Lektion 2: Konfigurieren von IPSec 81
Arbeiten mit Verbindungssicherheitsregeln
Windows Server 2008 bezeichnet IPSec-Regeln als Verbindungssicherheitsregeln (engl.
connection security rule). Sie erfüllen dieselbe Aufgabe wie die IPSec-Regeln in älteren
Windows-Versionen, unterstützen aber leistungsfähigere Authentifizierungs- und Ver-
schlüsselungsalgorithmen.
In
älteren Windows-Versionen war es für die Implementierungen von Server- oder Domänen-
isolierung gelegentlich nötig, sehr viele IPSec-Regeln zu definieren, um zu gewährleisten,
dass einerseits vertraulicher Netzwerkverkehr geschützt war, aber andererseits auch noch
Netzwerkverkehr ausgetauscht werden konnte, der nicht mit IPSec geschützt war. Windows
Server 2008 vereinfacht diese Konfiguration, indem es ein neues Standardverhalten festlegt.
Es führt dazu, dass die Umgebung mehr Sicherheit bietet und Probleme einfacher zu beseiti-
gen sind.
Weitere Informationen Domänenisolierung
Weitere Informationen zur Domänenisolierung in Windows Server 2008 finden Sie unter
http://technet.microsoft.com/en-us/library/cc770610.aspx.
Windows Server 2008 führt das neue Konzept der Verbindungssicherheitsregeln ein. Damit
wird es einfacher, IPSec für die authentifizierte Kommunikation in einem Netzwerk zu im-
plementieren. Windows Server 2008 gibt Ihnen die Möglichkeit, Verbindungssicherheits-
regeln mithilfe eines Gruppenrichtlinienobjekts (Group Policy Object, GPO) im Zweig
Windows-Firewall mit erweiterter Sicherheit zu erzwingen.
Verbindungssicherheitsregeln werten den Netzwerkverkehr aus. Sie blockieren oder erlau-
ben Nachrichten auf Basis der von Ihnen konfigurierten Kriterien oder handeln die Sicher-
heit für die Kommunikation aus. Im Unterschied zu IPSec-Richtlinien enthalten Verbin-
dungssicherheitsregeln keine Filter oder Filteraktionen. Die Features, die über Filter und
Filteraktionen implementiert werden, sind in allen Verbindungssicherheitsregeln integriert,
aber die Filterfähigkeiten in Verbindungssicherheitsregeln sind nicht so leistungsfähig wie
die in IPSec-Richtlinien. Wenn Sie weitergehende, komplexere Filterung brauchen, können
Sie WFAS oder Netsh verwenden. In der Standardeinstellung werden Verbindungssicher-
heitsregeln nicht auf bestimmte Typen von IP-Verkehr angewendet, etwa IP-Verkehr, der
über Port 23 läuft. Stattdessen gelten sie für den gesamten IP-Verkehr, der von oder an
bestimmte IP-Adressen, Subnetze oder Server im Netzwerk läuft.
Eine Verbindungssicherheitsregel authentifiziert zuerst die Computer, die in der Regel defi-
niert sind. Danach beginnen sie mit der Kommunikation und schützen schließlich die Daten,
die zwischen den beiden authentifizierten Computern ausgetauscht werden. Wenn Sie eine
Verbindungssicherheitsregel konfiguriert haben, die Sicherheit für eine bestimmte Verbin-
dung vorschreibt, aber die beiden beteiligten Computer sich nicht gegenseitig authentifizie-
ren können, wird die Verbindung blockiert.
In der Standardeinstellung stellen Verbindungssicherheitsregeln nur Datenauthentifizie-
rungssicherheit zur Verfügung (Authentifizierung der Datenherkunft, Datenintegrität und
Anti-Replay-Schutz). Aus diesem Grund authentifizieren Verbindungssicherheitsregeln
normalerweise nur Verbindungen. Sie können für Verbindungssicherheitsregeln aber auch
82 Kapitel 2: Konfigurieren von IP-Diensten
eine Datenverschlüsselung konfigurieren (meist in WFAS), sodass die entsprechenden Ver-
bindungen tatsächlich geschützt und nicht nur authentifiziert sind.
Praxistipp
Ian McLean
Der Vorteil von Verbindungssicherheitsregeln liegt in ihrer Einfachheit. Die meisten
Administratoren lassen nur die Standardfunktionen mit Verbindungssicherheitsregeln
erledigen. Komplexere Funktionen, etwa Port- oder IP-Filterung, implementieren sie
dann über WFAS. Sie können auch IPSec-Richtlinien nutzen, wenn Sie beispielsweise
Datenverschlüsselung brauchen. Wenn Sie bereits mit der IPSec-Konfiguration in Win-
dows Server 2003 vertraut sind, wird Ihnen diese Methode relativ leicht fallen. Es lässt
sich schwer vorhersagen, ob in den Upgradeprüfungen mehr Fragen zu den neuen Me-
thoden zur IPSec-Konfiguration kommen als zu den vertrauten Methoden. Ich habe aber
die Erfahrung gemacht, dass sich die Prüfungen oft auf neue Features konzentrieren.
Mein Ratschlag: Üben Sie beide Methoden.
Verbindungssicherheitsregeln werden in der Konsole Windows-Firewall mit erweiterter
Sicherheit konfiguriert. Konkrete Einstellungen aus der Konsole Windows-Firewall mit
erweiterter Sicherheit können Sie in einem gesamten Netzwerk mithilfe von Gruppenricht-
linien erzwingen. Abbildung 2.14 zeigt ein Gruppenrichtlinienobjekt, das Verbindungs-
sicherheitsregeln für viele Computer in einem Netzwerk definiert.
Abbildung 2.14 Verbindungssicherheitsregeln können in Gruppenrichtlinien definiert werden
Hinweis Exportieren von Verbindungssicherheitsregeln
Sie können die Export- und Importfunktionen der Konsole Windows-Firewall mit erweiter-
ter Sicherheit nutzen, um einen Satz Verbindungssicherheitsregeln zu erstellen und dann auf
andere Computer oder in Gruppenrichtlinienobjekte zu exportieren.
Get Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
