Die NAP-IPsec-Erzwingung (Network Access Protection (Netzwerkzugriffsschutz), Internet Protocol Security (Internetprotokollsicherheit)) bietet die stärkste und flexibelste Methode zur Wahrung der Clientcomputerkompatibilität mit den Netzwerkintegritätsanforderungen.

Mit der IPsec-Erzwingung wird die Kommunikation im Netzwerk auf die Computer beschränkt, die als kompatibel gelten und Integritätszertifikate erhalten haben. Durch die Nutzung der Internetprotokollsicherheit und der flexiblen Konfiguration ist es mithilfe dieser NAP-Erzwingungsmethode möglich, Anforderungen für eine sichere Kommunikation mit kompatiblen Clients für einzelne IP-Adressen oder Portnummern zu definieren. Weitere Informationen zur Internetprotokollsicherheit finden Sie unter https://go.microsoft.com/fwlink/?LinkId=50170 (möglicherweise in englischer Sprache).

Vorteile der IPsec-Erzwingung

Die IPsec-Erzwingung wird in der Regel verwendet, wenn ein stärkerer und stabilerer Erzwingungsmechanismus als 802.1X, DHCP oder die VPN-Erzwingung benötigt wird. Die Vorteile der IPsec-Erzwingung lauten wie folgt:

Manipulationsresistente Erzwingung

Die IPsec-Erzwingung kann durch die Neukonfiguration eines NAP-Clients nicht umgangen werden. Mit einem NAP-Client kann durch die Manipulation der Einstellungen auf dem lokalen Computer weder ein Integritätszertifikat empfangen noch die Kommunikation mit einem kompatiblen Computer initiiert werden. Dies gilt auch dann, wenn ein Benutzer über die Berechtigungen eines lokalen Administrators verfügt. Die IPsec-Erzwingung kann auch durch die Verwendung von Hubs oder virtuellen Computertechnologien nicht umgangen werden.

Kein Upgrade der Infrastruktur erforderlich

Die IPsec-Erzwingung wird innerhalb der Internetschicht der TCP/IP-Protokollsuite verwendet und ist daher unabhängig von den Infrastrukturkomponenten des physikalischen Netzwerks, beispielsweise Hubs, Switches oder Routern.

Eingeschränkter Netzwerkzugriff für einzelne Server oder für einzelne Anwendungen

Mithilfe der IPsec-Erzwingung können kompatible Computer die Kommunikation mit nicht kompatiblen Computern initiieren. Nicht kompatible Computer können jedoch keine Kommunikation mit kompatiblen Computern initiieren. Der Administrator definiert den Typ des Datenverkehrs, der mit einem Integritätszertifikat authentifiziert und mit der Internetprotokollsicherheit über IPsec-Richtlinieneinstellungen geschützt werden muss. Die IPsec-Richtlinie ermöglicht das Erstellen von IP-Filtern, mit denen der Datenverkehr nach Quell-IP-Adresse, Ziel-IP-Adresse, IP-Protokollnummer, Quell- und Ziel-TCP-Port sowie Quell- und Ziel-UDP-Port definiert werden kann. Mithilfe der IPsec-Richtlinie und IP-Filterdefinition kann der Netzwerkzugriff für einzelne Server und für einzelne Anwendungen eingeschränkt werden.

Optionale End-to-End-Verschlüsselung

Durch das Angeben von IPsec-Richtlinieneinstellungen können Sie den IP-Datenverkehr zwischen IPsec-Peers für streng vertraulichen Datenverkehr verschlüsseln. Im Gegensatz zu WLANs nach IEEE 802.11, die nur Frames vom Drahtlosclient an den Drahtloszugriffspunkt (Wireless Access Point, WAP) verschlüsseln, erfolgt die IPsec-Verschlüsselung zwischen IPsec-Peercomputern.

IPsec-Erzwingung und logische Netzwerke

Mit der IPsec-Erzwingung wird ein physikalisches Netzwerk in drei logische Netzwerke unterteilt: Ein Computer ist immer nur Mitglied eines logischen Netzwerks. Die logischen Netzwerke werden danach definiert, welche Computer über Integritätszertifikate verfügen und für welche Computer eine IPsec-Authentifizierung für eingehende Kommunikationsversuche erforderlich ist. Mithilfe von logischen Netzwerken können Sie den Zugriff für Computer einschränken, die nicht den Integritätsanforderungen entsprechen, sowie Clientcomputern Schutz vor nicht kompatiblen Computern bieten. Mit der IPsec-Erzwingung werden folgende logische Netzwerke definiert:

  • Sicheres Netzwerk

    Computer im sicheren Netzwerk verfügen über Integritätszertifikate und erfordern, dass die eingehende Kommunikation mit diesen Zertifikaten authentifiziert wird. Auf diesen Computern werden allgemeine IPsec-Richtlinieneinstellungen verwendet, um IPsec-Schutz zu bieten. Beispielsweise befinden sich die meisten Server und Clientcomputer, die Mitglied einer Active Directory®-Infrastruktur sind, in einem sicheren Netzwerk. NAP-Integritätsrichtlinienserver, Server mit Active Directory-Zertifikatsdiensten (Active Directory Certificate Services, AD CS) und E-Mail-Server sind Beispiele für Netzwerkkomponenten, die sich normalerweise in einem sicheren Netzwerk befinden.

  • Grenznetzwerk

    Computer im Grenznetzwerk verfügen über Integritätszertifikate, erfordern jedoch keine IPsec-Authentifizierung eingehender Kommunikationsversuche. Computer im Grenznetzwerk müssen für den Zugriff durch Computer im gesamten Netzwerk verfügbar sein. Diese Computertypen sind die Server, die einerseits zur Bewertung und Wiederherstellung der NAP-Clientintegrität und andererseits zur Bereitstellung von Netzwerkdiensten für Computer im eingeschränkten Netzwerk erforderlich sind, beispielsweise Integritätsregistrierungsstellen-Server, Antivirus-Update-Server, schreibgeschützte Domänencontroller und DNS-Server. Da für die Computer im Grenznetzwerk keine Authentifizierung und geschützte Kommunikation erforderlich sind, müssen sie genau verwaltet werden, um zu verhindern, dass sie für Angriffe auf Computer im sicheren Netzwerk verwendet werden.

  • Eingeschränktes Netzwerk

    Computer im eingeschränkten Netzwerk besitzen keine Integritätszertifikate. Es handelt sich hierbei um Computer, deren Integritätsprüfung nicht abgeschlossen ist, die Gast sind oder um nicht NAP-berechtigte Computer, beispielsweise Computer unter früheren Versionen von Windows, die den Netzwerkzugriffsschutz, Apple Macintosh-Computer und UNIX-basierte Computer nicht unterstützen.

Die folgende Abbildung zeigt ein Beispiel für logische IPsec-Netzwerke.

IPsec-Netzwerk

Weitere Verweise