Im Durchschnitt wird dieses Tutorial How to Windows Firewall mit 5 bewertet, wobei 1.0 die schlechteste und 5.0 die beste Bewertung ist. Es haben insgesamt 95 Besucher eine Bewertung abgegeben.
95 0

How to Windows Firewall

vom gridscale Team Firewall Windows
How to windows firewall

Darum Windows Firewall

Wie wichtig eine Firewall ist, beschrieb ich bereits im Artikel Linux Firewall. Da uns anschließend viele Anfragen erreicht haben, ob wir nicht auch einmal die Windows Firewall erklären könnten, werde ich genau das in diesem Artikel tun.

Die Windows Firewall ist in jedem modernen Windows Grundbestandteil und somit nicht deinstallierbar. Das ist auch gut so – denn heute ist man ohne Firewall Angriffen aus dem Internet schutzlos ausgeliefert. Eine Firewall filtert eingehende und ausgehende Pakete und/oder Programme. Hierdurch lässt sich genau festlegen, welche Verbindungen zugelassen werden und welche nicht.

Bei Computern im Heimnetzbetrieb ist die Situation nicht ganz so drastisch, da meist der heimische Router bereits eine Firewall mitbringt. Bei Servern allerdings, die meist direkt mit dem Internet verbunden sind und ihre eigene Public IP bekommen, sieht das alles etwas anders aus. Diese stehen häufig direkt und gezielt unter Beschuss. Daher ist es auch für erfahrene Administratoren häufig eine Herausforderung ihre Server abzusichern.

Ich schweife ab – lass mich dir zeigen, wie du die Windows Firewall korrekt einstellst!

Wie finde ich die Windows Firewall Einstellungen?

Zuerst brauchst du einen Zugang zum Server, dieser kann lokal oder via RDP stattfinden. Außerdem sollte der von dir benutze User Administrator-Rechte haben. gridscale User haben außerdem die Möglichkeit sich direkt über unsere VNC Konsole mit ihrem Server zu verbinden. Solltest du Dich also ausgesperrt haben, kommst du so wieder an deinen Server heran.

Wie du die VNC Konsole nutzt, zeige ich dir im Artikel How to gridscale.

Seit der Windows Version Server 2012 gibt es neben der gewohnten Systemsteuerung auch noch das neue Control Panel. Allerdings bleibe ich in diesem Artikel bei der immer noch gültigen Variante über die altbewährte “Systemsteuerung”.

Am einfachsten ist es über den “Ausführen”-Befehl. Öffne das Fenster mit der Tastenkombination [Win]+R.

Gebe anschließend wf.msc ein und bestätige mit Klick auf [OK].

Folgendes Bild sollte sich ergeben:

Firewall Manager

Im linken Menü findet du die Einstellungen für eingehende und ausgehende Regeln. Klicke zuerst einmal auf eingehende Regeln, da diese meist wichtiger sind.

Eingehende Regeln

Hier siehst du eine Liste an vordefinierten Regeln für ankommenden Datenverkehr. Diese, die mit einem grünen Haken gekennzeichnet sind, sind aktiviert, die anderen nicht.

Um eine neue Regel zu erstellen, klicke im Menü oben auf “Action” und “New Rule”. Anschließend öffnet sich folgendes Fenster:

Neu Regel

Unterschied zwischen Programm erlauben und Port erlauben

Um auf die Einstellungen der Firewall eingehen zu können, kommt zuerst noch etwas Hintergrundwissen.

Die Windows Firewall bietet die Möglichkeit Programme freizuschalten. Wenn ein Programm freigegeben wird, werden automatisch alle Ports, die das Programm verwenden möchte, in der Firewall freigegeben. Da das meistens nicht das ist, was man will, empfehle ich, die gewünschten Ports manuell freizugeben.

Eingehende und Ausgehende Ports

Wie auch bei der Linux Firewall wird immer zwischen eingehenden und ausgehenden Ports unterschieden.

Eingehende Ports sind die, auf denen Anfragen eingehen. Der Server antwortet dann – je nach Protokoll – auf dem entsprechenden ausgehenden Port oder auf einem zufälligen ausgehenden High-Port.

Stellt der Server eine Anfrage, beispielsweise um eine Webseite aufzurufen oder sich aktiv mit anderen Servern zu verbinden, wird daher ebenfalls ein ausgehender Port verwendet.

Zusammenfassend gesagt: Erstmal sollte alles blockiert werden. Programme, die tatsächlich genutzt werden, und dringend eine Verbindung zum Internet benötigen, können dann manuell freigegeben werden.

Um eine ausgehende Regel zu erstellen, wechsle links im Menü auf Ausgehende Regeln und klicke anschließend wieder auf “Action” und “New Rule”.

Pingen von Windows Servern erlauben

Zu den optional zu erlaubenen Features / Ports / Protokollen gehört auch die Echo Funktion. Diese antwortet auf “pings” von außerhalb – sofern in der Firewall erlaubt. Da viele Monitoring Systeme sich darauf beziehen ob der Server “pingbar” ist, empfiehlt es sich in den Meisten fällen dieses zu erlauben.
Dazu muss folgende Regel erlaubt werden:

  • “File and Printer Sharing (Echo Request – ICMPv4-In)” (für IPv4)
  • “File and Printer Sharing (Echo Request – ICMPv6-In)” (für IPv6)

Du wirst feststellen, dass die Regel mehrfach vorkommt. Der Unterschied ist die dazugehörige Group. Diese legt fest in welchem Bereich die Regel aktiv werden soll. Public erlaubt die Regel im öffentlichen Netzwerk, Domain nur innerhalb einer bestimmten Domäne Mehr zum Thema Domäne und Active Directory hier:

Womit wir zum eigentlichen Thema kommen: Wie erlaube und verbiete ich Regeln und wie Ports?

Regeln aktivieren und deaktivieren

Die Regeln aus dem Regelkatalog, unter anderem diese fürs Pingen, können mit Rechtsklick “enabled” (erlaubt/aktiviert) oder “disabled” (verboten/deaktiviert) werden. Achte beim aktivieren und deaktivieren immer darauf, ob es sich um die richtige Regel und die richtige Gruppe handelt.

Aktive Regeln überschreiben deaktivierte. Solltest du also eine zum Beispiel selbst angelegte Regel aktivieren, die zB das Pingen erlaubt und die Standard Regel ist deaktiviert, dann wird das Pingen funktionieren.

Ports manuell erlauben oder schließen

Um einzelne Ports freizugeben ohne sie an ein bestimmtes Programm zu binden, erstelle eine neue Regel und wähle im ersten Dialog “Port” aus.

Folge anschließend dem Wizard. Unterschieden wird hier zwischen UDP und TCP. Um andere Protokolle wie zB L2PT oder VRRP zu erlauben, wähle im Wizard Custom aus.

Parallelbetrieb von verschiedenen Firewall Lösungen

Der Parallelbetrieb von verschiedenen Firewall Lösungen ist grundsätzlich kein Problem, kann bei fehlerhafter Konfiguration aber zu einer ewigen Suche führen. Wichtig ist die Reihenfolge der Firewalls. Man sollte bei der Installation und bei der Erstellung der Architektur sich sicher sein, welche Firewall als erstes, als zweites (etc) greift.

Dabei negieren sich die Regeln. Das bedeutet wenn eine Firewall etwas erlaubt, die andere es allerdings verbietet, wird es am Ende nicht funktionieren. Alle Firewalls müssen auf dem gleichen Stand sein, um das gewünschte Ergebnis zu erzielen. Ausnahmen hier sind beispielsweise bereichsbezogene Regeln. Stelle dir folgendes Bild vor:

Element

Clients die über das Internet auf Server 1a connecten wollen, müssen durch die Firewall des Gateway Servers, die des Routers und durch die des Servers 1a. Dahingegen muss Server 1b nur durch die eigene, die des Routers und die des Zielservers. Durch solch ein Konstrukt ist es also möglich bestimmte Dienste nur innerhalb des geschlossenen Netzwerkes zu erlauben und nur für die Öffentlichkeit gewollte Zugänge in der Firewall des Gateway Servers zu erlauben. Webseiten, die auf Server 1a und 1b gehostet werden, könnten zum Beispiel von außen erreicht werden, ein RDP Zugriff ist aber zum Beispiel nur von einem zum anderen Server möglich.

Solche und ähnliche Konstrukte lassen sich bei gridscale ganz einfach abbilden – und das via Drag ‘n Drop! Probiere es aus, auf my.gridscale.io

IP Adressen „blacklisten“

Manchmal ist es notwendig eine IP auszuschließen oder bestimmte Dienste nur für bestimmte Source IPs freizugeben. Daher bietet die Windows Firewall an, bestimmte Dienste nur für bestimmte IPs zu erlauben oder zu verbieten.
Erstelle hierzu eine neue eingehende Regel.

Wähle im Wizard “Custom” aus. Und klicke auf Next. Auf der nächsten Seite kannst du festlegen ob die Regel an ein Programm gebunden werden soll oder nicht. Da ich in diesem Beispiel alles für bestimmte IPs blocken möchte, lasse ich hier “All programs” ausgewählt und gehe wieder auf next. Auf der nächsten Seite könnte ich die Regel auf ein bestimmtes Protokoll festlegen, ich lass hier aber auch bewusst wieder any und klicke auf next. Jetzt befindest du dich an der entscheidenden Stelle. Hier kannst du IP Pools (also zum Beispiel alle IPs von 1.1.1.0 bis 1.1.2.255) oder einzelne IPs wie zum Beispiel 123.123.123.123 sperren. [[Fun Fact, die IP 123.123.123.123 gehört dem Chinesischen Provider “China Unicom Beijing”]]
Trage die gewünschte(n) IP(s) ein und klicke auf Next. Im nächsten Schritt wählst du aus, was mit der Regel passieren soll. Hier wählst du “Block the connection” aus. So ist die IP komplett ausgeschlossen. Im nächsten Schritt kannst du noch festlegen, in welcher Gruppe die Verbindung gelten soll. Am Ende kannst du der Regel noch einen Namen geben.

Windows Firewall ein und ausschalten

Wenn keine andere Firewall zum Einsatz kommt (siehe nächster Punkt), ist es nicht empfehlenswert die Windows Firewall auszuschalten.
Allerdings kann es manchmal notwendig sein, um eine Fehlerquelle zu identifizieren. Das vollständige Deaktivieren der Windows Firewall sollte hier aber immer der letzte Zug sein.

Sollte sich der Verdacht zeigen, dass die Windows Firewall Verbindungen verbietet, die eigentlich erlaubt werden sollten, gebe zuerst die entsprechenden Programme und Ports manuell frei. Wenn es dann immer noch nicht funktioniert, kann die Firewall mit viel Vorsicht und nur für kurze Zeit deaktiviert werden. Andererseits ist der Server Angriffen aus dem Internet schutzlos ausgeliefert.

Um die Windows Firewall auszuschalten öffne wieder den Firewall Manager oder wechsle im linken Menü zurück auf “Windows Firewall with Advanced Security”, klicke anschließend auf “Windows Firewall Properties” (Siehe Screenshot) und wähle anschließend den Reiter für die Firewall, die du ausschalten möchtest. Anschließend wähle off als state aus und bestätige mit OK.

Firewall deaktivieren

Alternativen zur Windows Firewall

Alternativ zur Windows Firewall gibt es weitere Namhafte Software Lösungen die in ihrer Funktion allerdings meist identisch sind. Allerdings kann die Verwaltung und Konfiguration hier stark von der Windows Firewall abweichen. Hier gibt es unzählige Möglichkeiten von denen ich persönlich aber keine bestimmte empfehlen möchte – hier gilt es eine Alternative zu finden, die auf den jeweiligen Usecase zugeschnitten ist und das System nicht zu weit ausbremst.

Außerdem gibt es noch Hardware Alternativen. Diese sind getrennte Geräte, die zwischen das Netzwerk und dem Ziel Server geschaltet werden. Das klingt komplizierter als es ist. In diese Gruppe gehört zum Beispiel der heimische Router aber auch im Serverumfeld gibt es Gateway Server mit Firewall Funktion. Im Enterprise Umfeld werden außerdem oft eigens dafür entwickelte Hardware eingesetzt. Diese unterscheiden sich dahingehend, dass sie bereits mit einem passenden Betriebssystem ausgestattet sind, außerdem im Vergleich zu einem Standard Server meist mehrere Netzwerkports verfügen.

Bei gridscale kannst du dir deinen eigenen Gateway Server bauen. Mit einem Betriebssystem wie PfSense oder OPNSense kannst du dir einfach eine auf Linux basierende Firewall VM bauen. Dein Zielserver wird dann hinter diesem mit einem privaten Netzwerk verbunden, so dass der Server online ist und seine Dienste online bereitstellen kann, allerdings keine eigene Public IP hat.

Empfohlen Einstellungen

Wie eingangs erwähnt, ist es empfohlen, alles zu deaktivieren / zu sperren und nur Dienste zu erlauben, die man tatsächlich braucht. Damit Windows allerdings Standardfunktionen ausführen kann, wie Updates installieren, die Uhrzeit mit einem Online Zeitserver zu vergleichen oder eine simple Webseite zu öffnen so wie E-Mails abzurufen oder auch einfach übers Netzwerk zu drucken, gibt es die sogenannten Core Features. Diese sollten falls nicht zwingend erforderlich aktiviert werden. Falls der Serverzugriff aus der Ferne erfolgt sollte außerdem der RDP Zugriff erlaubt werden.

Hier eine Liste der Windows Standard Firewall Regeln, die aktiviert bleiben sollten um Windows vollständig nutzen zu können.

  • ICMPv4 und v6 zum pingen
  • Remote Desktop -Shadow, User Mode TCP und UDP für RDP Verbindungen
  • Core Networking (alle) um Core Features von Windows zu nutzen

Zusammenfassung

Noch nie waren so viele Systeme und Abläufe so abhängig von IT wie heutzutage und der Trend steigt weiter an. Das wiederum heißt aber auch, dass noch nie so viel von IT Sicherheit abhängig war wie heutzutage. Daher sollte jeder, der einen Server betreibt, der mit dem Internet verbunden ist, sich unbedingt mit dem Thema der IT Sicherheit vertraut machen. Eine einfache Firewall reicht da nicht aus. Um den Server noch sicherer zu machen, können noch weitere Maßnahmen ergriffen werden. Hierzu folgt demnächst ein weiterer Artikel.

Darum Windows Firewall Wie wichtig eine Firewall ist, beschrieb ich bereits im Artikel Linux Firewall. Da uns anschließend viele Anfragen erreicht haben, ob wir nicht auch einmal die Windows Firewall erklären könnten, werde ich genau das in diesem Artikel tun. Die Windows Firewall ist in jedem modernen Windows Grundbestandteil und somit nicht deinstallierbar. Das ist […]

Schade, dass dir der Artikel nicht gefallen hat.
Was sollten wir deiner Meinung nach besser machen?

Vielen Dank für dein Feedback!
Wir melden uns bei dir, sobald der Artikel zu deinem Wunschthema fertig ist.

Übrigens: kennst du schon unser Tutorial zum Thema Active Directory Forest auf Windows Server 2016 erstellen?

×

Entwickler?

Dann einfach hier für unsere Tutorial-Updates anmelden.
Keine Sorge: Wir spammen dich nicht zu