Auf einer DVD haben wir alle TechNet Webcasts, die wir im Zeitraum September 2004 bis April 2005 veranstaltet haben, zusammengestellt. Der Vorteil für Sie: Die Vorträge stehen Ihnen jederzeit offline zur Verfügung – unter einer grafischen Benutzeroberfläche mit Suchfunktionen.
(Link zur DVD: http://www.microsoft.com/germany/eform/default.aspx?formid=233883)cu//.<
IPsec steht für „Internet Protocol Security“IPSec ist eigentlich eine Rückportierung von IPv6 zur Absicherung von IPv4. In IPv6 ist IPSec bereits fester Bestandteil. Mit IPSec wird Zugriffskontrolle, Datenintegrität, Verschlüsselung und Authentifizierung gewährleistet. Da IPSec jedoch auf Layer 3 arbeitet, werden diese Dienste nur für IP–Pakete und darüberliegende Protokolle angeboten.
Die IPSec Dienste werden durch eines von zwei Protokollen bereitgestellt, durch den Authentication Header (AH) bzw. durch Encapsulating Security Payload (ESP). Ferner wird Internet Key Exchange (IKE) als Protokoll zum Schlüsseltausch bzw. zur Schlüsselverwaltung gemeinsam mit dem Internet Security Association and Key Management Protocol (ISAKMP) verwendet.
Hier eine Übersicht der entsprechend relevanten RFC:RFC 2401 Sicherheitsarchitektur für das Internetprotokoll RFC 2402 Authentication HeaderRFC 2406 Encapsulating Security Payload RFC 2407 IPsec Domain of Interpretation (IPsec DoI) RFC 2408 Internet Security Association and Key Management Protocol (ISAKMP) RFC 2409 Internet Key Exchange (IKE)
Security Associations (SA)Das SA–Konzept ist Grundlage für den Einsatz von IPSec. Dort wird definiert, welche Sicherheitsmaßnahmen für ein Paket herangezogen werden. SAs können dynamisch zwischen Sender und Empfänger eingerichtet werden. Eine SA wird durch drei Parameter identifiziert:
Wichtig ist, dass die Source IP–Adresse hier nicht verwendet wird. Dies hat den Grund, da eine SA nur zur Verbindung zweier Stationen und zum Senden der Daten in eine Richtung verwendet wird. Wenn bidirektional Daten gesendet werden sollen, müssen zwei SAs eingerichtet werden.
Einen “IPsec tunnel” gibt es nicht!Es gibt jedoch zwei unterschiedliche Typen innerhalb der IPsec Spezifikation: Transport mode und Tunnel mode
Eine SA kann grundsätzlich in einem dieser beiden Modi arbeiten. Der Transport Mode wurde entwickelt, um Protokolle höherer Layer zu schützen. Im Tunnel Mode wird das ursprüngliche IP–Paket einfach in ein neues Paket eingepackt. Somit wird das gesamte Paket, inklusive Header, verschlüsselt, womit per Tunnel Mode größere Sicherheit für das ursprüngliche Paket gewährleistet ist.
Beim Transport Mode der ursprüngliche IP–Header modifiziert und ein Security Header wird dahinter platziert. Im Header steht nun, dass nicht sofort die Daten folgen, sondern zuvor noch ein Security Header.
Im Tunnel Mode wird der Header hingegen nicht modifiziert, sondern das gesamte Paket wird die Nutzlast für ein neues IP–Paket, mit neuem Header.
Zusätzlich unterscheiden wir noch die beiden Methoden AH und ESP.
Authenticaticated Header (AH)AH erlaubt eine Authentifizierung des Pakets. AH verwendet den Authentication Header, um das Paket zu authentifizieren. Dieser Header wird im IP–Paket nach dem IP–Header platziert. Natürlich kann das AH – Protokoll im Transport und im Tunnel Mode eingesetzt werden.
Im Transport Mode wird der ursprüngliche IP–Header der Header des neuen Pakets und dahinter kommt der AH. Der Vorteil ist, dass hier nur wenige zusätzliche Bytes für das Paket benötigt werden. Doch da das ursprüngliche IP–Paket als Header verwendet wird, kann dieser Modus nur zwischen zwei Hosts verwendet werden, da die Source und Destination IP–Adresse nicht geändert werden kann.
Im Tunnel Mode wird ein neuer IP–Header generiert, hinter welchem der AH platziert wird. Das ursprüngliche IP–Paket wird die Nutzlast dieses neuen Pakets. Diese Variante ist somit sicherer, da das gesamte Originalpaket verschlüsselt übertragen wird.
Encapsulated Security Payload (ESP)Genau wie bei AH werden auch bei ESP–Verwendung zusätzliche Informationen zum IP–Paket hinzugefügt. Doch ESP verwendet nicht nur ein zusätzliches Feld wie AH, sondern es werden drei Teile an verschiedenen Stellen im IP–Header platziert. Diese Teile sind:
Bei Verwendung vom Transport Mode wird wieder das ursprüngliche IP–Paket modifiziert und dahinter der ESP-Header platziert. Hinter das Paket wird außerdem der ESP-Trailer und das ESP Authentication Feld eingefügt. Falls das ursprüngliche IP–Paket bereits IPSec Security Header (z.B. AH) beinhaltet hat, wird der ESP Header vor diese Header gestellt. Da der Originalheader verwendet wird, kann die Source und Destination IP–Adresse nicht verändert werden. Somit kann auch ESP Transport Mode nur zwischen zwei Hosts verwendet werden.
Bei ESP im Tunnel Mode wird ein neuer IP–Header generiert, hinter welchem der ESP-Header gestellt wird. Danach folgt das ursprüngliche IP–Paket, samt Header, als Nutzlast. Am Ende des Pakets wird der ESP Trailer und das ESP Authentication Feld hinzugefügt. Dieser Modus erlaubt die Verschlüsselung des gesamten Originalpakets, inklusive Header und ist somit sicherer.
Unterschied: AH – ESPBei AH wird nur eine Authentifizierung gewährleistet, während ESP zusätzlich zur Authentifizierung auch das Paket verschlüsselt.
Internet Key Exchange (IKE)IKE ist ein Protokoll zur Schlüsselverwaltung. ESP und AH spezifizieren zwar, wie die Security Dienste den IP–Paketen zugeordnet werden sollen, es wird aber nicht geklärt, wie SAs eingerichtet werden. Hierbei gibt es zwei Möglichkeiten. Die manuelle Konfiguration durch den Administrator, oder die eher bevorzugte dynamische SA–Einrichtung per IKE. Aufgebaut ist IKE auf dem ISAKMP–Framework.
Internet Security Association and Key Management Protocol (ISAKMP)Hier wird definiert, wie ein Endpunkt authentifiziert wird, wie eine SA erstellt und verwaltet wird, welche Techniken zur Schlüsselerzeugung angewandt werden und wie die Bedrohung durch diverse Angriffe vermindert werden kann. Dies ist wichtig, um eine sichere Verbindung und Kommunikation über das Internet gewährleisten zu können. ISAKMP kann im Zusammenhang mit verschiedenen Protokollen verwendet werden. Zum Schlüsseltausch verwendet ISAKMP das Diffie Hellman Verfahren. Es kann jedoch auch mit einem Shared Key gearbeitet werden.
Mögliche AngriffsszenarienOft werde ich gefragt wie IPsec sich bei "replay Attacken" oder "IP Spoofing" verhält.
Replay Attack:Im Falle eines Replay Angriffs sammelt der Angreifer alte Nachrichten, um diese später gezielt wieder einzuspielen. Die Sequenznummer in den Paketen des ESP und des AH verhindert die Wiedereinspielung von alten Daten, sofern auch die ESP-Pakete durch Authentifizierung geschützt sind, da Pakete mit einer alten Sequenznummer oder ungültigem MAC verworfen werden. Des Weiteren enthalten die Cookies Zeiteinträge, die ebenfalls einen Replay Angriff aufzeigen.
IP Spoofing:Beim IP Spoofing ändert ein Angreifer seine IP–Adresse, um z.B. an Daten heranzukommen, die nur aus einem internen Firmennetz abrufbar sind. Die Fälschung der IP–Adresse kann mit IPSec durch Verwendung des AH entdeckt und blockiert werden, da der Angreifer nicht im Besitz des entsprechenden Schlüssels ist, um einen gültigen AH zu einem gefälschten Paket zu erzeugen.
Sicherheitslücke in IPsec!Drei Angriffsmöglichkeiten die herstellerunabhängig auf IPsec Implementierungen angewendet werden können, wurden bisher identifiziert. Wer Encapsulating Security Payload (ESP) im Tunnel mode mit "confidentiality only" nutzt, oder eine Konfiguration unter Verwendung von AH zur Erhaltung der Integrität verwendet, ist anfällig gegen diese Sicherheitslücke.
Detailiertere Informationen finden dazu finden Sie hier: NISCC Vulnerability Advisory IPSEC – 004033
Weitere Informationen zum Thema Netzwerverschlüsselung
Was Sie schon immer über TCP/IP wissen wollten Schützen von Netzwerken mit IPSec Server- und Domänenisolierung mithilfe von IPSec und Gruppenrichtlinien Windows Server 2003 Security Guide
cu//.<
Ergänzend zum vorhergehenden Eintrag:
Lassen Sie sich per RSS Feed automatisch über neue Security Bulletins benachrichtigen. Siehe dazu auch: http://www.microsoft.com/germany/technet/sicherheit/bulletins/default.mspx
Die XML-Datei, die dem Feed zu Grunde liegt, wird jeweils zur Veröffentlichung neuer Bulletins aktualisiert. Wie auf den US-Seiten berücksichtigt sie ausschließlich neue Security Bulletins. Revisions oder Advisories werden nicht in die Datei aufgenommen.
Ein sehr interessante Information habe ich auf dem blog meines Kollegen Daniel gefunden: Für alle, die viel mit der Microsoft Knowledge Base arbeiten, gibt es Unterstützung auch in Form von RSS. Weitere Infos dazu gibt es bei Daniel (Always Up To Date - Microsoft Knowledge Base, TechNet und MSDN via RSS).
cu,//.<
P.S.: es ist mir stehts eine Freude, Dich glücklich zu machen Birgit ;-)
Aufgrund des starken Interesses haben wir unsere Session (CHT063 - Anti Spyware and Malware Security) gleich zwei mal auf der TechEd gehalten. Beim 2ten mal auch mit einen interessanten Gast: Mark Russinovich (Chief Software Architect and co-founder of Winternals Software). Wie immer hat es unheimlich Spass gemacht mit den internationalen Kollegen eine solche Session zu bestreiten!
(Stephen Lamp, Michael Kalbe, Tony Krijnen, Mark Russinovich)
Tony, Mark and Stephen thank you very much for your support!
Sicherheit ist und bleibt eines der Top-Themen, da Unternehmen wie Privatanwender Angriffe auf die IT-Sicherheit auch in Zukunft begleiten werden. Dabei ist Sicherheit kein statischer Zustand, der sich nur durch einmalige Maßnahmen herstellen lässt: Vielmehr handelt es sich um eine fortwährende Aufgabe. Mit den Weiterentwicklungen WSUS und Microsoft Update bietet Microsoft die Möglichkeit, Computer noch umfassender und gezielter als bislang zu schützen. Das Security-Scanning-Tool MBSA wurde ebenfalls deutlich erweitert. Der Microsoft Basline Security Analyzer 2.0 steht seit dem 01.07.05 zum Download zur Verfügung und wartet mit entsprechend neuen Funktionen auf:
• Severity Ratings• Locally and remotely scan for Office XP or later security updates• Added guidance for locating updates and necessary actions• CVE-IDs for supported updates• Improved help content• Windows Server Update Services compatibility• Automatic Microsoft Update registration and agent update• Support for detection of updates on 64bit Windows and Windows XP EmbeddedFür alle Umgebungen in denen der WSUS bereits erfolgreich implementiert wurde ist der MBSA 2.0 eine Sinnvolle Ergänzung.
(Link: http://www.microsoft.com/technet/security/tools/mbsahome.mspx)
Besuchen Sie mich auf der TechEd in Amsterdam in einer meiner Sessions:
CHT063 Anti Spyware and Malware Security Tony Krijnen , Michael Kalbe Tue Jul 5 14:45 - 16:00 , Wed Jul 6 18:15 - 19:30 Join us and share your experiences with Enterprise Anti-Spyware solutions, problems and challenges. As more and more spammers see there e-mails blocked they turn to Spyware, Add ware and browser hijacks to get their messages through. These are new threats for the enterprise. What are you doing to block malicious software? The main goal of this session is to share and listen to best practices with your peers.