didge4u
Goto Top

Zugriff auf Dateifreigabe nach IPSec Einrichtung

Nachdem ich IPSec hinter der Firewall auf zwei Windows Domänenrechnern erfolgreich getestet habe, wagte ich mich auf eine Dateifreigabe von der DMZ auf einen Windows 2003 Server innerhalb der Domäne zuzugreifen. Bisher vergeblich ...

Hallo Welt

Folgendes Szenario:

Ich betreue einen virtuellen VM-Ware Windows 2003 Server in der DMZ. Dieser Server müsste sich von einem weiteren Windows2003 Server in regelmässigen Abständen Textdateien einlesen und wieder abspeichern. (konkret: Laboranfragen und Laborresultate abspeichern)

Gemäss unseren Firewalladmins wurden der Port 500 und das ESP-Protokoll freigeschaltet, was für IPSec anscheinend ein Muss ist.

Ich bin nicht so der IPSec - Hirsch, aber ich habe hingekriegt, dass beide Rechner mit einem vordefiniertem Schlüssel über das IPSec Protokoll unterhalten. Folgendes wurde im "Event Viewer" eingetragen:

IKE security association established. Mode: Data Protection Mode (Quick Mode) Peer Identity: Filter: Source IP Address 130..x.x.xSource IP Address Mask 255.255.255.255Destination IP Address 130..x.x.xDestination IP Address Mask 255.255.255.255Protocol 0Source Port 0Destination Port 0IKE Local Addr 130.x.x.xIKE Peer Addr 130..x.x.xIKE Source Port 500IKE Destination Port 500Peer Private Addr Parameters: ESP Algorithm NoneHMAC Algorithm NoneAH Algorithm NoneEncapsulation NoneInboundSpi 4154220618 (0xf79c604a)OutBoundSpi 0 (0x0)Lifetime (sec) 28800Lifetime (kb) 0QM delta time (sec) 3Total delta time (sec) 3For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

Aber weshalb kann ich nicht auf \\Servername\Freigabe zugreifen?
Liegt es daran, das mein Rechner in einer Domäne liegt und die Sicherheitsrichtlinien den Zugriff verweigern?

HEELP! weiss von Euch jemand Rat? Danke im voraus für Eure Antworten.

Gruss Patrick

Content-Key: 95907

Url: https://administrator.de/contentid/95907

Ausgedruckt am: 28.03.2024 um 21:03 Uhr

Mitglied: aqui
aqui 02.09.2008 um 15:35:17 Uhr
Goto Top
Du musst in der Tat:
  • UDP 500 (IKE)
  • UDP 4500 (NAT Traversal)
  • ESP (IP Protokoll Nummer 50, Achtung NICHT TCP oder UDP 50 !!)

freigeben. Achtung: Das funktioniert nur wenn du IPsec im ESP Modus auch wirklich nutzt. IM IPsec AH Modus ist ein Port Forwarding technisch nicht möglich (Man in the Middle Attack!)
Du musst also sicherstellen, das du auch den ESP Modus nutzt und nicht irgendwas anderes !

Wenn der IPsec Tunnel sauber aufgebaut wird bist du schon mal auf der sicheren Seite ! Ein Ping des Geräts auf der anderen Seite und vice versa sollte in jedem Falle möglich sein, sonst brauchst du erstmal nicht weiterzusuchen.
Pingen muss klappen !!
Bedenke das du ggf. die lokale Firewall der Rechner customizen musst da du jetzt mit einem IP Fremdnetz zugreifst was normalerweise geblockt ist !!

Das Domänen Sicherheitsrichtlinien usw. netsprechen eingestellt sind um eine Zugriff zu erlauben setzen wir hier mal voraus !
Mitglied: didge4u
didge4u 03.09.2008 um 09:28:43 Uhr
Goto Top
Hallo
Besten Dank schon mal.
Leider habe ich keine Berechtigung auf der Firewall "rumzuschrauben". Das macht das ganze kompliziert. Anscheinend sind alle nötigen Ports offen (gemäss den Angaben der Security).

Ich muss nachfragen, ob der Port 4500 wirklich offen ist.


Gruss Patrick
Mitglied: aqui
aqui 03.09.2008 um 12:19:18 Uhr
Goto Top
Anscheinend.... klingt nicht gut !! Du solltest es da mit Lenin halten: "Vertrauen ist gut, Kontrolle ist besser...!" gerade in diesem Bereich und wenn du dich auf jemand anderes verlassen musst. Ohne das du selber die Firewall kontrollierst ist das ein Lotteriespiel oder du musst es eben mit einem Paketsniffer checken !

Du kannst ja sonst ganz einfach mal einen PC mit Wireshark oder dem MS Net-Monitor dazwischenhängen und prüfen ob dort IKE UPD 500 und ESP Pakete durchkommen.
Dann bist du wenigstens ganz sicher ob die Firewall richtig funktioniert oder doch noch blockt... Kontollieren ist alles face-wink
Mitglied: didge4u
didge4u 22.09.2008 um 15:07:40 Uhr
Goto Top
Yess! Endlich geschafft! Mann war das eine Zangengeburt .... Ich konnte mit einem kompetenten Securitymenschen das ganze nochmals durchexerzieren.

Das "greppen" der Firewalllogs ergab, dass der Port 51 auch gesperrt war. ich hatte bei der Konfiguration den Authentification Header eingeschaltet. Das braucht es wirklich nicht (das sei schon fast paranoid).


Gruss Patrick