ADMIN Magazin Gestapelt - Schneller und sicherer mit RAID (Vorschau)
26.02.2014 Aufrufe
Einbetten Melden

ADMIN Magazin Gestapelt - Schneller und sicherer mit RAID (Vorschau)

ePAPER LESEN
201036.ceeka

Erfolgreiche ePaper selbst erstellen

Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.

JETZT STARTEN

Security<br />

Windows-Firewall<br />

Sie zwischen verschiedenen Regeltypen<br />

wählen:<br />

n Isolierung: schränkt die Verbindungen<br />

anhand bestimmter Authentifizierungsregeln<br />

ein.<br />

n Authentifizierungsausnahme: definiert<br />

Computer, von denen keine Verbindungen<br />

angenommen werden.<br />

n Server-zu-Server: Verbindungen zwischen<br />

den in der Regel angegebenen<br />

Computern werden authentifiziert.<br />

n Tunnel: Bezieht sich auf Gateway-Computer<br />

als Tunnelendpunkte. Wählen<br />

Sie »Isolierung«, wird der Computer<br />

gegen nicht authentifizierte Computer<br />

isoliert. Auf der nächsten Dialogseite<br />

können wiederum verschiedene Möglichkeiten<br />

ausgewählt werden:<br />

n Authentifizierung für eingehende <strong>und</strong><br />

ausgehende Verbindungen anfordern:<br />

Obwohl die Authentifizierung generell<br />

angefordert wird, ist sie bei diesem<br />

Typ nicht erforderlich.<br />

n Authentifizierung ist für eingehende<br />

Verbindungen erforderlich <strong>und</strong> muss<br />

für ausgehende Verbindungen angefordert<br />

werden: Hier sind eingehende<br />

Verbindungen nur dann erlaubt, wenn<br />

sie authentifiziert werden können.<br />

Ausgehende Verbindungen werden<br />

zwar nach Möglichkeit authentifiziert,<br />

aber auch zugelassen, wenn die Authentifizierung<br />

nicht erfolgreich war.<br />

n Authentifizierung ist für eingehende<br />

<strong>und</strong> ausgehende Verbindungen erforderlich:<br />

Diese Einstellung ist die restriktivste<br />

von allen <strong>und</strong> erlaubt sowohl<br />

bei ein- als auch bei ausgehenden Verbindungen<br />

nur authentifizierte Kommunikation<br />

(Abbildung 7).<br />

Als Nächstes wird die Authentifizierungsmethode<br />

festgelegt. Hierbei können<br />

Sie wählen, ob die IPsec-Einstellungen<br />

verwendet werden sollen, oder ob über<br />

Kerberos authentifiziert werden soll.<br />

Letzeres erfordert die Mitgliedschaft in<br />

einer Domäne. Nachdem die Regel einen<br />

Namen erhalten hat, ist sie erstellt <strong>und</strong><br />

erscheint im Hauptfenster. Achtung: Die<br />

Regel ist auch sofort aktiv! Haben Sie<br />

eine entsprechend restriktive Regel erstellt,<br />

wird der Computer isoliert, wenn<br />

die Remote-Systeme nicht ebenfalls entsprechend<br />

konfiguriert sind. Möchten<br />

Sie die Verbindung über eine bestimmte<br />

ein- oder ausgehende Regel nur dann<br />

zulassen, wenn sie gesichert ist, können<br />

Abbildung 8: Mit dieser Einstellung erlaubt die<br />

Windows-Firewall Verbindungen nur dann, wenn sie<br />

entsprechend geschützt sind.<br />

Sie die entsprechende Aktion in den Eigenschaften<br />

der Regel auswählen (Abbildung<br />

8). In diesem Fall können Sie über<br />

den Button »Anpassen« weitere Einstellungen<br />

für die Sicherung der Kommunikation<br />

auswählen <strong>und</strong> so zum Beispiel<br />

eine Verschlüsselung erzwingen.<br />

Steuerung per Netshell<br />

<strong>und</strong> Powershell<br />

Die Windows-Firewall lässt sich bequem<br />

über die grafische Oberfläche konfigurieren.<br />

Unter »Computerkonfiguration/<br />

Windows‐Einstellungen/Sicherheitseinstellungen<br />

| Windows‐Firewall <strong>mit</strong> erweiterter<br />

Sicherheit« hilft der bekannte<br />

Dialog-Assistent dabei, bestimmte Regeln<br />

für ein- <strong>und</strong> ausgehenden Netzwerkverkehr<br />

<strong>und</strong> die Verbindungssicherheitsregeln<br />

zu erstellen.<br />

Doch auch auf der Kommandozeile lässt<br />

sich die Windows-Firewall auslesen <strong>und</strong><br />

konfigurieren, zum Beispiel <strong>mit</strong> der Netshell.<br />

So können Sie zum Beispiel alle<br />

Regeln der Firewall <strong>mit</strong> dem folgenden<br />

Befehl auslesen:<br />

netsh advfirewall firewall show rule U<br />

name=all<br />

Möchten Sie die Firewall deaktivieren,<br />

können Sie dies <strong>mit</strong> dem folgenden Befehl<br />

für sämtliche Profile tun: »netsh advfirewall<br />

set allprofiles state off«. Die Reaktivierung<br />

erfolgt <strong>mit</strong> demselben Befehl,<br />

nur dass am Ende »state on« angegeben<br />

wird. Um beispielsweise eine Regel zu erstellen,<br />

die Ping eingehend erlaubt, lautet<br />

der Befehl folgendermaßen:<br />

netsh advfirewall firewall add rule nameU<br />

="ICMPv4 eingehend" dir=in action=allow U<br />

protocol=icmpv4<br />

Die Regel ist aktiv <strong>und</strong> wird auch im<br />

Regelwerk unter »Eingehende Regeln«<br />

angezeigt.<br />

Auch die Powershell ermöglicht eine<br />

Konfiguration der Windows-Firewall. Allerdings<br />

ist dies nicht ganz trivial <strong>und</strong><br />

bei Weitem nicht so gradlinig wie die<br />

Netshell-Befehle. Die Interaktion <strong>mit</strong> der<br />

Windows-Firewall geschieht über das<br />

COM-Objekt »HNetCFG.FWPolicy2«. Die<br />

Konfiguration erfordert einige Skripting-<br />

Kenntnisse.<br />

Tipps <strong>und</strong> Fazit<br />

Die Windows-Firewall <strong>mit</strong> erweiterter Sicherheit<br />

bietet die Möglichkeit, sowohl<br />

eingehende als auch ausgehende Verbindungen<br />

zu kontrollieren. Sie unterscheidet<br />

dabei einzelne Netzwerkstandorte,<br />

die als Profile hinterlegt sind. Dabei ist zu<br />

beachten, dass ausgehende Verbindungen<br />

gr<strong>und</strong>sätzlich durch die Standardregel<br />

für alle Profile erlaubt sind. Andererseits<br />

arbeitet die Firewall „stateful“, das<br />

heißt sie lässt Antwortpakete durch, ohne<br />

dass hierfür explizite Regeln erforderlich<br />

sind.<br />

Die Windows-Firewall ermöglicht es dem<br />

Administrator, im Gegensatz zu Netzwerk-Firewalls,<br />

für einzelne Programme<br />

festzulegen, ob ihnen die Kommunikation<br />

erlaubt oder verboten ist. Zusätzlich<br />

ist es möglich, die Kommunikation via<br />

IPsec abzusichern. Hierzu lässt sich die<br />

Windows-Firewall sowohl für Authentifizierung<br />

wie auch für Verschlüsselung<br />

konfigurieren. (ofr)<br />

n<br />

Der Autor<br />

Eric Amberg ist Geschäftsführer der ATRACON<br />

GmbH ([http:// www. atracon. de]), seit vielen<br />

Jahren im Bereich IT-Infrastruktur als Trainer<br />

<strong>und</strong> Consultant tätig <strong>und</strong> verfügt über langjährige<br />

Projekterfahrung. Sein<br />

besonderer Fokus liegt auf<br />

Netzwerk-Themen. In seinen<br />

Seminaren legt er großen<br />

Wert auf eine praxisnahe<br />

Schulung.<br />

84 Ausgabe 06-2012 Admin www.admin-magazin.de

logo

Produkte

Ressourcen

Unternehmen

AGB
Datenschutzerklärung
Cookie-Richtlinien
Cookie-Einstellungen
Impressum
Change language
Made with love in Switzerland
© 2024 Yumpu.com all rights reserved

Hurra! Ihre Datei wurde hochgeladen und ist bereit für die Veröffentlichung.

Erfolgreich gespeichert!

Leider ist etwas schief gelaufen!