Welche (Freeware) Firewall für Webserver?

Dieses Thema im Forum "Webserver (Software): Windows" wurde erstellt von aeuglein, 24. Januar 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. aeuglein

    aeuglein New Member

    Registriert seit:
    11. September 2003
    Beiträge:
    186
    Hallo,

    welche Freeware - Firewall könnt ihr mir für einen Webserver empfehlen?!

    Gruss
     
  2. generate.de

    generate.de Erfahrener Benutzer

    Registriert seit:
    1. Juni 2001
    Beiträge:
    1.553
    Ort:
    Bremen
    Hallo,

    z.B. Shorewall (http://www.shorewall.de).

    Gruß,
    Karsten
     
  3. aeuglein

    aeuglein New Member

    Registriert seit:
    11. September 2003
    Beiträge:
    186
    Hallo Karsten,

    danke dir - aber ich meinte für Windows 2000 Server, ich hätte es sonst nicht unter "Windows" reingeschrieben ;-)

    Gruss & Danke trotzdem
     
  4. generate.de

    generate.de Erfahrener Benutzer

    Registriert seit:
    1. Juni 2001
    Beiträge:
    1.553
    Ort:
    Bremen
    Hallo,

    uups, ich habe nur "Webserver" gelesen...ist aber prinzipiell egal, denn Du könntest ja auch eine Linuxkiste als Firewall vor den Windows-Server legen.

    Gruß,
    Karsten Erdfelder
     
  5. creative

    creative Guest

    ipsec, weil a) kostenlos und b) im windows integriert. was will man mehr?
     
  6. Gizzmo

    Gizzmo New Member

    Registriert seit:
    7. Februar 2004
    Beiträge:
    20
    Wenn der Server beim Hoster steht, und Du nur per Terminal Dienst Client Zugriff hast:

    Das TCP/IP Filter der Netzwerkkarte aktivieren:

    -LAN Verbindung Eigenschaften aufrufen

    -Internetprotokoll TCP/IP- ~Doppeklick~

    Button ~Erweitert~

    Karteikarte ~Optionen~

    TCP/IP Filter doppelklicken

    Nun hast Du etwas "händisch" die Möglichkeit, Ports etc. zu Sperren, bestimmte Ports sowie Protokolle zu zulassen.
    So wird Dein W2k Server etwas dichter.

    Ruinier Dir jedoch nicht den Weg per TDC auf den Server zugreifen zu dürfen (Port 3389), wenn der nicht ohnehin nur durch einen vorweg etablierten VPN Tunnel per RAS ermöglicht werden darf :)

    Ansonsten dürfte Tiny Personal wohl gut passen:

    http://tinysoftware.com

    Gruss
    Gizzmo
     
  7. Soulkeeper

    Soulkeeper New Member

    Registriert seit:
    28. Mai 2001
    Beiträge:
    636
    Ort:
    Castrop-Rauxel
    Ich rate vom internen TCP/IP-Filtering unter Win2000 dringend ab! Das ist zwar meine Fallback-Lösung, falls die echte Firewall mal ausfallen sollte, aber damit haben wir unsere Server nicht dicht bekommen. Dann noch die Terminaldienste... auch nicht empfehlenswert auf einem Webserver im RZ im Produktiveinsatz.

    Das ist jedenfalls mein Erfahrungswert.

    Eine gute Freeware-Firewall für Win2000 kenne ich leider selbst nicht.

    Viele Grüße,

    Nils
     
  8. Dorijan

    Dorijan Erfahrener Benutzer

    Registriert seit:
    29. August 2002
    Beiträge:
    1.054
    Ort:
    Frankfurt/Main
    was habt ihr denn da nicht dicht bekommen ?

    ansich kannst du dort alle ports zumachen und dann kommt definitiv keiner mehr dran
     
  9. Soulkeeper

    Soulkeeper New Member

    Registriert seit:
    28. Mai 2001
    Beiträge:
    636
    Ort:
    Castrop-Rauxel
    Theorie & Praxis - beispielsweise die RPC-Ports 138 und 139 waren trotzdem erreichbar. Und das fand ich nicht lustig zu der Zeit, als es da richtig gescheppert hat auf den Ports.

    Das aber nur als Beispiel... trotz internen TCP/IP-Filterings liefen Sachen, die gar nicht hätten laufen dürfen. Wenn Du damit alles dicht bekommen hast, prima - ich hab's leider anders erlebt.

    Viele Grüße,

    Nils
     
  10. Dorijan

    Dorijan Erfahrener Benutzer

    Registriert seit:
    29. August 2002
    Beiträge:
    1.054
    Ort:
    Frankfurt/Main
    dann habt ihr die aber falsch konfiguriert ...

    ich kann heute abend mal nen kleines hardening script posten was wir an der uni verwendet haben und jetzt auch hier in der firma intern als zusätzliche sicherheitsmaßnahme benutzen , ich hab es auch seit monaten auf 2 Windows Kisten im Internet am laufen und keine Probleme - wer nicht rankommen soll der kommt nicht ran.
     
  11. Soulkeeper

    Soulkeeper New Member

    Registriert seit:
    28. Mai 2001
    Beiträge:
    636
    Ort:
    Castrop-Rauxel
    Naja, sooo viele Optionen hat man da ja nicht. ;) Wenn ich sage: Alle Ports sperren, *außer*... - und auf den Ports, die nicht eingetragen sind, trotzdem Angriffe möglich sind, dann weiß ich nicht, was *ich* bei den Einstellungen falsch gemacht habe. :)

    Das Problem (das ich im Detail leider jetzt nicht mehr zur Reproduktion anleiten kann), hatten wir auf allen Win2000Server-Servern, mit internem TCP/IP-Filtering.

    Sowas wird immer dankbar aufgenommen. :)

    Viele Grüße,

    Nils
     
  12. Gizzmo

    Gizzmo New Member

    Registriert seit:
    7. Februar 2004
    Beiträge:
    20

    Hmm,

    Server auf Basis Linux, Solaris und andere Nicht-WIN-Os'e werden über (ssh-)telnet, webmin, confixx etc. konfiguriert.

    Somit ist auch solch ein Server über diese "Türen", "Ports" etc. angreifbar, wenn auch nur sehr schwer.

    Administration eines Microsoft Servers über Terminaldienste ist auch nicht ~unsicherer~, wenn VPN/RAS Tunnel und andere Konzepte beherzigt werden.
     
  13. Gizzmo

    Gizzmo New Member

    Registriert seit:
    7. Februar 2004
    Beiträge:
    20
    Hardening Script

    Bin auch sehr interessiert :)

    Vielen Dank vorab
     
  14. Dorijan

    Dorijan Erfahrener Benutzer

    Registriert seit:
    29. August 2002
    Beiträge:
    1.054
    Ort:
    Frankfurt/Main
    Re: Hardening Script

    Also das kleine Script hier benutzen wir ansich auf allen Windows Servern (die werden Hauptsächlich als GameServer für RUNUO benutzt) das macht die Box soweit dicht. Habe die Regeln bei Terminal Server absichtlich verändert da ich hier nur ungern unsere Hopping Station Preisgeben will =)

    einfach das ganze teil in eine .bat datei speichern oder einzeln zeile für zeile ausführen (vorher sollte man jedoch noch einiges anpassen) .zB: die Destination Adressen bzw Ziel Adressen für DNS Server, auf wunsch noch den MS Update Server (oder man hat selbst einen SUS Server online) und die ganzen RunUO einträge können getrost gelöscht werden.

    Es dauert ein wenig bis windows das verkraftet, über eine Admin mmc kann man dann in aller ruhe neue regeln hinzufügen (als hilfreich hierbei hat sich gezeigt die terminal server regel erstmal auf source=any zu lassen das man sich nicht selbst aussperrt)

    Zum abschliessenden Test eignet sich ein nmap relativ gut

    nmap -v -v -P0 ServerIP

    Das Script blockiert natürlich auch PING


    REM Server Hardening Script

    REM NOTE: IP Address or server names should be hardcoded into the
    REM dstaddr/srcaddr

    :IPSec Policy Definition
    REM The following rule will delete _all_ ipsec Filters!
    netsh ipsec static delete all

    netsh ipsec static add policy name="Packet Filters" description="Server Hardening Policy"

    :IPSec Filter List Definitions
    netsh ipsec static add filterlist name="HTTP Server" description="Server Hardening"
    netsh ipsec static add filterlist name="HTTPS Server" description="Server Hardening"
    netsh ipsec static add filterlist name="Outgoing HTTP" description="Server Hardening"
    netsh ipsec static add filterlist name="Terminal Server" description="Server Hardening"
    netsh ipsec static add filterlist name="DNS Server TCP" description="Server Hardening"
    netsh ipsec static add filterlist name="DNS Server UDP" description="Server Hardening"
    netsh ipsec static add filterlist name="RunUO Traffic" description="Server Hardening"
    netsh ipsec static add filterlist name="ICMP Traffic" description="Server Hardening"
    netsh ipsec static add filterlist name="ALL Inbound Traffic" description="Server Hardening"


    :IPSec Filter Action Definitions
    netsh ipsec static add filteraction name=SecPermit description="Allows Traffic to Pass" action=permit
    netsh ipsec static add filteraction name=Block description="Blocks Traffic" action=block

    :IPSec Filter Definitions
    REM Allowing HTTP-Client-Connect to Server (Webserver;)
    netsh ipsec static add filter filterlist="HTTP Server" srcaddr=any dstaddr=me description="HTTP Traffic" protocol=TCP srcport=0 dstport=80

    REM Allowing HTTPS for adminstrative connection (SSL-Webserver)
    netsh ipsec static add filter filterlist="HTTPS Server" srcaddr=any dstaddr=me description="HTTPS Traffic" protocol=TCP srcport=0 dstport=443

    REM Systems snychronizing with Windows Update Server (or using Proxy Server) should replace "dstaddr=any" by "dstaddr=<IP>" e.g. "dstaddr=192.168.8.4"
    netsh ipsec static add filter filterlist="Outgoing HTTP" srcaddr=me dstaddr=v4.windowsupdate.com description="Outgoing HTTP Traffic" protocol=TCP srcport=0 dstport=80

    REM Allowing Terminal Session from anywhere (you should change "srcaddr=any" to something more restricted e.g "srcaddr=129.69.16.0 srcmask=255.255.255.0")
    netsh ipsec static add filter filterlist="Terminal Server" srcaddr=any dstaddr=me description="Terminal Server Traffic" protocol=TCP srcport=0 dstport=3389

    REM Allowing DNS
    netsh ipsec static add filter filterlist="DNS Server TCP" srcaddr=me dstaddr=DNS description="Traffic to DNS Server" protocol=TCP srcport=0 dstport=53
    netsh ipsec static add filter filterlist="DNS Server UDP" srcaddr=me dstaddr=DNS description="Traffic to DNS Server" protocol=UDP srcport=0 dstport=53

    REM Allow RunUO (gameServer)
    netsh ipsec static add filter filterlist="RunUO Traffic" srcaddr=any dstaddr=me description="Allowing RunUO Traffic" protocol=TCP srcport=0 dstport=2593

    REM Deny ICMP Traffic
    netsh ipsec static add filter filterlist="ICMP Traffic" srcaddr=any dstaddr=me description="Allowing ICMP Traffic" protocol=ICMP srcport=0 dstport=0

    REM favorite rule - block all inbound traffic
    netsh ipsec static add filter filterlist="ALL Inbound Traffic" srcaddr=any dstaddr=me description="ALL Inbound Traffic" protocol=any srcport=0 dstport=0

    :IPSec Rule Definitions
    netsh ipsec static add rule name="HTTP Server Rule" policy="Packet Filters" filterlist="HTTP Server" kerberos=yes filteraction=SecPermit
    netsh ipsec static add rule name="HTTPS Server Rule" policy="Packet Filters " filterlist="HTTPS Server" kerberos=yes filteraction=SecPermit
    netsh ipsec static add rule name="Outgoing HTTP Rule" policy="Packet Filters" filterlist="Outgoing HTTP" kerberos=yes filteraction=SecPermit
    netsh ipsec static add rule name="Terminal Server Rule" policy="Packet Filters" filterlist="Terminal Server" kerberos=yes filteraction=SecPermit
    netsh ipsec static add rule name="TCP-DNS Rule" policy="Packet Filters" filterlist="DNS Server TCP" kerberos=yes filteraction=SecPermit
    netsh ipsec static add rule name="UDP-DNS Rule" policy="Packet Filters" filterlist="DNS Server UDP" kerberos=yes filteraction=SecPermit
    netsh ipsec static add rule name="ICMP Traffic Rule" policy="Packet Filters " filterlist="ICMP Traffic" kerberos=yes filteraction=Block
    netsh ipsec static add rule name="RunUO Traffic Rule" policy="Packet Filters" filterlist="RunUO Traffic" kerberos=yes filteraction=SecPermit
    netsh ipsec static add rule name="ALL Inbound Traffic Rule" policy="Packet Filters" filterlist="ALL Inbound Traffic" kerberos=yes filteraction=Block
    REM assign filter (alternatively "assign=no" to assign manually)
    netsh ipsec static set policy name="Packet Filters" assign=yes

     
  15. WebyderWebmaster

    WebyderWebmaster New Member

    Registriert seit:
    28. Januar 2004
    Beiträge:
    38
    Re: Hardening Script

    Cool wo ist der Script für Anti Ping möcht nur den haben^^
     
  16. Dorijan

    Dorijan Erfahrener Benutzer

    Registriert seit:
    29. August 2002
    Beiträge:
    1.054
    Ort:
    Frankfurt/Main
    Re: Hardening Script

    :Wir erstellen 2 Regeln für Permit & Block
    netsh ipsec static add filteraction name=SecPermit description="Allows Traffic to Pass" action=permit
    netsh ipsec static add filteraction name=Block description="Blocks Traffic" action=block

    :Wir geben der Filterliste nen Namen
    netsh ipsec static add filterlist name="ICMP Traffic" description="Server Hardening"

    :Wir definieren was ICMP ist
    REM Deny ICMP Traffic
    netsh ipsec static add filter filterlist="ICMP Traffic" srcaddr=any dstaddr=me description="Allowing ICMP Traffic" protocol=ICMP srcport=0 dstport=0

    :Wirblockieren ICMP
    netsh ipsec static add rule name="ICMP Traffic Rule" policy="Packet Filters " filterlist="ICMP Traffic" kerberos=yes filteraction=Block
     
  17. Eismann74

    Eismann74 New Member

    Registriert seit:
    8. Januar 2004
    Beiträge:
    15
    Re: Hardening Script

    Hallo,

    ich bekomme auch die Ports 445, 135, 137 nicht dicht.

    Habe IP-Sec und die TCP/IP Einstellungen benutzt.

    Alles wird geblockt außer diese Ports.

    Was kann man da machen ?

    Ciao
     
  18. webcontrol

    webcontrol Eingetragener Provider

    Registriert seit:
    5. Juli 2000
    Beiträge:
    707
    Ort:
    Düsseldorf
    Firmenname:
    WebControl GmbH
    Anbieterprofil:
    Klick
    Re: Hardening Script

    Hallo zusammen,

    IPSEC ist kein echter Firewallersatz und wurde eigentlich für die verschlüsselte Kommunikation entwickelt. Auch die umständliche Handhabung, wenig Flexibilität, keine vernünftigen Logfunktionen und der reine Portfilterbetrieb machen IPSEC nicht zu einer Firewall.

    Sie sollten sich einmal die CHX Firewall ansehen. http://www.idrci.net/idrci_tryit.htm

    Lassen Sie sich nicht von der Webseite abschrecken, der Hersteller und wir arbeiten daran. Zu beziehen ist die CHX Firewall jetzt auch in Deutschland über die WebControl GmbH als exclusiv Distributor für 99,00 EUR.

    Sie können sich die Firewall kostenlos downloaden und 30 Tage testen. Das Produkt fügt sich nahtlos in die MMC ein und ist für IP Tables Fans leicht zu administrieren. Aktuell ist Version 2.7 freigegeben. Die Firewall arbeitet "statefull" und kann sowohl im Server als auch Gatewaybetrieb verwendet werden. Version 3.0 ist auf dem Weg und wird zusätzliche Funktionen, wie z.B. einen Payload Filter haben.

    Für Fragen stehen wir gerne telefonisch unter 0800 4678464 zur Verfügung. Werbematerial ist noch nicht verfügbar, da wir die Distribution erst vor wenigen Tagen übernommen haben.

    Mit freundlichen Grüssen

    WebControl GmbH
    Michael Weichselgartner
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen