Sicherer Datentransfer mit IPSec und Windows Server 2003 Isolierte Domänen mit IPsec

Autor / Redakteur: Frank Castro Lieberwirth / Peter Schmitz

Sicherheit für die Datenkommunikation innerhalb von Domänen läßt sich für Windows Server 2003 mit etwas Planung recht einfach durch IPsec realisieren. Eine Domänenisolation erfordert aber einige wichtige Schlüsselkenntnisse von Active Directory, Netzwerkkommunikation und von IPSec. Hat man die Planungsphase aber erst einmal abgeschlossen, läßt sich so die Netzwerksicherheit deutlich verbessern.

Firmen zum Thema

Datentransfer mit Windows Server 2003 absichern und mit IPSec verschlüsseln.
Datentransfer mit Windows Server 2003 absichern und mit IPSec verschlüsseln.
( Archiv: Vogel Business Media )

Server- und Domänenisolation erreicht man mit einer Absicherung über IPSec und Gruppenrichtlinien. Das IPSec-Protokoll bietet einen international anerkannten Sicherheitsstandard, der seine aktuelle Referenz im RFC 4301 findet.

Oft wird irrtümlich angenommen, dass IPSec eine Public Key Infrastruktur (PKI) voraussetzt. Tatsächlich funktioniert IPSec, bzw. das Aushandlungsprotokoll IKE, unter einer Microsoft Windows Domäne auch mit der Kerberos-Authentifizierung.

Bildergalerie

Unter dem Aushandlungsprotokoll IKE versteht man das Internet Key Exchange-Protokoll, das während der IPSec-Sicherheitszuordnung zur Aushandlung der Verschlüsselungsprotokolle verwendet wird. IKE setzt sich aus den Protokollen ISAKMP, Oakley und SKEME zusammen und bestimmt, wie die Authentifizierungsnachrichten aufgebaut und ausgetauscht werden. Weitere Informationen dazu fndet man im RFC 2409.

Anforderungen an eine Absicherung in Unternehmensnetzwerken

Moderne Netzwerke in großen Organisationen besitzen in der Regel eine gewachsene IT-Struktur, da unterschiedliche Betriebssysteme und Netzwerkkomponenten (WLAN-Router, LAN-Router, ISDN-Router, Bluetooth, usw.) im Laufe der Zeit angeschafft worden sind. Neben den festinstallierten Clientcomputern kommen ebenso mobile Clients und Computer von externen Mitarbeitern zum Einsatz. Diese Mitarbeiter müssen nicht zwangsläufig Organisationsfremd sein, es reicht schon, wenn sie beispielsweise aus einer anderen Gesellschaft der Holding kommen und einer anderen Domäne angehören.

Eine Absicherung über Firewall-Technologie regelt zwar den Datenverkehr vom Sender zum Empfänger, verhindert allerdings nicht, dass Dritte diesen Datenverkehr mitlesen können. Der Firewallschutz ist aber in der Regel nur zur Absicherung der Organisation nach Außen gedacht. An den internen Schutz wird oft nicht gedacht, und wenn, dann wird ungerne darüber gesprochen. Impliziert es doch einen potentiellen Verdacht der Mitarbeiterspionage oder zumindest einem Datenmissbrauch.

Die Isolation von Datenverkehr über IPSec gilt als anerkannte Lösung für dieses Problem. Sie bietet folgende Vorteile:

  • Nicht vertrauenswürdige Hosts werden ausgeschlossen
  • Schutz vor Mitarbeiterspionage und Einbrüchen in das Netzwerk
  • Schutz gegen Viren und Malware
  • Unterstützung von NAT (Network Address Translation)
  • Konfiguration wird durch Active Directory unterstützt

Netzwerktopologie beachten

Bevor das interne Netzwerk isoliert wird, sollte das bestehende- und zukünftige Netzwerk eingehend beleuchtet werden. Schließlich soll eine Isolation wichtige Betriebszweige nicht unbeabsichtigt abtrennen. Eine Vor-Projektphase soll klären, inwieweit bestimmte Netzwerke schutzbedürftig sind und wie ein Zugriff erfolgen soll. An Ausnahmelisten ist unbedingt zu denken, da nicht alle Hosts über IPSec angesprochen werden können. Bild 1 zeigt eine mögliche, schematische Anordnung eines Netzwerks mit Microsoft ISA Server 2006, das in mehrere Segmente und in sichere- und unsichere Bereiche unterteilt ist.

Gegebenenfalls muss eine Inventur, beispielsweise mit SMS (Systems Management Server), durchgeführt werden. Für die sehr umfangreichen Vorüberlegungen hilft Literatur aus dem Microsoft Technet. Microsoft Betriebssysteme, die vor Windows 2000 (ab Service Pack 4) entwickelt worden sind, eignen sich nicht für IPSec. Geeignet sind laut Microsoft Betriebssysteme, wie Windows XP (ab SP2), Vista und Windows Server 2003.

Active Directory beachten

Eine weitere wichtige Überlegung ist die Aufteilung der physikalischen Netzwerkstruktur in Active Directory-Objekte, mit der Überlegung, später dem Objekt eine Gruppenrichtlinie (GPO) mit einer einzigen IPSec-Richtlinie und einer ganz spezifischen IPSec-Filteraktion zuzuweisen. Die Filteraktion kann im Gegensatz zur Richtlinie variabel gestaltet werden. Sie kann es beispielsweise ermöglichen, ausnahmsweise unsicheren Datenverkehr zu erlauben, was die Literatur auch „Auf unsichere Kommunikation zurückgreifen“ bezeichnet.

Damit Gruppenrichtlinienobjekte (GPOs) über Sicherheitsgruppenfilter korrekt angesprochen werden, empfiehlt sich der Einsatz von speziellen benutzerdefinierten Gruppen, die wie Folgt gebildet werden sollten:

  • Mitgliedschaft von Computern in Computergruppen. Hierbei gehören isolierte Computer in anderen Gruppen, wie nicht isolierte.
  • Mitgliedschaft von Computern und Benutzern in Netzwerkzugriffsgruppen. Diese Gruppe kann beispielsweise alle Benutzer enthalten, die IPSec-geschützte eingehende Verbindungen zu Computern einer anderen Gruppe herstellen.

Zulässige Kommunikationsoptionen für Isolierungsgruppen sollten in der Planungsphase dokumentiert werden, damit sie später in den IPSec-Filtereigenschaften (siehe unten) eine Anwendung finden.

IP-Sicherheitsrichtlinien in einem GPO

Zum Testen existieren in der Gruppenrichtlinienvorlage von Windows Server 2003 drei IPSec-Richtlinien, die den Aufbau ganz gut darstellen (siehe Abbildung 2). Zu beachten ist, dass ein Computer immer nur eine IPSec-Richtlinie verwenden kann. Die IPSec-Richtlinie bestimmt, wie die Kommunikation über das Netzwerk auszusehen hat. Sie besteht aus beliebig vielen Regeln, die wiederum aus Filterlisten mit einer assoziierten Aktion bestehen (siehe Abbildung 3). Falls ein Datenpaket die Filterbedingungen erfüllt, wird die gewünschte Aktion ausgeführt. Für die Bearbeitung sollte daher ein Augenmerk auf die Filter und Filterlisten gelegt werden.

Jede Regel besitzt, wie schon erwähnt, eine Filterliste und eine Filteraktion. Jeder einzelne Filter der Filterliste enthält Angaben zum Protokoll-Typ, der Quell- und Ziel-Adresse und der Quell- und Ziel-Portnummer. Die assoziierten Filteraktionen bestimmen das Verhalten der jeweiligen Regel. Sie kennen drei Zustände:

  • Permit – Netzwerkverkehr ist erlaubt.
  • Block – Netzwerkverkehr wird blockiert.
  • Negotiate Security – Der Netzwerkverkehr wird je nach Bedingung ausgehandelt. Unsichere Kommunikation kann optional erlaubt werden, falls keine sichere Kommunikation möglich ist (siehe Abbildung 4).

Die Bedingungen sind so vielfältig einzustellen, dass es den Rahmen des Artikels sprengen würde. Vorteilhaft aus Verwaltungsgründen ist es, die Anzahl der Filterlisten und Filteraktionen möglichst klein zu halten. Ansonsten sollte peinlichst genau auf die Kommunikation via Ports geachtet werden, was bedeutet, dass kein notwendiger Port ausgelassen werden sollte. Die Ports variieren je nach angesprochenem Betriebssystem. Wird beispielsweise für Unix ein Telnet-Port benötigt, sollte der Port 23 freigeschaltet werden.

Fazit

Eine Domänenisolation erfordert dreierlei Kennnisse: Die von Active Directory, von Netzwerkkommunikation und von Internet Protokoll Security (IPSec). Ganz so einfach, wie die vielen Whitepaper es dem Administrator glauben machen wollen, ist es nicht, denn viele Vorüberlegungen sind in einem Netzwerk der Enterprise-Klasse zu machen. Hier kommen Isolationsgruppen mit einer nicht verschlüsselten Kommunikation zum Einsatz, die wohlüberlegt in das IPSec-Sicherheitskonzept eingebaut werden müssen.

Artikelfiles und Artikellinks

(ID:2010955)