IP-Paketfilterung
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2000
Wenn auf dem ISA Server die Paketfilterung aktiviert wird, werden alle Pakete
auf der externen Schnittstelle verworfen, sofern sie nicht ausdrücklich
zugelassen werden. Dies erfolgt entweder statisch, durch
IP-Paketfilter, oder dynamisch,
durch Zugriffsrichtlinien oder
Veröffentlichungsregeln.
Das entgegengesetzte Szenario wird konfiguriert, wenn auf einem ISA Server
Routing aktiviert wird, ohne dabei die Paketfilterung zu aktivieren. In diesem
Falle leitet der ISA Server den gesamten Datenverkehr einfach zwischen Internet
und Firmennetzwerk durch. Mit anderen Worten: ISA Server fungiert als Router, d.
h. als ein Gerät, das zusammenhanglose Netzwerke verbindet, indem Pakete
zwischen ihnen übertragen werden. Dieses Szenario wird jedoch für ISA Server
nicht empfohlen.
Durch Aktivieren von Paketfilterung und Routing werden die Vorteile einer
strikten Richtliniendurchsetzung auf Paketfilterebene sowie Routingmöglichkeiten
für sekundäre Verbindungen genutzt. Es wird empfohlen, Filterung und Routing auf
ISA Server zu aktivieren, da dadurch die Sicherheit der Paketfilterung mit der
Leistungssteigerung von Routing kombiniert wird.
IP-Paketfiltereigenschaften können nicht konfiguriert werden, wenn der ISA Server im Cachemodus installiert wurde.
Über die ISA Management Console -> Zugriffsrichtline gelangt man zu den IP-Paketfiltern. Die Eigenschaften wiederum sind über das Kontextmenü auffindbar:
In den Eigenschaften von IP-Paketfilter befinden sich vier Registerkarten mit verschiedenen Optionen.
Die Erklärung für "Paketfilterung aktivieren" und "IP-Routing aktivieren" sind bereits zu Beginn des Artikels dargelegt worden.
Der "Erkennung von Eindringversuchen" wurde bereits ein eigener Artikel gewidmet, deshalb wird in diesem Artikel hier nicht näher darauf eingegangen.
Filterung von IP-Fragmenten: Filtert der ISA Server Paketfragmente, werden
alle fragmentierten IP-Pakete verworfen. Bei einem bekannten Angriff werden
fragmentierte Pakete gesendet und anschließend wieder so zusammengesetzt, dass
das System beschädigt werden kann. Es wird empfohlen, die Filterung von
IP-Fragmenten nicht zu aktivieren, wenn Videoströme oder qualitativ hochwertige
Audioströme durch den ISA Server gelassen werden sollen.
Filterung von IP-Optionen: Der ISA Server kann so konfiguriert werden, dass alle
Pakete mit den Wörtern "IP Options" im Header abgelehnt werden.
Der "Erkennung von Eindringversuchen" wurde bereits ein eigener Artikel gewidmet, deshalb wird in diesem Artikel hier nicht näher darauf eingegangen.
"PPTP durch ISA-Firewall" wurde im Artikel VPN PPTP ausgehend eingehend beschrieben.
Stand:
Friday, 28. August 2009/DR.
