Anwendungsschichterzwingung (Application Layer Enforcement, ALE)
ALE ist eine Reihe von Windows-Filterplattform(WFP)-Kernelmodusebenen, die für die zustandsbehaftete Filterung verwendet werden.
Zustandsbehaftete Filterung verfolgt den Status von Netzwerkverbindungen und lässt nur Pakete zu, die einem bekannten Verbindungsstatus entsprechen. Beispielsweise kann die zustandsbehaftete Filterung für eine von hinter einer Firewall initiierte TCP-Verbindung nur eingehende Pakete zulassen, die mit früheren ausgehenden Paketen übereinstimmen, die von der Partei geschützt wurden.
Filter in den ALE-Layern autorisieren die Erstellung eingehender und ausgehender Verbindungen, Portzuweisungen, Socketvorgänge wie listen(), erstellung des rohen Sockets und empfangenden modus.
Datenverkehr auf den ALE-Ebenen wird entweder pro Verbindung oder pro Socketvorgang klassifiziert. Bei Nicht-ALE-Ebenen können Filter nur Datenverkehr pro Paket klassifizieren.
ALE-Ebenen sind die einzigen WFP-Ebenen, auf denen Netzwerkdatenverkehr basierend auf der Anwendungsidentität mithilfe eines normalisierten Dateinamens und basierend auf der Benutzeridentität mithilfe eines Sicherheitsdeskriptors gefiltert werden kann. (Weitere Informationen zu normalisierten Dateinamen finden Sie in der Dokumentation zum Windows Driver Kit (WDK) unter FLT_FILE_NAME_INFORMATION.)
Wenn IPsec zum Sichern der Verbindung verwendet wird, kann das Filtern auf ALE-Ebenen auch auf der Remotecomputeridentität und auf der Remotebenutzeridentität ausgeführt werden. Der Remotecomputer und die Benutzeridentitäten werden aus den Anmeldeinformationen abgerufen, die bei der Erstellung einer IPsec-Sitzung verwendet werden.
Aus diesem Grund können Richtlinien, die erzwingen, wer (z. B. "Administrator") und/oder welche Anwendung (z. B. "Internet Explorer") die oben genannten Netzwerkvorgänge ausführen dürfen, auf den ALE-Ebenen erstellt werden.
ALE bietet Erzwingung für Richtlinien wie "Windows Messenger den gesamten Zugriff auf das Netzwerk zuzulassen, während alle anderen Anwendungen blockiert werden." Wenn die Anwendung "Messenger" in einem solchen Beispiel eine Verbindung über das Netzwerk herstellt, ermittelt ALE das Ereignis, dass es von Messenger initiiert wurde, und fragt das WFP-Filtermodul ab, um festzustellen, ob der Socket fortgesetzt werden soll.
Anmerkung
Aufgrund der Art der echten Dual-IP-Sockets können Klassifizierungen auf der IPv4 ALE-Ebene nicht auftreten. Dies ist beabsichtigt, da der Socket für alle Absichten und Zwecke ein IPv6-Socket ist. Um den V4-Datenverkehr für einen solchen Socket anzuzeigen, erstellen Sie Mithilfe der IPv6-zugeordneten Adresse Filter auf der V6-Ebene.
Verwandte Themen