IPSec in Windows 2003
RDP freigeben
Der Windows Remote Desktop wird wie der Terminal Server über RDP (Remote Desktop Protocol) angesteuert und verwendet im Allgemeinen den Port 3389. Sofern Sie diesen Port in den Einstellungen des Terminal Servers nicht verändert haben, ist das auch die Portnummer, die Sie gleich benötigen.
Um den Filter weiter zu definieren, klicken Sie nun erneut auf den "Add"-Button, um den IP-Filter-Wizard zu starten. Hier können Sie zunächst eine Beschreibung eingeben und festlegen, ob die Regel gespiegelt werden soll (mirrored), also automatisch in beide Richtungen gilt. Für die RDP-Regel wählen Sie "Yes".
Im nächsten Schritt erfragt der Wizard die Quelladresse der Verbindung. Die Regel soll ja Traffic von Ihrer Workstation zum Webserver erfassen. Als Quelladresse geben Sie also die Adresse Ihrer Workstation an, beziehungsweise die öffentliche IP-Adresse unter der die Workstation im Internet sichtbar ist. Das kann also auch die öffentliche Adresse Ihres Internet-Gateways sein. Als Option wählen Sie "Spezifische IP-Adresse".
Im nächsten Schritt erfragt der Wizard die Zieladresse. Hier wählen Sie die Option "Meine Adresse" (My Address) aus, da der Webserver ja als Endpunkt dienen soll und Sie diese Regel auf dem Webserver erstellen.
Im nächsten Schritt erfragt der Assistent das verwendete Protokoll. RDP taucht dabei einfach in der Liste der auswählbaren Protokolle auf. Damit ist der Wizard fast abgeschlossen. Auf der Seite zum Fertigstellen befindet sich aber erneut eine Option zum Bearbeiten der Eigenschaften: Diese Option schalten Sie aus, denn Sie haben bereits alle Einstellungen vorgenommen.
Danach befinden Sie sich dann wieder auf dem Dialog für die IP-Filter-Liste. In der Listbox wählen Sie die soeben erstellte Liste aus und gehen dann zum nächsten Schritt im Assistenten für die Sicherheitsregeln. Hier wählen Sie eine Filteraktion für den Filter aus. Von Haus aus sind einige Aktionen vordefiniert - zwei davon sind die Aktionen "Blockieren" (Block) und "Zulassen" (Allow).
Für den lokalen RDP-Traffic wählen Sie also die Regel "Allow" aus, denn Sie möchten ja Ihre eigenen Remote-Desktop-Verbindungen zum Webserver zulassen. Nun brauchen Sie nur noch zwei weitere der noch offenen Dialoge mit OK zu schließen, damit der erste Teil Ihrer Sicherheitsregel vollständig definiert ist. Die Regel ist aber bisher noch nicht sehr hilfreich. Letztlich erlaubt sie nur explizit RDP von Ihrer Workstation zum Server - aber sie schränkt keinerlei Traffic ein. Zudem müssen Sie die Sicherheitsregel noch so erweitern, dass der Zugriff auf den Port 80 von beliebigen Quelladressen aus erlaubt wird. Ansonsten kann der Server nicht verwendet werden.
Beide Filter sollten aber mit dem bisher exemplarisch durchgespielten Vorgehen kein großes Problem darstellen. Im Wesentlichen brauchen Sie die gleichen Schritte wie die zuvor erläuterten. Dabei müssen Sie im Falle des Webservers ebenfalls die Kommunikation erlauben, allerdings nicht nur von der lokalen Workstation, sondern von allen Rechnern, die den Webserver erreichen dürfen. Im Normalfall werden das einfach alle Rechner sein - also beliebige IP-Adressen. Den restlichen eingehenden Traffic - egal von welchem Rechner aus - blockieren Sie dann noch. Damit ist der Rechner dicht.