DetailPage-MSS-KB

Knowledge Base

Artikel-ID: 241570 - Geändert am: Donnerstag, 30. September 2004 - Version: 1.2

 
Dieser Artikel wurde zuvor veröffentlicht unter D41337
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
241570  (http://support.microsoft.com/kb/241570/EN-US/ ) Security Features of Internet Connection Sharing

Zusammenfassung

Dieser Artikel beschreibt die Sicherheitsmerkmale bei der gemeinsamen Nutzung der Internetverbindung (Internet Connection Sharing (ICS)). Obwohl ICS nicht als Firewall für Sicherheitszwecke angesehen werden sollte, können Sie ICS doch nutzen, um eine relativ sichere Umgebung bei gleichzeitiger Internet-Konnektivität mit allen Funktionen zu schaffen.

Weitere Informationen

ICS arbeitet mit der Technik der Network Address Translation (NAT), um TCP/IP-Pakete zwischen zwei Netzwerken weiterzuleiten. ICS verbindet ein internes Netzwerk (in der Regel ein kleines lokales Netzwerk) mit einem externen Netzwerk (in der Regel das Internet). ICS übernimmt die Zuweisung einer TCP/UDP-Anschlussnummer für eine bestimmte Internet Protocol-Adresse (IP-Adresse) im internen Netzwerk. Die der IP-Adresse zugewiesene Anschlussnummer wird in einer Tabelle protokolliert.

So kann zum Beispiel die IP-Adresse für den internen ICS-Adapter 192.168.0.1 sein und der externe ICS-Adapter die IP-Adresse 156.59.23.100 haben, die vom Internetdienstanbieter zugewiesen wird. Der Client sendet ein TCP/IP-Paket an eine Webseite unter der Adresse 131.125.13.1 im Internet an Anschluss 80. Dieses Paket enthält die folgenden Informationen:
   Ziel-IP-Adresse= 131.125.13.1 (Adresse des Internet-Ziels)
   Quell-IP-Adresse= 192.168.0.2
   Zielanschluss= 80
   Quellanschluss= 2000 (Durch das Programm festgelegt)
Da sich 131.125.13.1 nicht im lokalen Adressbereich 192.168.0.x befindet, wird das Paket zu dem ICS-Computer geleitet, der als Standardgateway fungiert. Der ICS-Computer generiert ein neues Paket, das an die Webseite unter 131.125.13.1 gesendet wird. Dieses Paket enthält die folgenden Informationen:
   Ziel-IP-Adresse= 131.125.13.1
   Quell-IP-Adresse= 156.59.23.100 (Dies ist eine IP-Adresse, die dem externen ICS-Adapter durch den Internetdienstanbieter zugewiesen wurde)
   Zielanschluss= 80
   Quellanschluss= 3000
Beachten Sie bitte, dass sich die Werte für die Quell-IP-Adresse und den Quellanschluss geändert haben. In anderen Worten: Anschluss 3000 ist der IP-Adresse 192.168.0.2 zugewiesen bis die Verbindung beendet wird. Die Anschlusszuweisung wird in einer Tabelle protokolliert. Nachdem die Webseite geantwortet hat, empfängt der ICS-Computer ein Paket mit den folgenden Informationen:
   Ziel-IP-Adresse= 156.59.23.100
   Quell-IP-Adresse= 131.125.13.1
   Zielanschluss= 3000
   Quellanschluss= 80
Der ICS-Computer übersetzt dann dieses Paket und sendet ein neues Paket an die Client-IP-Adresse 192.168.0.2, von der das ursprüngliche Paket stammt. ICS entdeckt, dass der Anschluss 3000 der IP-Adresse zugewiesen ist, da die entsprechenden Informationen in der Anschlusszuweisungstabelle protokolliert wurden. Das an den Client gesendete Paket enthält die folgenden Informationen:
   Ziel-IP-Adresse= 192.168.0.2
   Quell-IP-Adresse= 131.125.13.1
   Zielanschluss= 2000
   Quellanschluss= 80
Beachten Sie bitte, dass Zielanschluss und IP-Adresse in die IP-Adresse und die Anschlussnummer geändert wurden, die von dem Client verwendet werden, von dem das Paket ursprünglich stammt. Durch diesen Übersetzungsprozess erkennt das Internet das lokale Netzwerk (alle Clients) hinter dem ICS-Computer (einschließlich des ICS-Computers) als eine einzige IP-Adresse.

Es gibt nur zwei Wege, auf denen ein Paket aus dem Internet einen Client hinter einem ICS-Computer erreichen kann:
  • Der ICS-Computer übersetzt ein eingehendes Paket mit Hilfe der Übersetzungstabelle und versendet das daraus resultierende neue Paket an den Client-Computer. Ein Client muss zuerst ein Paket senden (und somit eine Anschlusszuweisung veranlassen), bevor er über einen ICS-Computer ein Paket aus dem Internet empfangen kann.
  • Der ICS-Computer ist darauf konfiguriert, den gesamten auf einem bestimmten Anschluss eingehenden Verkehr an einen bestimmten Client-Computer zu leiten. Dieses Verfahren macht es erforderlich, die Standardkonfiguration zu ändern.
Für weitere Informationen lesen Sie bitte den folgenden Artikel in der Microsoft Knowledge Base:
   Artikel: Q231162
   Titel  : How to Map a Port in ICS Using an .inf File
Für weitere Informationen zu Network Address Translation siehe RFC 1631. Auf dem ICS-Computer sind die Anschlüsse 1-1024 nicht ausdrücklich gesperrt (mit Ausnahme von TCP-Anschluss 135 und UDP-Anschluss 139). Durch eine Sperrung dieser Anschlüsse wird verhindert, dass Anforderungen zur Datei- und Druckerfreigabe (SMB-Anforderungen) auf dem externen Adapter funktionieren. Davon sind eingehende und ausgehende TCP/IP-Pakete auf dem ICS-Computer wie folgt betroffen:
  • Jedes Paket, das der ICS-Computer versendet oder das unter Verwendung eines Anschlusses mit einer Nummer größer als 1024 aus dem Internet empfangen wird, muss übersetzt werden (wie bei jedem anderen Client-Computer hinter dem ICS-Computer). So müssen zum Beispiel ein vom ICS-Computer stammendes Paket und das entsprechende Antwortpaket auf Anschluss 5000 den zuvor in diesem Artikel beschriebenen Übersetzungsprozess durchlaufen.
  • Jedes Paket, das der ICS-Computer versendet oder das unter Verwendung eines Anschlusses mit einer Nummer kleiner oder gleich 1024 aus dem Internet empfangen wird, wird ohne Übersetzung direkt an das Internet oder das Programm auf dem ICS-Computer gesendet. Wenn Sie zum Beispiel die Homepage auf einem ICS-Computer öffnen, wird ein Paket auf Anschluss 80 versendet, das ohne Übersetzung direkt an das Internet geht. Außerdem wird ein durch den ICS-Computer auf Anschluss 80 empfangenes Paket direkt an das Programm auf dem ICS-Computer geleitet, das den Anschluss 80 aktiv überwacht (zum Beispiel ein Webserver). Damit der ICS-Computer eine Anforderung auf einem Anschluss kleiner oder gleich 1024 direkt beantworten kann, muss ein Programm überwachen, ob auf dem Anschluss Pakete eingehen, auf dem die Anforderung eingegangen ist. Standardmäßig reagiert der ICS-Computer nicht auf SMB-Anforderungen auf den Anschlüssen 135 und 139, weil diese gesperrt sind.
ICS trennt die Datei- und Druckerfreigabe nicht von dem externen Adapter auf dem ICS-Computer. Das DFÜ-Netzwerk trennt die Datei- und Druckerfreigabe vom DFÜ-Adapter, wohingegen Ethernet-Adapter (für DSL- und Kabelmodemverbindungen) die Datei- und Druckerfreigabe nicht standardmäßig trennen. Die Anschlüsse 135 und 139 auf dem ICS-Computer sind auf dem externen Adapter standardmäßig gesperrt, um zu verhindern, dass Remote-Computer im Internet Zugriff auf Freigaben und Drucker im lokalen Netzwerk erlangen. Durch die Sperrung dieser Anschlüsse ist die Fähigkeit des ICS-Computers, Dateien und Drucker für andere Computer im lokalen Netzwerk (LAN) freizugeben, nicht beeinträchtigt. Entsperrt man diese Anschlüsse, setzt man die Drucker und Freigaben im lokalen Netzwerk dem Zugriff aus dem Internet aus, was nicht empfehlenswert ist.

Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.


Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 98 Second Edition
  • Microsoft Windows Millennium Edition
Keywords: 
kbenv KB241570
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Zurückgezogener KB-ArtikelDisclaimer zu nicht mehr gepflegten KB-Inhalten
Dieser Artikel wurde für Produkte verfasst, für die Microsoft keinen Support mehr anbietet. Der Artikel wird deshalb in der vorliegenden Form bereitgestellt und nicht mehr weiter aktualisiert.
Freigeben
Weitere Supportoptionen
Microsoft Community-Supportforen
Kontaktieren Sie uns direkt
Zertifizierten Partner finden
Microsoft Store