IPSec und kein Ende in Sicht !

[Thyral 10]

Hallo,

 

ich habe ein Problem mit IPSec und Windows 2003 Server.

Folgendes habe ich gemacht !!

 

Ich habe auf einen Server in AD die Richtlinie mit den Snap-in Sicherer Server aktiviert. Dann bin ich an einen Client der Mitglied in AD ist und habe auch über das snap-in die Richtlinie, Client Nur Antworten aktiviert.

Wenn ich jetzt den Netzwerkmonitor mit laufen lasse, dann ist der IP Verkehr unverschlüsselt.

Warum ?

 

Dann habe ich ein Client genomme, der kein Mitglied der Domäne ist und habe dort auch die Richtlinie, sicherer Server aktiviert, nun, was soll ich sagen ? Ich bekomme keinen Connect wenn ich versuche auf den Server zu zugreifen.

 

Was ist an diesen Weg falsch, ich habe IPSec so verstanden, das je höher die Sicherheit sein soll, ich die Richtlinie anpassen muss, sowohl am Client alch auch am Server, wobei es nicht im Sinne des Servers ein Server sein muss, es kann ja auch ein Client mit Client verschlüsseln verschlüsseln.

 

So habe ich es verstanden.

 

Was ist falsch ?

 

THX

[IThome 10]

Greift die Richtlinie überhaupt ? Ist die Richtlinie aktiv ? Request Security oder Require Security ?

[Thyral 10]

@IThome

hmm, ich glaube ich verstehe nicht ?

Muss sie nicht greifen, wenn ich keine Verbindung mehr bekomme ?

Ich habe Sie lokal auf den Clients aktiviert. Greift sie dann nicht automatisch ?

 

Bitte bring doch etwas Licht ins Dunkel !!

 

THX

[ChristianHemker 10]

Prüfe doch mal bitte mit dem "IP Sicherheitsmonitor" welche Richtlinie aktiv ist.

[IThome 10]

Die Standardrichtlinien erfordern Kerberos zur Authentifizierung, daher kann keine Kommunikation mit einem Nicht-Member zustande kommen. Ich finde es verwunderlich , dass bei der zugewiesenen Standardrichtlinie "Sicherer Server" auf dem Server und "Client (nur Antwort)" auf dem Client eine unverschlüsselte Verbindung zustande kommen soll , was meiner Meinung nur passieren könnte, wenn ausschliesslich AH ausgehandelt wird oder wenn die Serverrichtlinie gar nicht aktiv ist. Der Client beginnt immer unverschlüsselt, was der Server zulässt (mit Client meine ich den mit der Richtlinie "Client (nur Antwort)", mit dem Server den mit der Richtlinie "Sicherer Server" oder "Server"), da die Einstellung "Unsichere Kommunikation annehmen, aber immer mit IPSec antworten" aktiv ist. Alle darauf folgende Kommunikation erfordert, dass erstmal Sicherheit ausgehandelt wird (mit Ausnahme von ICMP). In diesen Proposals gibt es keinen unverschlüsselten Verkehr, woraus ich schliesse, dass die Richtlinie nicht aktiv ist , die Einstellungen in irgendeiner Weise vom Standard abweichen oder Du nur ein PING gesendet hast ...

[Thyral 10]

@IThome

 

Danke für deine Antwort, ich bin gerade dabei eine ganz neue Struktur aufzubauen. Ich will das es klappt und ich will es dann noch verstehen.

 

Bitte noch eine Frage !! Kann ich mit einen Rechner der IPSec an geschaltet hat, z.B sicherer Server auf einen anderen Rechner innerhalb einer Domäne zugreifen ? Egal ob er eine Richtlinie anhat oder nicht, es ist dann etweder verschlüsselt oder unverschlüsselt ?

Richtig ?

[Thyral 10]

@all

 

Ich bekomme noch ein Schäuerchen :-))

 

Also, ich habe eine DOM und dort die Richtlinie (server) für lokalen Computer vergeben.

Alles klappt, solange ich nicht einen andere Richt5linie auf einen Client einstelle.

 

Nun habe ich in der andren Domäne eine Richtlinie (Server) eingestellt und ich bekomme keine Verbindung, wenn ich sie wieder auf cleint stelle, bekomme ich verbindung, aber unverschlüsselt.

 

WARUM ??

[IThome 10]

Was meinst Du mit Verbindung ? Von wo nach wo ? Stelle mal auf einem Knoten die "Server" Richtlinie ein und ändere testweise von Kerberos in "Vordefinierten Schlüssel". Auf einem anderen Knoten stellst Du "Client (nur Antwort)" ein und änderst von Kerberos in Vordefinierten Schlüssel. Wenn Du Dich von dem Client zum Server oder umgekehrt verbindest, findet eine Sicherheitsaushandlung statt. Vom Client oder Server aus zu jedem anderen Knoten, der entweder keine Richtlinie definiert hat oder nicht IPSec-fähig ist, wird unverschlüsselt kommuniziert ...

[Thyral 10]

@IThome

Ich habe eine \\server\Freigabe Verbindung gemacht, leider unverschlüsselt oder garnicht !!

 

Hmm, irgendwie habe ich das System falsch verstanden.

[IThome 10]

Mach es so wie weiter oben beschrieben (zum Testen und verstehen). Dann erstellst Du vom Server aus eine Verbindung zum Client und eine ins Internet oder zu einem anderen Client, der keine aktive Richtlinie zugewiesen hast . Dann öffnest Du auf dem Server die MMC-Konsole "IP-Sicherheitsmonitor" und navigierst dort zu Schnellmodus - Sicherheitszuordnungen. Dort siehst Du Zuordnungen, die verschlüsselt sind (zu dem Client, dessen Richtlinie aktiv ist) und Zuordnungen, die nicht verschlüsselt sind (Internet) ...

[Thyral 10]

@IThome

 

Danke, soweit hat es geklappt.

Jetzt kann ich aber immer noch nicht von einen Client ausserhalb der Domäne auf einen Rechner innerhalb der Domäne zugreifen.

Wenn ich es versuche, steht in der Sicherheitszuordnung der Domäne, esp, vertraulichkeit 3DES und ESP intigrität HMAC-SHA1, aber die Verbindung kommt nicht zu stande.

Ich habe im DOM-Server eingestellt, Sicherheit anforden und dort dann einen eigenen kurzen Kerberos Schlüssel vergeben.

Den Client habe ich Client nur Antworten eingestellt und auch den Kerberos Schlüssel gegeben.

 

Was ist falsch ??

[IThome 10]

Also scheint die Aushandlung ja funktioniert zu haben. Was passiert, wenn Du \\<IP-Adresse> benutzt ?

[ChristianHemker 10]

Den Client habe ich Client nur Antworten eingestellt und auch den Kerberos Schlüssel gegeben.

Das was du da meinst hat eher nicht mit Kerberos zu tun, ist einfach ein gemeinsam genutztes Passwort.

[Thyral 10]

@ChristianHemker

 

Danke, das wusste ich nicht, aber es wird bei Kerberos eingegeben !!

[ChristianHemker 10]

Es wird statt Kerberos eingegeben.

Als Authentifizierungsmethode für IPsec kann man Kerberos oder Zertifikate oder einen vorinstallierten Schlüssel verwenden.