Rechnerschutz durch Filter

IPSec - in Windows 2003 nicht nur für IP Security

IPSec ist eigentlich für sichere Netzwerkverbindungen gedacht: Pakete und deren Integrität werden geschützt, Man-in-The-Middel Attacken, Spoofing und ähnliches soll erschwert bis unmöglich gemacht werden. Die IPSec Policies von Windows 2003 kann man aber auch für andere Dinge verwenden, denn sie enthalten auch IP-Filter. Man kann also zum Beispiel einen Webserver absichern, der außerdem noch per Remote Desktop oder Terminal Services auf dem öffentlichen Interface gewartet wird.

IPSec ist eigentlich für sichere Netzwerkverbindungen gedacht: Pakete und deren Integrität werden geschützt, Man-in-The-Middel Attacken, Spoofing und ähnliches soll erschwert bis unmöglich gemacht werden. Die IPSec Policies von Windows 2003 kann man aber auch für andere Dinge verwenden, denn sie enthalten auch IP-Filter. Man kann also zum Beispiel einen Webserver absichern, der außerdem noch per Remote Desktop oder Terminal Services auf dem öffentlichen Interface gewartet wird. Bei einer typischen Konfiguration haben Sie einen Webserver mit einem öffentlichen Interface, über das auf Port 80 zugegriffen werden kann, und einem zweiten Interface, das aus der DMZ oder dem LAN für die Serverwartung benutzt werden kann. Oft ist ein solches Setup aber nicht möglich, statt dessen steht dann nur ein Interface zur Verfügung, über das der Rechner zu erreichen ist.

Bei IP-Filtern geht es darum bestimmte Verbindungen klar zu identifizieren und durch vordefinierte Regeln festgelegte Aktionen darauf anzuwenden. Die Verbindungen werden dabei durch Ausgangs- und Zieladresse sowie durch das verwendete Protokoll identifiziert. Die Regeln können beliebig kompliziert sein, doch im Wesentlichen geht es immer um zwei mögliche Aktionen: Das Paket wird durchgelassen oder nicht. Im Rahmen von IPSec gibt es noch darüber hinaus gehende Möglichkeiten: So können die Pakete bei Bedarf verschlüsselt werden , auch eine schlüsselbasierte Authentifizierung für bestimmte Arten der Kommunikation ist möglich.

Das klingt zunächst ganz einfach, entpuppt sich aber schnell als schwieriger als man denkt. Die Art und Weise wie bestimmte Verbindungen zu identifizieren sind, m Zusammenhang mit der Art und Weise in der die Pakete dann durch die Regeln beeinflusst werden, führt bei nicht richtig durchdachten Regeln gern dazu, dass entweder keine oder die falschen Pakete durchgelassen werden.

Die IP-Filter nehmen einem eine Menge Arbeit ab, da man sich dabei wenigstens nicht um eine bestimmte Reihefolge der Regeln halten muss. Dennoch bleibt die Sache kompliziert:

Filterlisten und Aktionen für Webserver

Bei der eingangs erwähnten Konfiguration eines Webservers der per Terminal Services gewartet wird und nur ein Interface besitzt, sind die folgenden Dinge zu tun:

  • Man braucht eine Regel die Pakete blockieren kann
  • Man braucht eine Regel die Pakete durchlassen kann
  • Man braucht einen Filter der Verbindungen mit dem Webserver auf Port 80 identifiziert. Dabei ist die Quelladresse eine beliebige Adresse, schließlich soll jedermann auf den Webserver zugreifen können. Dieser Filter verwendet also die Durchlass-Regel.
  • Schließlich braucht man einen Filter der Pakete vom eigenen Rechner (also aus dem LAN oder der DMZ, bzw. von dem Rechner, von dem aus die Terminal-Server Verbindung aufgebaut wird) zulässt, andere aber nicht. Der Filter verwendet also zum Teil die Durchlass- und zum Teil die Blockier-Regel.
  • Zu guter Letzt sollten sonst keinerlei weitere Pakete angenommen werden.
Die IP-Filter finden sich im Start-Menü unter den Administrativen Werkzeugen. Die zugehörige Anwendung trägt die Bezeichnung Lokale Sicherheitseinstellungen (local security policies). Es handelt sich dabei um eine typische MMC Konsole; sie hat links eine Baumdarstellung, mit der die einzelnen Sicherheitseinstellungen vorgenommen werden können.


Mit den lokalen Sicherheitseinstellungen legen Sie die Filter an.

Die für IP-Filter interessanten Einstellungen finden sich unter den IP Security Policies on local Computer.

Wegen des etwas merkwürdigen Benutzerinterfaces sind IP-Filter nicht ganz einfach anzulegen - beispielsweise kommt einem der Assistent häufiger in den Weg als es für den Benutzer hilfreich ist.