Ergebnis 1 bis 10 von 10

Thema: Absicherung ADS mit IPSec und IP-Sicherheitsrichtlinien

  1. #1
    Neuer Benutzer
    Registriert seit
    28.07.2005
    Beiträge
    9

    Standard Absicherung ADS mit IPSec und IP-Sicherheitsrichtlinien

    Hallo Leute,

    ich habe die folgende Aufgabenstellung erhalten und mir fehlen leider die Ideen und entsprechenden Ansatzpunkte.

    Es ist ein Server mit Windows 2003 (Standard Edition) installiert. Hierauf befinden sich neben der Active Directory (Domain Controller) auch ein SQL Server für die entsprechende Client-Anwendung.

    Ich soll nun sicherstellen, dass die komplette Kommunikation der Clients zum Server und umgekehrt verschlüsselt erfolgen. Die Clients sind Windows XP Pro Kisten.

    Aus diesem Grund habe ich auf dem Server und dem Client lokale IP-Sicherheitsrichlinen installiert und mit einem PSK versehen. Wenn ich nun den Traffic sniffe sehe ich die Kommunikation verschlüsselt im ESP. Jedoch funktioniert dies nur, wenn der Client sich nicht in der Active Directory befindet.

    Sobald ich der Active Directory beitrete und mich anmelden will, geschieht dies wiederum vollkommen unverschlüsselt. Deshalb habe ich die IP-Sicherheitsrichlinie auch für die Domäne erstellt (IP-Sicherheitsrichlinie auf Active Directory). Nun Habe ich sie unter Sicherheitsrichtlinie für Domäne zugewiesen.

    Leider funktioniert hier die Anmeldung nicht, da der Client keine Verbindung zum Server aufbauen kann.


    Folgende Fragen stelle ich mir :
    Was mache ich hier falsch ?
    Kennt ihr eine entsprechende Anleitung ?
    Geht das so wie ich es mir vorstelle ?
    Muss ich lokale und Domänen-Sicherheitsrichtlinien aktivieren ?
    Brauche ich Gruppenrichtlinien und wenn ja, warum ?
    Muss ich diese IP-Sicherheitsrichlinie auch unter dem Punkt Sicherheitsrichtlinie für Domänencontroller zuweisen ?


    Vielen Dank für Eure Hilfe.

    Gruss
    Matze

  2. #2
    Quoten-Depp Avatar von BeoWulf
    Registriert seit
    18.06.2003
    Beiträge
    2,805

    Standard

    IP-Sicherheitrichtlinien sind ein guter anfang um sicherzustellen das kein unerlaubter zutritt durch fremde Computer geschiet,zusätzlich sollte z.B. noch Kerberos als Verschlüsselung genutzt werden.
    Wer Rechtschreibfehler findet, der kann se gerne behalten. Ja ich kenn Groß- und Kleinschreibung,so gehts aber einfach schneller :P

  3. #3
    Neuer Benutzer
    Registriert seit
    28.07.2005
    Beiträge
    9

    Standard

    Kannst Du mir ein paar Stichpunkte geben oder kennst Du eine Anleitung, die mir Schritt für Schritt die genaue Konfiguration beschreibt ???

    Leider funktioniert meine Konfiguration nicht.

    Deshalb nutze ich zur Zeit die Filterregelen bei Windows 2003 unter den IP-Sicherheitsrichtlinien, um wenigesten nur bestimmten IP-Adressen Zugriff zu gewähren. Ebenso werden auch Gruppenrichlinien für bestimmte Benutzer geladen.

    Ich bräuchte jedoch die Verschlüsselung via IPSec.
    Alternative wäre eine Firewall vor den Server zu bauen und eine VPN vom Client bis zur Firewall zu erreichen.

    Ich brauche deshalb dringend Hilfe.

    Gruss
    Matze

  4. #4
    Quoten-Depp Avatar von BeoWulf
    Registriert seit
    18.06.2003
    Beiträge
    2,805

    Standard

    Ein wenig Geduld bitte, bei einigen und u.a. auch bei mir hat gerade der Urlaub angefangen,werden zusehn das noch offene Fragen im Forum,Anfang nächster Woche beantwortet werden. (Copy&Paste auch noch für einen anderen Beitrag)
    Wer Rechtschreibfehler findet, der kann se gerne behalten. Ja ich kenn Groß- und Kleinschreibung,so gehts aber einfach schneller :P

  5. #5
    Erfahrener Benutzer Avatar von bofh
    Registriert seit
    25.02.2004
    Beiträge
    751

    Standard RE: Absicherung ADS mit IPSec und IP-Sicherheitsrichtlinien

    Kennt ihr eine entsprechende Anleitung ?
    http://www.microsoft.com/windowsserv...ault.mspx#EIAA
    http://www.microsoft.com/technet/pro...870273e15.mspx
    http://www.microsoft.com/smallbusine...3_serv_dc.mspx
    Geht das so wie ich es mir vorstelle ?
    Reines IPSec zwischen Client und Server sollte kein Problem sein.
    Zwischen DC unc Client ist es ein Problem.
    MS Zitat:
    Securing communication between domain members and their domain controllers. In addition to reduced network performance, using IPSec for this scenario is not recommended because of the complexity of the IPSec policy configuration and management required.
    Muss ich lokale und Domänen-Sicherheitsrichtlinien aktivieren ?
    Die lokale kannst Du dir sparen, die wird normalerweise von den Domainpolicies overruled.
    Brauche ich Gruppenrichtlinien und wenn ja, warum ?
    Weils wesentlich weniger mühsam ist, als jeden Client anzufummeln.
    Und neue könnens automatisch.
    All your base are belong to us

  6. #6
    Neuer Benutzer
    Registriert seit
    28.07.2005
    Beiträge
    9

    Standard

    Vielen Dank für deine Antwort,

    auf jeden Fall habe ich jetzt eine Aussage von Dir und Microsoft, dass eine komplette Verschlüsselung des Traffics als Mitglied einer Domäne (ADS) nicht so einfach möglich ist. Als alleinstehender Server und Client ist aber eine Verschlüsselung durchaus möglich.

    Ist es möglich, NETBIOS (port 137-139, 445) zu verschlüsseln, wenn ich mich in einer ADS befinde ???
    Wie sollte ich hier vorgehen ???
    Muss ich hierfür IP-Sicherheitsrcihlinien auf der Active Directory und auf dem Dömänencontroller verwalten ???

    Gruss
    Matze

  7. #7
    Erfahrener Benutzer Avatar von bofh
    Registriert seit
    25.02.2004
    Beiträge
    751

    Standard

    Ist es möglich, NETBIOS (port 137-139, 445) zu verschlüsseln, wenn ich mich in einer ADS befinde ???
    Mit ADS meinst Du eine AD Domain?
    Ich kenn aber jetzt auf Anhieb keine Möglichkeit NETBIOS zu verschlüsseln (ausser IPSec)
    Wie sollte ich hier vorgehen ???
    Muss ich hierfür IP-Sicherheitsrcihlinien auf der Active Directory und auf dem Dömänencontroller verwalten ???
    Wenn Du IPSec konfigurierst, dann musst Du das in der "Default Domain Policy" und in der "Default Domain Controller Policy" machen.
    Oder halt in der Policy, die auf diese OU gelinkt ist, in der Du das betreiben willst.
    All your base are belong to us

  8. #8
    Neuer Benutzer
    Registriert seit
    28.07.2005
    Beiträge
    9

    Standard

    Ja Du hast recht, ich meine die AD Domain.

    OK, ich habe den Weg, den du angesprochen hast mit IPSec versucht, jedoch ohne ein positives Ergenis.

    Ich habe Filter via IPSec erstellt, damit nur authorisierte IP Zugriff auf den Server erhalten.

    Im nächsten Schritt habe ich die beiden Policies "Default Domain Policy" und "Default Domain Controller Policy" in der Gruppenrichlinienverwaltung verknüpft.
    Hier habe ich in der "Default Domain Policy" den Cleints unter der IP-Sicherheitsrichtlinie die Option "Client (Respond Only)" zugewiesen.

    Die Filter und die Authentifizierung (Port 445, 137-139) habe ich unter der "Default Domain Policy" erstellt. Hierbei setzte ich auf die Kerberos Authentifizierung. Alles ausser den definierten Ports (Port 445, 137-139) ist klartext erlaubt, bei den definierten Ports habe ich die Option "Require Security" aktiviert und die Option aktiviert "Unsichere Kommunikation annehmen, aber mit IPSec antworten".

    Leider funktioniert diese Zusammenstellung nicht.

    Wo ist hier mein Fehler/Denkfehler ???
    An welcher Stelle sollten die "Default Domain Policy" und "Default Domain Controller Policy" stehen, an letzer Stelle ?

    Gruss
    Matze

  9. #9
    Neuer Benutzer
    Registriert seit
    28.07.2005
    Beiträge
    9

    Standard

    Ich bekomme es leider nicht hin.

    Kann mir jemand eine Anleitung (auf Deutsch) nennen, die beschreibt, wie ich ein Teil der Kommunikation zwischen Cleint und DC vershchlüssle, mit Hilfe der 2 Default Policys ???

    Ich habe leider nichts entsprechendes im Internet gefunden, da hier immer nur von "Lokalen IP-Sicherheitsrichtlinien" die Rede ist, aber nicht von einem Active Directory Umfeld.

    Danke schon mal im Voraus für Eure Hilfe.

    Gruss
    Matze

  10. #10
    Neuer Benutzer
    Registriert seit
    28.07.2005
    Beiträge
    9

    Standard

    Brauche immer noch Hilfe.

    Es ist für ein Kundenprojekt.

Ähnliche Themen

  1. IPSec 2003 & Client
    Von DachbodenJimmy im Forum Windows Server
    Antworten: 0
    Letzter Beitrag: 14.05.2007, 20:27
  2. Win XP IPSEC/VPN
    Von rossinie im Forum Windows 95 - XP | sonstige
    Antworten: 7
    Letzter Beitrag: 23.07.2004, 13:16

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •