Win2K server TCP/IP filtering rules

Ok, je hebt port 80 dus op Permit gezet? Heb je dat zowel voor TCP als voor UDP gedaan?

Lijst met veel gebruikte poorten kun je in de FAQ van Network troubleshooting vinden. Verder zou ik een fatsoenlijke firewall installeren ipv die 'opties' die bij Windows zitten. Persoonlijk raad ik BlackIce Defender van Network Ice aan.

Op zondag 23 december 2001 19:24 schreef cherberos het volgende:Persoonlijk raad ik BlackIce Defender van Network Ice aan.

BlackICE is geen firewall, maar een Intrusion Detection System, en da's iets héél anders.

Filtering lijkt mij toch *de* manier om te vuurmuren.
Ik ken de optiein W2K niet, maar BorderManager werkt ook met filters.
Zorg eerst (indein at dus kan) dat je ALLES denied, en ga verolgens stuk voor stuk filteren wat je wel wilt.

Den hierbij aan:

80 HTTP (zowel naar binnen als buiten indien je een webserver draait)
443 SSL
25 110 21

Op zondag 23 december 2001 17:47 schreef SupaFly het volgende:
Wie heeft er ervaring met de TCP/IP filtering optie die Win2000 server biedt?

Is niet erg flexibel, je kunt nl. niet bij meerdere netwerkinterfaces er 1 aanwijzen waarop gefilterd moet worden.

Probeer ISA eens... alles opslot en toch alle optie's en protocollen richting internet..

Zoals ik jouw situatie zie zou ik het voldende doen om de beveiliging op een acceptabel niveau te brengen;

1 Ingebouwde TCP/IP filtering vergeten.
2 Firewall software installeren en laten filteren op de interface waar alleen je ADSL modem is aangesloten.

Op zondag 23 december 2001 19:26 schreef wildhagen het volgende:

[..]

BlackICE is geen firewall, maar een Intrusion Detection System, en da's iets héél anders.

Uhmm, BlackIce kan zeker wel als firewall dienst doen, en is beter in te stellen dan die W2k TCP/UDP filters. Het is idd geen 'full-featured' firewall zoals checkpoint one oid, net zoals het ook geen 'full-features' IDS zoals Snort is, maar voldoet redelijk als alternatief voor dat ingebouwde spul van Windows.
dus...

IMHO is dat je om je beveiliging op een acceptabel niveau te brengen het met allebei echt niet gaat redden. Dus hierdoor valt BlackIce toch af

http://bluenote.eclectiq.net/reference/tcpports.html

scannen gaat het beste met nmapNT (windows variant van het bekende unix programma):

http://www.eeye.com/html/Research/Tools/nmapNT.html

(commandline tool, veel opties, maar ERG goed)

Ook interessant:

http://neworder.box.sk/

Op zondag 23 december 2001 17:47 schreef SupaFly het volgende:
[...]
Ik heb dit al geprobeerd maar ik kreeg geen verbinding tot internet (wel ip nummer pingen) dus uiteindelijk alles maar weer open gezet. Wie heeft er een lijst met poorten die standaard door TCP en UDP gebruikt worden om toegang tot internet te verschaffen?

Waarschijnlijk heb je poort UDP 53 dicht staan. Die is vereist voor DNS. Dus ingaande UDP poort 53 open zetten

Op vrijdag 28 december 2001 11:06 schreef bolke het volgende:
Waarschijnlijk heb je poort UDP 53 dicht staan. Die is vereist voor DNS. Dus ingaande UDP poort 53 open zetten

Ik heb hetzelfde probleem: zodra ik UDP-filters aanzet kan ik geen DNS meer gebruiken, ook al zet ik poort 53 open. Erg lastig, want er worden zo geen hostnames gevonden.

Je hebt dus UDP 53 zowel inbound als outbound open staan??
_{Je had ook een nieuw topic kunnen aanmaken hoor}

Op woensdag 13 februari 2002 10:52 schreef Koffie het volgende:
Je hebt dus UDP 53 zowel inbound als outbound open staan??

Bij de standaard Windows 2000 filtering rules kun je alleen maar 'permit all' (alles toestaan)en 'permit only' (alles weigeren, behalve...) aangeven. Niet of het in- of outbound is. In principe gaat het namelijk alleen op het inbound verkeer, zoals ik het begrepen heb.
Als ik tcp op 'permit only' zet en geen enkele poort open laat, werkt DNS nog wel.
Maar zodra ik udp op 'permit only' zet, kan windows 2000 geen enkele hostname vinden. Ook al zet ik poort 53 open.

_{Je had ook een nieuw topic kunnen aanmaken hoor}

Sja... ik UTFS altijd eerst (maar vergeet soms naar de datum te kijken).

je kan bij RRAS bij general per interface outbound en inbound rules opgeven. Zo kan je alles laten droppen behalve wat binnenkomt op UDP 53 bijv.

Op woensdag 13 februari 2002 13:37 schreef Muppet het volgende:
je kan bij RRAS bij general per interface outbound en inbound rules opgeven. Zo kan je alles laten droppen behalve wat binnenkomt op UDP 53 bijv.

Ah, maar de RRAS heb ik in principe niet nodig op die server. En aangezijn de Server Service uitgeschakeld is, kan ik ook niks met RRAS...
En in de Pro versie is er geen RRAS en speelt dit probleem ook.

Gewoon Ipsec gebruiken in W2K , zit er niet voor niks.

Start -> Run -> secpol.msc

ALs je het niet begrijpt dan maar simpel firewalletje installeren lijkt me.