The Cable Guy – Februar 2005
Von The Cable Guy
Alle verfügbaren Cable Guy-Kolumnen finden Sie hier.
Auf dieser Seite
 | Einleitung |
| Berechnung der Gewichtung von IPSec-Filtern |
| Mehrere Einträge mit gleicher Gewichtung |
| In Konflikt stehende IPSec-Filter |
| Beispiele zu IPSec-Filtern |
| Zusätzliche Informationen |
Einleitung
IPSec (Internet Protocol Security) ist eine Sammlung offener Standards, mit der anhand von Kryptografiediensten eine private und sichere Kommunikation über IP-Netzwerke (Internet Protocol) erreicht werden kann. Einen Überblick zu IPSec und dessen Unterstützung unter Microsoft® Windows Server™ 2003 finden Sie im Whitepaper Internet Protocol Security for Microsoft Windows Server 2003.
Um IPSec unter Windows® zu nutzen, muss eine IPSec-Richtlinie erstellt und zugewiesen werden. Eine IPSec-Richtlinie ist ein Satz von Konfigurationsregeln, die folgendes definieren:
| • | Eine IP-Filterliste, die eine bestimmte Gruppe von IP-Netzwerkverkehr definiert. Eine IP-Filterliste kann aus einem einzelnen Filter für den gesamten IP-Netzwerkverkehr oder aus einem Satz von Filtern für unterschiedliche Arten von IP-Verkehr bestehen. |
| • | Eine Filteraktion, die definiert, wie der Netzwerkverkehr gehandhabt wird. Über die Filteraktion können Sie festlegen, ob Netzwerkverkehr zugelassen (wird auch ohne Verschlüsselung verarbeitet), blockiert (wird verworfen - ähnlich wie bei einer Firewall) oder gesichert (nur durch IPSec geschützter Netzwerkverkehr wird verarbeitet) sein soll. Wenn der Netzwerkverkehr gesichert sein muss, dann müssen Sie auch angeben, wie er gesichert sein muss (Authentifizierungsmethode, IPSec-Tunneling oder nicht und den Verbindungstyp für den gesicherten Netzwerkverkehr). |
Jede Regel verbindet eine IP-Filterliste (der betroffene Netzwerkverkehr) mit einer Filteraktion (was soll mit dem Netzwerkverkehr passieren). Sie können zum Beispiel eine IPSec-Richtlinie mit den folgenden drei Regeln definieren:
| • | Regel A: Für den gesamten Netzwerkverkehr von und zu jeder IP-Adresse; blockieren. |
| • | Regel B: Für den gesamten Netzwerkverkehr, der einem bestimmten Adressprefix (der in meinem Intranet genutzt wird) entspricht; zulassen. |
| • | Regel C: Für den gesamten Netzwerkverkehr, der den IP-Adressen meiner drei Server entspricht; gesichert. |
Mit dieser einfachen Richtlinie erreichen Sie folgendes:
| • | Die Computer im Intranet kommunizieren gesichert mit den Servern. |
| • | Die Computer im Intranet können mit den anderen Computern im Intranet kommunizieren. |
| • | Der gesamte restliche Netzwerkverkehr wird blockiert. |
Es gibt keine fest vorgegebene Reihenfolge für IPSec-Richtlinien. In unserer Beispielrichtlinie werden die Regeln nur als A, B und C bezeichnet, damit wir sie unterscheiden können. Trotzdem muss es natürlich eine Möglichkeit geben, um Netzwerkverkehr, der von mehreren Richtlinien betroffen ist, zu verarbeiten. Bei unserer Beispielrichtlinie ist zum Beispiel ein von einem Computer im gleichen Subnetz eingehendes Paket sowohl von Regel A (von jede IP-Adresse) als auch von Regel B (von jeder Adresse mit dem Prefix des Intranets) betroffen. Ein solche Paket kann natürlich nicht gleichzeitig blockiert (Regel A) und zugelassen (Regel B) sein.
Um die auf eingehenden und ausgehenden Netzwerkverkehr anzuwendende Regel festzulegen - und somit auch die entsprechenden Aktionen - leitet der IPSec-Richtlinienagent eine IPSec-Filterliste aus den Regeln der zugewiesenen IPSec-Richtlinie ab. Diese IPSec-Filterliste unterscheidet sich von der IP-Filterliste, die in der IPSec-Richtlinie konfiguriert ist (bitte achten Sie auf den Unterschied in der Namensgebung: IPSec-Filterliste und IP-Filterliste). Sie ist das Ergebnis der gesamten Richtlinienkonfiguration und beschreibt den genauen Satz des betroffenen Netzwerkverkehrs und dessen Handhabung.
Von Regel C unserer Beispielrichtlinie leitet der IPSec-Richtlinienagent zum Beispiel für einen Computer mit nur einer IP-Adresse die folgenden sechs Einträge für die IPSec-Filterliste ab:
| • | Netzwerkverkehr von meiner IP-Adresse an die IP-Adresse von Server 1; gesichert. |
| • | Netzwerkverkehr von der IP-Adresse von Server 1 an meine IP-Adresse; gesichert. |
| • | Netzwerkverkehr von meiner IP-Adresse an die IP-Adresse von Server 2; gesichert. |
| • | Netzwerkverkehr von der IP-Adresse von Server 2 an meine IP-Adresse; gesichert. |
| • | Netzwerkverkehr von meiner IP-Adresse an die IP-Adresse von Server 3; gesichert. |
| • | Netzwerkverkehr von der IP-Adresse von Server 3 an meine IP-Adresse; gesichert. |
Nachdem der Richtlinienagent die komplette IPSec-Filterliste erstellt hat, übermittelt er diese an den IPSec-Treiber - der IPSec-Komponente, die den gesamten aus- und eingehenden Netzwerkverkehr verarbeitet.
Mit dem Snap-In IP-Sicherheitsmonitor können Sie sich die gesamte IPSec-Filterliste anzeigen lassen (unter Windows XP und Windows Server 2003). Gehen Sie hierzu folgendermaßen vor:
1. | Klicken Sie auf Start und auf Ausführen. |
2. | Geben Sie MMC ein, und klicken Sie auf OK. |
3. | Klicken Sie auf Datei, Snap-In Hinzufügen/Entfernen und dann auf Hinzufügen. |
4. | Klicken Sie auf IP-Sicherheitsmonitor und auf Hinzufügen. |
5. | Klicken Sie auf Schließen und auf OK. |
Um die IPSec-Filterliste anzuzeigen, müssen Sie die Knoten Hauptmodus und Schnellmodus öffnen. Im Knoten Hauptmodus können Sie unter Spezialfilter die Filter der IPSec-Filterliste finden, für die Sicherheit erforderlich ist. Unter dem Knoten Schnellmodus finden Sie unter Spezialfilter alle Filter der IPSec-Filterliste. In der folgenden Abbildung sehen Sie ein Beispiel hierfür.
Außerdem gibt es unter den Knoten Hauptmodus und Schnellmodus jeweils einen Knoten Standardfilter. Standardfilter werden von den IP-Filtern abgeleitet, die die Option Eigene IP-Adresse als Quell- oder Zieladresse verwenden. Sie werden auf Grundlage der IP-Adresse des Computers zu Spezialfiltern erweitert.
Berechnung der Gewichtung von IPSec-Filtern
Die IPSec-Filterliste wird auf Basis eines vom IPSec-Richtlinienagenten berechneten Gewichtungswertes sortiert - der Eintrag mit dem höchsten Wert steht hierbei ganz oben. Wenn ein aus- oder eingehendes Paket verarbeitet wird, dann sucht der IPSec-Treiber in der IPSec-Filterliste nach dem ersten Eintrag, bei dem Adresse, Port und IP-Protokolltyp dem Paket entsprechen. Die für diesen Eintrag definierte Aktion (zulassen, blockieren oder gesichert) wird dann angewandt.
Die Hauptparameter, mit deren Hilfe die Gewichtung berechnet wird, sind:
| • | die IP-Quelladresse |
| • | die Subnetzmaske der IP-Quelladresse |
| • | die IP-Zieladresse |
| • | die Subnetzmaske der IP-Zieladresse |
| • | der IP-Protokolltyp |
| • | die Nummer des Quellports im Fall von UDP- und TCP-Netzwerkverkehr |
| • | die Nummer des Zielports im Fall von UDP- und TCP-Netzwerkverkehr |
Diese Parameter können bei der Erstellung von IP-Filtern definiert werden.
Die Gewichtung basiert darauf, wie spezifisch der ursprünglich definierte IP-Filter ist. Sehr spezifische IP-Filter führen zu IPSec-Filtern mit hoher Gewichtung. Die höchste Gewichtung erreicht ein IP-Filter, in dem alle sieben oben genannten Parameter definiert wurden.
Für unser Beispiel bedeutet das: Ein eingehendes Paket von einem Computer aus dem gleichen Subnetz entspricht Regel A (von jeder IP-Adresse) und Regel B (von einer Adresse mit dem im Subnetz verwendeten Prefix). Da der von Regel B abgeleitete IPSec-Filter spezifischer ist als der von Regel A abgeleitete, wird ein eingehendes Paket nach Regel B verarbeitet (zugelassen).
In der folgenden Tabelle sehen Sie die vom Richtlinienagent berechnete Gewichtung von IPSec-Filtern.
| IP-Quelladresse | Quell-Subnetzmaske | IP-Zieladresse | Ziel-Subnetzmaske | Protokoll | Quellport | Zielport |
Eindeutige IP-Adresse | 255.255.255.255 (32-bit subnet mask) | Eindeutige IP-Adresse | 255.255.255.255 | Eindeutiges IP-Protokoll | Eindeutiger Quellport | Eindeutiger Zielport |
Eindeutige IP-Adresse | 255.255.255.255 | Eindeutige IP-Adresse | 255.255.255.255 | Eindeutiges IP-Protokoll | Alle | Eindeutiger Zielport |
Eindeutige IP-Adresse | 255.255.255.255 | Eindeutige IP-Adresse | 255.255.255.255 | Eindeutiges IP-Protokoll | Eindeutiger Quellport | Alle |
Eindeutige IP-Adresse | 255.255.255.255 | Eindeutige IP-Adresse | 255.255.255.255 | Eindeutiges IP-Protokoll | Alle | Alle |
Eindeutige IP-Adresse | 255.255.255.255 | Eindeutige IP-Adresse | 255.255.255.255 | Alle | Alle | Alle |
IP-Adressbereich | Subnetzmaske kürzer als 32 Bit (such as 255.255.255.254) | Eindeutige IP-Adresse | 255.255.255.255 | Eindeutiges IP-Protokoll | Eindeutiger Quellport | Eindeutiger Zielport |
IP-Adressbereich | Subnetzmaske kürzer als 32 Bit | Eindeutige IP-Adresse | 255.255.255.255 | Eindeutiges IP-Protokoll | Alle | Eindeutiger Zielport |
IP-Adressbereich | Subnetzmaske kürzer als 32 Bit | Eindeutige IP-Adresse | 255.255.255.255 | Eindeutiges IP-Protokoll | Eindeutiger Quellport | Alle |
IP-Adressbereich | Subnetzmaske kürzer als 32 Bit | Eindeutige IP-Adresse | 255.255.255.255 | Eindeutiges IP-Protokoll | Alle | Alle |
IP-Adressbereich | Subnetzmaske kürzer als 32 Bit | Eindeutige IP-Adresse | 255.255.255.255 | Alle | Alle | Alle |
IP-Adressbereich | 255.255.255.255 | IP-Adressbereich | Subnetzmaske kürzer als 32 Bit | Eindeutiges IP-Protokoll | Eindeutiger Quellport | Eindeutiger Zielport |
Eindeutige IP-Adresse | 255.255.255.255 | IP-Adressbereich | Subnetzmaske kürzer als 32 Bit | Eindeutiges IP-Protokoll | Alle | Eindeutiger Zielport |
Eindeutige IP-Adresse | 255.255.255.255 | IP-Adressbereich | Subnetzmaske kürzer als 32 Bit | Eindeutiges IP-Protokoll | Eindeutiger Quellport | Alle |
Eindeutige IP-Adresse | 255.255.255.255 | IP-Adressbereich | Subnetzmaske kürzer als 32 Bit | Eindeutiges IP-Protokoll | Alle | Alle |
Eindeutige IP-Adresse | 255.255.255.255 | IP-Adressbereich | Subnetzmaske kürzer als 32 Bit | Alle | Alle | Alle |
IP-Adressbereich | Subnetzmaske kürzer als 32 Bit | IP-Adressbereich | Subnetzmaske kürzer als 32 Bit | Eindeutiges IP-Protokoll | Eindeutiger Quellport | Eindeutiger Zielport |
IP-Adressbereich | Subnetzmaske kürzer als 32 Bit | IP-Adressbereich | Subnetzmaske kürzer als 32 Bit | Eindeutiges IP-Protokoll | Alle | Eindeutiger Zielport |
IP-Adressbereich | Subnetzmaske kürzer als 32 Bit | IP-Adressbereich | Subnetzmaske kürzer als 32 Bit | Eindeutiges IP-Protokoll | Eindeutiger Quellport | Alle |
IP-Adressbereich | Subnetzmaske kürzer als 32 Bit | IP-Adressbereich | Subnetzmaske kürzer als 32 Bit | Eindeutiges IP-Protokoll | Alle | Alle |
IP-Adressbereich | Subnetzmaske kürzer als 32 Bit | IP-Adressbereich | Subnetzmaske kürzer als 32 Bit | Alle | Alle | Alle |
Alle | 0.0.0.0 | Eindeutige IP-Adresse | 255.255.255.255 | Eindeutiges IP-Protokoll | Eindeutiger Quellport | Eindeutiger Zielport |
Alle | 0.0.0.0 | Eindeutige IP-Adresse | 255.255.255.255 | Eindeutiges IP-Protokoll | Alle | Eindeutiger Zielport |
Alle | 0.0.0.0 | Eindeutige IP-Adresse | 255.255.255.255 | Eindeutiges IP-Protokoll | Eindeutiger Quellport | Alle |
Alle | 0.0.0.0 | Eindeutige IP-Adresse | 255.255.255.255 | Eindeutiges IP-Protokoll | Alle | Alle |
Alle | 0.0.0.0 | Eindeutige IP-Adresse | 255.255.255.255 | Alle | Alle | Alle |
Eindeutige IP-Adresse | 255.255.255.255 | Alle | 0.0.0.0 | Eindeutiges IP-Protokoll | Eindeutiger Quellport | Eindeutiger Zielport |
Eindeutige IP-Adresse | 255.255.255.255 | Alle | 0.0.0.0 | Eindeutiges IP-Protokoll | Alle | Eindeutiger Zielport |
Eindeutige IP-Adresse | 255.255.255.255 | Alle | 0.0.0.0 | Eindeutiges IP-Protokoll | Eindeutiger Quellport | Alle |
Eindeutige IP-Adresse | 255.255.255.255 | Alle | 0.0.0.0 | Eindeutiges IP-Protokoll | Alle | Alle |
Eindeutige IP-Adresse | 255.255.255.255 | Alle | 0.0.0.0 | Alle | Alle | Alle |
Alle | 0.0.0.0 | IP-Adressbereich | Subnetzmaske kürzer als 32 Bit | Eindeutiges IP-Protokoll | Eindeutiger Quellport | Eindeutiger Zielport |
Alle | 0.0.0.0 | IP-Adressbereich | Subnetzmaske kürzer als 32 Bit | Eindeutiges IP-Protokoll | Alle | Eindeutiger Zielport |
Alle | 0.0.0.0 | IP-Adressbereich | Subnetzmaske kürzer als 32 Bit | Eindeutiges IP-Protokoll | Eindeutiger Quellport | Alle |
Alle | 0.0.0.0 | IP-Adressbereich | Subnetzmaske kürzer als 32 Bit | Eindeutiges IP-Protokoll | Alle | Alle |
Alle | 0.0.0.0 | IP-Adressbereich | Subnetzmaske kürzer als 32 Bit | Alle | Alle | Alle |
IP-Adressbereich | Subnetzmaske kürzer als 32 Bit | Alle | 0.0.0.0 | Eindeutiges IP-Protokoll | Eindeutiger Quellport | Eindeutiger Zielport |
IP-Adressbereich | Subnetzmaske kürzer als 32 Bit | Alle | 0.0.0.0 | Eindeutiges IP-Protokoll | Alle | Eindeutiger Zielport |
IP-Adressbereich | Subnetzmaske kürzer als 32 Bit | Alle | 0.0.0.0 | Eindeutiges IP-Protokoll | Eindeutiger Quellport | Alle |
IP-Adressbereich | Subnetzmaske kürzer als 32 Bit | Alle | 0.0.0.0 | Eindeutiges IP-Protokoll | Alle | Alle |
IP-Adressbereich | Subnetzmaske kürzer als 32 Bit | Alle | 0.0.0.0 | Alle | Alle | Alle |
Alle | 0.0.0.0 | Alle | 0.0.0.0 | Eindeutiges IP-Protokoll | Eindeutiger Quellport | Eindeutiger Zielport |
Alle | 0.0.0.0 | Alle | 0.0.0.0 | Eindeutiges IP-Protokoll | Alle | Eindeutiger Zielport |
Alle | 0.0.0.0 | Alle | 0.0.0.0 | Eindeutiges IP-Protokoll | Eindeutiger Quellport | Alle |
Alle | 0.0.0.0 | Alle | 0.0.0.0 | Eindeutiges IP-Protokoll | Alle | Alle |
Alle | 0.0.0.0 | Alle | 0.0.0.0 | Alle | Alle | Alle |
Außerdem haben die folgenden Punkte Auswirkungen auf die Gewichtung:
| • | Adressbereich mit längeren Subnetzmasken sind spezifischer und haben eine höhere Gewichtung. |
| • | IPSec-Filter, die von Regeln mit IPSec-Tunneling abgeleitet werden, haben eine höhere Gewichtung. |
Die Verarbeitung von Netzwerkverkehr durch IPSec (es wird immer der IPSec-Filter verwendet, der dem Netzwerkverkehr am genausten beschreibt) entspricht der Arbeitsweise von Routingtabellen. Eine Routingtabelle enthält eine Liste mit Einträgen für bestimmte Ziele. Einige Ziele sind sehr genau definiert und andere eher allgemein. Eine Hostroute ist zum Beispiel eine Route zu einer eindeutigen IP-Adresse. Eine Standardroute ist eine Route, die für jede IP-Adresse gilt. Bei der Weiterleitung eines IP-Pakets sucht ein IP-Router den Eintrag aus seiner Routingtabelle, der die Zieladresse am genausten beschreibt.
Mehrere Einträge mit gleicher Gewichtung
In einigen Fällen haben verschiedene IPSec-Filter die gleiche Gewichtung. Dies passiert zum Beispiel, wenn zwei Filter die gleichen Parameter verwenden, aber für unterschiedliche Arten von Netzwerkverkehr gültig sind. Aber auch hier entspricht ein Paket in den meisten Fällen nur einem einzigen IPSec-Filter.
In Konflikt stehende IPSec-Filter
Solche Filter enthalten die gleichen Werte für Adresse, Port und IP-Protokoll, definieren aber unterschiedliche Filteraktionen. Ein Filter könnte den Netzwerkverkehr zum Beispiel zulassen, und der andere blockiert ihn. In diesem Fall wird der restriktivste Filter angewandt. Die Filteraktion "Blockieren" ist restriktiver als "Sicher", die wiederum restriktiver als "Zulassen" ist.
Beispiele zu IPSec-Filtern
Um zu zeigen, wie die IPSec-Filterliste festgelegt wird, möchten wir unsere weiter oben besprochene Beispielrichtlinie um die folgenden Informationen erweitern:
| • | Die IP-Adresse des Computers, auf den die Richtlinie angewandt wird, ist 131.107.21.17/24. |
| • | Das Prefix des Intranets ist 131.107.0.0/16. |
| • | Die IP-Adressen der drei Server sind 131.107.1.1, 131.107.2.2 und 131.107.3.3. |
| • | Alle IP-Filter sind gespiegelt. |
Auf Basis dieser Konfiguration berechnet der Richtlinienagent die in der folgenden Tabelle zu sehende IPSec-Filterliste.
| Quelle | Ziel | Flag | Richtung | Aushandlungsrichtlinie | Gewichtung |
131.107.3.3 | 131.107.21.17 | Sicherheit aushandeln | Eingehend | Sicher | 69206017 |
131.107.2.2 | 131.107.21.17 | Sicherheit aushandeln | Eingehend | Sicher | 69206017 |
131.107.1.1 | 131.107.21.17 | Sicherheit aushandeln | Eingehend | Sicher | 69206017 |
131.107.21.17 | 131.107.2.2 | Sicherheit aushandeln | Ausgehend | Sicher | 69206017 |
131.107.21.17 | 131.107.3.3 | Sicherheit aushandeln | Ausgehend | Sicher | 69206017 |
131.107.21.17 | 131.107.1.1 | Sicherheit aushandeln | Ausgehend | Sicher | 69206017 |
131.107.0.0 (255.255.0.0) | 131.107.21.17 | Zulassen | Eingehend |
| 69203121 |
131.107.21.17 | 131.107.0.0 (255.255.0.0) | Zulassen | Ausgehend |
| 69203120 |
Alle | 131.107.21.17 | Blockieren | Eingehend |
| 34603009 |
131.107.21.17 | Alle | Blockieren | Ausgehend |
| 34603008 |
Wir können aus diesem Beispiel folgendes ableiten:
| • | Je spezifischer IPSec-Filter sind, desto höher ist ihre Gewichtung. |
| • | Die ersten sechs Filter verwenden eine eindeutige Quell- und Zieladresse und haben die gleiche Gewichtung. |
| • | Bei gespiegelten IPSec-Filtern mit Adressbereichen hat ein IPSec-Filter mit einem genauer angegebenen Ziel eine höhere Gewichtung als ein IPSec-Filter mit einer genauer angegeben Quelle. |
Zusätzliche Informationen
Weitere Informationen zu IPSec unter Windows finden Sie unter:
| • | Whitepaper: Internet Protocol Security für Microsoft Windows Server 2003 (englischsprachig). |
| • | IPsec - Technische Referenz (englischsprachig). |
| • | Abschnitt Bereitstellen von IPsec im "Windows Server 2003 Bereitstellungshandbuch" (englischsprachig). |
| • | Auf der Windows Server 2003 IPSec-Webseite (englischsprachig). |