Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Erweiterte Firewall unter Windows 2008R2 Server, ausgehende Regeln mit Domainnamen

Mitglied: usercrash

usercrash (Level 1) - Jetzt verbinden

15.01.2014, aktualisiert 09:53 Uhr, 1581 Aufrufe, 13 Kommentare

Guten Morgen,

seit Windows 2008 wurde die 'eingebaute' Firewall funktionell erweitert. Im Servermanager kann man unter 'Konfiguration\Windows Firewall mit erweiterter Sicherheit' recht flexibel zusätzliche Regeln für den ein- und ausgehenden Verkehr definieren.

Eine Funktion allerdings habe ich im Assistenten unter 'Ports' bzw. 'Bereich' leider nicht gefunden:
Kann man statt IP-Adressen oder IP-Bereichen auch bereits DNS-aufgelöste Domainnamen für das Remote-Ziel angeben, z.B. als *test.de/*?

Oder gibt es hierzu einen Workaround?

Danke, schönen Tag,
usercrash


Mitglied: certifiedit.net
15.01.2014 um 09:42 Uhr
Hallo usercrash,

nein, dafür ist die Windows Firewall auch nicht ausgelegt.

Welche Regeln willst du denn genau so definieren?

Beste Grüße,

Christian
Bitte warten ..
Mitglied: usercrash
15.01.2014 um 09:53 Uhr
Hallo,

es sollen für diesen Server nur ausgewählte Remote-Domains im WWW freigegeben werden, alle anderen Anfragen sollen geblockt werden.

Schwierigkeit:
Bei großen Zielsystem verbergen sich dahinter Serverfarmen, Load-Balancing, Weiterleitungen usw.. Diese Zieldomains via IP-Adressen zu definieren, ist bei verschiedenen IP-Bereichen richtig aufwendig und damit fehler- und wartungsanfällig.
Beispiel für solche Zielsystem mit diversen IP-Adressen wären hier z.B. Update-Server von Antivirensoftware oder von großen Softwareherstellern.

Deshalb die Idee, das domainbasiert mit den Server-Hausmitteln zu versuchen...

Viele Grüße,
usercrash
Bitte warten ..
Mitglied: wiesi200
15.01.2014 um 09:54 Uhr
Ich wette da geht's um Contenfilter.

Hier ist der Ansatz Windows Firewall wirklich falsch.

Ein Proxy währ da ein vernünftiger Ansatz.
Bzw. die meisten Firmen Viruslösungen haben sowas mit dabei.

Aber auch bei vielen Firewall Appliances die man vor's Firmennetz hängt ist sowas mit dabei.
Bitte warten ..
Mitglied: certifiedit.net
15.01.2014 um 10:00 Uhr
Mach es mit Firewall Hausmitteln. Die gehört sowieso vor das Netz.
Bitte warten ..
Mitglied: Lochkartenstanzer
15.01.2014, aktualisiert um 10:07 Uhr
Zitat von usercrash:

Eine Funktion allerdings habe ich im Assistenten unter 'Ports' bzw. 'Bereich' leider nicht gefunden:
Kann man statt IP-Adressen oder IP-Bereichen auch bereits DNS-aufgelöste Domainnamen für das Remote-Ziel angeben, z.B.
als *test.de/*?

Oder gibt es hierzu einen Workaround?


das ist, wie die Kollegen schon sagten, der klassische Anwendungsfall für die Firewall, die euer Netz schützt. Wenn Du es direkt auf dem Server haben willst, könntest Du 3rd-Party Produkte wie z.B. die von Checkpoint nutzen.

lks
Bitte warten ..
Mitglied: usercrash
15.01.2014, aktualisiert um 10:26 Uhr
Hallo,

ja, Contentfilter kommt dem schon recht nahe, mit folgender Einschränkung:

Da es sich um einen Server mit RDP-Terminaldiensten handelt, blockt eine vorgeschaltete externe Firewall alle User und den Admin gleichermaßen. Das ist hier so nicht möglich, deshalb der Versuchsansatz mit der systemeigenen Firewall, wobei noch abzuklären wäre, inwieweit man die Regeln über Richtlinien o.ä. per User definieren kann:
Ziel: Der Admin darf überall hin, die RDP-User nur zu ausgewählten WWW-Hosts.

Und da wird es IMHO auch bei AV-Lösungen für Server schwierig!?

Grüße, usercrash
Bitte warten ..
Mitglied: Lochkartenstanzer
15.01.2014, aktualisiert um 10:23 Uhr
Zitat von usercrash:

Da es sich um einen Server mit RDP-Terminaldiensten handelt, blockt eine vorgeschaltete externe Firewall alle User und den Admin
gleichermaßen.

Ordentliche Firewall-konzepte erlauben da eine Authentifizierung der User und dementsprechend eine abgestufte regelung.

lks

PS: Session-Authentifikation in diesem Fall vermutlich das Mittel der Wahl. ich gebe zu, die Chekcpoints sind zwar nciht die billigsten lösungen, aber sie erfüllen meist die Anforderungen.
Bitte warten ..
Mitglied: certifiedit.net
15.01.2014 um 10:19 Uhr
Mehr Infos wären gut - welche Firewall?
Bitte warten ..
Mitglied: wiesi200
15.01.2014, aktualisiert um 10:33 Uhr
Zitat von usercrash:

Hallo,

ja, Contentfilter kommt dem schon recht nahe, mit folgender Einschränkung:

Da es sich um einen Server mit RDP-Terminaldiensten handelt, blockt eine vorgeschaltete externe Firewall alle User und den Admin
gleichermaßen. Das ist hier so nicht möglich, deshalb der Versuchsansatz mit der systemeigenen Firewall, wobei noch
abzuklären wäre, inwieweit man die Regeln über Richtlinien o.ä. per User definieren kann:
Ziel: Der Admin darf überall hin, die RDP-User nur zu ausgewählten WWW-Hosts.

Genau dann ist die Windows Firewall ein noch viel schlechterer Lösungsansatz.

Edit:
http://de.wikipedia.org/wiki/SquidGuard
Währ ein Ansatz.

und bei den Virenlösungen. Bei Kaspersky hab ich das auch Userabhängig gesehen.
Bitte warten ..
Mitglied: usercrash
15.01.2014, aktualisiert um 10:38 Uhr
Hmmm, schade, war eine Idee. Nur mit dem vorgeschalteteten VDSL-Router nebst Firewall-Funktionen (Draytek, kann auch Domains blocken/erlauben) blocke ich derzeit alle LAN-User gleichermaßen.
Checkpoint: Sprengt das Budget...
Denkbar wäre auch ein separater Proxy-Rechner mit jeweiliger Useranmeldung, aber noch einen Rechner wollte ich eigentlich vermeiden.

Gruß, usercrash

Edit: Ja, sowas wie z.B. SquidGard...
Bitte warten ..
Mitglied: Lochkartenstanzer
15.01.2014, aktualisiert um 10:42 Uhr
Zitat von usercrash:

Denkbar wäre auch ein separater Proxy-Rechner mit jeweiliger Useranmeldung, aber noch einen Rechner wollte ich eigentlich
vermeiden.

Du könntest natürlich auch lokal einen squid installieren, dem Du benutzerabhängige Regeln gibst und Verbindungen nach draußen nur über diesen squid rausläßt. Du könntest dann die windowsFireweall anweisen nur den Squid überall hinzulassen udn alles andere einzuschränken. der squid könnte dann danke benutzerauthentifizierung unterscheiden, wer wohin darf.

lks
Bitte warten ..
Mitglied: usercrash
15.01.2014 um 10:45 Uhr
Danke für den Tipp, muss ich mir mal ansehen. Daneben wären aber noch die Fragen 'Ressourcenhunger' und 'Kompatibilität mit dem Mimöschen Terminalserver' zu bedenken... ;)

Gruß, usercrash
Bitte warten ..
Mitglied: Lochkartenstanzer
15.01.2014 um 10:52 Uhr
Zitat von usercrash:

. Daneben wären aber noch die Fragen 'Ressourcenhunger' und
'Kompatibilität mit dem Mimöschen Terminalserver' zu bedenken... ;)

Resourcenhunger läßt sich durch bunt bedruckte Scheine lösen.
Kompatibilität, indem man Hand anlegt. (squid ist OS).

lks
Bitte warten ..
Ähnliche Inhalte
Cluster
Windows NLB - Firewall Regeln
gelöst Frage von eyetSolutionsCluster8 Kommentare

Hallo zusammen, wir haben in unserem Netzwerk 3 VLANs (23, 28, 29) Wir haben nun 2 Server im 23 ...

Firewall
Firewall Regeln Zyxel VPN2S
Frage von Stefan1328Firewall2 Kommentare

Servus, ich bitte euch meine Konfiguration der Firewall zu überprüfen. Mein Aufbau: Speedport (192.168.107.1) LAN1 zu WAN Zyxel VPN2S ...

Firewall
Sophos UTM: Firewall Regeln
gelöst Frage von 130854Firewall7 Kommentare

Hallo, ich habe eine Sophos UTM daheim stehen, die soweit den ganzen Datenverkehr regelt. Ich habe auch keine ANY-ANY-ANY ...

Router & Routing
Mikrotik hex firewall regeln
Frage von ecki33Router & Routing2 Kommentare

Hallo mal wieder Bin jetzt von einem älteren RB750 auf den aktuellen RB750G3 Hex umgestiegen, geht auch alles soweit. ...

Neue Wissensbeiträge
Datenschutz

SiSyPHuS Win10: Analyse der Telemetriekomponenten in Windows 10

Tipp von freesolo vor 3 TagenDatenschutz1 Kommentar

Alle die sich detailliert für die Datensammlung interessieren die unter Windows 10 stattfindet, sollten sich folgende Analyse des BSI ...

Sicherheit
Adminrechte dank Intel-Grafikkarte
Information von DerWoWusste vor 3 TagenSicherheit2 Kommentare

ist das Advisory, welches beschreibt, welche Intel HD Graphics Modelle Sicherheitslücken haben, mit denen sich schwache Nutzer zu Admins ...

Internet

EU Urheberrechtsreform: Eingriff in die Internetkultur

Information von Frank vor 4 TagenInternet1 Kommentar

Liebe Besucherin, lieber Besucher, warum erscheint das obere Banner in allen Beiträgen? Aus Protest gegen Teile der geplanten EU-Urheberrechtsreform ...

Windows Server
Windows Backup - FilterManager Event 3
Tipp von NixVerstehen vor 5 TagenWindows Server

Hallo zusammen, ich bin kein gelernter ITler und auch beruflich nicht in dem Feld tätig. Wir setzen in unserem ...

Heiß diskutierte Inhalte
DNS
50 EUR für Telekom-, Unitymedia- und Vodafone-Kunden
Frage von Zorro1199DNS14 Kommentare

Hallo zusammen, wie evaluieren gerade das korrekte Einhalten von DNS-TTLs durch verschiedene Provider. Aktuell suchen wir noch Kunden der ...

Windows Server
Sonntagsfrage: Welchen Sinn seht Ihr noch im Server 2019 Essentials
Frage von ashnodWindows Server13 Kommentare

Guten Morgen, ich habe gestern den Windows Server 2019 Essentials als Trial in einer VM installiert um mir das ...

Windows Server
Windows 2012 R2 - Skript um Druckerkonfiguration auszulesen und zu setzen
gelöst Frage von Der-PhilWindows Server11 Kommentare

Hallo! Kennt ihr eine Möglichkeit, per Skript die Konfiguration eines Druckers auszulesen und auf einen anderen anzuwenden? Hintergrund: Ich ...

Grafik
Viele Fotos organisieren - Windows Dateisystem zu lahm bzw. überfordert
Frage von augustaparkGrafik11 Kommentare

Hallo und Guten Morgen, hat einer eine Idee, wie man viele Fotos sinnvoll und effizient organisieren kann? Wir haben ...