O'Reilly logo

Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 by Ian L. McLean, Orin Thomas

Stay ahead with the world's most comprehensive technology and business learning platform.

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, tutorials, and more.

Start Free Trial

No credit card required

Lektion 2: Konfigurieren von IPSec 89
Arbeiten mit IPSec-Richtlinien
Mithilfe von IPSec-Richtlinien legen Sie fest, wie ein Computer oder eine Gruppe von Com-
putern die IPSec-Kommunikation verarbeiten. Einem einzelnen Computer weisen Sie eine
IPSec-Richtlinie mithilfe der lokalen Sicherheitsrichtlinie zu, für eine Gruppe mehrerer
Computer verwenden Sie dafür Gruppenrichtlinien. Sie können mehrere IPSec-Richtlinien
angeben, die auf einem Computer oder in einem Netzwerk benutzt werden, aber einem
Computer kann immer nur jeweils eine einzige Richtlinie zugewiesen sein. Abbildung 2.16
zeigt ein Gruppenrichtlinienobjekt, in dem eine IPSec-Richtlinie zugewiesen wird.
Abbildung 2.16 In einem Gruppenrichtlinienobjekt werden IPSec-Richtlinien zugewiesen
Eine IPSec-Richtlinie enthält eine oder mehrere IPSec-Richtlinienregeln (engl. policy rule).
Diese Regeln legen fest, wann und wie IP-Verkehr geschützt wird. Jede Richtlinienregel ist
wiederum mit einer IP-Filterliste (engl. filter list) und einer Filteraktion (engl. filter action)
verknüpft.
Eine IP-Filterliste enthält mindestens einen IP-Filter, der definiert, welcher IP-Verkehr von
einer IPSec-Richtlinie betroffen ist. Ein IP-Filter kann eine Quell- oder Zieladresse definie-
ren, einen Adressbereich, einen Computernamen, einen TCP/UDP-Port oder einen Servertyp
(DNS, WINS, DHCP oder Standardgateway). Fließt Verkehr zu oder von einem Computer,
dem eine Richtlinie zugewiesen ist, wird geprüft, ob dieser Verkehr einem der Filter in einer
der Regeln der zugewiesenen Richtlinie entspricht. Ist das der Fall, wird die Filteraktion an-
gewendet, die mit dieser Regel verknüpft ist. Mögliche Filteraktionen für eine Regel sind
Blocken, Zulassen oder Sicherheit aushandeln. Stimmen Quell- oder Zieladresse bei mehre-
ren Filtern überein, hat immer der spezifischste IPSec-Filter Vorrang.
90 Kapitel 2: Konfigurieren von IP-Diensten
Sicherheitsaushandlung
Sicherheit aushandeln ist eine allgemeine Filteraktion. Wenn Sie diese Option auswählen,
können Sie anschließend genau festlegen, auf welche Weise die Sicherheit für die Filter-
aktion ausgehandelt wird. Soll beispielsweise Verschlüsselung ausgehandelt werden oder
lediglich Authentifizierung? In welcher Reihenfolge werden Verschlüsselungstechnolo-
gien oder Hash-Algorithmen bevorzugt? Ist es erlaubt, ungeschützte Kommunikation zu
verwenden, falls Quelle und Ziel sich nicht auf ein gemeinsames Sicherheitsprotokoll
einigen können?
Sie haben viele Möglichkeiten zur Auswahl, die Sicherheit für eine Filteraktion auszu-
handeln. Daher ist es möglich, viele unterschiedliche Regeln zu definieren, wenn Sie die
Option Sicherheit aushandelnhlen. Die Sicherheitseinstellungen können nur dann
erfolgreich ausgehandelt werden, wenn beide Enden einer IPSec-Verbindung sich darauf
einigen, mit welchen Diensten und Algorithmen die Daten geschützt werden.
Abbildung 2.17 zeigt den Inhalt einer IPSec-Richtlinie und aus welchen Regeln, Filtern und
Filteraktionen sich diese Richtlinie zusammensetzt. Die IPSec-Richtlinie in der Abbildung
besteht aus drei Regeln. Die erste Regel hat Priorität, weil sie den Verkehr am spezifischsten
definiert: sowohl anhand des Typs (Telnet oder IMAP4) als auch anhand der Adresse (von
10.0.0.11 oder 10.0.0.31). Die zweite Regel ist nicht ganz so spezifisch, sie legt den Verkehr
nur anhand des Typs fest (Telnet oder IMAP4). Die dritte Regel ist am unspezifischsten,
weil sie für den gesamten Verkehr gilt. Daher hat sie die geringste Priorität.
Abbildung 2.17 Eine IPSec-Richtlinie, die aus drei Regeln besteht
Wird einem Computer die IPSec-Richtlinie aus Abbildung 2.17 zugewiesen, versucht er, alle
Daten außer Telnet- und IMAP4-Verkehr zu authentifizieren (aber nicht zu verschlüsseln).
Telnet- und IMAP4-Verkehr wird standardmäßig blockiert, sofern es sich nicht um Telnet-
Verkehr von der Adresse 10.0.0.11 oder um IMAP4-Verkehr von der Adresse 10.0.0.31

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, interactive tutorials, and more.

Start Free Trial

No credit card required