TCP/IP-Grundlagen für Microsoft Windows

Kapitel 13 – Internet Protocol Security (IPsec) und Paketfilterung

Veröffentlicht: 27. Dez 2005 | Aktualisiert: 03. Jan 2006

Zusammenfassung

In diesem Kapitel wird die Unterstützung von IPsec (Internet Protocol Security) und IP-Paketfilterung unter den Betriebssystemen Microsoft® Windows Server™ 2003 und Windows® XP beschrieben. IPsec ermöglicht kryptografischen Schutz für Nutzlasten von IP-Paketen. Mit der Paketfilterung kann festgelegt werden, welche Typen von Paketen empfangen oder verworfen werden. Ein Netzwerkadministrator muss mit IPsec, der Paketfilterung und deren Auswirkungen auf den IP-Netzwerkverkehr vertraut sein, um die Netzwerksicherheit zu konfigurieren und Verbindungsprobleme zu beheben.

Auf dieser Seite

	Zielsetzung
	Übersicht über IPsec und Paketfilterung
	IPSec
	Paketfilterung
	Kapitelzusammenfassung
	Kapitelglossar

Zielsetzung

Nach dem Lesen dieses Kapitels werden Sie zu Folgendem in der Lage sein:

•	Beschreiben der Rollen, die IPsec und die IP-Paketfilterung beim Schutz von Netzwerkknoten übernehmen.
•	Definieren von IPsec und deren Verwendung zum Sperren, Zulassen und Schützen von IP-Datenverkehr.
•	Definieren der Paketfilterung und deren Verwendung zum Sperren oder Zulassen von IP-Datenverkehr.
•	Aufzählen und Beschreiben der Sicherheitseigenschaften von durch IPsec geschütztem Datenverkehr.
•	Beschreiben der Funktionen der IPsec-Protokolle Authentication Header, Encapsulating Security Payload und Internet Key Exchange.
•	Unterscheiden zwischen Transportmodus und Tunnelmodus.
•	Beschreiben des Verwendungszwecks von Hauptmodus und Schnellmodus bei IPsec-Aushandlungen.
•	Definieren einer IPsec-Richtlinie mithilfe allgemeiner Einstellungen und Regeln.
•	Aufzählen und Beschreiben der Konfigurationselemente einer IPsec-Regel.
•	Beschreiben der Windows-Firewall und deren Verwendung zum Schutz vor böswilligen Benutzern und Programmen.
•	Beschreiben der Internetverbindungsfirewall.
•	Beschreiben der TCP/IP-Filterung und ihrer Konfiguration.
•	Beschreiben der Funktionsweise der Basisfirewall und der Filterung von IPv4-Paketen mithilfe von Routing und RAS.
•	Beschreiben der Filterung von IPv6-Paketen mithilfe der IPv6-Basisfirewall, der IPv6-Internetverbindungsfirewall und der Windows-Firewall.

Zum Seitenanfang

Übersicht über IPsec und Paketfilterung

Das Internet wurde ursprünglich für die nicht geschützte Kommunikation miteinander verbundener Computer entworfen. Heute jedoch stellt das Internet eine feindliche Netzwerkumgebung dar. Mit dem Internet verbundene Computer müssen vor böswilligen Benutzern und Programmen geschützt werden, die versuchen, die Ressourcen auf dem Computer unbrauchbar zu machen, zu steuern oder unberechtigt auf diese zuzugreifen. Auch private Intranets können von böswilligen Benutzern oder Programmen betroffen sein. Sowohl im Internet als auch in einem privaten Intranet sollten vertrauliche Daten vor dem Versenden kryptografisch geschützt werden. In manchen Fällen sind Sie von Rechts wegen dazu verpflichtet, im Netzwerk gesendete Daten kryptografisch zu schützen.

Um Datenverkehr zu schützen oder unerwünschten Datenverkehr zu verhindern, stellen Windows Server 2003 und Windows XP die folgenden Technologien bereit:

•	IPsec Ein Framework offener Standards für private, geschützte Kommunikation über Internetprotokoll-(IP-)Netzwerke mittels kryptografischer Sicherheitsdienste. Die Implementierungen von IPsec unter Windows XP und Windows Server 2003 basieren auf den Standards, die von der IPsec-Arbeitsgruppe der Internet Engineering Task Force (IETF) entwickelt wurden.
•	Paketfilterung Eine Funktion zur Konfiguration von Schnittstellen zum Akzeptieren oder Verwerfen eingehenden Datenverkehrs auf Grundlage einer Reihe von Kriterien. Zu diesen Kriterien gehören Transmission Control Protocol-(TCP-)Ports und User Datagram Protocol-(UDP-)Ports, Quell- und Ziel-IP-Adressen, und ob der eingehende Datenverkehr vom empfangenden Computer angefordert wurde.

In diesem Kapitel werden diese beiden Technologien und deren Unterstützung unter Windows Server 2003 und Windows XP beschrieben.

Zum Seitenanfang

IPSec

Die ursprünglichen Standards der TCP/IP-Protokollsuite wurden nicht zum Schutz von IP-Paketen entwickelt. In der Standardeinstellung können IP-Pakete einfach interpretiert, geändert, wiedergegeben und gefälscht werden. Ohne Schutz von IP-Paketnutzlasten sind sowohl öffentliche als auch private Netzwerke anfällig für nicht autorisierte Überwachung und nicht autorisierten Zugriff. Während interne Angriffe das Ergebnis einer minimalen oder nicht vorhandenen Intranetsicherheit sein können, sind die Gefahren für ein privates Netzwerk von außen sowohl auf Verbindungen mit dem Internet als auch mit Extranets zurückzuführen. Für den Zugriff auf Netzwerkressourcen erforderliche Kennwörter, beispielsweise Berechtigungen für einen freigegebenen Ordner, bieten keinen Schutz für im Netzwerk übertragene Daten.

IPsec ist die langfristige Lösung für geschützte, IP-basierte Netzwerke auf Grundlage von Standards. Das Framework stellt in privaten Netzwerken und im Internet die wichtigste Verteidigungslinie gegen Angriffe dar und verbindet einfache Bereitstellung mit einem leistungsfähigen Sicherheitssystem. IPsec verfolgt zwei Ziele:

1.	Schutz von IP-Paketen
2.	Verteidigung gegen Netzwerkangriffe

Beide Ziele werden mithilfe von kryptografiebasierten Datenschutzdiensten, Sicherheitsprotokollen und dynamischer Schlüsselverwaltung erreicht. Diese Grundlagen bieten die erforderliche Leistungsfähigkeit und Flexibilität zum Schutz der Kommunikation zwischen privaten Netzwerkcomputern, Domänen, Sites, Remotesites, Extranets und DFÜ-Clients. Darüber hinaus können Sie IPsec verwenden, um den Empfang oder die Übertragung bestimmer Typen von Datenverkehr zu sperren.

IPsec basiert auf einem End-to-End-Sicherheitsmodell. Lediglich Computer, die Daten senden oder empfangen, müssen IPsec unterstützen. Auf diesen Computern werden Sicherheitsmaßnahmen ergriffen unter der Annahme, dass das Kommunikationsmedium nicht geschützt ist. Computer, die lediglich Daten von der Quelle zum Ziel weiterleiten, müssen IPsec nicht unterstützen. Sie müssen jedoch in der Lage sein, IPsec-Datenverkehr weiterzuleiten.

Sicherheitseigenschaften der durch IPsec geschützten Kommunikation

IPsec stellt die folgenden Sicherheitseigenschaften zum Schutz der Kommunikation bereit:

•	Datenintegrität Dient dem Schutz von Daten vor nicht autorisierter Änderung während der Übertragung. Durch Datenintegrität wird sichergestellt, dass die empfangenen Daten sich nicht von den gesendeten Daten unterscheiden. Jedes Paket wird durch Hashfunktionen mit einer kryptografischen Prüfsumme unter Verwendung eines gemeinsamen geheimen Schlüssels authentifiziert. Nur Sender und Empfänger verfügen über den Schlüssel, mit dem die Prüfsumme berechnet wird. Wenn der Paketinhalt geändert wird, schlägt die Überprüfung der kryptografischen Prüfsumme fehl, und das Paket wird vom Empfänger verworfen.
•	Datenursprungsauthentifizierung Dient dazu, sicherzustellen, dass die Daten von dem Computer gesendet wurden, der über den gemeinsamen geheimen Schlüssel verfügt. Der Sender überträgt einen Nachrichtenauthentifizierungscode mit einer Berechnung, die den gemeinsamen geheimen Schlüssel enthält. Der Empfänger führt die gleiche Berechnung durch und verwirft die Nachricht, wenn das Ergebnis dieser Berechnung nicht mit dem gesendeten Nachrichtenauthentifizierungscode übereinstimmt. Der Nachrichtenauthentifizierungscode stimmt mit der kryptografischen Prüfsumme für Datenintegrität überein.
•	Vertraulichkeit (Verschlüsselung) Dient dazu, sicherzustellen, dass die Daten nur für die vorgesehenen Empfänger offengelegt werden. Vertraulichkeit wird durch Verschlüsseln der Daten vor der Übertragung gewährleistet. Durch Verschlüsselung wird sichergestellt, dass Daten während der Netzwerkübertragung nicht interpretiert werden können, selbst wenn ein böswilliger Benutzer das Paket abfängt und erfasst. Nur die kommunizierenden Computer, die über den gemeinsamen geheimen Schlüssel verfügen, können den Paketinhalt problemlos entschlüsseln und die ursprünglichen Daten ermitteln.
•	Anti-Replay Dient dem Sicherstellen der Eindeutigkeit der einzelnen IP-Pakete, indem jedem Paket eine Sequenznummer zugewiesen wird. Anti-Replay wird auch Replay Prevention (Wiederholungsverhinderung) genannt. Durch Anti-Replay wird sichergestellt, dass böswillige Benutzer keine Daten erfassen und, unter Umständen Monate später, wieder verwenden bzw. erneut senden, um eine Sitzung zu starten oder Zugriff auf Informationen oder andere Ressourcen zu erlangen.

IPsec-Protokolle

IPsec stellt Sicherheitsdienste bereit, indem die Nutzlast eines IP-Pakets mit einem zusätzlichen Header oder Nachspann versehen wird. Dieser Header oder Nachspann enthält die Informationen für Datenursprungsauthentifizierung, Datenintegrität, Vertraulichkeit der Daten und zum Schutz vor Replay-Angriffen. Die folgenden IPsec-Header stehen zur Verfügung:

•

Authentifizierungsheader (AH – Authentication Header)

Bietet Datenauthentifizierung, Datenintegrität und Schutz vor Replay-Angriffen für ein IP-Paket.

•

ESP-Header und -Nachspann (Encapsulating Security Payload)

Bietet Datenauthentifizierung, Datenintegrität, Schutz vor Replay-Angriffen und Vertraulichkeit der Daten für eine IP-Paketnutzlast.

Durch den AH- bzw. ESP-Header und den jeweiligen Nachspann wird das IP-Paket in ein geschütztes Paket umgewandelt.

Die Sicherheitsparameter zum Schutz des Datenverkehrs umfassen beispielsweise die Verwendung von AH oder ESP sowie Verschlüsselungstypen und Authentifizierungsalgorithmen. Um den verwendeten Satz von Sicherheitsparametern auszuhandeln, nutzen IPsec-Peers das IKE-(Internet Key Exchange-)Protokoll.

IPsec-Modi

IPsec unterstützt zwei Modi, durch die die Umwandlung des ursprünglichen IP-Pakets in ein geschütztes Paket beschrieben wird: den Transportmodus und den Tunnelmodus.

Transportmodus

Im Transportmodus wird eine IP-Nutzlast mithilfe eines AH- oder ESP-Headers geschützt. Typische IP-Nutzlasten sind TCP-Segmente (die einen TCP-Header und TCP-Segmentdaten enthalten), UDP-Nachrichten (die einen UDP-Header und UDP-Nachrichtendaten enthalten) und ICMP-Nachrichten (die einen ICMP-Header und ICMP-Nachrichtendaten enthalten).

AH bietet im Transportmodus Datenursprungsauthentifizierung, Datenintegrität und Anti-Replay für das gesamte Paket (sowohl für den IP-Header als auch die mit dem Paket übertragene Datennutzlast, mit Ausnahme von Feldern im IP-Header, die bei der Übertragung geändert werden müssen). Diese Art des Datenschutzes bietet keine Vertraulichkeit, d. h., die Daten werden nicht verschlüsselt. Die Daten können gelesen, jedoch nicht ohne weiteres geändert oder imitiert werden. AH verwendet für die Paketintegrität Schlüsselhashalgorithmen.

Wenn beispielsweise Computer A Daten an Computer B sendet, werden der IP-Header, der AH-Header und die IP-Nutzlast durch Datenintegrität und Datenursprungsauthentifizierung geschützt. Computer B kann sicherstellen, dass Computer A das Paket tatsächlich gesendet hat und das Paket während der Übertragung nicht geändert wurde.

AH wird im IP-Header mit der IP-Protokoll-ID 51 gekennzeichnet. Sie können AH eigenständig oder in Kombination mit ESP verwenden.

Der AH-Header enthält ein Feld für den Sicherheitsparameterindex (SPI), das IPsec zusammen mit der Zieladresse und dem Sicherheitsprotokoll (AH oder ESP) verwendet, um die korrekte Sicherheitszuordnung (SA – Security Association) für die Kommunikation zu kennzeichnen. Beim Empfänger verwendet IPsec den SPI-Wert, um zu ermitteln, mit welcher SA das Paket gekennzeichnet ist. Um Replay-Angriffe zu verhindern, enthält der AH-Header ein Feld für die Sequenznummer. Ein Feld für Authentifikationsdaten im AH-Header enthält den Integritätsprüfwert (ICV – Integrity Check Value), auch bekannt als Nachrichtenauthentifizierungscode, der sowohl zum Überprüfen der Datenintegrität als auch der Datenursprungsauthentifizierung verwendet wird. Der Empfänger berechnet den ICV und vergleicht diesen Wert mit dem ICV im AH-Header (der vom Sender berechnet wird), um die Integrität zu überprüfen. Der ICV wird über den IP-Header, den AH-Header und die IP-Nutzlast berechnet.

AH authentifiziert das gesamte Paket zwecks Datenintegrität und Datenursprungsauthentifizierung, mit Ausnahme einiger Felder im IP-Header, die möglicherweise während der Übertragung geändert werden (beispielsweise die Felder für die Gültigkeitsdauer und die Prüfsumme). In Abbildung 13-1 wird das ursprüngliche IP-Paket dargestellt, und wie dieses durch AH im Transportmodus geschützt wird.

Abbildung 13-1: Ein durch AH im Transportmodus geschütztes Paket Abbildung vergrößern

ESP im Transportmodus bietet (neben Datenursprungsauthentifizierung, Datenintegrität und Anti-Replay) Vertraulichkeit für eine IP-Paketnutzlast. ESP im Transportmodus authentifiziert nicht das gesamte Paket. Nur die IP-Nutzlast (und nicht der IP-Header) wird geschützt. Sie können ESP eigenständig oder in Kombination mit AH verwenden. Beispiel: Computer A sendet Daten an Computer B. Die IP-Nutzlast wird verschlüsselt und authentifiziert. Beim Empfang der Daten überprüft IPsec die Datenintegrität und Datenursprungsauthentifizierung und entschlüsselt die Nutzlast.

ESP wird im IP-Header mit der IP-Protokoll-ID 50 gekennzeichnet. ESP besteht aus einem ESP-Header, der vor der IP-Nutzlast eingefügt wird, und einem ESP- und Authentifizierungsdatennachspann, der hinter der IP-Nutzlast eingefügt wird.

Ebenso wie der AH-Header enthält der ESP-Header Felder für SPI und Sequenznummer. Das Feld für die Authentifikationsdaten im ESP-Nachspann dient der Nachrichtenauthentifizierung sowie der Integrität des ESP-Headers, der Nutzlastdaten und des ESP-Nachspanns.

In Abbildung 13-2 wird das ursprüngliche IP-Paket dargestellt, und wie dieses durch ESP geschützt wird. Im authentifizierten Bereich des Pakets wird angegeben, welcher Teil des Pakets zwecks Datenintegrität und Datenursprungsauthentifizierung geschützt wird. Im verschlüsselten Teil des Pakets wird angegeben, welche Informationen vertraulich sind.

Abbildung 13-2: Ein durch ESP im Transportmodus geschütztes Paket Abbildung vergrößern

Der IP-Header ist weder authentifiziert noch vor Änderungen geschützt. Um Datenintegrität und Datenursprungsauthentifizierung für den IP-Header zu gewährleisten, müssen Sie ESP und AH verwenden.

Tunnelmodus

Im Tunnelmodus wird das gesamte IP-Paket geschützt, indem es als AH- oder ESP-Nutzlast behandelt wird. Ein IP-Paket wird im Tunnelmodus mit einem AH- oder ESP-Header und einem zusätzlichen IP-Header gekapselt. Die IP-Adressen des äußeren IP-Headers sind die Tunnelendpunkte, und die IP-Adressen des gekapselten IP-Headers sind die ursprüngliche Quelladresse und endgültige Zieladresse.

Wie in Abbildung 13-3 dargestellt, kapselt der AH-Tunnelmodus ein IP-Paket mit einem AH-Header und einem IP-Header und authentifiziert das gesamte Paket zwecks Datenintegrität und Datenursprungsauthentifizierung.

Abbildung 13-3: Ein durch AH im Tunnelmodus geschütztes Paket Abbildung vergrößern

Wie in Abbildung 13-4 dargestellt, kapselt der ESP-Tunnelmodus ein IP-Paket mit einem ESP-Header, einem IP-Header und einem ESP-Authentifizierungsnachspann.

Abbildung 13-4: Ein durch ESP im Tunnelmodus geschütztes Paket Abbildung vergrößern

Da dem Paket zum Tunneln ein neuer Header hinzugefügt wird, werden alle Daten hinter dem nun im getunnelten Paket gekapselten ESP-Header authentifiziert (mit Ausnahme des ESP-Felds für die Authentifikationsdaten). Der ursprüngliche Header wird hinter den ESP-Header platziert. Vor der Verschlüsselung wird an das gesamte Paket ein ESP-Nachspann angefügt. Alle Daten hinter dem ESP-Header werden verschlüsselt. Diese Daten umfassen den ursprünglichen Header, der nun Teil des Datenbereichs des Pakets ist, jedoch nicht das ESP-Feld für die Authentifikationsdaten.

Die gesamte ESP-Nutzlast wird anschließend in einen neuen, nicht verschlüsselten IP-Header gekapselt. Die Informationen im neuen IP-Header werden nur verwendet, um das Paket an den Tunnelendpunkt weiterzuleiten.

Beim Senden des Pakets über ein öffentliches Netzwerk wird das Paket zur IP-Adresse des Tunnelservers für das Empfangsintranet weitergeleitet. In den meisten Fällen wird das Paket an einen Intranetcomputer gesendet. Der Tunnelserver entschlüsselt das Paket, löscht den ESP-Header und verwendet den ursprünglichen IP-Header, um das Paket an den Zielintranetcomputer weiterzuleiten.

Im Tunnelmodus können Sie ESP mit AH kombinieren und sowohl Vertraulichkeit für das getunnelte IP-Paket als auch Datenintegrität und Datenursprungsauthentifizierung für das gesamte Paket gewährleisten.

Aushandlungsphasen

Bevor zwei Computer geschützte Daten austauschen können, müssen diese einen Vertrag aushandeln. In diesem Vertrag, Sicherheitszuordnung (SA) genannt, wird festgehalten, auf welche Weise Informationen geschützt werden. Eine SA ist eine Kombination aus ausgehandeltem Verschlüsselungsschlüssel, Sicherheitsprotokoll und SPI. Die Sicherheitszuordnung definiert das Sicherheitssystem, mit dem die Kommunikation zwischen Sender und Empfänger geschützt wird. Der SPI ist ein eindeutiger Identifizierungswert in der SA, der der Unterscheidung zwischen mehreren SAs auf dem Empfangscomputer dient.

Beispielsweise können mehrere SAs vorhanden sein, wenn ein Computer den IPsec-Schutz verwendet und gleichzeitig mit mehreren Computern kommuniziert. Diese Situation tritt häufig auf, wenn es sich bei dem Computer um einen Dateiserver oder RAS-Server für mehrere Clients handelt. In diesen Situationen ermittelt der Empfangscomputer mit dem SPI, welche SA für die Verarbeitung eingehender Pakete verwendet wird.

Um diesen Vertrag zwischen zwei Computern auszuhandeln, hat die IETF IKE als Standardmethode zum Ermitteln von SAs und Schlüsseln definiert. IKE führt die folgenden Aufgaben durch:

•	Zentralisieren der SA-Verwaltung, um die Verbindungsdauer zu verringern.
•	Erstellen und Verwalten gemeinsamer geheimer Schlüssel zum Schutz von Informationen.

Dieser Prozess dient nicht nur dem Schutz der Kommunikation zwischen Computern, sondern schützt auch Remotecomputer, die geschützten Zugriff auf ein Unternehmensnetzwerk anfordern. Darüber hinaus funktioniert dieser Prozess immer, wenn ein Sicherheitsgateway eine Aushandlung für den endgültigen Zielcomputer durchführt.

Phase I oder Hauptmodusaushandlung

Um eine erfolgreiche und geschützte Kommunikation sicherzustellen, führt IKE seine Aufgabe in zwei Phasen durch. IKE stellt während jeder Phase die Vertraulichkeit und Authentifizierung durch Verschlüsselungs- und Authentifizierungsalgorithmen sicher, die die beiden Computer während der Sicherheitsaushandlungen festlegen. Da der Vorgang in zwei Phasen verläuft, können Schlüssel rasch erstellt werden.

Während der ersten Phase richten die beiden Computer einen geschützten, authentifizierten Kanal ein. Diese Phase heißt Phase I-SA oder Hauptmodus-SA. Die Identitäten der zwei Computer werden während dieses Austauschs durch IKE automatisch geschützt.

Für die Hauptmodusaushandlung werden die folgenden Schritten durchgeführt:

Richtlinienaushandlung

Die folgenden vier obligatorischen Parameter werden als Teil der Hauptmodus-SA ausgehandelt:

•	der Verschlüsselungsalgorithmus (für die Windows-Implementierung von IPsec: Data Encryption Standard [DES] oder Triple-DES [3DES]).
•	der Hashalgorithmus (für die Windows-Implementierung von IPsec: Message Digest 5 Hashed Message Authentication Code [MD5-HMAC] oder Secure Hash Algorithm 1-HMAC [SHA1-HMAC]).
•	die Authentifizierungsmethode (für die Windows-Implementierung von IPsec: Kerberos V5, Zertifikat oder Authentifizierung durch vorinstallierten Schlüssel)
•	die Diffie-Hellman-(DH-)Gruppe für das Basisschlüsselmaterial.

DH-Austausch

Zu keinem Zeitpunkt tauschen die beiden Computer tatsächlich Schlüssel aus. Die Computer tauschen nur die Basisinformationen aus, die der DH-Algorithmus für die Schlüsselermittlung zum Erstellen eines gemeinsamen geheimen Schlüssels benötigt. Nach diesem Austausch erstellt der IKE-Dienst auf jedem Computer den Hauptschlüssel, den die Computer für die weitere Kommunikation verwenden.

Authentifizierung

Die Computer versuchen, den DH-Schlüsselaustausch zu authentifizieren. Ein DH-Schlüsselaustausch ohne Authentifizierung ist anfällig für Man-in-the-Middle-Angriffe. Bei einem Man-in-the-Middle-Angriff gibt sich ein Computer als Endpunkt zwischen zwei kommunizierenden Peers aus. Ohne erfolgreiche Authentifizierung kann die Kommunikation nicht fortgesetzt werden. Die kommunizierenden Peers verwenden den Hauptschlüssel, um in Verbindung mit Aushandlungsalgorithmen und -methoden Identitäten zu authentifizieren. Die kommunizierenden Peers hashen und verschlüsseln die gesamte Identitätsnutzlast (einschließlich Identitätstyp, Port und Protokoll) mithilfe der im zweiten Schritt über den DH-Austausch erstellten Schlüssel. Die Identitätsnutzlast wird unabhängig von der verwendeten Authentifizierungsmethode vor Änderungen und Interpretation geschützt.

Der Initiator bietet dem Empfänger eine potenzielle SA an. Das Angebot kann vom Responder nicht geändert werden. Für den Fall, dass das Angebot geändert wird, lehnt der Initiator die Nachricht des Responders ab. Der Responder sendet entweder eine Antwort zum Akzeptieren des Angebots oder stellt Alternativen bereit.

Phase II oder Schnellmodusaushandlung

In dieser Phase werden von den IPsec-Peers die SAs ausgehandelt, um die eigentlichen gesendeten Daten zu schützen. Für die Schnellmodusaushandlung werden die folgenden Schritte durchgeführt:

Richtlinienaushandlung

Die IPsec-Peers tauschen die folgenden Anforderungen aus, um die Datenübertragung zu schützen:

•	das IPsec-Protokoll (AH oder ESP).
•	den Hashalgorithmus (MD5-HMAC oder SHA1-HMAC).
•	den Verschlüsselungsalgorithmus, wenn dieser angefordert wird (DES oder 3DES).

Die Computer erzielen eine Einigung und legen zwei SAs fest. Die eine SA dient der eingehenden Kommunikation, die andere der ausgehenden Kommunikation.

Sitzungsschlüsselmaterial wird aktualisiert oder ausgetauscht.

IKE aktualisiert das Schlüsselmaterial, und neue gemeinsame Schlüssel werden für die Datenintegrität, Datenursprungsauthentifizierung und Verschlüsselung (wenn ausgehandelt) erstellt. Wenn eine erneute Schlüsselerstellung erforderlich ist, wird entweder ein zweiter DH-Austausch durchgeführt (wie im Abschnitt über die Hauptmodusaushandlung beschrieben), oder der ursprüngliche DH-Schlüssel wird aktualisiert.

Die Hauptmodus-SA dient dem Schutz der Schnellmodusaushandlung von Sicherheitseinstellungen und Schlüsselmaterial (zum Zweck des Datenschutzes). Die in der ersten Phase durchgeführten Aufgaben dienen dem Schutz der Identitäten der Computer. In der zweite Phase wird vor dem Senden der Daten das Schlüsselmaterial durch Aktualisierung geschützt. IKE kann eine Schlüsselaustauschnutzlast für einen weiteren DH-Austausch unterstützen, wenn eine erneute Schlüsselerstellung erforderlich ist. Andernfalls wird das Schlüsselmaterial des im Hauptmodus abgeschlossenen DH-Austauschs von IKE aktualisiert.

IPsec-Richtlinieneinstellungen

Eine IPsec-Richtlinie besteht aus den folgenden Elementen:

•

Allgemeine IPsec-Richtlinieneinstellungen

Einstellungen, die unabhängig von den konfigurierten Regeln angewendet werden. Durch diese Einstellungen werden der Name der Richtlinie, ihre Beschreibung für administrative Zwecke sowie Einstellungen und Methoden für den Schlüsselaustausch im Hauptmodus festgelegt.

•

Regeln

Eine oder mehrere IPsec-Regeln, durch die der Typ des von IPsec überwachten Datenverkehrs, die Behandlung des Datenverkehrs (Zulassen, Sperren oder Schützen), die Art und Weise der Authentifizierung eines IPsec-Peers und eine Reihe weiterer Einstellungen festlgelegt werden.

IPsec-Richtlinien können auf lokale Computer, Domänen, Sites oder Organisationseinheiten jedes Gruppenrichtlinienobjekts im Active Directory®-Verzeichnisdienst angewendet werden. Grundlage der IPsec-Richtlinien sollten die Datenschutzrichtlinien im Unternehmen sein. Eine Richtlinie kann mehrere Regeln enthalten, sodass diese mehrere Typen von Datenverkehr steuern kann.

IPsec-Richtlinien können an zwei Speicherorten gespeichert werden:

•

Active Directory

IPsec-Richtlinien, die in Active Directory gespeichert werden, gehören zu den Einstellungen für die Gruppenrichtlinien zur Konfiguration des Computers und werden auf ein Active Directory-Domänenmitglied beim Beitritt zur Domäne und fortlaufend heruntergeladen. Die Richtlinieneinstellungen auf Grundlage von Active Directory werden lokal zwischengespeichert. Wenn der Computer die Richtlinieneinstellungen heruntergeladen hat, jedoch zu keinem Netzwerk mit einem vertrauenswürdigen Domänencontroller unter Microsoft Windows 2000 oder Windows Server 2003 verbunden ist, verwendet IPsec die lokal zwischengespeicherten IPsec-Richtlinieneinstellungen in Active Directory.

•

Lokal

Lokale IPsec-Richtlinien werden für eigenständige Computer und für Computer, die nicht ständig Mitglied einer vertrauenswürdigen Windows 2000- oder Windows Server 2003-Domäne sind, in den Gruppenrichtlinien zur Konfiguration des lokalen Computers gespeichert.

Mit Windows Server 2003 und Windows XP werden Standardrichtlinien bereitgestellt, die Sie als Beispielvorlagen für eigene benutzerdefinierte Richtlinien verwenden können.

Allgemeine IPsec-Richtlinieneinstellungen

Die allgemeinen Einstellungen für eine IPsec-Richtlinie werden (unter Computerkonfiguration-Windows-Einstellungen-Sicherheitseinstellungen-IP-Sicherheitsrichtlinien) im Snap-In Gruppenrichtlinie vorgenommen. Klicken Sie mit der rechten Maustaste auf die IPsec-Richtlinie, wählen Sie Eigenschaften aus, und klicken Sie auf die Registerkarte Allgemein. Nehmen Sie anschließend die folgenden Einstellungen vor:

•	Name Der Name der Richtlinie.
•	Beschreibung Optionaler Text, der den Verwendungszweck der IPsec-Richtlinie beschreibt. Es wird empfohlen, eine Beschreibung einzugeben, um die Einstellungen und Regeln für die Richtlinie zusammenzufassen.
•	"Policy Change"-Pollintervall Anzahl der Minuten zwischen aufeinander folgenden Abfragen von Änderungen an IPsec-Richtlinien, die auf Active Directory basieren. Mit diesen Abfragen können weder Änderungen an der Mitgliedschaft in einer Domäne oder Organisationseinheit ermittelt werden, noch wird die Zuweisung oder Aufhebung einer Zuweisung einer neuen Richtlinie erkannt. Diese Ereignisse werden erkannt, wenn der Dienst für die Windows-Anmeldung Änderungen an Gruppenrichtlinien abfragt. In der Standardeinstellung wird diese Abfrage alle 90 Minuten ausgeführt.

In Abbildung 13-5 wird die Registerkarte Allgemein für die standardmäßige IPsec-Richtlinie Server (Sicherheit anfordern) dargestellt.

Abbildung 13-5: Registerkarte "Allgemein" in den Eigenschaften einer IPsec-Richtlinie

Wenn Sie auf Einstellungen klicken, können Sie die folgenden Einstellungen vornehmen:

•

Einstellungen für den Schlüsselaustausch

Die Art und Weise, wie neue Schlüssel abgeleitet werden, und die Häufigkeit, mit der diese erneuert werden.

•

Methoden für den Schlüsselaustausch

Die Art und Weise, wie Identitäten während des Schlüsselaustauschs geschützt werden.

Die Standardeinstellungen für den Schlüsselaustausch sind so konfiguriert, dass die meisten IPsec-Bereitstellungen unterstützt werden. Solange Sie keine speziellen Sicherheitsanforderungen haben, sollten Sie diese Standardeinstellungen nicht ändern.

In Abbildung 13-6 wird die Registerkarte Einstellungen für den Schlüsselaustausch für die IPsec-Standardrichtlinie Server (Sicherheit anfordern) dargestellt.

Abbildung 13-6: Dialogfeld "Einstellungen für den Schlüsselaustausch"

Regeln

Eine IPsec-Richtlinie besteht aus einer oder mehreren Regeln, durch die das Verhalten von IPsec festgelegt wird. IPsec-Regeln werden in den Eigenschaften einer IPsec-Richtlinie auf der Registerkarte Regeln konfiguriert. Für jede IPsec-Regel können Sie die folgenden Einstellungen vornehmen:

•	Filterliste Sie geben eine einzelne Filterliste an, die einen oder mehrere vordefinierte Paketfilter enthält, welche die Typen von Datenverkehr beschreiben, auf die die konfigurierte Filteraktion für diese Regel angewendet wird.
•	Filteraktion Sie geben eine einzelne Filteraktion an, die den Typ der erforderlichen Aktion (Zulassen, Sperren oder Sichern) für Pakete in der Filterliste enthält. Für die Filteraktion zum Sichern des Pakets enthalten die Aushandlungsdaten eine oder mehrere Sicherheitsmethoden, die (in der Reihenfolge ihrer Priorität) während der IKE-Aushandlungen und für andere IPsec-Einstellungen verwendet werden. Durch jede Sicherheitsmethode werden ein Sicherheitsprotokoll (z. B. AH oder ESP), die spezifischen Kryptografiealgorithmen und die Einstellungen zum erneuten Erstellen von Sitzungsschlüsseln festgelegt.
•	Authentifizierungsmethoden Sie konfigurieren eine oder mehrere Authentifizierungsmethoden (in der Reihenfolge ihrer Priorität) zum Authentifizieren von IPsec-Peers während der Hauptmodusaushandlungen. Sie können das Kerberos V5-Protokoll, ein Zertifikat von einer bestimmten Zertifizierungsstelle oder einen vorinstallierten Schlüssel angeben.
•	Tunnelendpunkt Sie können festlegen, ob die Daten im Tunnelmodus übertragen werden. In diesem Fall geben Sie außerdem die IP-Adresse des Tunnelendpunkts an. Für ausgehenden Datenverkehr ist der Tunnelendpunkt die IP-Adresse des IPsec-Tunnelpeers. Für eingehenden Datenverkehr ist der Tunnelendpunkt eine lokale IP-Adresse.
•	Verbindungstyp Sie können angeben, ob die Regel auf LAN-Verbindungen, DFÜ-Verbindungen oder beide Verbindungstypen angewendet werden soll.

In Abbildung 13-7 werden die Eigenschaften einer Regel für die IPsec-Standardrichtlinie Server (Sicherheit anfordern) dargestellt.

Abbildung 13-7: Eigenschaften einer IPsec-Regel

Die Regeln für eine Richtlinie werden auf Grundlage des Namens der für die einzelnen Regeln ausgewählten Filterliste in umgekehrter alphabetischer Reihenfolge angezeigt. Sie können keine Reihenfolge festlegen, in der die Regeln in einer Richtlinie angewendet werden. Die Windows-Implementierung von IPsec leitet automatisch einen Satz von IPsec-Filtern ab, die den IP-Datenverkehr und die für diesen IP-Verkehr auszuführende, in IPsec konfigurierte Aktion festlegen. IPsec-Filter werden absteigend sortiert. Dabei steht der Filter, der den IP-Datenverkehr am genauesten beschreibt, an erster Stelle. Beispielsweise steht ein IPsec-Filter, in dem einzelne IP-Addressen und TCP-Ports angegeben werden, in der Reihenfolge vor einem IPsec-Filter, in dem alle Adressen eines Subnetzes angegeben sind.

Standardantwortregel

Die Standardantwortregel, die für alle Richtlinien verwendet werden kann, verfügt über die Filterliste <Dynamisch> und die Filteraktion Standardantwort, wenn die Liste von Regeln in den IP-Sicherheitsrichtlinien angezeigt wird. Die Standardantwortregel kann nicht gelöscht werden, Sie können sie jedoch deaktivieren. Sie ist für alle Standardrichtlinien aktiviert, und Sie können sie beim Erstellen von IPsec-Richtlinien aktivieren.

Durch die Standardantwortregel wird sichergestellt, dass der Computer auf Anfragen nach geschützter Kommunikation antwortet. Wenn eine aktive Richtlinie für einen Computer, der geschützte Kommunikation anfordert, über keine Regel verfügt, wird die Standardantwortregel angewendet, und die Einstellungen für den Datenschutz werden ausgehandelt. Beispielsweise wird die Standardantwortregel verwendet, wenn Computer A mit Computer B geschützt kommuniziert und Computer B über keinen Filter für von Computer A eingehenden Datenverkehr verfügt.

Sie können die Authentifizierungsmethoden und den Verbindungstyp für die Standardantwortregel konfigurieren. Wenn für die Filterliste <Dynamisch> angezeigt wird, weist dies darauf hin, dass die Filterliste nicht konfiguriert ist, die Filter jedoch beim Empfang der IKE-Aushandlungspakete automatisch erstellt werden. Die Filteraktion Standardantwort weist darauf hin, dass Sie die Aktion des Filters (Zulassen, Sperren oder Sicherheit aushandeln) nicht konfigurieren können. Sie können jedoch die folgenden Einstellungen vornehmen:

•	Die Sicherheitsmethoden und deren Priorität. Um diese Einstellungen zu konfigurieren, klicken Sie in den Eigenschaften der IPsec-Richtlinie auf die Registerkarte Regeln und dann auf die Standardantwortregel. Klicken Sie auf Bearbeiten und anschließend auf die Registerkarte Sicherheitsmethoden.
•	Die Authentifizierungsmethoden und deren Priorität. Um diese Einstellungen zu konfigurieren, klicken Sie auf die Standardantwortregel, auf Bearbeiten und anschließend auf die Registerkarte Authentifizierungsmethoden.

Filterliste

Eine IP-Filterliste löst eine Filteraktion auf Grundlage einer Übereinstimmung mit der Quelle, dem Ziel und dem Typ des IP-Datenverkehrs aus. Mit diesem Typ der IP-Paketfilterung kann ein Netzwerkadministrator präzise definieren, welcher Teil des IP-Datenverkehrs zugelassen, gesperrt oder geschützt werden soll. Jede IP-Filterliste enthält einen oder mehrere Filter, die IP-Adressen und Datenverkehrstypen definieren. Sie können eine IP-Filterliste für mehrere Typen von IP-Datenverkehr verwenden.

Für geschützte Pakete müssen Sie sowohl einen eingehenden als auch einen ausgehenden Filter zwischen den in der Filterliste angegebenen Computern konfigurieren. Eingehende Filter werden auf eingehenden Datenverkehr angewendet und ermöglichen dem empfangenden Computer, auf Anfragen nach geschützter Kommunikation zu antworten oder Datenverkehr mit der IP-Filterliste zu vergleichen. Ausgehende Filter werden auf Datenverkehr angewendet, der vom Computer an ein anderes Ziel gesendet wird, und lösen vor dem Senden des Datenverkehrs eine Sicherheitsaushandlung aus. Beispiel: Computer A fordert den Austausch geschützter Daten mit Computer B an. In diesem Fall müssen die folgenden Bedingungen erfüllt sein:

•	Die aktive IPsec-Richtlinie auf Computer A muss über einen Filter für alle an Computer B ausgehenden Pakete verfügen.
•	Die aktive IPsec-Richtlinie auf Computer A muss über einen Filter für alle von Computer B eingehenden Pakete verfügen.

Jeder Peer muss über das jeweilige Gegenstück zu einem Filter verfügen. Beispiel:

•	Die aktive IPsec-Richtlinie auf Computer B muss über einen Filter für alle von Computer A eingehenden Pakete verfügen.
•	Die aktive IPsec-Richtlinie auf Computer B muss über einen Filter für alle an Computer A ausgehenden Pakete verfügen.

Filtereinstellungen

Jeder Filter definiert eine bestimmte Untermenge von eingehendem oder ausgehendem Netzwerkverkehr. Für jeden Datenverkehr, auf den die entsprechende Regel angewendet wird, muss ein Filter vorhanden sein. Ein Filter kann die folgenden Einstellungen enthalten:

•	Quell- und Zieladresse des IP-Pakets. Sie können jede dem IP-Peer zugewiesene IP-Adresse, eine einzelne IP-Adresse, IP-Adressen nach DNS-Namen oder Adressbereiche von IP-Subnetzen konfigurieren.
•	Das Protokoll für die Übertragung des Pakets. Diese Einstellung verwendet standardmäßig alle Protokolle der TCP/IP-Protokollsuite. Sie können den Filter jedoch für ein bestimmtes Protokoll konfigurieren, um spezielle Anforderungen zu erfüllen. Hierfür können auch benutzerdefinierte Protokolle verwendet werden.
•	Für TCP und UDP den Quell- und Zielport des Protokolls. In der Standardeinstellung werden alle TCP- und UDP-Ports verwendet. Sie können den Filter jedoch so konfigurieren, dass dieser nur auf einen bestimmten TCP- oder UDP-Port angewendet wird.

In Abbildung 13-8 wird die Filterliste ICMP-Datenverkehr insgesamt für die IPsec-Standardrichtlinie Server (Sicherheit anfordern) dargestellt.

Abbildung 13-8: Beispiel für eine IP-Filterliste

Filteraktion

Mit einer Filteraktion wird definiert, wie Datenverkehr durch die Windows-Implementierung von IPsec behandelt werden muss. In Abbildung 13-9 wird die Filteraktion Sicherheit erforderlich für die IPsec-Standardrichtlinie Server (Sicherheit anfordern) dargestellt.

Abbildung 13-9: Eine IPsec-Filteraktion

Sie können eine Filteraktion für die folgenden Aufgaben konfigurieren:

•

Zulassen des Datenverkehrs (Einstellung Zulassen)

Die Windows-Implementierung von IPsec leitet den Datenverkehr ohne Änderung oder Schutz weiter. Diese Einstellung ist für Datenverkehr von Computern geeignet, die IPsec nicht unterstützen.

•

Sperren des Datenverkehrs (Einstellung Sperren)

Der Datenverkehr wird von IPsec ohne Warnung verworfen.

•

Aushandeln von IPsec (Einstellung Sicherheit aushandeln)

Für IPsec müssen Sender und Empfänger SAs aushandeln und durch IPsec geschützten Datenverkehr senden und empfangen. Nachdem Sie das Aushandeln von IPsec ausgewählt haben, können Sie außerdem die folgenden Aufgaben durchführen:

•	Angeben der Sicherheitsmethoden und deren Reihenfolge
•	Zulassen des ersten eingehenden, nicht geschützten Datenverkehrs (Einstellung Unsichere Kommunikat. annehmen, aber immer mit IPSec antworten) Wenn Sie diese Einstellung konfigurieren, lässt IPsec eingehende Pakete zu, die in der konfigurierten Filterliste als durch IPsec nicht geschützt aufgeführt werden. Die ausgehende Antwort auf das eingehende Paket muss jedoch geschützt werden. Dieses Verhalten wird auch eingehendes Passthrough genannt. Diese Einstellung ist sinnvoll, wenn Sie die Standardantwortregel für Clients verwenden. Betrachten Sie beispielsweise eine Gruppe von Servern, für die eine Regel konfiguriert ist, die die gesamte Kommunikation mit allen IP-Adressen schützt. Diese Gruppe akzeptiert nicht geschützte Kommunikation und antwortet nur mittels geschützter Kommunikation. Um sicherzustellen, dass die Clients auf die Serveranforderung zum Aushandeln der Sicherheit antworten, müssen Sie die Standardantwortregel für Clientcomputer aktivieren.
•	Aktivieren der Kommunikation mit Computern, auf denen IPsec nicht aktiviert ist (Einstellung Unsichere Komm. mit Computern zulassen, die IPSec nicht unterstützen) Wenn Sie diese Einstellung konfigurieren, greift IPsec bei Bedarf auf nicht geschützte Kommunikation zurück. Dieses Verhalten ist auch als "Fallback to Clear" bekannt. Mit dieser Einstellung wird die Kommunikation mit Computern ermöglicht, die IPsec nicht initiieren können. Dazu zählen z. B. Computer, auf denen Microsoft-Betriebssysteme ausgeführt werden, die älter als Windows 2000 sind.
•	Erstellen von Sitzungsschlüsseln aus neuem Schlüsselmaterial (Einstellung Sitzungsschlüssel mit Perfect Forward Secrecy (PFS) verwenden) Durch diese Einstellung wird festgelegt, ob ein neuer Sitzungsschlüssel aus vorhandenem Material zum Erstellen eines in einer Hauptmodusaushandlung festgelegten Hauptschlüssels abgeleitet werden kann. Indem Sie Sitzungsschlüssel mit PFS verwenden, wird sichergestellt, dass Material zum Erstellen von Hauptschlüsseln nicht zum Ableiten mehrerer Sitzungsschlüssel verwendet werden kann. Bei aktivierter PFS für Sitzungsschlüssel wird ein neuer Diffie-Hellman-Schlüsselaustausch durchgeführt, um neues Material zum Erstellen von Hauptschlüsseln zu erzeugen, bevor der neue Sitzungsschlüssel erstellt wird. Sitzungsschlüssel-PFS erfordert keine erneute Hauptmodusauthentifizierung und verbraucht weniger Ressourcen als Hauptschlüssel-PFS.

IPsec-Sicherheitsmethoden

Durch die einzelnen Sicherheitsmethoden werden die Sicherheitsanforderungen jeder Kommunikation definiert, auf die die entsprechende Regel angewendet wird. Indem Sie mehrere Sicherheitsmethoden erstellen, erhöhen Sie die Wahrscheinlichkeit, dass für zwei Computer eine gemeinsame Sicherheitsmethode gefunden wird. Die IKE-Komponente liest die Liste der Sicherheitsmethoden in absteigender Reihenfolge und sendet eine Liste zulässiger Sicherheitsmethoden an den anderen Peer. Die erste gemeinsame Methode wird ausgewählt. Typischerweise befinden sich die Methoden mit der größten kryptografischen Sicherheit am Anfang der Liste, und die Methoden mit der geringsten kryptografischen Sicherheit am Ende der Liste.

Die folgenden Sicherheitsmethoden sind vordefiniert:

•

Verschlüsselung und Integrität Verwendet ESP für Vertraulichkeit der Daten (Verschlüsselung) mit 3DES, Datenintegrität und Datenursprungsauthentifizierung mit SHA1 und standardmäßige Schlüsselgültigkeitsdauern (100 MB, 1 Stunde). Wenn sowohl Datenschutz als auch Addressierungsschutz (IP-Headerschutz) erforderlich sind, können Sie eine benutzerdefinierte Sicherheitsmethode erstellen. Wenn keine Verschlüsselung benötigt wird, können Sie die Option Nur Integrität auswählen.

•

Nur Integrität Verwendet ESP für Datenintegrität und Authentifizierung mit SHA1 und standardmäßige Schlüsselgültigkeitsdauern (100 MB, 1 Stunde). In dieser Konfiguration bietet ESP keine Vertraulichkeit der Daten (Verschlüsselung). Diese Methode ist geeignet, wenn für den Sicherheitsplan Standardsicherheitsstufen erforderlich sind.

In Abbildung 13-10 wird die Registerkarte Neue Sicherheitsmethode dargestellt. Diese Registerkarte wird angezeigt, wenn Sie zu einer Filteraktion eine Sicherheitsmethode hinzufügen.

Abbildung 13-10: Registerkarte "Neue Sicherheitsmethode"

Benutzerdefinierte Sicherheitsmethoden

Wenn die Einstellung Verschlüsselung und Integrität oder Nur Integrität nicht Ihren Sicherheitsanforderungen entspricht, können Sie benutzerdefinierte Sicherheitsmethoden angeben. Beispielsweise können Sie mit benutzerdefinierten Sicherheitsmethoden Verschlüsselung und Adressintegrität, leistungsfähigere Algorithmen oder Schlüsselgültigkeitsdauern angeben.

Bei der Konfiguration benutzerdefinierter Sicherheitsmethoden können Sie folgende Angaben machen:

•

Sicherheitsprotokolle

Sie können in einer benutzerdefinierten Sicherheitsmethode sowohl AH als auch ESP aktivieren, wenn IP-Headerintegrität und Datenverschlüsselung erforderlich sind. Wenn Sie beide Protokolle aktivieren, müssen Sie für ESP keinen Integritätsalgorithmus angeben. Datenintegrität wird durch den für AH ausgewählten Algorithmus bereitgestellt.

•

Integritätsalgorithmus

•	MD5
•	SHA1, der einen leistungsfähigeren Hash als MD5 darstellt und dem Standard für Informationsverarbeitung in US-Behörden (FIPS – Federal Information Processing Standard) entspricht. Microsoft empfiehlt, SHA1 anstelle von MD5 zu verwenden.

•

Verschlüsselungsalgorithmus

•	DES
•	3DES, der wesentlich sicherer als DES ist. Microsoft empfiehlt, 3DES anstelle von DES zu verwenden.

•

Sitzungsschlüsseleinstellungen

Durch die Sitzungsschlüsseleinstellungen wird festgelegt, zu welchem Zeitpunkt ein neuer Schlüssel erstellt wird, und weniger die Art und Weise der Schlüsselerstellung. Sie können eine Gültigkeitsdauer in KB, Sekunden oder in beiden Einheiten angeben. Wenn die Kommunikationsdauer beispielsweise 10.000 Sekunden beträgt, und Sie eine Schlüsselgültigkeitsdauer von 1.000 Sekunden angeben, werden für die Übertragung 10 Schlüssel erstellt. Auf diese Weise wird sichergestellt, dass ein Angreifer nicht in der Lage ist, die gesamte Kommunikation zu entschlüsseln. Dies ist auch dann nicht möglich, wenn der Angreifer einen Sitzungsschlüssel ermittelt und einen Teil der Kommunikation entschlüsselt. In der Standardeinstellung werden neue Sitzungsschlüssel jede Stunde oder nach jeder Übertragung von 100 MB Daten erstellt.

In Abbildung 13-11 wird das Dialogfeld Einstellungen für Sicherheitsmethoden anpassen dargestellt. Dieses Dialogfeld wird angezeigt, wenn Sie zu einer Filteraktion eine benutzerdefinierte Sicherheitsmethode hinzufügen.

Abbildung 13-11: Dialogfeld "Einstellungen für Sicherheitsmethoden anpassen"

Authentifizierung

Durch jede IPsec-Regel wird eine Liste mit Authentifizierungmethoden definiert. Durch die einzelnen Authentifizierungsmethoden werden die Anforderungen für die Überprüfung von Identitäten bei geschützter Kommunikation definiert, auf die die entsprechende Regel angewendet wird. Die beiden Peers müssen über mindestens eine gemeinsame Authentifizierungsmethode verfügen, andernfalls schlägt die Kommunikation fehl. Indem Sie mehrere Authentifizierungsmethoden erstellen, erhöhen Sie die Wahrscheinlichkeit, dass für zwei Computer eine gemeinsame Methode gefunden wird.

Für zwei kommunizierende Computer kann nur eine Authentifizierungsmethode verwendet werden, unabhängig davon, wie viele Authentifizierungsmethoden Sie konfigurieren. Wenn mehrere Regeln vorhanden sind, die auf dasselbe Paar von Computern angewendet werden, müssen Sie die Listen mit Authentifizierungsmethoden in diesen Regeln so konfigurieren, dass die Computer dieselbe Methode verwenden können. Beispiel: Eine Regel für zwei kommunizierende Computer gibt nur Kerberos zur Authentifizierung an und filtert lediglich TCP-Daten, während eine andere Regel zur Authentifizierung nur Zertifikate angibt und nur UDP-Daten filtert. In diesem Fall schlägt die Authentifizierung fehl.

Die folgenden Authentifizierungsmethoden werden von IPsec unterstützt:

•

Kerberos V5 Das Kerberos V5-Sicherheitsprotokoll stellt die Standardauthentifizierungsmethode für Clients dar, auf denen das Kerberos V5-Protokoll ausgeführt wird und die Mitglieder derselben Active Directory-Domäne oder von vertrauenswürdigen Active Directory-Domänen sind.

Die Kerberos V5-Authentifizierung wird von Computern, auf denen Windows XP Home Edition ausgeführt wird, nicht unterstützt. Dies gilt auch für Computer, auf denen ein Windows 2000-, Windows XP- oder Windows Server 2003-Betriebssystem ausgeführt wird und die nicht Mitglied einer Active Directory-Domäne sind.

•

Öffentlicher Schlüssel eines Zertifikats Sie sollten den öffentlichen Schlüssel eines Zertifikats in Situationen verwenden, in denen auf das Internet oder remote auf Unternehmensressourcen zugegriffen werden muss, eine Kommunikation mit externen Geschäftspartnern erforderlich ist oder Computer verwendet werden, auf denen das Kerberos V5-Sicherheitsprotokoll nicht ausgeführt wird. Für diese Methode sind Zertifikate von mindestens einer vertrauenswürdigen Zertifizierungsstelle (CA – Certification Authority) erforderlich. Computer, auf denen Windows Server 2003, Windows XP oder Windows 2000 ausgeführt wird, unterstützen X.509 Version 3-Zertifikate. Dazu zählen auch Zertifikate von kommerziellen CAs.

•

Vorinstallierter Schlüssel Bei dieser Methode wird ein mit einem Kennwort vergleichbarer, gemeinsamer geheimer Schüssel verwendet. Diese Methode ist benutzerfreundlich und erfordert kein Kerberos V5-Protokoll oder öffentliches Schlüsselzertifikat auf dem Client. Beide Beteiligten müssen IPsec manuell konfigurieren, um den vorinstallierten Schlüssel zu nutzen. Vorinstallierte Schlüssel sind eine einfache Methode zum Authentifizieren von Computern, auf denen nicht Windows Server 2003, Windows XP oder Windows 2000 ausgeführt wird. Diese Methode eignet sich auch für eigenständige Computer oder Computer, auf denen das Kerberos V5-Protokoll nicht ausgeführt wird. Dieser Schlüssel dient allein der Authentifizierung von Peers und nicht dem Schutz von Daten, die zwischen IPsec-Peers gesendet werden.

Tunnelendpunkt

IPsec-Tunnel dienen dem Schutz vollständiger IP-Pakete. Sie können den Tunnel so konfigurieren, dass der Datenverkehr entweder zwischen zwei IP-Adressen oder zwei IP-Subnetzen geschützt wird. Wenn Sie den Tunnel zwischen zwei Computern anstatt zwischen zwei Routern (Gateways) konfigurieren, stimmt die IP-Adresse außerhalb der AH- oder ESP-Nutzlast mit der IP-Adresse innerhalb der AH- oder ESP-Nutzlast überein.

IPsec kann für Szenarios, in denen das Layer-Two-Tunneling-Protokoll (L2TP) nicht verwendet werden kann, ein Tunneling auf Schicht 3 durchführen. Wenn Sie für Remotekommunikation L2TP verwenden, müssen Sie keinen Tunnel konfigurieren, da die Windows XP-Komponenten für das virtuelle private Netzwerk (VPN) von Client und Server automatisch die entsprechenden Regeln zum Schutz von L2TP-Datenverkehr erstellen.

Um mithilfe von IPsec einen Layer 3-Tunnel zu erstellen, verwenden Sie IP-Sicherheitsrichtlinien oder Gruppenrichtlinien, um für die entsprechende Richtlinie die folgenden zwei Regeln zu konfigurieren und zu aktivieren:

Eine Regel für durch den Tunnel ausgehenden Datenverkehr.

Sie konfigurieren die Regel für ausgehenden Datenverkehr mithilfe einer Filterliste, durch die der durch den Tunnel gesendete Datenverkehr beschrieben wird, sowie mithilfe eines Tunnelendpunkts, der eine dem IPsec-Tunnelpeer zugewiesene IP-Adresse darstellt. (Der IPsec-Tunnelpeer ist der Computer oder Router auf der anderen Seite des Tunnels.)

Eine Regel für durch den Tunnel eingehenden Datenverkehr.

Sie konfigurieren die Regel für eingehenden Datenverkehr mithilfe einer Filterliste, durch die der durch den Tunnel empfangene Datenverkehr beschrieben wird, sowie mithilfe eines Tunnelendpunkts, der eine lokale IP-Adresse darstellt. (Diese lokale IP-Adresse ist der Computer oder Router auf der Seite des Tunnels, an dem die Regel definiert wird.)

Für jede Regel müssen Sie außerdem Filteraktionen, Authentifizierungsmethoden und andere Einstellungen angeben.

Verbindungstyp

Für jede IPsec-Regel müssen Sie definieren, auf welche Verbindungstypen auf dem Computer die Regel angewendet wird. Zu den Verbindungstypen gehören alle Netzwerkverbindungen auf dem Computer, für den die IPsec-Richtlinie konfiguriert wird.

Jede Regel verfügt über eine Verbindungstypeinstellung:

•	Alle Netzwerkverbindungen Die Regel gilt für jede Kommunikation, die über eine beliebige auf dem Computer konfigurierte Netzwerkverbindung erfolgt.
•	LAN Die Regel gilt nur für Kommunikation, die über auf dem Computer konfigurierte LAN-Verbindungen erfolgt.
•	RAS Die Regel gilt nur für Kommunikation, die über auf dem Computer konfigurierte RAS- oder DFÜ-Verbindungen erfolgt.

IPsec für IPv6-Datenverkehr

Das IPv6-Protokoll für Windows Server 2003 und Windows XP ...

•	unterstützt AH im Transport- oder Tunnelmodus mit MD5 oder SHA1 sowie ESP im Transport- oder Tunnelmodus unter Verwendung des ESP-Headers NULL und MD5 oder SHA1. ESP-Datenverschlüsselung wird von IPv6 nicht unterstützt.
•	ist unabhängig von IPsec für das IPv4-Protokoll und mit diesem nicht kompatibel. IPsec-Richtlinien, die mit IP-Sicherheitsrichtlinien oder Gruppenrichtlinien konfiguriert werden, haben keine Auswirkungen auf den IPv6-Datenverkehr.
•	unterstützt nicht die Verwendung von IKE zum Aushandeln von SAs. Sie müssen das Tool Ipsec6.exe verwenden, um IPsec-Richtlinien, SAs und Verschlüsselungsschlüssel manuell zu konfigurieren. Weitere Informationen finden Sie unter Hilfe und Support in Windows XP bzw. Windows Server 2003.

Zum Seitenanfang

Paketfilterung

Für die Paketfilterung unterstützen Computer, auf denen Windows Server 2003 oder Windows XP ausgeführt wird, neben den IPsec-Filteraktionen auch die folgenden Features:

•	Windows-Firewall
•	Internetverbindungsfirewall
•	TCP/IP-Filterung

Auf Computern, auf denen Windows Server 2003 mit Routing und RAS ausgeführt wird, können Sie auch die folgenden Features verwenden:

•	IP-Paketfilterung
•	Basisfirewall

Windows-Firewall

Eine Firewall ist eine schützende Grenze zwischen einem Computer oder Netzwerk und der Außenwelt. Die Windows-Firewall ist eine statusbehaftete Hostfirewall für IPv4- und IPv6-Datenverkehr unter Windows XP mit Service Pack 2 (SP2) und Windows Server 2003 mit Service Pack 1 (SP1). Dieses Feature lässt eingehenden Datenverkehr nur zu, wenn dieser entweder als Antwort auf eine Anfrage des Computers gesendet wurde oder erwartet wird (d. h., nicht angeforderter Datenverkehr, der als zulässig angegeben wurde). Die Windows-Firewall bietet Schutz vor böswilligen Benutzern und Programmen, die den Computer mithilfe von nicht angefordertem Datenverkehr angreifen. Mit Ausnahme einiger ICMP-Nachrichten (Internet Control Message Protocol) wird sämtlicher ausgehender Datenverkehr von der Windows-Firewall zugelassen.

Die Windows-Firewall wurde für beliebige Netzwerkverbindungen entwickelt. Dazu zählen auch Internetverbindungen sowie Verbindungen mit kleinen Büro- oder Heimnetzwerken oder Netzwerken privater Unternehmen. Eine Netzwerkfirewall, ein Netzwerkproxy und andere Sicherheitssysteme in einem Unternehmen bieten Netzwerkcomputern im Intranet einen gewissen Schutz vor Internetangriffen. Wenn für Intranetverbindungen keine Hostfirewalls, wie z. B. die Windows-Firewall, eingesetzt werden, sind die Computer jedoch weiterhin anfällig für bösartige Programme, die über tragbare Computer in das Intranet gelangen.

Nehmen Sie z. B. an, dass ein Mitarbeiter einen Firmenlaptop mit einem Heimnetzwerk verbindet, das über keine geeigneten Schutzmaßnahmen verfügt. Da der Firmenlaptop über keine für die Netzwerkverbindung konfigurierte Hostfirewall verfügt, wird der Laptop mit einem bösartigen Programm infiziert (beispielsweise einem Virus oder Wurm), das sich über nicht angeforderten Datenverkehr auf anderen Computern verbreitet. Der Mitarbeiter bringt den Laptop zurück ins Büro, verbindet ihn mit dem Unternehmensintranet und umgeht auf diese Weise die Sicherheitssysteme an der Intranetgrenze. Während der Laptop mit dem Intranet verbunden ist, beginnt das bösartige Programm, andere Computer zu infizieren. Wenn die Windows-Firewall andererseits standardmäßig aktiviert ist, wird der Laptop während der Verbindung mit dem Heimnetzwerk unter Umständen nicht mit dem bösartigen Programm infiziert. Selbst wenn der Laptop infiziert wird, kann eine Infizierung der Computer im lokalen Intranet während der Verbindung zwischen Laptop und Intranet mit einer aktivierten Windows-Firewall verhindert werden.

Wenn auf den Computern unter Windows XP mit SP2 oder Windows Server 2003 mit SP1 clientbasierte Programme ausgeführt werden, wird die Kommunikation durch eine aktivierte Windows-Firewall nicht beeinträchtigt. Webzugriff, E-Mail, Gruppenrichtlinien und Verwaltungsagenten, die Aktualisierungen von einem Verwaltungsserver anfordern, sind Beispiele für clientbasierte Programme. Für clientbasierte Programme wird die Kommunikation stets vom Clientcomputer initiiert, und die Firewall lässt den gesamten Antwortverkehr von einem Server zu, da dieser angeforderter, eingehender Datenverkehr ist.

Unter Windows XP mit SP2 ist die Windows-Firewall in der Standardeinstellung für alle Netzwerkverbindungen aktiviert. Ausnahmen können Sie in der Systemsteuerung über die Option Windows-Firewall konfigurieren. Sie können diese Option auch im Windows-Sicherheitscenter auswählen, das mit SP2 eingeführt wurde. Unter Windows Server 2003 mit SP1 ist die Windows-Firewall in der Standardeinstellung deaktiviert. In Abbildung 13-12 wird das Dialogfeld Windows-Firewall dargestellt, das unter Windows XP mit SP2 eingeführt wurde.

Abbildung 13-12: Dialogfeld "Windows-Firewall" unter Windows XP mit SP2

Das Dialogfeld Windows-Firewall verfügt über die folgenden Registerkarten:

•	Auf der Registerkarte Allgemein können Sie die Windows-Firewall aktivieren, deaktivieren oder aktivieren, ohne Ausnahmen zuzulassen.
•	Auf der Registerkarte Ausnahmen können Sie Ausnahmen für zulässigen eingehenden Datenverkehr angeben. Sie können diese Ausnahmen nach TCP-Port, UDP-Port oder Programmnamen angeben.
•	Auf der Registerkarte Erweitert können Sie die Windows-Firewall für bestimmte Schnittstellen aktivieren oder deaktivieren, erweiterte Einstellungen für bestimmte Schnittstellen vornehmen sowie Protokollierungs- und ICMP-Optionen konfigurieren.

Funktionsweise der Windows-Firewall

Die Windows-Firewall ist eine statusbehaftete Hostfirewall für eingehenden Datenverkehr. Die Windows-Firewall dient einem anderen Zweck als eine Routerfirewall, die an der Grenze zwischen dem privaten Netzwerk und dem Internet bereitgestellt wird. Eine Routerfirewall schützt den Datenverkehr, der an den Router als Zwischenstopp zwischen Quelle und Ziel des Datenverkehrs gesendet wird. Die Windows-Firewall ist jedoch eine Firewall für Datenverkehr, der für den Computer bestimmt ist, auf dem die Windows-Firewall ausgeführt wird.

Die Windows-Firewall funktioniert nach folgendem Schema:

•

Die Windows-Firewall untersucht jedes eingehende Paket und vergleicht es mit einer Liste mit zulässigem Datenverkehr. Wenn das Paket mit einem Eintrag in der Liste übereinstimmt, wird das Paket an das TCP/IP-Protokoll zur weiteren Verarbeitung übergeben. Wenn das Paket mit keinem Eintrag in der Liste übereinstimmt, wird das Paket von der Windows-Firewall ohne Warnung verworfen. Darüber hinaus wird bei aktivierter Protokollierung in der Protokolldatei für die Windows-Firewall ein Eintrag erstellt.

In der Ausnahmenliste wird der Datenverkehr mithilfe von IP-Adressen, TCP-Ports und UDP-Ports angegeben. Datenverkehr kann nicht auf Grundlage des Felds IP-Protokoll im IP-Header angegeben werden.

Die Liste mit zulässigem Datenverkehr wird auf zwei Arten aufgefüllt:

•

Wenn die Verbindung, für die die Windows-Firewall aktiviert ist, ein Paket sendet, erstellt die Windows-Firewall einen Eintrag in der Liste, sodass jede Antwort auf den Datenverkehr zugelassen wird. Der Antwortverkehr wird als eingehender angeforderter Datenverkehr behandelt.

Wenn z. B. ein Host eine DNS-Name Query Request-Nachricht an einen DNS-Server sendet, fügt die Windows-Firewall einen Eintrag hinzu, sodass die vom DNS-Server gesendete DNS-Name Query Response-Nachricht zur weiteren Verarbeitung an das TCP/IP-Protokoll übergeben werden kann. Aufgrund dieses Verhaltens ist die Windows-Firewall eine statusbehaftete Firewall, da die Statusinformationen zum Datenverkehr, der vom lokalen Computer initiiert wird, beibehalten werden. Auf diese Weise wird der entsprechende, eingehende Antwortverkehr zugelassen.

•

Wenn Sie die Windows-Firewall so konfigurieren, dass Ausnahmen zugelassen sind, wird der erwartete Datenverkehr zur Liste hinzugefügt. Diese Funktion ermöglicht es einem Computer mit der Windows-Firewall, nicht angeforderten, eingehenden Datenverkehr zu akzeptieren, wenn der Computer die Rolle eines Servers, Listeners oder Peers übernimmt.

Wenn der Computer z. B. die Rolle eines Webservers übernimmt, müssen Sie die Windows-Firewall so konfigurieren, dass Webverkehr zugelassen wird. Auf diese Weise kann der Computer auf Anforderungen von Webclients antworten. Sie können Ausnahmen auf Grundlage von Programmen, TCP-Ports oder UDP-Ports konfigurieren. Für ausgenommene Programme fügt die Windows-Firewall automatisch Ports zur Ausnahmenliste hinzu, wenn diese vom Programm angefordert werden und das Programm ausgeführt wird. Die Ports werden auf Anforderung des Programms entfernt, oder wenn das Programm beendet wird. Ausgenommene Ports werden unabhängig davon geöffnet, ob die Anwendung oder der Dienst, der die Ports verwendet, ausgeführt wird oder nicht.

Internetverbindungsfirewall (ICF – Internet Connection Firewall)

ICF ist eine statusbehaftete Hostfirewall für IPv4-Datenverkehr, die unter Windows XP ohne Service Packs, Windows XP mit SP1 und Windows Server 2003 ohne Service Packs bereitgestellt wird. Sie sollten ICF für die Internetverbindung auf jedem Computer aktivieren, auf dem eines dieser Betriebssysteme ausgeführt wird und der direkt mit dem Internet verbunden ist.

Wenn ICF für eine Netzwerkverbindung aktiviert ist, wird das Netzwerkverbindungssymbol in den Netzwerkverbindungen mit einem Schloss gekennzeichnet und dem Status Aktiviert, mit Firewall angezeigt. In Abbildung 13-13 wird ein Beispiel dargestellt, in dem ICF für eine Netzwerkverbindung namens Internet aktiviert ist.

Abbildung 13-13: Beispiel für eine Netzwerkverbindung, für die ICF aktiviert wurde

Sie können ICF im Ordner Netzwerkverbindungen manuell aktivieren, indem Sie folgendermaßen vorgehen:

1.	Klicken Sie auf Start und anschließend auf Systemsteuerung. Klicken Sie auf Netzwerk- und Internetverbindungen und dann auf Netzwerkverbindungen.
2.	Klicken Sie mit der rechten Maustaste auf die Netzwerkverbindung mit dem Internet, und klicken Sie dann auf Eigenschaften.
3.	Aktivieren Sie auf der Registerkarte Erweitert das Kontrollkästchen Diesen Computer und das Netzwerk schützen, indem das Zugreifen auf diesen Computer vom Internet eingeschränkt oder verhindert wird.
4.	Klicken Sie auf OK, um die Änderungen an der Verbindung zu speichern.

Sie können erweiterte ICF-Einstellungen konfigurieren, indem Sie im Eigenschaftendialogfeld einer Netzwerkverbindung auf der Registerkarte Erweitert auf Einstellungen klicken. In Abbildung 13-14 wird das ICF-Dialogfeld Erweiterte Einstellungen dargestellt.

Abbildung 13-14: Dialogfeld "Erweiterte Einstellungen" zum Konfigurieren von ICF

Das Dialogfeld Erweiterte Einstellungen verfügt über die folgenden Registerkarten:

•	Auf der Registerkarte Dienste können Sie Dienstdefinitionen zum Zulassen von erwartetem Datenverkehr angeben.
•	Auf der Registerkarte Sicherheitsprotokollierung können Sie Optionen für die Firewallprotokolldatei konfigurieren. In der Standardeinstellung verfügt die Firewallprotokolldatei über den Namen Pfirewall.log und wird im Windows-Ordner gespeichert.
•	Auf der Registerkarte ICMP können Sie die Typen eingehender ICMP-Meldungen angeben, die von ICF zugelassen werden. ICMP-Meldungen werden zur Diagnose, Konfiguration und für Fehlermeldungen verwendet. In der Standardeinstellung sind ICMP-Meldungen nicht zulässig.

TCP/IP-Filterung

TCP/IP für Windows Server 2003 und Windows XP unterstützt TCP/IP-Filterung. Mit der TCP/IP-Filterung können Sie für jede IP-Schnittstelle angeben, welche Typen von IP-Datenverkehr, der auf einem Computer eingeht, verarbeitet werden. Auf einem Computer eingehender IP-Datenverkehr wird auch lokaler Hostdatenverkehr oder einem lokalen Ziel zugeordneter Datenverkehr genannt. Dieser Datenverkehr umfasst alle Pakete, die an eine der Schnittstelle zugewiesene Unicastadresse, an einen beliebigen Typ von IP-Broadcastadresse oder an eine vom Host abgehörte IP-Multicastadresse gesendet werden. Durch dieses Feature wird der Datenverkehr isoliert, den Internet- und Intranetserver ohne weitere TCP/IP-Filterung verarbeiten, die von Routing und RAS oder anderen TCP/IP-Anwendungen bzw. -Diensten bereitgestellt wird. In der Standardeinstellung ist die TCP/IP-Filterung deaktiviert.

Sie können die TCP/IP-Filterung für alle Adapter mithilfe eines einzelnen Kontrollkästchens aktivieren oder deaktivieren. Auf diese Weise können Sie Verbindungsprobleme beheben, die möglicherweise mit der Filterung in Zusammenhang stehen. Zu restriktive Filter können dazu führen, dass erwartete Verbindungstypen nicht zugelassen werden. Wenn Sie beispielsweise eine Liste mit UDP-Ports angeben, die UDP-Port 520 nicht enthält, ist der Computer nicht in der Lage, RIP-(Routing Information Protocol-)Ankündigungen zu empfangen. Diese Einschränkung kann die Funktion eines Computers als RIP-Router oder automatischen RIP-Host beeinträchtigen, wenn der RIP-Listenerdienst verwendet wird.

Die Verarbeitung eines Pakets wird zugelassen, wenn eines der folgenden Kriterien erfüllt ist:

•	Für den TCP-Zielport wird in der Liste der TCP-Ports eine Übereinstimmung gefunden. In der Standardeinstellung wird der Datenverkehr für alle TCP-Ports zugelassen.
•	Für den UDP-Zielport wird in der Liste der UDP-Ports eine Übereinstimmung gefunden. In der Standardeinstellung wird der Datenverkehr für alle UDP-Ports zugelassen.
•	Für das IP-Protokoll wird in der Liste der IP-Protokolle eine Übereinstimmung gefunden. In der Standardeinstellung werden alle IP-Protokolle zugelassen.
•	Das Paket ist ein ICMP-Paket.

ICMP-Datenverkehr kann mit der TCP/IP-Filterung nicht gefiltert werden. Wenn eine ICMP-Filterung erforderlich ist, müssen Sie über Routing und RAS IP-Paketfilter konfigurieren.

Um die TCP/IP-Filterung für eine Netzwerkverbindung zu konfigurieren, gehen Sie folgendermaßen vor:

Klicken Sie auf Start und dann auf Systemsteuerung. Doppelklicken Sie anschließend auf Netzwerkverbindungen.

Klicken Sie mit der rechten Maustaste auf die Netzwerkverbindung, die Sie konfigurieren möchten, und klicken Sie anschließend auf Eigenschaften.

Klicken Sie (für eine LAN-Verbindung) auf der Registerkarte Allgemein oder (für alle anderen Verbindungen) auf der Registerkarte Netzwerk auf Internetprotokoll (TCP/IP) und anschließend auf Eigenschaften.

Klicken Sie auf Erweitert.

Klicken Sie auf Optionen, auf TCP/IP-Filterung und dann auf Eigenschaften.

Führen Sie einen der folgenden Schritte durch:

•	Um die TCP/IP-Filterung für alle Adapter zu aktivieren, aktivieren Sie das Kontrollkästchen TCP/IP-Filter aktivieren (alle Adapter).
•	Um die TCP/IP-Filterung für alle Adapter zu deaktivieren, deaktivieren Sie das Kontrollkästchen TCP/IP-Filter aktivieren (alle Adapter).

Konfigurieren Sie auf Grundlage Ihrer Anforderungen an die TCP/IP-Filterung die TCP-Ports, UDP-Ports und IP-Protokolle für zulässigen Datenverkehr.

In Abbildung 13-15 wird das Dialogfeld TCP/IP-Filterung dargestellt.

Abbildung 13-15: Dialogfeld "TCP/IP-Filterung"

Paketfilterung mit Routing und RAS

Wenn Sie Routing und RAS verwenden, gibt es zwei Möglichkeiten, IPv4-Datenverkehr zu filtern:

•

Basisfirewall

Die Basisfirewall, die Sie über die Routingprotokollkomponente NAT/Basisfirewall aktivieren, ist eine statusbehaftete Firewall, die wie ICF nicht angeforderte eingehende IPv4-Pakete automatisch verwirft.

•

IP-Paketfilter

Mithilfe von IP-Paketfiltern können Sie den genauen Satz von IPv4-Paketen angeben, der zugelassen bzw. verworfen wird. Paketfilter haben Auswirkungen auf eingehende und ausgehende Pakete einzelner Schnittstellen.

Basisfirewall

Sie können mit der Basisfirewall das Netzwerk vor nicht angefordertem, öffentlichem Netzwerkverkehr, z. B. vor Internetdatenverkehr, schützen. Die Basisfirewall kann für beliebige öffentliche Schnittstellen aktiviert werden, einschließlich der Schnittstellen für die Netzwerkadressübersetzung.

Um die Basisfirewall für eine öffentliche Schnittstelle zu aktivieren, gehen Sie folgendermaßen vor:

Klicken Sie auf Start und anschließend auf Systemsteuerung. Doppelklicken Sie auf Verwaltung und dann doppelt auf Routing und RAS.

Öffnen Sie in der Struktur den Namen des Servers. Klicken Sie auf IP-Routing und dann auf NAT/Basisfirewall.

Klicken Sie im Detailfenster mit der rechten Maustaste auf die Schnittstelle, die Sie konfigurieren möchten, und dann auf Eigenschaften.

Gehen Sie auf der Registerkarte NAT/Basic Firewall folgendermaßen vor:

•	Klicken Sie auf An das Internet angeschlossene, öffentliche Schnittstelle, und aktivieren Sie das Kontrollkästchen Basisfirewall auf dieser Schnittstelle aktivieren.
•	Klicken Sie auf Nur den Basisfirewall aktivieren.

In Abbildung 13-16 wird das Dialogfeld Eigenschaften der Netzwerkadressübersetzung dargestellt.

Abbildung 13-16: Dialogfeld "Eigenschaften der Netzwerkadressübersetzung"

IP-Paketfilterung

Indem Sie für Routing und RAS IP-Paketfilterung verwenden, können Sie den empfangenen und gesendeten IPv4-Verkehr präzise definieren. Zum Verwenden der IP-Paketfilterung müssen Sie eine Reihe von Definitionen, sogenannte Filter, erstellen. Durch diese Filter werden für den Router die Typen von Datenverkehr definiert, die an den einzelnen Schnittstellen zugelassen oder verworfen werden. Filter können für eingehenden und ausgehenden Datenverkehr definiert werden.

•	Durch Eingabefilter wird der an einer Schnittstelle eingehende Datenverkehr definiert, für den die Weiterleitung oder Verarbeitung durch den Router zulässig ist.
•	Durch die Ausgabefilter wird der Datenverkehr definiert, der vom Router weitergeleitet oder über die Schnittstelle gesendet werden kann.

Da Sie für jede Schnittstelle sowohl Eingabe- als auch Ausgabefilter konfigurieren, kann es vorkommen, dass widersprüchliche Filter erstellt werden. Beispielsweise kann der Filter für eine Schnittstelle eingehenden Datenverkehr zulassen, der von einer anderen Schnittstelle nicht gesendet werden kann, da dies vom entsprechenden Ausgabefilter nicht zugelassen wird. Dies hat letzlich zur Folge, dass der Datenverkehr vom Router, auf dem Windows Server 2003 ausgeführt wird, nicht weitergeleitet wird.

Sie können die Paketfilterung auch implementieren, um eingehenden und ausgehenden Datenverkehr für eine Teilmenge des Datenverkehrs auf einem Computer zu filtern, auf dem Windows Server 2003 ausgeführt wird, der jedoch nicht als Router konfiguriert ist.

Sie sollten Paketfilter mit Bedacht implementieren und zu restriktive Filter vermeiden. Andernfalls kann die Funktion anderer Protokolle auf dem Computer beeinträchtigt werden. Beispiel: Auf einem Windows Server 2003-Computer wird IIS als Webserver ausgeführt und die Paketfilter sind so definiert, dass nur Webverkehr zulässig ist. In diesem Fall können Sie den ping-Befehl (der die ICMP-Meldungen "Echo" und "Echo-Antwort" verwendet) nicht für grundlegende IP-Problembehandlung verwenden. Wenn der Webserver ein automatischer RIP-Host ist, verhindern die Filter, dass der automatische RIP-Prozess RIP-Ankündigungen empfängt.

Gehen Sie folgendermaßen vor, um IP-Paketfilter für eine Schnittstelle zu konfigurieren:

1.	Klicken Sie auf Start und anschließend auf Systemsteuerung. Doppelklicken Sie auf Verwaltung und dann doppelt auf Routing und RAS.
2.	Öffnen Sie in der Struktur den Namen des Servers. Klicken Sie auf IP-Routing und dann auf Allgemein.
3.	Klicken Sie im Detailfenster mit der rechten Maustaste auf die Schnittstelle, für die Sie einen Filter hinzufügen möchten, und klicken Sie dann auf Eigenschaften.
4.	Klicken Sie auf der Registerkarte Allgemein auf Eingehende Filter, um Filter für an der Schnittstelle eingehenden Datenverkehr zu konfigurieren. Klicken Sie auf Ausgehende Filter, um Filter für von der Schnittstelle ausgehenden Datenverkehr zu konfigurieren.

In Abbildung 13-17 wird ein Beispiel für das Hinzufügen eines IP-Paketfilters dargestellt.

Abbildung 13-17: Dialogfeld "IP-Filter hinzufügen"

Sie können für einen IP-Paketfilter die folgenden Einstellungen vornehmen:

•	Sie können das IP-Protokoll angeben, das die Kennung eines Protokolls einer übergeordneten Schicht hat. TCP verwendet beispielsweise die Protokoll-ID 6, UDP die Protokoll-ID 17 und ICMP die Protokoll-ID 1.
•	Sie können die Quell-IP-Adresse angeben, d. h. die IP-Adresse des Quellhosts. Sie können diese Adresse mit einer Subnetzmaske konfigurieren, um einen kompletten Bereich von IP-Adressen (der einem IP-Subnetz oder Adresspräfix entspricht) mit einem einzigen Filtereintrag anzugeben.
•	Sie können die Ziel-IP-Adresse angeben, d. h. die IP-Adresse des Zielhosts. Sie können diese Adresse mit einer Subnetzmaske konfigurieren, um einen kompletten Bereich von IP-Adressen (der einem IP-Subnetz oder Adresspräfix entspricht) mit einem einzigen Filtereintrag anzugeben.
•	Für TCP-Datenverkehr können Sie Werte für zwei Felder angeben: das TCP-Feld Quellport, das den Quellprozess identifiziert, der das TCP-Segment sendet, sowie das TCP-Feld Zielport, das den Zielprozess für das TCP-Segment identifiziert.
•	Für UDP-Datenverkehr können Sie Werte für zwei Felder angeben: das UDP-Feld Quellport, das den Quellprozess identifiziert, der die UDP-Nachricht sendet, sowie das UDP-Feld Zielport, das den Zielprozess für die UDP-Nachricht identifiziert.
•	Für ICMP-Datenverkehr können Sie Werte für zwei Felder angeben: das ICMP-Feld Typ, das den Typ des ICMP-Pakets angibt (wie "Echo" oder "Echo-Antwort"), sowie das ICMP-Feld Code, das eine der ggf. mehreren Funktionen in einem angegebenen Typ angibt. Wenn in einem Typ nur eine Funktion vorhanden ist, erhält das Feld Code den Wert 0.

IPv6-Paketfilterung

Sie können die Paketfilterung für IPv6-Datenverkehr mithilfe einer der folgenden Firewalls durchführen:

•	IPv6-Basisfirewall
•	IPv6-ICF
•	Windows-Firewall

IPv6-Basisfirewall

IPv6 für Windows Server 2003 ohne installierte Service Packs unterstützt eine Basisfirewall für IPv6-Schnittstellen. Wenn diese aktiviert wird, verwirft IPv6 eingehende TCP-SYN-Segmente und alle eingehenden nicht angeforderten UDP-Nachrichten. Diese Firewall ist in der Standardeinstellung für alle Schnittstellen deaktiviert und kann mithilfe des Befehls netsh interface ipv6 set interface interface=NameOderIndex firewall=enabled aktiviert werden. Die IPv6-Basisfirewall steht in keinem Zusammenhang mit der Basisfirewall von Routing und RAS.

IPv6-ICF

Das erweiterte Netzwerkpaket für Windows XP wird von Microsoft als kostenloser Download für Windows XP mit SP1 zur Verfügung gestellt. Zu diesem Download gehört auch die statusbehaftete IPv6-Firewall IPv6-ICF. Sie können mit IPv6-ICF zulässigen Internetdatenverkehr dynamisch einschränken. Im Unterschied zu IPv6-ICF filtert ICF unter Windows XP IPv4-Datenverkehr. IPv6-ICF führt die folgenden Aufgaben durch:

•	IPv6-ICF startet automatisch und filtert den Datenverkehr für alle Netzwerkverbindungen, für die IPv6 aktiviert ist.
•	IPv6-ICF überwacht den gesamten ausgehenden Datenverkehr und filtert dynamisch eingehenden Antwortverkehr. Dieses Verhalten wird statusbehaftete Filterung genannt. IPv6-ICF verwirft ohne Warnung jeden nicht angeforderten, eingehenden Datenverkehr.
•	IPv6-ICF protokolliert IPv6-Datenverkehrereignisse in einer (von IPv4-ICF) separaten Protokolldatei. (In der Standardeinstellung wird diese Protokolldatei unter **Systemroot\Pfirewall-v6.log** gespeichert.)

IPv6-ICF kann mithilfe von Befehlen im Kontext von netsh firewall konfiguriert werden. Sie können IPv6-ICF mithilfe von Netsh-Befehlen konfigurieren, sodass spezifische Typen von ICMPv6-Datenverkehr oder Datenverkehr für bestimmte TCP- oder UDP-Ports zugelassen werden.

Windows-Firewall

Die Windows-Firewall unter Windows XP mit SP2 und Windows Server 2003 mit SP1 unterstützt IPv6-Datenverkehr und ersetzt sowohl die IPv6-Basisfirewall als auch IPv6-ICF. IPv4- und IPv6-Datenverkehr verfügen über dieselben Einstellungen für erwarteten Datenverkehr. Wenn Sie beispielsweise Datenverkehr über die Datei- und Druckerfreigabe zulassen, wird sowohl IPv4-basierter als auch IPv6-basierter, nicht angeforderter, eingehender Datenverkehr über die Datei- und Druckerfreigabe zugelassen.

Zum Seitenanfang

Kapitelzusammenfassung

Dieses Kapitel enthält die folgenden Schlüsselinformationen:

•	IPsec (Internet Protocol Security) ist ein Framework offener Standards für private, geschützte Kommunikation über IP-Netzwerke. Sie können IPsec unter Windows Server 2003 und Windows XP verwenden, um IP-Datenverkehr zu sperren, zuzulassen oder kryptografisch zu schützen.
•	IPsec bietet Sicherheitseigenschaften für Datenintegrität, Vertraulichkeit (Verschlüsselung), Datenursprungsauthentifizierung und Anti-Replay für die IP-Kommunikation.
•	IPsec dient dem Schutz von Datenverkehr mithilfe von AH (für Datenursprungsauthentifizierung, Datenintegrität und Schutz vor Replay-Angriffen für ein IP-Paket), ESP (für Datenursprungsauthentifizierung, Datenintegrität, Schutz vor Replay-Angriffen und Vertraulichkeit der Daten im ESP-gekapselten Bereich des Pakets) oder AH in Kombination mit ESP.
•	IPsec kann im Transportmodus mit dem urprünglichen IP-Header oder im Tunnelmodus, in dem das gesamte IP-Paket mit einem neuen IP-Header gekapselt wird, verwendet werden.
•	In der Hauptmodusaushandlung ermittelt IPsec Verschlüsselungsschlüsselmaterial und authentifiziert IPsec-Peers. In der Schnellmodusaushandlung ermittelt IPsec die Art des Schutzes für den Datenverkehr, der zwischen den Peers gesendet wird.
•	Eine IPsec-Richtlinie besteht aus allgemeinen IPsec-Richtlinieneinstellungen und Regeln.
•	Für jede Regel einer IPsec-Richtlinie müssen Sie eine einzelne Filterliste, eine einzelne Filteraktion, eine oder mehrere Authentifizierungsmethoden, ggf. einen Tunnelendpunkt (im IPsec-Tunnelmodus) und den Verbindungstyp konfigurieren.
•	Die IPsec-Unterstützung für IPv6-Datenverkehr unter Windows XP und Windows Server 2003 unterstützt keine ESP-Datenverschlüsselung und muss mithilfe des Tools Ipsec6.exe manuell konfiguriert werden.
•	Die Windows-Firewall ist eine statusbehaftete IPv4- und IPv6-Firewall unter Windows XP mit SP2 und Windows Server 2003 mit SP1. Die Windows-Firewall verwirft nicht angeforderten, eingehenden Datenverkehr, der nicht explizit zugelassen wird.
•	ICF ist eine statusbehaftete IPv4-Firewall, die unter Windows XP ohne Service Packs, Windows XP mit SP1 und Windows Server 2003 ohne Service Packs bereitgestellt wird.
•	Die Basisfirewall von Routing und RAS ist eine statusbehaftete IPv4-Firewall für öffentliche Schnittstellen.
•	Mithilfe der IP-Paketfilterung in Routing und RAS können Sie für jede Schnittstelle den genauen Satz eingehender und ausgehender IPv4-Pakete angeben, der zugelassen bzw. verworfen wird.
•	Mithilfe der TCP/IP-Filterung können Sie für jede Schnittstelle eines Computers genau festlegen, welche Typen von eingehendem IPv4-Datenverkehr verarbeitet wird.
•	IPv6-Paketfilterung kann mit der IPv6-Basisfirewall, IPv6-ICF und der Windows-Firewall durchgeführt werden.

Zum Seitenanfang

Kapitelglossar

AH – Siehe Authentifizierungsheader.

Authentifizierungsheader – Header, der zwischen IP-Header und Nutzlast platziert wird und Sicherheitsdienste für Datenintegrität, Datenursprungsauthentifizierung und Anti-Replay bereitstellt.

Basisfirewall – Statusbehaftete IPv4-Firewall von Routing und RAS für öffentliche Schnittstellen.

Encapsulating Security Payload – Header und Nachspann, die um eine IP-Paketnutzlast platziert werden und Sicherheitsdienste für Vertraulichkeit (Verschlüsselung), Datenintegrität, Datenursprungsauthentifizierung und Anti-Replay bereitstellen.

ESP – Siehe Encapsulating Security Payload.

ICF – Siehe Internetverbindungsfirewall.

IKE – Siehe Internet Key Exchange.

Internetverbindungsfirewall – Statusbehaftete IPv4-Firewall, die in Windows XP ohne Service Packs, Windows XP mit SP1 und Windows Server 2003 ohne Service Packs integriert ist.

Internet Key Exchange – Protokoll zur Authentifizierung und für den Schlüsselaustausch zwischen IPsec-Peers.

IP-Filter – Beschreibung des Netzwerkverkehrs, einschließlich Quelladresse, Quellmaske, Zieladresse, Zielmaske, Protokoll, Quellport und Zielport.

IP-Paketfilterung – Funktion von Routing und RAS, mit der Sie für jede Schnittstelle den genauen Satz eingehender und ausgehender IPv4-Pakete angeben können, der zugelassen bzw. verworfen wird.

IPsec-Richtlinien – Sammlung von Regeln und Einstellungen, die zum Konfigurieren von IPsec-Diensten erstellt wird.

Regel – Liste von IP-Filtern und Sammlung von Sicherheitsaktionen, die ausgeführt werden, wenn ein Paket einem Filter entspricht.

SA – Siehe Sicherheitszuordnung.

Sicherheitsparameterindex (SPI) – Ein eindeutiger, kennzeichnender Wert in einer SA, der der Unterscheidung zwischen mehreren Sicherheitszuordnungen auf dem empfangenden Computer dient. Beispielsweise werden für die IPsec-Kommunikation zwischen zwei Computern für jeden Computer zwei SAs verwendet. Eine SA wird für eingehenden Datenverkehr, die andere für ausgehenden Datenverkehr verwendet. Da die Quell- und Zieladressen für beide SAs übereinstimmen, unterscheidet der SPI zwischen eingehender und ausgehender SA

Sicherheitszuordnung (SA – Security Association) – Kombination aus einer gegenseitig zu vereinbarenden Richtlinie und Schlüsseln, die die Sicherheitsdienste, Mechanismen und Schlüssel zum Schutz der Kommunikation zwischen Peers definiert. Eine Hauptmodus-SA dient dem Schutz einer oder mehrerer Schnellmodusaushandlungen. Eine Schnellmodus-SA dient dem Schutz des Datenverkehrs, den diese in eine Richtung zwischen IPsec-Peers überträgt.

SPI – Siehe Sicherheitsparameterindex.

TCP/IP-Filterung – Funktion der Komponente Internetprotokoll (TCP/IP) von Windows Server 2003 und Windows XP, mit der Sie für jede Schnittstelle genau festlegen können, welche Typen von eingehendem und einem lokalen Ziel zugeordnetem IPv4-Datenverkehr verarbeitet werden.

Windows-Firewall – In Windows XP mit SP2 und Windows Server 2003 mit SP1 integrierte statusbehaftete IPv4- und IPv6-Firewall.

Zum Seitenanfang

14 von 20

In diesem Beitrag

•	Übersicht
•	Kapitel 1 – Einführung in TCP/IP
•	Kapitel 2 – Die Architektur des TCP/IP Protokollsatzes
•	Kapitel 3 – IP-Adressierung
•	Kapitel 4 - Subnetzbildung
•	Kapitel 5 – IP-Routing
•	Kapitel 6 – DHCP (Dynamic Host Configuration Protocol)
•	Kapitel 7 – Hostnamenauflösung
•	Kapitel 8 – Domain Name System – Übersicht
•	Kapitel 9 – Windows-Unterstützung für DNS
•	Kapitel 10 – End-to-End-Übermittlung über TCP/IP
•	Kapitel 11 - NetBIOS über TCP/IP
•	Kapitel 12 – Übersicht über WINS (Windows Internet Name Service)
•	Kapitel 13 – Internet Protocol Security (IPsec) und Paketfilterung
•	Kapitel 14 – Virtuelle Private Netzwerke
•	Kapitel 15 – IPv6-Übergangstechnologien
•	Kapitel 16 – Behandeln von Problemen mit TCP/IP
•	Anhang A: IP-Multicast
•	Anhang B: Simple Network Management Protocol
•	Anhang C: Computersuchdienst