Nutzung von IPSec als Firewall
Hallo Leute,
ist das erste mal, dass ich hier schreibe, also bitte nicht so hard umgehen, falls ich was falsch mache oder nicht genügend Informationen bereitstelle.
Also ich hab nen netten Windows 2003 Web Server bei einem großen Provider hosten. Voreingestellt ist IPSEC als Firewall, d.h. Packetfilter werden als Firewallersatz misbraucht. Wie hier illustriert http://www.microsoft.com/technet/itsolutions/network/security/ipsecld.m ...
Nun hab ich aber das Problem, dass ich nicht möchte das durch das Block All Flag auch der ausgehende Trafic gefiltert wird. Also Eingehende Ports ja, ausgehende nein. Nur kriege ich das nicht hin.
Weiss da einer Rat?
Alternatif würd ich ja gern eine richtige SW Firewall benutzen, allerdings darf ich Port 3389 (Remotedesktop) nicht dabei verlieren, weil das der einzige Zugang zum Server ist. Also brauch ich wohl eine Firewall, die nach Installation ersteinmal garnichts sperrt.
Könnt ihr mir was empfehlen?
Danke im voraus
regards Webmin
ist das erste mal, dass ich hier schreibe, also bitte nicht so hard umgehen, falls ich was falsch mache oder nicht genügend Informationen bereitstelle.
Also ich hab nen netten Windows 2003 Web Server bei einem großen Provider hosten. Voreingestellt ist IPSEC als Firewall, d.h. Packetfilter werden als Firewallersatz misbraucht. Wie hier illustriert http://www.microsoft.com/technet/itsolutions/network/security/ipsecld.m ...
Nun hab ich aber das Problem, dass ich nicht möchte das durch das Block All Flag auch der ausgehende Trafic gefiltert wird. Also Eingehende Ports ja, ausgehende nein. Nur kriege ich das nicht hin.
Weiss da einer Rat?
Alternatif würd ich ja gern eine richtige SW Firewall benutzen, allerdings darf ich Port 3389 (Remotedesktop) nicht dabei verlieren, weil das der einzige Zugang zum Server ist. Also brauch ich wohl eine Firewall, die nach Installation ersteinmal garnichts sperrt.
Könnt ihr mir was empfehlen?
Danke im voraus
regards Webmin
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 5149
Url: https://administrator.de/forum/nutzung-von-ipsec-als-firewall-5149.html
Ausgedruckt am: 24.12.2024 um 02:12 Uhr
3 Kommentare
Neuester Kommentar
Hi,
hm - dein Provider wird sicherlich selbst eine Firewall davor geschaltet haben. Am besten wäre es imho, diese zu benutzen.
IPSec ist wohl eine Möglichkeit, aber sicherlich aufwendig. Problem: Dein Client hat evtl. keine feste IP - wie definiere ich hier Regeln? Möglichkeit: Verwendung eines Zertifikats. Ich habe sowas noch nicht konfiguriert, würde es aber wahrscheinlich so machen, daß ich inbound nur die Dienste durchlasse, die Dein Server anbieten soll und ansonsten nix außer ein Rechner mit dem richtigen Zertifikat connectet. Outbound würde ich wahrscheinlich auch filtern, der Sicherheit wegen.
Soweit ich weiß, kann man ipsecpol für w2k3-Server nicht oder nur eingeschränkt verwenden, hier wird mit netsh gearbeitet. Schau Dir mal das hier an: http://www.microsoft.com/resources/documentation/WindowsServ/2003/stand ...
Google auch mal nach vorgefertigten Rule-Sets bzw. Scripts für den Gebrauch mit netsh; ich bin mir sicher, daß es welche gibt.
Ausgehender Traffic - bei der Definition der Filter gibt es eine Box namens "Diese Filterangabe wird auch für Pakete mit gegenteiliger Quell- und Zieladresse angewendet". Wenn Du den Haken hier nicht setzt, dann sollte er bei Deinem "Block All Flag" auch nur den Traffic von einer Seite filtern.
Grüße,
fritzo
hm - dein Provider wird sicherlich selbst eine Firewall davor geschaltet haben. Am besten wäre es imho, diese zu benutzen.
IPSec ist wohl eine Möglichkeit, aber sicherlich aufwendig. Problem: Dein Client hat evtl. keine feste IP - wie definiere ich hier Regeln? Möglichkeit: Verwendung eines Zertifikats. Ich habe sowas noch nicht konfiguriert, würde es aber wahrscheinlich so machen, daß ich inbound nur die Dienste durchlasse, die Dein Server anbieten soll und ansonsten nix außer ein Rechner mit dem richtigen Zertifikat connectet. Outbound würde ich wahrscheinlich auch filtern, der Sicherheit wegen.
Soweit ich weiß, kann man ipsecpol für w2k3-Server nicht oder nur eingeschränkt verwenden, hier wird mit netsh gearbeitet. Schau Dir mal das hier an: http://www.microsoft.com/resources/documentation/WindowsServ/2003/stand ...
Google auch mal nach vorgefertigten Rule-Sets bzw. Scripts für den Gebrauch mit netsh; ich bin mir sicher, daß es welche gibt.
Ausgehender Traffic - bei der Definition der Filter gibt es eine Box namens "Diese Filterangabe wird auch für Pakete mit gegenteiliger Quell- und Zieladresse angewendet". Wenn Du den Haken hier nicht setzt, dann sollte er bei Deinem "Block All Flag" auch nur den Traffic von einer Seite filtern.
Grüße,
fritzo
Naja ich hab mich fast entschieden, ich
brauch ne richtige Firewall mit Warnings und
Stats.
brauch ne richtige Firewall mit Warnings und
Stats.
ack.
Nur welchen?
Da hast Du die Qual der Wahl, es gibt wirklich viele. Wenn Du eine DTF nehmen willst, dann hast Du eine riesige Auswahl. Ich mag die Kerio -Firewall (www.kerio.com), ansonsten gibt es da noch zB welche von Sygate, Outpost, McAfee etc. Du könntest Dir auch mal MS ISA 2000 oder 2004 ansehen, kostet ein bißchen mehr, ist aber recht gut.
Und wie löse ich das
Problem mit Port 3389 bei der Installation?
Problem mit Port 3389 bei der Installation?
Das Problem ist, daß man die meisten nur administrieren kann, wenn sie laufen - und wenn sie laufen, machen sie by default erst mal alles dicht. Die Hersteller gehen richtigerweise davon aus, daß der Admin lokal am System arbeitet. Versuch, eine zu finden, bei der Du einen Adminport nach der Installation offen hast. Kerio zB macht das. ISA weiß ich nicht.
Grüße,
fritzo