Paketfilter für Windows

Windows sicher machen

Kein Rechner ist wirklich dicht zu bekommen, aber mit Paketfiltern kommt man diesem Ziel schon sehr viel näher. Praktisch alle Firewall Konzpete basieren auf der Verwendung von Paketfiltern - aber eine externe Firewall braucht man bei Windows 2000 und XP eigentlich nicht, denn da ist bereits ein volltauglicher Paketfiltermechanismus dabei. Damit kann man sowohl Workstations als auch Server effektiv schützen. Wie das geht zeigt der folgende Beitrag. Von Thomas Wölfer.

Die Paketfilter-Strategie bei Windows ist sehr stark verwandt mit der, die von anderen Betriebssystemen bekannt ist und das wird auch schon durch den Namen 'IPsec' (IP Security) klargestellt. Allerdings wurde IPSec in Windows von Microsft recht gut versteckt - der Mechanismus befindet sich in den lokalen Sicherheitseinstellungen die auf den ersten Blick im Netzwerkbereich eigentlich für sichere Verbindungen zwischen zwei oder mehreren bekannten Rechnern gedacht sind. Das ist auch ein Teil der der gelieferten Funktionalität, aber mit den Sicherheitseinstellungen kann man auch Filter herstellen die für einen einzelnen Rechner gut sind.

Über die TCP-IP Einstellungen ist es bei NT, 2000 und XP ja möglich einzelne Ports für Verbindungen grundsätzlich zu sperren, allerdings ist das nicht sonderlich flexibel und stellt einen außerdem vor das Problem, das man bestimmte Sorten von Traffic nicht wirklich ausschalten kann. IPSec ist da deutlich leistungsfähiger: Durch die geschickte Anwendung von Regeln kann man damit jede Art von Traffic außer der gewünschten aussperren. Bei der Gelegenheit wird ein Rechner auch weitesgehend unsichtbar, denn auch ICMP ECHOs ( ping ) verschwinden dabei: Der Rechner antwortet auf derlei Anfragen einfach nicht mehr.

Im folgenden wird eine einfache Anwendung von IPSec beschrieben, die speziell auf einen Webserver zugeschnitten ist: Man kann aber nicht nur Webserver sondern alle möglichen Arten an Rechner mit IPSec schützen. Der Wesentliche Unterschied zwischen einem Webserver und einem anderen Rechner ist ja der, das ein anderer Rechner andere Arten an Traffic erlauben muss. Lässt man diese anderen Arten in den Filterregeln einfliessen, dann entsteht dadurch ein recht gelungener Schutz. Das im Folgenden beschriebene Vorgehen ist also eine Vorlage für den Schutz von Rechnern mit beliebigen Aufgaben.

Artikel kommentieren