IP-Tunnel auf Windows: Sicherheitsvorkehrungen - KB 81497: Tipps zu IP-Tunnel-Konfigurationsanleitungen - Internet ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
KB 81497: Tipps zu IP-Tunnel- Konfigurationsanleitungen IP-Tunnel auf Windows: Sicherheitsvorkehrungen Stand 18.03.2021, 17:55:15 Version 605385f3 Referenz-URL https://www.internet-xs.de/kb/81497 PDF-URL https://www.internet-xs.de/kb/Internet-XS_KB-81497-605385f3.pdf
Inhalt
Einleitung ...................................................................................................................................................... 3
......................................................................................................................................................................... 4
.......................................................................................................................................................... 4
......................................................................................................................................................................... 4
NetBIOS deaktivieren ................................................................................................................................... 5
© 2021 Internet XS Service GmbH. Alle Rechte vorbehalten. 2Einleitung Falls Sie einen IP-Tunnel direkt auf einem Windows-Server einrichten, muss sich die Windows-Firewall um die Filterung des eingehenden Traffics kümmern. Diese Art der Konfiguration wird nur für erfahrene Windows-Administratoren empfohlen. Zielgruppe: Nutzer, die einen IP-Tunnel direkt auf einem Windows-Betriebssystem einrichten und für diesen Zweck einen VPN-Client (OpenVPN, L2TP, PPTP...) direkt auf dem Windows-Betriebssystem konfigurieren. Alle Arbeiten geschehen auf eigene Gefahr. Für Schäden an Soft- und Hardware sowie für Ausfälle Ihrer Infrastruktur sind Sie selbst verantwortlich. Wir können keine Unterstützung für nicht von uns getestete Szenarien, Hardware, Software und Betriebssysteme anbieten. Alle Anleitungen setzen ein Blanko- bzw. minimal konfiguriertes System voraus und sind als eine mögliche Konfigurationsvariante zu verstehen, die ggf. an Ihr lokales Umfeld und Ihre Anforderungen angepasst werden muss. Bitte beachten Sie immer die Sicherheitshinweise in der Bedienungsanleitung des Herstellers, besonders zum Betrieb von Hardware, dem Aufstellungsort und Betriebstemperaturen. Führen Sie Tests nicht in Produktivumgebungen durch. Testen Sie die Lösung ausgiebig, bevor Sie sie produktiv einsetzen. IT- Systeme sollten nur von qualifiziertem Personal konfiguriert werden. Als Administrator müssen Sie selbst abwägen, ob unsere Produkte und Dienstleistungen für Ihren Anwendungszweck und die gewünschte Verfügbarkeit geeignet sind, oder nicht. Führen Sie Änderungen nicht über eine entfernte Verbindung (Remote-Verbindung) durch. Verwenden Sie stets sichere Passwörter, ändern Sie Standard- Passwörter umgehend ab. In einer PDF-Datei können Zeilenumbrüche innerhalb von Code-Blöcken vorhanden sein, da die Seitenbreite begrenzt ist. Bitte verwenden Sie für Copy & Paste im Zweifelsfall ein Editor-Programm als Zwischenritt und entfernen Sie unerwünschte Zeilenumbrüche. © 2021 Internet XS Service GmbH. Alle Rechte vorbehalten. 3
Prüfen, ob sich das VPN-Interface in der Zone
“Öffentlich” (“Public”) befindet
Prüfen Sie im Netzwerk- und Freigabecenter oder mittels Powershell:
Powershell öffen
Get-NetConnectionProfile eingeben
In der Liste taucht die VPN-Verbindung auf wie z.B.:
Name : Netzwerk 3
InterfaceAlias : LAN-Verbindung
InterfaceIndex : 9
NetworkCategory : Public
IPv4Connectivity : LocalNetwork
IPv6Connectivity : LocalNetwork
Wichtig ist, dass als NetworkCategory Public eingestellt ist. Nur wenn als NetworkCategory
Public eingestellt ist, greifen die entsprechenden Regeln aus der Windows-Firewall, die in der Zone
Öffentlich (= Public) viel restriktiver sind, als in der Zone Private.
Ob es sich dabei wirklich um das VPN-Interface handelt ist aus den Adaptereinstellungen ersichtlich, z.B. bei
virtuellen Netzwerkadaptern des OpenVPN-Clients sind diese so bezeichnet:
LAN-Verbindung; Netzwerk 3; TAP-Windows Adapter V9
Firewall-Zone ändern
Falls sich das VPN-Interface nicht in der Firewall-Zone “Öffentlich” bzw. “Public” befindet, kann das Profil mit
diesem Powershell-Befehl geändert werden (Achtung: Die Powershell muss als Administrator ausgeführt
werden):
Set-NetConnectionProfile -InterfaceIndex 9 -NetworkCategory Public
-InterfaceIndex muss durch die Zahl aus dem Befehl “Get-NetConnectionProfile” ersetzt werden.
Firewall-Einstellungen prüfen / aktivieren
Nachdem Sie sichergestellt haben, dass sich der TAP-Windows Adapter V9 in der Firewall-Zone
Öffentlich befindet muss noch geprüft werden, ob die Windows-Firewall für die Zone Öffentlich auch
aktiviert ist.
1. Öffnen Sie die Systemsteuerung.
2. Wählen Sie oben rechts die Ansicht Kleine Symbole aus.
3. Klicken Sie auf Windows Firewall bzw. Windows Defender Firewall
4. Klicken Sie links auf Erweiterte Einstellungen
5. Klicken Sie im linken Fensterbereich auf Windows Defender Firewall mit erweiterter Sicherheit auf
Lokaler Computer
© 2021 Internet XS Service GmbH. Alle Rechte vorbehalten. 46. Prüfen Sie, ob im Bereich Öffentliches Profil diese Einstellungen aktiv sind:
Die Windows Defender Firewall ist aktiviert
Eingehende Verbindungen, für die es keine Regel gibt, werden blockiert.
Ausgehende Verbindungen, für die es keine Regel gibt, werden zugelassen.
Für mehr Sicherheit können Sie diese Einstellung auf “blockiert” ändern und alle
ausgehenden Verbindungen manuell erlauben.
NetBIOS deaktivieren
Um NetBIOS-Pakete auf dem TAP-Interface zu deaktivieren, muss folgendes getan werden:
In den Adaptereinstellungen:
1. Rechtsklick auf LAN-Verbindung (kann auch anders lauten, es steht in hellgrau aber “TAP-Windows
Adapter V9” darunter)
2. Eigenschaften
3. Internetprotokoll Version 4 (TCP/IPv4) anklicken
4. Eigenschaften
5. Unten Erweitert…
6. Reiter WINS
7. LMHOSTS-Abfrage aktivieren: Kontrollkästchen deaktivieren
8. NetBIOS-Einstellung: NetBIOS über TCP/IP deaktivieren
© 2021 Internet XS Service GmbH. Alle Rechte vorbehalten. 5Impressum Verantwortlich für die Inhalte in diesem Dokument: Internet XS Service GmbH Internetagentur Heßbrühlstr. 15 70565 Stuttgart Telefon: 07 11/78 19 41 - 0 Telefax: 07 11/78 19 41 -79 E-Mail: info@internet-xs.de Internet: www.internet-xs.de Geschäftsführer: Helmut Drodofsky Registergericht: Amtsgericht Stuttgart Registernummer: HRB 21091 UST.IdNr.: DE 190582774 Alle Preise, sofern nicht ausdrücklich anders gekennzeichnet, inkl. gesetzlich geldender deutscher MwSt. Angebote, sofern nicht ausdrücklich anders gekennzeichnet, gültig bis 4 Wochen nach Zusendung / Abruf. Die Weiterverbreitung dieses Dokuments, der darin befindlichen Inhalte, auch nur Auszugsweise, ist nur mit ausdrücklicher Genehmigung der Internet XS Service GmbH gestattet. © 2021 Internet XS Service GmbH. Alle Rechte vorbehalten. 6
Sie können auch lesen
