Erzwingung der Anwendungsschicht (Application Layer Enforcement, ALE)
ALE ist eine Reihe von Windows WFP-Kernelmodusebenen (Filtering Platform), die für die zustandsbasierte Filterung verwendet werden.
Die zustandshafte Filterung verfolgt den Status von Netzwerkverbindungen nach und lässt nur Pakete zu, die mit einem bekannten Verbindungsstatus übereinstimmen. Beispielsweise kann die zustandshafte Filterung für eine TCP-Verbindung, die hinter einer Firewall initiiert wurde, nur eingehende Pakete zulassen, die mit vorherigen ausgehenden Paketen übereinstimmen, die von der geschützten Partei gesendet wurden.
Filter in den ALE-Ebenen autorisieren die Erstellung eingehender und ausgehender Verbindungen, Portzuweisungen, Socketvorgänge wie listen(), die Erstellung von Unformatierungssocket und den Empfang im promiscuous-Modus.
Der Datenverkehr auf den ALE-Ebenen wird entweder pro Verbindung oder pro Socket klassifiziert. Auf Nicht-ALE-Ebenen können Filter Datenverkehr nur pro Paket klassifizieren.
ALE-Ebenen sind die einzigen WFP-Ebenen, bei denen Netzwerkdatenverkehr basierend auf der Anwendungsidentität – mithilfe eines normalisierten Dateinamens – und basierend auf der Benutzeridentität mithilfe eines Sicherheitsdeskriptors gefiltert werden kann. (Siehe FLT _ _ _ DATEINAMENINFORMATIONEN in der WDK-Dokumentation (Windows Driver Kit), um weitere Informationen zu normalisierten Dateinamen zu erhalten.)
Wenn IPsec zum Sichern der Verbindung verwendet wird, kann das Filtern auf ALE-Ebenen auch für die Identität des Remotecomputers und für die Remotebenutzeridentität durchgeführt werden. Der Remotecomputer und die Benutzeridentitäten werden aus den Anmeldeinformationen ermittelt, die bei der Erstellung einer IPsec-Sitzung verwendet wurden.
Aus diesem Grund werden Richtlinien, die erzwingen, wer (z. B. "Administrator") und/oder welche Anwendung (z. B. "Internet Explorer") die oben genannten Netzwerkvorgänge ausführen darf, auf den ALE-Ebenen verfasst.
ALE bietet Erzwingung für Richtlinien wie "Windows Messenger den zugriff auf das Netzwerk erlauben und gleichzeitig alle anderen Anwendungen blockieren". Wenn die Anwendung "Messenger" in einem solchen Beispiel eine Verbindung über das Netzwerk herstellt, fängt ALE das Ereignis ab, ermittelt, dass es von Messenger initiiert wurde, und fragt die WFP-Filter-Engine ab, um zu bestimmen, ob der Socket fortgesetzt werden darf.
Hinweis
Aufgrund der Natur echter Dual-IP-Sockets werden Klassifizierungen auf der IPv4-ALE-Schicht möglicherweise nicht verwendet. Dies ist beabsichtigt, da der Socket für alle Absichten und Zwecke ein IPv6-Socket ist. Um den V4-Datenverkehr für einen solchen Socket zu sehen, erstellen Sie Filter auf der V6-Ebene mithilfe der IPv6-zugeordneten Adresse.