Paketfilterung Wenn Sie verhindern möchten, dass der VPN-Server außer VPN-Datenverkehr weiteren Datenverkehr an der Internetschnittstelle sendet und empfängt, müssen Sie an der Schnittstelle für die Internetverbindung PPTP- oder L2TP/IPSec-Eingabe- und Ausgabefilter verwenden. Für Router-zu-Router-VPN-Verbindungen müssen Sie auch den anrufenden Router (den VPN-Client) mit PPTP- oder L2TP/IPSec-Paketfiltern konfigurieren. Dieser Schritt wird automatisch ausgeführt, wenn der RAS-Server mithilfe des Routing- und RAS-Server-Setup-Assistenten konfiguriert wird. Da standardmäßig IP-Routing für Intranetschnittstellen und für die Schnittstelle, die mit dem Internet verbunden ist, aktiviert ist, leitet der Computer unter einem Betriebssystem der Windows Server 2003-Produktfamilie IP-Pakete zwischen dem Internet und dem Intranet weiter. Dabei entsteht eine direkte Verbindungsroute zwischen dem Intranet und möglichen Angreifern im Internet. Um Ihr Intranet so zu schützen, dass nur Datenverkehr in das Intranet weitergeleitet wird, der über sichere VPN-Verbindungen gesendet und empfangen wurde, müssen Sie an der Internetschnittstelle PPTP- oder L2TP/IPSec-Filter verwenden. Bei Verwendung eines Firewalls müssen Sie Paketfilter auf dem Firewall konfigurieren, um den Datenverkehr zwischen dem VPN-Router und den Routern im Internet zu ermöglichen.
Paketfilterung ist ein Netzwerk-Sicherheitsmechanismus, der überprüft, welche Pakete an ein Netz und aus einem Netz weitergereicht werden dürfen und wohin sie weitergeleitet werden. Dazu werden die Quell- und Zieladressen in den Datenpaketen verwendet. Man kann auch mittels Paketfilterung Pakete bestimmter Protokolle zulassen oder blockieren. Allerdings kann man nicht innerhalb eines Protokolls Verbindungen von bestimmten Benutzern zulassen oder blockieren, da Pakete keine Informationen darüber enthalten, von welchem Benutzer sie kommen. Der wesentliche Vorteil von Paketfilterung ist, daß man von einer einzigen Stelle aus detaillierte Schutzmaßnahmen ergreifen kann, die im ganzen Netzwerk wirksam sind. Gewisse Schutzmechanismen können ausschließlich durch Router mit Paketfilterung bereitgestellt werden und dies auch nur, wenn sie an bestimmten Stellen im Netzwerk eingesetzt werden. Ein Router an der Grenze zwischen dem LAN und dem Internet kann zum Beispiel alle Pakete aus dem Internet zurückweisen, wenn als Quelladresse im Paket eine interne Adresse angegeben ist. Dies deutet auf einen Adressbetrug hin. Ein wesentlicher Vorteil von Paketfilterung ist, daß sie kein Anwenderwissen und keine Mitarbeit von Benutzern erfordert, da keine Anpassung der Software erforderlich ist. Außerdem ist Paketfilterung in vielen Hard- und Software-Routern enthalten, so daß dafür nichts dazugekauft werden muß. Paketfilterung hat allerdings auch einige Nachteile. Einer davon ist, daß Paketfilterungsregeln oft schwer formulierbar und einmal ausformuliert, auch schwer zu testen sind. Da Pakete zwar angeben, zu welchem Port sie gehören, nicht aber zu welcher Anwendung, muß man, wenn man Einschränkungen in Bezug auf höhere Protokolle als IP festlegt, dazu Portnummer verwenden. Dabei kann man nur hoffen, daß nichts anderes über den Port läuft, den sie einem bestimmten Protokoll zugewiesen haben. Eindringlinge können diese Art von Kontrolle jedoch leicht hintergehen. Es gibt allerdings auch einige wenige Paketfilterungssysteme, die Pakete anhand der Anwendungsprotokolle filtern. Folgende Grundsätze muß eine Paketfilterung außerdem noch erfüllen. Eine Paketfilterung: |