Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

IPSec ICMP Verständniss Problem

Mitglied: cscholz

cscholz (Level 1) - Jetzt verbinden

01.07.2006, aktualisiert 02.07.2006, 6999 Aufrufe, 6 Kommentare

Ich habe gerade angefangen mich mit IPSec zu beschäftigen und habe da ein Problem, das ich mir nicht erklären kann.

Ich habe einen Server auf dem IPSec auf "Sicherheit anfordern" steht. In dieser Regel habe ich händisch dann ICMP auf erforderlich gesetzt.

Dann habe ich einen Client (XP SP2) auf dem keine IPSec Regel aktiviert ist.

Wenn ich nun über den Explorer auf den Server zugreife (\\server\share) dauert es einen Moment und ich bekomme das angeforderte share. Wenn ich nun auf dem Server in den IP-Sicherheitsmonitor schaue steht dort unter "Schnellmodus" eine aktive Sicherheitszuordnung. Also habe sich beide PC's auf IPSec geeinigte. (Der Client kann IPSec also verwenden die beiden es zu Kommunikation). Soweit okay.



Wenn ich nun aber den Server anpinge, bekomme ich immer eine Zeitüberschreitung. Für ICMP steht steht IPSec ja auf "Sicherheit erforderlich". Aber warum wird hier dann von den Geräten kein IPSec verwendet? Der Client geht im obigen Beispiel ja auf die Aufforderung des Servers IPSec zu verwenden ein.

Aktiviere ich nun aber am Client die Regel "Client (nur Antworten)" ohne eine feste ICMP Regel für die Kommunikation, so geht der ping nach kurzer Zeit durch, und der Client taucht auch in den Sicherheitszuordnungen auf. Warum geht es aber dann hier?
Mitglied: 24213
02.07.2006 um 06:43 Uhr
Hallo,

das stimmt leider so nicht.
Sicherheit anfordern bedeutet:
Sicherheit ist für den gesamten IP-Verkehr erforderlich, unter Verwendung von Kerberos. Ungesicherte Kommunikation mit Clients, die nicht auf die Anforderung antworten, ist zugelassen.
Das bedeutet, deine beiden Rechner haben keine IPSec-Verbindung aufgebaut. Bei Sicherheit anfordern "entscheidet" also der Server, ob eine IPSec-Verbindung eingegangen wird. Dein Client hat aber die Standardsicherheitsrichtlinie "nur Antwort" und das gibt dann keine Sec-Verbindung.
Selbst wenn Du auf dem Client keine SecRichtlinie aktiviert hast kommt es zur Kommunikation zwischen Server und Client, aber nicht über IPSec, sondern ganz normal, da keine SecRichtlinie auf dem Client vergleichbar ist mit nur Antworten(s.o.).
Da du händisch ICMP auf sichere Verbindung eingestellt hast kommt der Ping nicht durch, da "ping" mittels ICMP kommuniziert. Der Client hat aber keine SecRichtlinie und ein Handshake kommt zwischen Server und Client nicht zustande.
Grundsätzlich entscheidet dein Server ob eine IPSec-Verbindung zustande kommt. "Unterstüzt dein Client kein IPSec gibt es auch keine IPSec-Verbindung und der Server schaltet auf "normale Kommunikation" zurück.
Abschließend:
Hat der Server die Richtlinie "Sicherheit anforden" kommt es nur dann zu einer IPSec-Verbindung, wenn der Client die Richtlinie "Sicherheit erforderlich" hat.
Überprüfen kannst Du das folgendermassen:
Server auf Sicherheit anforden einstellen und Client auf Sicherheit erforderlich(Sicherheitsrichtlinie SecureWS).
Pinge den Server vom Client aus an über einen Dauerping. In der Dosbox siehst dann zuerst ein paar mall Zeitüberschreitung, nach dem Handshake erscheint dann verschlüsselte Verbindung und der Sever antwortet auf den Ping und meldet Antwort.
Vorsicht vor der Richtlinie "SecureDC" in einer Domain. Passt Du hierbei nicht auf kommst Du nie mehr auf Deinen Server!!!!!

Gruss
Bitte warten ..
Mitglied: cscholz
02.07.2006 um 13:38 Uhr
Der Server hat die Richtlinie "Server (Sicherheit anfordern)"
Der Client "Client (nur Antwort)"

Nun greifen ich auf den Server zu \\server\share
Ich bekomme den Inhalt angezeigt und gehe jetzt auf

http://2nibbles4u.de/temp/sicherheitszuordnung.gif

Dort steht nun folgender Eintrag:

01.
Benutzer		 Peer			Protokoll	Aushandlungsrichtlinie			 AH-Integrität		 ESP-Vertraulichkeit	ESP-Integrität 
02.
... 
03.
Server		   Client		  Beliebig	Sicherheit anfordern (optional)	<Kein>				3DES				  HMAC-SHA1 
04.
...
Also wurde doch eine IPSec Verbindung initiiert oder nicht
Bitte warten ..
Mitglied: 24213
02.07.2006 um 15:56 Uhr
Hallo,

Hier hast Du Recht, das eine verindung zustande gekommen ist.
Habe mal eine Domain aufgebaut und muss mich bzgl. meinem vorherigen Beitrag verbessern:

Szenario1:
Server wurde Sicherheit anfordern zugewiesen
Client hat keinerlei Zuweisungen
=> Mappen eines Laufwerkes funktioniert nicht, da Handshake nicht zustande kommt

Szenario2:
Server wurde Sicherheit anfordern zugewiesen
Client wurde nur Antwort zugewiesen
=> Ping von XP nach Server ergibt Antwort, jedoch kein Handshake
Grund:
Eigenschaften von Sicherheit anfordern:
Ungesicherte Kommunikation wird akzeptiert, ersucht aber, dass Clients immer Vertrauens- und Sicherheitsmethoden verwendden. Mit nicht vertrauenswürdigen Clients wird ungesichert kommuniziert, wenn diese nicht auf die Anforderung antworten.
Hierdurch wird dein Laufwerk gemappt bzw. ping ist erfolgreich

Szenario3:
Eigenschaften von Server (Sicherheit anfordern) - Regeln -> ICMP-Datenverkehr insgesamt auswählen und dann auf Bearbeiten. Dann Eigenschaften von Regel bearbeiten -> Filteraktion -> Sicherheit erforderlich makieren und auswählen -> Bearbeiten. Hier nun die Sicherheitsmethoden kontrollieren: Sicherheit aushandeln, alle Haken unten entfernen
Oken und alle Fenster schliessen..
Auf Server in DOS-Box wechseln und Client anpingen.
Jetzt erscheint als erster Eintrag IP-Sicherheit wird verhandelt und bei erfolg gibt Ping die entsprechenden Antworten und die IPSec Verbindung steht.

Bei Einrichten von IPSec-Richtlinien muss auf jeden Fall die jeweilige Regel und die zur Regel erweiterten Eigenschaften kontrolliert werden. Bei Servern (Sicherheit anfordern) ist in den erweiterten Eigenschaften der jeweiligen Regel der unverschlüsselte Austausch von ICMP-Paketen erlaubt.

Schlussfolgernd würde das bedeuten, das im Sicherheitsmonitor deine Verbindung zwischen Server und Client als verschlüsselt dargestellt wird, aber der ICMP-Verkehr unverschlüsselt erfolgt.

Hoffe Dir damit etwas geholfen zu haben.

Gruss
Bitte warten ..
Mitglied: cscholz
02.07.2006 um 16:24 Uhr
Zum Verständnis . . .

1. Als muss, damit IPSec zwischen Client und Server korrekt funktioniert auf dem Client mind. die Regel "Client (nur Antwort)" aktiviert sein, weil sonst generell keine sichere Verbindung aufgebaut wird, auch wenn der Server dies versucht? Ist das so korrekt?

2. Ich habe folgende Konstellation getestet:
Serverregel: Sicherer Server (Sicherheit erforderlich), + ICMP Sicherheit anfordern
Clientregel: Client (nur Antwort), unverändert

- ping geht durch. Verschlüsselt...
- entferne nun die Zuweisung der Serverregel
- ping bricht ab, es erscheint nur noch "IP-Sicherheit wird verhandelt"

Wieso? Erst wenn ich die Clientregel entferne geht es wieder.
Das heißt doch aber jetzt, dass wenn ich die IPSec Regel auf einem Produktiv-Server entferne ist die Kommunikation der Clients unterbrochen, bis ich bei denen auch die Regel entferne.
Bitte warten ..
Mitglied: 24213
02.07.2006 um 16:59 Uhr
Hallo,

zu 1.
Korrekt.
Man kann es auch mit einem Auto und einem Wohnanhänger vergleichen. Das Auto ist der Server und der Anhänger ist der Client. Damit Auto den Anhänger mitnehmen kann brauchst Du eine Anhängerkupplung zum Verbinden. Also ohne Kupplung bleibt der Anhänger zu Hause.

zu 2.
Ich weiss jetzt natürlich nicht wie gross deine Domain ist, aber Du musst dem Server bzw. veinem Netzwerk schon etwas Zeit geben. Die sicheren Verbindungsoptionen, also Benutzung von IPSec wird gecached. Wird auf diesen Cache nicht mehr zugegriffen werden Informationen automatisch nach einer gewissen Zeit (Standardeinstellung 3 Minuten) wieder gelöscht.
Also Serverzuweisung entfernen und etwas warten.
Was anderes ist es natürlich, wenn Du für Deinen ICMP-Verkehr extra eine Regel erstellt und dem Server zugewiesen hast. Dann unter den erweiterten Eigenschaften der Regel wieder das Häkchen setzen. Das Problem ist, das Du auf der XP nicht einstellen kannst, das ICMP verschlüsselt/unverschlüsselt verarbeitet werden soll, dafür ist es eine Workstation und kein Client.

Abschießend:
Nur und nur der Server entscheidet, anhand seiner Konfiguration ob eine Verbindung verschlüsselt aufgebaut werden soll.
Du greifst ja schließlich auf die Ressourcen, die der Server zur Verfügung stellt, zu und nicht umgekehrt.
Was anderes ist wiederum, wenn zwei Server Verbindungen aufbauen sollen, dann konfigurierst Du entsprechend auf beiden Servern Deinen ICMP-Verkehr.

Gruss
Bitte warten ..
Mitglied: 24213
02.07.2006 um 17:01 Uhr
Sorry,

unter 1. Die Anhängerkupplung ist natürlich IPSec.
unter 2. letzter Satz meine ich natürlich "ist eine Workstation und kein Server".

Tschau
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk
Verständniss Frage Netzwerk DHCP
gelöst Frage von racer1601Windows Netzwerk6 Kommentare

Morgen Ich habe da ein kleines Problem das ich lösen muss. Wahrscheinlich stehe nur gerade auf dem Schlauch. Einer ...

LAN, WAN, Wireless
Icmp DUP! replies
Frage von fabi186LAN, WAN, Wireless5 Kommentare

Hallo zusammen, ich habe seit kurzem das Problem, dass ein Drucker nicht mehr zuverlässig druckt und oft die Netzwerkverbindung ...

Voice over IP
VOIP Problem über IPSec
Frage von jompsiVoice over IP11 Kommentare

Hi zusammen Wir haben in unserer Firma seit einer Weile einen zweiten Standort. Dieser zweite Standort ist mit IPSec ...

LAN, WAN, Wireless
Vlan Verständniss Frage
gelöst Frage von PamoITLAN, WAN, Wireless3 Kommentare

Guten Abend Community, Ich habe mir zum ersten mal Vlan genauer angeschaut, aber bin mir nicht ganz sicher ob ...

Neue Wissensbeiträge
Ausbildung

Linux-Ausstieg in Niedersachsen - Windows statt Bugfix

Information von StefanKittel vor 1 TagAusbildung9 Kommentare

Sind ja nur Steuergelder

Speicherkarten

Neuer Speicherkartentyp - zunächst nur für Huawei-Smartphones (künftig auch für Notebooks u. Tablets?)

Tipp von VGem-e vor 3 TagenSpeicherkarten3 Kommentare

Servus, als ob das "Chaos" i.S. Speicherkarten noch nicht groß genug wäre?! Evtl. kommt dieser neue Kartentyp bald auch ...

Sicherheit

Diverse D-Link-Router durch drei Schwachstellen kompromittierbar

Information von kgborn vor 3 TagenSicherheit

Hat jemand D-Link-Router in Verwendung? Einige Modelle sind sicherheitstechnisch offen wie ein Scheunentor. Äußerst unschöne Sache, aber nichts neues ...

Hardware

100.000 Mikrotik-Router ungefragt von Hacker abgesichert

Information von 7Gizmo7 vor 3 TagenHardware3 Kommentare

Hallo zusammen, da hier ja öfters mal von Mikrotik gesprochen wird. Trotz Updates klafft eine Sicherheitslücke in Hundertausenden Mikrotik-Routern. ...

Heiß diskutierte Inhalte
Vmware
Offene LDAP-Server in AS
gelöst Frage von obi-wan-kenobiVmware18 Kommentare

Hallo alle Miteinander, ich habe ein Problem, unsere VM-Ware Appliance (Version. 6.5.0.10000) ist scheinbar angreifbar. Wir haben eben die ...

SAN, NAS, DAS
Nas mit USB und LAN gleichzeitig zugreifen
gelöst Frage von MarkBeakerSAN, NAS, DAS16 Kommentare

Hallo zusammen, ich suche eine Art NAS, womit ich via LAN und USB zugreifen kann. Folgender Aufbau ist gedacht: ...

Suche Projektpartner
Debian 9.5 32 Bit und PHP 7 Fehlerbeseitigungen
Frage von zeroblue2005Suche Projektpartner11 Kommentare

Hallo Zusammen, ich habe eine VM auf Basis von ESXI am laufen. Dieser wurde unter Debian 7 installiert mt ...

Windows Server
Zertifikat RemoteDesktop hinterlegen
Frage von Green14Windows Server10 Kommentare

Hallo zusammen. ich habe mehrere Server (WinSrv 2016). Die Server sind in keiner Domäne und keine Terminalserver. Ich verbinde ...