twisters
Goto Top

Windows Server Firewall - Wie macht ihr das?

Hallo zusammen

bis jetzt haben wir die Windows Firewall der internen Server nicht verwendet. Wurden also beim Aufsetzen deaktiviert. Ich muss nun ein kleines Konzept schreiben, wie wir die Windows Firewall in Zukunft aktivieren können und auch pflegen.

Wir betreiben etwa 150 virtuelle Windows Server (Server 2008 - 2012R2) auf einem ESXi Cluster. Wobei vermutlich jeder zweite andere Firewall Einstellungen brauchen wird.

Wie macht Ihr das so in mittel grossen Unternehmen? Werden die Firewalls aktiviert und wie Dokumentiert ihr das? Einfach ein einer Zentralen DB (z.B Sharepoint) die nicht standard geöffneten Ports pro Server dokumentieren?

Bin auf eure Erfahrungen gespannt.

Gruss twisters

Content-Key: 324101

Url: https://administrator.de/contentid/324101

Ausgedruckt am: 19.03.2024 um 07:03 Uhr

Mitglied: falscher-sperrstatus
falscher-sperrstatus 16.12.2016 um 15:23:14 Uhr
Goto Top
Hallo twisters,

welche Firewalls stehen denn vor den Servern?

VG
Mitglied: twisters
twisters 16.12.2016 um 15:39:34 Uhr
Goto Top
nach aussen gesehen sind Cisco und Juniper Firewall drin. das interne Netz ist transparent. Von aussen gesehn stehen wir sehr gut da. Die Frage ist ob ich die Windows Firewall auch im LAN aktivieren soll?
Mitglied: falscher-sperrstatus
falscher-sperrstatus 16.12.2016 um 15:55:52 Uhr
Goto Top
Besser wäre eine solide Netzsegmentierung. (DMZ/VLANS)
Mitglied: 131381
131381 16.12.2016 aktualisiert um 16:01:05 Uhr
Goto Top
Moin,
Wurden also beim Aufsetzen deaktiviert.
Wieso das?? Da hatte wohl ein Admin null Ahnung was das betrifft.
Und ja, auch im internen Netz sollte man die Firewalls der Server aktivieren das hat mehrere Gründe, unter anderem das sich Malware auch im internen Netz nicht so schnell verbreiten kann wenn Sicherheitslücken bestimmte Dienste betreffen.

Außerdem ist das Einrichten mit aktiver Firewall heutzutage Standard, Windows übernimmt beim Hinzufügen von Rollen und Diensten ja meist die Hauptarbeit und schaltet die für Rollen benötigten Porta frei.
Wenn man eigene Software verwendet muss man natürlich entsprechend Hand anlegen wenn bestimmte Ports benötigt werden, aber das ist absolut überschaubar.

Die Ports von Anwendungen sind allseits bekannt, es ist also überhaupt kein Problem sich zu belesen und mit aktiver Firewall zu arbeiten. Wer die Windows-Firewall ganz abschaltet hat meiner Meinung nach seinen Beruf verfehlt oder will sich nicht mit dem Thema auseinandersetzen.

Es gibt nämlich auch Dienste die erfordern eine aktive Windows-Firewall damit sie funktionieren, wie z.B. der RRAS und die VPN-Funktionen.

Gruß mik
Mitglied: keine-ahnung
keine-ahnung 16.12.2016 um 16:23:29 Uhr
Goto Top
Moin,
Wer die Windows-Firewall ganz abschaltet hat meiner Meinung nach seinen Beruf verfehlt
was hat eine firewall mit meinem Beruf zu tun face-smile ??

Und tatsächlich habe ich im LAN auf meinen popeligen 3 Servern die firewall ebenfalls inaktiv ... keine-ahnung was die mir helfen sollten.

LG, Thomas
Mitglied: Dani
Dani 16.12.2016 um 16:23:48 Uhr
Goto Top
Moin,
Werden die Firewalls aktiviert....
Ja.

Einfach ein einer Zentralen DB (z.B Sharepoint) die nicht standard geöffneten Ports pro Server dokumentieren?
Die zuständigen Teams in der jeweiligen Form. Die Einen in der Dokumentation der Software, andere pflegen eine Excel-Liste in Sharepoint.


Gruß,
Dani
Mitglied: FernandeZLP
FernandeZLP 16.12.2016 um 17:40:33 Uhr
Goto Top
Wir machen das nach Gamp5. Also eine komplette Dokumentation der Server inkl. Landschaft. Diese Dokumentation ist teil der Validierung der Infrastruktur. Soviel zum Thema Dokumentation.

Zur Implementierung: Ich würde dir empfehlen, die Firewall Einstellungen per GPO zu tätigen. In der Doku des Servers kannst du auf dein GPO Konzept verweisen. Zu der Doku für die GPO Struktur kannst du dann die HTML Reports der Richtlinien anhängen...

Somit bist du valide, du hast eine zentrale Übersicht der Firewalleinstellungen und kannst auch schnell etwas ändern ohne Zugriff auf den Server haben zu müssen... Einfach per GPO.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 16.12.2016 um 19:03:45 Uhr
Goto Top
Zitat von @keine-ahnung:

Und tatsächlich habe ich im LAN auf meinen popeligen 3 Servern die firewall ebenfalls inaktiv ... keine-ahnung was die mir helfen sollten.

z.B. verhindern, daß jemand aus fremden netzwerken RDP mit deinen Servern spielt.

lks
Mitglied: keine-ahnung
keine-ahnung 16.12.2016 um 19:07:53 Uhr
Goto Top
Moin LKS,
z.B. verhindern, daß jemand aus fremden netzwerken RDP mit deinen Servern spielt.
und die fremden "Netzwerker" kommen jetzt wie durch meine firewall, die vor dem LAN steht? Wasserleitung? Over the air? face-smile

LG, Thomas
Mitglied: Lochkartenstanzer
Lochkartenstanzer 16.12.2016 aktualisiert um 19:41:46 Uhr
Goto Top
Zitat von @keine-ahnung:

Moin LKS,
z.B. verhindern, daß jemand aus fremden netzwerken RDP mit deinen Servern spielt.
und die fremden "Netzwerker" kommen jetzt wie durch meine firewall, die vor dem LAN steht? Wasserleitung? Over the air? face-smile

Über die Buchse im Wartezimmer. face-smile

Aber es gibt auch für die meisten Firewalls, die das LAN schützen sollen Exploits.

Und manchmal kann man sogar die Browser der Arbeiststationen als Tunnelkopf benutzen.

lks
Mitglied: 131381
131381 16.12.2016 aktualisiert um 21:31:52 Uhr
Goto Top
Zitat von @keine-ahnung:
was hat eine firewall mit meinem Beruf zu tun face-smile ??
Sie schützt dich vor den Patienten die zu viel chilli con carne intus haben face-smile
Mitglied: keine-ahnung
keine-ahnung 17.12.2016 um 10:48:51 Uhr
Goto Top
Moin,
Über die Buchse im Wartezimmer.
dort gibt es keine Buchse (ist kein Platz, da steht mein core-switch).
Sie schützt dich vor den Patienten die zu viel chilli con carne intus haben
Verdammt! Darüber hatte ich nicht nachgedacht ...

LG, Thomas
Mitglied: Holle1991
Holle1991 17.12.2016 um 18:13:48 Uhr
Goto Top
Zitat von @FernandeZLP:

Wir machen das nach Gamp5. Also eine komplette Dokumentation der Server inkl. Landschaft. Diese Dokumentation ist teil der Validierung der Infrastruktur. Soviel zum Thema Dokumentation.

Zur Implementierung: Ich würde dir empfehlen, die Firewall Einstellungen per GPO zu tätigen. In der Doku des Servers kannst du auf dein GPO Konzept verweisen. Zu der Doku für die GPO Struktur kannst du dann die HTML Reports der Richtlinien anhängen...

Somit bist du valide, du hast eine zentrale Übersicht der Firewalleinstellungen und kannst auch schnell etwas ändern ohne Zugriff auf den Server haben zu müssen... Einfach per GPO.

Sehr guter Ansatz!
Genau so würde ich es auch machen bzw. dokumentieren wir es auch.


Wieviele Admins gibt es bei Euch denn? Und hat jeder "Vollzugriff" auf alles?

Prinzpiell würde ich die Firewall in Produktivumgebungen nie deaktivieren, auch wenn es "nur" die Windows Firewall ist.
Mitglied: twisters
twisters 19.12.2016 um 13:56:45 Uhr
Goto Top
Danke für die vielen Anregungen.

Vor allem der Ansatz mit der Dokumentation via Gamp5 und GPO finden ich auch sehr gut.

@Holle1991: Wir sind 5 Admins und 4 haben VollZugriff auf alles.

Twisters