7
Ipsec im internen Netzwerk einrichten
hi zusammen,
ich habe eine generelle Frage zu ipsec. Primär wird ja ipsec zur Verbindung zwischen zwei oder mehreren Standorten verwendet. Nur da ja "man in the middle attacken" nichts mehr seltenes sind und mittels einem Netzwerksniffer auch der Datenverkehr in einem internen Netzwerk ausspioniert werden kann wollte ich erstmals in einer Testumgebung für das interne Netzwerk ipsec einrichten.
Hierzu habe ich in einer neuen GPO-Richtlinie "Secure Server (Require Security)" auf meinem Test-DC mit OS W2k8 R2 SP1 gewählt. Wohl mit der Absicht andere Clients, welche keine Verschlüsselung unterstützen, abzuweisen.
Wenn ich diese Richtlinie zuweise kann sich jedoch mein Windows7 Client ebenfalls mit SP1 und Mitglied in der Domäne nicht mehr mit dem Server verbinden.
Was habe ich hier noch falsch gemacht?
ich habe eine generelle Frage zu ipsec. Primär wird ja ipsec zur Verbindung zwischen zwei oder mehreren Standorten verwendet. Nur da ja "man in the middle attacken" nichts mehr seltenes sind und mittels einem Netzwerksniffer auch der Datenverkehr in einem internen Netzwerk ausspioniert werden kann wollte ich erstmals in einer Testumgebung für das interne Netzwerk ipsec einrichten.
Hierzu habe ich in einer neuen GPO-Richtlinie "Secure Server (Require Security)" auf meinem Test-DC mit OS W2k8 R2 SP1 gewählt. Wohl mit der Absicht andere Clients, welche keine Verschlüsselung unterstützen, abzuweisen.
Wenn ich diese Richtlinie zuweise kann sich jedoch mein Windows7 Client ebenfalls mit SP1 und Mitglied in der Domäne nicht mehr mit dem Server verbinden.
Was habe ich hier noch falsch gemacht?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 179023
Url: https://administrator.de/contentid/179023
Printed on: April 24, 2024 at 18:04 o'clock
7 Comments
Latest comment
Hallo,
ich glaube der Client, muss die Sicherheit auch anfordern oder zumindest antworten.
Für den Client musst du also auch die Einstellungen bzw. Richtlinien konfigurieren.
Schau dir vielleicht mal diesen Thread an: IPSec ICMP Verständniss Problem
Was mich jetzt mal interessieren würde, wozu IPSec fürs LAN?
Ich hatte dieses Themengebiet auch in den Prüfungen für MCSE oder MCSA und ich muss sagen,
ich habe den Sinn für den Einsatz von IPSec im lokalen Netzwerk nicht wirklich verstanden.
Sicherheit spielt natürlich eine große Rolle aber bevor ich den Datenverkehr im Netzwerk verschlüssel
gibt es bestimmt sinnvollere Sicherheitsmaßnahmen die man einführen kann.
Oder seht ihr das anders?
Gruß Daniel
ich glaube der Client, muss die Sicherheit auch anfordern oder zumindest antworten.
Für den Client musst du also auch die Einstellungen bzw. Richtlinien konfigurieren.
Schau dir vielleicht mal diesen Thread an: IPSec ICMP Verständniss Problem
Was mich jetzt mal interessieren würde, wozu IPSec fürs LAN?
Ich hatte dieses Themengebiet auch in den Prüfungen für MCSE oder MCSA und ich muss sagen,
ich habe den Sinn für den Einsatz von IPSec im lokalen Netzwerk nicht wirklich verstanden.
Sicherheit spielt natürlich eine große Rolle aber bevor ich den Datenverkehr im Netzwerk verschlüssel
gibt es bestimmt sinnvollere Sicherheitsmaßnahmen die man einführen kann.
Oder seht ihr das anders?
Gruß Daniel
naja ipsec sehe ich zum Beispiel nur als einen kleinen Teil eines Gesamtkonzepts zum Thema Sicherheit. Sicherlich ist eine gute Firewall, Virenscanner, Raid-Implementierungen, etc. mindestens genauso wichtig. Aber viele Gefahren gehen ka heutzutage auch von man in the middle attacken aus.
da sehe ich ipsec als einen wichtigen Punkt um diesen Angriffen entgegenzuwirken.
Erstmal vielen Dank für den Link. Werde ich mir mal durchlesen.
Bisher habe ich es so hinbekommen, dass ich anstatt require security request security konfiguriert habe. Greife ich danach beispielsweise vom Client auf den Server auf Freigaben oder $-Freigaben zu sehe ich im Netzwerk-Sniffer nur ESP-Einträge. Sollte ja somit passen oder? Bei require Security sehe ich halt das Problem, dass andere DCs, Member-Server und Clients die GPO gar nicht mehr anfordern können, da der DC mit der GPO gleich die Kommunikation sperrt. Und auf den restlichen Rechnern eine entsprechende GPO manuell einzurichten ist ja ab einer gewissen Größe nicht mehr praktikabel.
Somit frage ich mich ob require Security erst im VPN-Bereich Sinn macht...
da sehe ich ipsec als einen wichtigen Punkt um diesen Angriffen entgegenzuwirken.
Erstmal vielen Dank für den Link. Werde ich mir mal durchlesen.
Bisher habe ich es so hinbekommen, dass ich anstatt require security request security konfiguriert habe. Greife ich danach beispielsweise vom Client auf den Server auf Freigaben oder $-Freigaben zu sehe ich im Netzwerk-Sniffer nur ESP-Einträge. Sollte ja somit passen oder? Bei require Security sehe ich halt das Problem, dass andere DCs, Member-Server und Clients die GPO gar nicht mehr anfordern können, da der DC mit der GPO gleich die Kommunikation sperrt. Und auf den restlichen Rechnern eine entsprechende GPO manuell einzurichten ist ja ab einer gewissen Größe nicht mehr praktikabel.
Somit frage ich mich ob require Security erst im VPN-Bereich Sinn macht...
Zitat von @gnoovy:
Aber viele Gefahren gehen ka heutzutage auch von man in the middle attacken aus.
da sehe ich ipsec als einen wichtigen Punkt um diesen Angriffen entgegenzuwirken.
Aber viele Gefahren gehen ka heutzutage auch von man in the middle attacken aus.
da sehe ich ipsec als einen wichtigen Punkt um diesen Angriffen entgegenzuwirken.
Das schon aber innerhalb des LAN´s? Ich weiss nicht.... Fremde kommen ja sicher nicht an deine
Switche etc.
Aber wie auch immer:
Wenn du ESP-Einträge im Sniffer siehst, wird der Datenverkehr auf jeden Fall verschlüsselt.
Require Security verlangt natürlich explizit die Verschlüsselung sonst wird die Verbindung abgelehnt.
Was du nun einstellst, solltest du dir überlegen und an deine Anforderungen anpassen.
Du kannst IPSec übrigens auch mit den IP-Sicherheitsregeln erstellen und vorallem noch feiner konfigurieren.
Das Tool findest du z.B. in der lokalen Sicherheitsrichtlinie -> IP-Sicherheitsrichtlinie.
Wenn du willst kann ich dir auch ein englisches Dokument u.a. zum Thema IPSec per PN schicken ;)
Gruß Daniel
Hi Luie86,
gut ich denke, dass mit ipsec im internen LAN ist auch Geschmackssache
Da es kaum Overhead erzeugt und leicht mittels GPO-Richtlinie konfigurierbar ist, hab ich mir gedacht warum auch nicht :D
Genau, mittels GPO-Richtlinie verteile ich ipsec auch im internen LAN. Ich habe zunächst dies in einer Testumgebung verifiziert und eine GPO direkt auf die Domäne mit request Security verknüpft. Wenn
ich jetzt umschalten will auf require Security ist keine Kommunikation mehr möglich. Liegt das daran, dass meine Server, Clients, etc. die GPO gar nicht mehr annehmen können, da der DC gleich blockt?
Wenn ja gibt es eine Möglichkeit require Security mittels GPO ganz normal an alle server / Clients in der Domäne zu replizieren?
Oder geht diese Einstellung wirklich nur im VPN-Bereich oder halt generell nur zwichen zwei oder mehreren Endpunkten, da diese Einstellungen an jedem Kommunikationspartner manuell eingestellt werden muss?
gut ich denke, dass mit ipsec im internen LAN ist auch Geschmackssache
Da es kaum Overhead erzeugt und leicht mittels GPO-Richtlinie konfigurierbar ist, hab ich mir gedacht warum auch nicht :DGenau, mittels GPO-Richtlinie verteile ich ipsec auch im internen LAN. Ich habe zunächst dies in einer Testumgebung verifiziert und eine GPO direkt auf die Domäne mit request Security verknüpft. Wenn
ich jetzt umschalten will auf require Security ist keine Kommunikation mehr möglich. Liegt das daran, dass meine Server, Clients, etc. die GPO gar nicht mehr annehmen können, da der DC gleich blockt?
Wenn ja gibt es eine Möglichkeit require Security mittels GPO ganz normal an alle server / Clients in der Domäne zu replizieren?
Oder geht diese Einstellung wirklich nur im VPN-Bereich oder halt generell nur zwichen zwei oder mehreren Endpunkten, da diese Einstellungen an jedem Kommunikationspartner manuell eingestellt werden muss?
Hallo nochmal,
ich glaube du solltest bei "Require Security" die DC`s außen vorlassen und dort ggf. spezielle Sicherheitsrichtlinien
anwenden um anderen Clients die Kommunikation nicht komplett zu verweigern.
Du kannst z.B. eine GPO erstellen, in der du die entsprechenden Einstellungen konfigurierst und diese dann nur auf deine
Server & Clients anwendest, die IPSec auch verwenden sollen.
Wenn ich mich Recht entsinne, kann man auch Require Security verwenden, allerdings müssen dann auch alle Clients
IPSec können und natürlich auch benutzen. Dann sollte es aber gehen.
Ansonsten mach dir doch einfach benutzerdefinierte Sicherheitsregeln, in denen du dann z.B. nur SMB/CIFS verschlüsselst.
Zum Thema VPN mit Windows kann ich dir leider nicht viel sagen, weil ich es noch nie (außer mal zum Test) verwendet habe
und ich dafür auch immer Router benutze.
Gruß Daniel
ich glaube du solltest bei "Require Security" die DC`s außen vorlassen und dort ggf. spezielle Sicherheitsrichtlinien
anwenden um anderen Clients die Kommunikation nicht komplett zu verweigern.
Du kannst z.B. eine GPO erstellen, in der du die entsprechenden Einstellungen konfigurierst und diese dann nur auf deine
Server & Clients anwendest, die IPSec auch verwenden sollen.
Wenn ich mich Recht entsinne, kann man auch Require Security verwenden, allerdings müssen dann auch alle Clients
IPSec können und natürlich auch benutzen. Dann sollte es aber gehen.
Ansonsten mach dir doch einfach benutzerdefinierte Sicherheitsregeln, in denen du dann z.B. nur SMB/CIFS verschlüsselst.
Zum Thema VPN mit Windows kann ich dir leider nicht viel sagen, weil ich es noch nie (außer mal zum Test) verwendet habe
und ich dafür auch immer Router benutze.
Gruß Daniel
gut das ist eine Idee. Ich werde es aber mal trotzdem mit require Security versuchen und wie du sagst mal die dcs weglassen. Wobei ich ja meine, dass request Security vollkommen ausreicht in einer Domäne, oder?
Das kommt jetzt wieder ganz auf deine Anforderungen an.
Wenn du IPSec als zusätzliche Sicherheit einbauen möchtest und dir die Produktivität
des Netzes (das alles geht), wichtiger ist als die Sicherheit ist request Security sicher ausreichend.
Wenn es aber so sein soll, dass der Traffic verschlüsselt werden MUSS dann natürlich require.
Wie gesagt lies dir darüber vielleicht mal den einen oder anderen Artikel im Netz durch. Gibt
dazu bestimmt eine ganze Menge. Solltest du nichts finden, kann ich dir gerne das Buch schicken.
Ist aber leider nur in Englisch.
Wenn du IPSec als zusätzliche Sicherheit einbauen möchtest und dir die Produktivität
des Netzes (das alles geht), wichtiger ist als die Sicherheit ist request Security sicher ausreichend.
Wenn es aber so sein soll, dass der Traffic verschlüsselt werden MUSS dann natürlich require.
Wie gesagt lies dir darüber vielleicht mal den einen oder anderen Artikel im Netz durch. Gibt
dazu bestimmt eine ganze Menge. Solltest du nichts finden, kann ich dir gerne das Buch schicken.
Ist aber leider nur in Englisch.
