IPSec-Richtlinienregeln
IPSec-Richtlinien enthalten eine oder mehrere Regeln, die
das IPSec-Verhalten bestimmen. IPSec-Regeln werden in den
Eigenschaften einer IPSec-Richtlinie auf der Registerkarte
Regeln konfiguriert. Jede IPSec-Regel enthält die
folgenden Konfigurationselemente:
-
Filterliste
Es wird eine einzelne Filterliste ausgewählt. Diese
enthält einen oder mehrere vordefinierte
Paketfilter, mit denen der Typ des Datenverkehrs
beschrieben wird, auf den die konfigurierte
Filteraktion für die jeweilige Regel angewendet
wird. Die Filterliste wird innerhalb einer
IPSec-Richtlinie in den Eigenschaften einer
IPSec-Regel auf der Registerkarte IP-Filterliste
konfiguriert.
-
Filteraktion
Es wird eine einzelne Filteraktion ausgewählt, die
den erforderlichen Aktionstyp (Zulassen, Blockieren,
Sicherheit aushandeln) für Pakete enthält, die der
Filterliste entsprechen. Die Aushandlungsdaten für
die Filteraktion Sicherheit aushandeln
enthalten eine oder mehrere Sicherheitsmethoden
(ihrer Rangfolge entsprechend angeordnet), die
während der IKE-Aushandlungen verwendet werden,
sowie weitere IPSec-Einstellungen. Jede
Sicherheitsmethode bestimmt das zu verwendende
Sicherheitsprotokoll (wie AH oder ESP), die
spezifischen Verschlüsselungs- und
Hashingalgorithmen sowie die Einstellungen für die
Neugenerierung von Sitzungsschlüsseln. Die
Filteraktion wird innerhalb einer IPSec-Richtlinie
in den Eigenschaften einer IPSec-Regel auf der
Registerkarte Filteraktion konfiguriert.
-
Authentifizierungsmethoden
Es werden eine oder
mehrere Authentifizierungsmethoden konfiguriert
(ihrer Rangfolge entsprechend) und bei
Hauptmodusaushandlungen für die Authentifizierung
von IPSec-Peers verwendet. Als
Authentifizierungsmethoden sind das
Kerberos V5-Protokoll, ein Zertifikat einer
bestimmten Zertifizierungsstelle sowie ein
vorinstallierter Schlüssel verfügbar. Die
Aushandlungsdaten werden innerhalb einer
IPSec-Richtlinie in den Eigenschaften einer
IPSec-Regel auf der Registerkarte
Authentifizierungsmethoden konfiguriert.
|
WICHTIG:
Von
der Authentifizierung mit einem
vordefinierten Schlüssel wird abgeraten, da
es sich um eine relativ schwache
Authentifizierungsmethode handelt. Die
Authentifizierung mithilfe eines
vorinstallierten Schlüssels erstellt einen
Hauptschlüssel, der weniger sicher ist (der
möglicherweise eine schwächere Form der
Verschlüsselung erzeugt) als Zertifikate
oder als das Kerberos V5-Protokoll. Zudem
werden vorinstallierte Schlüssel in Klartext
gespeichert. Die Authentifizierung mit
vorinstallierten Schlüsseln wird aus Gründen
der Interoperabilität angeboten, und um dem
IPSec-Standard zu entsprechen. Es ist
empfehlenswert, vorinstallierte Schlüssel
nur zu Testzwecken zu verwenden und in einer
Produktionsumgebung stattdessen Zertifikate
oder Kerberos V5 zu verwenden. |
-
Tunnelendpunkt
Gibt an, ob der Datenverkehr durch einen Tunnel
geleitet wird, und wenn dies der Fall ist, die
IP-Adresse des Tunnelendpunkts. Für den ausgehenden
Datenverkehr ist der Tunnelendpunkt die IP-Adresse
des IPSec-Tunnel-Peers. Für den eingehenden
Datenverkehr ist der Tunnelendpunkt eine lokale
IP-Adresse. Der Tunnelendpunkt wird innerhalb einer
IPSec-Richtlinie in den Eigenschaften einer
IPSec-Regel auf der Registerkarte
Tunneleinstellungen konfiguriert. Weitere
Informationen finden Sie unter Tunnelmodus.
-
Verbindungstyp
Gibt an, ob die Regel für LAN-Verbindungen (Lokal
Area Network), DFÜ-Verbindungen oder beides gültig
ist. Der Verbindungstyp wird innerhalb einer
IPSec-Richtlinie in den Eigenschaften einer
IPSec-Regel auf der Registerkarte Verbindungstyp
konfiguriert.
Die Regeln für eine Richtlinie werden in
Sicherheitseinstellungen in umgekehrter alphabetischer
Reihenfolge angezeigt, abhängig vom Namen der für die
jeweilige Regel ausgewählten Filterliste. Es steht keine
Methode zum Festlegen der Reihenfolge zur Verfügung, in der
die Regeln in einer Richtlinie angewendet werden. Der
IPSec-Treiber ordnet die Regeln automatisch an, basierend
auf der spezifischsten Filterliste bis hin zur am wenigsten
spezifischen Filterliste. Der IPSec-Treiber wendet z. B.
eine Regel mit einer Filterliste, die persönliche
IP-Adressen und TCP-Ports enthält, vor einer Regel an, die
alle Adressen in einem Subnetz angibt.
Standardantwortregel
Wenn die Liste der Regeln mithilfe der
IPSec-Richtlinienverwaltungskonsole angezeigt wird, enthält
die Standardantwortregel, die für sämtliche Richtlinien
verwendet werden kann, die Filterliste <Dynamisch>
sowie die Filteraktion Standardantwort. Die
Standardantwortregel kann nicht gelöscht, sondern nur
deaktiviert werden. Sie ist standardmäßig für alle
Richtlinien aktiviert.
Mit der Standardantwortregel wird sichergestellt, dass
der Computer auf Anforderungen für sichere Kommunikation
antwortet. Wenn eine aktive Richtlinie keine Regel bezüglich
eines Computers enthält, der sichere Kommunikation
anfordert, wird die Standardantwortregel angewendet und die
Sicherheit ausgehandelt. Wenn z. B. die Kommunikation
zwischen Computer A und Computer B sicher ist, und auf
Computer B ist kein Eingangsfilter für Computer A definiert,
wird die Standardantwortregel angewendet.
Für die Standardantwortregel können Sicherheitsmethoden
und Authentifizierungsmethoden konfiguriert werden. Mit der
Filterliste <Dynamisch> wird angegeben, dass der
Filter nicht konfiguriert ist, Filter jedoch auf der Basis
des Empfangs von IKE-Verhandlungspaketen automatisch
erstellt werden. Die Filteraktion Standardantwort
gibt an, dass die Aktion des Filters (Zulassen, Blockieren,
Sicherheit aushandeln) nicht konfiguriert werden kann.
Sicherheit aushandeln wird verwendet. Sie können jedoch
folgende Einstellungen konfigurieren: