IP-Sec-Verschluesselung


Sicher kommunizieren


Mit IP-Sec ist es erstmals möglich, die Datenkommunikation zwischen zwei Computern im Windows-Netzwerk effizient zu verschlüsseln. Wie IP-Sec arbeitet und wie der Administrator es richtig einsetzt, zeigt dieser Artikel.


von Martin Kuppinger...


Es gibt bereits eine beachtliche Anzahl von Verschlüsselungstechnologien. SSL für die Kommunikation mit Web- oder LDAP-Servern im Internet über S/Mime sowie PGP und proprietäre Mechanismen, die sich in vielen Datenbanksystemen finden, sind nur einige davon. Warum also noch IP-Sec?


Im Gegensatz zu den genannten Protokollen arbeitet IP-Sec transparent für Anwendungen und lässt sich somit besser in vorhandene Umgebungen integrieren. Während sowohl Server als auch Client beispielsweise explizit SSL unterstützten, wissen die Anwendungen nicht, dass mit SSL gearbeitet wird.


Das Konzept von IP-Sec


Das Programm arbeitet mit drei Sicherheitsfunktionen: Authentifizieren, Filtern und Verschlüsseln. Zunächst ist eine gegenseitige Authentifizierung der Systeme erforderlich, bevor überhaupt eine Verbindung aufgebaut werden darf. Auf die Verbindungen werden dann Filter angewendet, die definieren, welche Informationen zwischen zwei Systemen übertragen werden dürfen und welche Sicherheitsanforderungen daran gestellt sind. Eine dieser konfigurierbaren Anforderungen ist, dass die Informationen verschlüsselt werden müssen.


Der Verbindungsaufbau mit IP-Sec erfolgt immer in zwei Phasen. Die erste Phase handelt die Form der Authentifizierung aus. Windows 2000 unterstützt mit Kerberos, X.509 und vordefinierten statischen Texten drei Varianten, um den Austausch von Schlüsseln zu sichern. Nachdem die Authentifizierung definiert ist, lässt sich in der zweiten Phase ein symmetrischer Schlüssel für die Verbindung aushandeln und austauschen. Erst danach läuft die verschlüsselte Kommunikation.


Die Konfiguration von IP-Sec erfolgt bei Windows 2000 über IP-Sec-Richtlinien, die im Active Directory abgelegt werden. Dort kann der Administrator die Richtlinien verwalteten, aktivieren und deaktivieren. Falls ein System nicht Mitglied einer Windows-2000-Domäne ist, werden die IP-Sec-Richtlinien in der lokalen Registry gespeichert.


Ein Richtlinienagent, der auf allen Windows-2000-Systemen ausführbar ist, überprüft, ob IP-Sec-Richtlinien für diese Workstation definiert sind. Dieser Agent übernimmt auch das Umsetzen der Richtlinien und übergibt die Informationen an die Treiber für IKE (Internet-Key-Exchange) und IP-Sec. IKE ist für die Aushandlung und den Austausch der Verschlüsselung zwischen den Kommunikationspartnern verantwortlich.


Der Haupteinsatzbereich der Software ist das sichere Verbinden von Systemen über VPNs. IP-Sec wird vom Tunneling-Protokoll L2TP (Layer-2-Tunneling-Protocol) verwendet. Dieses Protokoll unterstützt auch Microsoft Windows 2000 alternativ zu PPTP.


Die Richtlinienkonfiguration


Die Konfiguration von IP-Sec-Richtlinien erfolgt in den Gruppenrichtlinien unter Computerkonfiguration, Windows-Einstellungen, Sicherheitseinstellungen und dort im Bereich IP-Sicherheitsrichtlinien. Dort kann der Administrator sowohl IP-Sicherheitsrichtlinien als auch IP-Filterlisten erstellen und verwalten. In diesem Bereich gibt es drei vordefinierte IP-Sec-Richtlinien..


Das Erstellen der Richtlinien wird von Assistenten unterstützt. Eine erste wichtige Auswahl beim Erstellen von Richtlinien ist der verwendete Authentifizierungsmechanismus. Kerberos ist dabei innerhalb von geschlossenen Windows-2000-Infrastrukturen die beste Wahl, weil keine weitere Konfiguration des Protokolls mehr nötig ist. Bei B2B-Anwendungen und in Situationen, in denen zum Beispiel mit externen Partnern gearbeitet wird, spricht alles für X.509 und damit auch für das Verwenden digitaler Zertifikate beim Authentifizieren.

Aus Sicherheitsgründen sollte der Administrator vorkonfigurierte Zeichenketten für die Authentifizierung vermeiden. Dieser Mechanismus hat zur Folge, dass die Schlüssel von den Anwendern zu selten geändert werden, und bringt eine Reihe weiterer Sicherheitsrisiken. Zum Beispiel ist es möglich, dass die Schlüssel allgemein bekannt werden, weil sie in nicht sicherer Weise ausgetauscht werden. Oder wenn die Schlüssel nicht oft genug geändert werden.


Nach der Authentifizierung gilt es IP-Filterlisten zu erstellen. Es gibt zwei vordefinierte Filterlisten, die einerseits den gesamten IP- und andererseits den gesamten ICMP-Verkehr zulassen. Der Anwender kann auch Filterregeln beispielsweise für einzelne Anwendungen wie die Kommunikation mit Datenbankservern konfigurieren.


Beim Hinzufügen von Filtern kann der Administrator eine Reihe von Festlegungen treffen. Im Register Adressierung legt der Anwender fest, welche IP-Adressen der Filter erfassen soll. Bei Protokoll können die TCP-Protokolle und die Portnummern für den Filter angegeben werden. Schließlich kann der User noch eine Beschreibung für diesen Filter angeben. Das ist von Bedeutung, wenn zahlreiche Filter für einzelne Anwendungssituationen wie den Zugriff auf Datenbankserver zu erstellen sind.


Bei der Erstellung von Filtern ist außerdem wichtig, dass IP-Sec auch die Pakete durchlassen muss, die für die interne Kommunikation von Windows 2000 und Active Directory sowie für IP-Sec selbst verwendet werden. Die jeweils benötigten Protokolle finden sich beispielsweise in der Datei SERVICES im Verzeichnis:

%systemroot%\system32\drivers\etc

Neben den Filterregeln kann der Administrator auch allgemeine Eigenschaften der IP-Sec-Richtlinien definieren. Diese finden sich im Register Allgemein der IP-Sec-Richtlinie. Hier lässt sich beispielsweise angeben, wie oft das System nach Änderungen bei den Richtlinien suchen soll oder in welchen Zeitabständen die verwendeten Schlüssel für einmal aufgebaute Verbindungen zu erneuern sind. Zudem ist die Abfolge der Sicherheitsverfahren konfigurierbar.


Tools für IP-Sec


Das erste der beiden Werkzeuge für die Verwaltung von IP-Sec findet sich im Resource Kit Internet Protocol Security Policies Tools und trägt den Dateinamen IP-SECPOL.EXE. Es ist die Erweiterung zum IP-Sec-Snap-In für die MMC (Microsoft Management Console), das zwei Funktionen unterstützt:


Zum einen lassen sich mit dem Werkzeug lokale Richtlinien konfigurieren. So kann der User IP-Sec-Richtlinien testeten, ohne Gruppenrichtlinien zu verändern.

Zum anderen können IP-Sec-Richtlinien über Skripts konfiguriert werden.

Das zweite Werkzeug ist die Snap-In-Software IP-SICHERHEITSRICHTLINIENVERWALTUNG. Damit lassen sich sowohl lokale IP-Sec-Richtlinien als auch solche von anderen Computern oder von Domänen verwalten. Das Tool stellt die gleiche Funktionalität wie beim Verwalten von IP-Sec-Richtlinien über die Gruppenrichtlinien bereit.

IP-Sec-Konfigurationsfallen


Die fehlerhafte Konfiguration von IP-Sec kann dazu führen, dass Windows-Systeme nicht mehr miteinander kommunizieren können. Vorsicht ist gerade bei vordefinierten Richtlinien geboten.


Es gibt drei vordefinierte IP-Sec-Richtlinien:


Die Richtlinie Client (Respond-Only) kann Clients zugeordnet werden und unterstützt nur die Verschlüsselung bei den Clients, nicht beim Server. Diese kann der User als Basis für Clients verwenden, wenn keine spezifischen Sicherheitsanforderungen bestehen.

Die zweite Richtlinie ist Server (Request Security), sie ist nicht zu empfehlen, weil der Server dann die Verwendung von IP-Sec nicht vorschreibt. Windows-98- oder -NT-Clients können dann zwar mit dem Server kommunizieren, IP-Sec wird aber nicht aktiviert. Der Administrator sollte sein System so einrichten, dass überhaupt keine ungesicherte Kommunikation mehr möglich ist.

Sinn macht aber die IP-Sec-Richtlinie Secure Server (Require Security). Wenn diese Konfiguration gewählt ist, muss IP-Sec auf allen Clients, die mit dem Server kommunizieren möchten, aktiviert sein. In diesem Fall ist jede Kommunikation verschlüsselt. Falls eine Vereinbarung über die Form der Kommunikation und Verschlüsselung zwischen Client und Server fehlschlägt, kommt keine Verbindung zu Stande.

Gerade beim ersten Arbeiten mit IP-Sec entsteht häufig das Problem, dass keine Kommunikation mit einem oder mehreren Servern möglich ist. Ursache dafür ist, dass entweder nur auf dem Client eine IP-Sec-Richtlinie aktiviert ist oder dass auf den beiden Seiten unterschiedliche Authentifizierungsmechanismen zum Einsatz kommen. Die Probleme lassen sich aber durch Deaktivieren der IP-Sec-Richtlinien und eine erneute Anmeldung beim Server beseitigen. So werden die Gruppenrichtlinien noch einmal verarbeitet.


[Quelle: zdnet.de]