Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 5.104 Konfiguration des TCP/IP-Filters beim IIS-Einsatz - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 5.104 Konfiguration des TCP/IP-Filters beim IIS-Einsatz

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Ein Informationsserver sollte nur die Informationen zur Verfügung stellen, die erforderlich bzw. gewünscht sind. Aus diesem Grund ist ein TCP/IP-Filter zu konfigurieren, der die zugelassenen Dienste und Protokolle beschränkt. Die Konfiguration des TCP/IP-Filters erfolgt durch die Spezifikation, welche Ports auf jedem Netz erlaubt sind.

Unter Windows NT ist der Filter unter Systemsteuerung | Netzwerk | Protokolle | TCP/IP | Eigenschaften | Optionen | Sicherheit aktivieren | Konfigurieren für den TCP-Anschluss einzustellen.

Unter Windows 2000 ist der Filter unter Systemsteuerung | Netzwerk | Eigenschaften Netzwerkverbindung | Eigenschaften TCP/IP-Protokoll | Erweitert | Reiter Optionen | Eigenschaften TCP/IP-Filter einzustellen.

Die Konfiguration sollte wie folgt aussehen:

 
Protokoll  Port  Beschreibung 

http

 

80

 

HyperText Transfer Protocol

 

ftp

 

21 control
20 data

 

File Transfer Protocol

 

smtp

 

25

 

Simple Mail Transfer Protocol

 

nntp

 

119

 

Network News Transfer Protocol

 

https

 

443

 

http über SSL

 

ftps

 

990 control 989 data

 

ftp über SSL

 

nntps

 

563

 

nntp über SSL

 

Tabelle: Protokolle und zugehörige Ports

Hinweis: Beim passiven FTP werden die Verbindungen sowohl für Kommando- als auch Datenkanal vom Client initiiert. Der Client baut dabei die Datenverbindung zu einem Port >1024 auf. Um den passiven Modus zu ermöglichen, sind folglich alle Ports >1024 freizuschalten. Eine größere Sicherheit für den Web-Server bietet der aktive Modus. Die Initiierung der Datenverbindung erfolgt vom Server, so dass nur die Freigabe des Ports 21 erforderlich ist.

 
Protokoll  Port  Beschreibung 

ip

 

0

 

IP

 

# internet protocol, pseudo protcol number

 

icmp

 

1

 

ICMP

 

# internet control message protocol

 

igmp

 

2

 

IGMP

 

# internet group multicast protocol

 

ggp

 

3

 

GGP

 

# gateway-gateway protocol

 

tcp

 

6

 

TCP

 

# transmission control protocol

 

pup

 

12

 

PUP

 

# PARC universal packet protocol

 

udp

 

17

 

UDP

 

# user datagram protocol

 

raw

 

255

 

RAW

 

# RAW IP interface

 

Tabelle: Beispiele von Protokollnummern

Ergänzende Kontrollfragen: