Eingehende ping-Anfragen zulassen
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2000
Standardmäßig kann man die externe Schnittstelle des ISA Servers direkt nach der Installation nicht anpingen. Das liegt daran, wie der ISA mit ICMP Paketen umgeht. Sie werden alle verworfen. In den meisten Fällen gibt es auch keine Notwendigkeit, dies zu ändern. Sagen wir, es ist ein weiteres kleines Sicherheitsfeature - nicht spektakulär, aber wirksam, denn dadurch wird der ISA Server zuerst einmal versteckt. Sofern keine Veröffentlichungsregeln erstellt wurden, ist der ISA Server von außen durch Scans nicht sichtbar und somit nicht angreifbar. Sofern natürlich Veröffentlichungsregeln eingesetzt werden, ist der ISA wieder durch gezielte Portscans verwundbar, aber das ist nicht Bestandteil dieses Artiekls. Dazu gibt es auf dieser Website andere Artikel.
Es gibt kaum Anwendungsfälle, bei denen eine Firewall angepingt werden können muss. Daher auch meine Empfehlung, nur in Ausnahmefällen dieses Verhalten ändern.
Die Konfiguration des ISA Servers für die Annahme und Beantwortung externer ping-Anfragen ist fast so einfach wie Ping ausgehend.
Von Haus nimmt der ISA Server keine externen pings an:
Wobei in diesem Beispiel der verwendete ISA Server als externe IP-Adresse die
192.168.22.10 hat.
Es muss ein neuer IP-Paketfilter erstellt werden:
Das benötigte Protokoll ist bereits vordefiniert.
Hier kann festgelegt werden, ob der ISA nur auf einer bestimmten externen
IP-Adresse ping-Anfragen antworten soll.
Hier könnte (z.B. aus Sicherheitsgründen oder für Testzwecke) nur ein erlaubter
externer Client eingetragen werden, dem der ISA Server antwortet.
Schauen wir uns die Eigenschaften des Filters etwas genauer an:
Nach wenigen Sekunden (ca. 5-10) ist das Ergebnis sichtbar:
Die oben beschriebene Vorgehensweise sorgt dafür, dass man die erste eingetragene IP-Adresse anpingen kann. Wenn man jedoch eine zusätzlich vorhandene externe IP des ISA pingen können möchte, sind folgende Schritte notwendig:
Es muss wie oben beschrieben ein IP-Paketfilter für "ICMP-Ping-Anfrage" erstellt werden. Auf der Dialogseite "Lokaler Computer" muss im mittleren Feld die IP angegeben werden.
Zusätzlich muss ein weiterer IP-Paketfilter erstellt werden:
Stand: Friday, 28. August 2009/DR.
