Portbeschränkung unter Windows 2000 Server via IPSec
| "IPSec-Firewall" Filter anlegen |
Seite 1 2 3 4 5 6 7 8 |
Lernen Sie nun, die meisten Script-Kiddies auszusperren und Ihren Server "unsichtbar" zu machen. Im folgenden Tutorial zeige ich Ihnen, wie Sie alle Ports auf einmal schließen und die wichtigsten Ports öffnen können.
 Arbeiten Sie dieses Tutorial nicht direkt auf Ihrem Live-System ab! Testen Sie die Schritte bitte zunächst auf einem lokalen Test-Rechner. Für Schäden aus falscher Konfiguration oder Handhabung übernehme ich keine Haftung.
Im ersten Beispiel zeige ich Ihnen nun, wie Sie den Port 80 öffnen, damit Sie Ihren Webdienst zur Verfügung stellen können und auch über den Browser surfen können.
| 1. |
Öffnen Sie die "Lokale Sicherheitsrichtlinie"
Start > Einstellungen > Systemsteuerung > Verwaltung > |
 |
| 2. |
Klicken Sie auf "IP-Sicherheitsrichtlinien auf lokalem Computer"
Im rechten Fenster sehen Sie nun bereits drei Standard-Regeln, die jedoch nicht aktiviert sind (aktive Richtlinien erkennen Sie, wenn unter Richtlinie zuweisen "Ja" steht) |
|
| 3. |
Filterlisten und Filteraktionen definieren
Um nun eine neue Richtlinie zu erstellen, müssen wir zuvor die Filterkriterien und die dazugehörigen Aktionen definieren. Wählen Sie dazu aus dem Register Vorgang > IP-Filterlisten und Filteraktionen verwalten |
|
| 4. |
IP-Filterliste anlegen
Im Register "IP-Filterlisten verwalten" klicken Sie nun auf "Hinzufügen...". Es erscheint das rechts abgebildete Fenster. Als Name tragen Sie "HTTP Client" ein und bei Beschreibung "HTTP Client Port 80". Das Häkchen bei "Assistent verwenden" lassen Sie bitte stehen. Klicken Sie anschließend auf "Hinzufügen...". |
|
| 5. |
IP-Filterassistent: HTTP für externe Zugriffe freigeben
Bestätigen Sie die Willkommens-Ansage des Assistenten mit "Weiter". Als a) Quelladresse wählen Sie "Eigene IP-Adresse"; bei b) Zieladresse "Beliebige IP-Adresse"; als c) Protokolltyp "TCP" und bei der Festlegung der d) Portadressierung wählen Sie "Von jedem Port" und "Zu diesem Port". Als Port geben Sie "80" an. Auf der letzten Seite des Assistenten lassen Sie das Häkchen bei "Eigenschaften bearbeiten" weg. Bestätigen Sie anschließend die neu angelegte IP-Filterliste mit "OK". |
|
| 6. |
IP-Filterassistent: HTTP für interne Aufrufe freigeben
Sicherlich möchten Sie auch auf Ihrem Server den Browser verwenden. Deshalb müssen Sie nun den eben freigegebenen Dienst auch für interne Aufrufe freigeben. Wiederholen Sie daher Schritt 4. Als Name wählen Sie "HTTP Server" und als Beschreibung "HTTP Server Port 80". Anschließend wiederholen Sie Schritt 5 bis einschließlich c). Bei d) Portadressierung wählen Sie jedoch diesmal "Von diesem Port" und "Zu jedem Port". Als Port geben Sie erneut "80" an. Fahren Sie nun fort wie in Schritt 5. |
|
| 7. |
Sämtlichen TCP-Verkehr ausschließen
Wie bereits erwähnt schließen Sie alle Ports, bis auf die gewünschten. Den Filter für Port 80 haben Sie bereits angelegt. Nun müssen Sie noch den gesamten Traffic auf allen Ports blockieren (die zuvor freigegebenen Ports sind davon nicht betroffen). Um alle Ports zu schließen, gehen Sie vor wie in 5. Als Namen wählen Sie "Gesamter TCP-Verkehr" und als Beschreibung "Alle TCP-Pakete auf diesem Rechner". Quelladresse: "Eigene IP-Adresse", Zieladresse: "Beliebige IP-Adresse", Protokoll: "TCP" und bei Port wählen Sie "Von jedem Port" und "Zu jedem Port". Ihre Ansicht des Registers "IP-Filterlisten verwalten" müsste jetzt wie rechts abgebildet aussehen. |
|
| 8. |
"Blockieren"-Filteraktion anlegen
Bis jetzt haben Sie lediglich die benötigten Filterlisten angelegt. Bevor
wir nun beginnen, diesen Regeln Aktionen zuzuweisen und somit die
Richtlinien zu definieren, müssen wir noch eine ganz wichtige Filteraktion
anlegen.
Klicken Sie dazu im bereits geöffneten Fenster "IP-Filterlisten und
Filteraktionen verwalten" auf das Register "Filteraktionen verwalten".
Wie Sie sehen, gibt es bereits drei Standardaktionen: "Sicherheit
anfordern", "Sicherheit erforderlich" und "Zulassen". Eine ganz
wichtige Aktion fehlt jedoch: "Blockieren". Aus welchem Grund Microsoft diese nicht
bereits ab Werk installiert, bleibt wohl für immer ein Rätsel :-)
Also müssen Sie diese Aktion nun manuell anlegen - gehen Sie hierzu
bitte wie folgt vor: "Hinzufügen" klicken; Willkommensmeldung mit
"Weiter" bestätigen; für Name wählen Sie bitte "Blockieren" und als
Beschreibung "Pakete blockieren"; als Option (auf der nachfolgenden
Seite) wählen Sie "Sperren"; dann "Weiter" und dann "Fertigstellen".
Anschließend können Sie das Fenster "Schließen". |
|
| 9. |
IP-Sicherheitsrichtlinie erstellen
Um nun die Filterlisten den Filteraktionen zuzuweisen, müssen Sie eine
Sicherheitsrichtlinie anlegen.
Dies geschieht über die "IP-Sicherheitsrichtlinie" (Vorgang > IP-Sicherheitsrichtlinie erstellen). Klicken Sie auf "Weiter" und tragen Sie
als Name "Firewall" ein (zwar nicht ganz passend, aber für unsere Zwecke
aussagekräftig). Als Beschreibung empfehle ich Ihnen "Paketfilter zur
Schließung sämtlicher unbenötigter TCP-Ports". Nach einem Klick auf
"Weiter" werden Sie gefragt, ob Ihr Server bei sicherer Kommunikation
antworten soll - nehmen Sie hier bitte das Häkchen bei "Die
Standardantwortregel aktivieren" heraus. Klicken Sie anschließend "Weiter"
und danach "Fertigstellen".
Es öffnet sich automatisch das Fenster "Eigenschaften von Firewall" (siehe
rechte Abbildung). |
|
| 10. |
IP-Sicherheitsrichtlinie mit Regeln füllen
Zu guter Letzt müssen Sie nun die Filterlisten den Filteraktionen zuweisen. Klicken Sie hierfür auf a) "Hinzufügen" (vergewissern Sie sich, dass "Assistent verwenden" aktiviert ist). Klicken Sie bei b) "Willkommen..." auf "Weiter"; bei c) Tunnelendpunkt lassen Sie "Diese Regel spezifiziert keinen Tunnel" aktiv; bei d) Netzwerktyp wählen Sie "Alle Netzwerkverbindungen"; bei e) Authentifizierungsmethode behalten Sie "Windows 2000-Standard (Keberos V5-Protkoll)" bei - die Warnmeldung nach Klick auf
"Weiter" bestätigen Sie mit "Ja". Bei f) IP-Filterliste aktivieren Sie nun "Gesamter TCP-Verkehr" und klicken "Weiter"; als g) Filteraktion wählen Sie "Blockieren". Nach einem Klick auf "Weiter" beenden Sie den Assistenten mit "Fertigstellen".
Glückwunsch! Sie haben Ihre erste Regel angelegt - nun müssen Sie noch
die beiden anderen Regeln einfügen. Wiederholen Sie jetzt die Schritte a)
bis e). Als IP-Filterliste wählen Sie nun "HTTP-Client" und anschließend als
Filteraktion "Zulassen". Selbiges machen Sie im Anschluss für "HTTP-Server".
Ihre IP-Sicherheitsregel müsste nun aussehen wie rechts abgebildet. |
|
| 11. |
Richtlinie zuweisen/aktivieren
Ihre Sicherheitsrichtlinie ist nun fertig - Sie müssen diese Richtlinie jetzt
nur noch aktivieren. Sobald Sie dies tun, werden alle TCP-Ports, bis auf
Port 80, gefiltert/geschlossen. Um Ihren Rechner nun auch noch
"unsichtbar" zu machen und somit vor "ping/tracert/whois" Abfragen
zu "schützen", müssen Sie nur noch eine weitere Filterliste (wie in Schritt 7
beschrieben) anlegen - anstelle des TCP-Protokolls wählen Sie diesmal jedoch das ICMP-Protokoll). Selbiges sollten Sie auch mit dem UDP-Protokoll tun. (Vorschlag: Auf diese Weise sollten Sie auch mit dem UDP-Protokoll verfahren.
Ihre Richtlinie aktivieren Sie übrigens, indem Sie diese mit der rechten
Maustaste auswählen und dann auf "Zuweisen" klicken. Zum Deaktivieren
gehen Sie einfach genauso vor ("Zuweisung entfernen"). |
|
Sie haben nun anhand eines einfachen Beispiels Ihren Paketfilter so konfiguriert, dass dieser Firewall-ähnliche Aufgaben übernimmt. Da bei den wenigsten Servern nur der Port 80 benötigt wird, zeige ich Ihnen auf der nächsten Seite die wichtigsten/ gängigsten Ports (z.B. FTP, SMTP, DNS) und deren Aufgaben. Zudem erfahren Sie wie Sie diese auf Ihrem Server freischalten, ohne sich selbst auszuschließen ;-)
|
|
;){kind=small}
;){kind=small}
;){kind=small}
;){kind=small}
;){kind=small}
;){kind=small}
;){kind=small}
;){kind=small}
;){kind=small}
;){kind=small}
