Einer dieser Dienste ist das Internet Connection Sharing (ICS), mit dem Sie mehrere Computer eines internen Netzwerks über eine einzige Schnittstelle auf dem ICS-Computer mit dem Internet verbinden können.
Wir erläutern hier Setup und Konfiguration des ICS und konzentrieren uns auf eine besonders nützliche Funktion des Windows XP ICS, das Server-Publishing, mit der externe Internet-Clients auf ausgewählte interne Dienste zugreifen können. Sie erfahren, wie Sie Server-Publishing-Regeln und Dienstdefinitionen erstellen können, um so externen Clients den Zugriff auf beliebige Internet-Dienste zu ermöglichen. Wenn Sie erst einmal verstanden haben, wie das Server-Publishing mit dem ICS funktioniert, können Sie sich an einige wirklich interessante Aufgaben machen, wie z.B. das Veröffentlichen eines Exchange 2000 Servers.
Funktionsweise von ICS und Server-Publishing
Das ICS bietet herkömmliche Dienste für die Übersetzung von Netzwerkadressen (Network Address Translation – NAT) für Clients mit privaten Adressen (RFC 1917) in Ihrem internen Netzwerk. NAT ermöglicht Clients mit privaten Adressen den Zugriff auf öffentliche Ressourcen im Internet durch Ersetzen der privaten Adresse in den Anfragen der Clients interner Netzwerke durch die öffentliche Adresse der externen (mit dem Internet verbundenen) Schnittstelle des ICS-Computers. Das Windows XP ICS enthält eine Reihe von NAT-Editoren, mit denen Netzwerkanwendungen (wie FTP), die sekundäre Verbindungen benötigen, hinter dem ICS-Server arbeiten können. Außerdem unterstützt der NAT-Server von Windows XP ICS Universal Plug and Play (UPnP). Die UPnP-Schnittstelle ermöglicht den Clients interner Netzwerke über ICS NAT die Nutzung komplexer Internet-Anwendungsprotokolle, z.B. für den neuen Windows XP MSN Messenger.
Das Server-Publishing, häufig auch als Reverse-NAT oder Port-Weiterleitung bezeichnet, stellt im Grunde eine Umkehrung der NAT-Funktion dar, welche das ICS für die Clients interner Netzwerke durchführt. Beim Publishen von Servern interner Netzwerke wird eigentlich ein bestimmter Dienst auf den jeweiligen Servern veröffentlicht. Das ICS wird angewiesen, einen bestimmten Port der externen Schnittstelle des ICS-Rechners abzufragen und sämtliche an diesem Port eingehenden Mitteilungen an einen bestimmten Port auf dem Server des internen Netzwerks weiterzuleiten.
Beispielsweise könnten Sie den Zugriff über das Internet auf einen Web Server in Ihrem internen Netzwerk ermöglichen wollen. Dazu müssten Sie das ICS auf das Abfragen des TCP-Ports 80 der externen Schnittstelle des ICS-Rechners konfigurieren. Wenn aus dem Internet Anfragen an die IP-Adresse der externen Schnittstelle des ICS-Servers, also an TCP-Port 80, eingehen, werden diese an den internen Web Server weitergeleitet. Der Web Server antwortet dann an den ICS-Rechner, welcher wiederum die Antwort an den Rechner weiterleitet, von dem die Anfrage stammte.
Mit dem ICS können auch Ports umgeleitet werden. Beispielsweise könnte Ihr ISP etwas gegen die Nutzung eines Web Servers in Ihrem Netzwerk haben und daher alle eingehenden Pakete an TCP 80 blockieren. Sie können trotzdem einen Web Server auf einem anderen Port ausführen, indem Sie festlegen, dass das ICS HTTP-Anfragen auf einem anderen Port abruft.
Einschränkungen der Port-Weiterleitung: Viele ISPs blockieren eingehende Anfragen an die Ports 21 (FTP), 25 (SMTP), 80 (HTTP), 110 (POP3), 119 (NNTP) und 143 (IMAP4), um zu verhindern, dass Server in internen Netzwerken ausgeführt werden. Dieses Problem lässt sich durch Port-Weiterleitung umgehen. Der Nachteil dabei ist jedoch, dass die Benutzer die alternative Port-Nummer für die externe Schnittstelle Ihres ICS-Computers kennen müssen. Glücklicherweise gibt es hierfür Dienste von Drittanbietern, mit denen die Benutzer über die herkömmlichen Ports auf Ihre Domäne zugreifen können, wobei die Dienste automatisch alle Anfragen über die externe Schnittstelle Ihres ICS-Rechners an den von Ihnen verwendeten alternativen Port weiterleiten.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…