SO WIRD'S GEMACHT: Verwenden von IP-Sicherheit zum Sichern des Netzwerkverkehrs zwischen zwei Hosts

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 301284 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel wurde zuvor veröffentlicht unter D301284
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
301284 HOW TO: Use Internet Protocol Security to Secure Network Traffic Between Two Hosts
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Dieser Artikel enthält schrittweise Anleitungen für fortgeschrittene Benutzer zum Konfigurieren von IP-Sicherheit (IPSec), damit die Kommunikation zwischen zwei Hostcomputern gesichert werden kann.

IPSec-Terminologie

Stellen Sie sicher, dass Sie die Bedeutung der folgenden Begriffe kennen, bevor Sie die Anleitungen in diesem Artikel befolgen:
  • Authentifizierung: Der Vorgang, bei dem festgestellt wird, ob die Identität eines Computers legitim ist. Windows 2000 IPSec unterstützt drei Authentifizierungsarten: Kerberos, Zertifikate und vorinstallierte Schlüssel. Kerberos-Authentifizierung funktioniert nur, wenn sich beide Endpunkte (Computer) in der gleichen Windows 2000-Domäne befinden. Dieses Authentifizierungsverfahren ist die bevorzugte Methode. Wenn sich die Computer in verschiedenen Domänen befinden oder mindestens einer der Computer kein Domänenmitglied ist, müssen Sie entweder Zertifikate oder vorinstallierte Schlüssel verwenden. Zertifikate funktionieren nur, wenn jeder der Endpunkte ein Zertifikat enthält, das von einer Zertifizierungsstelle signiert wurde, der der andere Endpunkt vertraut. Auf vorinstallierte Schlüssel treffen die gleichen Probleme wie auf Kennwörter zu: Sie bleiben nicht sehr lange geheim. Wenn sich die Endpunkte nicht in der gleichen Domäne befinden und Sie keine Zertifikate bereitstellen können, sind vorinstallierte Schlüssel die einzige Authentifizierungsoption.
  • Verschlüsselung: Der Vorgang, bei dem Daten als Vorbereitung für die Übertragung zwischen zwei Endpunkten unlesbar gemacht werden. Indem ausführlich getestete Algorithmen verwendet werden, generiert jeder der Endpunkte kryptografische Schlüssel und tauscht diese aus. Dieser Vorgang stellt sicher, dass nur die Endpunkte die Schlüssel kennen; wenn Sequenzen des Schlüsselaustauschs abgefangen werden, erhält der Interceptor keine sinnvollen Daten.
  • Filter: Eine Beschreibung der IP (Internet Protocol)-Adressen und -Protokolle, die das Einrichten einer IPSec-Sicherheitszuordnung auslösen können.
  • Filteraktion: Die Sicherheitsanforderungen, die aktiviert werden können, wenn der Datenverkehr den Filtern in einer Filterliste entspricht.
  • Filterliste: Einer Sammlung von Filtern.
  • IP-Sicherheitsrichtlinie: Die Regelsammlung, die beschreibt, wie die Kommunikation zwischen Computern gesichert wird.
  • Regel: Die Verknüpfung zwischen einer Filterliste und einer Filteraktion. Stimmt der Datenverkehr mit einer Filterliste überein, kann die entsprechende Filteraktion ausgelöst werden. Eine IPSec-Richtlinie kann mehrere Regeln enthalten.
  • Sicherheitszuordnung: Die Sammlung von Authentifizierungs- und Verschlüsselungsmethoden, die die Endpunkte zum Einrichten einer sicheren Sitzung verhandeln.

Auffinden von IPSec in MMC (Microsoft Management Console)

Sie konfigurieren IPSec mit MMC (Microsoft Management Console). Windows 2000 erstellt während des Installationsvorgangs eine MMC mit dem IPSec-Snap-In. Klicken Sie zum Öffnen von IPSec auf Start, zeigen Sie auf Programme, klicken Sie auf Verwaltung, und klicken Sie dann auf Lokale Sicherheitsrichtlinie. Klicken Sie in der geöffneten MMC-Konsole im linken Bereich auf IP-Sicherheitsrichtlinien auf lokalem Computer. MMC zeigt anschließend die Standardrichtlinien im rechten Bereich an.

Ändern der IP-Adresse, der Computernamen und der Benutzernamen

In diesem Beispiel ist Alice ein Benutzer, der einen Computer namens "Alicepc" mit der IP-Adresse 172.16.98.231 verwendet; Bob arbeitet mit einem Computer namens "Bobslap" mit der IP-Adresse 172.31.67.244. Sie verbinden ihre Computer unter Verwendung des Abczz-Programms.

Alice und Bob müssen sicherstellen, dass der Datenverkehr verschlüsselt wird, wenn sie eine direkte Verbindung zwischen ihren Computern herstellen, indem sie das Abczz-Programm verwenden. Wenn Abczz die Verbindung herstellt, verwendet der Initiator auf seinem Computer einen zufällig ausgewählten hohen Anschluss und stellt die Verbindung zum Ziel (in diesem Beispiel) an Anschluss 6667/TCP oder 6668/TCP her (TCP ist die Abkürzung für Transmission Control Protocol). Normalerweise werden diese Anschlüsse für IRC (Internet Relay Chat) verwendet. Da sowohl Alice als auch Bob Verbindungen einleiten können, muss die Richtlinie auf beiden Seiten vorhanden sein.

Erstellen der Filterliste

Die Menüs zum Erstellen von IPSec-Richtlinien werden angezeigt, wenn Sie in der MMC-Konsole mit der rechten Maustaste auf IP-Sicherheitsrichtlinien klicken. Der erste Menüeintrag lautet IP-Sicherheitsrichtlinie erstellen. Obwohl dieser Eintrag der richtige Ausgangspunkt zu sein scheint, ist dies nicht der Fall. Bevor Sie eine Richtlinie und die zugehörigen Regeln erstellen können, müssen Sie Filterlisten und Filteraktionen definieren, die erforderliche Komponenten jeder IPSec-Richtlinie sind. Beginnen Sie mit dieser Aufgabe, indem Sie auf IP-Filterlisten und Filteraktionen verwalten klicken.

Das angezeigte Dialogfeld besitzt zwei Registerkarten: eine Registerkarte für Filterlisten und eine Registerkarte für Filteraktionen. Zuerst wird die Registerkarte IP-Filterlisten verwalten geöffnet. Es sind bereits zwei vordefinierte Filterlisten vorhanden, die Sie nicht verwenden. Erstellen Sie stattdessen eine individuelle Filterliste, die dem anderen Computer entspricht, zu dem Sie eine Verbindung herstellen möchten.

Wenn Sie die Richtlinie auf dem Computer erstellen, der Alice gehört, gehen Sie folgendermaßen vor:
  1. Klicken Sie auf Hinzufügen, um eine neue IP-Filterliste zu erstellen. Nennen Sie die Liste "Abczz zu Bobs PC".
  2. Klicken Sie auf Hinzufügen, um einen neuen Filter hinzuzufügen. Ein Assistent wird gestartet.
  3. Klicken Sie als Quelle auf Eigene IP-Adresse.
  4. Klicken Sie auf eine bestimmte IP-Adresse als Ziel, und geben Sie dann die IP-Adresse (172.31.67.244) des Computers ein, der Bob gehört. Alternativ können Sie einen bestimmten DNS-Namen auswählen, wenn Bobs Computer in DNS (Domain Name System) oder WINS (Windows Internet Name Service) registriert ist, und dann den Namen von Bobs Computer eingeben, der "Bobslap" lautet.
  5. Abczz verwendet TCP für die Kommunikation. Klicken Sie daher auf TCP als Protokolltyp.
  6. Klicken Sie für die Anschlüsse des IP-Protokolls auf Von jedem Port. Klicken Sie auf Zu diesem Port, geben Sie 6667 ein, und klicken Sie dann auf Fertig stellen, um den Assistenten abzuschließen.
  7. Wiederholen Sie die beschriebenen Schritte, geben Sie jedoch beim zweiten Durchlauf 6668 als Anschlussnummer ein, und klicken Sie dann auf Schließen.
Ihre Filterliste enthält zwei Filter: einen Filter für die Kommunikation von Alice zu Bob über Anschluss 6667 (der Bob gehört) und einen über Anschluss 6668 (der ebenfalls Bob gehört). (Bob hat sowohl Anschluss 6667 als auch Anschluss 6668 auf seinem Computer eingerichtet: Ein Anschluss dient der ausgehenden Kommunikation, der andere der eingehenden Kommunikation). Diese Filter werden gespiegelt. Dieses Vorgehen ist im Allgemeinen beim Erstellen eines IPSec-Filters erforderlich. Für jeden der gespiegelten Filter kann die Liste einen genau entgegengesetzten Filter enthalten (jedoch nicht anzeigen), in dem die Quell- und Zieladressen vertauscht sind. Ohne gespiegelte Filter ist die IPSec-Kommunikation normalerweise nicht erfolgreich.

Erstellen der Filteraktion

Sie haben die Datenverkehrsart definiert, die gesichert werden muss. Nun müssen Sie den Sicherheitsmechanismus angeben. Klicken Sie auf die Registerkarte Filteraktionen verwalten. Es werden drei Standardeinstellungen aufgelistet. Anstatt die Aktion Sicherheit erforderlich zu verwenden, müssen Sie eine neue Aktion erstellen, die stringenter ist.

So erstellen Sie die neue Aktion:
  1. Klicken Sie auf Hinzufügen, um eine neue Filteraktion zu erstellen. Ein Assistent wird gestartet. Nennen Sie die Aktion "Abczz verschlüsseln".
  2. Klicken Sie auf der Registerkarte Allgemein auf Sicherheit aushandeln, und klicken Sie dann auf Keine Kommunikation mit Computern zulassen, die IPSec nicht unterstützen.
  3. Klicken Sie auf die Option Hoch für die Sicherheit des IP-Verkehrs, und klicken Sie dann auf Fertig stellen, um den Assistenten zu schließen.
  4. Doppelklicken Sie auf die neue Filteraktion (die Sie zuvor "Abczz verschlüsseln" genannt haben).
  5. Deaktivieren Sie das Kontrollkästchen Unsichere Kommunikation annehmen, aber immer mit IPSec antworten. Dieser Schritt stellt sicher, dass die Computer IPSec verhandeln müssen, bevor ein Abczz-Paket gesendet wird.
  6. Klicken Sie auf Sitzungsschlüssel mit Perfect Forward Secrecy (PFS), damit gewährleistet ist, dass Schlüsselmaterial nicht erneut verwendet wird; klicken Sie dann auf OK und anschließend auf Schließen.

Erstellen der IPSec-Richtlinie

Sie haben die Richtlinienelemente erstellt. Nun können Sie die Richtlinie selbst erstellen. Klicken Sie mit der rechten Maustaste im rechten Bereich von MMC, und klicken Sie dann auf IP-Sicherheitsrichtlinie erstellen. Wenn der Assistent gestartet wird,
  1. nennen Sie die Richtlinie "Alices IPSec".
  2. Deaktivieren Sie das Kontrollkästchen Die Standardantwortregel aktivieren.
  3. Aktivieren Sie Eigenschaften bearbeiten, wenn dieses Kontrollkästchen nicht bereits aktiviert ist, und schließen Sie dann den Assistenten ab. Das Dialogfeld Eigenschaften für die Richtlinie wird geöffnet.
Damit eine IPSec-Richtlinie funktioniert, muss sie mindestens eine Regel enthalten, die eine Filterliste mit einer Filteraktion verknüpft.

So geben Sie Regeln im Dialogfeld Eigenschaften an:
  1. Klicken Sie auf Hinzufügen, um eine neue Regel zu erstellen. Wenn der Assistent gestartet wird, klicken Sie auf Diese Regel spezifiziert keinen Tunnel.
  2. Klicken Sie auf LAN (Local Area Network), um den Netzwerktyp anzugeben.
  3. Klicken Sie auf Windows 2000-Standard (Kerberos V5-Protokoll), um die Authentifizierungsmethode anzugeben, wenn sich die Computer von Alice und Bob in der gleichen Windows 2000-Domäne befinden. Wenn dies nicht der Fall ist, klicken Sie auf Diese Zeichenkette zum Schutz des Schlüsselaustauschs verwenden, und geben Sie dann eine Zeichenfolge ein (verwenden Sie eine lange Zeichenfolge, die Sie sich merken können, und nehmen Sie die Eingabe ohne Fehler vor).
  4. Wählen Sie die Filterliste aus, die Sie zuvor erstellt haben. In diesem Beispiel heißt die Filterliste "Abczz zu Bobs PC". Wählen Sie dann die Filteraktion aus, die Sie zuvor erstellt haben. In diesem Beispiel heißt die Filteraktion "Abczz verschlüsseln".
  5. Beenden Sie den Assistenten, und klicken Sie dann auf Schließen.

Konfigurieren der anderen Endpunkte

Wiederholen Sie auf dem Computer, der Bob gehört, alle zuvor beschriebenen Verfahren, die für den Computer ausgeführt wurden, der Alice gehört. Die erforderlichen Änderungen sind offensichtlich, z. B. muss "Abczz zu Bobs PC" in "Abczz zu Alices PC" geändert werden.

Zuweisen der Richtlinien

Sie haben die Richtlinien auf beiden Seiten erstellt. Nun müssen Sie diese zuweisen:
  1. Klicken Sie im Dialogfeld Lokale Sicherheitseinstellungen MMC mit der rechten Maustaste auf die Richtlinie (in diesem Beispiel auf Abczz).
  2. Klicken Sie auf Zuweisen.
Es kann immer nur eine IPSec-Richtlinie gleichzeitig zugewiesen werden, eine Richtlinie kann jedoch so viele Regeln wie erforderlich enthalten. Wenn Alice z. B. außerdem sichere Kommunikation mit Eve über ein anderes Protokoll benötigt, müssen Sie die entsprechenden Filterlisten und -aktionen erstellen und dann eine Regel zu IPSec hinzufügen (auf Alice's Seite), die die betreffende Filterliste mit der Filteraktion verknüpft. Klicken Sie auf Für diese Regel einen anderen gemeinsamen Schlüssel verwenden. Die Richtlinie für Alice weist nun zwei Regeln auf: eine für Abczz-Kommunikation mit Bob sowie eine weitere für die Kommunikation mit Eve. Da Bob und Eve nicht sicher miteinander kommunizieren müssen, wird der Richtlinie für Bob nichts hinzugefügt, und die Richtlinie für Eve enthält nur eine Regel für die Kommunikation mit Alice.

Fehler

Verwenden von IPSecMon zum Testen der Richtlinie

Windows 2000 enthält ein Dienstprogramm (IPSecMon.exe), das Sie zum Testen der erfolgreichen Einrichtung der IPSec-Sicherheitszuordnung verwenden können. So starten Sie IPSecMon:
  1. Klicken Sie auf Start und anschließend auf Ausführen.
  2. Geben Sie Folgendes ein: ipsecmon , und drücken Sie dann die EINGABETASTE.
  3. Klicken Sie auf Optionen.
  4. Ändern Sie das Aktualisierungsintervall in den Wert 1.
Sie müssen eine Verbindung von einem der Endpunkte zum anderen herstellen. Es kann eine Verzögerung auftreten, da es einige Sekunden dauert, bis die Endpunkte kryptografische Informationen austauschen und die Sicherheitszuordnung abschließen. Sie können dieses Verhalten in IPSecMon beobachten. Wenn die Endpunkte ihre jeweiligen Sicherheitszuordnungen aufbauen, erfolgt ein Eintrag in IPSecMon, der dieses Verhalten anzeigt.

Wenn Sie erwarten, dass eine Sicherheitszuordnung erstellt wird, jedoch nichts passiert, überprüfen Sie die Filterlisten auf jedem Endpunkt. Stellen Sie sicher, dass Sie die richtigen Definitionen für die verwendeten Protokolle erhalten haben, da die Quell- und Zieladressen und die Anschlüsse leicht verwechselt werden können. Sie können auch eine neue Filterliste erstellen, die den gesamten Datenverkehr angibt. Außerdem können Sie der Richtlinie eine neue Regel hinzufügen, die diese Filterliste verwendet, und die vorhandene Regel dann deaktivieren. Führen Sie diese Schritte auf beiden Endpunkten durch. Anschließend können Sie den Befehl ping zum Testen der Verbindung verwenden: Der Befehl ping kann während der Sicherheitszuordnungsphase "IP-Sicherheit wird verhandelt" anzeigen und dann, wenn die Sicherheitszuordnung eingerichtet wird, seine normalen Ergebnisse anzeigen.

NAT und IPSec sind inkompatibel

Wenn Netzwerkadressübersetzung (Network Address Translation, NAT) zwischen den beiden Endpunkten stattfindet, funktioniert IPSec nicht. IPSec bettet Endpunktadressen als Teil der Nutzlast ein. IPSec verwendet außerdem beim Berechnen von Paketprüfsummen vor dem Senden der Pakete Quelladressen. NAT kann die Quelladresse des ausgehenden Paktes ändern, und das Ziel verwendet die Adresse im Header zum Berechnen seiner eigenen Prüfsummen. Die von der Quelle berechneten ursprünglichen Prüfsummen, die in den Paketen enthalten sind, entsprechen dann nicht den vom Ziel berechneten Prüfsummen, und das Ziel nimmt das Paket nicht an. Sie können IPSec nicht mit NAT-Geräten verwenden.

VERWEISE

Whitepapers sowie ausführliche technische Informationen zu IPSec in Windows 2000 finden Sie in der folgenden Microsoft-Website:
http://www.microsoft.com/windows2000/technologies/security/default.asp


Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.

Eigenschaften

Artikel-ID: 301284 - Geändert am: Montag, 22. März 2004 - Version: 3.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Keywords: 
kbhowtomaster KB301284
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com