Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Erweiterte Firewall unter Windows 2008R2 Server, ausgehende Regeln mit Domainnamen

Frage Microsoft Windows Server

Mitglied: usercrash

usercrash (Level 1) - Jetzt verbinden

15.01.2014, aktualisiert 09:53 Uhr, 1529 Aufrufe, 13 Kommentare

Guten Morgen,

seit Windows 2008 wurde die 'eingebaute' Firewall funktionell erweitert. Im Servermanager kann man unter 'Konfiguration\Windows Firewall mit erweiterter Sicherheit' recht flexibel zusätzliche Regeln für den ein- und ausgehenden Verkehr definieren.

Eine Funktion allerdings habe ich im Assistenten unter 'Ports' bzw. 'Bereich' leider nicht gefunden:
Kann man statt IP-Adressen oder IP-Bereichen auch bereits DNS-aufgelöste Domainnamen für das Remote-Ziel angeben, z.B. als *test.de/*?

Oder gibt es hierzu einen Workaround?

Danke, schönen Tag,
usercrash


Mitglied: certifiedit.net
15.01.2014 um 09:42 Uhr
Hallo usercrash,

nein, dafür ist die Windows Firewall auch nicht ausgelegt.

Welche Regeln willst du denn genau so definieren?

Beste Grüße,

Christian
Bitte warten ..
Mitglied: usercrash
15.01.2014 um 09:53 Uhr
Hallo,

es sollen für diesen Server nur ausgewählte Remote-Domains im WWW freigegeben werden, alle anderen Anfragen sollen geblockt werden.

Schwierigkeit:
Bei großen Zielsystem verbergen sich dahinter Serverfarmen, Load-Balancing, Weiterleitungen usw.. Diese Zieldomains via IP-Adressen zu definieren, ist bei verschiedenen IP-Bereichen richtig aufwendig und damit fehler- und wartungsanfällig.
Beispiel für solche Zielsystem mit diversen IP-Adressen wären hier z.B. Update-Server von Antivirensoftware oder von großen Softwareherstellern.

Deshalb die Idee, das domainbasiert mit den Server-Hausmitteln zu versuchen...

Viele Grüße,
usercrash
Bitte warten ..
Mitglied: wiesi200
15.01.2014 um 09:54 Uhr
Ich wette da geht's um Contenfilter.

Hier ist der Ansatz Windows Firewall wirklich falsch.

Ein Proxy währ da ein vernünftiger Ansatz.
Bzw. die meisten Firmen Viruslösungen haben sowas mit dabei.

Aber auch bei vielen Firewall Appliances die man vor's Firmennetz hängt ist sowas mit dabei.
Bitte warten ..
Mitglied: certifiedit.net
15.01.2014 um 10:00 Uhr
Mach es mit Firewall Hausmitteln. Die gehört sowieso vor das Netz.
Bitte warten ..
Mitglied: Lochkartenstanzer
15.01.2014, aktualisiert um 10:07 Uhr
Zitat von usercrash:

Eine Funktion allerdings habe ich im Assistenten unter 'Ports' bzw. 'Bereich' leider nicht gefunden:
Kann man statt IP-Adressen oder IP-Bereichen auch bereits DNS-aufgelöste Domainnamen für das Remote-Ziel angeben, z.B.
als *test.de/*?

Oder gibt es hierzu einen Workaround?


das ist, wie die Kollegen schon sagten, der klassische Anwendungsfall für die Firewall, die euer Netz schützt. Wenn Du es direkt auf dem Server haben willst, könntest Du 3rd-Party Produkte wie z.B. die von Checkpoint nutzen.

lks
Bitte warten ..
Mitglied: usercrash
15.01.2014, aktualisiert um 10:26 Uhr
Hallo,

ja, Contentfilter kommt dem schon recht nahe, mit folgender Einschränkung:

Da es sich um einen Server mit RDP-Terminaldiensten handelt, blockt eine vorgeschaltete externe Firewall alle User und den Admin gleichermaßen. Das ist hier so nicht möglich, deshalb der Versuchsansatz mit der systemeigenen Firewall, wobei noch abzuklären wäre, inwieweit man die Regeln über Richtlinien o.ä. per User definieren kann:
Ziel: Der Admin darf überall hin, die RDP-User nur zu ausgewählten WWW-Hosts.

Und da wird es IMHO auch bei AV-Lösungen für Server schwierig!?

Grüße, usercrash
Bitte warten ..
Mitglied: Lochkartenstanzer
15.01.2014, aktualisiert um 10:23 Uhr
Zitat von usercrash:

Da es sich um einen Server mit RDP-Terminaldiensten handelt, blockt eine vorgeschaltete externe Firewall alle User und den Admin
gleichermaßen.

Ordentliche Firewall-konzepte erlauben da eine Authentifizierung der User und dementsprechend eine abgestufte regelung.

lks

PS: Session-Authentifikation in diesem Fall vermutlich das Mittel der Wahl. ich gebe zu, die Chekcpoints sind zwar nciht die billigsten lösungen, aber sie erfüllen meist die Anforderungen.
Bitte warten ..
Mitglied: certifiedit.net
15.01.2014 um 10:19 Uhr
Mehr Infos wären gut - welche Firewall?
Bitte warten ..
Mitglied: wiesi200
15.01.2014, aktualisiert um 10:33 Uhr
Zitat von usercrash:

Hallo,

ja, Contentfilter kommt dem schon recht nahe, mit folgender Einschränkung:

Da es sich um einen Server mit RDP-Terminaldiensten handelt, blockt eine vorgeschaltete externe Firewall alle User und den Admin
gleichermaßen. Das ist hier so nicht möglich, deshalb der Versuchsansatz mit der systemeigenen Firewall, wobei noch
abzuklären wäre, inwieweit man die Regeln über Richtlinien o.ä. per User definieren kann:
Ziel: Der Admin darf überall hin, die RDP-User nur zu ausgewählten WWW-Hosts.

Genau dann ist die Windows Firewall ein noch viel schlechterer Lösungsansatz.

Edit:
http://de.wikipedia.org/wiki/SquidGuard
Währ ein Ansatz.

und bei den Virenlösungen. Bei Kaspersky hab ich das auch Userabhängig gesehen.
Bitte warten ..
Mitglied: usercrash
15.01.2014, aktualisiert um 10:38 Uhr
Hmmm, schade, war eine Idee. Nur mit dem vorgeschalteteten VDSL-Router nebst Firewall-Funktionen (Draytek, kann auch Domains blocken/erlauben) blocke ich derzeit alle LAN-User gleichermaßen.
Checkpoint: Sprengt das Budget...
Denkbar wäre auch ein separater Proxy-Rechner mit jeweiliger Useranmeldung, aber noch einen Rechner wollte ich eigentlich vermeiden.

Gruß, usercrash

Edit: Ja, sowas wie z.B. SquidGard...
Bitte warten ..
Mitglied: Lochkartenstanzer
15.01.2014, aktualisiert um 10:42 Uhr
Zitat von usercrash:

Denkbar wäre auch ein separater Proxy-Rechner mit jeweiliger Useranmeldung, aber noch einen Rechner wollte ich eigentlich
vermeiden.

Du könntest natürlich auch lokal einen squid installieren, dem Du benutzerabhängige Regeln gibst und Verbindungen nach draußen nur über diesen squid rausläßt. Du könntest dann die windowsFireweall anweisen nur den Squid überall hinzulassen udn alles andere einzuschränken. der squid könnte dann danke benutzerauthentifizierung unterscheiden, wer wohin darf.

lks
Bitte warten ..
Mitglied: usercrash
15.01.2014 um 10:45 Uhr
Danke für den Tipp, muss ich mir mal ansehen. Daneben wären aber noch die Fragen 'Ressourcenhunger' und 'Kompatibilität mit dem Mimöschen Terminalserver' zu bedenken... ;)

Gruß, usercrash
Bitte warten ..
Mitglied: Lochkartenstanzer
15.01.2014 um 10:52 Uhr
Zitat von usercrash:

. Daneben wären aber noch die Fragen 'Ressourcenhunger' und
'Kompatibilität mit dem Mimöschen Terminalserver' zu bedenken... ;)

Resourcenhunger läßt sich durch bunt bedruckte Scheine lösen.
Kompatibilität, indem man Hand anlegt. (squid ist OS).

lks
Bitte warten ..
Ähnliche Inhalte
Cluster
Windows NLB - Firewall Regeln
gelöst Frage von eyetSolutionsCluster8 Kommentare

Hallo zusammen, wir haben in unserem Netzwerk 3 VLANs (23, 28, 29) Wir haben nun 2 Server im 23 ...

Firewall
Sophos UTM: Firewall Regeln
gelöst Frage von 130854Firewall7 Kommentare

Hallo, ich habe eine Sophos UTM daheim stehen, die soweit den ganzen Datenverkehr regelt. Ich habe auch keine ANY-ANY-ANY ...

Windows Server
Windows 2008R2 FD und "nichtvorhandene" Firewall
gelöst Frage von TimSterntalerWindows Server5 Kommentare

Hallo liebe Administratoren auf eine Remoteserver Windows2008R2 FD (aktueller Updatestand) wird mir unter den Diensten nicht die "Windows Firewall" ...

Router & Routing
Mikrotik hex firewall regeln
Frage von ecki33Router & Routing2 Kommentare

Hallo mal wieder Bin jetzt von einem älteren RB750 auf den aktuellen RB750G3 Hex umgestiegen, geht auch alles soweit. ...

Neue Wissensbeiträge
Windows 10

Windows 10 Fall Creators Update - Neue Funktion Hyper-V Standardswitch kann ggf. Fehler bei Proxy Configs verursachen

Erfahrungsbericht von rzlbrnft vor 3 StundenWindows 101 Kommentar

Hallo Kollegen, Da wir die Gefahr lieben, haben wir bei einigen Usern nun mittlerweile das Creators Update drauf. Einige ...

Sicherheit

TLS-Zertifikat und privater Schlüssel von Microsofts Dynamics 365 geleakt

Information von Penny.Cilin vor 5 StundenSicherheit

Microsoft hat versehentlich das TLS-Zertifikat inklusive dem privaten Schlüssel seiner Business-Anwendung Dynamics 365 geleakt. TLS-Zertifikat und privater Schlüssel von ...

Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 1 TagViren und Trojaner2 Kommentare

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 1 TagRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

LAN, WAN, Wireless
Brainstorming, einfachste Option 1 getrenntes LAN (mit WAN zugang)
Frage von 132954LAN, WAN, Wireless13 Kommentare

Hi, folgendes: Wir bekommen eine Glasfaser Leitung, Und das sollte Optional so aussehen: Ein Modem/Router für das WAN, ein ...

Netzwerkgrundlagen
Hi eine blöde frage. xD
Frage von 132954Netzwerkgrundlagen12 Kommentare

Also: Habe 2012 r2 essentials neuinstalliert, allerdings installiert diese version ja gleich diesen gangen AD kram mit, den hab ...

Batch & Shell
Trusted Sites für alle User auf dem PC einpflegen
Frage von xXTaKuZaXxBatch & Shell12 Kommentare

Aufgabestellung: Es sollen auf 1 PC (bzw. mehreren PCs) vertrauenswürdige Sites per Powershell eingetragen werden, die für alle User ...