Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 5.90 Einsatz von IPSec unter Windows 2000/XP - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 5.90 Einsatz von IPSec unter Windows 2000/XP

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Zur Absicherung der Kommunikation bietet Windows 2000/XP eine IPSec-konforme Implementierung an. IPSec ist ein internationaler Standard, der die kryptographische Absicherung IP-basierter Kommunikation erlaubt und folgende Funktionen umfasst:

Jede IPSec-konforme Komponente muss mindestens folgende Sicherungsverfahren implementieren:

Damit neben der Integrität und Vertraulichkeit der übertragenen Daten auch sichergestellt werden kann, dass die Daten zwischen den korrekten Kommunikationspartnern ausgetauscht werden, müssen sich diese authentisieren. Die Windows 2000/XP Implementierung erlaubt folgende Verfahren zur Authentisierung der Kommunikationsendpunkte:

Im Rahmen des ersten IPSec-Verbindungsaufbaus werden zunächst die nachfolgend zu benutzenden Algorithmen und Verfahren zur Authentisierung, Integritätssicherung und Wahrung der Vertraulichkeit zwischen den Kommunikationspartnern ausgehandelt und in der so genannten Security Association (SA) gespeichert. Diese in der SA gespeicherten Parameter werden dann für alle zukünftigen Kommunikationsverbindungen benutzt, bis die Gültigkeit der SA-Parameter erlischt und die Verfahren neu ausgehandelt werden. Dies erfolgt in der Regel vollautomatisch durch die Komponenten der IPSec-Implementierung.

Für die eigentliche Verschlüsselung müssen Schlüssel - der so genannte Master- und Session-Key (Sitzungsschlüssel) - generiert werden. In der Regel wird dabei der Master-Key, von dem alle weiteren Schlüssel abgeleitet werden, pro Verbindung nur einmal erzeugt, der Session-Key hingegen periodisch mehrfach. Es besteht die Möglichkeit, auch den Master-Key periodisch neu zu erzeugen, was jedoch eine erneute Authentisierung der Kommunikationspartner erfordert. In der Regel erfolgt die erneute Authentisierung automatisch durch die Komponenten der IPSec-Implementierung, so dass dadurch im Wesentlichen die Performance beeinflusst wird.

Zur Steuerung der IPSec-basierten Kommunikation bietet Windows 2000/XP so genannte IPSec-Richtlinien (IPSec-Policies) an, die angeben, welche IPSec-Parameter für eine Verbindung zu benutzen sind. Über verschiedene Richtlinien lässt sich erreichen,

Windows 2000/XP bietet drei vordefinierte IPSec-Richtlinien an:

Diese vordefinierten Regeln können im Detail den lokalen Anforderungen angepasst werden. Dabei empfiehlt es sich, eine Kopie anzulegen und die Veränderungen auf der Kopie der Richtlinie durchzuführen. Im Rahmen einer IPSec-Richtlinie werden so genannte Filterregeln genutzt, um unterschiedliche IPSec-Parameter, z. B. in Abhängigkeit vom verwendeten Protokoll, definieren zu können. Beispielsweise kann festgelegt werden, dass HTTP unverschlüsselt ist, FTP dagegen immer verschlüsselt wird.

IPSec wird entweder über Gruppenrichtlinien oder lokal im Eigenschaftsdialog für Netzverbindungen aktiviert. Die Konfiguration der IPSec-Einstellungen erfolgt über die IPSec-Richtlinien mit Hilfe der Microsoft Management Console (MMC).

Generell ist für die Nutzung von IPSec unter Windows 2000/XP Folgendes zu berücksichtigen:

Es muss jeweils im Einzelfall entschieden werden, ob IPSec zur Kommunikationsabsicherung eingesetzt werden soll. Dies ist schon bei der Planung des Windows 2000/XP Einsatzes zu berücksichtigen.

Ergänzende Kontrollfragen: