IPSec konfigurieren
Im folgenden Kapitel
werden die IPSec Einstellungen für unser Testnetz
gezeigt. Mit Hilfe dieser Beispiele, sollte es kein Problem mehr darstellen
ein eigenes VPN zu konfigurieren.
Die Konfiguration des
Routing wird in folgende Kategorien unterteilt:
Um IPSec installieren
zu können, muss die MMC wie im vorherigen Kapitel
beschrieben, installiert sein. Starten Sie die MMC und laden Sie Ihre IP-Settings.
Doppelklicken Sie der Reihe nach auf "Local Computer
Policy", "Windows Settings"
und auf "IP Secutity Policies on Local Machine".
Die MMC sollte nun
wie folgt aussehen:
Hinzufügen
einer Policy
Wählen Sie "Action",
"Create IP Security Policy".
Der Wizard um eine
neue Policy zu erstellen, erscheint. Klicken Sie auf "Next
>".
Nun können Sie
im Feld "Name" Ihre Policy benennen.
Das Feld "Description" steht Ihnen für
Kommentare zur Verfügung.
Wenn Sie alles ausgefüllt haben, klicken Sie auf "Next
>".
Beim nächsten
Fenster müssen Sie unbedingt das Kästchen
"Activate the default response rule" deaktivieren.
Nun müssen Sie
nur noch kontrollieren, ob das Kästchen "Edit
properties"
aktiviert ist und auf "Finish"
klicken.
Sie haben nun die Security
Policy erstellt. Anschliessend müssen wir noch die
IPSec Filter definieren.
Definieren
der IPSec Filter
Die Definitionen der
IPSec Filter starten immer in
folgendem Fenster: <Our IPSec Properties>
Filter
<Tunnel mit SG001>
Nun beginnen wir mit
der Definition des Tunnels zwischen den
beiden Security Gateways.
Um einen neuen Filter
zu definieren, drücken Sie "Add..."
Folgendes PopUp Fenster
erscheint. Geben Sie dem Filter einen Namen.
In unserem Fall ist dies "SG1 to SG2"
(Security Gateway 1 to Secutity Gateway 2).
Im Feld "Description" können Sie
wieder Kommentare hinzufügen.
Klicken Sie "Add..." um weiterzufahren.
Nun werden wir die
Filtereigenschaften definieren. Im Feld "Source
Address",
müssen Sie "A specific IP Address"
wählen und unten die IP-Adresse
des anderen Gateways, in unserem Fall "160.85.131.64",
eintippen. Im
Feld
"Destination address" müssen Sie
"My IP Address" wählen.
Das Wichtigste ist,
dass Sie den Punkt "Mirrored. Also match packets
with the
exact opposite source and destination addresses" deaktivieren.
Dieses
Feature kann nur bei Transport Mode-Verbindungen gebraucht werden.
Klicken Sie anschliessend
"OK".
Markieren Sie im folgenden
Fenster unsere neue Regel "SG1 to SG2"
und klicken Sie auf "Filter Action".
In diesem Fenster müssen
Sie "Require Security" auswählen
und auf
"Connection Type" klicken.
Nun müssen Sie
"Local Area Network" selektieren und
auf "Tunnel Setting" klicken.
Im diesem Fenster müssen
Sie "The tunnel endpoint is specified by this IP
Address"
anwählen und die IP Adresse des anderen Security Gateways, in unserem
Falle
"160.85.131.63", eingeben. Klicken Sie
auf "Autenthication Methods".
Wir haben X.509 Zertifikate
gelöst und wollen diese als Authentifikation
gebrauchen. Markieren Sie dafür "Kerberos"
und klicken Sie auf "Edit...".
Markieren Sie "Use
a certificate from this certificate authority (CA)"
und klicken Sie auf "Browse...".
Markieren Sie nun Ihre
CA. In unserem Falle ist dies "SecTestCA3".
Klicken Sie anschliessend auf "OK".
Klicken Sie "OK".
Klicken Sie "Close".
Im folgenden Bild sehen
Sie den erfolgreich hinzugefügten Filter "SG1
toSG2".
Bei Tunnel Modes müssen
wir immer die Filter in beide Richtungen
definieren. Daher müssen wir jetzt das Filter "SG2 to SG1"
kreieren.
Um
den neuen Filter zu definieren, drücken Sie "Add...".
Folgendes PopUp Fenster
erscheint. Geben Sie dem Filter einen Namen.
In unserem Fall ist dies "SG2 to SG1"
(Security Gateway 2 to Secutity Gateway 1).
Im Feld "Description" können Sie
wieder Kommentare hinzufügen.
Klicken Sie "Add..." um weiterzufahren.
Nun werden wir die
Filtereigenschaften definieren. Wählen Sie im Feld
"Source Address", "My
IP Address". Im Feld "Destination address",
müssen Sie
zuerst "A specific IP Address" wählen
und danach unten die IP-Adresse des anderen
Gateways, in unserem Fall "160.85.131.64",
eintippen.
Das Wichtigste ist,
dass Sie den Punkt "Mirrored. Also match packets
with the exact
opposite source and destination addresses" deaktivieren. Dieses
Feature kann
nur bei Transport Mode-Verbindungen gebraucht werden.
Klicken Sie anschliessend
"OK".
Markieren Sie im folgenden
Fenster unsere neue Regel "SG2 to SG1"
und klicken sie auf "Filter Action".
In diesem Fenster müssen
Sie "Require Security" auswählen
und auf
"Connection Type" klicken.
Nun müssen Sie
"Local Area Network" selektieren und
auf "Tunnel Setting" klicken.
Im diesem Fenster müssen
Sie "The tunnel endpoint is specified by this IP
Address"
anwählen und die IP Adresse des anderen Security Gateways, in unserem
Falle
"160.85.131.64", eingeben. Klicken Sie
nun auf "Autenthication Methods".
Wir haben X.509 Zertifikate
gelöst und wollen diese als Authentifikation
gebrauchen. Markieren Sie dazu "Kerberos"
und klicken Sie auf "Edit...".
Markieren Sie "Use
a certificate from this certificate authority (CA)"
und klicken Sie auf "Browse...".
Markieren Sie nun Ihre
CA. In unserem Falle ist dies "SecTestCA3".
Klicken Sie anschliessend auf "OK".
Klicken Sie "OK".
Klicken Sie "Close".
Im folgenden Bild sehen
Sie den erfolgreich hinzugefügten Filter "SG2
toSG1".
Filter
< Transportmode SG002 und NT-PGP 1>
Nun definieren wir
den neuen Filter, um den Transport Mode zwischen dem
Security Gateway 2 (SG002) und der Workstation (NT-PGP 1) aufzubauen.
Um
den neuen Filter zu definieren, drücken Sie "Add...".
Folgendes PopUp Fenster
erscheint. Geben Sie dem Filter einen Namen.
In unserem Fall ist dies "TP NT-PGP1 and SG2"
(Transport Mode NT-PGP 1
and Secutity Gateway 2). Im Feld "Description"
können Sie erneut
Kommentare
hinzufügen. Klicken Sie "Add..."
um weiterzufahren.
Nun werden wir die
Filtereigenschaften definieren. Wählen Sie im Feld
"Source Address", "My
IP Address". Im Feld "Destination address",
müssen Sie
zuerst "A specific IP Address" wählen
und danach unten die IP-Adresse der
Workstation (NT-PGP 1), in unserem Fall "160.85.131.59",
eintippen.
Das Wichtigste ist,
dass Sie den Punkt "Mirrored. Also match packets
with the exact
opposite source and destination addresses" aktivieren.
Dank diesem Feature
muss man beim Transport Mode nicht beide Filterwege eingeben.
Klicken Sie anschliessend
"OK".
Markieren Sie im folgenden
Fenster unsere neue Regel "TP NT-PGP1 and SG2"
und klicken Sie auf "Filter Action".
In diesem Fenster müssen
Sie "Require Security" auswählen
und auf
"Connection Type" klicken.
Nun müssen Sie
"Local Area Network" selektieren und
auf "Tunnel Setting" klicken.
Im diesem Fenster müssen
Sie "This rule does not specify an IPSec tunnel"
anwählen. Klicken Sie anschliessend auf "Autenthication
Methods".
Wir haben X.509 Zertifikate
gelöst und wollen diese als Authentifikation
gebrauchen. Markieren Sie dazu "Kerberos"
und klicken Sie auf "Edit...".
Markieren Sie "Use
a certificate from this certificate authority (CA)"
und klicken Sie auf "Browse...".
Markieren Sie Ihre
CA. In unserem Falle ist dies "SecTestCA3".
Klicken Sie anschliessend auf "OK".
Klicken Sie "OK".
Klicken Sie "Close".
Im folgenden Bild sehen
Sie den erfolgreich hinzugefügten Filter
"TP NT-PGP1 to SG1".
Filter
< Transportmode SG002 und NT-PGP 2>
Nun definieren wir
den neuen Filter, um den Transport Mode zwischen dem
Security Gateway 2 (SG002) und der Workstation (NT-PGP 2) aufzubauen.
Um
den neuen Filter zu definieren, drücken Sie "Add...".
Folgendes PopUp Fenster
erscheint. Geben Sie dem Filter einen Namen.
In unserem Fall ist dies "TP NT-PGP2 and SG2"
(Transport Mode NT-PGP 2
and Secutity Gateway 2). Im Feld "Description"
können Sie erneut
Kommentare
hinzufügen. Klicken Sie "Add..."
um weiterzufahren.
Nun werden wir die
Filtereigenschaften definieren. Wählen Sie im Feld
"Source Address", "My
IP Address". Im Feld "Destination address"
müssen Sie
zuerst "A specific IP Address" wählen
und danach unten die IP-Adresse der
Workstation (NT-PGP 2), in unserem Fall "160.85.131.62",
eintippen.
Das Wichtigste ist,
dass Sie den Punkt "Mirrored. Also match packets
with the exact
opposite source and destination addresses" aktivieren.
Dank diesem Feature
muss man beim Transport Mode nicht beide Filterwege eingeben.
Klicken Sie anschliessend
"OK".
Markieren Sie im folgenden
Fenster unsere neue Regel "TP NT-PGP2 and SG2"
und klicken Sie auf "Filter Action".
In diesem Fenster müssen
Sie "Require Security" auswählen
und auf
"Connection Type" klicken.
Nun müssen Sie
"Local Area Network" selektieren und
auf "Tunnel Setting" klicken.
In diesem Fenster müssen
Sie "This rule does not specify an IPSec tunnel"
anwählen. Klicken Sie anschliessend auf "Autenthication
Methods".
Wir haben X.509 Zertifikate
gelöst und wollen diese als Authentifikation
gebrauchen. Markieren Sie dazu "Kerberos"
und klicken Sie auf "Edit...".
Markieren Sie "Use
a certificate from this certificate authority (CA)"
und klicken Sie auf "Browse...".
Markieren Sie Ihre
CA. In unserem Falle ist dies "SecTestCA3".
Klicken Sie anschliessend auf "OK".
Klicken Sie "OK".
Klicken Sie "Close".
Im folgenden Bild sehen
Sie den erfolgreich hinzugefügten Filter
"TP NT-PGP2 to SG2".
Aktivieren
/ Deaktivieren einer Policy
Wenn die Policy und
die Filter definiert sind, sieht man dies im MMC.
In unserem Fall ist "Our IPSec" hinzugefügt worden.
Zum Aktivieren einer
Policy klicken Sie mit der rechten Maustaste auf
sie und wählen Sie "Assign".
Zum Deaktivieren einer
Policy klicken Sie mit der rechten Maustaste auf
sie und wählen Sie "Un-assign".
|
