Durch eine Filteraktion werden die Sicherheitsanforderungen für die Datenübertragung definiert. Filteraktionen können beim Erstellen einer Richtlinie oder vor dem Erstellen einer Richtlinie definiert werden. Filterlisten stehen für alle Richtlinien zur Verfügung. Um eine Filterliste zu definieren, klicken Sie mit der rechten Maustaste auf den Knoten IP-Sicherheitsrichtlinie, und wählen Sie Filteraktionen verwalten aus.

Eine Filteraktion kann folgendermaßen konfiguriert werden:

Datenverkehr zulassen

IPsec übergibt den Datenverkehr an den TCP/IP-Treiber und empfängt den Datenverkehr vom TCP/IP-Treiber ohne Modifikation oder Sicherheitsanforderungen. Diese Filteraktion ist für Datenverkehr von Computern geeignet, die nicht IPSec-kompatibel sind. Beschränken Sie beim Verwenden dieses Filteraktionstyps den Geltungsbereich der IP-Filterliste auf ein Minimum, damit Sie keinen Datenverkehr passieren lassen, der gesichert sein muss.

Sie sollten erwägen, den ICMP-Datenverkehr zu Problembehandlungszwecken zuzulassen. Sie müssen möglicherweise auch einem Computer, der sich nicht in Ihrer Domäne befindet (beispielsweise den Computer eines Beraters) den Zugriff auf einen anderen Computer in Ihrer Domäne gewähren. Diesen Zugriff können Sie mithilfe der Filteraktion Zulassen erteilen.

Wichtig

Über die Filteraktion Zulassen kann Zugriff ohne Authentifizierung, Datenintegrität oder Verschlüsselung erteilt werden. Der Zugriff wird jedem erteilt, der einen Computer mit der in der Filterliste angegebenen IP-Adresse verwendet. Der gesamte Datenverkehr zwischen den Computern erfolgt in Klartext; es werden keine Integritätsüberprüfungen durchgeführt.

Datenverkehr blockieren

Blockierter Datenverkehr wird von IPSec ohne weitere Benachrichtigung verworfen. Achten Sie beim Verwenden einer Filteraktion zum Blockieren darauf, dass Sie eine IP-Filterliste verwenden, die den richtigen IP-Adressbereich definiert. Beim Verwenden größerer Bereiche kann es leichter passieren, dass Datenverkehr zwischen gültigen Computern blockiert wird.

Sicherheit aushandeln

Wenn Sie die Option Unsichere Kommunikat. annehmen, aber immer mit IPsec antworten aktivieren, wird von IPsec versucht, Sicherheitszuordnungen und das Senden und Empfangen von IPsec-geschütztem Datenverkehr auszuhandeln. Kann der Peer jedoch kein IPSec verwenden, wird die Kommunikation ohne IPSec-Schutz zugelassen. Wenn Sie diese Filteraktion ausgewählt haben, können Sie darüber hinaus folgende Konfigurationen durchführen:

  • Sicherheitsmethoden und ihre Reihenfolge. Die Liste der Methoden definiert, in welcher Reihenfolge versucht wird, die Methoden auszuführen. Die erste erfolgreiche Methode wird verwendet, die verbliebenen Methoden bleiben unversucht. Üblicherweise sollte die Liste in der Reihenfolge von der höchsten Sicherheit zur niedrigsten Sicherheit geordnet sein, damit die sicherste Methode verwendet wird.

  • Zulassen von anfänglich eingehendem, ungesichertem Datenverkehr (Unsichere Kommunikat. annehmen, aber immer mit IPSec antworten). IPSec ermöglicht, dass ein eingehendes Paket, das der konfigurierten Filterliste entspricht, ungesichert (nicht durch IPSec geschützt) ist. Die ausgehende Antwort auf das eingehende Paket muss jedoch geschützt sein. Diese Einstellung empfiehlt sich beim Verwenden der Standardantwortregel für Clients. Angenommen, eine Gruppe von Servern ist mit einer Regel konfiguriert, in der festgelegt ist, dass die Kommunikation mit jeder IP-Adresse gesichert wird, ungesicherte Kommunikation zwar angenommen, Antworten jedoch nur mit sicherer Kommunikation erfolgen. Dann stellt die Aktivierung der Standardantwortregel für Clientcomputer sicher, dass die Clients auf vom Server angeforderte Sicherheitsaushandlungen reagieren. Diese Option sollte für sichere Computer, die mit dem Internet verbunden sind, deaktiviert werden, um Denial-of-Service-Angriffe zu verhindern.

  • Aktivieren der Kommunikation mit nicht IPSec-kompatiblen Computern (Unsichere Kommunikation zulassen, wenn keine sichere Verbindung hergestellt werden kann). Bei Bedarf wechselt IPSec zurück zu ungesicherter Kommunikation. Auch in diesem Fall sollte der Geltungsbereich der IP-Filterliste auf ein Minimum reduziert werden. Ansonsten kann ein Fehler bei einer Sicherheitsaushandlung zur Folge haben, dass die Regel, in der diese Filteraktion aktiv ist, den betroffenen Datenverkehr auch ungesichert ausführt. Wenn Sie ungesicherte Kommunikation vermeiden möchten, sollten Sie das Deaktivieren dieser Einstellungen in Betracht ziehen. Auf diese Weise kann jedoch die Kommunikation mit Computern gesperrt werden, die IPSec beispielsweise aufgrund veralteter Betriebssysteme nicht initiieren können. Diese Option sollte für sichere Computer, die mit dem Internet verbunden sind, deaktiviert werden, um Denial-of-Service-Angriffe zu verhindern.

  • Generieren von Schnellmodus-Sitzungsschlüsseln aus neuem Hauptmodus-Schlüsselerstellungsmaterial (Sitzungsschlüssel mit Perfect Forward Secrecy (PFS) verwenden). Durch Aktivieren von Sitzungsschlüssel-PFS wird sichergestellt, dass das Hauptmodus-Schlüsselerstellungsmaterial nicht verwendet werden kann, um mehr als einen Schnellmodus-Sitzungsschlüssel abzuleiten. Wenn Schnellmodus-PFS aktiviert ist, wird ein neuer Diffie-Hellman-Schlüsselaustausch ausgeführt, um neues Hauptmodus-Schlüsselerstellungsmaterial zu generieren, bevor der neue Schnellmodusschlüssel erstellt wird. Für Sitzungsschlüssel-PFS (Schnellmodus) ist keine erneute Hauptmodusauthentifizierung notwendig. Zudem sind weniger Ressourcen als beim Hauptschlüssel-PFS (Hauptmodus) erforderlich.

IP-Sicherheitsmethoden

Durch die einzelnen Sicherheitsmethoden werden die Sicherheitsanforderungen der jeweiligen Kommunikationstypen definiert, auf die die entsprechenden Regeln angewendet werden. Durch das Erstellen mehrerer Sicherheitsmethoden wird die Chance erhöht, dass zwei Computer über eine gemeinsame Sicherheitsmethode verfügen. Die IKE-Komponente (Internet Key Exchange, Internetschlüsselaustausch) liest die Liste der Sicherheitsmethoden in absteigender Reihenfolge und sendet eine Liste zugelassener Sicherheitsmethoden an den anderen Peer. Die erste gemeinsame Methode wird ausgewählt. In der Regel sind die sichersten Methoden am Listenanfang und die Methoden mit der geringsten Sicherheit am Listenende aufgeführt.

Vordefinierte IP-Sicherheitsmethoden

Die folgenden Sicherheitsmethoden sind vordefiniert:

Verschlüsselung und Integrität

Verwendet das ESP-Protokoll, um die Vertraulichkeit von Daten mit dem Dreifach-DES-Algorithmus (Triple Data Encryption Standard) sicherzustellen (Verschlüsselung), die Integrität und Authentifizierung von Daten durch den Integritätsalgorithmus SHA 1 (Secure Hash Algorithm 1, Sicherer Hashalgorithmus 1) zu gewährleisten und die Standard-Schlüsselgültigkeitsdauer (100 MB, 1 Stunde) festzulegen. Wenn Schutz sowohl für Daten als auch für die Adressierung (IP-Header) erforderlich ist, können Sie eine benutzerdefinierte Sicherheitsmethode erstellen. Ist keine Verschlüsselung erforderlich, verwenden Sie Nur Integrität.

Nur Integrität

Verwendet das ESP-Protokoll, um die Integrität und Authentifizierung von Daten durch den Integritätsalgorithmus SHA 1 zu gewährleisten und die Standard-Schlüsselgültigkeitsdauer (100 MB, 1 Stunde) festzulegen. In dieser Konfiguration bietet ESP keine Vertraulichkeit von Daten (Verschlüsselung).

Benutzerdefinierte IP-Sicherheitsmethoden

Wenn die vordefinierten Einstellungen Verschlüsselung und Integrität oder Nur Integrität Ihre Sicherheitsanforderungen nicht erfüllen, können Sie benutzerdefinierte Sicherheitsmethoden angeben. Beispielsweise können Sie benutzerdefinierte Methoden verwenden, wenn Verschlüsselung und Adressintegrität, stärkere Algorithmen angegeben oder Angaben zur Schlüsselgültigkeitsdauer gemacht werden müssen. Sie haben folgende Möglichkeiten zum Konfigurieren einer benutzerdefinierten Sicherheitsmethode:

Sicherheitsprotokolle

Sowohl das AH-Protokoll (Daten- und Adressintegrität ohne Verschlüsselung) als auch das ESP-Protokoll (Datenintegrität und -verschlüsselung) können in einer benutzerdefinierten Sicherheitsmethode aktiviert werden, wenn IP-Headerintegrität und Datenverschlüsselung erforderlich sind. Wenn Sie beide Optionen aktiviert haben, müssen Sie keinen Integritätsalgorithmus für ESP angeben.

Hinweis

Das AH-Protokoll kann nicht über NAT-Geräte (Network Address Translation, Netzwerkadressenübersetzung) verwendet werden, da es einen Hash aus dem Header verwendet. NAT-Geräte ändern den Header, sodass das Paket nicht richtig authentifiziert wird.

Integritätsalgorithmus

Nachrichtenhash 5 (Message Digest 5, MD5), der einen 128-Bit-Schlüssel verwendet. Dieser Algorithmus gilt nicht länger als sicher und sollte nur dann verwendet werden, wenn die Interoperabilität dies erfordert.

SHA1, der einen 160-Bit-Schlüssel verwendet. SHA1 ist ein stärkerer Hashalgorithmus als MD5 und mit FIPS (Federal Information Processing Standard) kompatibel.

Verschlüsselungsalgorithmus

3DES ist die sicherste DES-Kombination und deshalb etwas langsamer in der Leistung. 3DES führt jeden Block dreimal aus und verwendet dabei drei eindeutige 56-Bit-Schlüssel.

DES verwendet einen einfachen 56-Bit-Schlüssel und wird verwendet, wenn die höhere Sicherheit und der höhere Aufwand von 3DES nicht erforderlich sind. Dieser Algorithmus gilt nicht länger als sicher und sollte nur dann verwendet werden, wenn die Interoperabilität dies erfordert.

Mit den Sitzungsschlüsseleinstellungen (Schnellmodus) wird bestimmt, wann und nicht wie ein Schlüssel generiert wird. Sie können die Gültigkeitsdauer in Kilobyte (KB), in Sekunden oder in beiden Einheiten angeben. Dauert die Kommunikation beispielsweise 10.000 Sekunden an, und haben Sie die Schlüsselgültigkeitsdauer mit 1.000 Sekunden angegeben, werden zehn Schlüssel zum Vervollständigen der Übertragung generiert. Hierdurch wird das Entschlüsseln der gesamten Kommunikation verhindert, selbst wenn es einem Angreifer gelingen sollte, einen Sitzungsschlüssel zu ermitteln und einen Teil der Kommunikation zu entschlüsseln. Standardmäßig werden neue Schnellmodusschlüssel für jeweils 100 MB Daten oder stündlich generiert. Nach dem Ablaufen einer Schlüsselgültigkeitsdauer wird zusätzlich zur Schlüsselerneuerung und -neugenerierung auch die Sicherheitszuordnung neu ausgehandelt.

So erstellen Sie eine Filteraktion mithilfe des Dialogfelds "Eigenschaften für Neue Regel"
  1. Deaktivieren Sie auf der Registerkarte Regeln des Dialogfelds Eigenschaften von IP-Sicherheitsrichtlinie das Kontrollkästchen Assistenten verwenden, wenn Sie die Filteraktion im Eigenschaftendialogfeld erstellen möchten. Lassen Sie das Kontrollkästchen aktiviert, wenn Sie den Assistenten verwenden möchten. Klicken Sie auf Hinzufügen. Die folgenden Anweisungen gelten für das Erstellen einer Filterliste über das Dialogfeld.

  2. Aktivieren Sie auf der Registerkarte Filteraktion des Dialogfelds Regeleigenschaften das Kontrollkästchen Assistenten verwenden, und klicken Sie auf Hinzufügen.

  3. Wählen Sie auf der Registerkarte Sicherheitsmethoden die Methode (Aktion) aus, die von der Regel verwendet werden soll.

  4. (Optional) Geben Sie auf der Registerkarte Beschreibung eine Beschreibung der Filteraktion ein. Diese Beschreibung hilft Ihnen dabei, beim Durchsuchen der Filteraktionen eine Filteraktion schneller zu identifizieren, ohne ihre Eigenschaften öffnen zu müssen.

  5. Klicken Sie auf OK.

  6. Wiederholen Sie die Schritte 4 bis 8, um der Liste weitere Filteraktionen hinzuzufügen.

    Hinweis

    Obwohl für die Regel mehrere Filteraktionen aufgeführt sein können, kann jeweils nur eine Filteraktion pro Regel verwendet werden.

  7. Wählen Sie auf der Registerkarte Filteraktion die entsprechende Filteraktion für die Regel aus, und klicken Sie auf OK.

So erstellen Sie eine Filteraktion mithilfe des Dialogfelds "IP-Filterlisten und Filteraktionen verwalten"
  1. Klicken Sie mit der rechten Maustaste auf den Knoten IP-Sicherheitsrichtlinie, und wählen Sie IP-Filterlisten und Filteraktionen verwalten aus.

  2. Deaktivieren Sie auf der Registerkarte Filteraktionen verwalten das Kontrollkästchen Assistenten verwenden, wenn Sie die Filteraktion mithilfe des Eigenschaftendialogfelds erstellen möchten. Lassen Sie das Kontrollkästchen aktiviert, wenn Sie den Assistenten verwenden möchten. Klicken Sie auf Hinzufügen. Die folgenden Anweisungen gelten für das Erstellen einer Filterliste über das Dialogfeld. Bei den Anweisungen unten wird der Assistent nicht verwendet.

  3. Wählen Sie auf der Registerkarte Sicherheitsmethoden die Methode aus, und klicken Sie auf OK.

  4. Wenn Sie die Option Sicherheit aushandeln ausgewählt haben, können Sie mehrere Methoden hinzufügen und die Reihenfolge festlegen, in der versucht wird, sie auszuführen. Klicken Sie dazu auf Hinzufügen.

  5. (Optional) Geben Sie auf der Registerkarte Beschreibung eine Beschreibung des Filters ein. Diese Beschreibung hilft Ihnen dabei, beim Durchsuchen der Filter einen Filter schneller zu identifizieren, ohne seine Eigenschaften öffnen zu müssen.

  6. Klicken Sie auf OK.

  7. Wiederholen Sie Schritt 4 bis 8, um Filteraktionen der Liste hinzuzufügen.

Siehe auch