Winsock Secure Socket Extensions
Die sicheren Socketerweiterungen für Winsock ermöglichen es einer Socketanwendung, die Sicherheit ihres Datenverkehrs über ein Netzwerk zu steuern. Diese Erweiterungen ermöglichen es einer Anwendung, Sicherheitsrichtlinien und Anforderungen für ihren Netzwerkdatenverkehr bereitzustellen und die angewendeten Sicherheitseinstellungen abzufragen. Beispielsweise kann eine Anwendung diese Erweiterungen verwenden, um das Peersicherheitstoken abzufragen, das zum Ausführen von Zugriffsprüfungen auf Anwendungsebene verwendet werden kann.
Die sicheren Socketerweiterungen sollen die von IPsec bereitgestellten Dienste und andere Sicherheitsprotokolle in das Winsock-Framework integrieren. Vor Windows Vista wurde IPsec unter Windows Server 2003 und Windows XP von einem Administrator über lokale und Domänenrichtlinien konfiguriert. Unter Windows Vista ermöglichen die sicheren Socketerweiterungen stattdessen, dass Anwendungen die Sicherheit ihres Netzwerkdatenverkehrs auf Socketebene vollständig oder teilweise konfigurieren und steuern.
Anwendungen können bereits Netzwerkdatenverkehr mithilfe öffentlicher APIs sichern, z. B. IPsec-Verwaltung, Windows-Filterplattform und SSPI (Security Support Provider Interface). Die Verwendung dieser APIs macht die Entwicklung der Anwendung jedoch möglicherweise schwieriger und kann die Konfiguration und Bereitstellung erschweren. Die Winsock-Erweiterungen für sichere Sockets wurden entwickelt, um die Entwicklung von Netzwerkanwendungen zu vereinfachen, die einen sicheren Netzwerkdatenverkehr erfordern, indem Winsock den größten Teil der Komplexität verarbeiten kann.
Diese sicheren Socketerweiterungen sind unter Windows Vista und höher verfügbar.
Sichere Socketfunktionen
Die Funktionen für sichere Socketerweiterungen sind wie folgt:
- WSADeleteSocketPeerTargetName
- WSAImpersonateSocketPeer
- WSAQuerySocketSecurity
- WSARevertImpersonation
- WSASetSocketPeerTargetName
- WSASetSocketSecurity
Anmerkung
Die sicheren Socketfunktionen unterstützen derzeit nur das IPsec-Protokoll und sind unter Windows Vista und höher verfügbar.
Die strukturen und Enumerationen, die von den Sicheren Socketfunktionen verwendet werden, sind wie folgt:
- SOCKET_PEER_TARGET_NAME
- SOCKET_SECURITY_PROTOCOL
- SOCKET_SECURITY_QUERY_INFO
- SOCKET_SECURITY_QUERY_TEMPLATE
- SOCKET_SECURITY_SETTINGS
- SOCKET_SECURITY_SETTINGS_IPSEC
Die sicheren Socketfunktionen sind einfach für normale Anwendungen zu verwenden und sind flexibel genug für Anwendungen, die ein hohes Maß an Kontrolle über ihre Sicherheit benötigen. Diese Funktionen ermöglichen es, den zugrunde liegenden Sicherheitsmechanismus für die Anwendung ausgeblendet zu halten. Eine Anwendung kann allgemeine Sicherheitsanforderungen angeben und dem Administrator die Steuerung des Sicherheitsprotokolls ermöglichen, das zur Unterstützung der Anforderungen verwendet wird. Obwohl es möglich ist, diese Funktionen so zu erweitern, dass andere Sicherheitsprotokolle hinzugefügt werden, ist derzeit nur IPsec in die sicheren Socketfunktionen integriert.
Mit der WSASetSocketSecurity-Funktion kann eine Anwendung Sicherheitseinstellungen aktivieren und sicherheitseinstellungen anwenden, bevor eine Verbindung hergestellt wird.
Mit der WSASetSocketPeerTargetName-Funktion kann eine Anwendung den Zielnamen angeben, der einer Peerentität entspricht. Das ausgewählte Sicherheitsprotokoll verwendet diese Informationen beim Authentifizieren des Peers. Dieses Feature behebt Bedenken bezüglich vertrauenswürdiger Man-in-the-Middle-Angriffe.
Die WSADeleteSocketPeerTargetName Funktion wird verwendet, um einen zuvor angegebenen Peernamen für einen Socket zu löschen.
Nachdem eine Verbindung hergestellt wurde, ermöglicht die WSAQuerySocketSecurity--Funktion einer Anwendung die Sicherheitseigenschaften der Verbindung abzufragen, die das Peerzugriffs- oder Computerzugriffstoken enthalten kann.
Nachdem eine Verbindung hergestellt wurde, ermöglicht die WSAImpersonateSocketPeer--Funktion einer Anwendung die Identität des Sicherheitsprinzipals, der einem Socketpeer entspricht, um die Autorisierung auf Anwendungsebene durchzuführen.
Mit dem WSARevertImpersonation kann eine Anwendung den Identitätswechsel eines Socketspeers beenden.
Sichere Socketarchitektur
- Eine Anwendung ruft die sicheren Socketfunktionen auf, um Sicherheitseinstellungen für einen Socket festzulegen oder abzufragen.
- Die Funktionen für sichere Sockets sind eine Reihe typsicherer Erweiterungsfunktionen, die Aufrufe der WSAIoctl-Funktion mit neu definierten Werten für den in Windows Vista und höher verfügbaren parameter dwIoControlCode umschließen. Diese IOCTLs werden vom Netzwerkstapel behandelt.
- Der Netzwerkstapel leitet den Aufruf Application Layer Enforcement (ALE)- zusammen mit dem Endpunkthandle weiter. Für die WSADeleteSocketPeerTargetName, WSASetSocketPeerTargetNameund WSASetSocketSecurity Funktionen konfiguriert ALE die Einstellungen der Anwendung auf dem lokalen Endpunkt. Für die WSAQuerySocketSecurity-Funktion liest ALE die angeforderten Informationen von den entsprechenden lokalen und Remoteendpunkten aus.
- Basierend auf Socketereignissen erzwingt ALE (Application Layer Enforcement) Richtlinien für die sichere Socketarchitektur mithilfe der Windows-Filterplattform. Weitere Informationen finden Sie unter Über die Windows-Filterplattform und Application Layer Enforcement (ALE).
Verwandte Themen