IPsec Default Ausnahmen können umgehen von IPSec-Schutz in einigen Szenarios verwandt werden

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 811832 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Das Internetprotokollsicherheit (IPsec)-Feature in Windows 2000, Windows XP und Windows Server 2003 wurde nicht als voll funktionsfähige Host-basierte Firewall konzipiert. Es wurde entwickelt, grundlegende zulassen und blockieren, die Filterung mithilfe der Adresse, Protokoll und Portinformationen in Netzwerkpaketen bieten. IPsec wurde auch als administratives Tool entwickelt, um die Sicherheit der Kommunikation in einer Weise zu erhöhen, die für die Programme transparent ist. Aus diesem Grund bietet Datenverkehr zu filtern, die zum Aushandeln der Sicherheit für IPsec erforderlich ist transport oder Tunnel IPsec-Modus, insbesondere für Intranetumgebungen, in denen Computer Vertrauensstellung über den Kerberos-Dienst verfügbar war, oder für bestimmte Pfade über das Internet, Infrastruktur öffentlicher Schlüssel (PKI) digitale Zertifikate verwendet werden können.

Standardausnahmen zu IPSec-Richtlinienfilter sind in der Microsoft Windows 2000 und Microsoft Windows XP-Hilfe dokumentiert. Diese Filter ermöglichen es für Internetschlüsselaustausch (IKE) und Kerberos Funktion. Der Filter auch ermöglichen es dem Netzwerk Quality of Service (QoS) werden signalisiert (RSVP), wenn der Daten Datenverkehr durch IPsec gesichert ist, und für Datenverkehr, IPsec möglicherweise nicht z. B. multicast und broadcast-Datenverkehr sicherem. Weitere Informationen über diese Filter finden Sie im folgenden Artikel der Microsoft Knowledge Base:
253169 Datenverkehr, der nicht möglich--durch IPsec geschützt werden und kann--

Weitere Informationen

IPsec zunehmend verwendet wird, für die Host Basisfirewall Paketfilterung, insbesondere in Szenarien Internet verfügbar gemacht hat die Auswirkungen dieser Standardausnahmen vollständig nicht verstanden. Aus diesem Grund einige IPsec-Administratoren können IPSec-Richtlinien, die Ihrer Meinung nach sicheren erstellen, sind jedoch nicht tatsächlich Schutz vor eingehenden Angriffen, die die Standardausnahmen verwenden.

Microsoft empfiehlt dringend, dass Netzwerkadministratoren die Schritte in diesem Artikel entfernen die Standardausnahmen für IPSec werden. Dies ist vor allem empfohlen, wenn IPsec in Szenarios verwendet wird, muss Firewall-ähnliche Funktionalität Angreifer verhindern Netzwerk Zugriff auf den Computer. Entfernen der Standardausnahmen für Kerberos verhindern, dass Angreifer defeating Schutz, der durch IPsec für bestimmte IPsec-Richtlinienkonfigurationen bereitgestellt werden soll. Nachdem die Ausnahmen entfernt werden, möglicherweise vorhandene Sicherheitsrichtlinien geändert werden, ordnungsgemäß funktioniert.

Administratoren können beginnen, diese Änderungen für alle vorhandenen und neuen IPsec-Bereitstellungen mithilfe Planen der
NoDefaultExempt=1
Registrierungsschlüssel auf allen Windows 2000-basierten und Windows XP-basierten Computern. Der Zweck dieser Registrierungsschlüssel wird später in diesem Artikel beschrieben.

Definition von IPsec Default Exemptions

In der folgende Tabelle werden die entsprechenden Filter, die implementiert werden, wenn alle Standardausnahmen zu IPSec-Filterung aktiviert sind, wie Sie standardmäßig sind, oder beschreiben die Standardausnahmen, die im IPSec-Treiber zum Zulassen von Datenverkehr unabhängig von anderen IPSec-Richtlinienfilter angewendet werden, wenn
NoDefaultExempt
auf 0 .These Filterdefinitionen festgelegt ist zusammengefasst. Tools, die IPSec-Richtlinie Filterdetails anzeigen nicht diese Ausnahmen in Ihre Ergebnisse nicht anzeigen.

Entsprechende Filter für
NoDefaultExempt=0
:
Tabelle minimierenTabelle vergrößern
QuelladresseZieladresseDienstQuellportZielportFilteraktion
Eigene IP-AdresseBeliebige IP-AdresseUDPbeliebig88Zulassen
Beliebige IP-AdresseEigene IP-AdresseUDP88beliebig Zulassen
Beliebige IP-AdresseEigene IP-AdresseUDPbeliebig 88Zulassen
Eigene IP-AdresseBeliebige IP-AdresseUDP88beliebig Zulassen
Eigene IP-AdresseBeliebige IP-AdresseTCPbeliebig 88Zulassen
Beliebige IP-AdresseEigene IP-AdresseTCP88beliebig Zulassen
Beliebige IP-AdresseEigene IP-AdresseTCPbeliebig 88Zulassen
Eigene IP-AdresseBeliebige IP-AdresseTCP88beliebig Zulassen
Eigene IP-AdresseBeliebige IP-AdresseUDP500500 (1)Zulassen
Beliebige IP-AdresseEigene IP-AdresseUDP500500Zulassen
Eigene IP-Adressebeliebig46 (RSVP)Zulassen
Beliebige IP-AdresseEigene IP-Adresse46 (RSVP)Zulassen
Beliebige IP-Adresse<multicast> (2)Zulassen
Eigene IP-Adresse<multicast>Zulassen
Beliebige IP-Adresse<broadcast> (3) Zulassen
Eigene IP-Adresse<broadcast>Zulassen
<Alle ipv6-protokoll datenverkehr > (5)<Alle ipv6-protokoll datenverkehr > (4)Zulassen
Wenn die IP-Adresse angegeben ist, ist die Subnetzmaske 255.255.255.255. Wenn die IP-Adresse beliebig ist, ist die Subnetzmaske 0.0.0.0.
  1. Damit die IPSec-Transportmodus über eine IPSec-Tunnelmodus SA ausgehandelt werden wird ISAKMP-Verkehr nicht ausgenommen, wenn zuerst der IPSec-Tunnel passieren werden muss.
  2. Multicast-Datenverkehr ist definiert als die Klasse D-Bereich mit einem Ziel Adressbereich von 224.0.0.0 mit einem 240.0.0.0 Subnetzmaske. Dazu gehören die Bereich von IP-Adressen von 224.0.0.0 bis 239.255.255.255.
  3. Broadcast-Verkehr wird definiert, als Zieladresse die begrenzte Broadcastadresse 255.255.255.255 oder als Host-ID Teils der IP-Adresse festgelegt alle Einsen die Subnetzbroadcastadresse.
  4. IPSec unterstützt nicht Filtern für IP Version 6 (IPv6), Pakete, außer wenn IPv6-Pakete mit einer IPv4-Header als gekapselt sind Protokoll 41. Weitere Informationen zum IPv6-Unterstützung in Windows die folgende Microsoft-Website:
    http://technet.microsoft.com/en-us/network/bb530961.aspx

Betriebssystemunterstützung für NoDefaultExempt

Die folgende Tabelle beschreibt die Standardverhalten der Ausnahme in den verschiedenen Versionen von Windows 2000 und Windows XP:
Tabelle minimierenTabelle vergrößern
Einzelhandel, freigegebenen VersionSP1SP2SP3SP4
Windows 2000Standardausnahmen hat.
NoDefaultExempt
Schlüssel wird nicht unterstützt.
Standardausnahmen hat, Schlüssel
NoDefaultExempt
unterstützt wird, Werte 0 oder 1 .
Standardausnahmen hat. Schlüssel
NoDefaultExempt
unterstützt wird, Werte 0 oder 1 .
Standardausnahmen hat. Schlüssel
NoDefaultExempt
unterstützt wird, Werte 0 oder 1 .
Standardmäßig ändert
NoDefaultExempt=1
, Kerberos und RSVP-Ausnahmen entfernt.
Windows XPStandardausnahmen hat,
NoDefaultExempt
unterstützt wird, Werte 0 oder 1 .
Standardausnahmen hat,
NoDefaultExempt
unterstützt wird, Werte 0 oder 1 .
Standardmäßig ändert
NoDefaultExempt=1
, Kerberos und RSVP-Ausnahmen entfernt.


Hinweis: Filtern von Broadcast- oder multicast-Datenverkehr wird von IPSec in Windows 2000 und Windows XP nicht unterstützt.

Entfernen von Standard-Ausnahmen

Der folgenden Registrierungsschlüssel steuert die Art der Standardausnahmen für IPsec:
NoDefaultExempt

Datentyp: REG_DWORD
Bereich: variiert:
Windows 2000: 0-1, die nur unterstützte
Windows XP: 0-1 nur unterstützte
Windows Server 2003: 0-3 unterstützt nur
Standardverhalten (Windows 2000 und Windows XP): 0
Standardverhalten (Windows Server 2003): 3
Standardmäßig vorhanden: Nein
Beschreibung der möglichen Werte:
  • Der Wert 0 gibt an, Multicast-, Broadcast-, RSVP-, Kerberos und IKE-Datenverkehr (ISAKMP) werden von der IPSec-Filterung ausgenommen. Dies ist die Standardeinstellung Filtern Verhalten für Windows 2000 und Windows XP. Verwenden Sie diese Einstellung nur, wenn Sie auf die Kompatibilität mit einer bestehenden IPSec-Richtlinie oder Windows 2000 und Windows XP das Verhalten haben.
  • Wert 1 gibt an, dass Kerberos und RSVP-Datenverkehr nicht von der IPSec-Filterung ausgenommen, aber Multicast-, Broadcast- und IKE-Datenverkehr ausgenommen sind. Dies ist der empfohlene Wert für Windows 2000 und Windows XP.
  • Wert 2 gibt an, dass Multicast-und Broadcastverkehr sind nicht von IPSec-Filterung ausgenommen, aber RSVP-, Kerberos- und IKE-Datenverkehr ausgenommen. Nur in Windows Server 2003 unterstützt.
  • Der Wert 3 gibt an, dass nur IKE-Datenverkehr von der IPSec-Filterung ausgenommen ist. Nur in Windows Server 2003 unterstützt. Windows Server 2003 enthält dieses standardmäßige Verhalten, obwohl der Registrierungsschlüssel nicht standardmäßig vorhanden ist.
wichtig In diesem Abschnitt, Methode oder Aufgabe enthält Hinweise zum Ändern der Registrierung. Allerdings können schwerwiegende Probleme auftreten, wenn Sie die Registrierung falsch ändern. Stellen Sie daher sicher, dass Sie diese Schritte sorgfältig ausführen. Für zusätzlichen Schutz sichern Sie der Registrierung, bevor Sie ihn ändern. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756Zum Sichern und Wiederherstellen der Registrierung in Windows


So konfigurieren Sie diesen Registrierungsschlüssel:
  1. Klicken Sie auf Start , klicken Sie auf Ausführen , geben Sie regedit ein und klicken Sie dann auf OK .
  2. Klicken Sie auf folgenden Registrierungsschlüssel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC

    Hinweis: In Windows Server 2008 und Windows Vista ist der Registrierungsschlüssel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
  3. Klicken Sie mit der rechten Maustaste auf IPSEC , zeigen Sie auf neu und klicken Sie dann auf DWORD-Wert .
  4. Benennen Sie diesen neuen Eintrag NoDefaultExempt .
  5. Ändern Sie den Wert des Schlüssels
    NoDefaultExempt
    von 0 auf 1 . Wenn Sie möchten, können Sie einen anderen Wert als 1 verwenden, wenn ein anderer Wert für Ihre Umgebung am besten geeignet ist.
  6. Beenden Sie den Registrierungseditor.
  7. Klicken Sie in Windows XP auf Start , klicken Sie auf Systemsteuerung und doppelklicken Sie auf Verwaltung . Klicken Sie in Windows 2000 auf Start , klicken Sie auf Einstellungen , klicken Sie auf Systemsteuerung und doppelklicken Sie auf Verwaltung .
  8. Doppelklicken Sie auf Dienste .
  9. Beenden, und starten Sie den Dienst IPSec-Dienste neu. Windows XP erfordert einen Neustart des Computers nach dem Sie das tun.

Auswirkungen von Standard-Ausnahmen

Das folgende Beispiel zeigt eine Windows 2000 oder Windows XP-IPSec-Richtlinie, die als unidirektionale Blockierungsfilter konfiguriert ist. Die Auswirkungen eines Filters Block mit diesen Regeln ist, dass alle eingehenden Datenverkehr gesperrt wird. Dieser Filter-Rule dient nur zur zeigen der Auswirkungen der IPSec-Ausnahmen gegen diese Regel:
Source Address:		Any
Source Mask:		0.0.0.0
Destination Address:	My IP Address (10.10.1.2)
Destination Mask:	(255.255.255.255)
Protocol:		Any
Source Port:		Any
Destination Port:	Any
Mirrored:		No
darin, dass der Administrator ?s Absicht in diesem Beispiel alle eingehenden Unicast-Datenverkehr blockieren, die an die 10.10.1.2-IP-Adresse geht. Den folgenden Abschnitten der Auswirkungen der Standardausnahmen wie Sie diesen Filter gelten.

Auswirkungen der IKE-Freibetrag

Die IKE-Ausnahme ist spezifisch für Quelle und Ziel-Port UDP 500. IKE empfängt immer diese Art von Paketen von jeder Quelladresse aufgrund der Standard-IKE-Ausnahme. Möglicherweise könnte ein Angreifer mit den IKE-Ports, um Angriffe IKE selbst und möglicherweise Probleme verursachen. IKE-Ports können nicht jedoch für andere geöffnete UDP- oder TCP-Ports Angriffe verwendet werden. IKE führt eine IPsec-Richtliniensuche bestimmen, wenn ein eingehendes Paket beantworten sollten. Da IKE zum Aushandeln von Sicherheitseinstellungen verwendet wird zwischen zwei IPSec-Hosts und IPSec-Filter dienen nur zulassen und blockieren Steuerung des Datenverkehrs, IKE nach eine übereinstimmenden Sicherheitsrichtlinie fehl und antwortet nicht auf eingehende Anforderungen.

IKE-verwenden Sie verschiedene Methoden der Denial of Service (DoS) Avoidance. Windows 2000 Service Pack 3 und Windows XP bieten verbesserte DoS Vermeidung der IKE-Überflutungsangriffe. IKE kann nicht unabhängig von der IPSec-Dienst und der IPsec-Treiber deaktiviert werden. IKE kann nur deaktiviert werden, durch Beenden der IPSec-Dienst, der auch die IPSec-Filterung deaktiviert.

Wenn IKE wird aus dem Internet ausgesetzt und ist nicht erforderlich, aber IPSec-Filterung erforderlich ist, stehen eine Reihe von Optionen zur Verfügung:
  • Auf der Standard-Gateway oder Firewall kann ein Blockfilter für UDP 500-Datenverkehr verwendet werden.
  • Konfigurieren Sie TCP/IP erweitert Filter auf der Internetschnittstelle. Verwenden Sie nur zulassen, und fügen Sie UDP-Ports außer UDP 500 erforderlich. Weitere Informationen zur Verwendung dieser Option finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    309798Zum Konfigurieren von TCP/IP Filtern in Windows 2000
    Verwenden Sie den Befehl Netstat ? a um festzustellen, öffnen Sie UDP-Ports.
  • Unter Windows XP kann die Internetverbindungsfirewall (ICF) an der Internetschnittstelle aktiviert werden, um den gesamten eingehenden Datenverkehr zu blockieren. Bestimmte Sicherheitslücken können für UDP-Ports außer UDP 500 konfiguriert werden.Weitere Informationen zu ICF finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    283673Zum Aktivieren oder Deaktivieren der Firewall in Windows XP

Auswirkungen der Kerberos-Standard-Freibetrag

Mit diesem Beispiel, das alle unidirektionalen, eingehenden Datenverkehr blockiert, würden alle eingehenden oder ausgehenden Unicast Kerberos-Datenverkehr von diesem Filter entsprechen ausgenommen werden. Aus diesem Grund kann ein Angreifer ein Unicast UDP- oder TCP-Paket erstellen, die Quellport 88, verwendet um alle geöffneten Anschluss am 10.10.1.2 zugreifen. Dadurch würde ein UDP- und TCP-Portscan auch mit dem Blockierungsfilter aktiviert. Der Administrator muss den Registrierungsschlüssel "
NoDefaultExempt
" Angriffe festlegen. Wenn eine Filterung Router oder Firewall verwendet wird, kann es kann oder nicht Datenverkehr von einem Angreifer, je nachdem, wie Datenverkehr verarbeitet, die Kerberos-Ports verwenden.

Hinweis: Viele Port-Scan Tools führen Sie dieses Verhalten nicht erkennen, weil diese Tools nicht den Quellport auf 88 festlegen zulassen, tritt die Überprüfung auf offene Ports. Beachten Sie außerdem, dass viele Port-Scan Tools eine ICMP-Nachricht als Antwort auf eine Probe erwarten, die an einen TCP- oder UDP-Port gesendet wird, die nicht geöffnet ist. Wenn IPsec ICMP-Verkehr blockiert, kann das Scan-Tool fälschlicherweise melden, dass der Anschluss geöffnet ist. Verwenden Sie eine Netzwerkablaufverfolgung mit Tool "Netzwerkmonitor", um sicherzustellen, dass der Datenverkehr wird von im Netzwerk gesendet und empfangen.

Wenn die Kerberos Ausnahme entfernt wird, und wenn IPsec auch mithilfe von Kerberos-Authentifizierung in IKE-Datenverkehr gesichert verwendet wird, müssen die folgenden IPSec-Richtlinie Entwurf Überlegungen folgen:
  • Ein Computer mit IKE-Kerberos-Authentifizierung mit
    NoDefaultExempt=1
    kann nicht mit einem Peer Computer kommunizieren, die IKE-Kerberos-Authentifizierung verwenden Wenn er auch nicht der gleiche Registrierungsschlüssel verfügt. Verwenden Sie die Zertifikatauthentifizierung für IKE statt Kerberos, wo dies erforderlich ist.
  • Explizite Ausnahmen für Kerberos- und UDP 389 Datenverkehr zu und von allen entsprechenden Domänencontroller IP-Adressen müssen in der IPSec-Richtlinie angegeben werden. Da als von März 2003, Microsoft IPsec Sichern von Datenverkehr von einem Mitglied einer Domäne auf seine Domänencontroller nicht unterstützt, fügen Sie Filter hinzu, die IPSec-Richtlinie den gesamten Datenverkehr an die Domäne-Controller IP-Adressen explizit zulässt. Diese erfordern viele Filter lassen, wenn es gibt viele Domänencontroller Domänencontroller. IP-Adressen dauerhaft zu einem Domänencontroller (statische IP-Adressen) zugewiesen werden müssen. Die Filterliste für alle Domänencontroller in einer Domäne muss durch den Administrator um die aktuelle Liste der IP-Adressen manuell verwaltet werden. Dies kann leichter vom Administrator aktualisiert werden, wenn der Filter den DNS-Namen der Domäne als Quelle oder Ziel-Adresse während der Erstellung eines neuen Filters angibt. Dies löst den Domänennamen für DNS auf alle aktuellen IP-Adressen in der Domäne und erstellen Filter für jede einzelne IP. Überprüfen Sie die IP-Adresse aus bevor Sie mit die Filterliste in der Produktion. Hinzufügen eines neuen DOMÄNENCONTROLLERS benötigen Sie einen neuen Filter in der Filterliste hinzufügen. Microsoft empfiehlt, eine Filterliste für alle Domänencontroller in einer bestimmten Domäne, die IPsec-Richtlinienregeln dann gemeinsam ist zu verwenden. Stellen Sie sicher, dass die Filterlistenname die letzten Update Zeit der IP-Adressliste Referenzzwecken angibt.
Weitere Informationen zur Kommunikation zwischen Domänencontrollern finden Sie im folgenden Artikel der Microsoft Knowledge Base:
254949IPSec-Unterstützung für Datenverkehr von Client zu Domänencontroller und Domänencontroller zu Domänencontroller Domänenverkehr

Auswirkungen der RSVP-Freibetrag

Für einen Computer, der RSVP verwendet ein Angreifer einen Denial-of-Service-Angriff bewirken, dass durch Überflutung oder gefälschte oder böswillige RSVP-Pakete zu 10.10.1.2 senden möglicherweise. Dies ist die IP-Adresse im vorherigen Beispiel, und dieser Angriff würde unidirektional eingehende blockieren IPSec-Filter im Beispiel umgehen.

Das RSVP-Protokoll ist IP-Protokoll 46. Es ist ein signalisierendes Protokoll, das zum Reservieren von Bandbreite in Routern für Programm-Datenverkehr verwendet wird.

In Windows 2000 RSVP

Windows 2000 verwendet das RSVP-Protokoll unter den folgenden Umständen:
  • Der QoS-Zugangssteuerung der Dienst wird installiert. Dies ist eine optionale Netzwerke Komponente in Windows 2000 Server-Computern. Wenn diese installiert ist, wird er empfängt und sendet RSVP-Datenverkehr.
  • Der Quality of Service (QoS) RSVP-Dienst ausgeführt wird. Standardmäßig wird dieser Dienst installiert und konfiguriert als Dienst automatisch gestartet. Wenn es gestartet wird, lädt der Dienst das Rsvp.exe-Programm, die RSVP verwendet, Protokoll und entlädt es liegt kein Datenverkehr, der erfordert RSVP signalisierenden. Er lädt das Rsvp.exe-Programm dynamisch QoS-Dienste benötigt werden.
  • Ein Programm öffnet einen Socket mit einer GQoS-Socketoption. Das Rsvp.exe-Programm wird zum Verwalten von Steuerinformationen für den Socket Datenverkehr kontinuierlich ausgeführt.
  • Der Befehl Pathping ? r verwendet das RSVP-Protokoll, um festzustellen, ob Router RSVP aktiviert sind.
Weitere Informationen zum Signalisieren RSVP-Protokoll deaktivieren finden Sie im folgenden Artikel der Microsoft Knowledge Base:
247103Zum Deaktivieren von RSVP signalisierenden
Wenn verwendet, sendet der QoS-RSVP-Dienst des RSVP signalisierenden auf der angegebenen Schnittstelle nicht.

In Windows XP RSVP

Das RSVP-Protokoll wurde in Windows XP verworfen. Obwohl Quality of Service (QoS) RSVP-Dienst standardmäßig installiert ist, wird es für einen manuellen Start konfiguriert. Der Dienst nicht senden oder empfangene RSVP-Protokollnachrichten verarbeiten. Er registriert noch des RSVP-Protokoll, sodass der TCP/IP-Stapel IP empfängt Protokoll 46 Typ Pakete. Aber diese eingehende Pakete werden dann verworfen. Wenn der QoS-RSVP-Dienst nicht gestartet wird, wird der TCP/IP-Protokollstapel ablegen das eingehende RSVP-Paket und ein "Ziel nicht erreichbar" ICMP-Paket als Antwort senden.

Windows verwendet nur das RSVP-Protokoll der Befehl Pathping ? r das RSVP-Protokoll verwendet, um festzustellen, ob Router RSVP aktiviert sind.

Schutz vor RSVP-Angriffe

Aktivieren von IPsec zum Schutz vor möglicher Angriffen über das RSVP-Protokoll der Administrator muss festlegen, um die
NoDefaultExempt=1
Registrierungsschlüssel, um die RSVP-Ausnahme in IPsec deaktivieren. Stattdessen können Sie den QoS-RSVP-Dienst deaktivieren, oder deaktivieren RSVP als Protokoll.Weitere Informationen dazu finden Sie im folgenden Artikel der Microsoft Knowledge Base:
247103Zum Deaktivieren von RSVP signalisierenden
Wenn RSVP-Protokoll-Operation erforderlich ist, können explizite Zulässigkeitsfilter in der IPSec-Richtlinie zulassen von IP-Protokoll 46 an die entsprechenden Quelle und Ziel-Adressen definiert werden. Da RSVP zur Kommunikation mit Router vorgesehen ist, rät Microsoft davon mithilfe von IPsec zum Aushandeln der Sicherheit für RSVP. Beachten Sie, dass RSVP auch eine Multicastadresse verwenden kann, die von IPSec gefiltert werden kann nicht.

Auswirkungen von Broadcast- und Multicast Freibetrag

Pakete mit Multicast- und Broadcastverkehr Zieladressen würde nicht Beispiel eingehende Filter entsprechen, da der eingehende Filter eine Zieladresse für eine bestimmte Unicast IP-Adresse (10.10.1.2) hat. Windows 2000 und Windows XP IPSec-Filterung ist nicht es möglich, multicast oder broadcast-Datenverkehr filtern einzurichten.

Wenn Angreifer Multicast-oder Broadcastpakete erstellt und im Netzwerk ermöglicht es diese Pakete vom Computer empfangen werden, kann der Angreifer den IPSec-Filter umgehen, der im vorherigen Beispiel verwendet wird. Normalerweise müsste der Angreifer im lokalen Subnetz Angriff mithilfe dieser Datenverkehr, da die Standardkonfiguration für Gateway-Router keine unerwünschten eingehenden Multicast- oder broadcast-Datenverkehr weiterleiten würde durchführen werden. In einige IPsec-Richtlinienentwürfen, mit denen die Filteroption ? unsichere zulassen Kommunikation mit nicht-IPSec-aware Computer eingeben, ein Angreifer möglicherweise mit Multicast- oder Broadcastverkehr eingehend damit einen Zielcomputer, um eine Unicastantwort senden. Dadurch würde dann eine IKE-Aushandlung ausgehende, ein Soft-SA-Paket erstellen und öffnen Sie den Pfad für den Angreifer Verbindung ausgelöst. Ein Angreifer kann ein ungültiges TCP-Paket erstellen, indem eine Multicast- oder Broadcastanforderungen Zieladresse versuchen, die IPSec-Filter zu umgehen. Wenn ein Programm oder Protokoll, das ausgeführt wird Multicast- oder broadcast-Pakete empfangen fordert der Angreifer kann möglicherweise mit dem Programm kommunizieren, wenn der Angreifer und das Programm nur broadcast und multicast-Datenverkehr verwenden.

Microsoft empfiehlt, dass der IPsec-Administrator besprechen die Router und Firewall-Konfiguration mit dem Netzwerkadministrator, um die Durchführbarkeit eines solchen Angriffs näher zu untersuchen, die auf der aktuellen IPSec-basiert Richtlinien.

TCP-basierte Kommunikation erfordert einen Dreiwege-Handshake, die IP-Unicastverkehr verwendet und daher nicht Multicast-oder Broadcastdatenverkehr Typen verwenden. Programme und Dienste, die UDP- und raw-Sockets wird standardmäßig erhalten in Windows 2000 und Windows XP broadcast-Verkehr, wenn an Ports gesendet werden, die die Programme zu öffnen. Standardmäßig müssen RFC 2644 Zustände, die Broadcasts weitergeleitet nicht durch Router weitergeleitet werden. Es gibt zwei andere Arten von broadcast-Verkehr, der von der lokalen Verknüpfung verwendet werden kann:
  • Eingeschränkte Broadcast Adresse ? Dies ist wenn die Ziel-IP-Adresse lautet 255.255.255.255.
  • Netzwerk Präfix gesteuerte Übertragung - ist dies, wenn die Ziel-IP-Adresse x.y.255.255 oder x.y.z.255 mit entsprechenden Subnetzmasken ist.
Programme definieren in der Regel eigene Kommunikation Modell mithilfe dieser Datenverkehr. Normalerweise wird Multicast-und Broadcastverkehr verwendet, um zunächst ankündigen und entdecken Sie einen Dienst. Dann werden die Quelle und Ziel Computer IP-Unicastverkehr zwischen Ihren IP-Adressen damit die Kommunikation verwenden.

Um UDP-Programmen anzuzeigen, die broadcast-Verkehr standardmäßig erhalten, verwenden Sie den Befehl Netstat :
  • Windows 2000: Netstat-a -p UDP gibt es keine Methode zum Anzeigen der Programme, die diese Ports geöffnet.
  • Windows XP: Netstat ?ao ? p UDP die -Ao Schalter zeigt die Prozess-ID zum Identifizieren der Programme, die offene Ports verwenden.

Welche Programme kann Multicastverkehr empfangen?


Programme müssen explizit mit dem TCP/IP-Stack, eingehende Multicastverkehr empfangen registrieren. Wenn das Programm nicht um diese Art des Datenverkehrs erhalten registriert hat, werden eingehende multicast-Pakete gelöscht. Multicast-Pakete können jedoch an den Netzwerkadapter (am häufigsten), auf den Miniport, die IP-Schicht oder der UDP-Schicht gelöscht werden. Administratoren sollten Sie überprüfen bestimmen, welche Multicastverkehr sind routingfähige über das Netzwerk besser beurteilen, wenn multicast-Datenverkehr verwendet werden kann um einen Computer anzugreifen. Durch ein Programm haben zur bestimmen, welche Multicast Gruppen hinzugefügt wurde:
  • Windows 2000: keine Methode verfügbar
  • Windows XP:
    1. Klicken Sie auf Start , klicken Sie auf Ausführen , geben Sie cmd ein und klicken Sie dann auf OK .
    2. Geben Sie Netsh Interface Ip show Joins , und drücken Sie anschließend die [EINGABETASTE].

Verwenden IPsec mit den Internetverbindungsfirewall

Für Windows XP kann die Internetverbindungsfirewall (ICF) die Sicherheitsanforderungen zum Filtern von Datenverkehr besser erfüllen. INTERNETVERBINDUNGSFIREWALL filtert und kann eingehenden Multicast- und broadcast-Datenverkehr in Windows XP SP1 blockiert. ICF ist jedoch nicht bekannt, dass Datenverkehr, der durch IPSec-AH oder ESP im Transport- oder Tunnelmodus geschützt ist. IPsec ist in der Netzwerkebene unterhalb ICF. IKE ist über ICF aufsetzt. ICF sollte aus diesem Grund gestatten statisch IKE (UDP-Port 500) eingehende und wird nicht IPSec-AH oder ESP-Protokolle, aber der TCP- oder UDP-Datenverkehr nach IPSec-Decapsulated in der Verarbeitung empfangen. Wenn IPsec Verkehr blockiert wird, enthält ICF gelöscht Paket an nicht die Pakete, die IPsec verworfen.

IPSec-Funktionen kann zusammen mit ICF Filterung für erweiterten Filtern Verhalten kombiniert werden. Z. B. ICF kann nur öffnen Sie TCP-Port 445 in jeder IP-Adresse konfiguriert werden, und ein IPSec-Filter kann zur weiteren dies nur Pakete, die eine interne Subnetz wie die Quelladresse Einschränkung verwendet werden. Ein weiteres Beispiel könnte sein, dass IPsec ist zum Aushandeln der Sicherheit für den gesamten Datenverkehr konfiguriert, jedoch die ICF-Konfiguration beschränkt, welche eingehenden Verbindungen zulässig sind, akzeptiert werden, zulassen nur eingehende IKE (UDP-Port 500) und SMB-Dateifreigabe (TCP-Port 445).

Informationsquellen

Weitere Informationen zu TCP/IP-Implementierung finden Sie im Whitepaper Windows 2000 TCP/IP Details Implementierung. Sie finden das "Games Networking Support Center" auf folgender Website von Microsoft:
http://technet.microsoft.com/en-us/library/bb726981.aspx
Weitere Informationen zu IPSec finden Sie folgende Artikel der Microsoft Knowledge Base:
253169Datenverkehr, der nicht möglich--durch IPSec geschützt werden und kann--
254728IPSec sichert Kerberos-Verkehr zwischen Domänencontrollern
308127Manuelles Öffnen von Ports in Internetverbindungsfirewall in Windows XP
810207IPSec-Standardausnahmen werden in Windows Server 2003 entfernt.

Eigenschaften

Artikel-ID: 811832 - Geändert am: Freitag, 8. Februar 2008 - Version: 7.2
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows XP Professional
Keywords: 
kbmt kbfirewall kbprb kbinfo KB811832 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 811832
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com