Demo ipsec windows

Aus Xinux Wiki
Version vom 6. Dezember 2025, 11:21 Uhr von Thomas.will (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „= Demo IPSec unter Windows = Erklärung: Diese Übung zeigt, wie zwei Windows-Systeme ihre Kommunikation nur noch über IPSec zulassen. Es wird keine zusätz…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

Demo IPSec unter Windows

Erklärung: Diese Übung zeigt, wie zwei Windows-Systeme ihre Kommunikation nur noch über IPSec zulassen. Es wird keine zusätzliche Software benötigt. IPSec wird mit den integrierten Connection Security Rules der Windows Firewall konfiguriert. Ziel ist, dass Ping, SMB und andere Verbindungen nur funktionieren, wenn beide Hosts IPSec sprechen.

Voraussetzungen

Beide Windows-Systeme:

  • gleiche Arbeitsgruppe oder Domäne (nicht zwingend, aber hilfreich)
  • gegenseitig erreichbar per IP
  • Windows Defender Firewall aktiv
  • Administratorrechte vorhanden

Beispiel: HOSTA = 10.0.10.103 HOSTB = 10.0.10.104

Funktionsprinzip

Windows nutzt Authentifizierungsmethoden wie Kerberos, NTLM oder ein Pre-Shared Key (PSK), um Sicherheitssitzungen aufzubauen. Nach erfolgreicher Authentisierung wird der gesamte Verkehr zwischen den beiden Hosts verschlüsselt. Wenn ein Host kein IPSec anbietet oder falsche Einstellungen nutzt, scheitert die Verbindung vollständig.

Vorab-Test ohne IPSec

  • ping 10.0.10.104
  • Test mit SMB:
 \\10.0.10.104\c$

Kommunikation funktioniert normal.

IPSec Verbindungssicherheitsregel erstellen (HOSTA)

  • wf.msc öffnen
  • Windows Defender Firewall mit erweiterter Sicherheit öffnen
  • „Verbindungsicherheitsregeln“ auswählen
  • „Neue Regel“ wählen
  • Regeltyp: „Isolierung“
  • Anforderung: „Authentifizierung erforderlich“
  • Authentifizierungsmethode: „Pre-Shared Key“ auswählen
  • Beispiel-PSK:
 xinux123
  • Zieladresse eingeben: 10.0.10.104

Regel speichern.

IPSec Verbindungssicherheitsregel erstellen (HOSTB)

  • dieselbe Vorgehensweise wie oben
  • gleicher Pre-Shared Key:
 xinux123
  • Zieladresse: 10.0.10.103

Regel speichern.

IPSec erzwingen

Nach Erstellung der Regeln zwingt Windows beide Systeme, nur authentifizierten IPSec-Verkehr zuzulassen. Nicht-IPSec-Pakete werden verworfen, sobald die Regel aktiv ist.

Test der Verbindung unter IPSec

  • auf HOSTA:
 ping 10.0.10.104

Wenn IPSec korrekt ausgehandelt wird, funktioniert Ping weiterhin. Wenn nicht, bricht die Verbindung ab.

  • SMB erneut testen:
 \\10.0.10.104\c$

Wenn SMB funktioniert → IPSec ist aktiv. Wenn SMB blockiert → IPSec fehlerhaft konfiguriert oder PSK mismatch.

IPSec Status prüfen

  • auf einem der Hosts:
 netsh ipsec dynamic show mmsas
 netsh ipsec dynamic show qmsas

Diese Befehle zeigen:

  • ausgehandelte Sicherheitssitzungen
  • verwendete Verschlüsselungen
  • Authentifizierungsmethode
  • aktive IPSec SAs (Security Associations)

Auswertung

  • IPSec erzwingt verschlüsselte Kommunikation zwischen beiden Hosts
  • Ohne korrekte Gegenkonfiguration bricht jede Verbindung ab
  • Der Pre-Shared Key muss auf beiden Seiten identisch sein
  • Nach Aktivierung der Regeln ist jede unverschlüsselte Verbindung blockiert
  • Windows verarbeitet IPSec vollständig ohne zusätzliche Software
Abgerufen von „http://wiki.ixheim.de/index.php?title=Demo_ipsec_windows&oldid=66054