Freigeben über

IPsec-Konfiguration

  • Artikel

Die Windows-Filterplattform (WFP) ist die zugrunde liegende Plattform für die Windows-Firewall mit erweiterter Sicherheit. WFP wird verwendet, um Netzwerkfilterregeln zu konfigurieren, einschließlich Regeln zum Sichern des Netzwerkdatenverkehrs mit IPsec. Anwendungsentwickler können IPsec direkt mithilfe der WFP-API konfigurieren, um ein differenzierteres Netzwerkdatenverkehr-Filtermodell zu nutzen als das Modell, das über das Microsoft Management Console (MMC)-Snap-In für die Windows-Firewall mit erweiterter Sicherheit verfügbar gemacht wird.

Was ist IPsec?

Internet Protocol Security (IPsec) ist eine Reihe von Sicherheitsprotokollen, die verwendet werden, um IP-Pakete vertraulich über das Internet zu übertragen. IPsec war früher für alle IPv6-Implementierungen obligatorisch (siehe jedoch IPv6-Knotenanforderungen; und optional für IPv4.

Gesicherter IP-Datenverkehr verfügt über zwei optionale IPsec-Header, die die Typen des kryptografischen Schutzes identifizieren, die auf das IP-Paket angewendet werden, und Informationen zum Decodieren des geschützten Pakets enthalten.

Der ESP-Header (Security Payload) wird zum Schutz vor böswilligen Änderungen verwendet, indem Authentifizierung und optionale Verschlüsselung durchgeführt werden. Er kann für Datenverkehr verwendet werden, der Netzwerkadressübersetzungsrouter (NETWORK Address Translation, NAT) durchläuft.

Der Authentifizierungsheader (AH) wird nur zum Schutz vor böswilligen Änderungen verwendet, indem die Authentifizierung ausgeführt wird. Es kann nicht für Datenverkehr verwendet werden, der NAT-Router durchläuft.

Weitere Informationen zu IPsec finden Sie auch unter:

technische Referenz IPsec

Was ist IKE?

Internet Key Exchange (IKE) ist ein Schlüsselaustauschprotokoll, das Teil des IPsec-Protokollsatzes ist. IKE wird beim Einrichten einer sicheren Verbindung verwendet und führt den sicheren Austausch geheimer Schlüssel und anderer schutzbezogener Parameter ohne Eingreifen des Benutzers durch.

Weitere Informationen zu IKE finden Sie auch unter:

Exchange- für Internetschlüssel

Was ist AuthIP?

Authenticated Internet Protocol (AuthIP) ist ein Schlüsselaustauschprotokoll, das IKEv1 wie folgt erweitert.

Während IKEv1 nur Computerauthentifizierungsanmeldeinformationen unterstützt, unterstützt AuthIP auch Folgendes:
  • Benutzeranmeldeinformationen: NTLM, Kerberos, Zertifikate.
  • Integritätszertifikate für Netzwerkzugriffsschutz (Network Access Protection, NAP).
  • Anonyme Anmeldeinformationen, die für die optionale Authentifizierung verwendet werden.
  • Kombination aus Anmeldeinformationen; Beispielsweise eine Kombination aus Computer- und Benutzer-Kerberos-Anmeldeinformationen.

AuthIP verfügt über einen Authentifizierungs-Wiederholungsmechanismus, der alle konfigurierten Authentifizierungsmethoden überprüft, bevor die Verbindung fehlschlägt.
AuthIP kann mit sicheren Sockets verwendet werden, um anwendungsbasierten IPsec-gesicherten Datenverkehr zu implementieren. Es bietet Folgendes:

  • Authentifizierung und Verschlüsselung pro Socket. Weitere Informationen finden Sie unter WSASetSocketSecurity.
  • Clientidentitätswechsel. (IPsec stellt den Sicherheitskontext dar, unter dem der Socket erstellt wird.)
  • Überprüfung des eingehenden und ausgehenden Peernamens. Weitere Informationen finden Sie unter WSASetSocketPeerTargetName.

Anmerkung

Microsoft empfiehlt die Verwendung von IKEv2, wenn möglich.

Was ist eine IPsec-Richtlinie?

Eine IPsec-Richtlinie ist eine Reihe von Regeln, die bestimmen, welche Art von IP-Datenverkehr mithilfe von IPsec gesichert werden muss und wie dieser Datenverkehr gesichert werden kann. Nur eine IPsec-Richtlinie ist auf einem Computer gleichzeitig aktiv.

Um mehr über die Implementierung von IPsec-Richtlinien zu erfahren, öffnen Sie das MMC-Snap-In für lokale Sicherheitsrichtlinien (secpol.msc), drücken Sie F1, um die Hilfe anzuzeigen, und wählen Sie dann "Erstellen und Verwenden von IPsec-Richtlinien" aus dem Inhaltsverzeichnis aus.

Weitere Informationen zu IPsec-Richtlinien finden Sie auch unter:

Übersicht über IPsec-Richtlinienkonzepte
Beschreibung einer IPsec-Richtlinie

So verwenden Sie WFP zum Konfigurieren von IPsec-Richtlinien

Die Microsoft-Implementierung von IPsec verwendet die Windows-Filterplattform zum Einrichten von IPsec-Richtlinien. IPsec-Richtlinien werden implementiert, indem Filter auf verschiedenen WFP-Ebenen wie folgt hinzugefügt werden.

  • Auf den FWPM_LAYER_IKEEXT_V{4|6}-Ebenen werden Filter hinzugefügt, die die von den Schlüsselmodulen (IKE/AuthIP) während des Hauptmodus (MM)-Austauschs verwendeten Aushandlungsrichtlinien angeben. Authentifizierungsmethoden und kryptografische Algorithmen werden auf diesen Ebenen angegeben.

  • Auf der FWPM_LAYER_IPSEC_V{4|6}-Ebenen werden Filter hinzugefügt, die die von den Schlüsselmodulen während des Austauschs im Schnellmodus (QM) und im erweiterten Modus (EM) verwendeten Aushandlungsrichtlinien angeben. IPsec-Header (AH/ESP) und kryptografische Algorithmen werden auf diesen Ebenen angegeben.

    Eine Aushandlungsrichtlinie wird als Richtlinienanbieterkontext angegeben, der dem Filter zugeordnet ist. Das Schlüsselmodul listet die Kontexte des Richtlinienanbieters basierend auf den Datenverkehrsmerkmalen auf und ruft die Richtlinie ab, die für die Sicherheitsverhandlung verwendet werden soll.

    Anmerkung

    Die WFP-API kann verwendet werden, um die Sicherheitszuordnungen (Security Associations, SAs) direkt anzugeben und daher die Schlüsselmodul-Aushandlungsrichtlinie zu ignorieren.

     

  • Auf den Ebenen FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} und FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} fügen Filter hinzu, die Legenden aufrufen und bestimmen, welcher Datenverkehrsfluss gesichert werden soll.

  • Fügen Sie auf der FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6}-Ebenen Filter hinzu, die Identitätsfilterung und Anwendungsrichtlinie implementieren.

Das folgende Diagramm veranschaulicht die Interaktion der verschiedenen WFP-Komponenten im Hinblick auf den IPsec-Vorgang.ipsec-Konfiguration mithilfe der Windows-Filterplattform

Nachdem IPsec konfiguriert wurde, wird es in WFP integriert und erweitert die WFP-Filterfunktionen, indem Informationen bereitgestellt werden, die als Filterbedingungen auf den ALE-Autorisierungsebenen (Application Layer Enforcement) verwendet werden. Beispielsweise stellt IPsec die Remotebenutzer- und Remotecomputeridentität bereit, die WFP auf der ALE-Verbindung verfügbar macht und Autorisierungsebenen akzeptiert. Diese Informationen können für eine differenzierte Remoteidentitätsautorisierung durch eine WFP-basierte Firewallimplementierung verwendet werden.

Nachfolgend finden Sie eine Beispielisolationsrichtlinie, die mit IPsec implementiert werden kann:

  • FWPM_LAYER_IKEEXT_V{4|6}-Ebenen – Kerberos-Authentifizierung.
  • FWPM_LAYER_IPSEC_V{4|6}-Ebenen – AH/SHA-1.
  • FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} und FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6}-Ebenen – Aushandlungsermittlung für den gesamten Netzwerkdatenverkehr.
  • FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6}-Ebenen – IPsec für den gesamten Netzwerkdatenverkehr erforderlich.

WFP-Ebenen

Filterschichtbezeichner

ALE-Ebenen

Mit WFP-API implementierte IPsec-Richtlinienszenarien:

transport mode

transport mode negotiation discovery mode

Transportmodus für aushandlungsermittlung im Grenzmodus

Tunnelmodus

garantierte Verschlüsselung

Remoteidentitätsautorisierung

manuellen IPsec-SAs

IKE/AuthIP-Ausnahmen

IPsec-Lösungen:

Server- und Domänenisolation