XP Professional oder Windows
Server 2003 verwenden, um eine dynamische IPSec-Richtlinie zu erstellen.
Authentifizierung für IPSec
Peerauthentifizierungist der Vorgang, bei dem sichergestellt wird, dass ein
IPSec-Peer der Computer ist, der er vor-
gibt zu sein. Durch die Verwendung von Peerauthentifizierung kann IPSec bestimmen,
ob die Kommunikation mit
einem anderen Computer zugelassen werden soll, bevor diese Kommunikation beginnt.
Sie können aus drei Auth-
entifizierungsmethoden wählen: Kerbepros v5, öffentliche Schlüsselzertifikate
und vorinstallierte Schlüssel.
Wenn Sie eine Windows 2000- oder Windows Server 2003-Active Directory-Umgebung
bereitgestellt haben und alle
Hosts, die IPSec verwenden, Teil dieser Domäne sind (oder Mitglied einer
vertrauenswürdigen Domäne), dann sollten
Sie Kerberos verwenden. Wenn Sie mit anderen Unternehmen kommunizieren und Ihre
Partner eine webbasierte
Zertifizierungsstelle verwenden, können Sie öffentliche Schlüsselzertifikate
verwenden. Wenn keine dieser Methoden
verfügbar ist, können Sie einen vorinstallierten Schlüssel verwenden.
Sie können Authentifizierungsmethoden wenn notwendig auch zusammen verwenden.
Sie können beispielsweise
Ihren öffentlichen Webserver so konfigurieren, dass interene Clients durch
Kerberos authentifziert werden und ex-
terne Clients durch öffentliche Schlüsselzertifikate. Nachdem Sie
IPSec konfiguriert haben, vergleicht es die Quell-
IP Adresse des Remotehosts mit einer IPSec-Richtlinienregel, um zu bestimmen,
welche Authentifizierungsmethode
verwendet werden soll.
Kerberos v5-Authentifizierung
Kerberos v5 ist der Authentifizierungsstandard in Windows Server 2003- und Windows
2000-Domänen. Diese Authenti-
fizierungsmethode kann von jedem Computer der Domäne oder einer vertrauenswürdigen
Domäne verwendet werden.
Kerberos ist die natürlichste Form von IPSec-Authentifizierung, die Konfiguration
ist einfach. Es gibt allerding einige
wichtige Überlegungen.
In früheren Windows-Versionen wurde Kerberos-Datenverkehr automatisch durch
IPSec-Filter durchgelassen. In Win-
dows Server 2003 wird ein Kerberos-Paket jedoch verworfen, wenn eine IPSec-Regel
bestimmt, dass der Datenverkehr
blockiert werden sollte. Wenn Sie Kerberos-Authentifizierung aktivieren möchten,
müssen Sie Filter in der IPSec-
Richtlinie erstellen, die ausdrücklich allen Datenverkehr an Ihre Domänencontroller
zulassen.
Zweitens müssen Sie vollqualifizierte Domänennamen verwenden, um die
Vertrauensstellungen zu konfigurieren, damit
Kerberos-Authentifizierung bei einer gesamtstrukturübergreifenden Vertrauensstellung
verwendet werden kann. Zusä-
tzlich müssen Sie den IPSec-Client so konfigurieren, dass Kommunikation
an jeden Domänencontroller in der Gesamt-
struktur-Domänenhierarchie zugelassen wird, so dass IPSec ein Kerberos-Ticket
von einem Domänencontroller in der
Domäne des IPSec-Peer beziehen kann.
Authentifizierung mit öffentlichen
Schlüsselzertifikaten
Eine Infrastruktur öffentlicher Schlüssel (public key infrastructur,
PKI) kann verwendet werden, um Kommunikation für
viele verschiedene Anwendungen, einschließlich Webandwendungen, E-Mail
und IPSec zu authentifizieren und zu ver-
schlüsseln. Die Anwendung von öffentlichen Schlüsselzertifikaten
ist zwar nicht so einfach wie die Verwendung von
Kerberos, es gibt aber bestimmte Umstände, in denen Zertifikate die logische
Wahl für die Authentifzierung in IPSec
sind. Sie sollte öffentliche Schlüsselzertifikate speziell dann verwenden,
wenn Sie mit externen Geschäftspartnern ko-
mmunizieren müssen oder mit anderen Computern, die nicht das Kerberos v5-Authentifizierungsprotokoll
unterstützen.
IPSec´s Verwendung der Zertifizierungsauthentifizierung ist kompatibel
mit vielen verschiedenen PKI-Strukturen und IP-
Sec hat relativ geringe Anforderungen an die Inhalte eines Zertifikats. Normalerweise
sind Computer, die einen gem-
einsamen vertrauenswürdigen Stamm haben oder deren Zertifikate sich durch
eine Vertrauensstellung gegenseitiger
Zertifizierung verketten können, in der Lag, IPSec-Authentifizierung zu
verwenden. Um Zertifikate für die IPSec-Authen-
tifizierung zu verwenden, definieren Sie eine geordnete Liste von akzeptablen
Namen von Stammzertifizierungsstellen
(Certification Authority, CA) in der Authentifizierungsmethode. Durch diese
Liste wird kontrolliert, welche Zertifikate
IPSec auswählen kann und welche Zertifikate IPSec auswählen wird.
Wenn die IPSec-Authentifizierung fehlschlägt, können Sie die Authentifizierung
nicht mit einer anderen Methode wie-
derholen. Aus diesem Grund sollten Sie, bevor Sie eine IPSec-Richtlinie anwenden,
die zur Authentifizierung Zerti-
fikate verwenden kann, sicherstellen, dass alle Zielcomputer die richtigen Stammzertifizierungsstellenzertifikate,
die
entsprechenden Kreuzzertifikate und gültige Computerzertifikate haben.
Zusätzlich sollten Sie, um das korrekte Fun-
ktionieren der Zertifikatsauthentifizierung sicherzustellen, Ihre PKI-Infrastruktur
mit verschiedenen Konfiguration der
IPSec-Richtlinien vor der Weitergabe testen.
Unter Windows 2000 und Windows Server 2003 können Sie Zertifikatdienste
verwenden, um die Stammzertifizierungs-
stelle zu implementieren. Zertifikatdienste sind in Active Directory und der
Gruppenrichtlinie integriert. Diese Funktion
vereinfacht die Zertifikatweitergabe durch das Aktivieren der automatischen
Zertifikatregistrierung und -Erneuerung und
durch Verfügbarmachen von konfigurierbaren Zertifikatvorlagen. Zusätzlich
können Sie mit Zertifikatdienste IPSec ver-
wenden, um den Zugriff auf die Netzwerkdienste einzuschränken, indem Sie
das Computerzertifikat als Attribut des
Domänencomputerkonto herausgeben
Sie können ebenfalls Zertifizierungsstellen von Drittanbietern verwenden,
was besonders dann nützlich ist, wenn Sie mit
externen Partner kommunizieren. IPSec unterstützt verschiedene Drittanbieter-X.509-PKI-Systeme
zusätzlich zu Win-
dows 2000 Server- oder Windows Server 2003-Zertifikatdiensten. Windows Server
2003 IKE ist kompitabel mit einigen
Zertifikatdiensten, einschließlich der von Microsoft, Entrust, VeriSign
in der Lage sein, Zertifikate an Computer auszu-
stellen und die Zertifikate im Windows CryptoAPI (Cryptographic Application
Programming Interface)-Zertifikatsspeicher
zu speichern.
Authentifizierung mit vorinstallierten Schlüsseln
Wenn beide IPSec-Peers nicht in der gleichen Domäne sind und keinen Zugriff
auf die Zertifizierungsstelle haben, kann
ein vorinstallierter Schlüssel verwendet werden. Ein eigenständiger
Computer in einem Netzwerk, das nicht mit dem In-
ternet verbunden ist, kann beispielsweise einen vorinstallierten Schlüssel
benutzen, da weder Kerberos-Authentifizierung
über das Domänenkonto des Computers noch Zugriff auf die Zertifizierungsstelle
im Internet möglich ist. Ein vorinstall-
ierter Schlüssel benutzen, da weder Kerberos-Authentifizierung über
das Domänenkonto des Computers noch Zugriff
auf die Zertifizierungsstelle im Internet möglich ist. Ein vorinstallierter
Schlüssel ist ein gemeinsamer geheimer Schlü-
ssel (ein Kennwort), auf dem man sich unter Administratoren müssen Ihre
Systeme manuell so konfigurieren, dass
derselbe vorinstallierte Schlüssel verwendet wird.
Bei der Authentifizierung mit vorinstallierten Schlüssel wird symmetrische
Verschlüsselung verwendet, um die Hosts zu
authentifizieren, was sehr sicher ist, aber was voraussetzt, dass die beiden
kommunizierenden Hosts mit einem vorde-
finierten Kennwort konfiguriert wurden. Leider ist dieser Schlüssel auf
den IPSec-Hosts nicht sicher gespeichert. Der
Authentifizierungsschlüssel ist in Klartextformat in der Systemregistrierung
gespeichert und hexcodiert in der Active
Directory-basierten IPSec-Richtlinie. Wenn Angreifer Zugriff auf Ihre Registrierun
erlangen, können Sie Ihren vorinstall-
ierten Schlüssel finden und so Ihren Datenverkehr entschlüsseln oder
die Identität eines Hosts annehmen. Verwenden
Sie die Authentifizierung mit vorinstallierten Schlüsseln nur, wenn keine
stärkere Methode verwendet werden kann.
Wenn Sie die Authentifizierung mit vorinstallierten Schlüsseln verwenden
müssen, benutzen Sie eine lokale IPSec-
Richtlinie, einen Schlüsselwert mit 25 oder mehr Zeichen und einen anderen
vorinstallierten Schlüssel für jedes IP-
Adressenpaar. So stellen Sie sicher, dass es verschieden Sicherheitsregeln für
jeden Zielort gibt und das ein gekna-
ckter vorinstallierter Schlüssen nur die Computer gefährdet, welche
den Schlüssel teilen.
Testen von IPSec
Sie sollten auf jeden Fall ausführliche Tests ausführen, bevor Sie
Änderungen an Ihrer Infrastruktur vornehmen. Dies
trifft besonders dann zu, wenn Sie planen, IPSec zu verwenden. IPSec kann Auswirkungen
auf die gesamte Netzwerk-
kommunikation haben und kann daher auch Netzwerkandwendungen stören, die
Ihr Unternehmen verwendet.
Testen Sie IPSec zuerst in einer Übungsumgebung, Konfigurieren Sie Computer
mit der Client- und Server-Seite der
kritischen Anwendungen in der Praxis simuliert. In Ihrer Übungsumgebung
sollten Computer mit jedem der potentiellen
IPSec-Funktionen unterstützen. Entwickeln Sie eine Leistungsmetrik für
jede Ihrer Anwendungen und sammeln Sie
grundlegende Leistungsdaten, die Sie für Vergleiche gebrauchen können,
wenn IPSec bereitgestellt wurde. Geben Sie
dann IPSec-Richlinien auf die Übungscomputer weiter.
Nicht alle Netzwerke unterstützen die gleichen IPSec-Funktionen und Sie
sollten die Testphase dazu nutzen, zu best-
immen, welche Netzwerkgeräte neu konfiguriert oder aktualisiert werden
müssen. Fügen Sie der Übungsumgebung
Firewalls, Proxyserver und Router hinzu, um zu simulieren, wie diese mit IPSec-Kommunikation
in der Praxis zusamm-
enarbeiten. Wenn Sie IPSec für Remotezugriff verwenden wollen, sollten
Sie in der Übungsumgebung auch einen RAS-
Client haben, der sich von einem typischen Remotenetzwerk aus verbindet. Wenn
Angestellte IPSec verwenden, um
sich von zu Hause aus mit Ihrem internen Netzwerk zu verbinden, testen Sie IPSec
nicht aktiviert ist, zusammen mit
Servern, auf denen IPSec aktiviert ist. Auch wenn Sie vorhaben, IPSec auf alle
Computer weiterzugeben, gibt es
doch einen Übergangszeit, während der einige Computer die IPSec-Konfiguration
noch nicht erhalten haben.
Nachdem IPSec-Clients und die Netzwerkausrüstung in der Übungsumgebung
konfiguriert wurden, testen Sie die Funk-
tionalität der Anwendungen. Wenn Sie auf Probleme stoßen, dokumentieren
Sie diese zusammen mit den Lösungen,
so dass diese Probleme schnell lösen können, wenn sie in der Praxis
auftauchen. Bestätigen Sie nicht nur, dass die
Anwendungen funktionieren, sondern auch IPSec. Wenn Sie zulassen, dass IPSec-Clients
ungesicherte Kommunika-
tion verwenden, wenn die IPSec-Aushandlungen fehlschlagen, kann es sein, dass
die Anwendungen mit IPSec kompi-
tabel zu sein scheinen, wenn die Computer keine IPSec-Sitzung erstellen konnten.
Nachdem Sie bestätigt haben, dass all Ihre Anwendungen mit IPSec kompitabel
sind und die Änderungen dokumen-
tiert haben, die zur Sicherstellung der Kompitabilität notwendig sind,
vergleichen Sie die Ergebnisse Ihrer Leistungs-
tests mit den Ergebnissen, die Sie gesammelt haben, bevor IPSec aktiviert würde.
Wenn Ihre Tests genau waren,
werden sie einen leichten Abfall in der Zeit, die zur Erstellung von Netzwerkverbindungen
notwendig sind, sowie einen
leichten Anstieg in der Prozessorauslastung zeigen. Notieren Sie die notwendige
Leistung. Beobachten Sie Computer
in der Praxis, um sicherzustellen, dass die Auswirkungen auf die Leistung minimiert
werden.
Beginnen SIe die Praxiseinführung von IPSec mit einer Piloteneinführung.
Während der Pilotphase sollte IPSec-Komm-
unikation auf keinem Computer notwendig sein. Alle Computer sollte Nicht-IPSec-Kommunikation
zulassen, um Com-
puter zu unterstützen, die nicht Teil des Pilottests sind. Sie können
IPSec-Kommunikation erst erzwingen, wenn alle
Computer die IPSec-Konfigurationen erhalten haben. Beobachten Sie die Pilotcomputer,
um zu bestätigen, dass IPSec
richtig funktioniert. Wenn Benutzer Probleme melden, identifizieren Sie, ob
IPSec die Problemursache ist und dokumen-
tieren Sie eine Problemlösung. Wenn Sie IPSec graduell einführen,
reduziert das Probleme für die Benutzer, und das
wiederum spart Ihrem Unternehmen Geld.
Erstellt von: Haßlinger Stefan
Im: Jahr 2006