cscholz
Goto Top

IPSec ICMP Verständniss Problem

Ich habe gerade angefangen mich mit IPSec zu beschäftigen und habe da ein Problem, das ich mir nicht erklären kann.

Ich habe einen Server auf dem IPSec auf "Sicherheit anfordern" steht. In dieser Regel habe ich händisch dann ICMP auf erforderlich gesetzt.

Dann habe ich einen Client (XP SP2) auf dem keine IPSec Regel aktiviert ist.

Wenn ich nun über den Explorer auf den Server zugreife (\\server\share) dauert es einen Moment und ich bekomme das angeforderte share. Wenn ich nun auf dem Server in den IP-Sicherheitsmonitor schaue steht dort unter "Schnellmodus" eine aktive Sicherheitszuordnung. Also habe sich beide PC's auf IPSec geeinigte. (Der Client kann IPSec also verwenden die beiden es zu Kommunikation). Soweit okay.


Wenn ich nun aber den Server anpinge, bekomme ich immer eine Zeitüberschreitung. Für ICMP steht steht IPSec ja auf "Sicherheit erforderlich". Aber warum wird hier dann von den Geräten kein IPSec verwendet? Der Client geht im obigen Beispiel ja auf die Aufforderung des Servers IPSec zu verwenden ein.

Aktiviere ich nun aber am Client die Regel "Client (nur Antworten)" ohne eine feste ICMP Regel für die Kommunikation, so geht der ping nach kurzer Zeit durch, und der Client taucht auch in den Sicherheitszuordnungen auf. Warum geht es aber dann hier?

Content-ID: 35215

Url: https://administrator.de/contentid/35215

Ausgedruckt am: 08.11.2024 um 11:11 Uhr

24213
24213 02.07.2006 um 06:43:55 Uhr
Goto Top
Hallo,

das stimmt leider so nicht.
Sicherheit anfordern bedeutet:
Sicherheit ist für den gesamten IP-Verkehr erforderlich, unter Verwendung von Kerberos. Ungesicherte Kommunikation mit Clients, die nicht auf die Anforderung antworten, ist zugelassen.
Das bedeutet, deine beiden Rechner haben keine IPSec-Verbindung aufgebaut. Bei Sicherheit anfordern "entscheidet" also der Server, ob eine IPSec-Verbindung eingegangen wird. Dein Client hat aber die Standardsicherheitsrichtlinie "nur Antwort" und das gibt dann keine Sec-Verbindung.
Selbst wenn Du auf dem Client keine SecRichtlinie aktiviert hast kommt es zur Kommunikation zwischen Server und Client, aber nicht über IPSec, sondern ganz normal, da keine SecRichtlinie auf dem Client vergleichbar ist mit nur Antworten(s.o.).
Da du händisch ICMP auf sichere Verbindung eingestellt hast kommt der Ping nicht durch, da "ping" mittels ICMP kommuniziert. Der Client hat aber keine SecRichtlinie und ein Handshake kommt zwischen Server und Client nicht zustande.
Grundsätzlich entscheidet dein Server ob eine IPSec-Verbindung zustande kommt. "Unterstüzt dein Client kein IPSec gibt es auch keine IPSec-Verbindung und der Server schaltet auf "normale Kommunikation" zurück.
Abschließend:
Hat der Server die Richtlinie "Sicherheit anforden" kommt es nur dann zu einer IPSec-Verbindung, wenn der Client die Richtlinie "Sicherheit erforderlich" hat.
Überprüfen kannst Du das folgendermassen:
Server auf Sicherheit anforden einstellen und Client auf Sicherheit erforderlich(Sicherheitsrichtlinie SecureWS).
Pinge den Server vom Client aus an über einen Dauerping. In der Dosbox siehst dann zuerst ein paar mall Zeitüberschreitung, nach dem Handshake erscheint dann verschlüsselte Verbindung und der Sever antwortet auf den Ping und meldet Antwort.
Vorsicht vor der Richtlinie "SecureDC" in einer Domain. Passt Du hierbei nicht auf kommst Du nie mehr auf Deinen Server!!!!!

Gruss
cscholz
cscholz 02.07.2006 um 13:38:44 Uhr
Goto Top
Der Server hat die Richtlinie "Server (Sicherheit anfordern)"
Der Client "Client (nur Antwort)"

Nun greifen ich auf den Server zu \\server\share
Ich bekomme den Inhalt angezeigt und gehe jetzt auf

http://2nibbles4u.de/temp/sicherheitszuordnung.gif

Dort steht nun folgender Eintrag:

Benutzer		 Peer			Protokoll	Aushandlungsrichtlinie			 AH-Integrität		 ESP-Vertraulichkeit	ESP-Integrität
...
Server		   Client		  Beliebig	Sicherheit anfordern (optional)	<Kein>				3DES				  HMAC-SHA1
...

Also wurde doch eine IPSec Verbindung initiiert oder nicht
24213
24213 02.07.2006 um 15:56:44 Uhr
Goto Top
Hallo,

Hier hast Du Recht, das eine verindung zustande gekommen ist.
Habe mal eine Domain aufgebaut und muss mich bzgl. meinem vorherigen Beitrag verbessern:

Szenario1:
Server wurde Sicherheit anfordern zugewiesen
Client hat keinerlei Zuweisungen
=> Mappen eines Laufwerkes funktioniert nicht, da Handshake nicht zustande kommt

Szenario2:
Server wurde Sicherheit anfordern zugewiesen
Client wurde nur Antwort zugewiesen
=> Ping von XP nach Server ergibt Antwort, jedoch kein Handshake
Grund:
Eigenschaften von Sicherheit anfordern:
Ungesicherte Kommunikation wird akzeptiert, ersucht aber, dass Clients immer Vertrauens- und Sicherheitsmethoden verwendden. Mit nicht vertrauenswürdigen Clients wird ungesichert kommuniziert, wenn diese nicht auf die Anforderung antworten.
Hierdurch wird dein Laufwerk gemappt bzw. ping ist erfolgreich

Szenario3:
Eigenschaften von Server (Sicherheit anfordern) - Regeln -> ICMP-Datenverkehr insgesamt auswählen und dann auf Bearbeiten. Dann Eigenschaften von Regel bearbeiten -> Filteraktion -> Sicherheit erforderlich makieren und auswählen -> Bearbeiten. Hier nun die Sicherheitsmethoden kontrollieren: Sicherheit aushandeln, alle Haken unten entfernen
Oken und alle Fenster schliessen..
Auf Server in DOS-Box wechseln und Client anpingen.
Jetzt erscheint als erster Eintrag IP-Sicherheit wird verhandelt und bei erfolg gibt Ping die entsprechenden Antworten und die IPSec Verbindung steht.

Bei Einrichten von IPSec-Richtlinien muss auf jeden Fall die jeweilige Regel und die zur Regel erweiterten Eigenschaften kontrolliert werden. Bei Servern (Sicherheit anfordern) ist in den erweiterten Eigenschaften der jeweiligen Regel der unverschlüsselte Austausch von ICMP-Paketen erlaubt.

Schlussfolgernd würde das bedeuten, das im Sicherheitsmonitor deine Verbindung zwischen Server und Client als verschlüsselt dargestellt wird, aber der ICMP-Verkehr unverschlüsselt erfolgt.

Hoffe Dir damit etwas geholfen zu haben.

Gruss
cscholz
cscholz 02.07.2006 um 16:24:52 Uhr
Goto Top
Zum Verständnis . . .

1. Als muss, damit IPSec zwischen Client und Server korrekt funktioniert auf dem Client mind. die Regel "Client (nur Antwort)" aktiviert sein, weil sonst generell keine sichere Verbindung aufgebaut wird, auch wenn der Server dies versucht? Ist das so korrekt?

2. Ich habe folgende Konstellation getestet:
Serverregel: Sicherer Server (Sicherheit erforderlich), + ICMP Sicherheit anfordern
Clientregel: Client (nur Antwort), unverändert

- ping geht durch. Verschlüsselt...
- entferne nun die Zuweisung der Serverregel
- ping bricht ab, es erscheint nur noch "IP-Sicherheit wird verhandelt"

Wieso? Erst wenn ich die Clientregel entferne geht es wieder.
Das heißt doch aber jetzt, dass wenn ich die IPSec Regel auf einem Produktiv-Server entferne ist die Kommunikation der Clients unterbrochen, bis ich bei denen auch die Regel entferne.
24213
24213 02.07.2006 um 16:59:26 Uhr
Goto Top
Hallo,

zu 1.
Korrekt.
Man kann es auch mit einem Auto und einem Wohnanhänger vergleichen. Das Auto ist der Server und der Anhänger ist der Client. Damit Auto den Anhänger mitnehmen kann brauchst Du eine Anhängerkupplung zum Verbinden. Also ohne Kupplung bleibt der Anhänger zu Hause.

zu 2.
Ich weiss jetzt natürlich nicht wie gross deine Domain ist, aber Du musst dem Server bzw. veinem Netzwerk schon etwas Zeit geben. Die sicheren Verbindungsoptionen, also Benutzung von IPSec wird gecached. Wird auf diesen Cache nicht mehr zugegriffen werden Informationen automatisch nach einer gewissen Zeit (Standardeinstellung 3 Minuten) wieder gelöscht.
Also Serverzuweisung entfernen und etwas warten.
Was anderes ist es natürlich, wenn Du für Deinen ICMP-Verkehr extra eine Regel erstellt und dem Server zugewiesen hast. Dann unter den erweiterten Eigenschaften der Regel wieder das Häkchen setzen. Das Problem ist, das Du auf der XP nicht einstellen kannst, das ICMP verschlüsselt/unverschlüsselt verarbeitet werden soll, dafür ist es eine Workstation und kein Client.

Abschießend:
Nur und nur der Server entscheidet, anhand seiner Konfiguration ob eine Verbindung verschlüsselt aufgebaut werden soll.
Du greifst ja schließlich auf die Ressourcen, die der Server zur Verfügung stellt, zu und nicht umgekehrt.
Was anderes ist wiederum, wenn zwei Server Verbindungen aufbauen sollen, dann konfigurierst Du entsprechend auf beiden Servern Deinen ICMP-Verkehr.

Gruss
24213
24213 02.07.2006 um 17:01:41 Uhr
Goto Top
Sorry,

unter 1. Die Anhängerkupplung ist natürlich IPSec.
unter 2. letzter Satz meine ich natürlich "ist eine Workstation und kein Server".

Tschau