Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Windows Firewall Limitierungen

Mitglied: Vancouverona

Vancouverona (Level 1) - Jetzt verbinden

03.01.2019 um 11:58 Uhr, 354 Aufrufe, 6 Kommentare

Hallo,

ich suche nach Limits für die Windows Firewall von Windows Server 2008 R2, 2012 R2 und 2016:

1. Anzahl der Regeln
2. Anzahl der RemoteIPs innerhalb einer Regel.

Sollte beides unbegrenzt sein, würden mich Erfahrungen interessieren, wo denn sinnvolle Grenzen sind.

Danke für Hinweise.
Jörg

P.S. Ein frohes neues Jahr 2019
Mitglied: DerWoWusste
03.01.2019 um 15:45 Uhr
Moin.

wo denn sinnvolle Grenzen sind
Wie sollen wir als Außenstehende das beurteilen?
Du hast ein paar Ports offen und wirst für jeden Port eine Regel brauchen, sofern Du den nicht eh für die Allgemeinheit offen lassen magst.
Ob man überhaupt mit IPs arbeiten sollte, würde ich mich statt dessen fragen. Nimm lieber zertifikatsbasierte Regeln, die kann man nämlich nicht so einfach austricksen.
Bitte warten ..
Mitglied: GrueneSosseMitSpeck
03.01.2019, aktualisiert um 21:47 Uhr
ach ich weiß nicht... ich finde Firewalls sowieso überbewertet, solange der Dienst dahinter nicht "gehärtet" ist und die IDS zu doof ist. Bei einem Kumpel ist z.B. der RDP Dienst vom Windows 2016 mit aktuellem Patchstand gehackt worden, incl Erlangung lokaler Adminrechte und Deaktivierung des eingebauten Adminkontos. Vermutlch mit einem Zeroday Exploit, den die IDS noch nicht auf der Liste hatte.

Am besten mit den Füßen auf dem Boden bleiben... nichts von "außen" reinlassen, innen soviel abschotten wie geht. Der MS Artikel besagt dcoh auch relativ deutlich daß das Durcharbeiten von Adreß/portbasierten Regeln Performance kostet, Zertifikatsprüfung um so mehr...
Bitte warten ..
Mitglied: Lochkartenstanzer
03.01.2019, aktualisiert um 21:55 Uhr
Zitat von GrueneSosseMitSpeck:

Bei einem Kumpel ist z.B. der RDP Dienst vom Windows 2016 mit aktuellem Patchstand gehackt worden, incl Erlangung lokaler Adminrechte und Deaktivierung des eingebauten Adminkontos. Vermutlch mit einem Zeroday Exploit, den die IDS noch nicht auf der Liste hatte.

Den RDP-Dienst hängt man doch nicht mit nacktem Arsch ins Internet. Da gehört immer ein VPN davor.

lks
Bitte warten ..
Mitglied: Vancouverona
04.01.2019 um 14:59 Uhr
Oh,
gemeint waren eigentlich sinnvolle Grenzen in der Anzahl der Regeln, Erfahrungswerte wie sich die Windowsfirewall bei mhreren tausend Regeln verhält, etc., ...

Ein Bekannter hat z.B. einen Exchange Server am Netz. Dem hat er zwar einen Mail-Proxy vorgehängt, der aber auch unter Windows läuft. Von ihm stammte die Anfrage an mich, ob man da nicht mit der Windows Firewall automatisiert etwas tun könnte.

Die Idee war "unfreundliche SMTP-Anfragen" am Proxy zu erkennen und die IPs in der Windows Firewall zu blocken. Dazu sollte ein Powershell-Script benutzt werden.

Das ist technisch machbar, aber um die Sinnhaftigkeit abschätzen zu können, wäre eine Information von Nöten über die "Limits der Windows Firewall" nötig. Und dabei sind sowohl technische Limits (z.B. maximal 1000 IP Adressen pro Regel) als auch die Anzahl der Regeln in der Firewall (ist unlimitiert, aber ab X-tausend Rregeln wird's halt langsam) interessant zu wissen.

Zertifikatsbasierte Regeln sind im professionellen Bereich im Mittelstand leider nicht immer möglich. Da bleibt dann oftmals nur Port und IP.
Und: Ja, es besteht ein Restrisiko, dass erfolgreiche illegitime Zugriffe mit der beschriebenen Idee nicht entdeckt werden...
Bitte warten ..
Mitglied: Vancouverona
04.01.2019 um 15:02 Uhr
Salut,
ich mag Firewalls schon ganz gerne. Dreck, der nicht in mein Netz kommt, kann dort keinen Unsinn verursachen.
Wenn ich an der Firewall schon Netzwerkscans abblocken kann, müssen die Server sich nicht mehr um Reaktionen auf Unsinn kümmern. Gut, wenn sie es durch Härtung der Dienste trotzdem können.
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Mikrotik Hotspot Limitierung
Frage von SnupydooLAN, WAN, Wireless3 Kommentare

Hallo leute Hab mal ne frage ich habe ein Cloudcore Router von Mikrotik. Hab 2 Kinder die jeder ihr ...

Router & Routing

Mikrotik - Limitierung d. gesamten Traffics

Frage von lars2015Router & Routing5 Kommentare

Guten Abend zusammen, ich habe folgendes Problem und finde keinen Lösungsansatz im Netz. Ich habe verschiedene externe ip adressen ...

Windows Server

Windows Firewall GPO

Frage von Element23Windows Server3 Kommentare

Hallo liebe Leute, ich versuche seit Stunden meine Firewall GPO etwas umzustricken - ich glaube mittlerweile fehlt mir die ...

Cluster

Windows NLB - Firewall Regeln

gelöst Frage von eyetSolutionsCluster8 Kommentare

Hallo zusammen, wir haben in unserem Netzwerk 3 VLANs (23, 28, 29) Wir haben nun 2 Server im 23 ...

Neue Wissensbeiträge
Windows Mobile

Support für Windows Mobile endet im Dezember 2019

Information von transocean vor 22 StundenWindows Mobile

Moin, Microsoft empfiehlt als Alternative den Umstieg auf iOS oder Android, wie man hier lesen kann. Gruß Uwe

Internet

Kommentar: Bundesregierung erwägt Ausschluss von Huawei im 5G-Netz - Unsere Presse wird immer sensationsgieriger

Information von Frank vor 2 TagenInternet5 Kommentare

Hier mal wieder ein schönes Beispiel für fehlgeleiteten Journalismus und Politik zugleich. Da werden aus Gerüchten plötzlich Fakten, da ...

Windows 10

Netzwerk-Bug in allen Windows 10-Versionen durch Januar 2019-Updates

Information von kgborn vor 3 TagenWindows 101 Kommentar

Nur ein kurzer Hinweis für Admins, die Windows 10-Clients im Portfolio haben. Mit den Updates vom 8. Januar 2019 ...

Windows 10

Windows 10 V1809: Rollout ist gestartet - kommt per Windows Update

Information von kgborn vor 3 TagenWindows 102 Kommentare

Eine kurze Information für die Admins, die Windows 10 im Programm haben. Microsoft hat die letzte Baustelle (die Inkompatibilität ...

Heiß diskutierte Inhalte
TK-Netze & Geräte
TAPI auf einem Win2016Server installieren und einrichten
Frage von wstabelTK-Netze & Geräte32 Kommentare

Hallo liebe Admins, ich habe folgende Situation: 1 Windows Server 2016 Standard als DC 1 SNOM 710 IP-Telefon 1 ...

E-Mail
Rechtssichere Archivierung von emails
Frage von gerd33E-Mail9 Kommentare

Hallo zusammen, bin gerade dabei, eine revisions- und rechtsichere email-archivierung aucf meinem Server zu projektieren. Da eigentlich nur ich ...

Netzwerkmanagement
Server bauen
Frage von JugendringNetzwerkmanagement9 Kommentare

Moin Moin, wir, der Jugendring sind ein ständig wachsender Verein mit vielen Unterprojekten. Da liegt es nah, dass wir ...

Off Topic
Darf ich ein Forum erstellen das Produkte eines Herstellers betrifft?
Frage von cyberwallOff Topic9 Kommentare

Hallo Community, ich habe da eine "rechtliche" bzw. allgemeine Frage zum erstellen von Foren. Darf ich als "normale Person" ...