Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Ipsec im internen Netzwerk einrichten

Frage Sicherheit Firewall

Mitglied: gnoovy

gnoovy (Level 1) - Jetzt verbinden

16.01.2012, aktualisiert 18.10.2012, 3848 Aufrufe, 7 Kommentare

hi zusammen,

ich habe eine generelle Frage zu ipsec. Primär wird ja ipsec zur Verbindung zwischen zwei oder mehreren Standorten verwendet. Nur da ja "man in the middle attacken" nichts mehr seltenes sind und mittels einem Netzwerksniffer auch der Datenverkehr in einem internen Netzwerk ausspioniert werden kann wollte ich erstmals in einer Testumgebung für das interne Netzwerk ipsec einrichten.
Hierzu habe ich in einer neuen GPO-Richtlinie "Secure Server (Require Security)" auf meinem Test-DC mit OS W2k8 R2 SP1 gewählt. Wohl mit der Absicht andere Clients, welche keine Verschlüsselung unterstützen, abzuweisen.
Wenn ich diese Richtlinie zuweise kann sich jedoch mein Windows7 Client ebenfalls mit SP1 und Mitglied in der Domäne nicht mehr mit dem Server verbinden.
Was habe ich hier noch falsch gemacht?
Mitglied: Luie86
17.01.2012, aktualisiert 18.10.2012
Hallo,

ich glaube der Client, muss die Sicherheit auch anfordern oder zumindest antworten.
Für den Client musst du also auch die Einstellungen bzw. Richtlinien konfigurieren.

Schau dir vielleicht mal diesen Thread an: http://www.administrator.de/forum/ipsec-icmp-verst%c3%a4ndniss-problem- ...


Was mich jetzt mal interessieren würde, wozu IPSec fürs LAN?
Ich hatte dieses Themengebiet auch in den Prüfungen für MCSE oder MCSA und ich muss sagen,
ich habe den Sinn für den Einsatz von IPSec im lokalen Netzwerk nicht wirklich verstanden.
Sicherheit spielt natürlich eine große Rolle aber bevor ich den Datenverkehr im Netzwerk verschlüssel
gibt es bestimmt sinnvollere Sicherheitsmaßnahmen die man einführen kann.

Oder seht ihr das anders?


Gruß Daniel
Bitte warten ..
Mitglied: gnoovy
17.01.2012 um 22:24 Uhr
naja ipsec sehe ich zum Beispiel nur als einen kleinen Teil eines Gesamtkonzepts zum Thema Sicherheit. Sicherlich ist eine gute Firewall, Virenscanner, Raid-Implementierungen, etc. mindestens genauso wichtig. Aber viele Gefahren gehen ka heutzutage auch von man in the middle attacken aus.
da sehe ich ipsec als einen wichtigen Punkt um diesen Angriffen entgegenzuwirken.

Erstmal vielen Dank für den Link. Werde ich mir mal durchlesen.

Bisher habe ich es so hinbekommen, dass ich anstatt require security request security konfiguriert habe. Greife ich danach beispielsweise vom Client auf den Server auf Freigaben oder $-Freigaben zu sehe ich im Netzwerk-Sniffer nur ESP-Einträge. Sollte ja somit passen oder? Bei require Security sehe ich halt das Problem, dass andere DCs, Member-Server und Clients die GPO gar nicht mehr anfordern können, da der DC mit der GPO gleich die Kommunikation sperrt. Und auf den restlichen Rechnern eine entsprechende GPO manuell einzurichten ist ja ab einer gewissen Größe nicht mehr praktikabel.
Somit frage ich mich ob require Security erst im VPN-Bereich Sinn macht...
Bitte warten ..
Mitglied: Luie86
18.01.2012 um 17:46 Uhr
Zitat von gnoovy:
Aber viele Gefahren gehen ka heutzutage auch von man in the middle attacken aus.
da sehe ich ipsec als einen wichtigen Punkt um diesen Angriffen entgegenzuwirken.

Das schon aber innerhalb des LAN´s? Ich weiss nicht.... Fremde kommen ja sicher nicht an deine
Switche etc.

Aber wie auch immer:

Wenn du ESP-Einträge im Sniffer siehst, wird der Datenverkehr auf jeden Fall verschlüsselt.
Require Security verlangt natürlich explizit die Verschlüsselung sonst wird die Verbindung abgelehnt.
Was du nun einstellst, solltest du dir überlegen und an deine Anforderungen anpassen.

Du kannst IPSec übrigens auch mit den IP-Sicherheitsregeln erstellen und vorallem noch feiner konfigurieren.
Das Tool findest du z.B. in der lokalen Sicherheitsrichtlinie -> IP-Sicherheitsrichtlinie.

Wenn du willst kann ich dir auch ein englisches Dokument u.a. zum Thema IPSec per PN schicken ;)


Gruß Daniel
Bitte warten ..
Mitglied: gnoovy
18.01.2012 um 20:21 Uhr
Hi Luie86,

gut ich denke, dass mit ipsec im internen LAN ist auch Geschmackssache Da es kaum Overhead erzeugt und leicht mittels GPO-Richtlinie konfigurierbar ist, hab ich mir gedacht warum auch nicht :D
Genau, mittels GPO-Richtlinie verteile ich ipsec auch im internen LAN. Ich habe zunächst dies in einer Testumgebung verifiziert und eine GPO direkt auf die Domäne mit request Security verknüpft. Wenn
ich jetzt umschalten will auf require Security ist keine Kommunikation mehr möglich. Liegt das daran, dass meine Server, Clients, etc. die GPO gar nicht mehr annehmen können, da der DC gleich blockt?
Wenn ja gibt es eine Möglichkeit require Security mittels GPO ganz normal an alle server / Clients in der Domäne zu replizieren?
Oder geht diese Einstellung wirklich nur im VPN-Bereich oder halt generell nur zwichen zwei oder mehreren Endpunkten, da diese Einstellungen an jedem Kommunikationspartner manuell eingestellt werden muss?
Bitte warten ..
Mitglied: Luie86
20.01.2012 um 19:24 Uhr
Hallo nochmal,

ich glaube du solltest bei "Require Security" die DC`s außen vorlassen und dort ggf. spezielle Sicherheitsrichtlinien
anwenden um anderen Clients die Kommunikation nicht komplett zu verweigern.
Du kannst z.B. eine GPO erstellen, in der du die entsprechenden Einstellungen konfigurierst und diese dann nur auf deine
Server & Clients anwendest, die IPSec auch verwenden sollen.
Wenn ich mich Recht entsinne, kann man auch Require Security verwenden, allerdings müssen dann auch alle Clients
IPSec können und natürlich auch benutzen. Dann sollte es aber gehen.
Ansonsten mach dir doch einfach benutzerdefinierte Sicherheitsregeln, in denen du dann z.B. nur SMB/CIFS verschlüsselst.
Zum Thema VPN mit Windows kann ich dir leider nicht viel sagen, weil ich es noch nie (außer mal zum Test) verwendet habe
und ich dafür auch immer Router benutze.

Gruß Daniel
Bitte warten ..
Mitglied: gnoovy
21.01.2012 um 20:27 Uhr
gut das ist eine Idee. Ich werde es aber mal trotzdem mit require Security versuchen und wie du sagst mal die dcs weglassen. Wobei ich ja meine, dass request Security vollkommen ausreicht in einer Domäne, oder?
Bitte warten ..
Mitglied: Luie86
23.01.2012 um 16:27 Uhr
Das kommt jetzt wieder ganz auf deine Anforderungen an.
Wenn du IPSec als zusätzliche Sicherheit einbauen möchtest und dir die Produktivität
des Netzes (das alles geht), wichtiger ist als die Sicherheit ist request Security sicher ausreichend.
Wenn es aber so sein soll, dass der Traffic verschlüsselt werden MUSS dann natürlich require.

Wie gesagt lies dir darüber vielleicht mal den einen oder anderen Artikel im Netz durch. Gibt
dazu bestimmt eine ganze Menge. Solltest du nichts finden, kann ich dir gerne das Buch schicken.
Ist aber leider nur in Englisch.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Netzwerke
Windows Netzwerk einrichten (7)

Frage von Enel85 zum Thema Netzwerke ...

Windows Netzwerk
Client-Server-Netzwerk einrichten (5)

Frage von Elduderino zum Thema Windows Netzwerk ...

Router & Routing
gelöst WLAN AP einrichten aber ohne zweites Netzwerk (7)

Frage von NetNewbie zum Thema Router & Routing ...

Windows Netzwerk
Windows Server 2003 SBS Netzwerk durch neuen Server Ersetzen (9)

Frage von MultiStorm zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...