Server- und Domänenisolierung mithilfe von IPSec und Gruppenrichtlinien Anhang B: Zusammenfassung zu IPSec-Richtlinien
Dieser Anhang umfasst eine präzise Auflistung sämtlicher Informationen zu den Richtlinieneinstellungen für die in dieser Lösung verwendeten Isolierungsgruppen.
Allgemeine Richtlinienkonfiguration
Die folgenden Informationen sind in sämtlichen in dieser Lösung definierten Richtlinien enthalten.
Allgemeine Einstellungen für Richtlinien:
- Richtlinienaktualisierung: 5 Minuten für Testumgebungsrollout. Dieser Wert sollte auf 60 Minuten (bei Betrieb) gesteigert werden. Nach 60 Minuten aktualisiert der Host seine Richtlinien aus dem Active Directory®-Verzeichnisdienst. Diese Funktion ermöglicht Änderungen einer bereits zugewiesenen IPSec-Richtlinie, so dass diese für das gesamte Netzwerk des Unternehmens innerhalb maximal einer Stunde bereitgestellt werden kann, um eine schnelle Reaktion auf Beeinträchtigungen des Netzwerks zu ermöglichen.
- Gültigkeit des IKE Hauptmodus: 3 Stunden.
- Sitzungen pro Hauptmodus: 0, unendlich.
- Hauptschlüssel-PFS: Wird nicht verwendet wurde als Funktion in Microsoft® Windows® Internet Key Association (IKE) aufgrund mangelnder Unterstützung durch andere Produkte und zur Eliminierung redundanter Funktionen abgeschafft. Dieselbe Funktionalität kann erreicht werden, indem die Sitzungen pro Hauptmodus auf 1 eingestellt werden.
- IKE-Schlüsselaustausch-Sicherheitsmethoden: 3DES/SHA1/Hoch (2048), 3DES/SHA1/Medium (2), 3DES/MD5/Medium (2).
Hinweis
Hoch (2048) wird ausschließlich von Microsoft Windows Server 2003 und Windows XP SP2 unterstützt und von Windows 2000 und früheren Versionen von Windows XP ignoriert. Die IKE-Kompatibilität mit Windows 2000, Windows XP SP1 und früheren Versionen wird durch die Verwendung von Medium (2) sichergestellt.
Standardantwortregel = deaktiviert
Regel 1:
Filterliste: "IPSEC - Cluster-VIP-Ausnahmeliste"
Filter: Eigene <-> Bestimmte IP-Adresse, Gespiegelt Leer
Beschreibung: "IP-Adressen für sämtliche Cluster-VIPs innerhalb des Unternehmens"
Filteraktion: IPSEC-Zulassen
Authentifizierung: Kerberos
Tunnel: Nein
Verbindungstyp: Alle
Regel 2:
Filterliste: "IPSEC - DHCP, Verhandlungsverkehr"
Filter: Eigene <-> Beliebige, UDP, Quellport 68 an Zielport 67, Gespiegelt
Beschreibung: "Lässt DHCP-Verhandlungsverkehr zu"
Filteraktion: IPSEC-Zulassen
Authentifizierung: Kerberos
Tunnel: Nein
Verbindungstyp: Alle
Regel 3:
Filterliste: "IPSEC - DNS-Ausnahmeliste"
Filter: Beliebige <-> 192.168.1.21, Gespiegelt
Beliebige <-> 192.168.1.22, Gespiegelt
Beschreibung: "IP-Adressen für sämtliche DNS-Server innerhalb des Unternehmens"
Filteraktion: IPSEC-Zulassen
Authentifizierung: Kerberos
Tunnel: Nein
Verbindungstyp: Alle
Regel 4:
Filterliste: "IPSEC - Domänencontroller-Ausnahmeliste"
Filter: Beliebige <-> 192.168.1.21, Gespiegelt
Beliebige <-> 192.168.1.22, Gespiegelt
Beschreibung: "IP-Adressen für sämtliche DCs innerhalb des Unternehmens"
Filteraktion: IPSEC-Zulassen
Authentifizierung: Kerberos
Tunnel: Nein
Verbindungstyp: Alle
Regel 5:
Filterliste: "IPSEC - WINS-Ausnahmeliste"
Filter: Beliebige <-> 192.168.1.22, Gespiegelt
Beschreibung: "IP-Adressen für sämtliche WINS-Server innerhalb des Unternehmens"
Filteraktion: IPSEC-Zulassen
Authentifizierung: Kerberos
Tunnel: Nein
Verbindungstyp: Alle
Regel 6:
Filterliste: "IPSEC - Ausnahmeliste LOB-Anwendungsserver"
Filter: Beliebige <-> 192.168.1.10, Gespiegelt
Beschreibung: "IP-Adressen für sämtliche LOB-Server innerhalb des Unternehmens"
Filteraktion: IPSEC-Zulassen
Authentifizierung: Kerberos
Tunnel: Nein
Verbindungstyp: Alle
Regel 7:
Filterliste: "IPSEC - ICMP, gesamter Verkehr"
Filter: Eigene <-> Beliebige, ICMP, Gespiegelt
Beschreibung: "Lässt ICMP-Verkehr zu"
Filteraktion: IPSEC-Zulassen
Authentifizierung: Kerberos
Tunnel: Nein
Verbindungstyp: Alle
Regel 8:
Filterliste: "IPSEC - Ausgenommene Adressen"
Filter: Beliebige <-> Bestimmte IP-Adresse, Gespiegelt Leer
Beschreibung: "Spezifische IP-Adressen, die von der IPSec-Kommunikation ausgenommen sind"
Filteraktion: IPSEC-Zulassen
Authentifizierung: Kerberos
Tunnel: Nein
Verbindungstyp: Alle
Regel 9:
Filterliste: "IPSEC - Ausgenommene Subnetze"
Filter: Eigene <-> Bestimmte IP-Subnetze, Gespiegelt Leer
Beschreibung: "Subnetze, die von der IPSec-Kommunikation ausgenommen sind"
Filteraktion: IPSEC-Zulassen
Authentifizierung: Kerberos
Tunnel: Nein
Verbindungstyp: Alle
Regel 10:
Filterliste: "IPSEC - Richtlinienversion: (1.0.041001.1600)"
Filter: 1.1.1.1 <-> 1.1.1.2, ICMP, Gespiegelt
Beschreibung: "Keine reelle Filterliste. Wird zur Identifizierung der IPSec- Richtlinienversion verwendet."
Filteraktion: IPSEC-Zulassen
Authentifizierung: Kerberos
Tunnel: Nein
Verbindungstyp: Alle
Erläuterungen zum Regelverhalten
Regel 1. Diese Regel ist erforderlich, um ausgehende Kommunikation mit Cluster-VIPs auszuschließen. Diese Regel sollte nicht mit einbezogen werden, wenn keine Kommunikation zwischen Server und Cluster-VIPs erforderlich ist.
Regel 2. Diese Regel erlaubt DHCP-Verhandlungsverkehr, der nicht auf IPSec basiert.
Regel 3. Diese Regel erlaubt Nicht-IPSec-Kommunikation mit DNS-Systemen in der Ausnahmeliste.
Regel 4. Diese Regel erlaubt Nicht-IPSec-Kommunikation mit Domänencontroller-Systemen in der Ausnahmeliste.
Regel 5. Diese Regel erlaubt Nicht-IPSec-Kommunikation mit WINS-Systemen in der Ausnahmeliste.
Regel 6. Diese Regel erlaubt Nicht-IPSec-Kommunikation mit Hosts in der Ausnahmeliste. Die Woodgrove Bank erstellte diese Filterliste für ihre LOB-Server.
Regel 7. Diese Regel erlaubt ICMP-Verkehr, der nicht auf IPSec-basiert.
Regel 8. Diese Regel erlaubt Nicht-IPSec-Kommunikation mit Hosts in der Ausnahmeliste. Diese Regel darf nicht in die Richtlinien einbezogen werden, wenn die Filterliste leer ist.
Regel 9. Diese Regel erlaubt Nicht-IPSec-Kommunikation mit Subnetzen in der Ausnahmeliste. Diese Regel wird nicht in die Richtlinien einbezogen, wenn die Filterliste leer ist.
Regel 10. Diese Regel wird ausschließlich zur Überwachung von Versionsinformationen für die jeweilige Richtlinie verwendet. Der zur Implementierung der Filterliste verwendete Filter ist ein Dummy-Filter, der aus zwei spezifischen IP-Adressen besteht, die ICMP-Verkehr erlauben. Dieser Dummy-Filter ist erforderlich, da leere Filterlisten nicht von nur einer IP-Adresse zu einer Richtlinie hinzugefügt werden können.
Zum Seitenanfang
Richtlinie für die Isolierungsdomäne
Dieser Abschnitt umfasst ausführliche Informationen zu den Filtern, Filteraktionen, Richtlinien und Gruppenrichtlinienobjekten, die zur Erstellung der Isolierungsdomäne in der Woodgrove Bank-Lösung verwendet wurden.
Regel 11:
Filterliste: "IPSEC - Unternehmenssubnetze"
Filter: Beliebige <-> interne Subnetze, sämtlicher Datenverkehr, gespiegelt
Filteraktion: "IPSEC Sicherer Anforderungsmodus (Eingehende Pakete ignorieren, ausgehende Pakete zulassen)"
Reihenfolge der Sicherheitsmethoden: ESP-null/SHA1, ESP-null/MD5,
ESP-3DES/SHA1 anschließend ESP-3DES/MD5
Ungesicherte Kommunikation NICHT akzeptieren
Ungesicherte Kommunikation mit Nicht-IPSec-fähigen Hosts zulassen
Authentifizierung: Kerberos
Tunnel: Nein
Verbindungstyp: Alle
Sämtliche anderen Richtlinieneinstellungen entsprechen den im Abschnitt "Allgemeine Richtlinienkonfiguration" des Anhangs B aufgelisteten Richtlinieneinstellungen.
Erläuterungen zum Regelverhalten
Regel 11. Diese Regel ist die allgemeinste der in der Richtlinie definierten Regeln. Sie entspricht dem zur Sicherung der Subnetze bestimmten Verkehr und erfordert, dass IPSec ausgehandelt wird. Die Regel akzeptiert keine ungesicherte Kommunikation von Clients, die IPSec nicht unterstützen, kann jedoch mit Clients, die IPSec nicht unterstützen, kommunizieren, wenn sie die Kommunikation initiiert.
Zum Seitenanfang
Richtlinie für die Isolierungsgruppe "Kein Klartext"
Dieser Abschnitt umfasst ausführliche Informationen zu den Filtern, Filteraktionen, Richtlinien und Gruppenrichtlinienobjekten, die zur Erstellung der Isolierungsgruppe "Kein Klartext" in der Woodgrove Bank-Lösung verwendet wurden.
Regel 11:
Filterliste: "IPSEC - Unternehmenssubnetze"
Filter: Beliebige <-> interne Subnetze, sämtlicher Datenverkehr, gespiegelt
Filteraktion: "IPSEC Vollständiger Anforderungsmodus (Eingehende Pakete ignorieren, ausgehende Pakete nicht zulassen)"
Reihenfolge der Sicherheitsmethoden: ESP-null/SHA1, ESP-null/MD5,
ESP-3DES/SHA1 anschließend ESP-3DES/MD5
Ungesicherte Kommunikation NICHT akzeptieren
Ungesicherte Kommunikation mit Nicht-IPSec-fähigen Hosts NICHT zulassen
Authentifizierung: Kerberos
Tunnel: Nein
Verbindungstyp: Alle
Sämtliche anderen Richtlinieneinstellungen entsprechen den im Abschnitt "Allgemeine Richtlinienkonfiguration" des Anhangs B aufgelisteten Richtlinieneinstellungen.
Erläuterungen zum Regelverhalten
Regel 11. Diese Regel ist die allgemeinste der in der Richtlinie definierten Regeln. Sie entspricht dem zur Sicherung der Subnetze bestimmten Verkehr und erfordert, dass IPSec ausgehandelt wird. Die Regel lässt keinerlei Kommunikation mit Clients zu, die IPSec nicht unterstützen.
Zum Seitenanfang
Richtlinie für die Isolierungsgruppe "Domänengrenze"
Dieser Abschnitt umfasst ausführliche Informationen zu den Filtern, Filteraktionen, Richtlinien und Gruppenrichtlinienobjekten, die zur Erstellung der Isolierungsgruppe "Domänengrenze" in der Woodgrove Bank-Lösung verwendet wurden.
Es wird davon ausgegangen, dass der Grenzhost nicht mobil ist und daher Subnetze zur Definition seines Netzwerks verwenden kann. Der Grenzhost sollte ähnlich einem Bastion-Host aus dem Windows Server 2003-Sicherheitshandbuch gesichert werden. Der Grenzhost muss bestmöglichst vor Angriffen nicht vertrauenswürdiger Systeme geschützt werden. Folglich sollte die IPSec-Richtlinie mit Filtern verbunden werden, die die Angriffsfläche nach Möglichkeit reduzieren.
Allgemeine Einstellungen für Richtlinien:
Gültigkeit des IKE Hauptmodus: 20 Minuten
Regel 11:
Filterliste: "IPSEC - Unternehmenssubnetze"
Filter: Beliebige <-> interne Subnetze, sämtlicher Datenverkehr, gespiegelt
Filteraktion: "IPSEC Anforderungsmodus (Eingehende Pakete akzeptieren, ausgehende Pakete zulassen)"
Reihenfolge der Sicherheitsmethoden: ESP-null/SHA1, ESP-null/MD5,
ESP-3DES/SHA1 anschließend ESP-3DES/MD5
Ungesicherte Kommunikation akzeptieren
Ungesicherte Kommunikation mit Nicht-IPSec-fähigen Hosts zulassen
Authentifizierung: Kerberos
Tunnel: Nein
Verbindungstyp: Alle
Sämtliche anderen Richtlinieneinstellungen entsprechen den im Abschnitt "Allgemeine Richtlinienkonfiguration" des Anhangs B aufgelisteten Richtlinieneinstellungen.
Erläuterungen zum Regelverhalten
Regel 11. Diese Regel ist die allgemeinste der in der Richtlinie definierten Regeln. Sie entspricht dem zur Sicherung der Subnetze bestimmten Verkehr und erfordert, dass IPSec ausgehandelt wird. Die Regel akzeptiert den Verkehr von Clients, die IPSec nicht unterstützen und initiiert die Kommunikation mit diesen Clients.
Zum Seitenanfang
Richtlinie für die Isolierungsgruppe "Verschlüsselung"
Dieser Abschnitt umfasst ausführliche Informationen zu den Filtern, Filteraktionen, Richtlinien und Gruppenrichtlinienobjekten, die zur Erstellung der Isolierungsgruppe "Verschlüsselung" in der Woodgrove Bank-Lösung verwendet wurden.
Regel 11:
Filterliste: "IPSEC - Unternehmenssubnetze"
Filter: Beliebige <-> interne Subnetze, sämtlicher Datenverkehr, gespiegelt
Filteraktion: "IPSEC Verschlüsselungsmodus erforderlich (Eingehende Pakete ignorieren, ausgehende Pakete nicht
zulassen)"
Reihenfolge der Sicherheitsmethoden: ESP-3DES/SHA1 anschließend ESP-3DES/MD5
Ungesicherte Kommunikation NICHT akzeptieren
Ungesicherte Kommunikation mit Nicht-IPSec-fähigen Hosts NICHT zulassen
Authentifizierung: Kerberos
Tunnel: Nein
Verbindungstyp: Alle
Sämtliche anderen Richtlinieneinstellungen entsprechen den im Abschnitt "Allgemeine Richtlinienkonfiguration" des Anhangs B aufgelisteten Richtlinieneinstellungen.
Erläuterungen zum Regelverhalten
Regel 11. Diese Regel ist die allgemeinste der in der Richtlinie definierten Regeln. Sie entspricht dem zur Sicherung der Subnetze bestimmten Verkehr und erfordert, dass IPSec-Verschlüsselung ausgehandelt wird. Die Regel lässt keinerlei Kommunikation mit Clients zu, die IPSec nicht unterstützen.
Zum Seitenanfang