Windows Server 2008 Sicherheit – Die technische Referenz - Gattner

116 Kapitel 5: Firewall und Netzwerkzugriffsschutz
Geräte und komplexe Netzwerkarchitekturen im Einsatz, und kritische Unternehmensdaten
werden über das öffentliche Internet für den gemeinsamen Zugriff durch Geschäftspartner
bereitgestellt. Daher stellen die meisten Organisationen auch hostbasierte Firewalls bereit.
Authentifizierungs- und Verschlüsselungstechnologien haben sich seit den Zeiten von
Gopher und Veronica deutlich weiterentwickelt. Remotehosts können sichere Kommunikationskanäle
über TLS (Transport Layer Security), IKE (Internet Key Exchange) und andere
Protokolle herstellen. Sie können Benutzer auf viele unterschiedliche Arten authentifizieren
und sie können den Netzwerkverkehr mit IPsec (Internet Protocol Security), HTTPS (Secure
Hypertext Transport Protocol) und vielen anderen Protokollen verschlüsseln. Windows Server
2008 bietet Unterstützung für viele dieser Protokolle. Dieses Kapitel konzentriert sich
besonders auf die Windows-Firewall mit erweiterter Sicherheit, IPsec, Netzwerkzugriffsschutz
(Network Access Protection, NAP) und einige neue Fähigkeiten, die zum Routing-
und RAS-Dienst (Routing And Remote Access Service, RRAS) hinzugefügt wurden.
Uralte Protokolle: Das Internet vor dem Webzeitalter
Manche Leser werden geschockt sein: Millionen von Leuten nutzten das Internet für
Kommunikation und Informationsabruf, lange bevor Sir Tim Berners-Lee und Robert
Cailliau HTTP (Hypertext Transport Protocol) und HTML (Hypertext Markup Language)
entwickelten. Es stimmt wirklich: Leute konnten ganz ohne Browser andere Leute finden
und online auf nützliche Informationen zugreifen! E-Mail wurde schon vor dem Internet
verwendet, sie half sogar, seine Entwicklung zu beschleunigen. Leute stellten Informationen
online zur Verfügung, indem sie Dokumente und andere Datentypen auf FTP-Servern
(File Transfer Protocol) veröffentlichten, aber wenn man den Speicherort der gewünschten
Datei nicht wusste, war es recht schwierig, sie zu finden. Gopher (ein verteiltes Dokumentensuch-
und -abrufsystem) war der Vorläufer des World Wide Web. Veronica, eine
der ersten Suchmaschinen im Internet, konnte Informationen anhand des Namens von
Menüelementen in Gopher-Sites finden. WAIS (Wide Area Informationen Servers) war
ein frühes Client/Server-Suchsystem, das Volltextsuche in Gopher-Servern beherrschte.
Ja, ich habe unter anderem mit all diesen Technologien gearbeitet, als mir USENET und
Forensysteme langweilig wurden. Das war über ein 2400-Baud-Modem. Ich bin ein
Dinosaurier.
Windows-Filterplattform
Um die Entwicklung von Netzwerkverkehrfilterprodukten voranzutreiben, entwickelte
Microsoft die Windows-Filterplattform (Windows Filtering Platform, WFP). Sie steht sowohl
in Windows Vista als auch Windows Server 2008 zur Verfügung. WFP ist keine Firewall,
sondern ein Satz von Systemdiensten und Anwendungsprogrammierschnittstellen
(Application Programming Interface, API), die von Entwicklern bei Microsoft und Fremdherstellern
genutzt werden können. WFP ermöglicht eine völlig neue Qualität des Zugriffs
auf den TCP/IP-Stack (Transmission Control Protocol/Internet Protocol), sodass ein- und
ausgehende Netzwerkpakete untersucht oder geändert werden können, bevor ihnen der Weitertransport
erlaubt wird. Entwickler können mit WFP eine Vielzahl von Diagnose- und
Sicherheitstools erstellen, zum Beispiel Firewalls und Antivirensoftware. Abbildung 5.1
bietet einen Überblick über die WFP-Architektur und zeigt, wo sich Tools von Fremdherstellern
einklinken können.