Ändern von Sicherheitseinstellungen
Verwenden Sie die Servereinstellung "Sicherheit", um Ihren Server vor Benutzern in
anderen Netzwerken oder dem Internet zu schützen.
Sie können eine Firewall einrichten, um Ihr lokales Netzwerk (IP-Teilnetz) zu schützen.
Sie können auch eine AirPort Extreme-Basisstation (802.11n) oder eine Time Capsule für
den Schutz Ihres lokalen Netzwerks verwenden. Bei beiden Vorgehensweisen haben
Sie die Möglichkeit, einzeln anzugeben, welche Dienste eingehende Verbindungen von
Computern außerhalb des lokalen Netzwerks (IP-Teilnetzes) Ihres Servers akzeptieren.
Wenn Sie sich für die Verwendung der Firewall (und nicht die AirPort-Verwaltung)
entscheiden, können Sie eingehende Verbindungen von außerhalb des lokalen
Netzwerks Ihres Servers für alle Dienste zulassen.
202
Kapitel 10
Verwalten der Serverinformationen
Wird in der Servereinstellung "Sicherheit" angegeben, dass Sie die Application
Firewall verwenden, können Sie diese in den Systemeinstellungen verwalten oder sie
dort deaktivieren und die Firewall des Servers im Programm "Servereinstellungen"
verwalten. Weitere Informationen hierzu finden Sie unter „Firewall-Schutz.“
Wenn die Internetverbindung Ihres Servers über einen anderen Netzwerk-Router als
eine AirPort Extreme-Basisstation oder Time Capsule bereitgestellt wird, können Sie
die Konfigurationssoftware des Routers verwenden, um Ihren Server und Ihr lokales
Netzwerk zu schützen. Wenn Sie sich für diese Methode entscheiden, können Sie den
Firewall-Schutz in der Servereinstellung "Sicherheit" deaktivieren. Informationen zum
Konfigurieren Ihres Routers finden Sie unter „Schützen Ihres Netzwerks mit einem
Router“ auf Seite 43.
Gehen Sie wie folgt vor, um zu steuern, welche Dienste über das Internet verfügbar
sein sollen:
1
Wenn Sie eine AirPort Extreme-Basisstation oder Time Capsule verwenden und in
der Servereinstellung "Sicherheit" die Taste für den Wechsel zur AirPort-Verwaltung
angezeigt wird, klicken Sie auf diese Taste, um die Sicherheitseinstellungen mit der
AirPort Extreme-Basisstation oder Time Capsule zu steuern.
Wenn Sie zur Identifizierung aufgefordert werden, geben Sie das Kennwort der
Basisstation oder der Time Capsule ein (nicht das Kennwort des drahtlosen Netzwerks).
203
Kapitel 10
Verwalten der Serverinformationen
Wenn Sie die NAT-Optionen Ihrer AirPort Extreme-Basisstation oder Time Capsule so
geändert haben, dass Ihr Server als Standard-Host verwendet wird, müssen Sie die
Sicherheitseinstellungen mit der Firewall des Servers und nicht mit AirPort steuern. In
diesem Fall sollten Sie in der Servereinstellung "Sicherheit" nicht auf die Taste für den
Wechsel zur AirPort-Verwaltung klicken. Bei einer AirPort Extreme-Basisstation oder
Time Capsule ist die Option für den Standard-Host im Normalfall deaktiviert.
Wird in der Servereinstellung "Sicherheit" die Taste für den Wechsel zur Firewall
angezeigt, klicken Sie nicht auf die Taste, wenn Sie die standardmäßigen NAT-Optionen
Ihrer AirPort Extreme-Basisstation oder Time Capsule verwenden. Klicken Sie nur dann
auf die Taste, wenn Sie die Option für den Standard-Host im Bereich "NAT" des AirPort-
Dienstprogramms geändert haben.
2
Öffnen Sie die Servereinstellung "Sicherheit" und klicken Sie auf die Taste "Ein/Aus", um
die Sicherheitseinstellungen zu aktivieren.
3
Damit ein Dienst eingehende Verbindungen aller Netzwerke akzeptiert, auch aus dem
Internet, klicken Sie auf die Taste "Hinzufügen" (+) und wählen Sie den Dienst aus dem
Einblendmenü aus.
Wird der gewünschte Dienst im Einblendmenü nicht aufgelistet, wählen Sie "Andere"
und geben Sie dann Name und Port des Diensts ein. Sie können eine Liste der Namen
und Ports von Diensten anzeigen, indem Sie das Programm "Server-Admin" öffnen und
in der Hilfe nach "TCP- und UDP-Port-Referenz" suchen.
4
Damit ein aufgelisteter Dienst unabhängig vom Netzwerk (einschließlich Internet)
keine eingehenden Verbindungen mehr akzeptiert, wählen Sie den Dienst aus und
klicken Sie dann auf die Taste "Löschen" (–).
204
Kapitel 10
Verwalten der Serverinformationen
Während die Sicherheitseinstellungen aktiviert sind, können Dienste, die nicht in der
Servereinstellung "Sicherheit" aufgelistet sind, nur eingehende Verbindungen über das
lokale Netzwerk des Servers akzeptieren.
Wenn Sie die AirPort-Verwaltung verwenden und Änderungen an der Servereinstellung
"Sicherheit" vornehmen, werden Sie gefragt, ob Sie Ihre Änderungen durch einen
Neustart der Basisstation oder Time Capsule anwenden möchten. Durch einen Neustart
wird der Internetzugang und der Dienst "DHCP" für alle Computer im lokalen Netzwerk
für bis zu eine Minute unterbrochen.
Wenn Sie den Firewall-Schutz aktivieren und Ihr Server über einen Netzwerk-Router
auf das Internet zugreift, sollten Sie den Router so konfigurieren, dass alle eingehenden
Dienstanforderungen an Ihren Server gesendet werden. Anleitungen hierzu finden Sie
in der Online-Hilfe des Programms "Servereinstellungen" unter "Definieren des Servers
als Standard-Host des Routers".
Gehen Sie wie folgt vor, um bei Verwendung der Firewall alle eingehenden
Dienstanforderungen zuzulassen:
Klicken Sie in der Servereinstellung "Sicherheit" auf "Ein/Aus", um den Firewall-Schutz
m
zu deaktivieren.
Während der Firewall-Schutz deaktiviert ist, lässt die Firewall des Servers eingehende
Verbindungen zu allen Diensten zu. Nutzt der Server allerdings einen Kabel- oder DSL-
Router oder einen sonstigen Router für die Internetverbindung, müssen Sie diesen so
konfigurieren, dass er eingehende Dienstanforderungen an Ihren Server weiterleitet.
Informationen zum Konfigurieren Ihres Routers finden Sie unter „Schützen Ihres
Netzwerks mit einem Router“ auf Seite 43.
205
Kapitel 10
Verwalten der Serverinformationen
Wenn Sie die AirPort-Verwaltung (und nicht den Firewall-Schutz) verwenden, werden
durch die Deaktivierung eingehende Verbindungen zu allen Diensten blockiert.
Firewall-Schutz
Bei der Firewall, die Sie über die Servereinstellung "Sicherheit" steuern können, handelt
es sich um die Firewall von Mac OS X Server. Diese als IP-Firewall bezeichnete Firewall
akzeptiert bzw. blockiert den eingehenden und den ausgehenden Datenverkehr
abhängig von dessen Attributen (z. B. Zielport und IP-Herkunftsadresse). Informationen
über die IP-Firewall erhalten Sie, indem Sie das Programm "Server-Admin" öffnen und
in der Hilfe nach "Überblick über den Firewall-Dienst" suchen.
Die Mac OS X-Firewall, die auf andere Weise funktioniert, steht für Ihren Server
ebenfalls zur Verfügung. Diese Art der Firewall wird als Application Firewall bezeichnet,
da sie eine eingehende Verbindungsanforderung abhängig davon akzeptiert oder
blockiert, von welchem Programm, welchem Dienst oder welchem Softwaremodul
der Verbindungsversuch ausgeht. Die Firewall kontrolliert nicht den ausgehenden
Datenverkehr. Zur Verwaltung der Application Firewall werden die Systemeinstellungen,
nicht die Servereinstellungen, verwendet.
Wenn Sie Ihren Server von Mac OS X Server 10.5 Leopard aktualisiert haben, ist die
Application Firewall möglicherweise aktiv. Sie müssen sie in der Systemeinstellung
"Sicherheit" deaktivieren, damit Sie die IP-Firewall über die Servereinstellung
"Sicherheit" verwalten können.
206
Kapitel 10
Verwalten der Serverinformationen
Die Firewall Ihres Servers und der Dienst "VPN" können beide den Zugriff auf Dienste
von außerhalb Ihres lokalen Netzwerks zulassen. Der Unterschied besteht darin,
dass der Dienst "VPN" beim Zugriff eine Identifizierung anfordert, erfolgt der Zugriff
dagegen über die Firewall, ist keine Identifizierung erforderlich. Wenn der Dienst "VPN"
aktiviert ist, müssen Sie möglicherweise nicht alle Dienste über die Firewall im Internet
zugänglich machen. Sie können die Firewall beispielsweise so definieren, dass nur Ihre
Webdienste im Internet verfügbar sind, sodass Ihre Website öffentlich zugänglich ist.
Über eine VPN-Verbindung können die Benutzer Ihres Servers auf andere Dienste wie
Dateifreigabe, Adressbuch, iCal, iChat und Mail zugreifen.