Startseite 
 1. Windows-Firewall 
 Eingehende Verbindungen 
 Ausgehende Verbindungen 
 2. Netzwerkzugriffsschutz (NAP) 
 IPSec Verbindungssicherheit 
 802.1X Zugriffspunkte 
 DHCP Server 
 VPN Server 

Windows-Firewall und Netzwerkszugriffsschutz

Windows-Firewall Netzwerkzugriffsschutz (NAP)
Weitere Verteidigungslinie in der Absicherung eines Netzwerks können mit der Windows-Firewall  und der Einrichtung des Netzwerkzugriffsschutzes eingerichtet werden.
Die Windows-Firewall ist standardmäßig so eingerichtet, dass eingehender Verkehr geblockt wird,  während ausgehender Verkehr erlaubt wird. Im Sicherungssystem über den  Netzwerkszugriffsschutz ist ein gestaffeltes und differenzierndes Bündel von  Sicherungsmechanismen umsetzbar.
NAP - Network Access Protection
SHA - System Health Agent
SoH- Statement of Health
SSoH - System Statement of Health
HRA - Health Realibility Agent

1. Windows-Firewall
Die Windows-Firewall analysiert den Datenaustausch an den Schnittstellen zum öffentlichen Netz  und filtert diesen Verkehr auf der Basis der vorhandenen oder selbst definierten Filterregeln.
Mit Firewallprofilen ist es möglich unterschiedliche Stufen der Filterung aufzubauen. Dabei gibt es  drei maßgebliche Profile.
  • Domäne - dieses Profil kommt zum Einsatz, wenn ein Computer Mitglied einer Domäne ist und  ein Domänencontroller erreichbar ist.
  • Privat - die Einstellung "Privat" für ein Netzwerk muss explizit eingerichtet werden.
  • Öffentlich - wenn kein Domänencontroller verfügbar ist, ist die Profileinstellung "Öffentlich" die  Standardeinstellung.
In der Einstellung "Öffentlich" wird generell kein eingehender Verkehr zugelassen, während es in  den Einstellungen "Domäne" und "Privat" möglich ist einige eingehende Verbindungen zuzulassen,  etwa zur Drucker- oder Dateifreigabe. Es ist auch möglich einzelne Ports für eingehende  Verbindungen offenzuhalten.
Auch hier ist es möglich Filter mit den bekannten Abstufungen zu erstellen. Verbindungen  zulassen - alle Verbindungen werden erlaubt - Verbindungen zulassen, wenn sie sicher sind, d.h.  wenn die Verbindung mit IPsec geschützt ist und den Filterregeln entspricht wird sie erlaubt. Dabei  ist es auch möglich die Regeln zum Blocken ausser Kraft zu setzen und die Regel  "Verschlüsselung ist für die Verbindung erforderlich" festzulegen. Ebenso ist es möglich die  Filteraktion "Verbindung blocken" als als Firewallregel zu definieren. 
Es ist möglich die Protokollierung der Anwendung der Firewallfilter einzuschalten und anzupassen.  Die entsprechende Protokolldatei wird unter: \System32\LogFiles\Firewall\pfirewall.pfg gespeichert.

Eingehende Verbindungen
n der Einstellung "Öffentlich" wird generell kein eingehender Verkehr zugelassen, während es in  den Einstellungen "Domäne" und "Privat" möglich ist einige eingehende Verbindungen zuzulassen,  etwa zur Drucker- oder Dateifreigabe. Es ist auch möglich einzelne Ports für eingehende  Verbindungen offenzuhalten.
Auch hier ist es möglich Filter mit den bekannten Abstufungen zu erstellen. Verbindungen  zulassen - alle Verbindungen werden erlaubt - Verbindungen zulassen, wenn sie sicher sind, d.h.  wenn die Verbindung mit IPsec geschützt ist und den Filterregeln entspricht wird sie erlaubt. Dabei  ist es auch möglich die Regeln zum Blocken ausser Kraft zu setzen und die Regel  "Verschlüsselung ist für die Verbindung erforderlich" festzulegen. Ebenso ist es möglich die  Filteraktion "Verbindung blocken" als als Firewallregel zu definieren.

Ausgehende Verbindungen
Standardmäßig wird jeglicher ausgehender Verkehr erlaubt. Mitunter ist es aber nötig hier  Einschränkungen vorzunehmen, etwa um die Weiterverbreitung von Malware zu unterbinden oder  die Versendung vertraulicher Daten zu unterbinden.
Jedoch kommen einige Filteranwendungen für Kernnetzwerkdienste zur Anwendung, deren  Übermittlung in ein externes Netz sinnlos bis gefährlich ist. Dies betrifft:
DHCP-Anforderungen
DNS-anforderungen
Gruppenrichtlinienkommunikation
IGMP (Internet Group Management Protocol)
IPv6 und zugehörige Protokolle (betrifft nicht die globalen Adressen von IPv6)

2. Netzwerkzugriffsschutz (NAP)
Mit NAP wird den Clients, die Zugang zum Netzwerk suchen, ein Gesundheitszeugnis in Form  eines Intergritätszertifikats erteilt. Je nachdem welche Einstellungen vorgenommen werden ist es  möglich nur "gesunden" Clients, die die Gesundheitsprüfung bestanden haben, Zugang zu  Netzwerkressourcen zu erlauben, "erkrankte" clients in ein Wartungsnetzwerk einzuweisen oder  infizierten Clients den Zugang generell zu verweigern.
Dazu ist es nötig eine Stelle zur Gesundheitsprüfung festzulegen, die auch über eine ausgewiesen  Autorität verfügen muss und die ein für alle verständliches Gesundheitszeugnis/Zertifikat ausstellen  kann. Dazu dient NAP - Network Access Protection. Es gibt hier 4 verschiedene Instanzen, die  NAP erzwingen können:
IPSec-Verbindungssicherheit
802.1X-Zugriffspunkte
VPN-Server
DHCP-Server

IPSec Verbindungssicherheit
Wie üblich ist IPSec nur verfügbar für Clients, die IPSec unterstüzten. Hier müssen die Clients eine  Integritätsprüfung bestehen und bekommen ein Integritätszertifikat ausgestellt, das ihnen Zugriff auf  die Netzwerkressourcen erlaubt. Die IPSec-Erzwingung läßt sich für einzelne IP-Adressen  bestimmen, wie auch für TCP-Portnummern.
Hier wird eine Zertifizierungsstellen (Certification Authority CA) benötigt und NAP muss  Integritätszertifikate unterstützen.

802.1X Zugriffspunkte
Hier werden Ethernetswitches und Access Points unterstützt, die 802.1X Erzwigung zulassen.  "Gesunden" Clients wird der Netzwerkzugang erlaubt, "erkrankte" Clients kommen ins  Krankenhaus (Wartungsnetzwerk) oder müssen draussenbleiben.
Zwei Möglichkeiten sind dabei verfügbar - ACL (Zugriffssteuerungsliste/Access Control List) und  VLAN (Virtual Local Area Network)
ACL - mit der Zugriffssteuerungsliste läßt sich verhindern, dass infizierte Rechner untereinander  Verbindung aufnehmen. ACL unterwerfen normalerweise infizierten Rechner der Zugriffssteuerung,  während gesunde Rechner vollen Zugriff erhalten.
VLAN - Zuweisung in eine Wartunsnetzwerk ist mit VLAN möglich. Danach muss die Zuweisung  allerdings wieder geändert werden.

DHCP Server


VPN Server

Seitenanfang