ISA Server FAQ Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Kapitel höher
Cache aktivieren
Cache aktivieren ohne SP1
Eindringversuchserkennung
Cachemodus
Ziel nicht cachen
Proxyeinstellungen per GPO
Socket Pooling W2k3
DNS Auflösung
Inhaltsdownload
Zertifikate
Webauthentifizierung
RADIUS und ISA 2004
SMTP Anwendungsfilter
Netzwerk definieren
Webverkettung
IP Optionen
Netzwerkkonfiguration
Automatische Suche
DMZ

 

ISA Server 2004 – IP-Einstellungen definieren - Von Marc Grote


Die Informationen in diesem Artikel beziehen sich auf:

  • Microsoft ISA Server 2004

 

Einleitung

 

ISA Server 2004 bietet die Option zur Konfiguration von IP-Einstellungen, um die Sicherheit des Systems zu erhöhen. Befolgen Sie bei der Konfiguration den Hinweisen in diesem Artikel:

 

IP-Optionen

Bei den IP-Optionen handelt es sich um einen speziellen Bereich im IP-Header mit dem Namen IP-Options.
IP-Optionen definieren zusätzliche Möglichkeiten des IP Protokolls wie z. B. die bekannteste IP-Option 9 - Strict Source Route. Es gibt die Möglichkeit 256 IP-Optionen zu konfigurieren (0-255).



ISA Server 2004 blockiert einige IP-Optionen weil diese für Angriffe genutzt werden können. Nehmen wir als Beispiel nochmal die IP-Option 9: Die einfachste Routing – Attacke benutzt die Internet – Protokolloption 9 bzw. 3 In beiden Fällen kann die Route durch das Netzwerk vom Sender des IP-Paketes bestimmt werden. Bei Verwendung von "Strict Source Routing" muss dabei jeder Vermittlungsknoten in der richtigen Reihenfolge angegeben werden. Im Gegensatz zu "Loose Source Routing" welches auch zusätzliche Hops zwischen zwei angegebenen IP – Adressknoten zulässt. Der Datenstrom der Zielstation kann damit problemlos an das Computersystem des Eindringlings "umgeleitet" werden. Dazu simuliert der Angreifer wiederum die IP – Adresse eines internen Systems (IP – Adress – Spoofing) und öffnet unter Aktivierung der Option "Loose Source Routing" eine Verbindung zur Zielstation, wobei als Route für die Antwortpakete ein Pfad, der über das angreifende System führt, angegeben wird. Damit stehen dem eingedrungenem System alle Möglichkeiten der simulierten, internen Station zur Verfügung.

Im ISA Server 2004 wird Strict Source Route als IP Option 137 und Loose Source Route als IP Option 131 dargestellt.

Für die Standardinstallationen können Sie die IP-Optionen aktiviert lassen und müssen keine zusätzlichen IP-Optionen aktivieren. Aktivieren Sie zusätzliche IP-Optionen nur, wenn Sie deren Bedeutung vollständig verstehen.

IP-Fragmente

In den unterschiedlichsten Netzwerken ist die Länge der übertragenen IP-Pakete immer eingeschränkt und Toplogieabhängig. Abhängig von dem verwendeten Netz wird die maximale Größe der IP-Pakete in als Maximum Transfer Unit (MTU) in Oktetten (Bytes) angegeben. Zur Anpassung der übertragenen IP-Pakete an unterschiedliche MTU-Werte ist das IP-Protokoll in der Lage, Pakete entsprechend den MTU-Werten der einzelnen Netze zu fragmentieren, dass heisst, große IP-Pakete auf eine Reihe von kleineren IP-Teilpaketen (IP-Fragmenten) aufzuteilen. Ein Quellrechner kann auch verbieten, dass ein IP-Paket fragmentiert werden darf. Hierfür muss der Quellrechner/Router das Bit DF (don´t fragment) im Feld Flags des IP-Headers auf 1 setzen. Die Größe des IP-Pakets liegt bei 576 bis 65 536 Oktetten. Wenn man die minimale Länge von 20 Oktetten des IP-Headers berücksichtigt, bleiben für die weiteren Daten und den TCP-Header noch 65 516 Oktette. Die minimale Größe von 576 Oktetts muss von jeder IP-Implementierung unterstützt werden.

ISA Server 2004 deaktiviert das Blocken von IP-Fragementen per Default, weil ein aktviertes blocken von IP-Fragmenten auch zu unerwünschten Nebeneffekten führen kann, dass zum Beispiel VPN und IPSEC Verbindungen Probleme bereiten, da ja hier bewusst IP Pakete vor Veränderung geschützt werden. IP-Fragmente können aber auch die Sicherheit des Systems gefährden. Ein Beispiel für einen Sabotageangriff ist der Ping-of-Death, bei dem ein synthetisches, unzulässig großes IP-Paket (>65535 Bytes) in fragmentierter Form übertragen wird. Das angegriffene System stürzt bei dem Versuch ab, die Fragmente wieder zusammenzufügen. Das ist sicherlich kein aktuelles Beispiel, weil alle aktuellen Firewallsysteme in der heutigen Zeit gegen Ping of Death gefeit sind, (auch der ISA Server hat einen IDS gegen Ping of Death (lizenziert von ISS)) soll aber als Beispiel ausreichend sein.

IP-Routing

Wenn IP-Routing aktiviert ist, sendet ISA Server das ursprüngliche Netzwerkpaket zum Ziel. Durch IP-Routing wird zwar der Durchsatz verbessert, aus Sicherheitsgründen wird jedoch empfohlen, diese Funktion zu deaktivieren. Wenn IP-Routing deaktiviert ist, sendet ISA Server nur die Daten (nicht das gesamte Paket) zum Ziel. ISA Server 2004 verwaltet sekundäre NAT Verbindungen von komplexen Protokollen (z. B. FTP) direkt im Kernel Mode, welches den Durchsatz für Protokolle mit sekundären Protokollen erheblich beschleunigen kann. Sekundäre Verbindungen für Secure NAT Clients werden allerdings nur unterstützt wenn ein Applikations-Filter für das Protokoll auf dem ISA Server 2004 installiert ist. Sie müssen also hier eine Entscheidung zu Gunsten der Performance (aktiviertes IP-Routing) oder zu Gunsten der Sicherheit (deaktiviertes IP-Routing) treffen. Aufgrund der Tatsache, dass IP Routing per Default aktiv ist und auch andere Firewallimplementationen per Default IP Routing aktivieren, können Sie diese Einstellung unverändert lassen.

 

Stand: Friday, 28. August 2009/MG. http://www.it-training-grote.de


Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Fragen oder Probleme in Zusammenhang mit dieser Website richten Sie bitte an den Webmaster. Bitte inhaltliche oder technische Fragen ausschließlich in der deutschen ISA Server Newsgroup stellen.
Verbesserungsvorschläge, Anregungen oder Fremdartikel sind jederzeit willkommen! Copyright 2001-2011. Alle Rechte vorbehalten. msisafaq.de steht in keiner Beziehung zur Microsoft Corp.
Stand: Monday, 18. March 2013 / Dieter Rauscher