13
Erweiterte Firewall unter Windows 2008R2 Server, ausgehende Regeln mit Domainnamen
Guten Morgen,
seit Windows 2008 wurde die 'eingebaute' Firewall funktionell erweitert. Im Servermanager kann man unter 'Konfiguration\Windows Firewall mit erweiterter Sicherheit' recht flexibel zusätzliche Regeln für den ein- und ausgehenden Verkehr definieren.
Eine Funktion allerdings habe ich im Assistenten unter 'Ports' bzw. 'Bereich' leider nicht gefunden:
Kann man statt IP-Adressen oder IP-Bereichen auch bereits DNS-aufgelöste Domainnamen für das Remote-Ziel angeben, z.B. als *test.de/*?
Oder gibt es hierzu einen Workaround?
Danke, schönen Tag,
usercrash
seit Windows 2008 wurde die 'eingebaute' Firewall funktionell erweitert. Im Servermanager kann man unter 'Konfiguration\Windows Firewall mit erweiterter Sicherheit' recht flexibel zusätzliche Regeln für den ein- und ausgehenden Verkehr definieren.
Eine Funktion allerdings habe ich im Assistenten unter 'Ports' bzw. 'Bereich' leider nicht gefunden:
Kann man statt IP-Adressen oder IP-Bereichen auch bereits DNS-aufgelöste Domainnamen für das Remote-Ziel angeben, z.B. als *test.de/*?
Oder gibt es hierzu einen Workaround?
Danke, schönen Tag,
usercrash
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 226717
Url: https://administrator.de/contentid/226717
Printed on: April 18, 2024 at 21:04 o'clock
13 Comments
Latest comment
Hallo usercrash,
nein, dafür ist die Windows Firewall auch nicht ausgelegt.
Welche Regeln willst du denn genau so definieren?
Beste Grüße,
Christian
nein, dafür ist die Windows Firewall auch nicht ausgelegt.
Welche Regeln willst du denn genau so definieren?
Beste Grüße,
Christian
Hallo,
es sollen für diesen Server nur ausgewählte Remote-Domains im WWW freigegeben werden, alle anderen Anfragen sollen geblockt werden.
Schwierigkeit:
Bei großen Zielsystem verbergen sich dahinter Serverfarmen, Load-Balancing, Weiterleitungen usw.. Diese Zieldomains via IP-Adressen zu definieren, ist bei verschiedenen IP-Bereichen richtig aufwendig und damit fehler- und wartungsanfällig.
Beispiel für solche Zielsystem mit diversen IP-Adressen wären hier z.B. Update-Server von Antivirensoftware oder von großen Softwareherstellern.
Deshalb die Idee, das domainbasiert mit den Server-Hausmitteln zu versuchen...
Viele Grüße,
usercrash
es sollen für diesen Server nur ausgewählte Remote-Domains im WWW freigegeben werden, alle anderen Anfragen sollen geblockt werden.
Schwierigkeit:
Bei großen Zielsystem verbergen sich dahinter Serverfarmen, Load-Balancing, Weiterleitungen usw.. Diese Zieldomains via IP-Adressen zu definieren, ist bei verschiedenen IP-Bereichen richtig aufwendig und damit fehler- und wartungsanfällig.
Beispiel für solche Zielsystem mit diversen IP-Adressen wären hier z.B. Update-Server von Antivirensoftware oder von großen Softwareherstellern.
Deshalb die Idee, das domainbasiert mit den Server-Hausmitteln zu versuchen...
Viele Grüße,
usercrash
Ich wette da geht's um Contenfilter.
Hier ist der Ansatz Windows Firewall wirklich falsch.
Ein Proxy währ da ein vernünftiger Ansatz.
Bzw. die meisten Firmen Viruslösungen haben sowas mit dabei.
Aber auch bei vielen Firewall Appliances die man vor's Firmennetz hängt ist sowas mit dabei.
Hier ist der Ansatz Windows Firewall wirklich falsch.
Ein Proxy währ da ein vernünftiger Ansatz.
Bzw. die meisten Firmen Viruslösungen haben sowas mit dabei.
Aber auch bei vielen Firewall Appliances die man vor's Firmennetz hängt ist sowas mit dabei.
Mach es mit Firewall Hausmitteln. Die gehört sowieso vor das Netz.
Zitat von @usercrash:
Eine Funktion allerdings habe ich im Assistenten unter 'Ports' bzw. 'Bereich' leider nicht gefunden:
Kann man statt IP-Adressen oder IP-Bereichen auch bereits DNS-aufgelöste Domainnamen für das Remote-Ziel angeben, z.B.
als *test.de/*?
Oder gibt es hierzu einen Workaround?
Eine Funktion allerdings habe ich im Assistenten unter 'Ports' bzw. 'Bereich' leider nicht gefunden:
Kann man statt IP-Adressen oder IP-Bereichen auch bereits DNS-aufgelöste Domainnamen für das Remote-Ziel angeben, z.B.
als *test.de/*?
Oder gibt es hierzu einen Workaround?
das ist, wie die Kollegen schon sagten, der klassische Anwendungsfall für die Firewall, die euer Netz schützt. Wenn Du es direkt auf dem Server haben willst, könntest Du 3rd-Party Produkte wie z.B. die von Checkpoint nutzen.
lks
Hallo,
ja, Contentfilter kommt dem schon recht nahe, mit folgender Einschränkung:
Da es sich um einen Server mit RDP-Terminaldiensten handelt, blockt eine vorgeschaltete externe Firewall alle User und den Admin gleichermaßen. Das ist hier so nicht möglich, deshalb der Versuchsansatz mit der systemeigenen Firewall, wobei noch abzuklären wäre, inwieweit man die Regeln über Richtlinien o.ä. per User definieren kann:
Ziel: Der Admin darf überall hin, die RDP-User nur zu ausgewählten WWW-Hosts.
Und da wird es IMHO auch bei AV-Lösungen für Server schwierig!?
Grüße, usercrash
ja, Contentfilter kommt dem schon recht nahe, mit folgender Einschränkung:
Da es sich um einen Server mit RDP-Terminaldiensten handelt, blockt eine vorgeschaltete externe Firewall alle User und den Admin gleichermaßen. Das ist hier so nicht möglich, deshalb der Versuchsansatz mit der systemeigenen Firewall, wobei noch abzuklären wäre, inwieweit man die Regeln über Richtlinien o.ä. per User definieren kann:
Ziel: Der Admin darf überall hin, die RDP-User nur zu ausgewählten WWW-Hosts.
Und da wird es IMHO auch bei AV-Lösungen für Server schwierig!?
Grüße, usercrash
Zitat von @usercrash:
Da es sich um einen Server mit RDP-Terminaldiensten handelt, blockt eine vorgeschaltete externe Firewall alle User und den Admin
gleichermaßen.
Da es sich um einen Server mit RDP-Terminaldiensten handelt, blockt eine vorgeschaltete externe Firewall alle User und den Admin
gleichermaßen.
Ordentliche Firewall-konzepte erlauben da eine Authentifizierung der User und dementsprechend eine abgestufte regelung.
lks
PS: Session-Authentifikation in diesem Fall vermutlich das Mittel der Wahl. ich gebe zu, die Chekcpoints sind zwar nciht die billigsten lösungen, aber sie erfüllen meist die Anforderungen.
Mehr Infos wären gut - welche Firewall?
Zitat von @usercrash:
Hallo,
ja, Contentfilter kommt dem schon recht nahe, mit folgender Einschränkung:
Da es sich um einen Server mit RDP-Terminaldiensten handelt, blockt eine vorgeschaltete externe Firewall alle User und den Admin
gleichermaßen. Das ist hier so nicht möglich, deshalb der Versuchsansatz mit der systemeigenen Firewall, wobei noch
abzuklären wäre, inwieweit man die Regeln über Richtlinien o.ä. per User definieren kann:
Ziel: Der Admin darf überall hin, die RDP-User nur zu ausgewählten WWW-Hosts.
Genau dann ist die Windows Firewall ein noch viel schlechterer Lösungsansatz.Hallo,
ja, Contentfilter kommt dem schon recht nahe, mit folgender Einschränkung:
Da es sich um einen Server mit RDP-Terminaldiensten handelt, blockt eine vorgeschaltete externe Firewall alle User und den Admin
gleichermaßen. Das ist hier so nicht möglich, deshalb der Versuchsansatz mit der systemeigenen Firewall, wobei noch
abzuklären wäre, inwieweit man die Regeln über Richtlinien o.ä. per User definieren kann:
Ziel: Der Admin darf überall hin, die RDP-User nur zu ausgewählten WWW-Hosts.
Edit:
http://de.wikipedia.org/wiki/SquidGuard
Währ ein Ansatz.
und bei den Virenlösungen. Bei Kaspersky hab ich das auch Userabhängig gesehen.
Hmmm, schade, war eine Idee. Nur mit dem vorgeschalteteten VDSL-Router nebst Firewall-Funktionen (Draytek, kann auch Domains blocken/erlauben) blocke ich derzeit alle LAN-User gleichermaßen.
Checkpoint: Sprengt das Budget...
Denkbar wäre auch ein separater Proxy-Rechner mit jeweiliger Useranmeldung, aber noch einen Rechner wollte ich eigentlich vermeiden.
Gruß, usercrash
Edit: Ja, sowas wie z.B. SquidGard...
Checkpoint: Sprengt das Budget...
Denkbar wäre auch ein separater Proxy-Rechner mit jeweiliger Useranmeldung, aber noch einen Rechner wollte ich eigentlich vermeiden.
Gruß, usercrash
Edit: Ja, sowas wie z.B. SquidGard...
Zitat von @usercrash:
Denkbar wäre auch ein separater Proxy-Rechner mit jeweiliger Useranmeldung, aber noch einen Rechner wollte ich eigentlich
vermeiden.
Denkbar wäre auch ein separater Proxy-Rechner mit jeweiliger Useranmeldung, aber noch einen Rechner wollte ich eigentlich
vermeiden.
Du könntest natürlich auch lokal einen squid installieren, dem Du benutzerabhängige Regeln gibst und Verbindungen nach draußen nur über diesen squid rausläßt. Du könntest dann die windowsFireweall anweisen nur den Squid überall hinzulassen udn alles andere einzuschränken. der squid könnte dann danke benutzerauthentifizierung unterscheiden, wer wohin darf.
lks
Danke für den Tipp, muss ich mir mal ansehen. Daneben wären aber noch die Fragen 'Ressourcenhunger' und 'Kompatibilität mit dem Mimöschen Terminalserver' zu bedenken... ;)
Gruß, usercrash
Gruß, usercrash
Zitat von @usercrash:
. Daneben wären aber noch die Fragen 'Ressourcenhunger' und
'Kompatibilität mit dem Mimöschen Terminalserver' zu bedenken... ;)
. Daneben wären aber noch die Fragen 'Ressourcenhunger' und
'Kompatibilität mit dem Mimöschen Terminalserver' zu bedenken... ;)
Resourcenhunger läßt sich durch bunt bedruckte Scheine lösen.
Kompatibilität, indem man Hand anlegt. (squid ist OS).
lks
