ISA Server 2004 – IP-Einstellungen definieren - Von Marc Grote
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2004
Einleitung
ISA Server 2004 bietet die Option zur Konfiguration von IP-Einstellungen, um die Sicherheit des Systems zu erhöhen. Befolgen Sie bei der Konfiguration den Hinweisen in diesem Artikel:
IP-Optionen
Bei den IP-Optionen handelt es sich um einen speziellen Bereich im IP-Header mit
dem Namen IP-Options.
IP-Optionen definieren zusätzliche Möglichkeiten des IP Protokolls wie z. B. die
bekannteste IP-Option 9 - Strict Source Route. Es gibt die Möglichkeit 256
IP-Optionen zu konfigurieren (0-255).
ISA Server 2004 blockiert einige IP-Optionen weil diese für Angriffe genutzt
werden können. Nehmen wir als Beispiel nochmal die IP-Option 9: Die einfachste
Routing – Attacke benutzt die Internet – Protokolloption 9 bzw. 3 In beiden
Fällen kann die Route durch das Netzwerk vom Sender des IP-Paketes bestimmt
werden. Bei Verwendung von "Strict Source Routing" muss dabei jeder
Vermittlungsknoten in der richtigen Reihenfolge angegeben werden. Im Gegensatz
zu "Loose Source Routing" welches auch zusätzliche Hops zwischen zwei
angegebenen IP – Adressknoten zulässt. Der Datenstrom der Zielstation kann damit
problemlos an das Computersystem des Eindringlings "umgeleitet" werden. Dazu
simuliert der Angreifer wiederum die IP – Adresse eines internen Systems (IP –
Adress – Spoofing) und öffnet unter Aktivierung der Option "Loose Source Routing"
eine Verbindung zur Zielstation, wobei als Route für die Antwortpakete ein Pfad,
der über das angreifende System führt, angegeben wird. Damit stehen dem
eingedrungenem System alle Möglichkeiten der simulierten, internen Station zur
Verfügung.
Im ISA Server 2004 wird Strict Source Route als IP Option 137 und Loose Source
Route als IP Option 131 dargestellt.
Für die Standardinstallationen können Sie die IP-Optionen aktiviert lassen und
müssen keine zusätzlichen IP-Optionen aktivieren. Aktivieren Sie zusätzliche
IP-Optionen nur, wenn Sie deren Bedeutung vollständig verstehen.
IP-Fragmente
In den unterschiedlichsten Netzwerken ist die Länge der übertragenen IP-Pakete
immer eingeschränkt und Toplogieabhängig. Abhängig von dem verwendeten Netz wird
die maximale Größe der IP-Pakete in als Maximum Transfer Unit (MTU) in Oktetten
(Bytes) angegeben. Zur Anpassung der übertragenen IP-Pakete an unterschiedliche
MTU-Werte ist das IP-Protokoll in der Lage, Pakete entsprechend den MTU-Werten
der einzelnen Netze zu fragmentieren, dass heisst, große IP-Pakete auf eine
Reihe von kleineren IP-Teilpaketen (IP-Fragmenten) aufzuteilen. Ein Quellrechner
kann auch verbieten, dass ein IP-Paket fragmentiert werden darf. Hierfür muss
der Quellrechner/Router das Bit DF (don´t fragment) im Feld Flags des IP-Headers
auf 1 setzen. Die Größe des IP-Pakets liegt bei 576 bis 65 536 Oktetten. Wenn
man die minimale Länge von 20 Oktetten des IP-Headers berücksichtigt, bleiben
für die weiteren Daten und den TCP-Header noch 65 516 Oktette. Die minimale
Größe von 576 Oktetts muss von jeder IP-Implementierung unterstützt werden.
ISA Server 2004 deaktiviert das Blocken von IP-Fragementen per Default, weil ein
aktviertes blocken von IP-Fragmenten auch zu unerwünschten Nebeneffekten führen
kann, dass zum Beispiel VPN und IPSEC Verbindungen Probleme bereiten, da ja hier
bewusst IP Pakete vor Veränderung geschützt werden. IP-Fragmente können aber
auch die Sicherheit des Systems gefährden. Ein Beispiel für einen
Sabotageangriff ist der Ping-of-Death, bei dem ein synthetisches, unzulässig
großes IP-Paket (>65535 Bytes) in fragmentierter Form übertragen wird. Das
angegriffene System stürzt bei dem Versuch ab, die Fragmente wieder
zusammenzufügen. Das ist sicherlich kein aktuelles Beispiel, weil alle aktuellen
Firewallsysteme in der heutigen Zeit gegen Ping of Death gefeit sind, (auch der
ISA Server hat einen IDS gegen Ping of Death (lizenziert von ISS)) soll aber als
Beispiel ausreichend sein.
IP-Routing
Wenn IP-Routing aktiviert ist, sendet ISA Server das ursprüngliche Netzwerkpaket
zum Ziel. Durch IP-Routing wird zwar der Durchsatz verbessert, aus
Sicherheitsgründen wird jedoch empfohlen, diese Funktion zu deaktivieren. Wenn
IP-Routing deaktiviert ist, sendet ISA Server nur die Daten (nicht das gesamte
Paket) zum Ziel. ISA Server 2004 verwaltet sekundäre NAT Verbindungen von
komplexen Protokollen (z. B. FTP) direkt im Kernel Mode, welches den Durchsatz
für Protokolle mit sekundären Protokollen erheblich beschleunigen kann.
Sekundäre Verbindungen für Secure NAT Clients werden allerdings nur unterstützt
wenn ein Applikations-Filter für das Protokoll auf dem ISA Server 2004
installiert ist. Sie müssen also hier eine Entscheidung zu Gunsten der
Performance (aktiviertes IP-Routing) oder zu Gunsten der Sicherheit
(deaktiviertes IP-Routing) treffen. Aufgrund der Tatsache, dass IP Routing per
Default aktiv ist und auch andere Firewallimplementationen per Default IP
Routing aktivieren, können Sie diese Einstellung unverändert lassen.
Stand: Friday, 28. August 2009/MG. http://www.it-training-grote.de
