ipsec
П„ОµП‡ОЅОїПѓОїП†О№О± » Blog Archive » A restrictive IPSec script
П„ОµП‡ОЅОїПѓОїП†О№О±
The occasional rambling of a digital library artisan
A restrictive IPSec script
Posted by Michael Giarlo on
November 30, 2005
What do you do when you’ve got a server to install and you’re too lazy to burn a CD with all the latest service packs and hotfixes? I suppose you could attach the server to the Internet and head over to Microsoft’s Windows Update website. But then you would be committing a grievous faux pas among systems people. Only connect an unpatched machine to the Internet if you wish to have it 0wN3d in seconds flat.
One strategy for patching up your server is to install on your local network a server running Windows Software Update Services, and configure IPSec on your new server to allow connections only to the local WSUS server. For the sake of convenience, I have also allowed outgoing DNS requests. If you know the IP address of the WSUS server, these are probably unnecessary, but otherwise shouldn’t pose much of a risk.
Here’s an IPSec script, which I called newServerLockdown.txt, that you may use to accomplish this task.
# IPSec Configurations to Lock Down a New Server
#
# WHAT IS THE POINT?
# Well, good security practices dictate keeping servers off the network until they have been
# fully patched, which is rarely achievable from system CDs. Thus, before a server is conn-
# ected to the network, we use IPSec to restrict traffic such that no host may initiate an
# incoming connection, and only the local Windows Software Update Server may be contacted.
#
# HOW TO RUN THIS SCRIPT
# netsh -f newServerLockdown.txt
#
# THEN WHAT?
# Once the server is fully patched, hotfixed, and service packed, these IPSec rules may be
# blown away with two commands, or so it is believed by the author:
# netsh ipsec dynamic delete all
# netsh ipsec static delete all
#
# NOTE
# Originally tested on November 23, 2005
# Inspiration from:
# http://www.unisanet.unisa.edu.au/staff/davidgardiner/ipsec/netsh-script.txt
# and
# http://www.windowsitpro.com/Articles/Print.cfm?ArticleID=41571
############# Set IPSec mode to dynamic ############
pushd ipsec dynamic
# Dump packet drops to the Event Log
set config property=ipsecdiagnostics value=7
# Allow as few exemptions as possible
set config property=ipsecexempt value=3
# During boot sequence, allow only stateful connections initiated by the server
set config property=bootmode value=stateful
popd
############ Set IPSec mode back to dynamic ############
pushd ipsec static
set store location=local
# Clean the slate and remember these settings
# DO NOT DO THIS IF YOU DO NOT WANT YOUR STATIC CONFIGS ZAPPED!
delete all
# Create a new policy
add policy name="Restrict to WSUS" activatedefaultrule=NO
# Create actions for filters to use
add filteraction name="PERMIT" action=PERMIT
add filteraction name="BLOCK" action=BLOCK
# Default policy - block everything
add filterlist name="All incoming traffic"
add filter filterlist="All incoming traffic" protocol=ANY srcaddr=ANY dstaddr=ANY description="Block all incoming traffic"
add rule name="Default incoming block" policy="Restrict to WSUS" filterlist="All incoming traffic" filteraction="BLOCK"
# Allow outgoing DNS requests
add filterlist name="DNS resolution"
add filter filterlist="DNS resolution" protocol=TCP srcaddr=ME srcport=0 dstaddr=DNS dstport=53 mirrored=YES
add filter filterlist="DNS resolution" protocol=UDP srcaddr=ME srcport=0 dstaddr=DNS dstport=53 mirrored=YES
add rule name="Allow DNS resolution" policy="Restrict to WSUS" filterlist="DNS resolution" filteraction="PERMIT"
# Allow outgoing HTTP connections to WSUS
add filterlist name="HTTP" description="Allow outbound HTTP connections to WSUS"
add filter filterlist="HTTP" protocol=TCP srcaddr=ME srcport=0 dstaddr=YOUR.WSUS.HOST.NAME dstport=80 mirrored=YES
add filter filterlist="HTTP" protocol=TCP srcaddr=ME srcport=0 dstaddr=YOUR.WSUS.HOST.NAME dstport=443 mirrored=YES
add rule name="Allow HTTP traffic to WSUS" policy="Restrict to WSUS" filterlist="HTTP" filteraction="PERMIT"
# Activate policy
set policy name="Restrict to WSUS" assign=YES
popd
exit
Tags: Networking, Windows
Meta:
no comments,
permalink,
feed
Trackbacks
Use this link to trackback from your own site.
Comments
Leave a response
Comments
Name (required)
Email (will not be published) (required)
Website
Comments:
Technosophia is Mike Giarlo's weblog on library services and information technology.
The faux-Greek title is taken from the words techne ("craft") and sophia ("information").
Feed
PagesAbout Mike
ORE WordPress Plug-in
unAPI Server for WordPress
Persistent URL Bookmarker
OpenID for WordPress
Categories
Access2006
Active Directory
Administrivia
APIs
Blogosphere
Clustering / HA
code4lib
Cognitive Viewpoint
COinS
Computer Science
Conferences
Development
Digital Libraries and Archives
DSpace
Fedora
Feeds
Google
Human-Information Behavior
Information Science
Java
JavaScript
Keyword Extraction
Libraries
Library School
LibraryCampNYC2007
Linguistics
Linux
Management
Networking
NJLA2007
OAI-ORE
OAI-PMH
OOP
Open Access
Open Source
OpenSearch
Persistent Identifiers
Personal
Philosophy
PHP
Politics
Preservation
Python
Rails
Religion
Repositories
REST
Ruby
Scholarly Communication
Semantic Web
Skepticism
Society
Software
SQL
Systems
Trac
unAPI
Windows
XQuery
Archives
April 2008 (3)
March 2008 (4)
January 2008 (1)
December 2007 (1)
October 2007 (5)
September 2007 (4)
August 2007 (2)
July 2007 (2)
June 2007 (6)
May 2007 (6)
April 2007 (1)
March 2007 (4)
February 2007 (3)
January 2007 (6)
December 2006 (2)
November 2006 (2)
October 2006 (2)
September 2006 (4)
August 2006 (4)
July 2006 (2)
June 2006 (3)
May 2006 (5)
April 2006 (3)
March 2006 (7)
February 2006 (1)
December 2005 (9)
November 2005 (4)
П„ОµП‡ОЅОїПѓОїП†О№О±
WordPress /
ScribbishWP (modified)
num_queries; ?> queries. 0.516 seconds. -->
разделы
dhl
кс-4361
диагностический стенд
промышленый альпинизм
лечение иглоукалыванием
два цвет
ночной очки
nokia 3230 купить
braas
8800 gold
книга кремль
isdn видеоконференция
зиплок
билет ммдм
трость доставка
восстановление удаленный информация
автоматический оповещение
мытье потолок
купить ниппель
ароматный мир
кострома жилье
кулер процессорный
очистка подогреватель
изолента хб
авиа отправка
купить минимойку
рак щитовидный железа
dunlup 205 55 r16
обрезание
антигололедные реагент
конвейер шнековый
трубогиб
итальянский вина
asus p505
компания сент-лючии
варочный поверхность cata
горячий обед
антиобледенительные система
разогреть вчерашний обед
мультиметры цифровой
кожгалантерея
сдать анализ кровь
доставка алкогольный
аэробика мячом
сглаз
лечение зарубежом
китайский махровый
базовый шпатлевка
крот dr
изготовление презентация
стопный пластырь
подшипниковый узел
цвет dufour
покраска рчв
подбор контрацепция
kyiv apartaments rent
стелажи
лекарство рак
ваза 2115
витрина подогреваемый
вышивка флаг
туба машина
создание анимационный клип
свойство краска
адресный база данный
профиль salamander
кулер тихий
лакокраска
глюкозамин-хондроитиновый комплекс
безоперационное прерывание беременность
программа шифрование данный
1с бюджетирование
dunlup 205 55 r16
трубогиб дорном
апгрейд обезьяна
холодильник zanussi
фейрверк вечеринка
цвет город
тиристорный контактор
светлогорск
газовый заправка
сервер hp
уцененный холодильник
холодильник оптом
купля производственный комплекс
кофе колониальный товар
штендеры
центр консультирование
summer кухонный
k610 купить
система дымоудаления
фактурный краска
измеритель фаза нуль
кайт
кристофер брэнд
стелажи
вымпел заказ
капсула миаози
холодильник дешево
нард скачать бесплатный
пежо 407
кружка
нард скачать
поливомоечная машина
скс
измеритель освещенность
сборный доставка
ваза 2112
сейфовые ячейка
очки ночной видение
анкетирование
швейцария культура
избавиться спам
обзвон
телевизионный антенна
квн
peg perego venezia
man гильза
букмекерский контора фаворит
подгонный компенсатор danfoss
курьерский почта
кофе дорога
холодильник бош
варочный поверхность cata
купить букмекерский линия
бюро переводчик
1с бюджетирование
квн съемка
fag
московский флаг
изготовление презентация
изделие слойка
индивидуальный банковский ячейка
прайс эфирный антенна
слабость головокружение
химчистка доставка
купить видеокарту
предохранитель пкн
прайс зеркало
слабость головокружение
электропечь dimplex model lee rc
купить k800i
домашний очаг здоровье
электропечь dimplex model lee rc
пескоструйка
мрт коленный сустав
надевание бахила
доставка санкт
растворитель 646
предохранитель пкэ
билет russia music awards
зал аэробика
басейны intex
этикетировщик
southpark
лекарство рак
купить пароварка
подбор холодильный камера
видеослот
кулер процессорный
мелованный бумага
шумок дмитрий владимирович
газонокосилка black decker
авиа отправка
сушильный машина asko
деловой костюм
краска двухкомпонентный
монетница
управление ярославль
силуэт слименд лифт
геомаш-центр
квн
ipsec