Christian hat einen neuen Artikel für die msisafaq.de geschrieben.
Wie auch schon in den Vorgängerversionen von Microsoft TMG war es möglich die bereits bestehende Konfiguration per Import zu übernehmen. Dabei wurden alle Einstellungen, wie Firewallrichtlinien, Cacheeinstellungen, usw., übernommen und man konnte ohne großen Aufwand eine Versionsumstellung vornehmen. Der Import der exportierten Konfiguration von ISA Server 2006 zur Übernahme der Einstellungen funktioniert auch problemlos mit Microsoft TMG, allerdings mit einer kleinen Ausnahme. Nach dem Import der Konfiguration sind die IPSec-Einstellungen für Phase I und Phase II nicht 100%ig übernommen worden. Was zunächst nach einem Fehler in der Importfunktion aussieht ist aber ein gewollter Effekt. Grund hierfür ist das Motto: "Security by default", welches schon aus Zeiten von ISA Server 2004 stammt. Sicherheit per Design heisst somit, dass die IPSec-Einstellungen für Phase I und II als Verschlüsselungsalgorithmus anstelle des ursprünglichen Wertes AES256 und zur Integritätsprüfung SHA256 verwenden. Die gewählten Algorithmen für Verschlüsselung und Integritätsprüfung bieten im Vergleich zu den bisher verfügbaren Algorithmen eine größere Sicherheit für die übertragenen Datenpakete.
Wer also nach einer Übernahme der Konfiguration in Microsoft TMG hofft, dass seine bereits vorhandenen IPSec-S2S-VPN-Tunnel problemlos aufgebaut werden, liegt hier falsch. Grund ist, dass ein Tunnel nur aufgebaut werden kann, wenn auf beiden Seiten die gleichen Einstellungen in Phase I und II vorhanden sind. Abhängig davon wie viele IPSec-S2S-VPN-Tunnel Sie in Ihrer Konfiguration besitzen kann dies ziemlich mühsam werden die einzelnen, evtl. auch unterschiedlichen, Einstellungen wieder herzustellen.
An dieser Stelle sollten Sie vielleicht überlegen hier die Anpassung der Sicherheitseinstellungen für Phase I und II nicht in Microsoft TMG vorzunehmen sondern, die Gegenstelle auf die neuen Werte anzupassen, um von der höheren Sicherheit zu profitieren.
Sofern Sie allerdings keine Möglichkeit haben die Gegenstellen anzupassen, z.B. weil diese die neueren Algorithmen nicht unterstützen, möchten wir Ihnen folgendes Skript vorstellen, mit dem Sie problemlos nach dem Import die ursprünglichen Einstellungen für die Phasen I und II der IPSec-S2S-VPN-Tunnel übernehmen können.
Direkt zum Artikel von Christian Gröbner.
Viele Grüße
Dieter
—
Dieter Rauscher
MVP Forefront