Portbeschränkung unter Windows 2000 Server via IPSec
Microsoft legt dem Nutzer mit IPSec (Internet Protocol Security) dem Nutzer ein mächtiges Sicherheitswerkzeug in die Hand, welches zwar gut versteckt und relativ umständlich zu handhaben, jedoch äußerst effektiv ist!
Da ich in dieser Dokumentation lediglich den Aufbau einer Firewall über IPSec beschreiben möchte, beschränke ich mich auf die Überwachung und Filterung des IP-Verkehrs. Weitere Möglichkeiten entnehmen Sie bitte der Microsoft Knowledge Base "Implementierung von IPSec und L2TP in Windows 2000".
Wie kann man mit IPSec den Traffic einschränken?
Um diese Frage beantworten zu können muss man zunächst den Aufbau eines Webservers verstehen. Ganz kurz zusammengefasst - ein Rechner besitzt 65.535 Ports. Jeder offene Port bietet einem Cracker oder Hacker eine Angriffsmöglichkeit. Ist ein Port geschlossen oder gefiltert, so gilt er als sicher (99%-iger Schutz).
Sind alle Ports geschlossen, ist Ihr Rechner zwar sicher, aber Sie können mit ihm nichts mehr anfangen - wenigstens nicht online. Für einen Webserver leider etwas unpraktisch ;-) Einige Dienste muss Ihr Server schließlich anbieten - zumindest den HTTP-Dienst, um Webseiten anzuzeigen. Dieser Dienst läuft meistens über Port 80. Im nachfolgenden Tutorial bieten wir Ihnen folgende Dienste an und öffnen die dazu notwendigen Ports:
| Dienst |
Port |
Aufgabe |
| FTP |
20/21 |
Datenübertragung via FTP |
| SMTP |
25 |
E-Mailversand Mailserver |
| DNS |
53 |
Domaincontroller |
| HTTP |
80 |
Bereitstellung Webseiten im www |
| POP3 |
110 |
E-Mailempfang Mailserver |
| HTTPS |
443 |
Bereitstellung gesicherter Webseiten
im www über SSL |
| Terminaldienst |
3389 |
Terminaldienstclient zur Administration
des Servers |
Wichtig: Nicht jeder offene Port bietet automatisch eine Angriffsmöglichkeit. Solange der Dienst an diesem Port aktiv ist, ist der Port "blockiert" - er ist somit zwar auch nicht 100%ig sicher, ist allerdings nicht so ohne weiteres zu knacken.
Die Aufgabe von IPSec ist es nun, alle Ports bis auf die benötigten zu schließen bzw. zu filtern sowie den Server "unsichtbar" zu machen. Dies bedeutet, dass der Server nicht mehr auf "ping", "tracert" oder "whois" antwortet - der Anfrager erhält die Meldung "Zeitüberschreitung der Anforderung".
Testen Sie selbst - die IP dieses Servers lautet 80.237.184.39.
Wie ist IPSec aufgebaut?
Leider gibt es für IPSec keine kinderleichte Eingabemaske wie für manch andere Firewalls, und meines Erachtens auch keine 100%ig zufrieden stellende Dokumentation. Auf der Suche nach der perfekten Anleitung fand ich mehrere gute Ansätze, aber nie die für meine Bedürfnisse ausreichende Lösung.
Einen sehr guten Ansatz bietet Thomas Wölfer auf Nickles.de mit seinem Artikel "Windows sicher machen". Bei meinen damaligen Tests konnte ich allerdings nur, wie beschrieben, den Port 80 für externe Zugriffe öffnen - die Nutzung dieses Ports von innen heraus war jedoch nicht möglich. Dessen ungeachtet bietet der Artikel allerdings ausgezeichnete Hintergrundinformationen zum Aufbau von IPSec.
Eine ebenfalls gute Anleitung sowie ein ausgezeichnetes Demo-Script bot dagegen AnalogX (engl.) in seiner HowTo "IPSec and you...".
Auf den nachfolgenden Seiten habe ich deshalb eine abgewandelte Kombination der beiden Quellen dargestellt. Sie werden eine komplette Step-by-Step-Anleitung vorfinden sowie ein bereits fertiges Script - eine Abwandlung des AnalogX Demo-Scripts.
Um mit IPSec arbeiten zu können, müssen Sie mit folgenden Begriffe vertraut sein
(kopiert von Nickles.de):
| • |
Filterliste
Eine Filterliste enthält einen oder mehrere Filter. Ein Filter ist dabei eine
Beschreibung von IP Traffic, basierend auf einem Port, einem Protokoll und der
Richtung des Traffic. |
 |
| • |
Filteraktion
Hierbei handelt es sich um die Aktion, die dann ausgeführt werden soll, wenn ein
Datenpaket der Beschreibung eines Filters entspricht. Im Beispiel werden nur zwei Aktionen verwendet: Zulassen und Blockieren. |
|
| • |
Regel
Eine Regel fasst eine Filterliste und eine Filteraktion zusammen. Es wird also spezifiziert, dass eine bestimmte Aktion zu einem bestimmten Filter gehört. |
|
| • |
Richtlinie
Eine Richtlinie ist eine Ansammlung von einer oder mehreren Regeln. Bei IPsec
können beliebig viele Richtlinien definiert werden, es kann aber immer nur eine Richtlinie aktiviert sein. |
|
Auf den nächsten Seiten werden wir nun gemeinsam und zum besseren Verständnis eine zunächst einfache Filterregel anlegen. Im zweiten Schritt bauen wir diese Regel dann zu unserer "Firewall" aus, und zu guter Letzt erhalten Sie dann das fertige Beispiel-Script.
|
|
