Einrichten und konfigurieren von IP-Paketfiltern
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2000
Die Paketfilterungsfunktion des ISA Servers ermöglicht die Steuerung des
Flusses von IP-Paketen von und zum ISA Server. Wenn die
Paketfilterung aktiviert wird,
werden alle Pakete auf der externen Schnittstelle verworfen, wenn sie nicht
ausdrücklich zugelassen werden. Die Zulassung kann entweder statisch, durch
IP-Paketfilter, oder dynamisch, durch Zugriffsrichtlinien oder
Veröffentlichungsregeln erfolgen. Auch wenn keine Paketfilterung aktiviert ist,
wird die Kommunikation zwischen dem lokalen Netzwerk und dem Internet nur
zugelassen, wenn ausdrücklich Regeln konfiguriert wurden, die den Zugriff
zulassen.
In den meisten Fällen ist es vorzuziehen, Ports dynamisch zu öffnen. Daher
erfolgt die Empfehlung, Zugriffsrichtlinienregeln, die internen Clients den
Zugriff zum Internet erlauben, bzw. Veröffentlichungsregeln, die externen
Clients den Zugriff auf interne Server gestatten, zu erstellen. Dies liegt
daran, weil IP-Paketfilter die Ports statisch öffnen. Zugriffsrichtlinien und
Veröffentlichungsregeln öffnen die Ports jedoch dynamisch (sobald eine Anfrage
ankommt).
In einigen Szenarios müssen IP-Paketfilter verwendet werden:
- Veröffentlichung Server, die sich in einer DMZ (auch Umkreisnetzwerk) befinden
- Anwendungen oder andere Dienste werden auf dem ISA Server-Computer ausgeführt, die das Internet abhören müssen bzw. darauf zugreifen müssen
- es muss der Zugriff auf Protokolle zugelassen werden, die nicht auf UDP oder TCP basieren
IP-Paketfilter können nur konfiguriert werden, wenn der ISA Server im Firewallmodus oder im integrierten Modus installiert ist
Mit IP-Paketfiltern können Pakete, die für bestimmte Computer im
Firmennetzwerk bestimmt sind, abgefangen und diese dann zugelassen oder gesperrt
werden. Sie können zwei Arten von statischen IP-Paketfiltern konfigurieren:
Zulassungsfilter und Sperrfilter.
Zulassungsfilter sind Ausnahmefilter, d. h. alle Pakettypen, mit Ausnahme der
angegebenen, werden gesperrt. Sind für einen bestimmten Port keine Paketfilter
aktiviert, kann der Dienst den Port nur dann abhören, wenn dieser dynamisch
geöffnet wird (durch Server- oder Webveröffentlichungsregeln).
Sperrfilter schließen die jeweiligen Ports. Sie können Sperrfilter erstellen und
konfigurieren, um den durch den ISA Server zugelassenen Datenverkehr weiter zu
definieren. So kann beispielsweise ein Zulassungsfilter erstellt werden, das
TCP-Datenverkehr auf Port 25 zwischen allen internen und externen Hosts zulässt.
Die SMTP-Kommunikation ist somit aktiviert. Der Zugriff kann anschließend durch
Erstellung eines Sperrfilters, das bestimmte externe Hosts (potenzielle
Eindringlinge) daran hindert, TCP-Pakete an Port 25 auf dem ISA Server-Computer
zu senden, eingeschränkt werden.
IP-Paketfilter werden anhand der folgenden Parameter definiert:
- Server: Das Filter erlaubt oder sperrt die Kommunikation auf dem angegebenen Server.
- Protokoll, Port und Richtung: Das Filter erlaubt oder sperrt den betreffenden Port, wenn das angegebene Protokoll verwendet wird.
- Lokaler Computer: Die IP-Adresse des Computers im internen Netzwerk, für den die Kommunikation geöffnet oder gesperrt wird. Sie können einen Bereich oder eine einzelne IP-Adresse auf dem ISA Server-Computer angeben.
- Remotecomputer: Die IP-Adresse des Computers im Internet, für den die Kommunikation zugelassen oder gesperrt wird.
Im folgenden Beispiel wird ein IP Paketfilter erstellt, der es einer Mailanwendung auf dem ISA Server selber erlaubt, ausgehend per SMTP Mails zu versenden. Dies ist prinzipiell keine gute Idee, denn auf einer Firewall sollen keine Applikationen installiert sein. Aber beispielsweise wird dieser Filter beim SBS Server benötigt, damit der integrierte Exchange Server Mails versenden kann.
Über die ISA Management Console -> Zugriffsrichtline gelangt man zu den IP-Paketfiltern. Dort einen neuen IP-Paketfilter erstellen:
Es ist einfacher, wenn ein beschreibender Name für den Filter verwendet wird.
Hier kann festgelegt werden, ob es ein Zulassungs- oder Sperrfilter wird. In diesem Beispiel soll Verkehr zugelassen werden.
Da kein vordefinierter Filter existiert muss ein neuer benutzerdefinierter Filter erstellt werden. In der Auswahlbox ist zwar "SMTP" auswählbar, hier handelt es sich jedoch um einen eingehenden Filter.
Unter "IP-Protokoll" stehen folgende Optionen zur Verfügung: Alle, ICMP, TCP, UDP oder Benutzerdefiniertes Protokoll. In diesem Beispiel soll eine TCP Kommunikation erlaubt werden, da das SMTP-Protokoll Port 25 TCP verwendet. Sofern "Benutzerdefiniertes Protokoll" ausgewählt wird, muss die Protokollnummer im Feld "Nummer" eingetragen werden.
Als Richtung stehen folgende Optionen (in Abhängigkeit des verwendeten IP-Protokolls) zur Verfügung:
- Alle: Ausgehend, Eingehend, Beide
- TCP: Ausgehend, Eingehend, Beide
- ICMP: Ausgehend, Eingehend, Beide
- UDP: Nur Empfangen, Nur Senden, Beide, Empfangen und Senden, Senden und Empfangen
Die Richtungsangaben für Alle, TCP, ICMP sollten selbsterklärend einfach sein. Für UDP hier eine kurze Erläuterung:
- Senden: nur ausgehende Verbindungen zugelassen
- Senden und Empfangen: Ausgehende Verbindungen können senden und im selben Atemzug empfangen
- Empfangen: Ein veröffentlichter Server kann Daten empfangen aber keine zurückliefern (UDP gibt ja grundsätzlich keine Informationen über den Empfang der Daten).
- Empfangen und Senden: Ein veröffentlichter Server kann Daten empfangen und mit der selben Verbindung antworten.
Das Feld "Lokaler Port" wird i.d.R. nur bei eingehenden Verbindungen benötigt und gibt an, für welchen Port der Filter aktiv sein soll. Zur Auswahl stehen "Alle Ports, Fester Port, Dynamisch". Bei einer eingehenden Verbindung ist hier der abzuhörende Port einzutragen.
Das Feld "Remoteport" wird i.d.R. nur bei ausgehenden Verbindungen benötigt und gibt an, für welchen Port der Filter aktiv sein soll. Zur Auswahl stehen "Alle Ports, Fester Port, Dynamisch". Bei einer ausgehenden Verbindung wird hier der Port eingetragen, über den die Kommunikation mit dem Zielsystem erfolgen soll. Bei SMTP senden also Port 25.
Auf der Assistenten-Seite "Lokaler Computer" wird die IP Adresse angegeben, über die die Verbindung ermöglicht werden soll. "Standard-IP-Adressen für jede externe Schnittstelle des ISA Server-Computers" bedeutet, dass die logisch erste eingetragene IP Adresse auf dem externen Interface verwendet wird. Bei ausgehenden Verbindungen ist zu beachten, dass der ISA Server prinzipiell ausgehende Verbindungen mit der ersten IP Adresse aufbaut.
Hier kann angegeben werden, ob die "Gegenstelle" der Verbindung nur ein einziger Host sein darf oder ob eine Verbindung mit dem zugelassenen Port zu allen externen Computern hergestellt werden darf. Die Angabe eines IP Adressen Bereiches wird leider nicht unterstützt.
Nach einem Zusammenfassungsfenster (-> ggfs. für Dokumentationszwecke nützlich!) ist der IP Paketfilter erstellt und aktiv.
Wie bereits oben erwähnt können IP-Paketfilter auch als Sperrfilter konfiguriert werden. Dies wird in einem eigenen Artikel beschrieben.
Stand: Friday, 28. August 2009/DR.
