M 5.90 Einsatz von IPSec unter Windows

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Zur Absicherung der Kommunikation bietet Windows eine IPSec-konforme Implementierung an. IPSec ist ein internationaler Standard, der die kryptographische Absicherung IP-basierter Kommunikation erlaubt. Es muss jeweils im Einzelfall entschieden werden, ob IPSec zur Kommunikationsabsicherung eingesetzt werden soll. Dies ist schon bei der Planung des Windows-Einsatzes zu berücksichtigen und mittels einer Richtlinie zu definieren.

IPSec umfasst folgende Funktionen:

Allgemeine Hinweise zur Auswahl geeigneter kryptographischer Verfahren finden sich in M 2.164 Auswahl eines geeigneten kryptographischen Verfahrens. Als Hash-Verfahren sollte beim Einsatz von IPSec ein Algorithmus der SHA-2-Familie verwendet werden, also SHA-224, SHA-256, SHA-384 oder SHA-512.

Diese werden etwa im IPSec-Client, der Teil der Windows Vista und Windows 7 Firewall ist, unterstützt. Die Funktion ist seit Windows 7 standardmäßig und unter Windows Vista seit dem Service Pack 1 verfügbar. Ohne Service Pack 1 unterstützt dieser IPSec-Client unter Windows Vista nur die schwächeren Hash-Verfahren MD5 und SHA1. Windows XP ohne Service Pack 3 unterstützt ebenfalls nur die schwächeren Hash-Verfahren. Diese sollten nicht mehr eingesetzt werden.

Damit neben der Integrität und Vertraulichkeit der übertragenen Daten auch sichergestellt werden kann, dass die Daten zwischen den korrekten Kommunikationspartnern ausgetauscht werden, müssen sich diese authentisieren. Die Windows Implementierung erlaubt folgende Verfahren zur Authentisierung der Kommunikationsendpunkte:

Im Rahmen des ersten IPSec-Verbindungsaufbaus werden zunächst die nachfolgend zu benutzenden Algorithmen und Verfahren zur Authentisierung, Integritätssicherung und Wahrung der Vertraulichkeit zwischen den Kommunikationspartnern ausgehandelt und in der so genannten Security Association (SA) gespeichert.

Diese in der SA gespeicherten Parameter werden für alle zukünftigen Kommunikationsverbindungen benutzt, bis die Gültigkeit der SA-Parameter erlischt und die Verfahren neu ausgehandelt werden. Dies erfolgt in der Regel vollautomatisch durch die Komponenten der IPSec-Implementierung.

Für die eigentliche Verschlüsselung müssen Schlüssel, der so genannte Master- und der Session-Key (Sitzungsschlüssel), generiert werden. In der Regel wird der Master-Key, von dem alle weiteren Schlüssel abgeleitet werden, pro Verbindung nur einmal erzeugt, der Session-Key hingegen periodisch mehrfach. Es besteht die Möglichkeit, auch den Master-Key periodisch neu zu erzeugen, was jedoch eine erneute Authentisierung der Kommunikationspartner erfordert. In der Regel erfolgt die erneute Authentisierung automatisch durch die Komponenten der IPSec-Implementierung, so dass die Performance im Wesentlichen dadurch beeinflusst wird.

IPSec kennt zwei verschiedene Methoden zur Absicherung der Kommunikation: ESP (Encapsulated Security Payload) und AH (Authentication Header). Ab Windows Server 2008 wird AH nicht mehr unterstützt, da diese Methode aufgrund der damit verbundenen Nachteile (keine Umsetzung von Netzwerkadressen per NAT möglich) kaum praktische Bedeutung hat.

Zur Steuerung der IPSec-basierten Kommunikation bietet Windows so genannte IPSec-Richtlinien (IPSec-Policies) an, die angeben, welche IPSec-Parameter für eine Verbindung zu benutzen sind. Unter Windows Vista und Windows Server 2008 werden die IPSec-Richtlinien auch Verbindungssicherheitsregeln genannt. Über verschiedene Richtlinien lässt sich erreichen,

Windows bietet ab Version 2000 drei vordefinierte IPSec-Richtlinien an:

Diese vordefinierten Regeln können den lokalen Anforderungen detailliert angepasst werden. Dabei empfiehlt es sich, zunächst eine Kopie anzulegen und die Veränderungen an der Kopie der Richtlinie durchzuführen.

Im Rahmen einer IPSec-Richtlinie werden so genannte Filterregeln genutzt, um unterschiedliche IPSec-Parameter, zum Beispiel in Abhängigkeit vom verwendeten Protokoll, definieren zu können. Beispielsweise kann festgelegt werden, dass HTTP unverschlüsselt bleibt, FTP dagegen immer verschlüsselt wird.

Windows Vista und Windows 7 ermöglichen die Konfiguration der IPSec-Richtlinien über Gruppenrichtlinien unter Computerkonfiguration | Windows-Einstellungen | Windows-Firewall mit erweiterter Sicherheit | Verbindungssicherheitsregeln, bei Windows Server 2008 findet sich der Konfigurationseditor unter Verwaltung | Windows-Firewall mit erweiterter Sicherheit | Verbindungsregeln. Für Vista, Windows 7 und Server 2008 stellt Microsoft keine vordefinierten IPSec-Richtlinien zur Verfügung. Der Assistent für neue Verbindungssicherheitsregeln hilft aber bei deren Konfiguration. IPSec wird entweder über Gruppenrichtlinien oder lokal im Eigenschaftsdialog für Netzverbindungen aktiviert. Die Aktivierung im Eigenschaftsdialog steht unter Vista, Windows 7 und Server 2008 nicht zur Verfügung. Hier wird IPSec durch die Erstellung von Verbindungssicherheitsregeln aktiviert.

Ab Windows Server 2008 wurde die Konfiguration von Regeln für die lokale Firewall und IPSec in der Oberfläche zusammengeführt, um die Administration zu vereinfachen und Fehlerquellen aus sich widersprechenden IPSec- und Firewallregeln zu beseitigen.

Generell ist für die Nutzung von IPSec unter Windows Folgendes zu berücksichtigen:

Prüffragen: