Portbeschränkung unter Windows 2000 Server via IPSec
| Demo-Script & Sicherheit |
Seite 1 2 3 4 5 6 7 8 |
Um Ihnen ein wenig Arbeit zu ersparen, möchte ich Ihnen nun eine fertige Demo-Richtlinie zur Verfügung stellen, die Sie nur noch importieren müssen. Zudem zeige ich Ihnen wie Sie anschließend über einen Portscan den Erfolg von IPSec testen können.
 Arbeiten Sie dieses Tutorial nicht direkt auf Ihrem Live-System ab! Testen Sie die Schritte bitte zunächst auf einem lokalen Test-Rechner. Für Schäden aus falscher Konfiguration oder Handhabung übernehme ich keine Haftung.
Konfiguration der Demo-Richtlinie
Alle mit X gekennzeichneten Dienste sind voreingestellt.
Client = Port von intern nach extern geöffnet | Server = Port für extern offen
| Dienst |
Protokoll |
Port |
Client |
Server |
| DHCP |
TCP/UDP |
67/68 |
|
|
| DNS |
TCP/UDP |
53 |
X |
X |
| FTP* |
TCP |
20/21 |
X |
X |
| HTTP |
TCP |
80 |
X |
X |
| HTTPS |
TCP |
443 |
X |
X |
| IMAP |
TCP |
143 |
|
|
| NNTP |
TCP |
119 |
|
|
| NTP |
UDP |
123 |
|
|
| POP3 |
TCP |
110 |
X |
X |
| SMTP |
TCP |
25 |
X |
X |
| SNMP |
UDP |
161/162 |
|
|
| SQL |
TCP |
1433 |
X |
|
| Telnet |
TCP |
23 |
|
|
| Terminaldienst |
TCP |
3389 |
X |
X |
| Windows-Netzwerk |
TCP/UDP |
137-139/445 |
|
|
| Alle UDP-Pakete |
UDP |
alle |
X |
| Alle TCP-Pakete |
TCP |
alle |
X |
| Alle ICMP-Pakete |
ICMP |
alle |
X |
* Beachten Sie bitte, dass bei dieser Konfiguration nur noch eine Verbindung über "PORT" möglich ist; "Passiven-Modus" (PASV) wird dann nicht mehr unterstützt. Richten Sie bitte Ihren FTP-Client (CuteFTP, WSFTP etc.) entprechend ein. Andernfalls wird kein Ordnerinhalt angezeigt, und es können keine Daten übertragen werden.
JETZT HERUNTERLADEN:
Historie:
02. Februar 2004: Korrektur eines Konfigurationsfehlers zur Sperrung aller
TCP-Pakete (vielen Dank an Christian Rupp!)
Hinweis:
Die Datei ist so konfiguriert, dass sie keine Einstellungen überschreibt. Es werden somit nur neue Daten hinzugefügt. Aus Sicherheitsgründen empfehle ich Ihnen aber trotzdem, ein Backup Ihrer Konfiguration vorzunehmen.
Installationsanleitung:
1. Entpacken Sie die Winzip-Datei in ein beliebiges Verzeichnis
2. Öffnen Sie die "Lokale Sicherheitsrichtlinie"
3. Klicken Sie mit der rechten Maustaste auf "IP-Sicherheitsrichtlinien auf ..."
4. Wählen Sie "Alle Tasks" > "Richtlinien importieren"
5. Navigieren Sie zu der Datei "ipsec_iuventa.ipsec" und wählen Sie diese aus.
Sicherheit testen
Wenn Sie das Script installiert und ggf. sicherheitshalber einen geplanten Task eingerichtet haben, würde ich Ihnen einen umfangreichen Sicherheitstest empfehlen.
Auf jeden Fall sollten Sie einen kompletten Portscan sowie einen Stealth Test durchführen.
Nachfolgend einige sehr gute Links:
- Portscan by PC Flank
- Stealth Test by PC Flank
- DoS-Test by PC Flank
mit Vorsicht zu genießen, kann zu Abstürzen führen - Aussagekraft fraglich
- Portscan by Sygate
- Portscan by www.port-scan.de
- Portscan by Landesbeauftragte für den Datenschutz Niedersachsen
|
|
