Win2003 Server web Edition - Firewall & Security

Dieses Thema im Forum "Webserver (Software): Windows" wurde erstellt von Shorty, 5. Oktober 2003.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Shorty

    Shorty New Member

    Registriert seit:
    13. November 2002
    Beiträge:
    115
    Hi Leute,

    ich habe mir einen Mietserver mit Windows 2003 Server Web Edition zugelegt.

    Nun möchte ich natürlich die ganze Kiste möglichst sicher machen und eine Firewall installieren. was gibts da für nen kleinen geldbeutel zu empfehlen ?
    Und wie installiere ich die per Fernwartung ohne mir sofort alle Ports abzuschotten und meinen Server für mich selbst zu sperren ?

    Gruss

    Andreas
     
  2. darkmann

    darkmann New Member

    Registriert seit:
    13. August 2003
    Beiträge:
    182
    sygate ist ein guter leider musst du nach der install alle port freigeben das heisst ein techniker muss mit bei und das remotetool (radmin) freigeben
     
  3. Shorty

    Shorty New Member

    Registriert seit:
    13. November 2002
    Beiträge:
    115
    Gibts keine Lösung ohne Techniker ?
    Es ist nun kein superwichtiges System bei dem ich tausende Konfigurationsmöglichkeiten brauche.
    Nur möchte ich meine Kiste nicht ohne Schutz irgendwelchen Leuten ausliefern, die meinen den Server hacken zu müssen um Filme oder ähnliches dort zwischen zu lagern.
     
  4. Soulkeeper

    Soulkeeper New Member

    Registriert seit:
    28. Mai 2001
    Beiträge:
    636
    Ort:
    Castrop-Rauxel
    Falls es Dir ausreichend erscheint, kannst Du das interne TCP/IP-Filtering von Windows nutzen. Findet sich in den Netzwerkeinstellungen.

    Viele Grüße,

    Nils
     
  5. Shorty

    Shorty New Member

    Registriert seit:
    13. November 2002
    Beiträge:
    115
    Also wie ich gehört habe ist die Standard Firewall nin der Web Edition nicht integriert. Demnach würden mir nur die Port beschränkungen in den erweiterten Netzwerkeinstellungen weiterhelfen.

    Sonst gibts keine Lösung ?
     
  6. VividNet

    VividNet New Member

    Registriert seit:
    8. Juli 2002
    Beiträge:
    388
    TCP / IP Filterung heist das glaube ich in Windows.
    Da kannst Du alle Ports etc. konfigurieren.

    Gruß

    VividNet
     
  7. Dorijan

    Dorijan Erfahrener Benutzer

    Registriert seit:
    29. August 2002
    Beiträge:
    1.054
    Ort:
    Frankfurt/Main
    In den TCP/IP Einstellungen gibt es IPSEC
    damit kannst du deinen Server dichtmachen, endlich wurde es auch verbessert das man den Server nun nicht mehr Rebooten muss nach einem RegelChange.

    Wichtige Ports für dich sind

    21 FTP
    80 WWW
    443 SSL
    3389 für den Remote Zugriff mit Terminal Server Client
    8080 evtl falls du Urchin Stats benutzt

    der Rest an Ports richtet sich nach deinen Anforderungen z.B. noch 8000 für Shoutcast Streams oder andere Ports für Sharepoint Server mit Multimedia Erweiterungen.

    das alleine Reicht aus um deinen Server dichtzumachen , die Firewallsoftware macht im Grunde nichts anderes als die restlichen Ports sperren also wozu teuer Geld rauswerfen wenn Windows 2003 es eh schon kann.
     
  8. gregy

    gregy New Member

    Registriert seit:
    25. Januar 2003
    Beiträge:
    28
    Ort:
    Neuss bei Düsseldorf
    Ich denke auch, daß IPSec die bestel Lösung ist. Ich konfiguriere selbst alle meine Kunden-Server auf diese Weise. Die im o.g. Beitrag genannte Ports sollten auch entsprechend freigemacht werden, aber vorher natürlich eine Regel erstellen "All IP-Traffic" -> Block.

    Übrigens, ich habe noch nie nach der Regeländerung den Server neu starten müssen. Bei TCP/IP-Filtern ist das noch so (konnt offensichtlich unverändert von NT). Einmal nußte ich tatsächlich nach Änderungen am TCP/IP den Rechner immer wieder neustarten, aber das lag an dem Treiber der Netzwerkkarte (Intel).

    Mit IPSec kann man zusätzlich bestimmte Verbindungen und Kommunikationen verschlüsseln lassen, so würde nur derjenige diese Verbindungen nutzen können, der die entsprechende Keys hat.

    Ich hoffe ich konnte helfen.

    CU

    Gregor
     
  9. Dorijan

    Dorijan Erfahrener Benutzer

    Registriert seit:
    29. August 2002
    Beiträge:
    1.054
    Ort:
    Frankfurt/Main
    2000 und NT4 IPSec resp. TCP/IP Filter benötigen reboots
    bei 2003 nicht mehr so wars ansich gedacht sorry wenns falsch rüberkam.


    das einzigste was ich noch nicht geschafft habe mit Bordmitteln ICMP sprich Ping zu blockieren.
     
  10. gregy

    gregy New Member

    Registriert seit:
    25. Januar 2003
    Beiträge:
    28
    Ort:
    Neuss bei Düsseldorf
    Hallo Dorijan,

    komisch, ich arbeite mit IPSec schon seit über 2 oder 3 Jahren und musste in dieser Zeit nicht einmal Rebooten. (Übrigens NT hat kein IPSec).

    Bei TCP/IP-Filtern (keine IPSec-Filter!), egal ob NT oder 2000, muss man IMMER Rebooten.

    Diese Filter haben den Nachteil, dass sie einerseits unflexibel sind und andererseits "dynamisch" d. h., es wird zwar der Zugriff von Außen gesperrt, aber wenn Windows ein Port zum Zugriff nach Außen benötigt, dann macht er sich den Port auf (Achtung bei NetBIOS-Ports!). Danach wird er zwar geschlossen, aber solange benötigt, solange offen.

    Bei IPSec ist das anders. Die Ports werden tatsächlich immer gesperrt bzw. offen gelassen, unabhängig von "Wünschen" des Systems.

    Zu ping bzw. ICMP blockieren (2 Möglichkeiten):

    1. mit TCP/IP-Filtern:
    einfach den Filter aktivieren, also die Option "TCP/IP-Filter aktivieren (Alle Netzwerkkarten)" auswählen und schon sind alle Ports zu (siehe Ausnahmen oben!). Wenn man dann z.B. Webserver-Zugriff zulassen will, dann unter "TCP-Ports" -> "Nur Zulassen" auswählen und 80 (Portnummer) eintragen. Wenn man sonst nichts macht, sollte Ping nicht laufen. Wenn man Ping (ICMP) zulassen will, dann muss man unter IP-Protokolle die Protokollnummer 1 eintragen. Wenn alles fertig, dann bitte schön rebooten!

    2. mit IPSec:
    Man sollte sich eine neue Richtlinie erstellen und bei der Erstellung braucht man die "Standardantwortregeln" nicht zu aktivieren, denn wir wollen hier nicht verschlüsseln. Danach muss man sich für die Strategie entscheiden d. h. entweder alles sperren und ein paar Ausnahmen zulassen oder es wird alles zugelassen und ein paar Ausnahmen fürs Sperren werden erstellt. Normalerweise sperrt man alles und lässt z. B. Webzugriff von Außen (Internet) zu. In dem Fall gehen wir in der Richtlinie über "Hinzufügen" (ohne Assistenten) und wählen unter [IP-Filerliste] "Gesamter IP-Verkehr" und unter [Filteraktion] müssen wir eine blockierende Aktion erstellen, denn es gibt nur eine zulassende. Also dort auch wieder auf "Hinzufügen", dann die Option "Sperren" auswählen und Unter [Allgemein] einen Namen geben z. B. "Gesperrt" -> "OK". Jetzt erschein unter "Filteraktionen" eine neue Aktion "Gesperrt" die wir auch auswählen -> "Schießen". Jetzt sehen wir unter "IP-Sicherheitsregeln eine neue Regel "Gesamter IP-Verkehr - Gesperrt". Jetzt ist alles Gesperrt (noch nicht aktiviert!) und somit läuft ICMP (ping) garantiert nicht mehr.
    Jetzt braucht man nur, analog wie zuvor, eine Regel zu erstellen, die Webzugriff von Außen (Internet) zulässt, zu erstellen. Einfach wieder auf "Hinzufügen", noch mal auf "Hinzufügen" um einen neuen Eintrag unter der "IP-Filterlisten:" zu erstellen. Name z.B. "Web", dann wieder auf "Hinzufügen" (ohne Assistenten). [Adressierung] kann man so lassen, wenn nur eine Netzwerkkarte im Server existiert. Unter [Protokoll] das Protokoll "TCP" auswählen und dann unter "Von diesem Port" die Zahl 80 (Portnummer) eintragen (die Richtung ist schon korrekt so!) -> "OK" -> "Schließen". Jetzt erscheint in der "IP-Filterlisten:" ein Eintrag "Web". Den auswählen und unter [Filteraktionen] "Zulassen" auswählen -> "Schließen" -> "Schließen". Jetzt sehen wir in der Liste aller IPSec-Richtlinien auch unsere neue IPSec-Richtlinie. Hier mit der rechten Maustaste klicken und "Zuweisen" auswählen ->

    -> VORSICHT !!!: Die Richtlinie greift sofort nach etwa 1 bis 3 Sekunden (erfahrungsgemäß)!!!
    Es wird offiziell empfohlen, den IPSec-Dienst neu zu starten, aber das ist nicht nötig.

    Es gibt noch eine Stelle (OnBoard!) unter Windows 2000 Server, wo man die Filter noch genauer definieren kann (man kann sogar den Typ und Code von ICMP-Paketen definieren!), aber das benötigt einen weiteren laufenden Dienst und ist normalerweise überflußig.

    Ich hoffe ich konnte Dir weiterhelfen.

    Gregor
    MCT, MCSE:Security, MCSA, MCP


    Nachricht geändert von: gregy
     
  11. Shorty

    Shorty New Member

    Registriert seit:
    13. November 2002
    Beiträge:
    115
    Also ich hab meine Kiste erstmal mit Hilfe der erweiterten Netzwerkeinstellungen dicht gemacht.

    Leider sind dafür immer Neustarts nötig.

    Kurz oder lang werde ich mich wohl mit IPSec befassen. - Aber dazu leg ich mir erstmal ein Handbuch zu.
    Außerdem ist mein Serverin englischer Version installiert, demnach sind einige Bezeichnungen anders, aber wohl kaum der Rede Wert.

    Danke schonmal
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen