|
|
Eingehende ping-Anfragen zulassenDie Informationen in diesem Artikel beziehen sich auf:
Standardmäßig kann man die externe Schnittstelle des ISA Servers direkt nach der Installation nicht anpingen. Das liegt daran, wie der ISA mit ICMP Paketen umgeht. Sie werden alle verworfen. In den meisten Fällen gibt es auch keine Notwendigkeit, dies zu ändern. Sagen wir, es ist ein weiteres kleines Sicherheitsfeature - nicht spektakulär, aber wirksam, denn dadurch wird der ISA Server zuerst einmal versteckt. Sofern keine Veröffentlichungsregeln erstellt wurden, ist der ISA Server von außen durch Scans nicht sichtbar und somit nicht angreifbar. Sofern natürlich Veröffentlichungsregeln eingesetzt werden, ist der ISA wieder durch gezielte Portscans verwundbar, aber das ist nicht Bestandteil dieses Artiekls. Dazu gibt es auf dieser Website andere Artikel. Es gibt kaum Anwendungsfälle, bei denen eine Firewall angepingt werden können muss. Daher auch meine Empfehlung, nur in Ausnahmefällen dieses Verhalten ändern. Die Konfiguration des ISA Servers für die Annahme und Beantwortung externer ping-Anfragen ist fast so einfach wie Ping ausgehend. Von Haus nimmt der ISA Server keine externen pings an:
Es muss ein neuer IP-Paketfilter erstellt werden:
Schauen wir uns die Eigenschaften des Filters etwas genauer an: Nach wenigen Sekunden (ca. 5-10) ist das Ergebnis sichtbar:
Die oben beschriebene Vorgehensweise sorgt dafür, dass man die erste eingetragene IP-Adresse anpingen kann. Wenn man jedoch eine zusätzlich vorhandene externe IP des ISA pingen können möchte, sind folgende Schritte notwendig: Es muss wie oben beschrieben ein IP-Paketfilter für "ICMP-Ping-Anfrage" erstellt werden. Auf der Dialogseite "Lokaler Computer" muss im mittleren Feld die IP angegeben werden. Zusätzlich muss ein weiterer IP-Paketfilter erstellt werden: Stand: Friday, 28. August 2009/DR. |
|