Firewallrichtlinien
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2004
Eine Firewallrichtlinie regelt grob gesagt, von wo nach wo wer wann welche Verbindung aufbauen darf. Man kann es wie Kuchen backen betrachten - man benötigt viele Zutaten, damit eine leckere Torte entsteht. Ok, eine Firewallrichtlinie ist nicht besonders schmackhaft, verglichen mit einer Schwarzwälder Kirschtorte. Dennoch ist es sehr wichtig, genau und wirklich nur genau die notwendigen Zutaten zu verwenden. Niemand würde auf die Idee kommen, in diese Kirschtorte eine Flasche Cola hinzuzufügen. Und genauso sollte niemand auf die Idee kommen, Firewallrichtlinien zu weit zu öffnen und/oder Protokolle hinzuzufügen, die gar nicht benötigt werden. Die sinnloseste und gefährlichste Regel ist, allen Verkehr zuzulassen. Wer solche Regeln erstellt, hat möglicherweise nicht sonderlich viel von einem Firewallkonzept verstanden. Dem Thema "Firewallkonzept" ist ein eigener Artikel gewidmet.
Die Grafik unten verdeutlicht, wie eine Firewallrichtlinie aufgebaut ist und welche Komponenten zu welchen Bedingungen verwendet werden können.
Sehen wir uns die einzelnen Elemente etwas detaillierter an:
- Aktion: Eine Regel kann erlaubt (zugelassen) oder verboten (verweigert) werden. Beim Erstellen einer Richtlinie muss unbedingt darauf geachtet werden, dass sie von oben nach unten abgearbeitet werden. Wenn z.B. oben eine Regel existiert, die der Benutzerin Birgit die Nutzung von POP3 erlaubt und weiter unten eine Regel steht, die allen Benutzern POP3 verbietet hat Birgit dennoch Zugriff auf POP3.
- Verkehr: Die Regel kann entweder für ein IP-Protokoll (z.B. ICMP) oder einen TCP/UDP Port gültig sein.
- Benutzer: Hier kann angegeben werden ob die Regel nur für bestimmte (authentifizierte) Benutzer gelten soll.
- Quelle: Eine Regel muss definieren, von wo aus das zugelassene/verweigerte Protokoll genutzt werden kann. Der ISA Server 2004 unterstützt ein unbegrenztes (virtuelles) Netzwerkmodell. Es können also mehrere (virtuelle) Netzwerke definiert werden für unterschiedliche Zwecke. Zur Netzwerkdefinition ist ebenfalls ein Artikel verfügbar. Als Quellenangabe kann entweder ein ganzes Netzwerk, ein Netzwerkset, bestimmte Computersätze oder IP-Adressbereiche verwendet werden.
- Ziel: Das Ziel ist kann genauso wie die Quelle ein ganzes Netzwerk, ein Netzwerkset, bestimmte Computersätze oder IP-Adressbereiche enthalten. Hiermit wird festgelegt, wohin der zugelassene/verweigerte Verkehr aus der angegebenen Quelle hin darf. Um beim oben begonnen Beispiel von Birgit zu bleiben: Hier könnte festgelegt werden, dass Birgit nur einen bestimmten POP3-Server abfragen darf.
- Einschränkungen: Zum Schluss sollte noch die gerade erstellte Regel beschränkt werden. Hierzu stehen zum Beispiel Zeitpläne oder HTTP-Filtereinschränkungen zur Verfügung. Mit einem Zeitplan kann gesteuert werden, dass Birgit nur zwischen 09:00 und 18:00 Uhr einen bestimmten POP3-Server abfragen darf. Wenn die Richtlinie den Zugriff auf HTTP zulässt, kann in den HTTP-Filtereinstellungen beispielsweise konfiguriert werden, dass der MSN-Messenger nicht über HTTP eine Verbindung aufbauen darf. Wie das konfiguriert wird, beschreibt ein eigener Artikel.
Außer für "Aktion" können innerhalb einer Regel mehrere Elemente aus einer Kategorie (solange sie sich nicht gegenseitig ausschließen) verwendet werden. So kann zum Beispiel mit Hilfe von unterschiedlichen Zeitplänen festgelegt werden, dass Birgit während der Arbeitszeit (die in einem Zeitplan von 08:00-12:00 und 13:00 bis 17:00 Uhr festgelegt wurde) und während der Mittagspause (von 12:00 bis 13:00 Uhr, definiert in einem zusätzlichen Zeitplan) POP3 nutzen darf.
Wer den ISA Server 2000 kennt, wird sich etwas umgewöhnen müssen. Der ISA 2000 kannte verschiedene Orte/Knoten innerhalb der Managementkonsole, an denen Richtlinien für den Zugriff (nach außen und/oder nach innen) erstellt und verwaltet wurden. Dies wurde in der aktuellen 2004er Version komplett verändert. Es gibt nur noch einen Ort für Richtlinien. Um genau zu sein, gibt es doch zwei Orte ;-) Es gibt einmal die Firewallrichtlinien und es gibt die Systemrichtlinien. Firewallrichtlinien regeln grundsätzlich den Verkehr zwischen den verschiedenen Netzwerken. Systemrichtlinien regeln alles, was der ISA Server selber für den Betrieb benötigt. Systemrichtlinien werden standardmäßig nicht angezeigt, können jedoch eingeblendet werden.
Direkt nach der Installation existiert bereits eine Firewallrichtlinie:
Diese Richtlinie kann (mit der Ausnahme der Protokollierungseinstellung) nicht verändert werden und ist immer die letzte Regel, die abgearbeitet wird. Diese Regel blockt allen nicht explizit erlaubten Verkehr von irgendwo nach irgendwo. Die Existenz dieser Regel bedeutet auch, dass direkt nach der Installation des ISA Server 2004 "nichts funktioniert". Obwohl das auch schon beim ISA Server 2000 so der Fall war, verwirrt das immer noch viele Administratoren. In der Vergangenheit war es bei Microsoft Produkten (leider) fast immer so, dass nach einer weiter-weiter-weiter-fertig Installation alles aktiviert war und das Produkt sofort benutzt werden konnte. Beim ISA ist das (verständlicherweise) anders. Hier muss im zweiten Schritt alles konfiguriert werden, was erlaubt werden soll. Der Grund liegt auf der Hand: erstens handelt es sich um eine Firewalllösung und zweitens wurde der ISA Server nach dem Microsoft-Grundsatz von Trustworthy Computing entwickelt. Dies sieht man übrigens auch in der Stabilität des Produktes. Vier Jahre nach Verfügbarkeit des ISA Server 2000 gibt es gerade mal ein Dutzend Hotfixe und Servicepacks. Schwerwiegende Sicherheitslücken waren nicht darunter. Auch wurde es bislang nicht geschafft, einen ordentlich konfigurierten ISA Server zu "hacken" (was auch immer man unter "hacken" verstehen möchte).
Der Artikel Erstellen einer Firewallrichtlinie beschreibt ausführlich, wie eine neue Firewallrichtlinie an Hand des Beispiels mit Birgit aus diesem Artikels eingerichtet wird.
Stand: Friday, 28. August 2009/DR.
