Schrittweise Anleitung zu Internet Protocol Security
Werbung
Schrittweise Anleitung zu Internet Protocol Security (IPSec) Veröffentlicht: Donnerstag, 17. Februar 2000 Internet Protocol Security (IPSec) stellt anwendungstransparente Verschlüsselungsdienste für IP-Netzwerkverkehr sowie andere Schutzmechanismen für den Netzwerkzugriff für das Betriebssystem Windows® 2000 zur Verfügung. Diese Anleitung beschäftigt sich hauptsächlich damit, wie der IPSec-Übertragungsmodus möglichst schnell zum Sichern des Anwendungsverkehrs zwischen einem Client und einem Server verwendet werden kann. Sie zeigt, wie zwischen zwei Windows 2000basierten Systemen, die zu einer Windows 2000-Domäne gehören, mithilfe der IPSecStandardrichtlinien Sicherheit aktiviert werden kann. Sobald die beiden Computer Mitglied der Domäne sind, sollten Sie den ersten Teil des Leitfadens durcharbeiten, der in maximal 30 Minuten die Standardrichtlinien demonstriert. Sie finden auch Hinweise dazu, wie Sie Nicht-IPSec-Clients die Kommunikation mit dem Server ermöglichen. Schrittweise lernen Sie, wie Zertifikate verwendet werden und wie Sie Ihre eigenen Richtlinien für weiter gehende Tests der Interoperabilität aufstellen oder IPSec demonstrieren, wenn keine Windows 2000-Domäne verfügbar ist. Inhalt Einführung Voraussetzungen Vorbereiten zum Testen Verwenden einer integrierten IPSec-Richtlinie Aufstellen einer benutzerdefinierten IPSec-Richtlinie Testen Ihrer benutzerdefinierten IPSec-Richtlinie Verwenden von Zertifikatsauthentifizierung Grundlegendes zur IKE-Aushandlung (fortgeschrittene Benutzer) Problembehandlung Weitere Informationen Einführung Mithilfe von Internet Protocol Security (IPSec) können Sie Datenschutz, -integrität, echtheit und im Netzwerkverkehr Schutz vor Replay-Angriffen in den folgenden Szenarien erreichen: Bereitstellen von Endpunktsicherheit zwischen Client und Server, zwischen Servern und zwischen Clients unter Verwendung des IPSec-Übertragungsmodus. Sichern des Remotezugriffs vom Client auf den Gateway über das Internet unter Verwendung des durch IPSec gesicherten L2TP (Layer Two Tunneling Protocol)Protokolls. IPSec ermöglicht gesicherte Gateway-zu-Gateway-Verbindungen über externe private WAN- oder Internet-basierte Verbindungen mithilfe von L2TP/IPSec-Tunnels oder reinem IPSec-Tunnelmodus. Der IPSec-Tunnelmodus wurde nicht zur Verwendung für VPN (Virtual Private Network)-Remotezugriff entwickelt. Das Betriebssystem Microsoft Windows® 2000 Server vereinfacht die Bereitstellung und Verwaltung von Netzwerksicherheit mit Windows 2000 IP-Sicherheit, einer stabilen Implementierung von IP Security (IPSec). IPSec wurde von der Internet Engineering Task Force (IETF) als Sicherheitsarchitektur für das Internet Protocol (IP) entwickelt. Es definiert IP-Paketformate und zugehörige Infrastruktur, um eine starke Authentifizierung, Integrität, Schutz vor Replay-Angriffen und (optional) Vertraulichkeit für Endpunkt-Netzwerkverkehr bereitzustellen. Ein Dienst zur Sicherheitsaushandlung auf Anfrage und automatischer Schlüsselverwaltung wird ebenfalls über das von der IETF definierte IKE (Internet Key Exchange)-Protokoll RFC 2409 bereitgestellt. IPSec und zugehörige Dienste in Windows 2000 wurden von Microsoft und Cisco Systems, Inc gemeinsam entwickelt. Windows 2000 IP-Sicherheit baut durch Integrieren von Windows 2000-Domänen und der Active DirectoryTM-Dienste auf der IPSec-Architektur der IETF auf. Active Directory ermöglicht richtlinienbasierte, verzeichnisfähige Netzwerke mithilfe von Gruppenrichtlinien, um IPSec-Richtlinienzuweisung und Verteilung an Windows 2000Domänenmitglieder zur Verfügung zu stellen. Die Implementierung von IKE ermöglicht drei auf IETF-Standards basierende Authentifizierungsmethoden zum Herstellen einer Vertrauensstellungen zwischen Computern. Die von der Windows 2000-basierten Domäneninfrastruktur zur Verfügung gestellte Kerberos v5.0-Authentifizierung stellte sichere Kommunikationsverbindungen zwischen Computern in einer Domäne oder zwischen vertrauenswürdigen Domänen her. Öffentliche/Private Schlüsselsignaturen unter Verwendung von Zertifikaten ist mit mehreren Zertifikatsystemen kompatibel, darunter Microsoft, Entrust, VeriSign und Netscape. Kennwörter, genannt vorinstallierte Authentifizierungsschlüssel, die ausschließlich zum Herstellen von Vertrauensstellungen und nicht zum Schutz von Anwendungsdatenpaketen verwendet werden. Sobald sich Peercomputer gegenseitig authentifiziert haben, generieren sie große Mengen von Verschlüsselungskomponenten zum Verschlüsseln von Anwendungsdatenpaketen. Diese Schlüssel sind nur den beiden Computern bekannt. Ihre Daten sind daher sehr gut gegen Änderung oder Interpretation durch Angreifer geschützt, die sich möglicherweise im Netzwerk befinden. Jeder Peer verwendet IKE, um auszuhandeln, welcher Schlüsseltyp und welche Schlüsselstärke verwendet werden und mit welchem Sicherheitstyp der Anwendungsverkehr geschützt werden soll. Die Schlüssel werden gemäß den Einstellungen der IPSec-Richtlinien automatisch aktualisiert, damit sie unter der Kontrolle des Administrators ständigen Schutz bieten. Szenarien zur Endpunktverwendung von IPSec Internet Protocol Security (IPSec) in Windows 2000 ist für den Einsatz durch Netzwerkadministratoren gedacht, um Anwendungsdaten von Benutzern transparent zu sichern. In allen Fällen ist die Verwendung von Kerberos-Authentifizierung und Domänenvertrauensstellungen am einfachsten. Zertifikate oder vorinstallierte Schlüssel lassen sich für nicht vertrauenswürdige Domänen oder Interoperabilität mit Produkten anderer Hersteller verwenden. Sie können die IPSec-Konfiguration, IPSec-Richtlinie genannt, mit Gruppenrichtlinien auf viele Clients und Server verteilen. Sichere Server IPSec-Sicherheit für den gesamten IP-Unicastverkehr ist je nach Serverkonfiguration durch den Administrator auf angefordert, aber optional oder angefordert und erforderlich eingestellt. Bei Verwendung dieses Modells müssen Clients nur eine Standardrichtlinie dafür haben, wie sie auf Sicherheitsanfragen von Servern reagieren. Sobald zwischen Client und Server IPSec-Sicherheitszuordnungen (eine in jeder Richtung) eingerichtet sind, bleiben sie noch eine Stunde nach dem Austausch des letzten Pakets zwischen den Computern wirksam. Nach dieser Stunde entfernt der Client die Sicherheitszuordnungen und kehrt zum ursprünglichen "Nur Antworten"-Status zurück. Wenn der Client erneut ungesicherte Pakete an denselben Server sendet, richtet der Server erneut IPSec-Sicherheit ein. Dies ist die einfachste Methode. Sie kann solange sicher ausgeführt werden, wie die ersten von der Anwendung an den Server gesendeten Pakete keine sicherheitsrelevanten Daten enthalten und solange der Server ungesicherte Klartextpakete von Clients empfangen darf. Vorsicht Diese serverseitige Konfiguration ist NUR für interne Netzwerkserver geeignet, da der Server von der IPSec-Richtlinie so konfiguriert ist, dass er eingehende ungesicherte Klartextpakete zulässt. Wenn sich der Server im Internet befindet, darf er NICHT über diese Konfiguration verfügen, da die Möglichkeit besteht, dass sich Denial Of Service-Angriffe, die Fähigkeit des Servers ausnutzen, eingehende ungesicherte Pakete zu empfangen. Sperren von Servern (Lockdown) Wenn auf den Server direkt aus dem Internet zugegriffen werden kann oder die ersten Clientpakete sicherheitsrelevante Daten enthalten, muss der Client eine IPSec-Richtlinie bekommen, damit er IPSec-Sicherheit für Verkehr anfordert, wenn der Client versucht, Daten an den Server zu senden. Dieser Leitfaden demonstriert diese Konfiguration nicht, sie kann jedoch mithilfe des Verfahrens problemlos aktiviert werden, das im Abschnitt Configure an IPSec Filter Action (englischsprachig) (Konfigurieren einer IPSecFilteraktion) beschrieben wird. Clients und Server haben spezifische Regeln, um nur bestimmte Netzwerkpakete zuzulassen, zu blockieren oder zu sichern (protokoll- oder anschlussspezifisch). Diese Lösung ist schwieriger zu konfigurieren und fehleranfälliger, da sie fundierte Kenntnisse über die Art des Netzwerkverkehrs erfordert, den eine Anwendung sendet und empfängt, und über administrative Koordination, um sicherzustellen, dass alle Clients und Server kompatible Richtlinien haben. Voraussetzungen Diese Anleitung ist als Übungseinheit für Netzwerk- und Systemadministratoren gedacht, um Verständnis und Kenntnisse über die Funktionsweise von Windows 2000 IPSec zu erwerben. Sie können eine IP-Sicherheitsrichtlinie lokal auf jedem Computer konfigurieren, diese Richtlinie implementieren und testen, ob gesicherte Netzwerkkommunikation erzielt wird. Zum Durcharbeiten dieses Leitfadens benötigen Sie die folgende Hardware: Zwei Computer, die das Betriebssystem Windows 2000 ausführen. Sie können als Domänenmitglieder zwei Windows 2000 Professional-Computer verwenden, wobei einer im IPSec-Sinn als Client und der andere als Server fungiert. Die beiden Testsysteme müssen Mitglieder derselben (oder einer vertrautswürdigen) Domäne sein. Ein Windows 2000 Server-Domänencontroller. Ein LAN oder WAN zur Verbindung dieser drei Computer. Die in dieser Anleitung vorausgesetzte allgemeine Infrastruktur wird unter "Step-by-Step Guide to a Common Infrastructure for Windows 2000 Server Deployment" (Part 1 und Part 2 [englischsprachig]) (Schrittweise Anleitung zu einer allgemeinen Infrastruktur zum Windows 2000 Server-Einsatz) behandelt. Wenn Sie die allgemeine Infrastruktur nicht verwenden, müssen Sie an dieser Anweisungsfolge die entsprechenden Änderungen vornehmen. Die im Verlauf dieses Dokuments verwendeten Computernamen basieren auf der allgemeinen Infrastruktur. Der Abschnitt für fortgeschrittene Benutzer erfordert die Fähigkeit, eine Verbindung zu einem Certificate Authority (CA)-Server herzustellen. Wenn Sie einen CA-Server in Ihrem Netzwerk installieren müssen, finden Sie entsprechende Informationen unter "Step by Step Guide to Setting Up a Certificate Authority" (englischsprachig) (Schrittweise Anleitung zum Einrichten einer Zertifizierungsstelle (Certificate Authority, CA)). Wenn Sie über einen MIT-kompatiblen Kerberos v5-Server verfügen und Windows 2000 IPSec mit dieser Kerberos-Vertrauensstellung testen möchten, finden Sie Informationen dazu unter "Step-by-Step Guide to Kerberos 5 Interoperability" (englischsprachig) (Schrittweise Anleitung für Interoperabilität mit Kerberos 5). Sie benötigen zwei Domänenmitglieder, um die integrierten Richtlinien zu verwenden, da diese vom Domänencontroller bereitgestellte Kerberos-Authentifizierung erfordern. Sie können IP-Sicherheit auch verwenden, ohne dass die beiden Computer Domänenmitglieder sind. Entsprechende Informationen finden Sie im Abschnitt über das Erstellen einer benutzerdefinierter Richtlinie. Nachdem Sie diesen Leitfaden durchgearbeitet haben, können Sie Folgendes: Eine integrierte IPSec-Richtlinie verwenden. Eine eigene IPSec-Richtlinie erstellen. Den Status der IP-Sicherheit überprüfen. Sammeln von Informationen Sie benötigen die folgenden Informationen für beide Testcomputer: Name Ihres Hosts (Klicken Sie auf dem Desktop mit der rechten Maustaste auf das Symbol Arbeitsplatz, klicken Sie auf Eigenschaften, und klicken Sie dann auf die Registerkarte Netzwerkidentifikation.) Ihre IP-Adresse (Klicken Sie auf Start und dann auf Ausführen, geben Sie cmd ein, und klicken Sie auf OK. Geben Sie an der Eingabeaufforderung ipconfig ein, und drücken Sie die EINGABETASTE. Wenn Sie Ihre IP-Adresse ermittelt haben, geben Sie exit ein, und drücken Sie die EINGABETASTE. Vorbereiten zum Testen Erstellen einer benutzerdefinierten Konsole Melden Sie sich beim ersten Testcomputer als Benutzer mit Administratorrechten an. In unserem Beispiel ist dies der Computer namens HQ-RES-WRK-01. Hinweis Im weiteren Verlauf dieses Dokuments bezieht sich HQ-RES-WRK-01 auf den ersten Testcomputer und HQ-RES-WRK-02 auf den zweiten Testcomputer. Wenn Ihre Computer andere Namen haben, müssen Sie die Schritte unter Verwendung der richtigen Namen nachvollziehen. Erstellen einer benutzerdefinierten MMC-Konsole 1. Klicken Sie auf dem Windows-Desktop auf Start und dann auf Ausführen. Geben Sie mmc in das Textfeld Öffnen ein. Klicken Sie auf OK. 2. Klicken Sie im Menü Konsole auf Snap-In hinzufügen/entfernen. 3. Klicken Sie im Dialogfeld Snap-In hinzufügen/entfernen auf Hinzufügen. 4. Klicken Sie im Dialogfeld Eigenständiges Snap-In hinzufügen auf Computerverwaltung, und klicken Sie dann auf Hinzufügen. 5. Stellen Sie sicher, dass Lokalen Computer (Computer, auf dem diese Konsole ausgeführt wird) ausgewählt ist, und klicken Sie auf Fertig stellen. 6. Klicken Sie im Dialogfeld Eigenständiges Snap-In hinzufügen auf Gruppenrichtlinie, und klicken Sie dann auf Hinzufügen. 7. Stellen Sie sicher, dass Lokaler Computer im Dialogfeld Gruppenrichtlinienobjekt auswählen ausgewählt ist, und klicken Sie auf Fertig stellen. 8. Klicken Sie im Dialogfeld Eigenständiges Snap-In hinzufügen auf Zertifikate, und klicken Sie dann auf Hinzufügen. 9. Wählen Sie Computerkonto aus, und klicken Sie auf Weiter. 10. Stellen Sie sicher, dass Lokalen Computer (Computer, auf dem diese Konsole ausgeführt wird) ausgewählt ist, und klicken Sie auf Fertig stellen. 11. Klicken Sie im Dialogfeld Eigenständiges Snap-In hinzufügen auf Schließen, um es zu schließen. 12. Klicken Sie im Dialogfeld Snap-In hinzufügen/entfernen auf OK, um es zu schließen. Aktivieren von Überwachungsrichtlinien für Ihren Computer Im nächsten Verfahren konfigurieren Sie die Überwachung, so dass ein Ereignis protokolliert wird, wenn IPSec an der Kommunikation beteiligt ist. Später können Sie dies zur Bestätigung dafür verwenden, dass IPSec einwandfrei arbeitet. So aktivieren Sie Überwachungsrichtlinien 1. Wählen Sie im linken Bereich der MMC-Konsole, Richtlinien für Lokaler Computer (Local Computer Policy) aus, und klicken Sie auf +, um die Struktur zu erweitern. Navigieren Sie von Computerkonfiguration (Computer Configuration) über Windows-Einstellungen (Windows Settings) und Sicherheitseinstellungen (Security Settings) zu Lokale Richtlinien (Local Policies), und wählen Sie Überwachungsrichtlinien (Audit Policy) aus. Abbildung 1: Navigieren zu "Überwachungsrichtlinien (Audit Policy)" in der IPSec-Konsole 2. Doppelklicken Sie in der im rechten Bereich angezeigten Liste der Attribute auf Anmeldeereignisse überwachen (Audit logon events). Das Dialogfeld Lokale Sicherheitsrichtlinie wird angezeigt. 3. Klicken Sie im Dialogfeld Lokale Sicherheitsrichtlinie unter Einstellung der lokalen Richtlinie auf die Kontrollkästchen Erfolgreich und Fehlgeschlagen, um beide zu aktivieren, und klicken Sie auf OK. 4. Wiederholen Sie die Schritte 2 und 3 für das Attribut Objektzugriffsversuche überwachen (Audit object access). Konfigurieren der IP-Sicherheitsüberwachung Um die von den IPSec-Richtlinien erstellten erfolgreichen Sicherheitsverbindungen zu überwachen, verwenden Sie das Tool IP-Sicherheitsüberwachung. Bevor Sie Richtlinien erstellen, starten und konfigurieren Sie zunächst das Tool. So starten und konfigurieren Sie die IP-Sicherheitsüberwachung 1. Klicken Sie auf Start und dann auf Ausführen, und geben Sie ipsecmon in das Textfeld Öffnen ein, um die IP-Sicherheitsüberwachung zu starten. Klicken Sie auf OK. 2. Klicken Sie in der IP-Sicherheitsüberwachung auf Optionen, und ändern Sie den Standardwert für Aktualisierung (Sek.) von 15 in 1. Klicken Sie auf OK. 3. Minimieren Sie das Fenster IP-Sicherheitsüberwachung. Sie verwenden dieses minimierte Tool später, um die Richtlinien im weiteren Verlauf dieses Leitfadens zu überwachen. Kehren Sie zum Anfang dieses Abschnitts, "Erstellen einer benutzerdefinierten Konsole", zurück, und wiederholen Sie für den zweiten Computer (in unserem Beispiel ist das der Computer namens HQ-RES-WRK-02) alle Schritte bis zu dieser Stelle. Verwenden einer integrierten IPSec-Richtlinie In dieser Übung aktivieren Sie eine der integrierten IPSec-Richtlinien, um den Verkehr zwischen den beiden Computern zu sichern. Die Standardrichtlinien verwenden zu Beginn Kerberos als Authentifizierungsmethode. Da beide Computer Mitglieder einer Windows 2000-Domäne sind, ist ein nur wenig Konfiguration erforderlich. So aktivieren Sie die Richtlinien auf HQ-RES-WRK-01: 1. Wählen Sie in im linken Bereich der vorher erstellten MMC-Konsole IPSicherheitsrichtlinien auf lokalem Computer. Im rechten Bereich befinden sich drei Einträge: Client (nur Antwort), Sicherer Server (Sicherheit erforderlich) und Server (Sicherheit anfordern). 2. Klicken Sie mit der rechten Maustaste auf Sicherer Server (Sicherheit erforderlich), und wählen Sie dann Zuweisen aus. Der Status in der Spalte Richtlinie zugewiesen sollte sich von Nein in Ja ändern. 3. Wiederholen Sie Schritt 1 für HQ-RES-WRK-02. Klicken Sie mit der rechten Maustaste auf Client (nur Antwort), und wählen Sie dann Zuweisenaus. Der Status in der Spalte Richtlinie zugewiesen ändert sich von Nein in Ja. Jetzt verfügen Sie über einen Computer (HQ-RES-WRK-01), der als sicherer Server fungiert, und über einen anderen Computer (HQ-RES-WRK-02), der als Client fungiert. Der Client sendet anfangs ungeschützte ICMP Echo-Pakete an den Server (mithilfe des Dienstprogramms Ping), doch fordert der Server dann beim Client Sicherheit an. Anschließend verläuft die restliche Kommunikation sicher. Wenn der Server das Ping einleitet, muss es zum Client gesichert werden, da der Server sonst die Ausführung im Netzwerk nicht zulässt. Wenn der Clientcomputer ebenfalls über eine sichere Serverrichtlinie verfügt, sendet er keine ungeschützten Pings oder anderen Verkehr. Stattdessen fordert er vor dem Senden von Anwendungsdaten IPSec-Schutz an. Wenn beide Computer über Clientrichtlinien verfügten, würden keine Daten geschützt, da keine Seite Sicherheit anfordert. 4. Klicken Sie auf HQ-RES-WRK-02 auf Start, dann auf Ausführen, geben Siecmd in das Textfeld ein, und klicken Sie auf OK. Geben Sie ping IP1 (die IP.Adresse von HQ-RES-WRK-01) ein. In diesem Beispiel ist IP1 10.10.1.5. Wie aus Abbildung 2 weiter unten hervorgeht, zeigt die ping-Antwort an, dass IPSec ausgehandelt wird. Abbildung 2: Ping zeigt IP-Sicherheitsaushandlung an 5. Stellen Sie das vorher minimierte Fenster IP-Sicherheitsüberwachung wieder her. Nun müssten Einzelheiten der Sicherheitszuordnung angezeigt werden, die momentan zwischen den beiden Computern verwendet wird, sowie Statistiken über die Anzahl der übertragenen authentifizierten und vertraulichen Bytes. 6. Wiederholen Sie den ping-Befehl. Da die beiden Computer jetzt IPSecSicherheitszuordnungen zwischen sich eingerichtet haben, sollten Sie vier erfolgreiche Antworten erhalten (siehe Abbildung 3). In diesem Beispiel ist IP1 10.10.1.5. Abbildung 3: Erfolgreiche ping-Antworten 7. Bleiben Sie auf HQ-RES-WRK-02, und klicken Sie im linken Bereich der MMC auf das + neben Computerverwaltung (Lokal), um sie zu erweitern. Erweitern Sie dann nacheinander Systemprogramme und Ereignisanzeige (und klicken Sie auf Sicherheit). Doppelklicken Sie im rechten Bereich auf die oberste Instanz von Erfolgsüberwachung. 8. Hier sollte die erfolgreiche Einrichtung einer IPSec-Sicherheitszuordnung (Security Association, SA) angezeigt werden. Verwenden Sie die Bildlaufleiste, um die gesamte Beschreibung anzuzeigen. Sie sollte ungefähr wie im folgenden Codebeispiel aussehen (Computernamen und IP-Adressen können abhängig von Ihrer Konfiguration abweichen): IKE-Sicherheitszuordnung wurde hergestellt Modus: Datenschutzmodus (Schnellmodus) Peerkennung: Kerberos-basierte Identität: [email protected] Peer-IP-Adresse: 10.10.1.5 Filter: Quell-IP-Adresse 10.10.1.6 Quell-IP-Adressmaske 255.255.255.255 Ziel-IP-Adresse 10.10.1.5 Ziel-IP-Adressmaske 255.255.255.255 Protokoll 0 Quellport 0 Zielport 0 Parameter: ESP-Algorithmus DES CBC HMAC-Algorithmus SHA AH-Algorithmus Kein Einkapselung Übertragungsmodus Eingehend Spi <eine große Zahl>1128617882 Ausgehend Spi <eine große Zahl>865899841 Gültigkeitsdauer (Sek.) 900 Gültigkeitsdauer (KB) 100000 Sie haben IP-Sicherheit zwischen den zwei Computern erfolgreich konfiguriert und verwendet. Einfluss sicherer Serverrichtlinien auf einen Computer Nur erfolgreich aushandelnde IPSec-Clients können mit dem sicheren Servercomputer kommunizieren. Der sichere Server kann auch nicht mit anderen Systemen, wie z. B. Domain Name System (DNS)-Servern, kommunizieren, wenn dieser Verkehr nicht mit IPSec gesichert werden kann. Da auf dem Server viele Dienste im Hintergrund ausgeführt werden, können sie wahrscheinlich nicht kommunizieren und Ereignisprotokolleinträge generieren. Dies ist normal, da die standardmäßige Richtlinie für sichere Server sehr streng ist und versucht, nahezu alle IP-Pakete zu sichern, bevor sie in das Netzwerk gelangen. Zur Verwendung in Produktionsumgebungen müssen Sie eigene Richtlinien erstellen, die sich entsprechend Ihren Sicherheitsanforderungen, Ihrer Netzwerktopologie und dem Einsatz bestimmter Serveranwendungen verhalten. Zulassen der Kommunikation von Nicht-IPSec-Clients mit einem Server Damit auch Nicht-IPSec-Clients kommunizieren können, müssen Sie die Richtlinie Server (Sicherheit anfordern) an Stelle der Richtlinie Sicherer Server (Sicherheit erforderlich) zuweisen. Dadurch wird immer Sicherheit angefordert, jedoch ist ungesicherte Kommunikation mit Clients möglich, indem auf Klartext zurückgegriffen wird, wenn der Client nicht auf die IKE-Aushandlungsanfrage antwortet. Wenn der Client antwortet, findet eine Aushandlung statt und muss vollständig erfolgreich abgeschlossen werden. Falls die Aushandlung fehlschlägt, wird die Kommunikation für eine Minute blockiert. Anschließend wird eine weitere Aushandlung versucht. Im Abschnitt "Konfigurieren einer IPSec-Filteraktion" werden die Einstellungen behandelt, die zum Steuern dieses Verhaltens verwendet werden. Heben Sie die Zuweisung der Richtlinien Sicherer Server (Sicherheit erforderlich)oder Server (Sicherheit anfordern) und Client (nur Antwort) auf, um die Computer in den vorherigen Zustand zurückzuversetzen, indem Sie mit der rechten Maustaste auf die Richtlinie im rechten Bereich klicken (unter IP-Sicherheitsrichtlinien auf lokalem Computer im linken Bereich) und dann auf Zuweisung entfernen klicken. Aufstellen einer eigenen IPSec-Richtlinie Im vorherigen Abschnitt verwendeten Sie eine der integrierten IPSec-Richtlinien, um den Verkehr zwischen zwei Domänenmitgliedern zu sichern. Wenn Sie den Verkehr zwischen zwei Computern sichern möchten, die keine Domänenmitglieder sind, müssen sie eine benutzerdefinierte Richtlinie erstellen, da integrierte Richtlinien voraussetzen, dass vom Domänencontroller Kerberos-Authentifizierung bereitgestellt wird. Es gibt jedoch weitere Gründe zum Aufstellen einer eigenen Richtlinie, so zum Beispiel, wenn Sie sicheren Verkehr auf Basis von Netzwerkadressen wünschen. In diesem Abschnitt erstellen Sie eine eigene IPSec-Richtlinie. Dazu definieren Sie zunächst eine Sicherheitsregel, dann eine Filterliste und bestimmen schließlich die Filteraktion. Konfigurieren einer IPSec-Richtlinie Bevor Sie die IPSec-Authentifizierungsmethode, Filterliste oder Aushandelungsmethode konfigurieren, müssen Sie zunächst eine neue Richtlinie erstellen. So erstellen Sie eine IPSec-Richtlinie 1. Klicken Sie auf HQ-RES-WRK-01 im linken Bereich der MMC-Konsole mit der rechten Maustaste auf IP-Sicherheitsrichtlinien auf lokalem Computer, und klicken Sie dann auf IP-Sicherheitsrichtlinie erstellen. Der Assistent für IPSicherheitsrichtlinien wird angezeigt. 2. Klicken Sie auf Weiter. 3. Geben Sie als Name Ihrer Richtlinie Partner ein, und klicken Sie auf Weiter. 4. Deaktivieren Sie das Kontrollkästchen Die Standardantwortregel aktivieren, und klicken Sie auf Weiter. 5. Stellen Sie sicher, dass das Kontrollkästchen Eigenschaften bearbeiten aktiviert ist (Standard), und klicken Sie dann auf Fertig stellen. 6. Stellen Sie im Dialogfeld Eigenschaften der soeben erstellten Richtlinie sicher, dass das Kontrollkästchen Assistent verwenden in der unteren rechten Ecke aktiviert ist, und klicken Sie dann auf Hinzufügen, um den SicherheitsregelAssistenten zu starten. 7. Klicken Sie auf Weiter, um den Sicherheitsregel-Assistenten zu durchlaufen. 8. Wählen Sie Diese Regel spezifiziert keinen Tunnel aus (standardmäßig ausgewählt), und klicken Sie dann auf Weiter. 9. Aktivieren Sie das Optionsfeld für Alle Netzwerkverbindungen (standardmäßig ausgewählt), und klicken Sie auf Weiter. Konfigurieren einer IKE-Authentifizierungsmethode Als Nächstes geben Sie an, wie die Computer sich gegenseitig vertrauen, indem Sie bestimmen, wie sie sich selbst authentifizieren ("sich ihre Identität gegenseitig beweisen"), wenn sie versuchen, eine Sicherheitszuordnung einzurichten. IKE für Windows 2000 ermöglicht drei Authentifizierungsmethoden zum Herstellen einer Vertrauensstellung zwischen Computern. Kerberos v5.0-Authentifizierung erfolgt durch die Windows 2000-Domäne, die als Kerberos v5.0-Schlüsselverteilungscenter (Key Distribution Center, KDC) dient. Dadurch wird auf einfache Weise eine sichere Kommunikation zwischen Windows 2000-Computern bereitgestellt, die Mitglieder in einer Domäne sind oder sich in vertrauenswürdigen Domänen befinden. IKE verwendet nur die Authentifizierungseigenschaften von Kerberos. Die Schlüsselgenerierung für IPSec-Sicherheitszuordnungen erfolgt über IKE RFC 2409-Methoden. Dies ist in der Datei draft-ietf-ipsec-isakmp-gss-auth-02.txt dokumentiert. Öffentliche/Private Schlüsselsignaturen unter Verwendung von Zertifikaten ist mit mehreren Zertifikatsystemen kompatibel, darunter Microsoft, Entrust, VeriSign und Netscape. Vorinstallierter Schlüssel: ein Kennwort, das ausnahmslos zum Herstellen von Vertrauensstellungen zwischen Computern verwendet wird. In dieser Übung verwenden Sie die Authentifizierung mit vorinstalliertem Schlüssel. Dies ist ein Wort oder Satz, den beide Computer (Sender und Empfänger) kennen müssen, damit ihnen der jeweils andere vertraut. Beide Seiten der IPSec-Kommunikation müssen diesen Wert kennen. Er wird nicht zum Verschlüsseln der Anwendungsdaten verwendet. Stattdessen wird er nur bei der Aushandlung verwendet, bei der eine Vertrauensstellung zwischen den beiden Computern hergestellt wird. Die IKE-Aushandlung verwendet diesen Wert, überträgt ihn jedoch nicht über das Netzwerk. Stattdessen wird der Authentifizierungsschlüssel innerhalb der IPSec-Richtlinie in Klartextform gespeichert. Jeder mit Administratorrechten für den Computer (oder jede gültige Domänenbenutzer-ID für einen Computer, der Mitglied der Domäne ist, auf der die IPSec-Richtlinie im Active Directory gespeichert ist) kann den Authentifizierungsschlüsselwert sehen.Der Domänenadministrator muss benutzerdefinierte Zugriffssteuerungen für das Verzeichnis IPSec-Richtlinie festlegen, damit normale Benutzer die IPSec-Richtlinie nicht lesen können. Microsoft empfiehlt daher die Verwendung eines vorinstallierten Schlüssels zur IPSec-Authentifizierung nur für Testzwecke oder in Fällen, in denen er zur Interoperabilität mit IPSecImplementierungen anderer Hersteller erforderlich ist. Microsoft empfiehlt stattdessen die Verwendung von Kerberos oder Zertifikatsauthentifizierung. So konfigurieren Sie die Authentifizierungsmethode für die Regel 1. Wählen Sie Diese Zeichenkette zum Schutz des Schlüsselaustauschs verwenden, und geben Sie als Zeichenfolge ABC123 ein. Sie dürfen keine leere Zeichenfolge verwenden. Klicken Sie auf Weiter. Hinweis Wenn Sie Zertifikate zur Authentifizierung verwenden möchten, beachten Sie bitte die Anleitung zum Anfordern eines Zertifikats für Testzwecke von Microsoft mithilfe der im Internet verfügbaren Zertifikatserver. Konfigurieren einer IPSec-Filterliste IP-Sicherheit wird auf IP-Pakete beim Senden und Empfangen angewendet. Pakete werden beim Senden (ausgehend) mit Filtern abgeglichen um zu prüfen, ob sie gesichert, blockiert oder im Klartext durchgeleitet werden müssen. Pakete werden auch beim Empfang (eingehend) abgeglichen um zu prüfen, ob sie gesichert, blockiert oder unverändert ins System gelassen werden müssen. Es gibt zwei Arten von Filtern: Filter, die die IPSec-Übertragungsmodussicherheit steuern, und Filter, die die IPSecTunnelmodussicherheit steuern. Zuerst werden IPSec-Tunnelfilter auf alle Pakete angewendet. Wenn kein Filter übereinstimmt, werden die IPSec-Übertragungsmodusfilter durchsucht. Einige wenige Arten von IP-Verkehr lassen sich wegen des Aufbaus von IPSec-Übertragungsfiltern in Windows 2000 nicht sichern. Dazu gehören die Folgenden: Broadcastadressen (normalerweise mit .255 am Ende) mit entsprechenden Subnetzmasken. Multicastadressen von 224.0.0.0 bis 239.255.255.255. RSVP-IP-Protokolltyp 46. So wird RSVP die Meldung von Dienstqualität (Quality of Service, QOS)-Anfragen für Anwendungsverkehr ermöglicht, der dann mit IPSec geschützt werden kann. Kerberos-UDP-Quell- oder Zielport 88. Kerberos selbst ist ein sicheres Protokoll, das der IKE-Aushandlungsdienst von IPSec zur Authentifizierung anderer Computer in einer Domäne verwendet. IKE-UDP-Zielport 500. Dieser Anschluss ist erforderlich, damit IKE Parameter für IPSec-Sicherheit aushandeln kann. Diese Ausnahmen gelten für IPSec Übertragungsmodusfilter. Übertragungsmodusfilter gelten für Hostpakete, die über eine Quelladresse des Computers verfügen, der das Paket sendet, oder über eine Zieladresse des Computers, der das Paket empfängt. IPSec-Tunnel können nur Unicast-IP-Verkehr sichern. Für IPSec-Tunnel verwendete Filter dürfen nur auf Adressen basieren, nicht auf Protokoll- und Portfeldern. Wäre der Tunnelfilter protokoll- oder anschlussspezifisch, würden die Teilstücke des Originalpakets vom Tunnel nicht übertragen und das ursprüngliche, vollständige IP-Paket ginge verloren. Wenn Unicast-Kerberos-, IKE- oder RSVP-Pakete an einer Schnittstelle empfangen und über eine andere Schnittstelle weitergeleitet werden (mithilfe von Paketweiterleitung oder RRAS [Routing and Remote Access Service]), werden sie von IPSec-Tunnelmodusfiltern berücksichtigt und können daher innerhalb des Tunnels übertragen werden. IPSec-Tunnelmodusfilter können keine Multicast- oder Broadcastpakete filtern. Diese würden daher nicht innerhalb des IPSec-Tunnels übertragen. Einzelne Filterspezifikationen sind in einer Filterliste gruppiert, damit komplexe Verkehrsmuster als eine benannte Filterliste gruppiert und verwaltet werden können, wie z. B. Dateiserver Gebäude 7 oder Gesamter blockierter Verkehr. Filterlisten können bei Bedarf von unterschiedlichen IPSec-Regeln in derselben Richtlinie oder von anderen IPSec-Richtlinien gemeinsam verwendet werden. Wenn Sie IP-Filter für Verkehr konfigurieren, der gesichert werden muss, stellen Sie sicher, dass Sie die Filter immer spiegeln. Beim Spiegeln der Filter werden automatisch eingehende und ausgehende Filter konfiguriert. Sie konfigurieren Filter zwischen Ihrem Computer und dem Computer Ihres Partners. Sie müssen einen ausgehenden Filter konfigurieren, indem Sie Ihre IP-Adresse als Quelladresse und Ihren Partner als Zieladresse angeben. Bei der Spiegelkonfiguration wird dann automatisch ein eingehender Filter konfiguriert, der den Computer Ihres Partners als Quelladresse und die IP-Adresse Ihres Computers als Zieladresse enthält. In diesem einfachen Fall gibt es in der Filterliste nur eine gespiegelte Filterspezifikation. Auf beiden Computern muss dieselbe Filterliste definiert werden. So konfigurieren Sie eine IP-Filterliste 1. Klicken Sie im Dialogfeld IP-Filterliste(IP Folter List) auf Hinzufügen (Add). Eine leere Liste für IP-Filter wird angezeigt. Nennen Sie Ihren Filter Partnerfilter (Partner Filter). 2. Stellen Sie sicher, dass in der Mitte des rechten Bildschirmbereichs Assistent verwenden aktiviert ist, und klicken Sie dann auf Hinzufügen. Der IP-FilterAssistent wird gestartet. 3. Klicken Sie auf Weiter, um fortzufahren. 4. Akzeptieren Sie Eigene IP-Adresse als Standardquelladresse, indem Sie auf Weiter klicken. 5. Wählen Sie aus dem Dropdown-Listenfeld Spezielle IP-Adresse, geben Sie die IP-Adresse Ihres Partners ein, und klicken Sie dann auf Weiter. 6. Klicken Sie auf Weiter, um den Protokolltyp Beliebig zu akzeptieren. 7. Stellen Sie sicher, dass das Kontrollkästchen Eigenschaften bearbeiten deaktiviert ist (Standardeinstellung), und klicken Sie auf Fertig stellen. 8. Klicken Sie auf Schließen, um das Dialogfeld IP-Filterliste zu verlassen und zum Sicherheitsregel-Assistenten zurückzukehren. 9. Wählen Sie im Dialogfeld IP-Filterliste das Optionsfeld neben Partnerfilter (Partner Filter). Abbildung 4: Auswählen von "Partnerfilter" 10. Klicken Sie auf Weiter. Lesen Sie den folgenden Abschnitt, bevor Sie die Schritte zur Konfiguration der Filteraktion ausführen. Konfigurieren einer IPSec-Filteraktion Sie haben soeben sowohl die Eingangs- als auch die Ausgangsfilter für übereinstimmende TCP/IP-Pakete konfiguriert. Im zweiten Schritt wird die Aktion konfiguriert, die für solche Pakete erfolgen soll. Sie können die mit den Filtern übereinstimmenden Pakete zulassen, blockieren oder sichern. Wenn Sie den Verkehr sichern möchten, muss auf beiden Computern eine kompatible Aushandlungsrichtlinie konfiguriert sein. Die integrierten Standards dürften zum Ausprobieren verschiedener Features ausreichen. Wenn Sie mit bestimmten Fähigkeiten experimentieren möchten, sollten Sie eine eigene neue Filteraktion erstellen. Zwei Methoden ermöglichen die Kommunikation mit Computern, die IPSec nicht ausführen können: Verwenden Sie die Filteraktion Zulassen, um Pakete im Klartext oder ungesichert zuzulassen. Verwenden Sie diese Aktion in Kombination mit einem Filter, der mit dem Verkehr übereinstimmt, den Sie in seiner eigenen Regel innerhalb der IPSecRichtlinie zulassen möchten. Eine typische Verwendung wäre es, die Verkehrsarten ICMP, DNS oder SNMP oder Verkehr zu bestimmten Zielen zuzulassen, wie z. B. dem Standardgateway, DHCP- und DNS-Servern, oder anderen Nicht-IPSec-Systemen. Konfigurieren Sie Ihre Filteraktion zur Verwendung der Einstellung Auf unsichere Kommunikation zurückgreifen. Diese Option wird im Assistenten vorgeschlagen. Wenn Sie diese Option auswählen, aktiviert der Assistent den Filteraktionsparameter Ungesicherte Kommunikation mit Nicht-IPSecfähigen Computern zulassen. Bei dieser Einstellung ist ungesicherte Kommunikation mit einem Ziel möglich, indem auf Klartext zurückgegriffen wird, wenn das Ziel nicht auf die IKE-Aushandlungsanfrage antwortet. Wenn der Client antwortet, findet eine Aushandlung statt und muss vollständig erfolgreich abgeschlossen werden. Wenn die IKE-Aushandlung fehlschlägt, werden die mit dem Filter übereinstimmenden ausgehenden Pakete eine Minute lang verworfen (blockiert). Danach verursacht ein weiteres ausgehendes Paket den Versuch einer weiteren IKE-Aushandlung. Diese Einstellung wirkt sich nur auf IKEAushandlungen aus, die vom Computer eingeleitet werden. Sie hat keinen Einfluss auf Computer, die eine Anfrage erhalten und darauf antworten. Der IKE RFC 2409-Standard enthält keine Methode, mit der beide Seiten normalen, ungesicherten oder Klartextmodus aushandeln können. So konfigurieren Sie die Filteraktion 1. Aktivieren Sie im Dialogfeld Filteraktion (Abbildung 5) das Kontrollkästchen Assistent verwenden (Use Add Wizard), und klicken Sie dann auf Hinzufügen (Add). Abbildung 5: Sicherstellen, dass das Kontrollkästchen "Assistent verwenden (Use Add Wizard)" ausgewählt ist 2. Klicken Sie auf Weiter, um den Filteraktions-Assistenten zu durchlaufen. 3. Nennen Sie diese Filteraktion Partner-Filteraktion, und klicken Sie auf Weiter. 4. Wählen Sie im Dialogfeld Filteraktion den Eintrag Sicherheit aushandeln, und klicken Sie auf Weiter. 5. Klicken Sie auf der nächsten Assistentenseite auf Keine Kommunikation mit Computern zulassen, die IPSec nicht unterstützen, und klicken Sie dann auf Weiter. 6. Wählen Sie aus der Liste der Sicherheitsmethoden Mittel aus, und klicken Sie auf Weiter. 7. Stellen Sie sicher, dass das Kontrollkästchen Eigenschaften bearbeiten deaktiviert ist (Standardeinstellung), und klicken Sie dann auf Fertig stellen, um diesen Assistenten zu schließen. 8. Klicken Sie im Dialogfeld Filteraktion auf das Optionsfeld neben PartnerFilteraktion, und klicken Sie dann auf Weiter. 9. Stellen Sie sicher, dass das Kontrollkästchen Eigenschaften bearbeiten deaktiviert ist, und klicken Sie dann auf Fertig stellen. Sie haben soeben die Filteraktion konfiguriert, die bei Aushandlungen mit Ihrem Partner verwendet wird. Sie können diese Filteraktion in anderen Richtlinien erneut verwenden. 10. Klicken Sie auf der nun angezeigten Seite Eigenschaften auf Schließen (Close). Sie haben erfolgreich eine IPSec-Richtlinie konfiguriert. Wiederholen Sie alle Schritte in diesem Verfahren auf HQ-RES-WRK-02, bevor Sie fortfahren. Testen Ihrer eigenen IPSec-Richtlinie Nachdem Sie jetzt eine IPSec-Richtlinie erstellt haben, sollten Sie sie vor dem Verwenden in einem Netzwerk testen. So testen Sie Ihre eigene IPSec-Richtlinie 1. Wählen Sie im linken Bereich der MMC-Konsole IP-Sicherheitsrichtlinien auf lokalem Computer aus. Beachten Sie, dass im rechten Bereich zusätzlich zu den drei integrierten Richtlinien die soeben konfigurierte Partner-Richtlinie aufgelistet ist. 2. Klicken Sie mit der rechten Maustaste auf Partner, und klicken Sie dann im Kontextmenü auf Zuweisen. Der Status in der Spalte Richtlinie zugewiesen sollte sich von Nein in Ja ändern. Führen Sie diesen Schritt auf beiden Computern aus, bevor Sie fortfahren. 3. Öffnen Sie ein Eingabeaufforderungsfenster, und geben Sie ping IP-Adresse des Partners ein. Sie sollten vier Meldungen erhalten, dass IP-Sicherheit ausgehandelt wird. Wenn Sie den Befehl wiederholen, sollten Sie vier erfolgreiche Ping-Antworten empfangen. 4. Stellen Sie das vorher minimierte Fenster IP-Sicherheitsüberwachung wieder her. Nun müssten Einzelheiten der Sicherheitszuordnung angezeigt werden, die momentan zwischen den beiden Computern verwendet wird, sowie Statistiken über die Anzahl der übertragenen authentifizierten und vertraulichen Bytes u. a.. Minimieren Sie das Fenster wieder. 5. Wählen Sie im linken Bereich der MMC-Konsole Computerverwaltungaus, und navigieren Sie über Systemprogramme zur Ereignisanzeige. Wählen Sie dann Sicherheit aus. Im Sicherheitsprotokoll sollten Sie Ereignis 541 sehen, das die Herstellung einer IPSec-Sicherheits Zuordnung (SA) anzeigt. 6. Wiederholen Sie Schritt 3, um die Zuweisung der Partner-Richtlinie rückgängig zu machen, und bringen Sie beide Computer wieder in den vorherigen Zustand. Klicken Sie dazu mit der rechten Maustaste auf die Richtlinie, und klicken Sie diesmal auf Zuweisung entfernen. Verwenden von Zertifikatsauthentifizierung Die Windows 2000-IPSec-Implementierung bietet die Möglichkeit, Computer bei IKE mit Zertifikaten zu authentifizieren. Die gesamte Zertifikatüberprüfung erfolgt durch die Kryptografie-API (Cryptographic API, CAPI). IKE handelt lediglich aus, welche Zertifikate zu verwenden sind und stellt Sicherheit für den Austausch der Zertifikatanmeldeinformationen zur Verfügung. Die IPSec-Richtlinie gibt an, welche Stammzertifizierungsstelle verwendet werden muss, aber nicht, welches Zertifikat zu verwenden ist. Beide Seiten müssen in ihrer IPSec-Richtlinienkonfiguration über eine gemeinsame Stammzertifizierungsstelle verfügen. Dies sind die Anforderungen an das für IPSec zu verwendende Zertifikat: Zertifikat ist im Computerkonto gespeichert (Computerspeicher). Zertifikat enthält einen öffentlichen RSA-Schlüssel, zu dem ein entsprechender privaten Schlüssel vorhanden ist, der sich für RSA-Signaturen eignet. Verwendet innerhalb des Zertifikatgültigkeitszeitraums. Die Stammzertifizierungsstelle ist vertrauenswürdig. Vom CAPI-Modul kann eine gültige Zertifizierungsstellenkette aufgebaut werden. Diese Anforderungen sind grundlegeng. IPSec erfordert nicht, dass das Computerzertifikat ein Zertifikat vom Typ IPSec ist, da vorhandene Zertifizierungsstellen diese Art von Zertifikat möglicherweise nicht ausstellen. Anfordern eines Microsoft-Zertifikats für Testzwecke Sie müssen zuerst ein gültiges Zertifikat von einem Zertifikatserver anfordern. Auch wenn Sie für diese Zwecke einen anderen Zertifikatserver verwenden möchten, sollten Sie zuerst für Testzwecke ein Microsoft-Zertifikat anfordern. Jedes gültige Computerzertifikat kann verwendet werden. Benutzerbasierte Zertifikate werden nicht verwendet. Wir haben die Kompatibilität mit mehreren Zertifikatsystemen getestet, einschließlich Microsoft, Entrust, VeriSign und Netscape. Hinweis Nicht alle Zertifikatserver registrieren Ihren Computer automatisch mit einem Zertifikat. Das Zertifikat muss im lokalen Computerkonto unter persönlichen Zertifikaten angezeigt werden, und das Stammzertifizierungsstellen-Zertifikat muss sich im Speicher Vertrauenswürdige Stammzertifizierungsstellen befinden. Weitere Informationen über die Anforderung von Computerzertifikaten von Nicht-Microsoft-Zertifikatservern finden Sie in den schrittweisen Anleitungen zu Zertifizierungsstellen in der Windows f2000 Step-by-Step Guides-Website (englischsprachig) (Schrittweise Anleitungen zu Windows 2000-Website). So fordern Sie ein Zertifikat an 1. Öffnen Sie Internet Explorer, und gehen Sie zur Zertifizierungsstellensite. Wenn Sie über keine andere Site verfügen, von der Sie Zertifikate erhalten, verwenden Sie: http://sectestca1.rte.microsoft.com (englischsprachig) Diese Site bietet Zugriff auf vier Zertifizierungsstellen. Aus Vereinfachungsgründen verwendet dieses Verfahren ein Zertifikat, das von der eigenständigen Hauptzertifizierungsstelle, sectestca3, ausgegeben wird. 2. Wählen Sie Standalone Root (RSA 2048) (Eigenständige Haupt (RSA 2048) ) aus. 3. Klicken Sie auf Request a Certificate (Zertifikat anfordern) und dann auf Next (Weiter). 4. Klicken Sie auf Erweiterte Anforderung (Advanced Request) und dann auf Next (Weiter). 5. Klicken Sie auf Submit a Certificate Request Using a Form (Zertifikatanforderung mit Formular übermitteln). Geben Sie im Formular Advanced Certificate Request (Erweiterte Zertifikatanforderung) die folgenden Angaben ein: Identifying Information (Informationen zur Identifikation): nach Bedarf Intended Purpose (Verwendungszweck): Client Authentication or Server Authentication. (Clientauthentifizierung oder Serverauthentifizierung). Dieses Feld legt das Feld Extenden key usage (Erweiterte Schlüsselverwendung) im Zertifikat fest. Es ist ebenfalls ein Feld IPSec Certificate (IPSec-Zertifikat)zur Unterstützung der von den Standardisierungsgruppen zurzeit entwickelten Spezifikation vorhanden. Sie können diesen Typ bei der Zusammenarbeit mit anderen IPSecImplementierungen verwenden, die es erfordern. Die Windows 2000IPSec-Zertifikatsauthentifizierung verwendet jedoch jedes gültige Zertifikat im Computerkonto, d. h. jede Einstellung von Extende key usage (Erweiterte Schlüsselverwendung) wird akzeptiert. Es gibt keine Möglichkeit, in IPSec-Richtlinien nur die Verwendung von IPSecZertifikaten zuzulassen Wenn im Ordner Eigene Zertifikate auf dem lokalen Computer mehrere Computerzertifikate sind, wird nur eines davon ausgewählt. Beginnend bei der ersten Stammzertifizierungsstelle in der Authentifizierungsmethode der Regel ist das ausgewählte Zertifikat das erste gefundene Zertifikat mit einem vertrauten Pfad zurück zu dieser StammzertifizierungsstelleKryptografiedienstanbieter: Microsoft Base Cryptographic Provider v1.0 Schlüsselverwendung: Signatur. Schlüssellänge 1024 Sie können eine größere Schlüssellänge auswählen, wenn Sie den Microsoft Enhanced Cryptographic Provider auswählen. Die Registrierungsanforderung kann jedoch fehlschlagen, wenn bei Ihrer Version von Windows 2000 nicht das Strong Cryptography Pack installiert ist. Wenn dieses Zertifikat zur Interoperabilität mit anderen IPSecImplementierungen verwendet werden soll, müssen Sie prüfen, ob das IPSec-Produkt des anderen Herstellers ebenfalls eine Signatur mit einer größeren Schlüssellänge als 1024 verarbeiten kann. Einige Produkte anderer Hersteller beschränken möglicherweise auch die IPSec-Richtlinien in Bezug auf die Länge des verwendeten Schlüssels. Hinweis Diese Einstellung bestimmt, wofür der private Schlüssel verwendet werden kann: nur Datenverschlüsselung oder nur Signaturverschlüsselung. Die aktuelle Implementierung von IKE verwendet private Zertifikatschlüssel nur für Signaturen. Ein Zertifikat, das für eine auf Austausch (zur Datenverschlüsselung) beschränkte Verwendung ausgestellt ist, funktioniert daher nicht. Zertifikate für beide Verwendungszwecke funktionieren. Neuen Schlüsselsatz erstellen (Create A New Key Set): aktiviert Lokalen Computerspeicher verwenden (Use local machine store): aktiviert Zusätzliche Optionen (Additional Options): entsprechend ausfüllen Hash-Algorithmus (Hash Algorithm): SHA1/RSA 1. Übermitteln Sie die Anforderung. Sie erhalten eine Nachricht, dass das Zertifikat auf Sie ausgestellt wurde. 2. Klicken Sie auf Dieses Zertifikat installieren (Install this certificate). 3. Eine Meldung zeigt an, dass das Zertifikat erfolgreich installiert wurde. Schließen Sie Internet Explorer. 4. Öffnen Sie die IPSec-MMC-Konsole, der Sie ein Snap-In zur Verwaltung von Zertifikate (Lokaler Computer) (Certificates (Local Computer) hinzugefügt hatten. Überprüfen Sie, ob die Zertifikatregistrierung erfolgreich war. 1. Der Ordner Eigene Zertifikate (Personal Certificates) sollte den für den Test von Ihr Name IPSec ausgewählten Zertifikatnamen des Computers enthalten. 2. Klicken Sie auf das +-Zeichen neben Zertifikate (Lokaler Computer), um die Struktur zu erweitern. Erweitern Sie den Ordner Eigene Zertifikate Sie sollten im rechten Bereich ein Zertifikat sehen, das auf den Administrator ausgestellt wurde (oder auf den Benutzernamen, mit dem Sie angemeldet sind). 3. Doppelklicken Sie im rechten Bereich auf dieses Zertifikat. Es sollte die folgende Meldung enthaltenSie besitzen einen privaten Schlüssel für dieses Zertifikat.. Notieren Sie sich den Namen der Zertifizierungsstelle hinter Ausgestellt von: (in unserem Beispiel SectestCA3). Klicken Sie auf OK. Hinweis Wenn in den Eigenschaften des Computerzertifikats "Sie haben keinen privaten Schlüssel, der zu diesem Zertifikat gehört" gemeldet wird, schlug die Registrierung fehl. Das Zertifikat lässt sich dann nicht zur IPSec IKEAuthentifizierung verwenden. Sie müssen erfolgreich einen privaten Schlüssel erhalten, der dem öffentlichen Schlüssel im Computerzertifikat entspricht. 4. Erweitern Sie Vertrauenswürdige Stammzertifizierungsstellen, und klicken Sie auf den Ordner Zertifikate. Führen Sie einen Bildlauf nach unten durch, und suchen Sie in diesem Speicher nach einem Zertifikat mit dem Namen der Zertifizierungsstelle in Ausgestellt von. 5. Wiederholen Sie auf dem anderen Testcomputer alle Schritte dieses Verfahrens, um ein Zertifikat zu erhalten. Hinweis Wenn vom Microsoft Certificate Server ein Zertifikat mit der Option Verstärkte Sicherheit für den privaten Schlüssel ausgestellt wurde, muss ein Benutzer jedesmal eine PIN-Nummer eingeben, wenn der private Schlüssel zum Signieren von Daten während der IKE-Aushandlung verwendet wird. Da die IKE-Aushandlung von einem Systemdienst im Hintergrund bearbeitet wird, zeigt der Dienst kein Fenster an, um den Benutzer dazu aufzufordern. Mit dieser Option erhaltene Zertifikate lassen sich daher zur IKE-Authentifizierung nicht verwenden. Konfigurieren der Zertifikatsauthentifizierung für eine Regel Wenn Sie eine neue Regel erstellen, können Sie nach der zu verwendenden Zertifizierungsstelle suchen. Dies ist eine Liste von Zertifizierungsstellenzertifikaten im Ordner Vertrauenswürdige Stammzertifizierungsstellen, nicht eine Liste der persönlichen Zertifikate auf Ihrem Computer. Die Stammzertifizierungsstellen-Angabe in einer IPSec-Regel dient den folgenden beiden Zwecken: Erstens versorgt sie IKE mit einer vertrauenswürdigen Stammzertifizierungsstelle. IKE auf Ihrem Computer sendet an den anderen Computer eine Anforderung eines gültigen Zertifikats von dieser Stammzertifizierungsstelle. Zweitens liefert die CA-Angabe den Namen der Stammzertifizierungsstelle, die Ihr Computer zur Suche nach seinem eigenen persönlichen Zertifikat verwendet, das als Reaktion auf eine Anforderung vom Peer angeboten wird. Vorsicht Sie müssen mindestens den Zertifizierungsstellenstamm auswählen, zu dem Ihr Computerzertifikat verkettet ist, d. h. die Zertifizierungsstelle der obersten Ebene im Zertifizierungspfad des Computerzertifikats im persönlichen Speicher Ihres Computers. 1. Kehren Sie zum Ordner IP-Sicherheitsrichtlinien auf lokalem Computer der MMC zurück. 2. Doppelklicken Sie im rechten Bereich auf die Richtlinie Partner. 3. Stellen Sie sicher, dass die Option Partnerfilter ausgewählt ist, und klicken Sie auf Bearbeiten. 4. Klicken Sie auf das Optionsfeld für Gesamter IP-Verkehr. 5. Klicken Sie auf Bearbeiten. 6. Stellen Sie sicher, dass das Kontrollkästchen Assistent verwenden aktiviert ist, und klicken Sie auf OK. 7. Klicken Sie auf die Registerkarte Authentifizierungsmethoden. 8. Wählen Sie Vorinstallierter Schlüssel mit dem Inhalt ABC123 aus, und klicken Sie auf Bearbeiten. 9. Wählen Sie die Option Verwenden eines Zertifikats von dieser Zertifizierungsstelle aus, und klicken Sie auf Durchsuchen. Klicken Sie auf die zuvor verwendete CA: In unserem Beispiel ist das SecTestCA3. Abbildung 6: Zertifikat auswählen 10. Klicken Sie auf OK. Mit dem IPSec-Regeleditor können Sie eine sortierte Liste von Zertifizierungsstellen erstellen, die Ihr Computer bei der IKE-Aushandlung in einer Anforderung an den Peercomputer sendet. Für eine erfolgreiche Authentizifierung muss der Peercomputer ein persönliches Zertifikat besitzen, das von einer der Hauptzertifizierungsstellen in Ihrer Liste ausgestellt wurde/FONT Sie können Zertifizierungsstellen nach Bedarf hinzufügen und anordnen. 11. Klicken Sie zweimal auf OK und anschließend auf Schließen. 12. Wiederholen Sie das vollständige Verfahren auf dem anderen Testcomputer. Führen Sie nun auf jedem Computer ein Ping des anderen Computers aus. Sie können die Liste der Authentifizierungsmethoden so anordnen, dass sie zuerst Zertifikate und dann Kerberos oder vorinstallierte Schlüssel auflistet. Sie können jedoch die Liste der Zertifikate nicht aufteilen, indem Sie in der Mitte eine Methode ohne Zertifikat hinzufügen. Durch Hinzufügen zusätzlicher Stammzertifizierungsstellen können Sie eine Liste vertrautenswürdiger Stammzertifizierungsstellen erstellen, die länger (oder kürzer) als die Liste ist, die Ihrem Computer ein Zertifikat ausgestellt hat. In vielen Unternehmen ist dies zur Interoperabilität erforderlich. Sie müssen wissen, dass ihr Computer möglicherweise Zertifikatsanforderungen von einem Zielpeer empfängt, die keine der in der Liste der Stammzertifizierungsstellen aufgeführten Stammzertifizierungsstellen enthalten, die Sie in der IPSec-Richtlinien angegeben haben. Es muss mit dem Administrator des Zieles abgestimmt werden, welche Stammzertifizierungsstellen jede Seite verwendet. Wenn die an Sie gerichtete Anforderung des Zieles in dieser Liste eine Zertifizierungsstelle enthält, prüft IKE, ob Ihr Computer ein gültiges persönliches Zertifikat besitzt, das zu dieser Hauptzertifizierungsstelle zurückverkettet. Ist dies der Fall, wählt es das erste gefundene gültige persönliche Zertifikat aus und sendet es als Identität des Computers. Wenn Ihr Computer eine Zertifikatsanforderung für eine Stammzertifizierungsstelle empfängt, die in dieser IPSec-Richtlinienregel nicht angegeben war, sendet Ihr Computer das erste Zertifikat, das zu dem Hauptzertifizierungsstellennamen zurückverkettet ist, der in seiner eigenen IPSecRichtlinienregel angegeben ist. Da Zertifikatsanfragen im RFC 2409-Standard optional sind, muss Ihr Computer, sobald er der Zertifikatauthentifizierung zustimmt, ein Zertifikat auch dann senden, wenn er keine IKEZertifikatsanforderung empfing. Dies gilt auch, wenn die Zertifikatanforderung nicht mit den Stammzertifizierungsstellennamen Ihres Computers in Richtlinien übereinstimmen. In diesem Fall ist es wahrscheinlich, dass die IKE-Aushandlung fehlschlägt, da die beiden Computer sich nicht auf eine gemeinsame Stammzertifizierungsstelle verständigen konnten. Wenn die Anforderung des Zieles bei Ihnen keine der hier vorhandenen Zertifizierungsstellen enthält, schlägt die IKE-Aushandlung fehl. Überprüfen der Zertifikatsperrliste (Certificate Revocation List, CRL) Die meisten Zertifikatserver geben Zertifikate aus, die einen ZertifikatsperrlistenVerteilerpunkt enthält (Certificate Revocation List Distribution Point, manchmal mit CDP abgekürzt). Wenn ein Computer ein Zertifikat vollständig überprüfen möchte, muss er überprüfen, ob das Zertifikat vom Aussteller nicht gesperrt wurde. Da die Standards zur Durchführung dieser Prüfungen ständig weiterentwickelt wurden und verschiedene Zertifikatserver und PKI-Systeme im Einsatz sind, unterstützen nicht alle Zertifikatsysteme dieselbe Methode und Funktionalität zur CRL-Prüfung. Die CRL-Prüfung ist daher standardmäßig deaktiviert. Bevor Sie die CRL-Prüfung aktivieren, müssen sie sicherstellen, dass Sie mit Zertifikaten erfolgreich authentifizieren können. Zeigen Sie auch die Oakley.log-Ablaufverfolgungsdatei an, um zu sehen, wie das Protokoll erfolgreiche Authentifizierungen aufzeichnet. (Schritt 3 weiter unten zeigt, wo sich diese Datei befindet.) IKE meldet CAPI, wie die CRL-Prüfung beim Anfordern einer Zertifikatsüberprüfung gehandhabt werden soll. Um die CRL-Prüfung aktivieren zu können, muss der Computeradministrator den Wert des unten gezeigten Registrierungsschlüssels ändern. Die richtige Einstellung dieses Werts muss vom IPSec-Richtlinienadministrator und dem Zertifikatserveradministrator festgelegt werden. So aktivieren Sie die CRL-Prüfung durch IKE 1. Klicken Sie im Menü Start auf Ausführen, und geben Sie regedt32 ein. Klicken Sie auf OK. Nun wird der Registrierungs-Editor gestartet. 2. Navigieren Sie zu HKEY_LOCAL_MACHINE auf lokalem Computer. 3. Navigieren Sie zum folgenden Pfad: System\CurrentControlSet\Services\PolicyAgent 4. Doppelklicken Sie auf PolicyAgent. 5. Klicken Sie im Menü Bearbeiten (Edit) auf Schlüssel hinzufügen (Add Key). Abbildung 7: Schlüssel zur Registrierung hinzufügen 6. Geben Sie diesen Schlüsselnamen ein (Groß-/Kleinschreibung beachten): Oakley. 7. Lassen Sie Klasse leer, und klicken Sie auf OK. 8. Wählen Sie den neuen Schlüssel, Oakley, aus. 9. Klicken Sie im Menü Bearbeiten auf Wert hinzufügen. 10. Geben Sie den Wertnamen ein (Groß-/Kleinschreibung beachten): StrongCrlCheck. 11. Wählen Sie als Datentyp REG_DWORD aus, und klicken Sie auf OK. Geben Sie nach Bedarf für den zu aktivierendem Verhalten als Wert 1 oder 2 ein: Verwenden Sie 1, damit die Zertifikatüberprüfung nur fehlschlägt, wenn die CRL-Prüfung das Sperren des Zertifikats zurückgibt (die normale CRLPrüfung). Verwenden Sie 2, damit die Zertifikatprüfung bei jedem CRLPrüfungsfehler fehlschlägt. Dies ist die strengste Form. Sie wird verwendet, wenn der CRL-Verteilungspunkt im Netzwerk erreichbar sein muss und bedeutet nicht unbedingt, dass das Zertifikat niemals ausgestellt wurde oder ein anderer Fehler aufgetreten ist. Ein Zertifikat besteht diese Prüfstufe effektiv nur, wenn die CRL-Prüfung bestätigen kann, dass das Zertifikat nicht gesperrt ist. 12. Klicken Sie für Basis auf Hex. Klicken Sie auf OK. 13. Beenden Sie den Registrierungs-Editor. 14. Geben Sie an der Windows 2000-Eingabeaufforderung net stop policyagentund dann net start policyagent ein, um die zu IPSec gehörenden Dienste neu zu starten. Hinweis Wenn Ihr System als VPN-Server für L2TP/IPSec konfiguriert ist, müssen Sie Windows 2000 neu starten. Um die CRL-Prüfung zu deaktivieren, löschen Sie einfach den Wert StrongCRLCheck unter dem Schlüssel Oakley, und starten den Dienst bzw. Windows 2000 neu. Grundlegendes zur IKE-Aushandlung (fortgeschrittene Benutzer) Dieser Abschnitt ist für alle gedacht, die mehr Einzelheiten über die IKE-Aushandlung erfahren möchten. Er ist nicht erforderlich, um die Schritte in dieser Anleitung zu vervollständigen. Eine detaillierte Beschreibung von IPSec, IKE und anderen Aspekten der Implementierung finden Sie in der Onlinehilfe von Windows 2000 Server und Windows 2000 Professional. (Sowohl in der Professional- als auch in der Server-Version ist derselbe Hilfetext enthalten. Lediglich das Inhaltsverzeichnis ist verschieden. Starten Sie das Snap-In IP-Sicherheitsrichtlinienverwaltung, und klicken Sie auf Hilfe). Misserfolg und Erfolg von IKE werden als Ereignis im Sicherheitsereignisprotokoll zusammen mit der Ursache für den Misserfolg aufgezeichnet. Das Verfahren zum Aktivieren der Aufzeichnung wird am Anfang dieses Leitfadens beschrieben. Wenn der Server die integrierte Richtlinie Server (Sicherheit anfordern) verwendet, greift die IKE-Aushandlung möglicherweise für Ziele auf Klartext zurück, die auf die IKEAnforderung nicht antworten. Dies gilt im Grunde genommen für jede benutzerdefinierte Richtlinie, mit einer Regel, die die integrierte Filteraktion Sicherheit anfordern (optional) verwendet. Dies wird durch ein Überwachungsereignis nachverfolgt, das weiche Sicherheitszuordnung genannt wird. In der IP-Sicherheitsüberwachung hat es in der Spalte Sicherheit den Wert <keine>. Wenn der Server Sicherer Server (Sicherheit erforderlich) verwendet und mehrmals erfolglos versucht, ein Ziel zu erreichen, das keine IKE-Antwort gibt, zeigt ein Überwachungsereignis im Sicherheitsprotokoll als Ursache "Keine Rückmeldung vom Peer" an. Sie können die Richtlinie Server (Sicherheit anfordern) in Verbindung mit dem Überwachungsprotokoll auf einem Server verwenden, um die Ziele herauszufinden und nachzuverfolgen, mit denen der Server im Normalbetrieb im Laufe der Zeit kommuniziert. So können Sie besser verstehen, wie eine benutzerdefinierte Richtlinie zu erstellen ist, die die richtigen Ziele schützt, während andere Verwaltungs- und Infrastrukturkommunikation ungeschützt im Klartext erfolgen kann. IKE-Hauptmodus (Phase 1) Die anfängliche lange Form der IKE-Aushandlung (Hauptmodus oder Phase 1) führt die Authentifizierung durch und richtet eine IKE-Sicherheitszuordnung (SA) zwischen Computern ein. Dazu gehört auch das Generieren des Hauptschlüssels (Master Key). Das Ergebnis wird als IKE-Sicherheitszuordnung bezeichnet. Der IKE-Hauptmodus wird vom System durch die IPSec-Sicherheitsregeln gesteuert. Dazu werden lediglich die Quellund Zieladressinformationen der Filter in den Regeln verwendet. Bei Erfolg bewirken die Standardeinstellungen in den Standardrichtlinien (siehe Schlüsselaustausch auf der Registerkarte Allgemein der Richtlinie), dass die IKE-SA acht Stunden lang gültig ist. Wenn Daten nach Ablauf der acht Stunden aktiv übertragen werden, wird die Hauptmodus-Sicherheitszuordnung automatisch neu ausgehandelt. Die IKE-HauptmodusSicherheitszuordnung wird in der IP-Sicherheitsüberwachung nicht angezeigt. Sie kann jedoch vom lokalen Administrator an der Befehlszeile mit dem Befehl netdiag.exe /test:ipsec /v angezeigt werden. Netdiag.exe ist ein Supporttool, das sich auf den Windows 2000 Professional- und Windows 2000 Server-CDs im Ordner \Support\Tools befindet. IKE-Kurzmodus (Phase 2) Die kürzere Version der IKE-Aushandlung (Kurzmodus) erfolgt nach dem Hauptmodus. Sie richtet eine IPSec-Sicherheitszuordnung ein, um bestimmten Verkehr in Abhängigkeit von den Quell- und Zieladress (sowie vorhandene Protokoll und Anschluss)-Teilen der Paketfilter in den Regeln der Richtlinie zu sichern. Dies gilt auch für vorhandene Protokoll- und Anschlussteile. Zur IPSec-SA-Aushandlung gehört die Wahl von Algorithmen, das Generieren von Sitzungsschlüsseln und das Bestimmen der in den Paketen verwendeten Security Parameter Index (SPI)-Nummern. Es werden zwei IPSecSicherheitszuordnungen eingerichtet. Beide haben ihre eigene SPI (die Bezeichnung im Paket), eine für eingehenden Verkehr, die andere für ausgehenden Verkehr. Der IPSec-Monitor zeigt nur eine IPSecSicherheitszuordnung an, nämlich die ausgehende. Nach fünf Minuten Leerlauf auf der eingehenden SA werden beide IPSec-SAs bereinigt. Die ausgehende SA verschwindet dann aus der IP-Sicherheitsüberwachungsanzeige. Wenn erneut Verkehr mit erforderlicher IPSec-Sicherheit gesendet wird, erfolgt eine IKEKurzmodusaushandlung, um zwei neue IPSec-Sicherheitszuordnungen einzurichten, die neue Schlüssel und SPIs verwenden. Die in den Standardsicherheitsmethoden festgelegten Standardwerte erfordern jede Stunde (3600 Sekunden) oder nach Übertragung von jeweils 100 MB neue IPSec-Sicherheitszuordnungen. Wenn Daten innerhalb der vorhergehenden fünf Minuten aktiv übertragen wurden, werden die IPSecSicherheitszuordnungen automatisch neu ausgehandelt, bevor sie ungültig werden. Die Seite, die mehr Daten übertragen hat oder den vorhergehenden Kurzmodus eingeleitet hat, leitet den neuen Kurzmodus ein. Problembehandlung Problembehandlung bei der Richtlinienkonfiguration Diese Anleitung soll nur IPSec-Richtlinien für lokale Computer behandeln, die IPSecÜbertragung (kein Tunneling) zum Sichern von Verkehr zwischen einem Quellcomputer und einem Zielcomputer verwenden. Er befasst sich nicht mit Gruppenrichtlinien im Active Directory zur Verteilung von IPSec-Richtlinien. Die IPSec-Richtlinienkonfiguration ist sehr flexibel und leistungsfähig. Die richtige Einstellung erfordert jedoch ein Verständnis der IKE- und IPSec-Protokolle. Es gibt eine Reihe von Sicherheitskonfigurationsproblemen, die Sie kennen sollten. Lesen Sie die Onlinehilfe und durchsuchen Sie die Microsoft Knowledge Base nach Artikeln zu IPSec. Lesen Sie dann die zusätzlichen Hinweise weiter unten, die erläutern, was in Richtlinienkonfigurationen nicht unterstützt wird. Wenn Sie keinerlei funktionsfähige IPSec-Kommunikation erreichen, folgen Sie den Schritten weiter unten, um die einfachste Richtlinie zu erstellen, die Sie dann zum Testen verwenden. Nur eine Authentifizierungsmethode zwischen einem Hostpaar IPSec Richtlinien sind so entworfen, dass nur eine Authentifizierungsmethode zwischen einem einzelnen Hostpaar verwendet werden kann, unabhängig davon, wie viele konfiguriert sind. Wenn Sie über mehrere Regeln verfügen, die für dasselbe Paar von Computern gelten (achten Sie dabei nur auf die Quell- und Ziel-IP-Adressen), müssen Sie sicherstellen, dass diese Regeln zulassen, dass dieses Computerpaar dieselbe Authentifizierungsmethode verwendet. Stellen Sie außerdem sicher, dass die für diese Authentifizierungsmethode verwendeten Anmeldeinformationen gültig sind. So läßt z. B. das IPSec-Snap-In das Konfigurieren einer Regel zu, die Kerberos nur zur Authentifizierung von TCP-Daten zwischen zwei Host-IP-Adressen verwendet, und das Erstellen einer zweiten Regel mit denselben Adressen, die jedoch für UDP-Daten die Verwendung von Zertifikaten zur Authentifizierung festlegt. Diese Richtlinie wird nicht richtig funktionieren, da ausgehender Datenverkehr eine Regel genauer als die IKE-Aushandlung auf dem Zielcomputer auswählen kann (da er mit dem Protokoll UDP und nicht nur mit den Adressen übereinstimmt). Letztere versucht eine übereinstimmende Regel in Richtlinien zu finden, mit der sie im Hauptmodus antworten kann (der lediglich die Quell-IP-Adresse des IKE-Pakets verwenden kann). Diese Richtlinienkonfigurationen verwendet daher zwei unterschiedliche Authentifizierungsmethoden zwischen einem einzigen Paar von IP-Adressen (Hosts). Um dieses Problem zu vermeiden, dürfen Sie keine protokoll- oder anschlussspezifischen Filter verwenden, um Sicherheit für Verkehr auszuhandeln. Verwenden Sie protokolloder anschlussspezifische Filter stattdessen zum Zulassen und Blockieren von Verkehr. Unidirektionaler IPSec-Schutz von Verkehr nicht zulässig IPSec-Richtlinien lassen unidirektionalen IPSec-Schutz von Verkehr nicht zu. Wenn Sie eine Regel erstellen, um Verkehr zwischen IP-Adressen der Hosts A und B zu schützen, müssen Sie in derselben Filterliste sowohl Verkehr von A nach B als auch Verkehr von B nach A angeben. Dazu können Sie zwei Filter in derselben Filterliste erstellen. Alternativ können Sie im Snap-In IPSec im Dialogfeld Eigenschaften Filterspezifikation das Kontrollkästchen Gespiegelt aktivieren. Diese Option ist standardmäßig ausgewählt, da Schutz in beide Richtungen ausgehandelt werden muss, auch wenn der Datenverkehr selbst die meiste Zeit nur in einer Richtung fließt. Sie können unidirektionale Filter zum Blockieren oder Zulassen von Verkehr, jedoch nicht zum Sichern von Verkehr erstellen. Um Verkehr zu sichern, müssen Sie den Spiegeln des Filter manuell festlegen oder vom System automatisch mithilfe des Kontrollkästchens Gespiegelt diese Einstellung generieren lassen. Computerzertifikate müssen einen privaten Schlüssel besitzen Nicht ordnungsgemäß erhaltene Zertifikate können zu einem Zustand führen, in dem das Zertifikat vorhanden ist und zur IKE-Authentifizierung verwendet wird. Die Authentifizierung schlägt jedoch fehl, da der private Schlüssel, der dem öffentlichen Schlüssel des Zertifikat entspricht, auf dem lokalen Computer nicht vorhanden ist. So prüfen Sie, ob das Zertifikat einen privaten Schlüssel besitzt 1. Klicken Sie im Menü Start auf Ausführen, und geben Sie in das Textfeld mmc ein. Klicken Sie auf OK. 2. Klicken Sie im Menü Konsole auf Snap-In hinzufügen/entfernen, und klicken Sie dann auf Hinzufügen. 3. Doppelklicken Sie in der Liste Snap-In auf Zertifikate. Klicken Sie auf Fertig stellen, anschließend auf Schließen und dann auf OK. 4. Erweitern Sie Zertifikate; Aktueller Benutzer und anschließend Eigene Zertifikate. 5. Klicken Sie auf den Ordner Zertifikate. 6. Doppelklicken Sie im rechten Bereich auf das zu überprüfende Zertifikat. Auf der Registerkarte Allgemein muss der Text "Sie besitzen einen privaten Schlüssel für dieses Zertifikat" angezeigt werden. Wenn diese Meldung nicht angezeigt wird, kann das System dieses Zertifikat für IPSec nicht verwenden. Abhängig davon, wie das Zertifikat angefordert und in den lokalen Zertifikatspeicher des Hosts gelangte, ist der private Schlüssel möglicherweise nicht vorhanden oder während der IKE-Aushandlung nicht verfügbar. Wenn das Zertifikat im persönlichen Ordner keinen zugehörigen privaten Schlüssel hat, schlug die Zertifikatregistrierung fehl. Wenn ein Zertifikat vom Microsoft Certificate Server mit der Option Starker Schutz für privaten Schlüssel (Strong Private Key Protection) ausgestellt wurde, muss der Benutzer jedesmal eine PIN-Nummer eingeben, wenn der private Schlüssel zum Signieren von Daten während der IKE-Aushandlung verwendet wird. Da die IKEAushandlung von einem Systemdienst im Hintergrund bearbeitet wird, zeigt der Dienst kein Fenster an, um den Benutzer dazu aufzufordern. Mit dieser Option erhaltene Zertifikate lassen sich daher zur IKE-Authentifizierung nicht verwenden. Erstellen und Testen der einfachsten Endpunktrichtlinie Die meisten Probleme, insbesondere Interoperabilitätsprobleme, können eher durch Erstellen der einfachsten Richtlinie als durch Verwendung der Standardrichtlinien gelöst werden. Wenn Sie eine neue Richtlinie erstellen, aktivieren Sie keinen IPSec-Tunnel und keine Standardantwortregel. Bearbeiten Sie die Richtlinie auf der Registerkarte Allgemein; ändern Sie den Schlüsselaustausch so, dass er nur über eine Option verfügt, die das Ziel akzeptiert. Verwenden Sie z. B. die für RFC 2049 erforderlichen Optionen DES und SHA1 mit der Low (1) 1 Diffie Hellman-Gruppe. Erstellen Sie eine Filterliste mit einem gespiegelten Filter, der als Quelle Eigene IP-Adresse und als Ziel die IP-Adresse enthält, mit der Sie gesichert kommunizieren möchten. Wir empfehlen die Durchführung von Tests durch Erstellen eines Filters, der nur IPAdressen enthält. Erstellen Sie Ihre eigene Filteraktion, die Sicherheit nur unter Verwendung einer einzigen Sicherheitsmethode aushandelt. Wenn Sie den Verkehr in IPSec-formatierten Paketen mit einem Paketsniffer anzeigen möchten, verwenden Sie Mittel (AH). Wählen Sie andernfalls Benutzerdefiniert (nur für erfahrene Benutzer), und erstellen Sie nur eine einzige Sicherheitsmethode. Verwenden Sie z. B. den für RFC 2049 erforderlichen Parametersatz, wie z. B. ESPFormat unter Verwendung von DES mit SHA1, ohne Angabe von Gültigkeitsdauer und ohne Perfect Forward Secrecy (PFS). Stellen Sie sicher, dass beide Kontrollkästchen im Sicherheitsmodus deaktiviert sind, so dass er IPSec für das Ziel benötigt, nicht mit NichtIPSec-Computern kommuniziert und keine ungesicherten Kommunikationen akzeptiert. Verwenden Sie für die Regel eine Authentifizierung mit vorinstallierten Schlüsseln, und stellen Sie sicher, dass in der Zeichenfolge keine Leerzeichen enthalten sind. Das Ziel muss denselben vorinstallierten Schlüssel verwenden. Hinweis Auf dem Ziel muss dieselbe Konfiguration hergestellt werden; lediglich die IPAdressen für Quelle und Ziel sind vertauscht. Sie müssen diese Richtlinie auf einem Computer zuweisen und auf das Ziel dann von diesem Computer aus einen Ping durchführen. Als Reaktion auf Ping sollte gemeldet werden, dass Sicherheit ausgehandelt wird. Dies zeigt an, dass der Filter der Richtlinie übereinstimmt und IKE versuchen soll, mit dem Ziel Sicherheit für das Ping-Paket auszuhandeln. Wenn bei mehreren Versuchen, das Ziel mit Ping anzusprechen, immer nur gemeldet wird, dass IP-Sicherheit ausgehandelt wird, liegt vermutlich nicht ein Richtlinienproblem sondern ein IKE-Problem vor. Informationen finden Sie im Abschnitt "Problembehandlung bei der IKE-Aushandlung" weiter unten. Problembehandlung bei der IKE-Aushandlung Der IKE-Dienst wird als Teil des IPSec-Richtlinienagent-Dienstes ausgeführt. Stellen Sie sicher, dass dieser Dienst ausgeführt wird. Vergewissern Sie sich, dass für das Überwachungsattribut Anmeldeereignisse überwachen die Prüfung auf Erfolg und Misserfolg aktiviert ist. Der IKE-Dienst macht im Sicherheitsereignisprotokoll Überwachungseinträge, die auch den Grund für das Fehlschlagen der Aushandlung enthalten. Löschen des IKE-Status: Neustart des IPSecRichtlinienagent-Dienstes Um den Status der IKE-Aushandlung vollständig zu löschen, muss der RichtlinienagentDienst mithilfe der folgenden Befehle an der Eingabeaufforderung angehalten und neu gestartet werden (Sie müssen dazu als lokaler Administrator angemeldet sein): net stop policyagent net start policyagent Wiederholen Sie die Schritte zum Sichern des Verkehrs. Vorsicht Wenn Sie den IPSec-Richtlinienagent-Dienst anhalten, ist der Schutz durch IPSec-Filter deaktiviert. Aktive VPN-Tunnel sind dann nicht mehr IPSec-geschützt. Wenn Sie auch die RRAS (Routing- und Remote Access)-Dienste ausführen oder eingehende VPN-Verbindungen aktiviert haben, müssen Sie den RAS-Dienst anhalten und neu starten (net start remoteaccess), nachdem Sie den IPSec-Richtlinienagent-Dienst neu gestartet haben. Verwenden des Sicherheitsprotokolls zum Anzeigen von IKE-Fehlern Das Sicherheitsereignisprotokoll zeichnet den Grund für den Misserfolg einer IKEAushandlung auf. Anhand dieser Meldungen können Sie erkennen, dass eine Aushandlung fehlschlug und warum. Die Aufzeichnung muss mithilfe des am Anfang dieses Leitfadens beschriebenen Verfahrens aktiviert werden. Verwenden eines Paketsniffers Wenn keine der oben genannten Maßnahmen hilft, sollten Sie den Abschnitt "Grundlegendes zur IKE-Aushandlung" lesen (falls noch nicht geschehen). Verwenden Sie für genauere Untersuchungen einen Paketsniffer, wie z. B. Microsoft Network Monitor, der die ausgetauschten Pakete mitschneidet. Bedenken Sie, dass der Inhalt von in IKE-Aushandlungen verwendeten Paketen meistens verschlüsselt ist und von Paketsniffern nicht interpretiert werden kann. Es kann jedoch trotzdem sinnvoll sein, den gesamten Verkehr zu und von dem Computer mitzuschneiden, um sicher zu sein, dass der erwartete Verkehr angezeigt wird. Eine eingeschränkte Version von Microsoft Network Monitor ist in Windows 2000 Server enthalten. Das Programm wird standardmäßig nicht installiert. Doppelklicken Sie daher in der Systemsteuerung auf Software, klicken Sie auf Windows-Komponenten hinzufügen/entfernen, dann auf Verwaltungs- und Überwachungsprogramme, und klicken Sie dann auf Details. Stellen Sie sicher, dass Netzwerkmonitorprogramme aktiviert ist. Folgen Sie dann den erforderlichen Schritten. Verwenden von IKE-Debugablaufverfolgung (Experten) Das Sicherheitsprotokoll ist am besten geeignet, um den Grund für das Fehlschlagen einer IKE-Aushandlung festzustellen. Experten in Sachen IKE-Protokollaushandlung können jedoch die Debugablaufverfolgung für IKE-Aushandlungen mithilfe eines Registrierungsschlüssels aktivieren. Die Protokollierung ist standardmäßig deaktiviert. Um sie zu aktivieren, müssen Sie den IPSec-Richtlinienagent-Dienst anhalten und neu starten. So aktivieren Sie die Debugprotokollierung durch IKE 1. Klicken Sie im Menü Start auf Ausführen, und geben Sie in das Textfeld regedt32 ein. Klicken Sie auf OK. Nun wird der Registrierungs-Editor gestartet. 2. Navigieren Sie zu HKEY_LOCAL_MACHINE auf lokalem Computer. 3. Navigieren Sie zum folgenden Pfad: System\CurrentControlSet\Services\PolicyAgent. 4. Doppelklicken Sie auf PolicyAgent. 5. Wenn der Schlüssel Oakley nicht vorhanden ist, klicken Sie im Menü Bearbeiten auf Schlüssel hinzufügen. 6. Geben Sie diesen Schlüsselnamen ein (Groß-/Kleinschreibung beachten): Oakley. 7. Lassen Sie Klasse leer, und klicken Sie auf OK. 8. Wählen Sie den neuen Schlüssel, Oakley, aus. 9. Klicken Sie im Menü Bearbeiten auf Wert hinzufügen. 10. Geben Sie diesen Wertnamen ein (Groß-/Kleinschreibung beachten): EnableLogging 11. Wählen Sie als Datentyp REG_DWORD aus, und klicken Sie auf OK. 12. Geben Sie den Wert 1 ein. 13. Klicken Sie für Basis auf Hex. Klicken Sie auf OK. 14. Beenden Sie den Registrierungs-Editor. 15. Geben Sie an der Windows 2000-Eingabeaufforderung net stop policyagent und dann net start policyagent ein, um die zu IPSec gehörenden Dienste neu zu starten. Die Datei wird standardmäßig in %windir%\debug\oakley.log geschrieben. Die Datei oakley.log.sav ist die Version des Protokolls vor dem Neustart des RichtlinienagentDienstes. Das Protokoll ist auf 50.000 Einträge beschränkt. Dadurch ist die Dateigröße normalerweise auf weniger als 6 MB beschränkt. Weitere Informationen Aktuelle Informationen zum Betriebssystem Microsoft Windows 2000 finden Sie inder Website unter http://www.microsoft.com/windows2000/ (englischsprachig) und im Windows NT Server-Forum in Microsoft Network (Suchbegriff: MSNTS [englischsprachig]). IPSec-Tools und -Informationen Auf der Windows 2000-Plattform-CD IPSec-Snap-In zur Richtlinienkonfiguration IPSecmon.exe-Monitor zur Anzeige des aktiven Status IPSec-Eigenschaft der Netzwerkverbindungen-Benutzeroberfläche Ereignisprotokoll-Snap-In Gruppenrichtlinien-Snap-In zur Anzeige lokaler Sicherheitsprüfrichtlinien IKE-Protokollierung in der Datei oakley.log Onlinehilfe Kontextabhängige Hilfe netdiag/test:ipsec /v /debug Als Bestandteil von Windows 2000; Die technische Referenz IPSec-Kapitel ipsecpol.exe: Erstellen und Löschen von Richtlinien an der Befehlszeile Gruppenrichtlinientools zur Anzeige, welche GPO-Richtlinie angewendet wird IPSec-Endpunktleitfaden (dieses Dokument) Online verfügbare Bereitstellungsszenarien Diese Anleitung soll nur IPSec-Richtlinien für lokale Computer behandeln, die IPSecÜbertragung (kein Tunneling) zum Sichern von Verkehr zwischen einem Quellcomputer und einem Zielcomputer verwenden. Er befasst sich nicht mit Gruppenrichtlinien im Active Directory zur Verteilung von IPSec-Richtlinien. Die IPSec-Richtlinienkonfiguration ist sehr flexibel und daher sehr leistungsfähig. Die richtige Einstellung erfordert jedoch ein Verständnis der IKE- und IPSec-Protokolle. Es gibt eine Reihe von Sicherheitskonfigurationsproblemen, die Sie kennen sollten. Lesen Sie die Onlinehilfe, und durchsuchen Sie die Microsoft Knowledge Base nach Artikeln zu IPSec. Lesen Sie dann die zusätzlichen Hinweise weiter unten, die erläutern, was in Richtlinienkonfigurationen nicht unterstützt wird. Informationen über Standardsicherheitseinstellungen in Windows 2000 finden Sie im Whitepaper Default Access Control Settings (englischsprachig) (Standardeinstellungen für die Zugriffssteuerung in Windows 2000). Siehe auch Step-by-Step Guide to a Common Infrastructure for Windows 2000 Server Deployment: (Schrittweise Anleitung zum Erstellen einer gemeinsamen Infrastruktur unter Windows 2000 Server:) Part 1: Installing a Windows 2000 Server as a Domain Controller (englischsprachig) (Teil 1: Installieren eines Windows 2000-Servers als Domänencontroller) Part 2: Installing a Windows 2000 Professional Workstation and Connecting it to a Domain (englischsprachig) (Installieren einer Windows 2000 Professional-Arbeitsstation und Verbinden mit einer Domäne) Windows 2000 Server-Onlinehilfe bzw. Windows 2000 Server Online Help (englischsprachig) Windows 2000 Planning and Deployment Guide (englischsprachig) (Windows 2000 Planungs- und Bereitstellungshandbuch) Exploring Security Services (englischsprachig) (Überblick über Sicherheitsdienste) Windows 2000/NT Forum (englischsprachig) Microsoft Knowledge Base (deutsch) bzw. Microsoft Knowledge Base (englisch) Informationen über IETF-Standards finden Sie über die folgenden Hyperlinks: IP Security Protocol (englischsprachig) (IPSec-Protokoll) Point-to-Point Protocol Extensions (englischsprachig) (Point-to-Point ProtocolErweiterungen) Layer Two Tunneling Protocol Extensions (englischsprachig) (Layer Two Tunneling Protocol-Erweiterungen) Letzte Aktualisierung: Dienstag, 7. März 2000 © 2000 Microsoft Corporation. Alle Rechte vorbehalten. Rechtliche Hinweise.