Portbeschränkung unter Windows 2000 Server via IPSec
| Erweiterte IPSec-Firewall |
Seite 1 2 3 4 5 6 7 8 |
Wie zuvor bereits erwähnt, besteht ein Webserver meist nicht nur aus dem HTTP-Dienst (Port 80), sondern bietet noch zusätzliche Dienste an, wie z.B. FTP, SMTP, DNS etc. Daher möchte ich Ihnen nun zeigen, welche Ports die gängigsten sind, bzw. welche Ports überhaupt benötigt werden könnten.
 Arbeiten Sie dieses Tutorial nicht direkt auf Ihrem Live-System ab! Testen Sie die Schritte bitte zunächst auf einem lokalen Test-Rechner. Für Schäden aus falscher Konfiguration oder Handhabung übernehme ich keine Haftung.
Weitere Ports freischalten
Da IPSec alle Ports, die Sie nicht explizit freigegeben haben, schließt, müssen Sie nun jeden benötigten Port manuell für den gewünschten Dienst freischalten. In der Regel sind dies nicht allzu viele und der Aufwand ist recht gering. Sie müssen lediglich Schritt 5 und/oder Schritt 6 (je nachdem, in welche Richtung der Datenstrom fließen soll) aus der vorherigen Seite für jeden gewünschten Port wiederholen.
Sollten Sie sich nicht sicher sein, welche Dienst welchen Port verwendet, kann ich Ihnen eine umfangreiche Zusammenstellung bei iana.org (engl.) empfehlen.
Die gängigsten TCP-Ports finden Sie nachfolgend nochmals separat aufgelistet (Zahlen in Klammern stehen für den UDP-Port dieses Dienstes):
| Dienst |
Port |
Aufgabe |
| FTP |
20/21 |
Datenübertragung via FTP |
| SSH |
22 |
verschlüsselte Datenübertragung |
| Telnet |
23 |
interaktives Arbeiten |
| SMTP |
25 |
E-Mailversand über Mailserver |
| DNS |
53 |
Namensauflösung von IP-Adressen |
| DHCP |
67 (68) |
automatische Zuweisung von IP-Adressen |
| HTTP |
80 |
WWW |
| POP3 |
110 |
E-Maildownload vom Mailserver |
| NNTP |
119 |
Newsserver |
| NETBIOS |
137-139 (445) |
Windows-Freigabe |
| NETBIOS |
139 |
Windows-Ereignisanzeige |
| IMAP4 |
143 |
E-Maildownload vom Mailserver |
| SNMP |
(161/162) |
Simple Network Management Protocol zur Verwaltung und Wartung von Rechnern |
| LDAP |
389 |
Online-Verzeichnisdienst |
| HTTPS |
443 |
Sicheres HTTP, mit Verschlüsselung |
| SQL |
1433 |
Microsoft SQL Datenbank |
| Terminaldienst |
3389 |
Terminaldienstclient zur Administration
des Servers |
| pcAnywhere |
5631 (5632) |
Symantec pcAnywhere |
| HTTP |
8080, 8008 |
Weitere WWW-Ports |
Tabelle zum Teil übernommen von der Universität Wien "Übersicht über die wichtigsten Protokolle und Ports".
Bevor Sie nun loslegen und die Ports der Reihe nach freischalten, empfehle ich Ihnen, zuerst einmal zu prüfen, welche Sie hiervon wirklich benötigen. Bedenken Sie: jeder unnötig geöffnete Port, bietet eine neue Angriffsfläche!
Falls Sie Ihren Server remote bedienen, beispielsweise über den Terminaldienst-Client oder über Symantec pcAnywhere, sollten Sie auf KEINEN Fall vergessen, den dazugehörigen Port freizuschalten - ansonsten schließen Sie sich selbst aus, sobald Sie die Richtlinie aktivieren!
TIPP:
Legen Sie beim ersten Test auf Ihrem Server einen "Geplanten Task" an, der die Richtlinie automatisch nach einigen Minuten schließt. Somit können Sie, auch wenn Sie sich versehentlich vom Terminaldienst o.ä. ausgeschlossen haben, nach einigen Minuten wieder auf den Server. |
| 1. |
Laden Sie sich die Datei ipsecpol_setup.exe ("Internet Protocol Security Policies Tool" von Microsoft auf Ihren Server herunter. |
| 2. |
Rufen Sie die Datei auf und folgen Sie der Installationsanleitung. |
| 3. |
Prüfen Sie den Installationspfad (C:\Programme\Resource Kit) |
| 4. |
Öffnen Sie die Windows-Funktion "Geplante Tasks" mit
Start > Systemsteuerung > Geplante Tasks > Geplanten Task hinzufügen |
| 5. |
Klicken Sie auf "Weiter", dann "Durchsuchen...". Navigieren Sie zu
C:\Programme\Ressource Kit\ und wählen Sie die Datei "IPSECPOL.EXE" |
| 6. |
Wählen Sie dann die Option "Einmalig". Stellen Sie anschließend die
Ausführungszeit ein - lassen Sie sich genügend Zeit zum Testen. 10 bis
20 Minuten sollten ausreichen. |
| 7. |
Auf der nächsten Seite geben Sie bitte 2x das Userpasswort an. |
| 8. |
Aktivieren Sie "Erweiterte Eigenschaften für diesen Task..." und klicken dann auf
"Fertig stellen". |
| 9. |
Unter "Starten" hängen Sie an die Zeile "C:\Programme\Ressource Kit\
ipsecpol.exe" noch ipsecpol.exe -w REG -p "Firewall" -y (der rot
markierte Text steht für den Namen Ihrer Richtlinie, sollte diese nicht
"Firewall" heißen, geben Sie bitte den von Ihnen gewählten Namen ein!) |
Komplett:
| "C:\Programme\Ressource Kit\ipsecpol.exe" ipsecpol.exe -w REG -p "Firewall" -y |
| 10. |
Bestätigen Sie die Änderung mit "OK". Nun können Sie Ihre Richtlinie ruhigen
Gewissens aktivieren. Sollten Sie wirklich von der Remote-Administration
ausgeschlossen werden, können Sie sich nach einigen Minuten wieder ganz
normal auf Ihrem Server einwählen und den Fehler suchen ;-) |
Auf der nächsten Seite stelle ich Ihnen eine fertige Beispielrichtlinie vor, welche Sie sich herunterladen und in Ihre IP-Sicherheitsrichtlinie importieren können. Das Script enthält die meines Erachtens wichtigsten Protokolle, die Sie dann nach Belieben durch simple Mausklicks aktivieren können. Zudem erhalten Sie ein paar nützliche Tipps und Tricks, wie Sie die Sicherheit Ihres Servers testen können.
|
|
;){kind=small}
