dunadain 10 Geschrieben 20. Januar 2004 Melden Teilen Geschrieben 20. Januar 2004 Hallo, erstmal Glückwunsch an die Macher zu diesem tollen Forum, habe mich soeben angemeldet... Ich hab da ein Problem und hoffe auf Eure Hilfe: Ich soll mit einem Cisco 2620 Router ein internes Server-Subnetz (Alles Win NT Kisten) absichern. Bestimmte Dienste, wie z.B. DHCP, E-Mail, Fileserver, Web-Proxy, u.s.w., sollen nur auf den Ports erreichbar sein, auf denen der Dienst standardmäßig "horcht". So sollte z.B. der WEB-Proxy nur auf einem bestimmten Port (z.B. 8080) erreichbar sein. Verbindungen zu allen anderen auf den Servern offenen Ports sollen abgelehnt werden. Das ganze ist erst einmal ein Versuchsaufbau und wird nicht am Produktivnetz getestet. Nun zu meinen Problemen: -DHCP: Sollte kein Problem sein, "IP Helper" auf dem Router aktivieren und die Adresse des DHCP-Servers im Server-Subnetz angeben... -WEB-Proxy: Ist ja eigentlich nur ein Port, auf dem dieser erreichbar ist, sollte ich erweiterte ACL's und "established" konfigurieren? -E-Mail: Es handelt sich um einen MS Exchange Server, benutzt der eigentlich Port 25 und 110 für SMTP und POP3, oder sind da andere Ports im Spiel? -Fileserver: Jedem Benutzer wird bei der Domänenanmeldung ein Home-Verzeichnis zugewiesen, läuft das ganze über NetBIOS Ports 135-139? -Domänenanmeldung: Da hab ich gar keine Ahnung, läuft das über Broadcasts oder was für ein Port ist da im Spiel? Hat vielleicht jemand von euch etwas ähnliches mal machen müssen und kann mir bei der Konfiguration der ACL's für obengenannte Dienste helfen? Bin wirklich ein bißchen ratlos... Ich hoffe, ich habe im richtigen Forum gepostet... Vielen Dank erstmal, und ich hoffe auf viele Kommentare... Grüsse, Dunadain Zitieren Link zu diesem Kommentar
scooby 10 Geschrieben 20. Januar 2004 Melden Teilen Geschrieben 20. Januar 2004 Hi, ersteinmal herzlich willkommen in diesem Board. Zu deinem Problemen: Deine Lösungsansätze sind ziemlich gut. Ich schreibe einfahc mal dazu was ich denke. DHCP: Klar IP-helper Adress setzen und ab gehts. Web-Proxy: Port 8080 wenn dieser so eingestellt ist. Reicht dieser Port. E-Mail: 25 und 110 Fielserver:hmm.. gute Frage aber ich würde da nicht auf netbios tippen. Der client bekommt doch eine Ip-Adresse zugewiesen mit einem Rout verzeichnis oder bekommt der nur einen Computernamen zugewiesen von dem er sich die Daten holen soll? Domänanmeldung: Domain Name Service (53) würde ich sagen oder? Die Dienst die du nicht weißt, kannst du auch mit einem Sniffer raus bekommen. Heißt du hängst dich zwischen Server und Client und schaust welche Ports da hin und her geschickt werden. Zitieren Link zu diesem Kommentar
Ikke 10 Geschrieben 21. Januar 2004 Melden Teilen Geschrieben 21. Januar 2004 Moin, Bei NT 4.0 vielleicht auch Port 42 : nameserv, WINS nicht vergessen. Gruß Zitieren Link zu diesem Kommentar
dunadain 10 Geschrieben 22. Januar 2004 Autor Melden Teilen Geschrieben 22. Januar 2004 Hallo, Danke an Ikke und Scooby für die Tips... Scooby: Auf den Clients wird bei der Anmeldung eine Batchdatei abgearbeitet, unter anderem bekommen die Clients ihr Home-Laufwerk und noch ein paar andere Netzlaufwerke verbunden, das sollte aber doch über SMB und Ports 137-139 ablaufen, ich hab da mal mit "TCP-VIEW" von Sysinternals nachgeschaut Die Domänenanmeldung läuft glaub ich nicht über DNS, sondern auch über NET-BIOS, bin mir aber nicht ganz sicher... Hat hier jemand im Forum ein bißchen Erfahrung mit der Konfiguration von ACL's in diesem Fall, oder hat jemand ein paar Tips dazu auf Lager? Danke... Dunadain Zitieren Link zu diesem Kommentar
mr._oiso 10 Geschrieben 26. Januar 2004 Melden Teilen Geschrieben 26. Januar 2004 Hallo dunadain Alle benötigten Ports solltest Du hiermit erschlagen können ! Wobei Du bei LDAP auf Port 636, 3268 und 3269 bestimmt für erste verzichten kannst ! Ich schaue es aber gerne morgen nochmal in der Firma nach ! Client Port(s) Server Port Service 1024-65535/TCP 135/TCP RPC * 1024-65535/TCP/UDP 389/TCP/UDP LDAP 1024-65535/TCP 636/TCP LDAP SSL 1024-65535/TCP 3268/TCP LDAP GC 1024-65535/TCP 3269/TCP LDAP GC SSL 53,1024-65535/TCP/UDP 53/TCP/UDP DNS 1024-65535/TCP/UDP 88/TCP/UDP Kerberos 1024-65535/TCP 445/TCP SMB http://www.experts-exchange.com/Security/Win_Security/Q_20637629.html http://www.iana.org/assignments/port-numbers Gruss Mr._Oiso Zitieren Link zu diesem Kommentar
günterf 45 Geschrieben 26. Januar 2004 Melden Teilen Geschrieben 26. Januar 2004 Hi! Bei NT4 sollten für die Anmeldung auf jeden Fall NETBIOS und WINS Ports freigeschaltet sein. Zitieren Link zu diesem Kommentar
dunadain 10 Geschrieben 28. Januar 2004 Autor Melden Teilen Geschrieben 28. Januar 2004 Hi, Danke schön erstmal für Eure Beiträge, das hat mir schon mal sehr geholfen... Könnte vielleicht jemand eine Beispielkonfiguration einer ACL nur für einen bestimmten Dienst posten, an diesem Beispiel könnte ich mich dann für die übrigen Dienste/Ports orientieren und mich in die Materie einarbeiten?! Das wäre wirklich hilfreich... Danke und Grüße, Dunadain Zitieren Link zu diesem Kommentar
Ikke 10 Geschrieben 28. Januar 2004 Melden Teilen Geschrieben 28. Januar 2004 Hi, hab mal schnell 2 Link's in Deutsch rausgewühlt : http://www.noc.dfn.de/dokumente/tutorials/access-listen-primer.htm http://www.tregnaghi.de/download/Kapitel9%5BACLs%5D.pdf Sind glaub ich auch kleinere Beispiele dabei und erklärt. Ansonsten steht echt viel im Internet dazu, einiges auch hier im Board. Musst halt nach "Erweiterten Access Listen" suchen. Gruß Ikke Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.