Filteraktion

Durch eine Filteraktion werden die Sicherheitsanforderungen für die Datenübertragung definiert. Eine Filteraktion kann folgendermaßen konfiguriert werden:

  • Datenverkehr zulassen (Zulassen)
    IPSec übermittelt diesen Datenverkehr ohne Änderung oder Erfordernis an Sicherheit. Diese Filteraktion ist für Datenverkehr von Computern geeignet, die nicht IPSec-kompatibel sind. Beschränken Sie beim Verwenden dieses Filteraktionstyps den Geltungsbereich der IP-Filterliste auf ein Minimum, damit Sie keinen Datenverkehr passieren lassen, der gesichert sein muss.

  • Datenverkehr sperren (Sperren)
    Der Datenverkehr wird von IPSec ohne weitere Benachrichtigung verworfen. Verwenden Sie bei einer Sperrfilteraktion eine IP-Filterliste, durch die der Datenverkehrsbereich angemessen definiert wird, um berechtigte Computer nicht von der Kommunikation auszuschließen.

  • IPSec aushandeln (Sicherheit aushandeln)
    Mithilfe von IPSec ist das Aushandeln von Sicherheitszuordnungen und das Senden oder Empfangen von mit IPSec geschütztem Datenverkehr erforderlich. Wenn Sie das Aushandeln von IPSec gewählt haben, können Sie darüber hinaus folgende Konfigurationen durchführen:

    • Sicherheitsmethoden und ihre Reihenfolge
    • Zulassen von anfänglich eingehendem, ungesichertem Datenverkehr (Unsichere Kommunikat. annehmen, aber immer mit IPSec antworten)
      IPSec ermöglicht, dass eingehende Pakete, die der konfigurierten Filterliste entsprechen, ungesichert (nicht durch IPSec geschützt) sind. Die ausgehende Antwort auf das eingehende Paket muss jedoch geschützt sein. Diese Einstellung empfiehlt sich beim Verwenden der Standardantwortregel für Clients. Angenommen, eine Gruppe von Servern ist mit einer Regel konfiguriert, in der festgelegt ist, dass die Kommunikation mit jeder IP-Adresse gesichert wird, ungesicherte Kommunikation zwar angenommen, Antworten jedoch nur mit sicherer Kommunikation erfolgen. Dann stellt die Aktivierung der Standardantwortregel für Clientcomputer sicher, dass die Clients auf vom Server angeforderte Sicherheitsaushandlungen reagieren. Diese Option sollte für sichere Computer, die mit dem Internet verbunden sind, deaktiviert werden, um Dienstverweigerungsangriffe zu verhindern.

    • Zulassen der Kommunikation mit nicht IPSec-kompatiblen Computern (Unsichere Komm. mit Computern zulassen, die IPSec nicht unterstützen)
      Bei Bedarf wechselt IPSec zurück zu ungesicherter Kommunikation. Auch in diesem Fall sollte der Geltungsbereich der IP-Filterliste auf ein Minimum reduziert werden. Ansonsten kann ein Fehlschlagen einer Sicherheitsaushandlung zur Folge haben, dass die Regel, in der diese Filteraktion aktiv ist, den betroffenen Datenverkehr auch ungesichert ausführt. Wenn Sie ungesicherte Kommunikation vermeiden möchten, sollten Sie das Deaktivieren dieser Einstellung in Betracht ziehen. Auf diese Weise kann jedoch die Datenübertragung mit Computern gesperrt werden, die IPSec beispielsweise aufgrund veralteter Betriebssysteme nicht initiieren können. Diese Option sollte für sichere Computer, die mit dem Internet verbunden sind, deaktiviert werden.

    • Generierung von Sitzungsschlüsseln aus neuem Schlüsselmaterial (Sitzungsschlüssel mit Perfect Forward Secrecy (PFS) verwenden)
      Hiermit wird festgelegt, ob vorhandenes Schlüsselmaterial des Hauptschlüssels zum Erstellen eines neuen Sitzungsschlüssels verwendet werden kann. Das Aktivieren von Sitzungsschlüssel mit Perfect Forward Secrecy (PFS) stellt sicher, dass mit dem Schlüsselmaterial des Hauptschlüssels nicht mehr als ein Sitzungsschlüssel erstellt werden kann. Wenn PFS für Sitzungsschlüssel aktiviert ist, wird ein neuer Diffie-Hellman-Schlüsselaustausch ausgeführt, um vor dem Erstellen eines neuen Sitzungsschlüssels neues Hauptschlüsselmaterial zu generieren. Bei Verwendung von PFS für Sitzungsschlüssel ist keine erneute Hauptmodusauthentifizierung erforderlich, und es werden weniger Ressourcen als bei PFS für Hauptschlüssel beansprucht.

IP-Sicherheitsmethoden

Durch die einzelnen Sicherheitsmethoden werden die Sicherheitsanforderungen der jeweiligen Kommunikationstypen definiert, auf die die entsprechenden Regeln angewendet werden. Durch das Erstellen mehrerer Sicherheitsmethoden wird die Chance erhöht, dass zwei Computer über eine gemeinsame Sicherheitsmethode verfügen. Die IKE-Komponente liest die Liste der Sicherheitsmethoden in absteigender Reihenfolge und sendet eine Liste zugelassener Sicherheitsmethoden an den anderen Peer. Die erste gemeinsame Methode wird ausgewählt. In der Regel sind die sichersten Methoden am Listenanfang und die Methoden mit der geringsten Sicherheit am Listenende aufgeführt.

  • Vordefinierte IP-Sicherheitsmethoden
    • Verschlüsselung und Integrität
      Verwendet das ESP-Protokoll, um die Datenvertraulichkeit mit dem 3DES-Algorithmus (Triple Data Encryption Standard) sicherzustellen (Verschlüsselung), die Integrität und Authentifizierung von Daten durch den Integritätsalgorithmus Sicherer Hashalgorithmus 1 (Secure Hash Algorithm 1, SHA 1) zu gewährleisten und die Standard-Schlüsselgültigkeitsdauer (100 MB, 1 Stunde) festzulegen. Wenn Schutz sowohl für Daten als auch für die Adressierung (IP-Header) erforderlich ist, können Sie eine benutzerdefinierte Sicherheitsmethode erstellen. Ist keine Verschlüsselung erforderlich, verwenden Sie Nur Integrität.

    • Nur Integrität
      Verwendet das ESP-Protokoll, um die Integrität und Authentifizierung von Daten durch den Integritätsalgorithmus SHA 1 zu gewährleisten und die Standard-Schlüsselgültigkeitsdauer (100 MB, 1 Stunde) festzulegen. In dieser Konfiguration bietet ESP keine Datenvertraulichkeit (Verschlüsselung). Dieses Verfahren ist dann geeignet, wenn Ihr Sicherheitsplan Standardsicherheitsstufen erfordert.

  • Benutzerdefinierte IP-Sicherheitsmethoden
    Wenn die vordefinierten Einstellungen Verschlüsselung und Integrität oder Nur Integrität Ihre Sicherheitsanforderungen nicht erfüllen, können Sie benutzerdefinierte Sicherheitsmethoden festlegen. Beispielsweise können Sie benutzerdefinierte Methoden verwenden, wenn Verschlüsselung und Adressintegrität, stärkere Algorithmen oder Schlüsselgültigkeitsdauern angegeben werden müssen. Sie haben folgende Möglichkeiten zum Konfigurieren einer benutzerdefinierten Sicherheitsmethode:

    • Sicherheitsprotokolle
      Wenn Sie Integrität des IP-Headers und Datenverschlüsselung benötigen, kann sowohl AH (Daten- und Adressintegrität ohne Verschlüsselung (AH)) als auch ESP (Datenintegrität und Verschlüsselung (ESP)) aktiviert werden. Wenn Sie beide Optionen aktiviert haben, müssen Sie keinen Integritätsalgorithmus für ESP angeben. Der von Ihnen für AH ausgewählte Algorithmus stellt Integrität sicher.
    • Integritätsalgorithmus
      • Nachrichtendigest 5 (Message Digest 5, MD5), der einen 128-Bit-Schlüssel verwendet.
      • Sicherer Hashalgorithmus 1 (Secure Hash Algorithm 1, SHA1), der einen 160-Bit-Schlüssel verwendet
    • Verschlüsselungsalgorithmus

      • 3DES ist die sicherste DES-Kombination und deshalb etwas langsamer in der Leistung. 3DES führt jeden Block dreimal aus und verwendet dabei drei eindeutige 56-Bit-Schlüssel.

      • DES wird verwendet, wenn die höhere Sicherheit und der höhere Aufwand von 3DES nicht erforderlich sind. DES verwendet einen einzelnen 56-Bit-Schlüssel.

Sitzungsschlüsseleinstellungen
Durch die Sitzungsschlüsseleinstellungen wird zwar der Zeitpunkt, an dem ein neuer Schlüssel generiert wird, nicht jedoch das hierzu verwendete Verfahren angegeben. Sie können die Gültigkeitsdauer in Kilobyte, Sekunden oder beiden Einheiten angeben. Dauert die Kommunikation beispielsweise 10.000 Sekunden an, und haben Sie die Schlüsselgültigkeitsdauer mit 1000 Sekunden angegeben, werden zehn Schlüssel zum Vervollständigen der Übertragung generiert. Hierdurch wird das Entschlüsseln der gesamten Kommunikation verhindert, selbst wenn es einem Angreifer gelingen sollte, einen Sitzungsschlüssel zu ermitteln und einen Teil der Kommunikation zu entschlüsseln. In der Standardeinstellung werden für jeweils 100 MB an Daten oder jede Stunde neue Sitzungsschlüssel generiert. Beachten Sie, dass nach dem Ablaufen einer Schlüsselgültigkeitsdauer zusätzlich zur Schlüsselerneuerung und -neugenerierung auch die Schnellmodus-Sicherheitszuordnung neu ausgehandelt wird.

Hinweis
Wenn IPSec die Vertraulichkeit von Daten zwischen einem Computer unter Windows XP oder der Windows Server 2003-Produktfamilie (oder einem Computer unter Windows 2000, auf dem das Paket für starke Verschlüsselung oder das Service Pack 2 oder höher installiert ist) und einem anderen Computer bereitstellt, auf dem 3DES nicht verwendet wird, muss in der Liste der Sicherheitsmethoden DES enthalten sein. Andernfalls erlangt der Computer, mit dem Sie zu kommunizieren versuchen, möglicherweise keine Sicherheitsübereinstimmung mit Ihrem Computer. Falls keine Vertraulichkeit der Daten erforderlich ist, können Sie das ESP-Format nur mit einem Integritätsalgorithmus auswählen und als Verschlüsselung <Keine> festlegen. Alternativ kann ein AH-Format mit einem Integritätsalgorithmus verwendet werden.