Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Security<br />
Windows-Firewall<br />
Sie zwischen verschiedenen Regeltypen<br />
wählen:<br />
n Isolierung: schränkt die Verbindungen<br />
anhand bestimmter Authentifizierungsregeln<br />
ein.<br />
n Authentifizierungsausnahme: definiert<br />
Computer, von denen keine Verbindungen<br />
angenommen werden.<br />
n Server-zu-Server: Verbindungen zwischen<br />
den in der Regel angegebenen<br />
Computern werden authentifiziert.<br />
n Tunnel: Bezieht sich auf Gateway-Computer<br />
als Tunnelendpunkte. Wählen<br />
Sie »Isolierung«, wird der Computer<br />
gegen nicht authentifizierte Computer<br />
isoliert. Auf der nächsten Dialogseite<br />
können wiederum verschiedene Möglichkeiten<br />
ausgewählt werden:<br />
n Authentifizierung für eingehende <strong>und</strong><br />
ausgehende Verbindungen anfordern:<br />
Obwohl die Authentifizierung generell<br />
angefordert wird, ist sie bei diesem<br />
Typ nicht erforderlich.<br />
n Authentifizierung ist für eingehende<br />
Verbindungen erforderlich <strong>und</strong> muss<br />
für ausgehende Verbindungen angefordert<br />
werden: Hier sind eingehende<br />
Verbindungen nur dann erlaubt, wenn<br />
sie authentifiziert werden können.<br />
Ausgehende Verbindungen werden<br />
zwar nach Möglichkeit authentifiziert,<br />
aber auch zugelassen, wenn die Authentifizierung<br />
nicht erfolgreich war.<br />
n Authentifizierung ist für eingehende<br />
<strong>und</strong> ausgehende Verbindungen erforderlich:<br />
Diese Einstellung ist die restriktivste<br />
von allen <strong>und</strong> erlaubt sowohl<br />
bei ein- als auch bei ausgehenden Verbindungen<br />
nur authentifizierte Kommunikation<br />
(Abbildung 7).<br />
Als Nächstes wird die Authentifizierungsmethode<br />
festgelegt. Hierbei können<br />
Sie wählen, ob die IPsec-Einstellungen<br />
verwendet werden sollen, oder ob über<br />
Kerberos authentifiziert werden soll.<br />
Letzeres erfordert die Mitgliedschaft in<br />
einer Domäne. Nachdem die Regel einen<br />
Namen erhalten hat, ist sie erstellt <strong>und</strong><br />
erscheint im Hauptfenster. Achtung: Die<br />
Regel ist auch sofort aktiv! Haben Sie<br />
eine entsprechend restriktive Regel erstellt,<br />
wird der Computer isoliert, wenn<br />
die Remote-Systeme nicht ebenfalls entsprechend<br />
konfiguriert sind. Möchten<br />
Sie die Verbindung über eine bestimmte<br />
ein- oder ausgehende Regel nur dann<br />
zulassen, wenn sie gesichert ist, können<br />
Abbildung 8: Mit dieser Einstellung erlaubt die<br />
Windows-Firewall Verbindungen nur dann, wenn sie<br />
entsprechend geschützt sind.<br />
Sie die entsprechende Aktion in den Eigenschaften<br />
der Regel auswählen (Abbildung<br />
8). In diesem Fall können Sie über<br />
den Button »Anpassen« weitere Einstellungen<br />
für die Sicherung der Kommunikation<br />
auswählen <strong>und</strong> so zum Beispiel<br />
eine Verschlüsselung erzwingen.<br />
Steuerung per Netshell<br />
<strong>und</strong> Powershell<br />
Die Windows-Firewall lässt sich bequem<br />
über die grafische Oberfläche konfigurieren.<br />
Unter »Computerkonfiguration/<br />
Windows‐Einstellungen/Sicherheitseinstellungen<br />
| Windows‐Firewall <strong>mit</strong> erweiterter<br />
Sicherheit« hilft der bekannte<br />
Dialog-Assistent dabei, bestimmte Regeln<br />
für ein- <strong>und</strong> ausgehenden Netzwerkverkehr<br />
<strong>und</strong> die Verbindungssicherheitsregeln<br />
zu erstellen.<br />
Doch auch auf der Kommandozeile lässt<br />
sich die Windows-Firewall auslesen <strong>und</strong><br />
konfigurieren, zum Beispiel <strong>mit</strong> der Netshell.<br />
So können Sie zum Beispiel alle<br />
Regeln der Firewall <strong>mit</strong> dem folgenden<br />
Befehl auslesen:<br />
netsh advfirewall firewall show rule U<br />
name=all<br />
Möchten Sie die Firewall deaktivieren,<br />
können Sie dies <strong>mit</strong> dem folgenden Befehl<br />
für sämtliche Profile tun: »netsh advfirewall<br />
set allprofiles state off«. Die Reaktivierung<br />
erfolgt <strong>mit</strong> demselben Befehl,<br />
nur dass am Ende »state on« angegeben<br />
wird. Um beispielsweise eine Regel zu erstellen,<br />
die Ping eingehend erlaubt, lautet<br />
der Befehl folgendermaßen:<br />
netsh advfirewall firewall add rule nameU<br />
="ICMPv4 eingehend" dir=in action=allow U<br />
protocol=icmpv4<br />
Die Regel ist aktiv <strong>und</strong> wird auch im<br />
Regelwerk unter »Eingehende Regeln«<br />
angezeigt.<br />
Auch die Powershell ermöglicht eine<br />
Konfiguration der Windows-Firewall. Allerdings<br />
ist dies nicht ganz trivial <strong>und</strong><br />
bei Weitem nicht so gradlinig wie die<br />
Netshell-Befehle. Die Interaktion <strong>mit</strong> der<br />
Windows-Firewall geschieht über das<br />
COM-Objekt »HNetCFG.FWPolicy2«. Die<br />
Konfiguration erfordert einige Skripting-<br />
Kenntnisse.<br />
Tipps <strong>und</strong> Fazit<br />
Die Windows-Firewall <strong>mit</strong> erweiterter Sicherheit<br />
bietet die Möglichkeit, sowohl<br />
eingehende als auch ausgehende Verbindungen<br />
zu kontrollieren. Sie unterscheidet<br />
dabei einzelne Netzwerkstandorte,<br />
die als Profile hinterlegt sind. Dabei ist zu<br />
beachten, dass ausgehende Verbindungen<br />
gr<strong>und</strong>sätzlich durch die Standardregel<br />
für alle Profile erlaubt sind. Andererseits<br />
arbeitet die Firewall „stateful“, das<br />
heißt sie lässt Antwortpakete durch, ohne<br />
dass hierfür explizite Regeln erforderlich<br />
sind.<br />
Die Windows-Firewall ermöglicht es dem<br />
Administrator, im Gegensatz zu Netzwerk-Firewalls,<br />
für einzelne Programme<br />
festzulegen, ob ihnen die Kommunikation<br />
erlaubt oder verboten ist. Zusätzlich<br />
ist es möglich, die Kommunikation via<br />
IPsec abzusichern. Hierzu lässt sich die<br />
Windows-Firewall sowohl für Authentifizierung<br />
wie auch für Verschlüsselung<br />
konfigurieren. (ofr)<br />
n<br />
Der Autor<br />
Eric Amberg ist Geschäftsführer der ATRACON<br />
GmbH ([http:// www. atracon. de]), seit vielen<br />
Jahren im Bereich IT-Infrastruktur als Trainer<br />
<strong>und</strong> Consultant tätig <strong>und</strong> verfügt über langjährige<br />
Projekterfahrung. Sein<br />
besonderer Fokus liegt auf<br />
Netzwerk-Themen. In seinen<br />
Seminaren legt er großen<br />
Wert auf eine praxisnahe<br />
Schulung.<br />
84 Ausgabe 06-2012 Admin www.admin-magazin.de