Skip to content

Unterschiede von AH und ESP bei IPSec

MCSE IPSec wird in RFC 2401 definiert und ist der einzig brauchbare Ansatz in der Praxis IP-Daten auf ISO Ebene 3 zu verschlüsseln. Das heisst, es werden direkt die Datenpakete verschlüsselt und signiert, man kann also eine gesicherte Kommunikation zwischen zwei Punkten herstellen. Dabei wird sichergestellt dass die Daten erstens authentisch sind zweitens unverändert übertragen wurden und drittens nicht während der Übertragung eingesehen werden konnten.

Der Authentication Header (AH) ist eine Art Prüfsumme (Hashcode) über ein Datenpaket und alle Felder des Headers, die nicht von einem Router geändert werden. Man kann damit den richtigen Absender des Pakets sicherstellen. Damit wird aber keine Verschlüsselung der Daten durchgeführt. Ein Problem sind jedoch NAT-Router, da sie die Adressen der Datenpakete ändern müssen um zu funktionieren.

Encapsulating Security Payload (ESP) sorgt für die Verschlüsselung mit Triple-DES-Sitzungsschlüssel. Die zusätzliche SHA1- oder MD5-Signierung ist nur eine Option, bezieht sich aber nur auf den Inhalt des Datenpakets. Damit kann ESP auch zusammen mit NAT-Routern funktionieren. Allerdings ist damit allein nicht mehr die Authenzität des Absenders sicherzustellen.

AH und ESP schließen sich nicht aus, können also zusammen verwendet werden, allerdings wird damit ein leichter Overhead erzeugt.
3desah esp

3DES erfordert höheren Rechenaufwand als DES, es bearbeitet jeden Block drei Mal und verwendet dabei jedes Mal einen einmaligen 56-Bit-Schlüssel. MD5 (Message Digest 5) basiert auf RFC 1321 und berechnet einem 128-Bit-Hash, der für die Integritätsprüfung verwendet wird. SHA1 (Secure Hash Algorithm 1) wurde eng an MD5 angelehnt und führt zu einem 160-Bit-Hash, durch die längere Prüfsumme ist dieser Algorithmus sicherer, aber aufwändiger.

Quellen:
http://de.wikipedia.org/wiki/IPsec
Netzwerke mit IPSec schützen

Download der Gruppenrichtlinien Verwaltungskonsole (GPMC)

MCSE Die Gruppenrichtlinien-Verwaltungskonsole ist als Datei mit dem Dateinamen "gpmc.msi" von Microsoft zu bekommen.
GPMC-Download von Microsoft

Mit diesem Tool wird die organisationsweite Verwaltung von Gruppenrichtlinien vereinheitlicht.. Statt mehrerer Tools von Microsoft zum Verwalten von Gruppenrichtlinien wird im GPMC die vorhandene Gruppenrichtlinienfunktionalität in eine einheitliche Konsole integriert. Dazu kommen noch neue Funktionen wie Import/Export von GPOs und WMI-Filtern sowie sichern und wiederherstellen von Gruppenrichtlinienobjekten.
gpmc

NTLMv2 Authentifizierung auf Domain-Controller

MCSE Um die NTLMv2 Authentifizierung auf Domain-Controllern zu verwenden muss man die "securedc.inf" Sicherheitsvorlage in die Default Domain Policy der Domäne konfigurieren.

Standardmäßig ist seit Windows 2000 Kerberos V5 bevorzugt als Authentifizierungsmechanismus implementiert. Das funktioniert aber nur in reinen W2K-Domänen zuverlässig - damit das System nicht auf einfaches NTLM zurückfällt ist seit NT 4.0 SP4 aber NTLMv2 konfigurierbar.
http://www.heise.de/security/artikel/40744/3

Beispiel: Die Abteilung Auswertung hat aktuelle Computer mit Windows XP und es soll nur NTLMv2 für die Auswertung_OU verwendet werden, in dem eine Gruppenrichtlinie Auswertung_GPO damit verknüpft wird. Die GPO sieht so aus:

Diese GPO kann nun sehr einfach im GPMC mit der gewünschte OU verknüpft werden:


NTLMv2 wird nicht standardmäßig nicht von Windows 95 unterstützt, hier muss die Active Directory Client Software installiert werden, Windows NT4 benötigt wie erwähnt mindestens SP4.

Sicherheit des DC erhöhen mit HisecDC.inf und SecureDC.inf

MCSE Vorgefertigte Sicherheitsrichtlinien lassen sich für den Domaincontroller importieren. Wenn die Umgebung es zulässt sollten sie auf den Controllern verwendet werden!

Sie stellen aber Anforderungen an die verwendeten Systeme und erfordern auch genaue Uhrzeiten auf den Clients und Servern. Anders gesagt: Bei "HisecDC.inf" müssen Clients Windows XP, Server Windows 2003 und die Uhren synchronisiert sein.

Unter Verwaltung/Sicherheitsrichtslinien für Domaincontroller lassen sich die dafür vorgefertigten Sicherheitsvorlage für die Anwendung auf den Domänencontrollern wählen.
Sicherheitsvorlagehisecdc.inf

Diese Sicherheitsvorlagen sollten vor eventuell erforderlichen weiteren Sicherheitsvorlagen für Applikationen installiert werden!

Domänencontroller aus Systemstatusdaten wiederherstellen

MCSE Der Befehl "dcpromo" kann mit der Option "/adv" (advanced) verwendet werden um einen Domänencontroller von wiederhergestellten Sicherungsdateien zu erstellen.

Dabei wird der Assistent zum installieren von Active Directory wie zum Erstellen eines zusätzlichen Domänencontrollers von wiederhergestellten Sicherungsdateien gestartet. Vorher muss man natürlich die Systemstatusdaten des Domänencontrollers (oder eines anderen unter Windows Server 2003 aus der Domäne) gesichert haben.
tweetbackcheck