Aktuelle Version vom 6. Dezember 2025, 11:22 Uhr

Demo IPSec unter Windows (modern mit PowerShell)

Erklärung: Diese Übung zeigt, wie zwei Windows-Systeme IPSec verwenden, um nur noch authentifizierten und verschlüsselten Verkehr zuzulassen. Es werden ausschließlich die modernen PowerShell-Cmdlets des Moduls NetSecurity verwendet.

Voraussetzungen: Beide Hosts müssen sich gegenseitig per IP erreichen und Windows Defender Firewall muss aktiviert sein.

Beispiel: HOSTA = 10.0.10.103 HOSTB = 10.0.10.104 Pre-Shared Key = xinux123

Vorab-Test ohne IPSec

ping 10.0.10.104
Test mit SMB:

 \\10.0.10.104\c$

Wenn die Verbindung funktioniert, ist der Testzustand korrekt.

IPSec-Regel auf HOSTA erstellen

New-NetIPsecPhase1AuthSet -Name "IPSecAuth" -AuthenticationMethod PreSharedKey -PreSharedKey "xinux123"
New-NetIPsecQuickModeCryptoSet -Name "IPSecQM"
New-NetIPsecMainModeCryptoSet -Name "IPSecMM"

New-NetIPsecRule -DisplayName "IPSec zu HOSTB" `

 -LocalAddress 10.0.10.103 `
 -RemoteAddress 10.0.10.104 `
 -InboundSecurity Require `
 -OutboundSecurity Require `
 -Phase1AuthSet "IPSecAuth" `
 -QuickModeCryptoSet "IPSecQM" `
 -MainModeCryptoSet "IPSecMM"

IPSec-Regel auf HOSTB erstellen

New-NetIPsecPhase1AuthSet -Name "IPSecAuth" -AuthenticationMethod PreSharedKey -PreSharedKey "xinux123"
New-NetIPsecQuickModeCryptoSet -Name "IPSecQM"
New-NetIPsecMainModeCryptoSet -Name "IPSecMM"

New-NetIPsecRule -DisplayName "IPSec zu HOSTA" `

 -LocalAddress 10.0.10.104 `
 -RemoteAddress 10.0.10.103 `
 -InboundSecurity Require `
 -OutboundSecurity Require `
 -Phase1AuthSet "IPSecAuth" `
 -QuickModeCryptoSet "IPSecQM" `
 -MainModeCryptoSet "IPSecMM"

IPSec testen

ping 10.0.10.104

Wenn IPSec korrekt ausgehandelt wird, funktionieren Ping und SMB weiterhin.

SMB-Test:

 \\10.0.10.104\c$

Wenn SMB funktioniert → IPSec aktiv. Wenn nicht → PSK oder IP falsch.

IPSec-Status anzeigen (PowerShell, modern)

- Get-NetIPsecMainModeSA
verwendete Authentifizierung (PSK)
- okale und entfernte Adressen
- Status der Sicherheitssitzung

Get-NetIPsecQuickModeSA
- aktive Verbindungen
- verwendete Verschlüsselungsalgorithmen
- SPI-Werte

IPSec-Regeln anzeigen

Get-NetIPsecRule

IPSec-Regeln entfernen

Remove-NetIPsecRule -DisplayName "IPSec zu HOSTA"
Remove-NetIPsecRule -DisplayName "IPSec zu HOSTB"

Auswertung

IPSec erzwingt verschlüsselte Kommunikation zwischen beiden Hosts. Ohne korrekte Gegenkonfiguration ist keine Verbindung möglich. PSK muss auf beiden Seiten identisch sein. PowerShell ist die moderne und empfohlene Methode zur Verwaltung von IPSec.

@@ Zeile 1: / Zeile 1: @@
-= Demo IPSec unter Windows =
+= Demo IPSec unter Windows (modern mit PowerShell) =
 Erklärung:
-Diese Übung zeigt, wie zwei Windows-Systeme ihre Kommunikation nur noch über IPSec zulassen.
+Diese Übung zeigt, wie zwei Windows-Systeme IPSec verwenden, um nur noch authentifizierten und verschlüsselten Verkehr zuzulassen.
-Es wird keine zusätzliche Software benötigt. IPSec wird mit den integrierten Connection Security Rules der Windows Firewall konfiguriert.
+Es werden ausschließlich die modernen PowerShell-Cmdlets des Moduls NetSecurity verwendet.
-Ziel ist, dass Ping, SMB und andere Verbindungen nur funktionieren, wenn beide Hosts IPSec sprechen.
-= Voraussetzungen =
+Voraussetzungen:
+Beide Hosts müssen sich gegenseitig per IP erreichen und Windows Defender Firewall muss aktiviert sein.
-Beide Windows-Systeme:
-* gleiche Arbeitsgruppe oder Domäne (nicht zwingend, aber hilfreich)
-* gegenseitig erreichbar per IP
-* Windows Defender Firewall aktiv
-* Administratorrechte vorhanden
 Beispiel:
 HOSTA = 10.0.10.103
 HOSTB = 10.0.10.104
+Pre-Shared Key = xinux123
-= Funktionsprinzip =
-Windows nutzt Authentifizierungsmethoden wie Kerberos, NTLM oder ein Pre-Shared Key (PSK), um Sicherheitssitzungen aufzubauen.
-Nach erfolgreicher Authentisierung wird der gesamte Verkehr zwischen den beiden Hosts verschlüsselt.
-Wenn ein Host kein IPSec anbietet oder falsche Einstellungen nutzt, scheitert die Verbindung vollständig.
 = Vorab-Test ohne IPSec =
@@ Zeile 30: / Zeile 19: @@
    \\10.0.10.104\c$
-Kommunikation funktioniert normal.
+Wenn die Verbindung funktioniert, ist der Testzustand korrekt.
-= IPSec Verbindungssicherheitsregel erstellen (HOSTA) =
+= IPSec-Regel auf HOSTA erstellen =
-* wf.msc öffnen
+* New-NetIPsecPhase1AuthSet -Name "IPSecAuth" -AuthenticationMethod PreSharedKey -PreSharedKey "xinux123"
-* Windows Defender Firewall mit erweiterter Sicherheit öffnen
+* New-NetIPsecQuickModeCryptoSet -Name "IPSecQM"
-* „Verbindungsicherheitsregeln“ auswählen
+* New-NetIPsecMainModeCryptoSet -Name "IPSecMM"
-* „Neue Regel“ wählen
-* Regeltyp: „Isolierung“
-* Anforderung: „Authentifizierung erforderlich“
-* Authentifizierungsmethode: „Pre-Shared Key“ auswählen
-* Beispiel-PSK:
-  xinux123
-* Zieladresse eingeben: 10.0.10.104
-Regel speichern.
+* New-NetIPsecRule -DisplayName "IPSec zu HOSTB" `
+  -LocalAddress 10.0.10.103 `
+  -RemoteAddress 10.0.10.104 `
+  -InboundSecurity Require `
+  -OutboundSecurity Require `
+  -Phase1AuthSet "IPSecAuth" `
+  -QuickModeCryptoSet "IPSecQM" `
+  -MainModeCryptoSet "IPSecMM"
-= IPSec Verbindungssicherheitsregel erstellen (HOSTB) =
+= IPSec-Regel auf HOSTB erstellen =
-* dieselbe Vorgehensweise wie oben
+* New-NetIPsecPhase1AuthSet -Name "IPSecAuth" -AuthenticationMethod PreSharedKey -PreSharedKey "xinux123"
-* gleicher Pre-Shared Key:
+* New-NetIPsecQuickModeCryptoSet -Name "IPSecQM"
-  xinux123
+* New-NetIPsecMainModeCryptoSet -Name "IPSecMM"
-* Zieladresse: 10.0.10.103
-Regel speichern.
+* New-NetIPsecRule -DisplayName "IPSec zu HOSTA" `
+  -LocalAddress 10.0.10.104 `
+  -RemoteAddress 10.0.10.103 `
+  -InboundSecurity Require `
+  -OutboundSecurity Require `
+  -Phase1AuthSet "IPSecAuth" `
+  -QuickModeCryptoSet "IPSecQM" `
+  -MainModeCryptoSet "IPSecMM"
-= IPSec erzwingen =
+= IPSec testen =
-Nach Erstellung der Regeln zwingt Windows beide Systeme, nur authentifizierten IPSec-Verkehr zuzulassen.
+* ping 10.0.10.104
-Nicht-IPSec-Pakete werden verworfen, sobald die Regel aktiv ist.
+Wenn IPSec korrekt ausgehandelt wird, funktionieren Ping und SMB weiterhin.
-= Test der Verbindung unter IPSec =
+* SMB-Test:
+  \\10.0.10.104\c$
-* auf HOSTA:
+Wenn SMB funktioniert → IPSec aktiv.
-  ping 10.0.10.104
+Wenn nicht → PSK oder IP falsch.
-Wenn IPSec korrekt ausgehandelt wird, funktioniert Ping weiterhin.
+= IPSec-Status anzeigen (PowerShell, modern) =
-Wenn nicht, bricht die Verbindung ab.
-* SMB erneut testen:
+**Get-NetIPsecMainModeSA
-  \\10.0.10.104\c$
+*verwendete Authentifizierung (PSK)
+**okale und entfernte Adressen
+**Status der Sicherheitssitzung
+* Get-NetIPsecQuickModeSA
+**aktive Verbindungen
+**verwendete Verschlüsselungsalgorithmen
+**SPI-Werte
-Wenn SMB funktioniert → IPSec ist aktiv.
+= IPSec-Regeln anzeigen =
-Wenn SMB blockiert → IPSec fehlerhaft konfiguriert oder PSK mismatch.
-= IPSec Status prüfen =
+* Get-NetIPsecRule
-* auf einem der Hosts:
+= IPSec-Regeln entfernen =
-  netsh ipsec dynamic show mmsas
-  netsh ipsec dynamic show qmsas
-Diese Befehle zeigen:
+* Remove-NetIPsecRule -DisplayName "IPSec zu HOSTA"
-* ausgehandelte Sicherheitssitzungen
+* Remove-NetIPsecRule -DisplayName "IPSec zu HOSTB"
-* verwendete Verschlüsselungen
-* Authentifizierungsmethode
-* aktive IPSec SAs (Security Associations)
 = Auswertung =
-* IPSec erzwingt verschlüsselte Kommunikation zwischen beiden Hosts
+IPSec erzwingt verschlüsselte Kommunikation zwischen beiden Hosts.
-* Ohne korrekte Gegenkonfiguration bricht jede Verbindung ab
+Ohne korrekte Gegenkonfiguration ist keine Verbindung möglich.
-* Der Pre-Shared Key muss auf beiden Seiten identisch sein
+PSK muss auf beiden Seiten identisch sein.
-* Nach Aktivierung der Regeln ist jede unverschlüsselte Verbindung blockiert
+PowerShell ist die moderne und empfohlene Methode zur Verwaltung von IPSec.
-* Windows verarbeitet IPSec vollständig ohne zusätzliche Software

Demo ipsec windows: Unterschied zwischen den Versionen