Ich hatte immer Probleme, Firewall-Portinformationen für einige Windows-basierte Software/Dienste zu finden. Zum Beispiel:http://support.microsoft.com/kb/832017gibt mir die Ports, aber es gibt keine Unterscheidung zwischen INTERN (z. B. LAN) und EXTERN (zum Internet). Die Firewall-Konfiguration vom Desktop zum AD-Server wird zweifellos anders sein als von AD-Server zu AD-Server und natürlich vom AD-DNS-Server zum Internet.
Ich möchte die Schnittstellen zwischen meinen Desktop-Computern und meinen Servern und dann auch zwischen den Servern (AD zu AD usw.) sperren.
Ich habe eine Hardware-Firewall zwischen den Desktops und Servern und auch im Server-Switch ist eine Firewall integriert.Ich möchte mit KEINEN zulässigen Ports beginnen und dann nur das öffnen, was zum Ausführen der Dienste auf jedem Server erforderlich ist.Ich habe viele SQL Server-, AD-, DNS-, Exchange-, Terminal Services- usw.-Server und jeder hat eine leicht andere Portkonfiguration, je nachdem, ob er mit dem Internet (Exchange, DNS) oder den lokalen Servern (Active Directory-Replikation, CIFS-Freigaben) bzw. Desktops (SQL Server, Terminal Services) kommuniziert.
Um es ein wenig allgemeiner (und für andere nützlicher) zu gestalten, hoffte ich, wir könnten eine Liste aller gängigen Windows-Apps/-Dienste und der erforderlichen Ports zum Internet/DMZ (eingehend/ausgehend), zum „vertrauenswürdigen“ LAN (Server zu Server) (eingehend/ausgehend) und dann zum nicht vertrauenswürdigen LAN (Server zum Desktop) erhalten.
Lassen Sie mich mit ein paar beginnen. Fügen Sie sie bitte der Liste hinzu. Geben Sie bitte auch an, ob es sich um einen „Standard“-Dienst in Windows handelt oder nicht (Exchange ist das beispielsweise nicht, SMB hingegen schon).
Einige habe ich gezogen aushttp://support.microsoft.com/kb/832017 http://technet.microsoft.com/en-us/library/bb124075(EXCHG.65).aspx
Remote Desktop - default if enabled
DMZ - None (usually)
T LAN - 3389 (TCP IN/OUT)
U LAN - None (or selected desktops; IT support etc.)
NT - NetBIOS - default if enabled
DMZ - None
T/U LAN - 137, 138 (UDP I/O), 139 (TCP I/O)
SMB - default
DMZ - None
T/U LAN - 445 (TCP I/O) ?
DNS - only if installed within AD
DMZ - 53 (TCP/UDP O)
T/U LAN - 53 (TCP/UDP I/O)
Antwort1
Ihre Frage ist nicht ganz klar, aber ich werde mein Bestes tun …
Man sollte bedenken, dass jedes Programm jeden beliebigen Port verwenden kann. So können Spyware und Malware in manchen Umgebungen gedeihen ... indem sie gängige, bekannte Ports verwenden und sich als etwas anderes ausgeben.
Ein weniger bösartiges Beispiel wäre das Skype-Programm, das zwar versucht, einen zu verwendenden Port zu finden, aber notfalls letztendlich die Ports 80 (HTTP-/Web-Port) und 443 (SSL-Port) verwendet.
In diesem Sinne sollten Sie mit einem Programm wie nmap oder Nessus usw. (davon gibt es SEHR VIELE) einen Scan der betreffenden PCs durchführen, um herauszufinden, welche Ports geöffnet sind, und dann entscheiden, wie Sie Ihre Firewall einrichten möchten.
Hier ist ein Link zu allgemeinen Portzuweisungen, um Ihnen einen Anhaltspunkt dafür zu geben, was MÖGLICHERWEISE auf diesem Port läuft:
http://technet.microsoft.com/en-us/library/cc959833.aspx
Beispielsweise wird Port 53 häufig für DNS verwendet. Wenn Sie DNS nicht benötigen oder auf diesem Computer kein DNS-Server ausgeführt wird, können Sie ihn blockieren.
In diesem Zusammenhang sollten Sie auch sicherstellen, dass Ihr Server keine Dienste ausführt, die er nicht ausführen muss. Wenn Sie sehen, dass Port 53 auf Ihrem Server offen ist und Sie einen DNS-Server (den Sie nicht verwenden) laufen haben, schalten Sie ihn AUS. ;-)
Hoffe das hilft.
Antwort2
Ich stimme KPWINC hinsichtlich der Ports zu, jeder kann jeden Port verwenden. Wenn Ihr Ziel der Schutz Ihrer Server ist, würde ich eine Hardware-Firewall zwischen Ihren Benutzern und Servern platzieren und sicherstellen, dass sie Proxys hat, die sie auf den Ports ausführen kann, die geöffnet sein müssen. Auf diese Weise kann die Firewall erkennen, ob es sich bei dem Datenverkehr über Port 80 um HTTP-Datenverkehr handelt, und ihn löschen, wenn dies nicht der Fall ist. Wir verwenden einen Watchguard X1000, der diese Aufgabe für uns erledigt, aber ich weiß, dass es auch andere gibt.
Und ja, ich höre schon einige Leute sagen: „Aber Viren können ihren Datenverkehr wie HTTP aussehen lassen.“ Stimmt, aber dann muss Ihr Server auch mit dem HTTP-Dienst angreifbar sein.