ISA Server FAQ Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Kapitel höher
Was ist der ISA Server
ISA beschaffen
Lizenzierung
MCP Prüfung 70-227
Zertifizierungen
Versionen
Clientadresssätze
Protokolldefinitionen
Protokollregeln
IP Paketfilter
Zeitpläne
Zielsätze
LAT
LDT
Clients
SecureNAT-Client
Webproxyclient
Betriebsmodi

 

Einrichten und konfigurieren von IP-Paketfiltern


Die Informationen in diesem Artikel beziehen sich auf:

  • Microsoft ISA Server 2000

 

Die Paketfilterungsfunktion des ISA Servers ermöglicht die Steuerung des Flusses von IP-Paketen von und zum ISA Server. Wenn die Paketfilterung aktiviert wird, werden alle Pakete auf der externen Schnittstelle verworfen, wenn sie nicht ausdrücklich zugelassen werden. Die Zulassung kann entweder statisch, durch IP-Paketfilter, oder dynamisch, durch Zugriffsrichtlinien oder Veröffentlichungsregeln erfolgen. Auch wenn keine Paketfilterung aktiviert ist, wird die Kommunikation zwischen dem lokalen Netzwerk und dem Internet nur zugelassen, wenn ausdrücklich Regeln konfiguriert wurden, die den Zugriff zulassen.

In den meisten Fällen ist es vorzuziehen, Ports dynamisch zu öffnen. Daher erfolgt die Empfehlung, Zugriffsrichtlinienregeln, die internen Clients den Zugriff zum Internet erlauben, bzw. Veröffentlichungsregeln, die externen Clients den Zugriff auf interne Server gestatten, zu erstellen. Dies liegt daran, weil IP-Paketfilter die Ports statisch öffnen. Zugriffsrichtlinien und Veröffentlichungsregeln öffnen die Ports jedoch dynamisch (sobald eine Anfrage ankommt).

In einigen Szenarios müssen IP-Paketfilter verwendet werden:

  • Veröffentlichung Server, die sich in einer DMZ (auch Umkreisnetzwerk) befinden
  • Anwendungen oder andere Dienste werden auf dem ISA Server-Computer ausgeführt, die das Internet abhören müssen bzw. darauf zugreifen müssen
  • es muss der Zugriff auf Protokolle zugelassen werden, die nicht auf UDP oder TCP basieren

IP-Paketfilter können nur konfiguriert werden, wenn der ISA Server im Firewallmodus oder im integrierten Modus installiert ist

Mit IP-Paketfiltern können Pakete, die für bestimmte Computer im Firmennetzwerk bestimmt sind, abgefangen und diese dann zugelassen oder gesperrt werden. Sie können zwei Arten von statischen IP-Paketfiltern konfigurieren: Zulassungsfilter und Sperrfilter.

Zulassungsfilter sind Ausnahmefilter, d. h. alle Pakettypen, mit Ausnahme der angegebenen, werden gesperrt. Sind für einen bestimmten Port keine Paketfilter aktiviert, kann der Dienst den Port nur dann abhören, wenn dieser dynamisch geöffnet wird (durch Server- oder Webveröffentlichungsregeln).

Sperrfilter schließen die jeweiligen Ports. Sie können Sperrfilter erstellen und konfigurieren, um den durch den ISA Server zugelassenen Datenverkehr weiter zu definieren. So kann beispielsweise ein Zulassungsfilter erstellt werden, das TCP-Datenverkehr auf Port 25 zwischen allen internen und externen Hosts zulässt. Die SMTP-Kommunikation ist somit aktiviert. Der Zugriff kann anschließend durch Erstellung eines Sperrfilters, das bestimmte externe Hosts (potenzielle Eindringlinge) daran hindert, TCP-Pakete an Port 25 auf dem ISA Server-Computer zu senden, eingeschränkt werden.

IP-Paketfilter werden anhand der folgenden Parameter definiert:

  • Server: Das Filter erlaubt oder sperrt die Kommunikation auf dem angegebenen Server.
  • Protokoll, Port und Richtung: Das Filter erlaubt oder sperrt den betreffenden Port, wenn das angegebene Protokoll verwendet wird.
  • Lokaler Computer: Die IP-Adresse des Computers im internen Netzwerk, für den die Kommunikation geöffnet oder gesperrt wird. Sie können einen Bereich oder eine einzelne IP-Adresse auf dem ISA Server-Computer angeben.
  • Remotecomputer: Die IP-Adresse des Computers im Internet, für den die Kommunikation zugelassen oder gesperrt wird.

 

Im folgenden Beispiel wird ein IP Paketfilter erstellt, der es einer Mailanwendung auf dem ISA Server selber erlaubt, ausgehend per SMTP Mails zu versenden. Dies ist prinzipiell keine gute Idee, denn auf einer Firewall sollen keine Applikationen installiert sein. Aber beispielsweise wird dieser Filter beim SBS Server benötigt, damit der integrierte Exchange Server Mails versenden kann.

Über die ISA Management Console -> Zugriffsrichtline gelangt man zu den IP-Paketfiltern. Dort einen neuen IP-Paketfilter erstellen:

Es ist einfacher, wenn ein beschreibender Name für den Filter verwendet wird.

Hier kann festgelegt werden, ob es ein Zulassungs- oder Sperrfilter wird. In diesem Beispiel soll Verkehr zugelassen werden.

Da kein vordefinierter Filter existiert muss ein neuer benutzerdefinierter Filter erstellt werden. In der Auswahlbox ist zwar "SMTP" auswählbar, hier handelt es sich jedoch um einen eingehenden Filter.

Unter "IP-Protokoll" stehen folgende Optionen zur Verfügung: Alle, ICMP, TCP, UDP oder Benutzerdefiniertes Protokoll. In diesem Beispiel soll eine TCP Kommunikation erlaubt werden, da das SMTP-Protokoll Port 25 TCP verwendet. Sofern "Benutzerdefiniertes Protokoll" ausgewählt wird, muss die Protokollnummer im Feld "Nummer" eingetragen werden.

Als Richtung stehen folgende Optionen (in Abhängigkeit des verwendeten IP-Protokolls) zur Verfügung:

  • Alle: Ausgehend, Eingehend, Beide
  • TCP: Ausgehend, Eingehend, Beide
  • ICMP: Ausgehend, Eingehend, Beide
  • UDP: Nur Empfangen, Nur Senden, Beide, Empfangen und Senden, Senden und Empfangen

Die Richtungsangaben für Alle, TCP, ICMP sollten selbsterklärend einfach sein. Für UDP hier eine kurze Erläuterung:

  • Senden: nur ausgehende Verbindungen zugelassen
  • Senden und Empfangen: Ausgehende Verbindungen können senden und im selben Atemzug empfangen
  • Empfangen: Ein veröffentlichter Server kann Daten empfangen aber keine zurückliefern (UDP gibt ja grundsätzlich keine Informationen über den Empfang der Daten).
  • Empfangen und Senden: Ein veröffentlichter Server kann Daten empfangen und mit der selben Verbindung antworten.

Das Feld "Lokaler Port" wird i.d.R. nur bei eingehenden Verbindungen benötigt und gibt an, für welchen Port der Filter aktiv sein soll. Zur Auswahl stehen "Alle Ports, Fester Port, Dynamisch". Bei einer eingehenden Verbindung ist hier der abzuhörende Port einzutragen.

Das Feld "Remoteport" wird i.d.R. nur bei ausgehenden Verbindungen benötigt und gibt an, für welchen Port der Filter aktiv sein soll. Zur Auswahl stehen "Alle Ports, Fester Port, Dynamisch". Bei einer ausgehenden Verbindung wird hier der Port eingetragen, über den die Kommunikation mit dem Zielsystem erfolgen soll. Bei SMTP senden also Port 25.

Auf der Assistenten-Seite "Lokaler Computer" wird die IP Adresse angegeben, über die die Verbindung ermöglicht werden soll. "Standard-IP-Adressen für jede externe Schnittstelle des ISA Server-Computers" bedeutet, dass die logisch erste eingetragene IP Adresse auf dem externen Interface verwendet wird. Bei ausgehenden Verbindungen ist zu beachten, dass der ISA Server prinzipiell ausgehende Verbindungen mit der ersten IP Adresse aufbaut.

Hier kann angegeben werden, ob die "Gegenstelle" der Verbindung nur ein einziger Host sein darf oder ob eine Verbindung mit dem zugelassenen Port zu allen externen Computern hergestellt werden darf. Die Angabe eines IP Adressen Bereiches wird leider nicht unterstützt.

Nach einem Zusammenfassungsfenster (-> ggfs. für Dokumentationszwecke nützlich!) ist der IP Paketfilter erstellt und aktiv.

Wie bereits oben erwähnt können IP-Paketfilter auch als Sperrfilter konfiguriert werden. Dies wird in einem eigenen Artikel beschrieben.

 

Stand: Friday, 28. August 2009/DR.


Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Fragen oder Probleme in Zusammenhang mit dieser Website richten Sie bitte an den Webmaster. Bitte inhaltliche oder technische Fragen ausschließlich in der deutschen ISA Server Newsgroup stellen.
Verbesserungsvorschläge, Anregungen oder Fremdartikel sind jederzeit willkommen! Copyright 2001-2011. Alle Rechte vorbehalten. msisafaq.de steht in keiner Beziehung zur Microsoft Corp.
Stand: Monday, 18. March 2013 / Dieter Rauscher