The Cable Guy - August 2006
AuthIP unter Windows Vista
Von The Cable Guy
Alle auf Deutsch verfügbaren Cable Guy-Kolumnen finden Sie unter http://www.microsoft.com/germany/technet/community/columns/cableguy/cgarch.mspx.
Um die Bereitstellung von IPSec (Internet Protocol security) zu vereinfachen, unterstützen Microsoft® Windows Vista™ und Windows Server® Code Name "Longhorn" eine erweiterte IKE-Version (Internet Key Exchange), die auch als Authenticated Internet Protocol (AuthIP) bekannt ist. AuthIP vereinfacht die Konfiguration und Verwaltung von IPSec-Richtlinien.
Einleitung
Windows® XP und Windows Server 2003 unterstützen den Schutz von Netzwerkverkehr über IPSec mithilfe von Standardkomponenten, die in den TCP/IP-Stack integriert sind. Um IPSec zu konfigurieren, müssen Sie eine IPSec-Richtlinie konfigurieren und aktivieren. Dies kann für einzelne Computer oder für Active Directory-Container (eine Domäne, einen Standort oder eine OU) geschehen. Active Directory-GPOs ermöglichen eine zentrale Konfiguration und automatisierte Verteilung von IPSec-Richtlinien auf alle Domänencomputer. Eine IPSec-Richtlinie besteht aus allgemeinen Einstellungen und einer oder mehreren Regeln. Diese legen unter anderem die Arten von Netzwerkverkehr fest, die von IPSec überwacht werden. Außerdem definieren sie, wie der Netzwerkverkehr behandelt wird (zugelassen, blockiert oder geschützt) und wie ein IPSec-Peer authentifiziert wird.
In Szenarien mit isolierten Servern und Domänen (http://www.microsoft.com/technet/itsolutions/network/sdiso/default.mspx - engl.) setzen immer mehr Kunden von Microsoft IPSec ein. Um den geschützten und nicht geschützten Netzwerkverkehr korrekt zu konfigurieren, müssen Netzwerkadminstratoren die entsprechenden IPSec-Richtlinien konfigurieren. Auch wenn für viele Umgebungen einfache Richtlinien ausreichen, gibt es doch Umgebungen, die recht komplexe Richtlinien erfordern. Administratoren müssen zum Beispiel möglicherweise Richtlinien mit vielen Filtern, Regeln und Ausnahmen erstellen. So können Filter und Regeln für bestimmte Subnetze, Dienste auf Domänencontroller und DNS-Server notwendig sein.
Ein Teil der Komplexität der IPSec-Richtlinien in anspruchsvollen Umgebungen liegt in den Beschränkungen des IKE-Protokolls und seinen Implementierungen unter Windows XP und Windows Server 2003 begründet. Um diese Komplexität zu reduzieren und um weitere Features zu implementieren, unterstützen Windows Vista und Windows Server "Longhorn" AuthIP. AuthIP ist eine Gruppe von Erweiterungen für das bestehende IKE-Protokoll mit optionalen Flags und erweiterten Aushandlungsmethoden, die für eine bessere Sicherheit und Bereitstellung von IPSec sorgen. Zur Rückwärtskompatibilität mit Computern unter Windows XP oder Windows Server 2003 unterstützen Windows Vista und Windows Server "Longhorn" sowohl IKE als auch AuthIP.
AuthIP-Features
AuthIP bietet die folgenden Features:
| • | Authentifizierung des Benutzers |
| • | Authentifizierung mit mehreren Anmeldeinformationen |
| • | Verbesserte Aushandlung der Authentifizierungsmethode |
| • | Asymmetrische Authentifizierung |
Diese Features werden in den folgenden Abschnitten genauer beschrieben.
Benutzerauthentifizierung
Die Authentifizierung durch IKE ist unter Windows XP und Windows Server 2003 auf computerbasierte Anmeldeinformationen beschränkt - die Kerberos-Anmeldeinformationen des Computerkontos, ein Computerzertifikat oder ein vorab festgelegter Schlüssel. Wenn Sie den Zugriff auf eine Serverressource auf Basis von Benutzern einschränken wollen, muss die Anwendung eine Authentifizierung und Autorisierung auf Benutzerebene umsetzen. Indem der Zugriff auf die IP-Schicht auf authentifizierte Benutzer eingeschränkt wird, ist der Server besser geschützt. Die Anwendung erhält nur noch Anfragen von authentifizierten Benutzern.
AuthIP erlaubt eine Authentifizierung auf Benutzerebene und kann hierbei die folgenden Anmeldeinformationen nutzen:
| • | Kerberos-Anmeldeinformationen inklusive des Benutzerkontos |
| • | NTLM v2-Anmeldeinformationen (Windows NT/LAN Manager version 2) des Benutzerkontos |
| • | Ein Benutzerzertifikat |
| • | Ein Computerzertifikat |
Authentifizierung mit mehreren Anmeldeinformationen
Die Benutzerauthentifizierung kann mit oder ohne vorherige Authentifizierung über die Computer-Anmeldeinformationen geschehen. Sie können zum Beispiel den Computer mit Kerberos-Anmeldeinformationen authentifizieren und dann ein Benutzerzertifikat für die Authentifizierung des Benutzers verwenden. Dies stellt sicher, dass nur bestimmte Benutzer und bestimmte Computer eine Kommunikation mit dem Server aufbauen können. Mit Computer- und Benutzerauthentifizierung wird das Risiko durch Angriffe reduziert.
Weitere Informationen finden Sie auch im Artikel Internet Protocol Security Enforcement in the Network Access Protection Platform (engl.).
Verbesserte Aushandlung der Authentifizierungsmethode
IPSec-Peers können zwei oder mehr Authentifizierungsverfahren unterstützen. Mit IKE wird nur ein einziges Authentifizierungsverfahren ausgewählt und verwendet. Wenn dieses Verfahren fehlschlägt, scheitert auch die IKE-Aushandlung - und zwar auch dann, wenn noch weitere Verfahren zu Verfügung gestanden hätten.
Mit AuthIP werden alle alternativen Verfahren versucht. Die IKE-Authentifizierung schlägt erst dann fehl, wenn alle möglichen Aushandlungsverfahren scheitern.
Asymmetrische Authentifizierung
Es gibt IPSec-Szenarien, in denen sich die Authentifizierungsanforderungen für IPSec-Peers unterscheiden. Eine solche Situation wird als asymmetrische Authentifizierung bezeichnet. Sie treten zum Beispiel auf, wenn zwei IPSec-Peers über eine Firewall hinweg von einem Perimeternetzwerk in ein Intranet kommunizieren. Es gibt möglicherweise eine einseitige Vertrauensstellung zwischen der Gesamtstruktur des Perimeternetzwerkes und der Gesamtstruktur des Intranets. Dies ermöglicht es Benutzern, aus dem Intranet eine geschützte Kommunikation mit Computern im Perimeternetzwerk zu authentifizieren. Die Benutzer im Perimeternetzwerk können jedoch die Kommunikation mit den Computern im Intranet nicht authentifizieren.
Vor AuthIP konnte ein solches Szenario nur durch die komplexe Bereitstellung von Zertifikaten für die Computer beider Netzwerke umgesetzt werden. Mit AuthIP kann der ganze Prozess durch eine IPSec-Richtlinie vereinfacht werden, die eine Kerberos-Authentifizierung erfordert.
Schutz der Kommunikation mit einem Domänencontroller über IPSec
Unter Windows Server 2003 und Windows XP lautet die aktuelle Empfehlung von Microsoft, den Netzwerkverkehr zwischen Domänencontroller und Domänencomputern nicht mit IPSec zu schützen (der Netzwerkverkehr zwischen Domänencontroller wird allerdings sehr wohl empfohlen). Dies liegt daran, dass die Konfiguration von IPSec-Richtlinien sehr komplex werden kann, wenn der gesamte zwischen Domänencontroller und Domänencomputer ausgetauschte Netzwerkverkehr berücksichtigt werden soll. Außerdem könnte ein Computer, der kein Mitglied der Domäne ist, keinen Kontakt zu den Domänencontrollern aufnehmen, um der Domäne beizutreten.
Mit AuthIP unterstützen Windows Vista und Windows Server "Longhorn" abgesicherten Netzwerkverkehr zwischen Domänencomputern und Domänencontrollern in den folgenden Modi:
| • | Sie können IPSec-Richtlinien in der Domäne konfigurieren, mit denen automatisch erkannt wird, wann IPSec bei der Kommunikation zwischen Domänencomputern und Domänencontrollern verwendet werden soll. |
| • | Sie können IPSec-Richtlinien konfigurieren, mit denen bestimmter Netzwerkverkehr geschützt werden soll, dies jedoch nicht zwingend erforderlich ist. |
| • | Sie können IPSec-Richtlinien konfigurieren, die geschützte Verbindungen für Domänencontroller vorschreiben. |
Zusätzliche Informationen
Weitere Informationen zu Netzwerktechnologien unter Windows Vista finden Sie unter:
| • | |
| • | Neue Netzwerkfeatures in Windows Server "Longhorn" und Windows Vista |