IPsec und Windows Vista Firewall mit AuthIP

IPsec und Windows Vista Firewall
mit AuthIP

vista_sicherheit.png

Im Artikel Windows Vista Firewall konfigurieren und einstellen wurde schon von mir über IPsec geschrieben. Um die Windows Vista Firewall, aber zu verstehen muss man auch die Technologien kennen mit der die Windows Vista Firewall arbeitet. Und eine der wichtigsten ist die IPsec-Technologie der Vista Firewall.




In diesem Artikel möchte ich euch die IPsec-Technologie ein bisschen näher bringen und zeigen, wo man die IPsec-Einstellung konfigurieren kann.






 




Allgemeines über IPsec und AuthIP

Das Internet Protocol Security (IPsec) wurde 1998 entwickelt und ist im neuen Windows Vista Firewall integriert. Auch bedingt durch IPv6, dass die IPsec-Implementierung vorschreibt. IPv6 ist auch eine Neuerung im neuen Windows Vista. Um die IPsec-Richtlinien zu vereinfachen wurde das Internet Key Exchange (IKE), was schon im Windows XP integriert ist, erweitert. IKE gab es schon im Windows XP und das von Microsoft entwickelte erweiterte IKE wird in Windows Vista AuthIP genannt, um die Implementierung von IPsec-Richtlinien zu vereinfachen. IPsec-Rechtlinien zu konfigurieren und verwalten ist sehr komplex und dafür gibt es in Windows Vista Firewall AuthIP.


Es gibt sicherlich viele einfachere Lösungen verschlüsselte und sichere Verbindungen zwischen zwei Computern zu konfigurieren, aber allein durch dass
Vorschreiben der IPsec-Unterstützung sind die Verbreitungschancen groß und für Informatiker ein Grundwissen in diesem Bereich sehr von Vorteil. Auch die Kundschaft von Microsoft setztn verstärkt IPsec ein.


IPsec Verbindungsaufbau (Schlüsselaustausch)

[Top]
Hier gibt es einmal den manuellen (fixen) und den dynamischen Schlüsselaustausch.
  • Fixen Schlüsselaustausch
    Manuellen Schlüssel (Manual Keying)
    im Windows Vista Firewall auch vorinstallierter Schlüssel genannt. Dieser Punkt wird natürlich nicht empfohlen. Dieser Schlüssel wird an beiden Computern fix eingetragen und ist daher eventuell leicht zu erraten.

  • Dynamischen Schlüsselaustausch
    Das schon oben erwähnte IKE erledigt die automatische Schlüsselverwaltung für IPsec. Und hier sind wir an dem komplexesten Teil vom IPsec angekommen. Vereinfacht ausgedrückt müssen sich vor einer verschlüsselten Verbindung mit IPsec beide Computer authentifizieren und über die Schlüssellgorithmen einigen. Hier hat IKE seinen Einsatz und verwendet die Verfahren Pre Shared Keying (PSK) und Certificate. IPsec unterstützt symmetrischen und asymmetrischen Schlüsseln. Beim symmetrischen Schlüssel Verfahren verwendet man den gleichen Schlüssel und beim asymmetrischen Schlüssel ein Verfahren mit einem fixen und dynamischen Schlüssel.


Der Verbindungsaufbau unter IPsec ist sehr sehr sehr komplex und ich versuche so einfach wie mir möglich den Verbindungsaufbau von IPsec zu erklären.

Wenn zwei Computern (Peers) mit IPsec eine Verbindung aufbauen werden zwei Arten von Sicherheitszuordnungen erstellt.

  1. Die erste Sicherheitszuordnung nennt man Main Mode auch Phase eins genannt. Im Main Mode authentifizieren sich die beiden Peers gegenseitig. Ist die Authentifizierung erfolgreich besteht eine gegenseitige Vertrauensstellung zwischen den beiden Computern.

  2. Die zweite Sicherheitszuordnung nennt man Quick Mode auch Phase zwei genannt. Der Quick Mode bestimmt wie der Netzwerkverkehr zwischen den Peers signiert und verschlüsselt wird. Die Signierung ist ganz wichtig für die Sicherheit der Datenpakete, damit wird sichergestellt, dass keine Veränderung der Daten beim Transfer über das Netzwerk vorgenommen wird. Die Verschlüsselung soll die Lesung während der Übertragung verhindern.

Noch tiefer steigen wir nicht ein. Dieses Grundwissen dürfte uns reichen und kommen jetzt zum AuthIP von Microsoft.


AuthIP von Microsoft

AuthIP ist ein eigens erweiterte Internet Key Exchange (IKE), die nicht mit dem IKEv2 kompatibel ist.

Was bietet AuthIP?
Die Features von AuthIP sind:

  • Authentifizierung durch den Benutzer

  • Authentifizierung mit mehreren Bedingungen

  • Unterstützung mehrere Authentifizierungsverfahren

  • Vereinfachung von asymmetrische Authentifizierung




Authentifizierung durch den Benutzer
Das IKE ist unter Windows XP beschränkt und erlaubt die Authentifizierung nur auf computerbasierte Anmeldeinformationen. AuthIP erlaubt die Authentifizierung durch ein Benutzer (Benutzerebene).


Authentifizierung mit mehreren Bedingungen (Authentifizierungen)
Man kann mit AuthIP die Sicherheit ein wenig selber steuern. Es ist möglich ein Benutzerauthentifizierung und eine Computerauthentifizierung zu verlangen. Zum Beispiel die Peers müssen den Computer mit Benutzerkonto ( Kerberos ) und zusätzlich noch ein Benutzerauthentifizierung erfolgen.


Unterstützung mehrerer Authentifizierungsverfahren
IKE unterstützt nur ein Authentifizierungsverfahren scheitert dieses, ist auch die IKE-Aushandlung fehlgeschlagen. Bei AuthIP werden alle ausgewählten Authentifizierungsverfahren versucht. Scheitern alle Authentifizierungsverfahren, erst dann ist die IKE-Aushandlung fehlgeschlagen.


Vereinfachung von asymmetrische Authentifizierung
Es gibt Szenarien wo eine Kommunikation über die Firewall notwendig ist. In solch einen Fall kann es eine unterschiedliche Vertrauensstellung benötigt werden und somit auch eine asymmetrische Authentifizierung.
Vorher müsste solch ein Szenario vor Vista und AuthIP umständlich mit komplexen Zertifikaten für beide Netzwerke und Computern bereitgestellt werden. Aber das gehört der Vergangenheit an mit AuthIP kann man nur mit einer IPsec-Richtlinie und die Kerberos-Authentifizierung realisieren.



Wo kann IPsec-Eigenschaften konfigurieren

Um genau den Wortlaut von Windows Vista zu verwenden zeige ich, wo man die IPsec-Einstellungen anpassen kann.
Beim Recherchieren habe ich noch ein Weg gefunden, um das "
" zu starten.
Start ► Suche ► wf.msc eingeben und mit Enter bestätigen

Vistamenue

Im linken Fensterbereich mit der rechten Maustaste auf Windows-Firewall mit erweiterter Sicherheit auf Lokaler Computer klicken und dann auf Eigenschaften.

 Windows-Firewall mit erweiterter Sicherheit auf Lokaler Computer

Im folgenden Fenster das Register IPsec Einstellungen auswählen. Hier kann man die IPsec-Standardeinstellungen anpassen und die IPsec-Ausnahmen in einem Dropdown-Button mit Nein (Standard) oder Ja auswählen.

Ipsec anpassen

Wo kann ich die Windows Vista Firewall konfigurieren?
Windows Vista Firewall optimieren

Literatur:

Hauptseite - Wikipedia
Microsoft Deutschland GmbH



komentarschreiben.png
komentarlesen.png


_______________________________________________________
Dieser Tipp stammt von www.win-tipps-tweaks.de
© Copyright Michael Hille/Chainon Kittisonthirak

Warnung:
Die unkorrekte Verwendung des Registrierungseditors oder der Tipps kann schwerwiegende Probleme verursachen, die das gesamte System betreffen und eine Neuinstallierung des
Betriebssystems erforderlich machen.
Eingriffe in die Registrierungsdateien und die Anwendung der Tipps erfolgen auf eigenes Risiko.