:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/2b/8b2b54e445a1feb1e0c7e80adaa0f064/0112150345.jpeg "Im Security-Talk besprechen wir weit mehr als Pleiten, Pech und Patches. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b1/19/b119dde55e2269c94ef94a6d1d0a291e/0114244104.jpeg "Der Erfolg eines Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/c2/cac291e0070a2c8ed93aa4c2b15ced0c/0114113039.jpeg ""Daten sichern mit Daten - Die Zukunft der Cybersicherheit", ein Interview von Oliver Schonschek, Insider Research, mit Matthias Canisius von SentinelOne. (Bild: Vogel IT-Medien / SentinelOne / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/8a/c9/8ac992219c3dea0e3a61db00f9cf4a94/0114320983.jpeg "Bundesinnenministerin Nancy Faeser (SPD) möchte unabhängig vom Spionage-Thema auch eine zu große Abhängigkeit von chinesischen 5G-Komponenten verhindern. (Bild: Artinun - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/4d/df4dddc448214d8fcc5545d729fc566d/0114322223.jpeg "Digitale Identitäten können den Zugang in die digitale Welt erleichtern und auch Gegenstände identifizierbar machen. (Bild: vegefox.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Die Firewall des Windows Server 2008 - Teil 4 Firewall-Regeln und IPSec-Authentifizierung für expliziten Traffic
Wie wir in den ersten drei Praxisartikeln dieser Serie erfahren haben, bietet die erweiterte Firewall im Windows Server 2008 weitaus mehr Funktionen und Konfigurationsmöglichkeiten. In diesem Teil unserer Artikelreihe widmen wir uns dem Einstellen von Regeln für einen bestimmten Datenverkehr und die mögliche IPSec-Authentifizierung zwischen Kommunikationspartnern.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5e/4d/5e4d4b19a3c54/moxa-logo.jpg "Moxa_Logo.jpg (Moxa Europe GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Die Firewall des Windows Servers 2008 erlaubt eine feingranulare Einstellung der Firewall-Regeln. Nach der Selektion des Profils im Server Manager und darunter im Eintrag zur „Windows Firewall with Advanced Security“ kann der Administrator unter „Settings“ | „Customize“ (Einstellungen | Anpassen) diese Feineinstellung vornehmen. Hier sind nun die weiteren Konfigurationen für das jeweils gewählte Profil einzustellen.
Unter dem Bereich der „Firewalleinstellungen“ ist festzulegen, ob das System eine Nachricht generieren soll, wenn eine eingehende Verbindung durch die Firewall geblockt wird. Die Voreinstellung dabei ist „Nein“.
Dies sollte man auch so beibehalten. Ansonsten werden unzählige Meldungen generiert, die natürlich nur dann sinnvoll sind, wenn sie auch ausgewertet werden. Eine Änderung an dieser Einstellung ist anzuraten, wenn der Verdacht auf einen Angriff besteht.
Multicast erhöht Netzwerklast
Die Option unter „Unicast response” (Unicastantwort) bestimmt, ob auf Unicast- und auch Multicast-Anfragen reagiert werden sollte oder diese zu blockieren sind. Diese Option steht standardmäßig auf „Ja“. Damit antwortet der Server auf Unicast-Anfragen aus dem Netzwerk.
Wenn allerdings in einer Systemumgebung keine Multi- oder Unicast-Kommunikation stattfindet, sollte auch dieser Eintrag verneint werden. Dabei gilt es zu beachten, dass ältere Applikationen häufig mittels NetBIOS über TCP/IP operierten und daher Multi- oder Unicast-Kommunikation benötigen.
Die letzte Option in dieser Konfigurationsmaske schließlich bezieht sich auf die Verknüpfung von Regeln mittels der Group Policies. Neben diesen, hier erwähnten, Dialog-gestützten Einstellungen der Firewall-Parameter besteht ferner die Konfiguration über die Gruppenrichtlinien.
Durch die Schalter des „Rule Merging“ wird bestimmt, wie die Geräte verfahren sollen, wenn Firewall-Richtlinien lokal konfiguriert sind, aber auch durch die Gruppenrichtlinien zugewiesen werden. Standardmäßig werden beiden Richtliniensätze nach den Regeln der Gruppenrichtlinien miteinander kombiniert.
Unter Logging (Protokollierung) ist der Pfad der Logdatei und deren Größe anzugeben. Ferner ist hier zu bestimmen, ob „Verworfene Pakete“ und „Erfolgreiche Verbindungen“ protokolliert werden sollen. Um insbesondere in der Anfangsphase keine Log-Informationen zu verlieren, sollte diese Datei groß genug gewählt werden.
Seite 2: IPSec sichert die Kommunikation ab
IPSec sichert die Kommunikation ab
Der vierte Reiter schließlich beschäftigt sich mit der Konfiguration von IPsec und deren Einstellungen. IPSec erhöht damit die Sicherheitsanforderungen für die beteiligten Kommunikationspartner.
Hierbei kann bestimmt werden, dass sich die Kommunikationspartner gegenseitig authentifizieren müssen, bevor eine Kommunikation stattfinden kann. Eine weitere mögliche Sicherheitseinstellung ist die Verschlüsselung der Kommunikation, auch diese lässt sich an dieser Stelle einrichten.
Die erweiterten Einstellungen, so wie oben beschrieben, finden sich analog für alle drei Profiltypen. Damit lassen sich für jedes der drei Profile eigene Konfigurationen vornehmen.
Policies bündeln Firewall-Regeln
Das gesamte Regelwerk der Firewall, mit den drei Profilen, bildet gemeinsam eine Policy. Eine Policy eines Rechners kann durch die Optionen des Kontextmenüs der Firewall exportiert oder auch importiert werden. Dieses ermöglicht den Austausch der Regeln zwischen den Systemen. Abgelegt werden die Policies in einer Datei mit der Erweiterung .WFW.
Damit ist die Standardeinstellung abgeschlossen und wir wenden uns den speziellen Regeln zu. Diese bestimmen im Detail die erlaubten oder verbotenen Kommunikationswege.
Um den Datenverkehr zu erlauben stehen im Windows Server 2008 mehrere Regeltypen zur Wahl. Der generelle Aufbau der Regeln kennt immer zwei Kommunikationspartner und das überwachte Kommunikationsobjekt. Hierbei unterscheidet der Windows Server nach Ports, Applikationen, Diensten (Service) und weiteren spezifischen Kriterien.
Bei der Definition der Regeln sollte man aber eines beachten: Der Einstellung „Outbound connection that do not match a rule are allowed” in der Übersichtsmaske mit den drei Profilen liegt ein anderes Konzept zugrunde, als es bei netzwerkbasierten Firewalls meist vorzufinden ist. Hierbei wird meist umgekehrt verfahren.
Nur der explizit erlaubte Datenverkehr sollte dabei erlaubt sein. Existiert hingegen keine Regel, die den Datenverkehr explizit erlaubt oder blockiert, so wird dann die Kommunikation meist unterbunden. Die Firewall des Windows Server verfährt also gerade nach dem umgekehrten Prinzip.
In folgenden letzen Teil diese Reihe widmen wir uns den Attributen der Regeln.
(ID:2017006)
:quality(80)/p7i.vogel.de/wcms/6c/d0/6cd0298f8f3f4156363ecb37f9f837d3/0112491834.jpeg "Wir zeigen, wie sich mit der Windows Defender Firewall auf Windows-Servern Firewall-Regeln für die verschiedenen Netzwerkprofile mit der Windows-GUI oder der PowerShell erstellen und verwalten lassen. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/d4/e9d4123dc40cf9482fc81d9654bcd4cb/0109226021.jpeg "Unternehmen müssen ihr Active Directory unbedingt härten und vor Angriffen schützen, da hier alle Anmeldedaten der Benutzer gespeichert sind und damit auch die Rechte, mit denen Benutzer auf Ressourcen im Unternehmen zugreifen können. (Bild: Miha Creative - stock.adobe.com)")