Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Erweiterte Firewall unter Windows 2008R2 Server, ausgehende Regeln mit Domainnamen

Frage Microsoft Windows Server

Mitglied: usercrash

usercrash (Level 1) - Jetzt verbinden

15.01.2014, aktualisiert 09:53 Uhr, 1482 Aufrufe, 13 Kommentare

Guten Morgen,

seit Windows 2008 wurde die 'eingebaute' Firewall funktionell erweitert. Im Servermanager kann man unter 'Konfiguration\Windows Firewall mit erweiterter Sicherheit' recht flexibel zusätzliche Regeln für den ein- und ausgehenden Verkehr definieren.

Eine Funktion allerdings habe ich im Assistenten unter 'Ports' bzw. 'Bereich' leider nicht gefunden:
Kann man statt IP-Adressen oder IP-Bereichen auch bereits DNS-aufgelöste Domainnamen für das Remote-Ziel angeben, z.B. als *test.de/*?

Oder gibt es hierzu einen Workaround?

Danke, schönen Tag,
usercrash


Mitglied: certifiedit.net
15.01.2014 um 09:42 Uhr
Hallo usercrash,

nein, dafür ist die Windows Firewall auch nicht ausgelegt.

Welche Regeln willst du denn genau so definieren?

Beste Grüße,

Christian
Bitte warten ..
Mitglied: usercrash
15.01.2014 um 09:53 Uhr
Hallo,

es sollen für diesen Server nur ausgewählte Remote-Domains im WWW freigegeben werden, alle anderen Anfragen sollen geblockt werden.

Schwierigkeit:
Bei großen Zielsystem verbergen sich dahinter Serverfarmen, Load-Balancing, Weiterleitungen usw.. Diese Zieldomains via IP-Adressen zu definieren, ist bei verschiedenen IP-Bereichen richtig aufwendig und damit fehler- und wartungsanfällig.
Beispiel für solche Zielsystem mit diversen IP-Adressen wären hier z.B. Update-Server von Antivirensoftware oder von großen Softwareherstellern.

Deshalb die Idee, das domainbasiert mit den Server-Hausmitteln zu versuchen...

Viele Grüße,
usercrash
Bitte warten ..
Mitglied: wiesi200
15.01.2014 um 09:54 Uhr
Ich wette da geht's um Contenfilter.

Hier ist der Ansatz Windows Firewall wirklich falsch.

Ein Proxy währ da ein vernünftiger Ansatz.
Bzw. die meisten Firmen Viruslösungen haben sowas mit dabei.

Aber auch bei vielen Firewall Appliances die man vor's Firmennetz hängt ist sowas mit dabei.
Bitte warten ..
Mitglied: certifiedit.net
15.01.2014 um 10:00 Uhr
Mach es mit Firewall Hausmitteln. Die gehört sowieso vor das Netz.
Bitte warten ..
Mitglied: Lochkartenstanzer
15.01.2014, aktualisiert um 10:07 Uhr
Zitat von usercrash:

Eine Funktion allerdings habe ich im Assistenten unter 'Ports' bzw. 'Bereich' leider nicht gefunden:
Kann man statt IP-Adressen oder IP-Bereichen auch bereits DNS-aufgelöste Domainnamen für das Remote-Ziel angeben, z.B.
als *test.de/*?

Oder gibt es hierzu einen Workaround?


das ist, wie die Kollegen schon sagten, der klassische Anwendungsfall für die Firewall, die euer Netz schützt. Wenn Du es direkt auf dem Server haben willst, könntest Du 3rd-Party Produkte wie z.B. die von Checkpoint nutzen.

lks
Bitte warten ..
Mitglied: usercrash
15.01.2014, aktualisiert um 10:26 Uhr
Hallo,

ja, Contentfilter kommt dem schon recht nahe, mit folgender Einschränkung:

Da es sich um einen Server mit RDP-Terminaldiensten handelt, blockt eine vorgeschaltete externe Firewall alle User und den Admin gleichermaßen. Das ist hier so nicht möglich, deshalb der Versuchsansatz mit der systemeigenen Firewall, wobei noch abzuklären wäre, inwieweit man die Regeln über Richtlinien o.ä. per User definieren kann:
Ziel: Der Admin darf überall hin, die RDP-User nur zu ausgewählten WWW-Hosts.

Und da wird es IMHO auch bei AV-Lösungen für Server schwierig!?

Grüße, usercrash
Bitte warten ..
Mitglied: Lochkartenstanzer
15.01.2014, aktualisiert um 10:23 Uhr
Zitat von usercrash:

Da es sich um einen Server mit RDP-Terminaldiensten handelt, blockt eine vorgeschaltete externe Firewall alle User und den Admin
gleichermaßen.

Ordentliche Firewall-konzepte erlauben da eine Authentifizierung der User und dementsprechend eine abgestufte regelung.

lks

PS: Session-Authentifikation in diesem Fall vermutlich das Mittel der Wahl. ich gebe zu, die Chekcpoints sind zwar nciht die billigsten lösungen, aber sie erfüllen meist die Anforderungen.
Bitte warten ..
Mitglied: certifiedit.net
15.01.2014 um 10:19 Uhr
Mehr Infos wären gut - welche Firewall?
Bitte warten ..
Mitglied: wiesi200
15.01.2014, aktualisiert um 10:33 Uhr
Zitat von usercrash:

Hallo,

ja, Contentfilter kommt dem schon recht nahe, mit folgender Einschränkung:

Da es sich um einen Server mit RDP-Terminaldiensten handelt, blockt eine vorgeschaltete externe Firewall alle User und den Admin
gleichermaßen. Das ist hier so nicht möglich, deshalb der Versuchsansatz mit der systemeigenen Firewall, wobei noch
abzuklären wäre, inwieweit man die Regeln über Richtlinien o.ä. per User definieren kann:
Ziel: Der Admin darf überall hin, die RDP-User nur zu ausgewählten WWW-Hosts.

Genau dann ist die Windows Firewall ein noch viel schlechterer Lösungsansatz.

Edit:
http://de.wikipedia.org/wiki/SquidGuard
Währ ein Ansatz.

und bei den Virenlösungen. Bei Kaspersky hab ich das auch Userabhängig gesehen.
Bitte warten ..
Mitglied: usercrash
15.01.2014, aktualisiert um 10:38 Uhr
Hmmm, schade, war eine Idee. Nur mit dem vorgeschalteteten VDSL-Router nebst Firewall-Funktionen (Draytek, kann auch Domains blocken/erlauben) blocke ich derzeit alle LAN-User gleichermaßen.
Checkpoint: Sprengt das Budget...
Denkbar wäre auch ein separater Proxy-Rechner mit jeweiliger Useranmeldung, aber noch einen Rechner wollte ich eigentlich vermeiden.

Gruß, usercrash

Edit: Ja, sowas wie z.B. SquidGard...
Bitte warten ..
Mitglied: Lochkartenstanzer
15.01.2014, aktualisiert um 10:42 Uhr
Zitat von usercrash:

Denkbar wäre auch ein separater Proxy-Rechner mit jeweiliger Useranmeldung, aber noch einen Rechner wollte ich eigentlich
vermeiden.

Du könntest natürlich auch lokal einen squid installieren, dem Du benutzerabhängige Regeln gibst und Verbindungen nach draußen nur über diesen squid rausläßt. Du könntest dann die windowsFireweall anweisen nur den Squid überall hinzulassen udn alles andere einzuschränken. der squid könnte dann danke benutzerauthentifizierung unterscheiden, wer wohin darf.

lks
Bitte warten ..
Mitglied: usercrash
15.01.2014 um 10:45 Uhr
Danke für den Tipp, muss ich mir mal ansehen. Daneben wären aber noch die Fragen 'Ressourcenhunger' und 'Kompatibilität mit dem Mimöschen Terminalserver' zu bedenken... ;)

Gruß, usercrash
Bitte warten ..
Mitglied: Lochkartenstanzer
15.01.2014 um 10:52 Uhr
Zitat von usercrash:

. Daneben wären aber noch die Fragen 'Ressourcenhunger' und
'Kompatibilität mit dem Mimöschen Terminalserver' zu bedenken... ;)

Resourcenhunger läßt sich durch bunt bedruckte Scheine lösen.
Kompatibilität, indem man Hand anlegt. (squid ist OS).

lks
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Windows Server
Windows-File-Server - Macs - Probleme (5)

Frage von guenthergranate zum Thema Windows Server ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (13)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Backup
Clients als Server missbrauchen? (9)

Frage von 1410640014 zum Thema Backup ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...