Server- und Domänenisolierung mithilfe von IPSec und Gruppenrichtlinien Anhang B: Zusammenfassung zu IPSec-Richtlinien

Dieser Anhang umfasst eine präzise Auflistung sämtlicher Informationen zu den Richtlinieneinstellungen für die in dieser Lösung verwendeten Isolierungsgruppen.

Auf dieser Seite	In diesem Beitrag
Allgemeine Richtlinienkonfiguration Richtlinie für die Isolierungsdomäne Richtlinie für die Isolierungsgruppe "Kein Klartext" Richtlinie für die Isolierungsgruppe "Domänengrenze" Richtlinie für die Isolierungsgruppe "Verschlüsselung"	Überblick - Server- und Domänenisolierung mithilfe von IPSec und Gruppenrichtlinien Kapitel 1: Einführung in die Server- und Domänenisolierung Kapitel 2: Grundlagen der Server- und Domänenisolierung Kapitel 3: Ermitteln des aktuellen Status der IT-Infrastruktur Kapitel 4: Entwerfen und Planen von Isolierungsgruppen Kapitel 5: Erstellen von IPSec-Richtlinien für Isolierungsgruppen Kapitel 6: Verwalten einer Server- und Domänenisolierungsumgebung Kapitel 7: Problembehandlung für IPSec Anhang A: Überblick über IPSec-Richtlinienkonzepte Anhang B: Zusammenfassung zu IPSec-Richtlinien Anhang C: Leitfaden zum Aufbau einer Testumgebung Anahng D: IT-Bedrohungskategorien Danksagungen
	Vollständige Lösung downloaden Server-und Domänenisolierung mithilfe von IPSec und Gruppenrichtlinien (engl.)

Allgemeine Richtlinienkonfiguration

Die folgenden Informationen sind in sämtlichen in dieser Lösung definierten Richtlinien enthalten.

Allgemeine Einstellungen für Richtlinien:

• Richtlinienaktualisierung: 5 Minuten für Testumgebungsrollout. Dieser Wert sollte auf 60 Minuten (bei Betrieb) gesteigert werden. Nach 60 Minuten aktualisiert der Host seine Richtlinien aus dem Active Directory®-Verzeichnisdienst. Diese Funktion ermöglicht Änderungen einer bereits zugewiesenen IPSec-Richtlinie, so dass diese für das gesamte Netzwerk des Unternehmens innerhalb maximal einer Stunde bereitgestellt werden kann, um eine schnelle Reaktion auf Beeinträchtigungen des Netzwerks zu ermöglichen.
• Gültigkeit des IKE Hauptmodus: 3 Stunden.
• Sitzungen pro Hauptmodus: 0, unendlich.
• Hauptschlüssel-PFS: Wird nicht verwendet wurde als Funktion in Microsoft® Windows® Internet Key Association (IKE) aufgrund mangelnder Unterstützung durch andere Produkte und zur Eliminierung redundanter Funktionen abgeschafft. Dieselbe Funktionalität kann erreicht werden, indem die Sitzungen pro Hauptmodus auf 1 eingestellt werden.
• IKE-Schlüsselaustausch-Sicherheitsmethoden: 3DES/SHA1/Hoch (2048), 3DES/SHA1/Medium (2), 3DES/MD5/Medium (2).

Standardantwortregel = deaktiviert

Regel 1:

Filterliste: "IPSEC - Cluster-VIP-Ausnahmeliste"

Filter: Eigene <-> Bestimmte IP-Adresse, Gespiegelt Leer

Beschreibung: "IP-Adressen für sämtliche Cluster-VIPs innerhalb des Unternehmens"

Filteraktion: IPSEC-Zulassen

Authentifizierung: Kerberos

Tunnel: Nein

Verbindungstyp: Alle

Regel 2:

Filterliste: "IPSEC - DHCP, Verhandlungsverkehr"

Filter: Eigene <-> Beliebige, UDP, Quellport 68 an Zielport 67, Gespiegelt

Beschreibung: "Lässt DHCP-Verhandlungsverkehr zu"

Filteraktion: IPSEC-Zulassen

Authentifizierung: Kerberos

Tunnel: Nein

Verbindungstyp: Alle

Regel 3:

Filterliste: "IPSEC - DNS-Ausnahmeliste"

Filter: Beliebige <-> 192.168.1.21, Gespiegelt

Beliebige <-> 192.168.1.22, Gespiegelt

Beschreibung: "IP-Adressen für sämtliche DNS-Server innerhalb des Unternehmens"

Filteraktion: IPSEC-Zulassen

Authentifizierung: Kerberos

Tunnel: Nein

Verbindungstyp: Alle

Regel 4:

Filterliste: "IPSEC - Domänencontroller-Ausnahmeliste"

Filter: Beliebige <-> 192.168.1.21, Gespiegelt

Beliebige <-> 192.168.1.22, Gespiegelt

Beschreibung: "IP-Adressen für sämtliche DCs innerhalb des Unternehmens"

Filteraktion: IPSEC-Zulassen

Authentifizierung: Kerberos

Tunnel: Nein

Verbindungstyp: Alle

Regel 5:

Filterliste: "IPSEC - WINS-Ausnahmeliste"

Filter: Beliebige <-> 192.168.1.22, Gespiegelt

Beschreibung: "IP-Adressen für sämtliche WINS-Server innerhalb des Unternehmens"

Filteraktion: IPSEC-Zulassen

Authentifizierung: Kerberos

Tunnel: Nein

Verbindungstyp: Alle

Regel 6:

Filterliste: "IPSEC - Ausnahmeliste LOB-Anwendungsserver"

Filter: Beliebige <-> 192.168.1.10, Gespiegelt

Beschreibung: "IP-Adressen für sämtliche LOB-Server innerhalb des Unternehmens"

Filteraktion: IPSEC-Zulassen

Authentifizierung: Kerberos

Tunnel: Nein

Verbindungstyp: Alle

Regel 7:

Filterliste: "IPSEC - ICMP, gesamter Verkehr"

Filter: Eigene <-> Beliebige, ICMP, Gespiegelt

Beschreibung: "Lässt ICMP-Verkehr zu"

Filteraktion: IPSEC-Zulassen

Authentifizierung: Kerberos

Tunnel: Nein

Verbindungstyp: Alle

Regel 8:

Filterliste: "IPSEC - Ausgenommene Adressen"

Filter: Beliebige <-> Bestimmte IP-Adresse, Gespiegelt Leer

Beschreibung: "Spezifische IP-Adressen, die von der IPSec-Kommunikation ausgenommen sind"

Filteraktion: IPSEC-Zulassen

Authentifizierung: Kerberos

Tunnel: Nein

Verbindungstyp: Alle

Regel 9:

Filterliste: "IPSEC - Ausgenommene Subnetze"

Filter: Eigene <-> Bestimmte IP-Subnetze, Gespiegelt Leer

Beschreibung: "Subnetze, die von der IPSec-Kommunikation ausgenommen sind"

Filteraktion: IPSEC-Zulassen

Authentifizierung: Kerberos

Tunnel: Nein

Verbindungstyp: Alle

Regel 10:

Filterliste: "IPSEC - Richtlinienversion: (1.0.041001.1600)"

Filter: 1.1.1.1 <-> 1.1.1.2, ICMP, Gespiegelt

Beschreibung: "Keine reelle Filterliste. Wird zur Identifizierung der IPSec- Richtlinienversion verwendet."

Filteraktion: IPSEC-Zulassen

Authentifizierung: Kerberos

Tunnel: Nein

Verbindungstyp: Alle

Erläuterungen zum Regelverhalten

Regel 1. Diese Regel ist erforderlich, um ausgehende Kommunikation mit Cluster-VIPs auszuschließen. Diese Regel sollte nicht mit einbezogen werden, wenn keine Kommunikation zwischen Server und Cluster-VIPs erforderlich ist.

Regel 2. Diese Regel erlaubt DHCP-Verhandlungsverkehr, der nicht auf IPSec basiert.

Regel 3. Diese Regel erlaubt Nicht-IPSec-Kommunikation mit DNS-Systemen in der Ausnahmeliste.

Regel 4. Diese Regel erlaubt Nicht-IPSec-Kommunikation mit Domänencontroller-Systemen in der Ausnahmeliste.

Regel 5. Diese Regel erlaubt Nicht-IPSec-Kommunikation mit WINS-Systemen in der Ausnahmeliste.

Regel 6. Diese Regel erlaubt Nicht-IPSec-Kommunikation mit Hosts in der Ausnahmeliste. Die Woodgrove Bank erstellte diese Filterliste für ihre LOB-Server.

Regel 7. Diese Regel erlaubt ICMP-Verkehr, der nicht auf IPSec-basiert.

Regel 8. Diese Regel erlaubt Nicht-IPSec-Kommunikation mit Hosts in der Ausnahmeliste. Diese Regel darf nicht in die Richtlinien einbezogen werden, wenn die Filterliste leer ist.

Regel 9. Diese Regel erlaubt Nicht-IPSec-Kommunikation mit Subnetzen in der Ausnahmeliste. Diese Regel wird nicht in die Richtlinien einbezogen, wenn die Filterliste leer ist.

Regel 10. Diese Regel wird ausschließlich zur Überwachung von Versionsinformationen für die jeweilige Richtlinie verwendet. Der zur Implementierung der Filterliste verwendete Filter ist ein Dummy-Filter, der aus zwei spezifischen IP-Adressen besteht, die ICMP-Verkehr erlauben. Dieser Dummy-Filter ist erforderlich, da leere Filterlisten nicht von nur einer IP-Adresse zu einer Richtlinie hinzugefügt werden können.

Zum Seitenanfang

Richtlinie für die Isolierungsdomäne

Dieser Abschnitt umfasst ausführliche Informationen zu den Filtern, Filteraktionen, Richtlinien und Gruppenrichtlinienobjekten, die zur Erstellung der Isolierungsdomäne in der Woodgrove Bank-Lösung verwendet wurden.

Regel 11:

Filterliste: "IPSEC - Unternehmenssubnetze"

Filter: Beliebige <-> interne Subnetze, sämtlicher Datenverkehr, gespiegelt

Filteraktion: "IPSEC Sicherer Anforderungsmodus (Eingehende Pakete ignorieren, ausgehende Pakete zulassen)"

Reihenfolge der Sicherheitsmethoden: ESP-null/SHA1, ESP-null/MD5,
ESP-3DES/SHA1 anschließend ESP-3DES/MD5

Ungesicherte Kommunikation NICHT akzeptieren

Ungesicherte Kommunikation mit Nicht-IPSec-fähigen Hosts zulassen

Authentifizierung: Kerberos

Tunnel: Nein

Verbindungstyp: Alle

Sämtliche anderen Richtlinieneinstellungen entsprechen den im Abschnitt "Allgemeine Richtlinienkonfiguration" des Anhangs B aufgelisteten Richtlinieneinstellungen.

Erläuterungen zum Regelverhalten

Regel 11. Diese Regel ist die allgemeinste der in der Richtlinie definierten Regeln. Sie entspricht dem zur Sicherung der Subnetze bestimmten Verkehr und erfordert, dass IPSec ausgehandelt wird. Die Regel akzeptiert keine ungesicherte Kommunikation von Clients, die IPSec nicht unterstützen, kann jedoch mit Clients, die IPSec nicht unterstützen, kommunizieren, wenn sie die Kommunikation initiiert.

Zum Seitenanfang

Richtlinie für die Isolierungsgruppe "Kein Klartext"

Dieser Abschnitt umfasst ausführliche Informationen zu den Filtern, Filteraktionen, Richtlinien und Gruppenrichtlinienobjekten, die zur Erstellung der Isolierungsgruppe "Kein Klartext" in der Woodgrove Bank-Lösung verwendet wurden.

Regel 11:

Filterliste: "IPSEC - Unternehmenssubnetze"

Filter: Beliebige <-> interne Subnetze, sämtlicher Datenverkehr, gespiegelt

Filteraktion: "IPSEC Vollständiger Anforderungsmodus (Eingehende Pakete ignorieren, ausgehende Pakete nicht zulassen)"

Reihenfolge der Sicherheitsmethoden: ESP-null/SHA1, ESP-null/MD5,

ESP-3DES/SHA1 anschließend ESP-3DES/MD5

Ungesicherte Kommunikation NICHT akzeptieren

Ungesicherte Kommunikation mit Nicht-IPSec-fähigen Hosts NICHT zulassen

Authentifizierung: Kerberos

Tunnel: Nein

Verbindungstyp: Alle

Sämtliche anderen Richtlinieneinstellungen entsprechen den im Abschnitt "Allgemeine Richtlinienkonfiguration" des Anhangs B aufgelisteten Richtlinieneinstellungen.

Erläuterungen zum Regelverhalten

Regel 11. Diese Regel ist die allgemeinste der in der Richtlinie definierten Regeln. Sie entspricht dem zur Sicherung der Subnetze bestimmten Verkehr und erfordert, dass IPSec ausgehandelt wird. Die Regel lässt keinerlei Kommunikation mit Clients zu, die IPSec nicht unterstützen.

Zum Seitenanfang

Richtlinie für die Isolierungsgruppe "Domänengrenze"

Dieser Abschnitt umfasst ausführliche Informationen zu den Filtern, Filteraktionen, Richtlinien und Gruppenrichtlinienobjekten, die zur Erstellung der Isolierungsgruppe "Domänengrenze" in der Woodgrove Bank-Lösung verwendet wurden.

Es wird davon ausgegangen, dass der Grenzhost nicht mobil ist und daher Subnetze zur Definition seines Netzwerks verwenden kann. Der Grenzhost sollte ähnlich einem Bastion-Host aus dem Windows Server 2003-Sicherheitshandbuch gesichert werden. Der Grenzhost muss bestmöglichst vor Angriffen nicht vertrauenswürdiger Systeme geschützt werden. Folglich sollte die IPSec-Richtlinie mit Filtern verbunden werden, die die Angriffsfläche nach Möglichkeit reduzieren.

Allgemeine Einstellungen für Richtlinien:

Gültigkeit des IKE Hauptmodus: 20 Minuten

Regel 11:

Filterliste: "IPSEC - Unternehmenssubnetze"

Filter: Beliebige <-> interne Subnetze, sämtlicher Datenverkehr, gespiegelt

Filteraktion: "IPSEC Anforderungsmodus (Eingehende Pakete akzeptieren, ausgehende Pakete zulassen)"

Reihenfolge der Sicherheitsmethoden: ESP-null/SHA1, ESP-null/MD5,

ESP-3DES/SHA1 anschließend ESP-3DES/MD5

Ungesicherte Kommunikation akzeptieren

Ungesicherte Kommunikation mit Nicht-IPSec-fähigen Hosts zulassen

Authentifizierung: Kerberos

Tunnel: Nein

Verbindungstyp: Alle

Sämtliche anderen Richtlinieneinstellungen entsprechen den im Abschnitt "Allgemeine Richtlinienkonfiguration" des Anhangs B aufgelisteten Richtlinieneinstellungen.

Erläuterungen zum Regelverhalten

Regel 11. Diese Regel ist die allgemeinste der in der Richtlinie definierten Regeln. Sie entspricht dem zur Sicherung der Subnetze bestimmten Verkehr und erfordert, dass IPSec ausgehandelt wird. Die Regel akzeptiert den Verkehr von Clients, die IPSec nicht unterstützen und initiiert die Kommunikation mit diesen Clients.

Zum Seitenanfang

Richtlinie für die Isolierungsgruppe "Verschlüsselung"

Dieser Abschnitt umfasst ausführliche Informationen zu den Filtern, Filteraktionen, Richtlinien und Gruppenrichtlinienobjekten, die zur Erstellung der Isolierungsgruppe "Verschlüsselung" in der Woodgrove Bank-Lösung verwendet wurden.

Regel 11:

Filterliste: "IPSEC - Unternehmenssubnetze"

Filter: Beliebige <-> interne Subnetze, sämtlicher Datenverkehr, gespiegelt

Filteraktion: "IPSEC Verschlüsselungsmodus erforderlich (Eingehende Pakete ignorieren, ausgehende Pakete nicht

zulassen)"

Reihenfolge der Sicherheitsmethoden: ESP-3DES/SHA1 anschließend ESP-3DES/MD5

Ungesicherte Kommunikation NICHT akzeptieren

Ungesicherte Kommunikation mit Nicht-IPSec-fähigen Hosts NICHT zulassen

Authentifizierung: Kerberos

Tunnel: Nein

Verbindungstyp: Alle

Sämtliche anderen Richtlinieneinstellungen entsprechen den im Abschnitt "Allgemeine Richtlinienkonfiguration" des Anhangs B aufgelisteten Richtlinieneinstellungen.

Erläuterungen zum Regelverhalten

Regel 11. Diese Regel ist die allgemeinste der in der Richtlinie definierten Regeln. Sie entspricht dem zur Sicherung der Subnetze bestimmten Verkehr und erfordert, dass IPSec-Verschlüsselung ausgehandelt wird. Die Regel lässt keinerlei Kommunikation mit Clients zu, die IPSec nicht unterstützen.

Zum Seitenanfang

| Home | Technische Artikel | Community