IPSec in Windows 2003

IPSec wurde eigentlich für sichere Netzwerkverbindungen entwickelt, um Pakete und deren Integrität zu schützen. Man-in-The-Middle-Attacken, Spoofing und Ähnliches sollen erschwert bis unmöglich gemacht werden. Die IPSec-Policies von Windows 2003 lassen sich aber auch für andere Dinge verwenden, denn sie enthalten zusätzlich IP-Filter. Man kann also zum Beispiel einen Webserver absichern, der zudem noch per Remote Desktop oder Terminal Services auf dem öffentlichen Interface gewartet wird.

Bei einer typischen Konfiguration haben Sie einen Webserver mit einem öffentlichen Interface, über das die Benutzer auf Port 80 zugreifen, und einem zweiten Interface, das Sie aus der DMZ oder dem LAN nutzen, um den Server zu warten. Oft ist ein solches Setup aber nicht möglich: Stattdessen steht dann nur ein Interface zur Verfügung, über das der Rechner zu erreichen ist.

Bei IP-Filtern werden bestimmte Verbindungen identifiziert und dann anhand vordefinierter Regeln festgelegte Aktionen darauf angewendet. Die Identifizierung der Verbindungen erfolgt über die Ausgangs- und die Zieladresse sowie das verwendete Protokoll. Die Regeln können beliebig kompliziert sein, aber im Wesentlichen geht es immer um zwei mögliche Aktionen: Entweder das Paket wird durchgelassen oder nicht. Im Rahmen von IPSec gibt es noch darüber hinausgehende Möglichkeiten: So lassen sich die Pakete bei Bedarf verschlüsseln, auch eine schlüsselbasierte Authentifizierung für bestimmte Arten der Kommunikation ist möglich.

Das klingt zunächst einfach, entpuppt sich jedoch schnell als schwieriger, als man denkt: Die Identifizierung von Verbindungen bei gleichzeitiger Beeinflussung der Pakete durch die Regeln führt bei nicht richtig durchdachten Regeln schnell dazu, dass entweder keine oder die falschen Pakete durchgelassen werden. Die IP-Filter nehmen dem Administrator eine Menge Arbeit ab, da bei den Regeln wenigstens keine bestimmte Reihenfolge vorgeschrieben ist. Kompliziert bleibt die Sache aber trotzdem.