M 5.104 Konfiguration des TCP/IP-Filters beim IIS-Einsatz
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Ein Informationsserver sollte nur die Informationen zur Verfügung stellen, die erforderlich bzw. gewünscht sind. Aus diesem Grund ist ein TCP/IP-Filter zu konfigurieren, der die zugelassenen Dienste und Protokolle beschränkt. Die Konfiguration des TCP/IP-Filters erfolgt durch die Spezifikation, welche Ports auf jedem Netz erlaubt sind.
Unter Windows NT ist der Filter unter Systemsteuerung | Netzwerk | Protokolle | TCP/IP | Eigenschaften | Optionen | Sicherheit aktivieren | Konfigurieren für den TCP-Anschluss einzustellen.
Unter Windows 2000 ist der Filter unter Systemsteuerung | Netzwerk | Eigenschaften Netzwerkverbindung | Eigenschaften TCP/IP-Protokoll | Erweitert | Reiter Optionen | Eigenschaften TCP/IP-Filter einzustellen.
Die Konfiguration sollte wie folgt aussehen:
- TCP/IP-Filter aktivieren (alle Netzkarten)
- Zulassen der TCP-Ports 80, 443 (wenn HTTP über SSL eingesetzt wird) und aller weiteren benötigten Ports
- Die folgende Tabelle zeigt Beispiele für Protokolle und zugehörige Ports:
Protokoll | Port | Beschreibung |
---|---|---|
http |
80 |
HyperText Transfer Protocol |
ftp |
21 control |
File Transfer Protocol |
smtp |
25 |
Simple Mail Transfer Protocol |
nntp |
119 |
Network News Transfer Protocol |
https |
443 |
http über SSL |
ftps |
990 control 989 data |
ftp über SSL |
nntps |
563 |
nntp über SSL |
Tabelle: Protokolle und zugehörige Ports
Hinweis: Beim passiven FTP werden die Verbindungen sowohl für Kommando- als auch Datenkanal vom Client initiiert. Der Client baut dabei die Datenverbindung zu einem Port >1024 auf. Um den passiven Modus zu ermöglichen, sind folglich alle Ports >1024 freizuschalten. Eine größere Sicherheit für den Web-Server bietet der aktive Modus. Die Initiierung der Datenverbindung erfolgt vom Server, so dass nur die Freigabe des Ports 21 erforderlich ist.
- Keine User Datagram Protocol (UDP) Ports zulassen
-
Zulassen der IP-Protokollnummer 6 (TCP)
IP verwendet Protokollnummern, um empfangene Daten an das richtige Transportprotokoll weiterzuleiten. Die Protokollnummer ist ein einzelnes Byte im IP-Header. Die Protokollnummern sind im gesamten Internet einheitlich und sind im RFC 1700 definiert.
Hier einige Beispiele:
Protokoll | Port | Beschreibung | |
---|---|---|---|
ip |
0 |
IP |
# internet protocol, pseudo protcol number |
icmp |
1 |
ICMP |
# internet control message protocol |
igmp |
2 |
IGMP |
# internet group multicast protocol |
ggp |
3 |
GGP |
# gateway-gateway protocol |
tcp |
6 |
TCP |
# transmission control protocol |
pup |
12 |
PUP |
# PARC universal packet protocol |
udp |
17 |
UDP |
# user datagram protocol |
raw |
255 |
RAW |
# RAW IP interface |
Tabelle: Beispiele von Protokollnummern
Empfängt eine IP-Implementation ein Datenpaket, in dessen Header als Protokollnummer 6 eingetragen ist, so werden diese Daten an das Transmission Control Protocol (TCP) weitergeleitet. Ist die Nummer 17, werden die Daten an das UDP weitergeleitet.
Ergänzende Kontrollfragen:
- Wurden Protokolle und Dienste durch den TCP/IP-Filter unter Windows NT/2000 beschränkt?