Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Server für Internet sperren

Frage Microsoft Windows Server

Mitglied: Pertin

Pertin (Level 1) - Jetzt verbinden

29.12.2013 um 09:52 Uhr, 2111 Aufrufe, 12 Kommentare, 2 Danke

Hallo,

aus Sicherheitsgründen möchte ich auf einen Windows 2008 R2 zwar Update installieren, aber das Internet sollte für den klassischen Zugriff gesperrt sein.
Mit dem simplen Versuch einer Firewall Rule zB den Port 80 zuzumachen, kamen auch keine Updates bzw. funktionierte der Prozess nicht mehr. Also nutzt dies wohl auch Port 80.

Meine Frage(n) nun
- kann ich den Port für die Updates umbiegen?
- kann man den Internetzugriff nur über das Auswählen der einzelnen Anwendungen sperren?
- Gibts eine Regel "Alles aus, außer X, und/oder Y usw. ?

Oder - stelle ich mir das zu einfach vor?

Danke im Voraus
Mitglied: Lochkartenstanzer
29.12.2013 um 09:56 Uhr
Zitat von Pertin:

Oder - stelle ich mir das zu einfach vor?

nein, zu kompliziert.

das ist ein klasischer Fall für Apllication -level-proxies (squid & co.).

Im Proxy kannst Du ganz einfach per white oder backlist, ggf über Userauthetifizierung, regeln, wo die Kisten hindürfen und wo nicht. Da kann man auch einstellen, daß Admins, die sich gegenüber dem Proxy authentifiziert haben, auch andere Seiten als windows-Update aufrufen dürfen, um z.B. irgendwelche Tools direkt aus dem internet zu laden.

lks
Bitte warten ..
Mitglied: certifiedit.net
29.12.2013 um 10:40 Uhr
Hallo Pertin,

nein. Port umbiegen ist nicht, außer du setzt einen dedizierten WSUS auf, welcher dann aber auch wieder FullAccess über Port 80 braucht.

Du kannst, vorausgesetzt deine UTM/FW Hardware/Software kann das, die Ziele erlauben und blockieren. Sprich: MS-Server OK, Alles andere nicht.

Ob es einfach ist oder nicht kommt auf deine Gegebenheiten an.
Bitte warten ..
Mitglied: jsysde
29.12.2013 um 12:29 Uhr
Mahlzeit.

Man möge mir das Herumnörgeln verzeihen, aber mit ist unklar, welche "Gefahr" für einen Server besteht, wenn er "Internetzugriff" hat?
Sofern der Server hinter einem Router hängt und dort keine Portforwardings eingetragen sind, die auf eben diesen Server zeigen, ist der Server genauso sicher bzw. unsicher wie alle anderen Rechner im Netz auch, sprich: Ein Zugriff von extern direkt auf diesen Server ist nicht möglich.

Dass man sich als Admin nicht auf einen Server verbindet, um dann dort fröhlich loszusurfen, sollte eigentlich jedem klar sein, das gehört zur absoluten Grundsicherung jedes Servers/Netzwerks.

Was die Update-Versorgung angeht, hier wurde ja schon ein WSUS-Server erwähnt, also ein Server, der zentral alle (benötigten) Updates von MS herunterlädt und dann allen Maschinen im internen Netz bereitstellen kann - verhindert, dass die internen Maschinen direkt von MS laden und beschleunigt natürlich die Installation von Updates proportional zur Anzahl der vorhandenen Maschinen. Dass dieser WSUS-Server dann Zugriff aufs Internet braucht, dürfte klar sein, die Updates müssen ja irgendwie heruntergeladen werden. Zum "Verbiegen" der Update-Ports ist ein hausinterner WSUS die zwingende Vorraussetzung.

Cheers,
jsysde
Bitte warten ..
Mitglied: Lochkartenstanzer
29.12.2013, aktualisiert um 12:38 Uhr
Zitat von jsysde:

Man möge mir das Herumnörgeln verzeihen, aber mit ist unklar, welche "Gefahr" für einen Server besteht,
wenn er "Internetzugriff" hat?

Wie die Erfahrung zeigt, werden Drittanbieter-Programme auf Servern normalerweise seltener aktuell gehalten als auf Desktops.

Wenn man nun auf dem Server als Admin unterwegs ist, um z.B. schnell bei administrator.de oder woanders was nachzuschauen, kann es dort einfacher sein, sich auf dem Server einen drive-by-download einzufangen, als auf dem Desktop.

lks

PS: Ich meine damit nciht, das administrator.de drive-by-downloads verteilt, sondern daß die gefahr generell dort besteht, wo werbung verteilt wird.
Bitte warten ..
Mitglied: jsysde
29.12.2013 um 12:42 Uhr
Mahlzeit.

Zitat von Lochkartenstanzer:
Wenn man nun auf dem Server als Admin unterwegs ist, um z.B. schnell bei administrator.de oder woanders was nachzuschauen, kann es
dort einfacher sein, sich auf dem Server einen drive-by-download einzufangen, als auf dem Desktop.
Da hast du sicherlich nicht unrecht, aber als (verantwortungsvoller) Admin surfe ich auf einem Server nicht, ganz egal, wohin. Eigentlich ein "OSI-Layer-8-Problem", kein Windows-Problem.

Cheers,
jsysde
Bitte warten ..
Mitglied: Lochkartenstanzer
29.12.2013 um 13:04 Uhr
Zitat von jsysde:

> Zitat von Lochkartenstanzer:
> Wenn man nun auf dem Server als Admin unterwegs ist, um z.B. schnell bei administrator.de oder woanders was nachzuschauen,
kann es
> dort einfacher sein, sich auf dem Server einen drive-by-download einzufangen, als auf dem Desktop.
Da hast du sicherlich nicht unrecht, aber als (verantwortungsvoller) Admin surfe ich auf einem Server nicht, ganz egal, wohin.
Eigentlich ein "OSI-Layer-8-Problem", kein Windows-Problem.

Auch nicht, wenn Du mal schnell einen patch brauchst, weil der Server gerade Mucken macht?

Egal wie sorgfältig man ist, man kommt immer in Situationen, wo man kurz nicht aufpaßt und schon ist es passiert.

lks
Bitte warten ..
Mitglied: Dobby
29.12.2013 um 18:38 Uhr
Hallo,

stell die Server die Kontakt zum Internet haben sollen in eine DMZ hinter einen HTTP/Web Proxy
und die anderen Server eben ins LAN und dann versorge diese über WSUS mit Updates.

Gruß
Dobby
Bitte warten ..
Mitglied: exchange
29.12.2013 um 20:20 Uhr
Zitat von Lochkartenstanzer:
Auch nicht, wenn Du mal schnell einen patch brauchst, weil der Server gerade Mucken macht?

Egal wie sorgfältig man ist, man kommt immer in Situationen, wo man kurz nicht aufpaßt und schon ist es passiert.

lks
RDP - copy & paste?

Du kannst in der Windows Firewall eine Regel für den IE machen und diesem nichts erlauben. Das setzt aber voraus, dass der Benutzer keine Anwendung installieren darf und auch keine fremde .exe starten kann (portable Browser), sonst macht das keinen Sinn.
Bitte warten ..
Mitglied: 13634
30.12.2013, aktualisiert um 06:51 Uhr
Moin,
versteh ich das jetzt richtig nur kein Surfen? Versuch doch mal einen nicht vorhandenen Proxy in den Internetverbindungseinstellungen einzutragen.
Sollte dann ggf. kein Surfen per IE möglich sein.
HG
Strangedos
P.S. Alternativ könnte man es auch mit DNS Einstellungen probieren. Ist aber mehr Bastelarbeit da der WSUS ja weiterhin laufen soll.
Bitte warten ..
Mitglied: maretz
30.12.2013 um 08:50 Uhr
Moin,

ich vermute mal das du damit aus Sicherheitsgründen die Updates auch nur manuell installieren möchtest? (Ob dies jetzt gut oder schlecht ist will ich mal nicht diskutieren). Hierfür gibt es ja div. Update-Tools (ich glaub z.B. eines von Heise), das lädt die Updates "offline" runter, du packst das auf nen USB-Stick und installierst das dann am Server.

Jedoch: Was machst du z.B. mit nem Virenscanner? Der sollte ja auch seine Updates bekommen.

Ansonsten würde ich mich aber auch den anderen hier anschließen - wenn ich am Server nicht arbeite (und schon gar nicht als Admin irgendwelche SW da öffne / ausprobiere und/oder surfe!) stellt sich die Frage welches Problem du da siehst? Ne gute Firewall sollte ja alle Ports zumachen die nicht benötigt sind (und bei nem Server weiss ich recht genau was der nach aussen braucht!). Ich würde höchstens den Port 80 direkt sperren und nen Proxy zwangsweise dazwischen packen um Programme wie TeamViewer zu sperren (oder eben die illegalen Versionen davon) - und am Proxy eben für den Server nur die Update-Seiten freigeben. Aber je nach Umfeld kenne ich auch einige Umgebungen in denen der Server eben kein Internet haben darf weils ne Betriebsvorgabe so vorsieht...
Bitte warten ..
Mitglied: jsysde
30.12.2013 um 10:44 Uhr
Moin.

Zitat von maretz:
Ne gute Firewall sollte ja alle Ports zumachen die nicht benötigt sind
Ähhm, nein. "Ne gute Firewall" hat alle Ports dicht, bis auf die, die ich als Admin öffne.

Cheers,
jsysde
Bitte warten ..
Mitglied: 13634
01.01.2014, aktualisiert um 05:58 Uhr
Moin,
dazu muss der jeweilige Admin auch die betreffende Übersicht haben.
HG
Strangedos
P.S. Die Grundlegende Frage wie ist die Ausgangsituation und wie löse ich diese, tritt etwas in den Hintergrund.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Netzwerkgrundlagen
gelöst Heimnetzwerk über Server im Internet und OpenVPN erreichbar machen (16)

Frage von byt0xm zum Thema Netzwerkgrundlagen ...

Windows Server
gelöst Windows Server 2012R2 mit 2 Nics - Clients bekommen keine Internet Verbindung (15)

Frage von GoForIt zum Thema Windows Server ...

Webbrowser
Internet Explorer für Terminal Server einschränken (4)

Frage von FlashOver zum Thema Webbrowser ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...