Filteraktion
Durch eine Filteraktion werden die
Sicherheitsanforderungen für die Datenübertragung definiert.
Eine Filteraktion kann folgendermaßen konfiguriert werden:
-
Datenverkehr
zulassen (Zulassen)
IPSec übermittelt diesen Datenverkehr ohne
Änderung oder Erfordernis an Sicherheit. Diese
Filteraktion ist für Datenverkehr von Computern
geeignet, die nicht IPSec-kompatibel sind.
Beschränken Sie beim Verwenden dieses
Filteraktionstyps den Geltungsbereich der
IP-Filterliste auf ein Minimum, damit Sie keinen
Datenverkehr passieren lassen, der gesichert sein
muss.
-
Datenverkehr
sperren (Sperren)
Der Datenverkehr wird von IPSec ohne weitere
Benachrichtigung verworfen. Verwenden Sie bei einer
Sperrfilteraktion eine IP-Filterliste, durch die der
Datenverkehrsbereich angemessen definiert wird, um
berechtigte Computer nicht von der Kommunikation
auszuschließen.
-
IPSec
aushandeln (Sicherheit aushandeln)
Mithilfe von IPSec ist das Aushandeln von
Sicherheitszuordnungen und das Senden oder Empfangen
von mit IPSec geschütztem Datenverkehr erforderlich.
Wenn Sie das Aushandeln von IPSec gewählt haben,
können Sie darüber hinaus folgende Konfigurationen
durchführen:
- Sicherheitsmethoden und ihre Reihenfolge
-
Zulassen von anfänglich eingehendem,
ungesichertem Datenverkehr (Unsichere
Kommunikat. annehmen, aber immer mit IPSec
antworten)
IPSec ermöglicht, dass eingehende Pakete,
die der konfigurierten Filterliste
entsprechen, ungesichert (nicht durch IPSec
geschützt) sind. Die ausgehende Antwort auf
das eingehende Paket muss jedoch geschützt
sein. Diese Einstellung empfiehlt sich beim
Verwenden der Standardantwortregel für
Clients. Angenommen, eine Gruppe von Servern
ist mit einer Regel konfiguriert, in der
festgelegt ist, dass die Kommunikation mit
jeder IP-Adresse gesichert wird,
ungesicherte Kommunikation zwar angenommen,
Antworten jedoch nur mit sicherer
Kommunikation erfolgen. Dann stellt die
Aktivierung der Standardantwortregel für
Clientcomputer sicher, dass die Clients auf
vom Server angeforderte
Sicherheitsaushandlungen reagieren. Diese
Option sollte für sichere Computer, die mit
dem Internet verbunden sind, deaktiviert
werden, um Dienstverweigerungsangriffe zu
verhindern.
-
Zulassen der Kommunikation mit nicht
IPSec-kompatiblen Computern (Unsichere
Komm. mit Computern zulassen, die IPSec
nicht unterstützen)
Bei Bedarf wechselt IPSec zurück zu
ungesicherter Kommunikation. Auch in diesem
Fall sollte der Geltungsbereich der
IP-Filterliste auf ein Minimum reduziert
werden. Ansonsten kann ein Fehlschlagen
einer Sicherheitsaushandlung zur Folge
haben, dass die Regel, in der diese
Filteraktion aktiv ist, den betroffenen
Datenverkehr auch ungesichert ausführt. Wenn
Sie ungesicherte Kommunikation vermeiden
möchten, sollten Sie das Deaktivieren dieser
Einstellung in Betracht ziehen. Auf diese
Weise kann jedoch die Datenübertragung mit
Computern gesperrt werden, die IPSec
beispielsweise aufgrund veralteter
Betriebssysteme nicht initiieren können.
Diese Option sollte für sichere Computer,
die mit dem Internet verbunden sind,
deaktiviert werden.
-
Generierung von Sitzungsschlüsseln aus neuem
Schlüsselmaterial (Sitzungsschlüssel mit
Perfect Forward Secrecy (PFS) verwenden)
Hiermit wird festgelegt, ob vorhandenes
Schlüsselmaterial des Hauptschlüssels zum
Erstellen eines neuen Sitzungsschlüssels
verwendet werden kann. Das Aktivieren von
Sitzungsschlüssel mit Perfect Forward
Secrecy (PFS) stellt sicher, dass mit
dem Schlüsselmaterial des Hauptschlüssels
nicht mehr als ein Sitzungsschlüssel
erstellt werden kann. Wenn PFS für
Sitzungsschlüssel aktiviert ist, wird ein
neuer Diffie-Hellman-Schlüsselaustausch
ausgeführt, um vor dem Erstellen eines neuen
Sitzungsschlüssels neues
Hauptschlüsselmaterial zu generieren. Bei
Verwendung von PFS für Sitzungsschlüssel ist
keine erneute Hauptmodusauthentifizierung
erforderlich, und es werden weniger
Ressourcen als bei PFS für Hauptschlüssel
beansprucht.
IP-Sicherheitsmethoden
Durch die einzelnen Sicherheitsmethoden werden die
Sicherheitsanforderungen der jeweiligen Kommunikationstypen
definiert, auf die die entsprechenden Regeln angewendet
werden. Durch das Erstellen mehrerer Sicherheitsmethoden
wird die Chance erhöht, dass zwei Computer über eine
gemeinsame Sicherheitsmethode verfügen. Die IKE-Komponente
liest die Liste der Sicherheitsmethoden in absteigender
Reihenfolge und sendet eine Liste zugelassener
Sicherheitsmethoden an den anderen Peer. Die erste
gemeinsame Methode wird ausgewählt. In der Regel sind die
sichersten Methoden am Listenanfang und die Methoden mit der
geringsten Sicherheit am Listenende aufgeführt.
- Vordefinierte IP-Sicherheitsmethoden
-
Verschlüsselung und Integrität
Verwendet das ESP-Protokoll, um die
Datenvertraulichkeit mit dem 3DES-Algorithmus
(Triple Data Encryption Standard) sicherzustellen
(Verschlüsselung), die Integrität und
Authentifizierung von Daten durch den
Integritätsalgorithmus Sicherer Hashalgorithmus 1
(Secure Hash Algorithm 1, SHA 1) zu gewährleisten
und die Standard-Schlüsselgültigkeitsdauer (100 MB,
1 Stunde) festzulegen. Wenn Schutz sowohl für Daten
als auch für die Adressierung (IP-Header)
erforderlich ist, können Sie eine benutzerdefinierte
Sicherheitsmethode erstellen. Ist keine
Verschlüsselung erforderlich, verwenden Sie Nur
Integrität.
-
Nur Integrität
Verwendet das ESP-Protokoll, um die Integrität
und Authentifizierung von Daten durch den
Integritätsalgorithmus SHA 1 zu gewährleisten und
die Standard-Schlüsselgültigkeitsdauer (100 MB,
1 Stunde) festzulegen. In dieser Konfiguration
bietet ESP keine Datenvertraulichkeit
(Verschlüsselung). Dieses Verfahren ist dann
geeignet, wenn Ihr Sicherheitsplan
Standardsicherheitsstufen erfordert.
-
Benutzerdefinierte IP-Sicherheitsmethoden
Wenn die vordefinierten Einstellungen Verschlüsselung
und Integrität oder Nur Integrität Ihre
Sicherheitsanforderungen nicht erfüllen, können Sie
benutzerdefinierte Sicherheitsmethoden festlegen.
Beispielsweise können Sie benutzerdefinierte Methoden
verwenden, wenn Verschlüsselung und Adressintegrität,
stärkere Algorithmen oder Schlüsselgültigkeitsdauern
angegeben werden müssen. Sie haben folgende Möglichkeiten
zum Konfigurieren einer benutzerdefinierten
Sicherheitsmethode:
Sitzungsschlüsseleinstellungen
Durch die Sitzungsschlüsseleinstellungen wird
zwar der Zeitpunkt, an dem ein neuer Schlüssel
generiert wird, nicht jedoch das hierzu verwendete
Verfahren angegeben. Sie können die Gültigkeitsdauer
in Kilobyte, Sekunden oder beiden Einheiten angeben.
Dauert die Kommunikation beispielsweise
10.000 Sekunden an, und haben Sie die
Schlüsselgültigkeitsdauer mit 1000 Sekunden
angegeben, werden zehn Schlüssel zum
Vervollständigen der Übertragung generiert.
Hierdurch wird das Entschlüsseln der gesamten
Kommunikation verhindert, selbst wenn es einem
Angreifer gelingen sollte, einen Sitzungsschlüssel
zu ermitteln und einen Teil der Kommunikation zu
entschlüsseln. In der Standardeinstellung werden für
jeweils 100 MB an Daten oder jede Stunde neue
Sitzungsschlüssel generiert. Beachten Sie, dass nach
dem Ablaufen einer Schlüsselgültigkeitsdauer
zusätzlich zur Schlüsselerneuerung und
-neugenerierung auch die
Schnellmodus-Sicherheitszuordnung neu ausgehandelt
wird.
|
Hinweis
Wenn IPSec die
Vertraulichkeit von Daten zwischen einem Computer
unter Windows XP oder der
Windows Server 2003-Produktfamilie (oder einem
Computer unter Windows 2000, auf dem das Paket für
starke Verschlüsselung oder das Service Pack 2 oder
höher installiert ist) und einem anderen Computer
bereitstellt, auf dem 3DES nicht verwendet wird,
muss in der Liste der Sicherheitsmethoden DES
enthalten sein. Andernfalls erlangt der Computer,
mit dem Sie zu kommunizieren versuchen,
möglicherweise keine Sicherheitsübereinstimmung mit
Ihrem Computer. Falls keine Vertraulichkeit der
Daten erforderlich ist, können Sie das ESP-Format
nur mit einem Integritätsalgorithmus auswählen und
als Verschlüsselung <Keine> festlegen.
Alternativ kann ein AH-Format mit einem
Integritätsalgorithmus verwendet werden.
|
|