Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Nutzung von IPSec als Firewall

Mitglied: RADIO55Webmin

RADIO55Webmin (Level 1) - Jetzt verbinden

28.12.2004, aktualisiert 29.12.2004, 5110 Aufrufe, 3 Kommentare

Hallo Leute,

ist das erste mal, dass ich hier schreibe, also bitte nicht so hard umgehen, falls ich was falsch mache oder nicht genügend Informationen bereitstelle.

Also ich hab nen netten Windows 2003 Web Server bei einem großen Provider hosten. Voreingestellt ist IPSEC als Firewall, d.h. Packetfilter werden als Firewallersatz misbraucht. Wie hier illustriert http://www.microsoft.com/technet/itsolutions/network/security/ipsecld.m ...

Nun hab ich aber das Problem, dass ich nicht möchte das durch das Block All Flag auch der ausgehende Trafic gefiltert wird. Also Eingehende Ports ja, ausgehende nein. Nur kriege ich das nicht hin.

Weiss da einer Rat?

Alternatif würd ich ja gern eine richtige SW Firewall benutzen, allerdings darf ich Port 3389 (Remotedesktop) nicht dabei verlieren, weil das der einzige Zugang zum Server ist. Also brauch ich wohl eine Firewall, die nach Installation ersteinmal garnichts sperrt.

Könnt ihr mir was empfehlen?

Danke im voraus

regards Webmin
Mitglied: fritzo
28.12.2004 um 09:33 Uhr
Hi,

hm - dein Provider wird sicherlich selbst eine Firewall davor geschaltet haben. Am besten wäre es imho, diese zu benutzen.

IPSec ist wohl eine Möglichkeit, aber sicherlich aufwendig. Problem: Dein Client hat evtl. keine feste IP - wie definiere ich hier Regeln? Möglichkeit: Verwendung eines Zertifikats. Ich habe sowas noch nicht konfiguriert, würde es aber wahrscheinlich so machen, daß ich inbound nur die Dienste durchlasse, die Dein Server anbieten soll und ansonsten nix außer ein Rechner mit dem richtigen Zertifikat connectet. Outbound würde ich wahrscheinlich auch filtern, der Sicherheit wegen.

Soweit ich weiß, kann man ipsecpol für w2k3-Server nicht oder nur eingeschränkt verwenden, hier wird mit netsh gearbeitet. Schau Dir mal das hier an: http://www.microsoft.com/resources/documentation/WindowsServ/2003/stand ...

Google auch mal nach vorgefertigten Rule-Sets bzw. Scripts für den Gebrauch mit netsh; ich bin mir sicher, daß es welche gibt.

Ausgehender Traffic - bei der Definition der Filter gibt es eine Box namens "Diese Filterangabe wird auch für Pakete mit gegenteiliger Quell- und Zieladresse angewendet". Wenn Du den Haken hier nicht setzt, dann sollte er bei Deinem "Block All Flag" auch nur den Traffic von einer Seite filtern.

Grüße,
fritzo
Bitte warten ..
Mitglied: RADIO55Webmin
29.12.2004 um 10:31 Uhr
Danke für deine detailierte Antwort.

Leider hat mein Provider keine Firewall für diese Art von Server, und das ist ja auch gut so, da ich die Ports selbst definieren möchte.

netsh ist sicher eine alternative, nur würde ich da wohl eher eine richtige Firewall vorziehen. Wenn ich schon das Risiko eingehe mich vom Server durch unbekannte Programme auszusperren, dann lieber mit der Möglichkeit hinterher ein System zu haben, was mir Stats und Warnings geben kann.

Ich dachte auch, dass mit dem Deaktivieren des Flags zur Spiegelung der Quell- und Zieladresse mein Problem gelöst wäre. Pustekuchen, entweder geht das nicht so wie ich will, oder das Ding hat nen Bug. Ich habe ein eigenes Regelset angelegt, nur mit offenem Port 3389 und Block All. Dies habe ich wie folgt definiert: Block von Beliebiger-IP-Adresse zu Eigner-IP-Adresse alle Protokolle und jeden Port ohne Spiegelung der Regel. Nach meinem Dafür halten sollte jedes Programm munter aus dem Server rauskonnekten können. Leider ist das nicht der Fall. Nicht einmal Browseranfragen werden durchgelassen.

Und Updates hab ich auch alle gemacht von MS.

Naja ich hab mich fast entschieden, ich brauch ne richtige Firewall mit Warnings und Stats. Nur welchen? Und wie löse ich das Problem mit Port 3389 bei der Installation?

Danke im Voraus


Sak
Bitte warten ..
Mitglied: fritzo
29.12.2004 um 17:49 Uhr
Naja ich hab mich fast entschieden, ich
brauch ne richtige Firewall mit Warnings und
Stats.

ack.

Nur welchen?

Da hast Du die Qual der Wahl, es gibt wirklich viele. Wenn Du eine DTF nehmen willst, dann hast Du eine riesige Auswahl. Ich mag die Kerio -Firewall (www.kerio.com), ansonsten gibt es da noch zB welche von Sygate, Outpost, McAfee etc. Du könntest Dir auch mal MS ISA 2000 oder 2004 ansehen, kostet ein bißchen mehr, ist aber recht gut.

Und wie löse ich das
Problem mit Port 3389 bei der Installation?

Das Problem ist, daß man die meisten nur administrieren kann, wenn sie laufen - und wenn sie laufen, machen sie by default erst mal alles dicht. Die Hersteller gehen richtigerweise davon aus, daß der Admin lokal am System arbeitet. Versuch, eine zu finden, bei der Du einen Adminport nach der Installation offen hast. Kerio zB macht das. ISA weiß ich nicht.

Grüße,
fritzo
Bitte warten ..
Ähnliche Inhalte
Windows Server

Windows 2008 R2 Firewall-IPSec - Der Zugriff per NAT auf den Server umgeht Firewall?

gelöst Frage von CrimsonEDWindows Server6 Kommentare

Guten Abend zusammen, Habe einen 2008 R2 Server mit folgender Konfig: 2 Netzwerkkarten 1te Externes Netz, IP: 192.168.178.200 2te ...

Netzwerke

IPsec VPN für mobile Benutzer auf der pfSense Firewall einrichten

Anleitung von aquiNetzwerke33 Kommentare

Allgemeine Einleitung Das folgende Tutorial ist eng angelehnt an das hiesige Standort_VPN_Praxis_Tutorial bei Administrator.de und ergänzt dieses um die ...

Sonstige Systeme

Spiceworks in Nutzung?

gelöst Frage von bastian23Sonstige Systeme4 Kommentare

Hallo liebe Mitadmins, hat jemand von Euch die Produktpalette von spiceworks im Einsatz und kann mal aus dem Nähkästchen ...

Drucker und Scanner

Drucker Farbpatronen-Nutzung

gelöst Frage von KoboldukeDrucker und Scanner6 Kommentare

Hallo Administrator-Community, ich habe eine Frage zu den Tintenfüllständen meines OfficeJet Pro 8610. Ich drucke kaum Farbseiten und die ...

Neue Wissensbeiträge
Internet

Kommentar: Bundesregierung erwägt Ausschluss von Huawei im 5G-Netz - Unsere Presse wird immer sensationsgieriger

Information von Frank vor 1 TagInternet5 Kommentare

Hier mal wieder ein schönes Beispiel für fehlgeleiteten Journalismus und Politik zugleich. Da werden aus Gerüchten plötzlich Fakten, da ...

Windows 10

Netzwerk-Bug in allen Windows 10-Versionen durch Januar 2019-Updates

Information von kgborn vor 1 TagWindows 101 Kommentar

Nur ein kurzer Hinweis für Admins, die Windows 10-Clients im Portfolio haben. Mit den Updates vom 8. Januar 2019 ...

Windows 10

Windows 10 V1809: Rollout ist gestartet - kommt per Windows Update

Information von kgborn vor 2 TagenWindows 102 Kommentare

Eine kurze Information für die Admins, die Windows 10 im Programm haben. Microsoft hat die letzte Baustelle (die Inkompatibilität ...

Sicherheit

Heise Beitrag Passwort-Sammlung mit 773 Millionen Online-Konten im Netz aufgetaucht

Information von Penny.Cilin vor 2 TagenSicherheit6 Kommentare

Auf Heise Online ist folgender Beitrag veröffentlicht worden: Heise Beitrag passwörter geleakt Ich bin mir jetzt nicht ganz sicher, ...

Heiß diskutierte Inhalte
TK-Netze & Geräte
TAPI auf einem Win2016Server installieren und einrichten
Frage von wstabelTK-Netze & Geräte30 Kommentare

Hallo liebe Admins, ich habe folgende Situation: 1 Windows Server 2016 Standard als DC 1 SNOM 710 IP-Telefon 1 ...

Batch & Shell
Mit findstr batch doppelte zeilen einer txt löschen
Frage von Burningx2Batch & Shell25 Kommentare

Hi Vor einer weile habe ich im netzt einen windows shell befehl gefunden mit welchem man über die konsole ...

Verschlüsselung & Zertifikate
Netzwerkfreigabe Verschlüsselung
Frage von grill-itVerschlüsselung & Zertifikate20 Kommentare

Moin zusammen, sicher nutzen hier die ein oder anderen ein Produkt zur Verschlüsselung von Netzwerkfreigaben/-laufwerken auf denen hochsensible Daten ...

Microsoft
Übertragung von MS Volumenlizenzen
Frage von SherlockineMicrosoft20 Kommentare

Ich bin Angestellte in einer kleinen 10-köpfigen IT-Firma, die Netzwerklösungen, Telefonielösungen und Ähnliches anbietet. Im Sommer hatten wir einen ...