Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Erweiterte Firewall unter Windows 2008R2 Server, ausgehende Regeln mit Domainnamen

Mitglied: usercrash

usercrash (Level 1) - Jetzt verbinden

15.01.2014, aktualisiert 09:53 Uhr, 1542 Aufrufe, 13 Kommentare

Guten Morgen,

seit Windows 2008 wurde die 'eingebaute' Firewall funktionell erweitert. Im Servermanager kann man unter 'Konfiguration\Windows Firewall mit erweiterter Sicherheit' recht flexibel zusätzliche Regeln für den ein- und ausgehenden Verkehr definieren.

Eine Funktion allerdings habe ich im Assistenten unter 'Ports' bzw. 'Bereich' leider nicht gefunden:
Kann man statt IP-Adressen oder IP-Bereichen auch bereits DNS-aufgelöste Domainnamen für das Remote-Ziel angeben, z.B. als *test.de/*?

Oder gibt es hierzu einen Workaround?

Danke, schönen Tag,
usercrash


Mitglied: certifiedit.net
15.01.2014 um 09:42 Uhr
Hallo usercrash,

nein, dafür ist die Windows Firewall auch nicht ausgelegt.

Welche Regeln willst du denn genau so definieren?

Beste Grüße,

Christian
Bitte warten ..
Mitglied: usercrash
15.01.2014 um 09:53 Uhr
Hallo,

es sollen für diesen Server nur ausgewählte Remote-Domains im WWW freigegeben werden, alle anderen Anfragen sollen geblockt werden.

Schwierigkeit:
Bei großen Zielsystem verbergen sich dahinter Serverfarmen, Load-Balancing, Weiterleitungen usw.. Diese Zieldomains via IP-Adressen zu definieren, ist bei verschiedenen IP-Bereichen richtig aufwendig und damit fehler- und wartungsanfällig.
Beispiel für solche Zielsystem mit diversen IP-Adressen wären hier z.B. Update-Server von Antivirensoftware oder von großen Softwareherstellern.

Deshalb die Idee, das domainbasiert mit den Server-Hausmitteln zu versuchen...

Viele Grüße,
usercrash
Bitte warten ..
Mitglied: wiesi200
15.01.2014 um 09:54 Uhr
Ich wette da geht's um Contenfilter.

Hier ist der Ansatz Windows Firewall wirklich falsch.

Ein Proxy währ da ein vernünftiger Ansatz.
Bzw. die meisten Firmen Viruslösungen haben sowas mit dabei.

Aber auch bei vielen Firewall Appliances die man vor's Firmennetz hängt ist sowas mit dabei.
Bitte warten ..
Mitglied: certifiedit.net
15.01.2014 um 10:00 Uhr
Mach es mit Firewall Hausmitteln. Die gehört sowieso vor das Netz.
Bitte warten ..
Mitglied: Lochkartenstanzer
15.01.2014, aktualisiert um 10:07 Uhr
Zitat von usercrash:

Eine Funktion allerdings habe ich im Assistenten unter 'Ports' bzw. 'Bereich' leider nicht gefunden:
Kann man statt IP-Adressen oder IP-Bereichen auch bereits DNS-aufgelöste Domainnamen für das Remote-Ziel angeben, z.B.
als *test.de/*?

Oder gibt es hierzu einen Workaround?


das ist, wie die Kollegen schon sagten, der klassische Anwendungsfall für die Firewall, die euer Netz schützt. Wenn Du es direkt auf dem Server haben willst, könntest Du 3rd-Party Produkte wie z.B. die von Checkpoint nutzen.

lks
Bitte warten ..
Mitglied: usercrash
15.01.2014, aktualisiert um 10:26 Uhr
Hallo,

ja, Contentfilter kommt dem schon recht nahe, mit folgender Einschränkung:

Da es sich um einen Server mit RDP-Terminaldiensten handelt, blockt eine vorgeschaltete externe Firewall alle User und den Admin gleichermaßen. Das ist hier so nicht möglich, deshalb der Versuchsansatz mit der systemeigenen Firewall, wobei noch abzuklären wäre, inwieweit man die Regeln über Richtlinien o.ä. per User definieren kann:
Ziel: Der Admin darf überall hin, die RDP-User nur zu ausgewählten WWW-Hosts.

Und da wird es IMHO auch bei AV-Lösungen für Server schwierig!?

Grüße, usercrash
Bitte warten ..
Mitglied: Lochkartenstanzer
15.01.2014, aktualisiert um 10:23 Uhr
Zitat von usercrash:

Da es sich um einen Server mit RDP-Terminaldiensten handelt, blockt eine vorgeschaltete externe Firewall alle User und den Admin
gleichermaßen.

Ordentliche Firewall-konzepte erlauben da eine Authentifizierung der User und dementsprechend eine abgestufte regelung.

lks

PS: Session-Authentifikation in diesem Fall vermutlich das Mittel der Wahl. ich gebe zu, die Chekcpoints sind zwar nciht die billigsten lösungen, aber sie erfüllen meist die Anforderungen.
Bitte warten ..
Mitglied: certifiedit.net
15.01.2014 um 10:19 Uhr
Mehr Infos wären gut - welche Firewall?
Bitte warten ..
Mitglied: wiesi200
15.01.2014, aktualisiert um 10:33 Uhr
Zitat von usercrash:

Hallo,

ja, Contentfilter kommt dem schon recht nahe, mit folgender Einschränkung:

Da es sich um einen Server mit RDP-Terminaldiensten handelt, blockt eine vorgeschaltete externe Firewall alle User und den Admin
gleichermaßen. Das ist hier so nicht möglich, deshalb der Versuchsansatz mit der systemeigenen Firewall, wobei noch
abzuklären wäre, inwieweit man die Regeln über Richtlinien o.ä. per User definieren kann:
Ziel: Der Admin darf überall hin, die RDP-User nur zu ausgewählten WWW-Hosts.

Genau dann ist die Windows Firewall ein noch viel schlechterer Lösungsansatz.

Edit:
http://de.wikipedia.org/wiki/SquidGuard
Währ ein Ansatz.

und bei den Virenlösungen. Bei Kaspersky hab ich das auch Userabhängig gesehen.
Bitte warten ..
Mitglied: usercrash
15.01.2014, aktualisiert um 10:38 Uhr
Hmmm, schade, war eine Idee. Nur mit dem vorgeschalteteten VDSL-Router nebst Firewall-Funktionen (Draytek, kann auch Domains blocken/erlauben) blocke ich derzeit alle LAN-User gleichermaßen.
Checkpoint: Sprengt das Budget...
Denkbar wäre auch ein separater Proxy-Rechner mit jeweiliger Useranmeldung, aber noch einen Rechner wollte ich eigentlich vermeiden.

Gruß, usercrash

Edit: Ja, sowas wie z.B. SquidGard...
Bitte warten ..
Mitglied: Lochkartenstanzer
15.01.2014, aktualisiert um 10:42 Uhr
Zitat von usercrash:

Denkbar wäre auch ein separater Proxy-Rechner mit jeweiliger Useranmeldung, aber noch einen Rechner wollte ich eigentlich
vermeiden.

Du könntest natürlich auch lokal einen squid installieren, dem Du benutzerabhängige Regeln gibst und Verbindungen nach draußen nur über diesen squid rausläßt. Du könntest dann die windowsFireweall anweisen nur den Squid überall hinzulassen udn alles andere einzuschränken. der squid könnte dann danke benutzerauthentifizierung unterscheiden, wer wohin darf.

lks
Bitte warten ..
Mitglied: usercrash
15.01.2014 um 10:45 Uhr
Danke für den Tipp, muss ich mir mal ansehen. Daneben wären aber noch die Fragen 'Ressourcenhunger' und 'Kompatibilität mit dem Mimöschen Terminalserver' zu bedenken... ;)

Gruß, usercrash
Bitte warten ..
Mitglied: Lochkartenstanzer
15.01.2014 um 10:52 Uhr
Zitat von usercrash:

. Daneben wären aber noch die Fragen 'Ressourcenhunger' und
'Kompatibilität mit dem Mimöschen Terminalserver' zu bedenken... ;)

Resourcenhunger läßt sich durch bunt bedruckte Scheine lösen.
Kompatibilität, indem man Hand anlegt. (squid ist OS).

lks
Bitte warten ..
Ähnliche Inhalte
Cluster
Windows NLB - Firewall Regeln
gelöst Frage von eyetSolutionsCluster8 Kommentare

Hallo zusammen, wir haben in unserem Netzwerk 3 VLANs (23, 28, 29) Wir haben nun 2 Server im 23 ...

Firewall
Sophos UTM: Firewall Regeln
gelöst Frage von 130854Firewall7 Kommentare

Hallo, ich habe eine Sophos UTM daheim stehen, die soweit den ganzen Datenverkehr regelt. Ich habe auch keine ANY-ANY-ANY ...

Windows Server

Windows 2008R2 FD und "nichtvorhandene" Firewall

gelöst Frage von TimSterntalerWindows Server5 Kommentare

Hallo liebe Administratoren auf eine Remoteserver Windows2008R2 FD (aktueller Updatestand) wird mir unter den Diensten nicht die "Windows Firewall" ...

Router & Routing

Mikrotik hex firewall regeln

Frage von ecki33Router & Routing2 Kommentare

Hallo mal wieder Bin jetzt von einem älteren RB750 auf den aktuellen RB750G3 Hex umgestiegen, geht auch alles soweit. ...

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 23 StundenWindows 105 Kommentare

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 1 TagAdministrator.de Feedback18 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 1 TagHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 2 TagenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Windows Netzwerk
WSUS4 und Windows 10 Updates automatisch installieren
Frage von sammy65Windows Netzwerk15 Kommentare

Hallo miteinander, ich habe mit einen neuen WSUS Server aufgesetzt Server 2016 darauf einen aktuellen WSUS. Grund, wir stellen ...

Speicherkarten
Vergessliche USB-Sticks?
Frage von hanheikSpeicherkarten14 Kommentare

Ich habe in den letzten Tagen 500 USB-Sticks mit Bilddateien bespielt. Obwohl ich die Dateien mit größter Sorgfalt kopiert ...

Hyper-V
Hyper-V mit altem XEON-Server. Was ist falsch?
Frage von LollipopHyper-V11 Kommentare

Hallo Bin etwas frustriert. Kleinbetrieb, ca. 15 PC's, 2 Stk. Server mit einigen virtuellen PC's für Fernwartung, VaultServer für ...

Windows Netzwerk
Backup über WAN
Frage von petereWindows Netzwerk11 Kommentare

Hallo, ich muss aus einem entfernten WAN (synchrone 1Gbit) Daten sichern. Dabei handelt es sich sowohl um wenige große ...