Windows Vista krijgt uitgebreide IPsec-ondersteuning

Windows Vista zal een uitgebreide ondersteuning krijgen voor het IPSec-protocol zo bericht eWeek. IPSec is een protocol om berichten te beveiligen door middel van encryptie op de netwerklaag en wordt momenteel voornamelijk gebruikt voor het opzetten van veilige VPN-sessies. Microsoft wil in Windows Vista het protocol ook gaan gebruiken voor andere toepassingen om een veiligere netwerkomgeving mogelijk te maken. Met Windows Vista zal het mogelijk worden om domein- en serverisolatie te implementeren door middel van IPSec.

Windows Vista-logo (klein) Bij domeinisolatie worden ongeautoriseerde connecties naar pc’s binnen een domein geblokkeerd en bij serverisolatie wordt het verkeer van en naar de server beperkt tot geautoriseerde gebruikers binnen een domein. Dankzij deze technieken moeten de risico’s van virussen, wormen en ‘denial of service’-aanvallen verminderd worden. Domein- en serverisolatie zijn momenteel ook al mogelijk met de laatste versies van Windows 2000, 2003 en XP, maar met Vista zal de technologie veel gemakkelijker te implementeren zijn. Hoewel domein- en serverisolatie met IPSec voordelen biedt is niet iedereen positief. John Pescatore, een analist bij Gartner, geeft de techniek weinig kans vanwege de complexiteit van het encrypten van de interne communicatie bij grote enterprise netwerken.

Reacties (39)

Pwigle 12 december 2005 18:01

IPSec toepassen zorgt ook voor een grotere overhead waardoor het maar de vraag is of het handig is om overal toe te passen.
Daarnaast hebben Windows 2003 en Windows XP ook prima IPSec ondersteuning alleen moet je dat zelf configureren (GPEDIT.MSC/Computer Configuration/Windows Settings/Security Settings/Ip Security Policies on Local Computer)

VisionMaster @Pwigle • 12 december 2005 19:08

Ok ... als we dan ons toch krietisch uit aan het laten zijn:
Met VPN met IPSec, krijg je soms een vals gevoel van veiligheid, gezien je hierdoor meestal een machine van buiten je administratieve domein (tot in bepaalde maten) toelaat tot het interne gebied van je netwerk.
Best wel tricky ... je zal dat netwerk verkeer eigenlijk altijd als 'riskant' of DMZ moeten behandelen. De virussen kunnen zich nog vaak genoeg _te_ eenvoudig door zo'n tunnel bewegen.

Je zult de hele zooi moeten dichttimmeren met een vuurmuurtje om iig de eenvoudige troep tegen te houden.

smooc @Pwigle • 12 december 2005 19:46

Dat van die goede encryptie van Xp/2003 valt wel mee hoor. Die enkele keer dat ik een openBSD systeem moet laten communiceren met een Xp/2003 ipsec systeem moet ik de instellingen behoorlijk naar beneden schroeven.

Mocht iemand per se IPSEC onder windows willen gebruiken dan ben ik blij zodra het er een keer goed inzit.

MarcieMars @Pwigle • 13 december 2005 09:21

Klopt, die overhead. Gelukkig zien we dat de moderne NIC's, ook op MoBo's steeds vaker TCP/IP offload engines hebben, die dit soort zaken weg kunnen halen bij de CPU

Anoniem: 36490 @Pwigle • 13 december 2005 10:33

Ga je alles encrypten. Kan een perimeter scanner (Checkpoint, TrendMicro etc) ook niet meer in je datastroom kijken om virussen buiten de deur te houden. Denk niet dat dat een goede oplossing is.

Pmf1971 @Anoniem: 36490 • 14 december 2005 03:21

Als je maar zorgt dat alles wat in en uit de encrypted datastroom gaat wordt scant, dat is dan niet encrypted en kan dus gescand worden. Een virus kan tenslotte niet zomaar ontstaan binnen de encrypted environment.

Ik kwam er trouwens in 2002 zelf ook achter dat win2000 IPSec ondersteunde voor het encrypten van netwerkverbinding, heb op die manier een permanente VPN tunnel (gateway to gateway) gemaakt naar een draytek routertje in een andere vestiging, werkte perfect. Was wel behoorlijk technisch allemaal, zelfs ik was vrij traag in het begrijpen van de manier waarop het toegepast moest worden, maar na wat stoeien bleek er toch wel logica in te zitten. Maar ik moet zeggen dat het niet makkelijk te doorgronden was.

Anoniem: 159051 12 december 2005 18:14

Zal de gewone consument dit ook snappen en toepassen?
Het is weer gewoon een truc om Vista als 'nog veiliger' te presenteren, terwijl de doorsnee mens dit niet gebruikt.

wildhagen

@Anoniem: 159051 • 12 december 2005 18:17

De gewone gebruiker heeft over het algemeen dan ook geen domein of een server. Als hij deze wel heeft mag je er wel vanuit gaan dat hij weet waar hij mee bezig is.

TD-er

@wildhagen • 12 december 2005 18:24

moah dat weten waar 'ie mee bezig is dat hoeft nog niet echt.
Maar goed het is heel erg afhankelijk van hoe het gepresenteerd gaat worden of mensen dit snappen of niet.
Het concept is echt niet moeilijk en als je het dus op de een of andere manier simpel kunt brengen, staat het massaal gebruik ervan eigenlijk vrijwel niets meer in de weg.

Mars Warrior @Anoniem: 159051 • 12 december 2005 20:51

De gewone consument heeft inmiddels ook vaak een WiFi router met WEP/WPA beveiliging waar in elk computerblad al wel wat over beschreven is...

Dus ik denk dat dit ook best voor de gewone consument klik-klak-klaar gaat worden

Anoniem: 399 @Mars Warrior • 13 december 2005 12:11

De gewone consument leest geen enkel computerblad. Tijdens de installatie van een wifi thuiswerkplek bij een manager heb ik nieuwe firmware voor z'n hakkietakkiemerk modem gedownload via één van de negen beschikbare onbeveiligde WLAN verbindingen. Dat is wel knap want ik denk dat er misschien maar 15 huizen binnen 50 meter van het zijne staan en daarvan heeft dus twee-derden geen beveiligd WLAN.

Anoniem: 75364 13 december 2005 10:30

Ik vind het toch wel top dat Microsoft ons via Tweakers.net zo goed op de hoogte houd van hoe geweldig Vista gaat worden. Bijna wekelijks is er wel weer een uitgebreid artikel over nog meer ( nog meer? - Ja, nog meer! ) innovatieve technologieen die Vista krijgt. Vista gaat duidelijk de desktop revolutie van de eeuw worden.

Kennelijk is Microsoft echt veel innovatiever bezig dan Apple, want daar hoor je veel minder vaak wat over. En over Linux hoor je al helemaal nooit iets over nieuwe ontwikkelingen, saaie achterhaalde zooi daarzo.

Ik kan niet wachten tot Vista echt in de winkel ligt!

Anoniem: 159135 @Anoniem: 75364 • 13 december 2005 11:25

...bespeur ik hier enig sarcasme?

Anoniem: 75364 @Anoniem: 159135 • 13 december 2005 11:32

...bespeur ik hier enig sarcasme?

Moaah.. Beetje maar..

Ik begin die reclame hier op Tweakers.net een beetje vervelend te vinden. Zoals ik al zei lijkt er weinig moeite gedaan te worden om te berichten over wat er in het Mac of Linux wereldje gebeurt. Dat dit soort berichten kant-en-klaar door Microsoft worden toegespeeld is inderdaad erg makkelijk, maar de berichtgeving wordt er ook wel erg eenzijdig van.

mashell @Anoniem: 75364 • 13 december 2005 11:54

Hmm er is inderdaad veel Microsoft nieuws (maar die hebben daar ook mensen voor). Toch is er afgelopen jaar veel meer apple nieuws geweest dan ooit te voren. Er is nog steeds weinig linux nieuws. Alleen dat de kernel weer 2MB groter is of dat KDE een subversie hoger is, ik ben ook bang dat er gewoon niet meer linux nieuws is.

Anoniem: 75364 @Anoniem: 75364 • 13 december 2005 11:58

Daar vergis je je dan behoorlijk in..

napel25 @Anoniem: 75364 • 13 december 2005 11:28

Bij een technet meeting van Microsoft was een demo over IPsec. Om IPsec te installeren moet je goed weten wat je doet, anders is de kans klein dat het gaat werken.
Het zegt dus meer van de goede marketing van Microsoft dat Vista zo geweldig lijkt. Opzich is er niets op tegen om je te laten verwennen door een marketing afdeling. Maar soms vallen de beloofde gouden bergen wat tegen.
Misschien is het beter te wachten met juichen tot Vista in de winkel ligt.
En mogelijk is de de marketing afdeling van Apple en Linux (?) wat minder groot of leggen ze hun prioriteiten op een ander vlak...andere doelgroep?

Dreamvoid @Anoniem: 75364 • 13 december 2005 14:51

Microsoft moet dit soort dingen naar buiten brengen om 3rd party developers zo vroeg mogelijk op de hoogte te brengen. Als MS tot de introductie van Vista zou wachten om bekend te maken wat er veranderd is tov XP zou ik als developer toch behoorlijk pissed off zijn.

engelbertus 12 december 2005 22:42

IPsec is toch ook standaard onderdeel van IPv6 ?
tegen de tijd dat vista in grote ondernemingen gebruikt wordt neem ik tenminste aan dat het overgrote deel van het netwerkverkeer ook gebruik maakt van IPv6.
het is dta mijn goedkope huis tuin en keuken routertje het niet echt ondersteunt en windows xp het ook niet echt standaard gebruikt, alhoewel het wel in een soort proefversie aan boord heeft, dat ik het niet gebruik. anders was ik al lang IPv6 gaan gebruiken.

het is ook iets dat op mijn verlanglijstje staat voor op het werk. xs4all ondersteunt het al behoorlijk netjes volgens mij.

en een standaard VPN verbinding die je opzet naar een windows 2003 server gebruikt volgens mij ook al IPsec ?

Anoniem: 399 @engelbertus • 13 december 2005 12:16

Wat een rare gedachte? Als Vista uitrolt heeft vrijwel geen enkel bedrijf dat op Windows draait nog IPv6 geimplementeerd omdat de ondersteuning ervoor en de implementatie ervan in 2000 XP en 2003 helemaal niet afdoende is om er mee te gaan spelen. Bovendien moet je internet toegang het wel snappen dat je IPv6 tunnels opbouwt. Daarnaast is IPv6 vooral slim voor Internet, niet voor je LAN. met de 10.0.0.0 range heeft vrijjwel élk bedrijf voldoende addressspace om alle systemen een nummertje te kunnen geven. (16,5 miljoen nummers...)

Ik denk dus dat er, als Vista niet by default IPv6 installeert en gebruikt waar mogelijk, ook in 2007 nog geen schot in de zaak komt.

XS4all ondersteunt in zoverre IPv6 dat je een IPv6 connectie kan maken naar een tastbak van hun om het één en ander mee te proberen. ALS je er mee kunt internetten dan is dat omdat zij het weer naar IPv4 omgooien met NAT o.i.d., of ze hebben een proxyserver draaien.

Het internet is niet IPv6. Dus kun je er nog niet veel mee.

Pmf1971 @engelbertus • 14 december 2005 03:29

Dat is L2TP (Layer 2 tunneling protocol) met IPSec wat win2003 ondersteunt geloof ik, oftewel er wordt gewoon gebruik gemaakt van een naam en wachtwoord. Dit is handig om verschillende gebruikers te onderscheiden van elkaar. (Client to gateway tunnels).

Pure IPSec maakt alleen maar gebruik van een "preshared key" of certicates. Pure IPSec wordt voornamelijk voor gatway to gateway tunnels gebruikt.

djack 12 december 2005 22:05

Op zich is dit een mooie stap, maar.....
Gaat MS een zuivere IPSec toepassen of gaan ze zoals gewoonlijk een eigen invulling geven zoals ze dit met veel doen.
Indien ze dit niet open maken zal het bij een groot deel bedrijven niet echt ingang vinden. Heel veel bedrijven draaien in een mixed unix/linux/ms omgeving.
Tweede bedenking gaat dit niet extra veel resources vragen van de servers en van de ict afdeling.

En al wat door mensen bedacht is zal door andere op een creatieve manier opgeheven kunnen worden.

Anoniem: 19339 13 december 2005 09:47

Dankzij deze technieken moeten de risico’s van virussen, wormen en ‘denial of service’-aanvallen verminderd worden.

Dit snap ik niet. Een virus of worm nestelt zich op een host, en draait onder een bestaande account (bijv. van een user, de system-account, of een admin-account, whatever). Die account is al bekend binnen het netwerk en zal probleemloos via IPSec met z'n vriendjes binnen het netwerk kunnen babbelen. Het is niet zo dat een virus z'n eigen lokale account maakt of zo en daarmee probeert zichzelf te verspreiden. Het draait onder een context die al bekend is binnen het netwerk, dus als ik dit verhaal zo lees, zal IPSec dit niet tegenhouden.

DoS snap ik ook niet. DoS is toch een massaal bombardement van pakketjes op een host? Elk pakketje wat binnenkomt moet worden geevalueerd door de IP-stack. Eventueel wordt het al vrij snel gedropt op basis van poortnummer of ip-adres, maar dat evalueren kost tijd, da's nou net het hele idee van een DoS-aanval. Dan kun je wel lekker IPSec draaien, maar dat neemt niet weg dat er nog steeds geluisterd moet worden naar inkomende pakketjes, ook al worden ze vrij snel gedropt.

DoS wil je sowieso eerder door een goeie standalone firewall al laten detecteren dan je Windows-server, dunkt me.

Anoniem: 84969 12 december 2005 19:12

Alsof we niet al genoeg problemen hebben nieuwere Windows versies te koppelen met oudere, onder andere voor filesharing. Zal weer een hele trukendoos voor nodig zijn om een bestandje van een Vista computer naar een 98 te krijgen, of vice versa.

Mijzelf @Anoniem: 84969 • 12 december 2005 19:21

Die trukendoos valt wel mee hoor, gewoon een floppie.

Anoniem: 4222 @Mijzelf • 12 december 2005 20:19

Yup,

Het 'SneakerNet' protocol is ideaal voor dat soort toepasingen.

Zomborro 13 december 2005 08:31

IPsec implementatie/integratie bestaat al heel lang dus dat is niet nieuw. Wat nou die betere ondersteuning is, is voor mij nog niet duidelijk.

|Wel is het opzetten van IPsec isolatie onder Windows 2000 een ramp, dat is veel beter geregeld in Windows 2003, en misschien dus nog beter in Vista.

Anoniem: 155631 13 december 2005 10:09

Jongens even offtopic,

FIREWALL BETEKEND BRAND VERTRAGENDE MUUR

DUS NIET VUURMUUR!!!

Check je Engels woordenboek ermaar op.

Ontopic,

Misschien is het gewoon de oplossing Ipsec gewoon hardwarematig uit te voeren, zodat de eventuele overhead grotendeels ge-elimineerd wordt

Anoniem: 110215 @Anoniem: 155631 • 14 december 2005 13:47

En offtopic schrijf je off-topic. Check je Engelse woordenboek maar. En deze waardering krijg jij ook voor dat ik deze reaktie post.

TD-er

12 december 2005 18:08

Nu maar hopen dat MS dit iets beter gaat documenteren (voor niet-MS-medewerkers) Anders kan het dus gebeuren dat servers minder snel met Samba en dergelijke zullen worden uitgerust, omdat dat minder veilig zou zijn, doordat ze geen IPsec ondersteunen op de manier die MS gebruikt.

Anoniem: 613 @Romke • 12 december 2005 19:47

Waarom wordt anti-XP gemodereerd, lijkt me juist wat die zegt.

BTW, als een bedrijf een vendor lock-in wil hebben, dan moeten ze het maar doen, later niet lopen te zeuren dat ze niet meer wat anders kunnen doen, want de keuze is "strategisch" gemaakt.

Op dit item kan niet meer gereageerd worden.

Windows Vista krijgt uitgebreide IPsec-ondersteuning

Lees meer

Reacties (39)

Sorteer op:

Weergave: