IPSec mellom domenekontrollere

[petterg]

Har et windows nett med domenekontroller på win2003 server. Bruker ipsec mellom arbeidsstasjoner og servere. Det har vist seg at kommunikasjon til domenekontroller må være ukryptert for at brukere skal kunne logge seg på arb.stasjonene. (Hvis noen har en løsning på dette setter jeg pris på info!)

 

Har nå tenkt å sette opp en ekstra domenekontroller. Er det noen mulighet til å sette opp slik at kommunikasjon mellom domenekontrollerene går over ipsec?

[tyldum]

Ja, og det er vanlig design der du vil ha felles AD i 2 ulike og ellers adskilte nett.

 

Se f.eks http://www.microsoft.com/downloads/details...&DisplayLang=en

 

Husk at dersom dette er et fullswitchet nettverk (kun switcher, ingen rutere) og du kontrollerer infrastrukturen finnes det bedre måter å ivareta sikkerheten på enn å benyttte ipsec ut til klientene.

[petterg]

det er fullswitchet, ja.

Poenget med kryptering er at folk skal kunne ha med private laptoper og få tilgang til nett og printere, uten at ulumskheter på deres laptoper skal snappe opp det som går av trafikk ellers på nettet.

Har prøvd å ha alle patchepunkter som ikke brukes av firma pc'ne på eget net, men folk låner kabler fra kontor pc'n, og kommer derfor på det interne nettet med sin laptop.

Portbasert løsning fungerer altså ikke. Det eneste jeg sitter igjen med da er maskinbasert kryptering, og da virker ipsec å være det greieste for windows miljø.

 

Hvilken type løsning tenkte du på?

[tyldum]

Mer i retning av dynamiske VLAN (802.1x bestemmer VLAN) og begrensning på antall MAC per port.

Fullswitchet nett vil ikke gi en angriper mulighet til å sniffe mer enn enn det som går til/fra den aktuelle PC'en. Jeg klarer ikke å se hva IPsec gir av sikkerhet i dette.

 

Begrenser du hver port til 1 MAC-adresse kan ikke en angriper spoofe flere MAC-adresser for så å lure switchingen. Kombinert med aging slipper du fort administrasjon også.

[petterg]

Det er to mål med dette:

Dette er et firma som holder til på flere steder i samme bygård. Det ligger da kabler og et par switcher på steder hvor utenforstående teoretisk kan klippe kabel, eller komme til et koblingspunkt for å kunne sette på f.x en hub. Trafikk bør derfor krypteres.

Har vurdert vlan og kommet frem til at det blir for lett å bryte for noen som har den rette kunnskapen.

Dette kunne man ha løst med f.x to routere og en vpn tunell for hvert av de utsatte kabelstrekkene, men vpnroutere med den nødvendige båndbredden ble for dyrt.

 

Det andre er som nenvt at ikke-godkjente pc'r ikke skal ha mulighet til å komme inn på servere eller andre pc'r. Når det gjelder andre pc'r løser en brannmur det meste med henblikk på fremmede pc'r, men å sette opp brannmurregler på serveren blir litt værre om man ikke skal sett MAC filter for hver eneste arb.stasjon. Tanken var da å sette at serverene skal kreve IPSec. Mulig at 802.1x kan være en bedre løsning på dette? I såfall kan man klare seg med ipsec på bare pc'ne som må kommunisere igjennom "usikre kabler"

[GVS]

Petterg, du skal klare deg med IPsec. Støtter alle klienter IPsec (win2k,XP,vista)?

Har du satt Group Policy til Require Security på DC?

Tilgang til ressursene må begrenses til domenebrukere.

Hvis du har en skikkelig DHCP server, kan du sette at kun godkjente klienter (MAC adresse) får IP.

[petterg]

Petterg, du skal klare deg med IPsec. Støtter alle klienter IPsec (win2k,XP,vista)?

Har du satt Group Policy til Require Security på DC?

Tilgang til ressursene må begrenses til domenebrukere.

Hvis du har en skikkelig DHCP server, kan du sette at kun godkjente klienter (MAC adresse) får IP.

7979579[/snapback]

 

 

Problemet er at hvis jeg setter ipsec mellom domenekontroller og klienter blir det umulig å logge seg inn på klientene med en domenebruker. Om jeg setter på ipsec etter å ha logget inn fungerer alt, helt til brukeren f.eks skal endre sitt passord eller logge ut / inn på nytt.

Jeg prøvde å sette på at ukryptert skal aksepteres dersom ipsec ikke gir riktig respons. Da virker det, men innloggin tar 8 minutter.

 

Mulig man kan løse dette ved å kjøre ukryptert på enkelte porter? I så fall, hvilke porter?

[GVS]

Kjører du brannmur internt?

[reset]

Har du konfigurert lokal sikkerhets policy på arbeidsstasjonen?

 

Start - Programmer - Administrative verktøy - Lokal sikkerhetspolicy

 

Her kan du si noe om hvordan klientmaskinen din skal behandle forespørsler fra servere som ber om sikkerhet.

 

Husk at du må tilordne en ipsec policy før den trer i kraft, det er også mulig å skreddersy de ulike standardkonfiugrasjonene helt etter ditt eget behov.

[petterg]

På testmaskinene er brannmur slått av.

 

Har prøvd både med lokal ipsec policy og domene ipsec policy. Styrt fra domene blir all trafikk mellom klient og domenekontroller ukryptert. Alternativt kan jeg sette at den skal kryptere, og da går det ikke trafikk i det heletatt. (Får ikke logget inn.)

Med local policy får jeg til kryptert forbindelse til domenekontroller, men det tar altså 8 minutter å logge inn med fallback til ukryptert. Alle domeneinstruksjoner (f.x. endre passord) tar også evigheter før fallback til ukryptert.

[reset]

Kan du si helt konkret hvilke innstillinger du setter på server, og hvilke innstillinger du setter på klient?

[petterg]

Opprettet ny IP Security Policy med følgende:

IP filter:

source: My IP

Destination: subnet: 192.168.150.0 / 255.255.255.0

Mirrored

Protocol: Any

 

Filter Action:

Negotiate security

Methodes: Integrity and encryption

*Accept unsecure communication, but respond using IPSec

*Allow unsecure communication with non-IPSec aware computers

 

Authentication:

Preshared Key= "1IkkeVeldigLangTekst4IPSec"

 

Tunnel:

no tunnel

 

COnnection type:

All

 

Om valgene merket * er av kan ikke klienter logge seg inn. Om de er på tar det 8 minutter å logge inn.

 

Har prøvd det samme både som group policy under active directory og lokalt på både PC og server. Resultatet er det samme.

 

Har også prøvd denne:

http://www.microsoft.com/downloads/details...&displaylang=en

Den har en regel som sier at alle kan snakke med domenekontroller ukryptert - og det er kjernen av problemet - ønsker kryptering mellom klient og domenekontroller uten at det sperrer for innlogging.

[sumptrollet]

Mulig at 802.1x kan være en bedre løsning på dette? I såfall kan man klare seg med ipsec på bare pc'ne som må kommunisere igjennom "usikre kabler"

7961656[/snapback]

 

802.1X er nok den beste løsningen for å hindre at folk kobler opp uautorisert utstyr på stikk/svitsjer. Med mindre du skrur på muligheten for å koble opp flere maskiner pr. port så har du også i stor grad sikret deg mot spoofing. ( dot1x-oppsett på Cisco-utstyr er som standard satt opp uten "dot1x host-mode multi-host" )

 

Angående "usikre kabler", så skal det endel til for å kunne sniffe innholdet på en kabel uten at det merkes.

Endret 21. februar 2007 av sumptrollet

[petterg]

Angående "usikre kabler", så skal det endel til for å kunne sniffe innholdet på en kabel uten at det merkes.

7993871[/snapback]

 

Tja - hvis man har tilgang på et patchepanel eller en switch tar man ut den kabelen man vil avlytte, putter den i en hub. Tar en liten kabelbit mellom hubben og der kabelen man tok ut sto. På denne hubben kan man f.x koble til en pc som kjører snoop. Brått får man inhold av alle klartekst pakker skrevet på egen skjerm.

Nedetiden på nettet er kanskje 10 sekunder. Om noen gjør det på kveldstid kan det fort gå måneder før det blir oppdaget.

 

Har man bare tilgang på kabelen klipper man den og må sette på en rj45 på begge stumpene. Disse putter man i en hub, og har videre samme fremgangsmåte. Da er det nedetid på 5 minutter hvis kabelen følger en av de to vanlige standardene og hubben er autosence (eller har bryter) for å merke om kabel er krysset eller ikke. Evt om switchene er autosence trenger ikke hubben være det.