die raven homepage
Personal Firewalls - Paketfilter

Version 1.2

Diese Seite befasst sich mit sogenannten "Personal Firewall (PFW)" anhand des Einsatzes der Norton Personal Firewall und reißt an, was der Unterschied zwischen Paketfilter - Personal Firewall - Firewall-Konzept ist.
Klaus Müller danke ich an dieser Stelle für die freundliche Unterstützung.

Viel wichtiger als der Einsatz einer "Personal Firewall" ist die grundlegende Absicherung des Betriebssystems oder der Wechsel zu einem sichereren Betriebssystem und die Befolgung von Verhaltensregeln, die bei konsequenter Umsetzung die Verwendung von PFWs nahezu unnötig machen (wenn man die Informationseffekte außen vor läßt). Deshalb sollte man sich als Windowsbenutzer die Informationen aneignen und Tools anwenden, die auf den Websites der Links zur Verfügung gestellt werden.

Auch der Einsatz eines Routers mit einer Firewall (entwender mit einem zweiten PC, auf dem ein gehärtetes Linux mit Paketfilter und Intrusion Detection System (IDS) läuft oder über einen guten Hardwarerouter) bei DSL Internetzugängen kann schon viele Angriffe im Vorfeld ausräumen.

Der versprochene "Schutz" durch PFWs relativiert sich, wenn man sich vor Augen führt, dass fast alle PFWs Sicherheitslücken aufwiesen, die es Angreifern ermöglichten, die PFW zum "Stillstand" zu bringen. Auch eingeschleuste Viren / Trojaner können nach Einschleusung und Aktivierung durch den Benutzer über Schadroutinen, die auf PFWs zielen, die PFW von innen heraus deaktivieren. Wie bei den Virenscannern ist auch eine PFW nicht vor neuartigen Angriffsmethoden geschützt, wenn dagegen (noch) keine Schutzroutinen implementiert sind. Es ist z. B. auch möglich schadhafte Daten in Datenpaketen eines Protokolls wie z. B. HTTP zu tunneln, die von der PFW als legitim anerkannt werden.

Die Firewall, das Internet und der eigene Rechner
Firewall

Eine Firewall im eigentlichen Sinne ist ein einzelner Rechner oder ein Router/Gateway, der mit Firewall-Funktionen oder -Software versehen, an der Übergangsstelle zwischen einem internen, abgeschlossenem Netzwerk (z. B. einem Firmennetzwerk) aus mehreren Rechnern und einem äußeren, offenen Netzwerk (z. B. dem Internet) steht.
Man kann Firewall aber auch als Gesamtkonzept zur Errichtung einer Barriere zwischen den beiden Netzwerken betrachten. In diesem Gesamtkonzept wäre ein Firewall-Rechner nur ein Teil der gesamten Maßnahmen, die getroffen werden, um die Rechner des internen Netzes zu schützen.

Erweiterte Firewallkonzepte bestehen z. B. aus einem Firewallrechner vor dem internen Netz, dem ein eigenes Zwischennetz folgt, in dem Proxy angesiedelt sind und danach folgt ein weiterer Firewallrechner vor dem Internet. Der Bereich zwischen den beiden Firewallrechner wird gier DMZ (Demilitarisiierte Zone) genannt.
Dabei ist auch zu bedenken, dass die Firewallsoftware selbst, bzw. der Rechner, auf dem sie läuft, eine Schwachstelle darstellen kann. Befindet sich z. B. eine Schwachstelle im Programmcode der Software, kann ein Angreifer diese dazu benutzen, um zuerst die Firewallsoftware selbst anzugreifen oder auszuhebeln.

Router und Gateways

Ein Router (von Route: Reiseweg, Wegstrecke) ist ein Rechner, der verschiedene Netzwerke miteinander verbindet. Auch das Internet ist ein großes Konglomerat mehrerer Netzwerke. Die Aufgabe des Router besteht bei der Versendung von Datenpaketen zum Zielhost darin, in seiner Routingtabelle nachzusehen, die günstigste Route zu ermitteln und dann das Datenpaket über diese Route weiterzusenden.
Gateways (von gateway: Torweg, Einfahrt) sind auch Rechner, die zwischen verschiedenen Netzwerken stehen, nur besteht ihre Aufgabe darin, das Netzwerkformat der Datenpakete in ein anderes Netzwerkformat umzuformatieren, damit das nächste Netzwerk die Daten auch verarbeiten kann.

Software oder Personal Firewalls

Rechner mit Firewall-Software sind oft Linux oder OpenBSD Rechner, auf denen nur das Betriebssystem und die Firewall läuft. Im Gegensatz zu Windows ist der Firewallcode bereits im Betriebssystemkern integriert und die "Software" besteht nur noch aus dem Regelwerk für den Firewallcode oder Schnittstellen, über die Regeln konfiguriert werden.
Die Firewall schottet also ein Netzwerk von einem anderen ab, bzw. fungiert als Torwächter, der darüber entscheidet, was in das innere Netzwerk hinein (inbound) und was aus dem inneren Netzwerk hinaus (outbound) gelangen darf.

Firewallschema1

Die sogenannten Personal- oder Desktop-Firewalls sind dagegen Programme, die auf einem Einzelrechner als Applikation laufen, der mit einem Netzwerk wie dem Internet verbunden ist. Hier ist die Firewall eine Software wie jedes andere Programm auch, die sich auf eine Teilfunktion eines Firewall-Konzepts reduziert, dem Paketfiltering.
Deshalb ist der Begriff "Software, bzw. Personal Firewall" irreführend und müsste eigentlich "Programm Paketfilter" lauten.
Die "Firewall" wird über ein Regelwerk gesteuert, dass in- und ausgehende Verbindungen erlaubt oder verweigert. Dabei folgen die Regeln zwei Grundprinzipien:
Entweder verbietet die Firewall alles, was nicht ausdrücklich erlaubt wurde oder erlaubt alles, was nicht ausdrücklich verboten wurde.
Bei dem ersten Prinzip muss jeder Dienst und jedes Programm extra freigeschaltet werden, beim zweiten Prinzip muss ein zu unterbindender Dienst oder ein Programm extra verboten werden
Allgemein wird die erste Regel als sicherer angesehen, dieser Regel folgt auch die Anleitung.

Firewallschema2

Die beiden Abbildungen sind abgewandelte Grafiken aus den Firewall Questions & Answers von VICOMSOFT

Netzwerke

Um eine Firewall richtig zu handhaben, muss man ein gewisses Verständnis über die Mechanismen und Funktionen des Verkehrs in einem Netzwerk oder zwischen Netzwerken besitzen, also zu dem was sich unter der Oberfläche von Browsern oder E-Mail Programmen bewegt.
An dieser Stelle soll keine vollständige Abhandlung über Netzwerktopologien oder dergleichen folgen, nur ein paar Worte, um das zu verstehen, was die NPF macht.

Server und Clients

Im Internet treffen sich zwei Arten von Rechnern (Hosts):
Auf der einen Seite die Server ("Bediener, Servierer"), auf der anderen Seite die Clients ("Klienten, Kunden").

Die Server offerieren dem Client Dienste ("Services"): Man kann Webseiten abrufen, E-Mails versenden oder abholen, die News im Usenet lesen und welche versenden, Dateien versenden oder herunterladen, daher auch die Begriffe Mail-Server, Web-Server, News-Server, FTP-Server usw.
Die verschiedenen Server sind selbst eigenständige Programme oder Skripte, die die jeweiligen Funktionsabläufe umsetzen. Der Server als Rechner und der Server als Programm werden meistens synonym verwendet.

Der Client nimmt diese Dienste wahr, indem er Programme einsetzt, die mit den Servern kommunizieren: Das E-Mail Programm, den Newsreader, den Browser. Auch hier wird sowohl der einzelne Rechner als Client als auch die einzelnen Programme als Clients bezeichnet.

TCP/IP, UDP, Ports und Dienste

Im Internet werden Daten aller Art in Form von Datenpaketen hin und her geschickt. Eine Datei oder eine E-Mail, die wir als Client versenden, wird in einzelne dieser Pakete zerlegt und auf der anderen Seite beim Server wieder zusammengesetzt. Das gleiche passiert, wenn uns der Server Daten schickt. Jedes Paket trägt dabei die Adresse des Absenders und des Empfängers in Form der IP (Internet Protocol)-Nummern mit sich und die Art des Dienstes (das alles wird im Paket-Kopf oder "-Header" untergebracht) und die eigentlichen Inhalte der Daten (die im Paketkörper, Payload genannt, untergebracht werden), damit die Pakete ihre Zielorte auch erreichen und die Rechner wissen, zu welchem Dienst diese Daten gehören.

Für jeden Dienst gibt es im Internet eine Verteil- und Formatierungsvorschrift, die sogenannten Protokolle. Die Basisprotokolle TCP (Transmission-Control-Protocol) und IP sind dabei die bekanntesten Protokolle, die u. a. für die Adressierung und Aufteilung in Pakete zuständig sind.
Ein weiteres Basisprotokoll ist UDP (User-Datagram-Protcol), das verwendet wird, wenn kleine und einfache Datenmengen, die in ein Datenpaket passen, versendet werden.

Daneben gibt es zum Beispiel auch das NNTP (Network-News-Transport-Protocol) für die News des Usenets, das SMTP (Simple-Mail-Transfer-Protocol) für das Versenden von E-Mails oder auch das FTP (File-Transfer-Protocol) für die Versendung von Dateien.
Doch wie unterscheidet der Server als Rechner, auf dem mehrere Server verschiedene Dienste anbieten, welcher Server, bzw. Dienst welche Daten annehmen soll?

Zu diesem Zweck besitzt jeder Server einen eigenen Anschluss mit einer Anschlussnummer, man könnte auch sagen eine eigene Schleusenöffnung, die die Daten annehmen und passieren lassen, die sogenannten Ports (Port: Hafen) und Portnummern. Jedem Dienst wird eine dieser Nummern zugeteilt. So benutzt NNTP 119, SMTP 25 und FTP 21. Insgesamt gibt es 65535 Ports, von denen nur ein Teil genutzt wird.

Aus diesem Grund gehen einigen Angriffsarten Portscans voraus, d. h. der Angreifer tastet anzugreifende Rechner nach Ports ab, über die er eine Antwort vom dahinter lauschenden Server/Dienst erhält. Wenn er diese bekommt, wird er z. B. versuchen, den Softwaretyp des Servers/Dienstes und das Betriebssystem zu ermitteln um dann ihm bekannte Schwachstellen des Betriebssystems und/oder Servers auszunutzen, die ihm ermöglichen über eine Verbindung zum Server/Betriebssystem Schadensroutinen auszuführen oder Rechte des Administrators zu erlangen.
Daraus folgt aber auch, dass ein Angriff auf einen Dienst/Server der nicht läuft, bzw. aktiviert ist, keinen Erfolg haben wird und der Portscan an sich noch keine Bedrohung darstellt, wenn man weiss, dass eh kein Dienst/Server antworten wird oder wenn, der Dienst/Server genügend abgesichert wurde.

Bekannte Services und Ports
Protokoll Definition Port Service
HTTP Hypertext Transport Protocol 80, 8000, 8080 WWW, Websurfen
HTTPS Hypertext Transport Protocol Secure (SSL) 443 WWW mit SSL-Verschlüsselung
SMTP Simple Mail Transfer Protocol 25 E-Mails versenden
POP3 Post Office Protocol 110 E-Mails abholen
FTP und
FTP-data
File Transfer Protocol
File Transfer Protocol Data
21
20
Dateien und Programme übertragen
Domain Domain Name Service 53 Übersetzung von IP-Adressen in reale Namen und umgekehrt
NNTP Network News Transport Protocol 119 News/Usenet
Kontrollnachrichten

Außer den Protokollen werden eine Reihe von Kontrollnachrichten im Verbund der Gateways, Ziel- und Ursprungshosts eingesetzt unter Verwendung des Internet Control Message Protocol [ICMP]. Das ICMP ist ein integraler Bestandteil des IP, über den Fehler-, oder besser gesagt Kontrollnachrichten erstellt werden, die von einem Gateway oder Zielrechner bei Problemen oder Fehlern an den absendenden Host zurückgesendet werden.
Zwei ICMP Typen werden auch dazu verwendet, um über die beiden bekannten Befehle traceroute oder ping den Weg eines Datenpakets zu einem Zielrechner zu verfolgen oder zu klären, ob ein bestimmter Rechner aktiv online ist.

ICMP Typen
Nachricht [EN] Nachricht [DE] Erklärung Befehl
Echo Request/Reply Echo-Anfrage/-Antwort bei der Echo Anfrage wird ein kleines Test-Datagramm an einen Zielrechner gesendet, der es wieder an den Absender zurückschickt. Dabei wird die Zeit gemessen, die bei der Rückantwort vergeht Ping
Time Exceeded for a Datagram Zeitüberschreitung die Echo Anfrage kann so modifiziert werden, dass ein ganzes Paket von Test-Datagrammen versendet wird, die mit unterschiedlichen Lebensdauern ausgestattet sind. Wenn die Lebensdauer abgelaufen ist, sendet der Rechner, an dem das Datagramm angelangt ist, eine Zeitüberschreitung Nachricht zurück, so kann man den gesamten Weg und die beteiligten Rechner auf diesem Weg bis zum Zielrechner ermitteln. Traceroute
Destination unreachable Ziel nicht erreichbar ein Router gibt die Nachricht zurück, dass er keine Route zum Zielrechner ermitteln kann
Source Quench Quelldrosselung ein Gateway oder ein Zielrechner teilt mit, dass er keinen Zwischenspeicher mehr für ankommende Datenpakete hat (er ist überlastet) mit der Aufforderung, die Absenderate zu senken.
Redirect Umleitung eine Nachricht von einem Gateway zu einem Host, ein Datenpaket direkt an einen anderen Gateway zu senden, da so die Route kürzer ist, wenn sich der andere Gateway und der Host im gleichen Netzwerk befinden
Parameter Problem Parameterproblem Benachrichtigung von einem Host oder Gateway, dass ein Datenpaket einen Headerfehler aufweist und verworfen wird.
Timestamp Request/Reply Zeitstempel Anforderung u. Antwort Zeitstempel Anfrage und Rückantwort. Eine spezielle Echo-Nachricht mit präzisen Zeitangaben
Information Request/Reply Information Anforderung u. Antwort Nachricht, mit dem ein Host die komplette Nummer des Netzwerkes erfahren kann, in dem er sich befindet.
Adress-Mask Request/Reply Adressmake Anforderung u. Antwort dient zur Identifizierung der Subnetz-Maske
Router Advertisement Router-Ankündigung der Router teilt dem Host mit, wo er sich befindet
Router Solicitation Router-Anfrage Anfrage des Hosts an einen Router, wo er sich befindet

Die Aufgabe der Firewall besteht nun darin, zu bestimmen, welche Dienste, Ports und Protokolle benutzt werden dürfen und welche nicht, die unbenutzen zu schliessen und die Programme einzugrenzen, die dabei verwendet werden.
Die oben erläuterten Bestandteile werden uns bei der Erstellung von Firewall-Regeln wieder begegnen.

Konfiguration I
Vorbereitungen

Vor der Installation einer "Personal Firewall" steht die Absicherung von Windows selbst und die Befolgung von Verhaltesnregeln. Oftmals erübrigt sich dadurch schon die Installation einer PFW, bzw. hat sie danach nur noch eine Informationsfunktion.

Zur Absicherung gehört:

  • Einspielen des letzten, aktuellen Service Packs und aller danach herausgegebenen Sicherheitsupdates direkt nach der Installation
  • regelmäßige Aktualisierung mit Sicherheitsupdates für Windows und eingesetzte Applikationen
  • Deaktivieren nicht benötigter Systemdienste und das Entbinden des DFÜ-Netzwerkes von allen nicht benötigten Diensten
  • Umbenennung des Standardadministratoraccounts, die Einrichtung eines zusätzlichen Administrator- und eines Hauptbenutzeraccounts
  • Verwenden starker Passphrases statt "Alltagspasswörtern" a la "Susi"
  • Verwendung von NTFS und der damit verbundenen Verzeichnis- und Dateirechtevergabe
  • Justierung der System Policies
  • Entfernung von Windows Freigaben, sofern man sich nicht in einem abgeschlossenen Windows-Netzwerk befindet
  • die Installation zweier Virenscanner und Spyware-Entfernungstools und deren regelmäßige Aktualisierung

Zu den Verhaltensregeln gehört:

  • der zusätzliche Administratoraccount wird nur für die Installation von Software und zur Erfüllung adminsitrativer Aufgaben verwendet, die alltägliche Arbeit und die Internetnutzung wird nur mit dem Hauptbenutzeraccount durchgeführt
  • neue Software wird nur nach Überprüfung mit Virenscannern durchgeführt und nur, wenn man der Quelle vertraut.
  • E-Mail Attachments werden nur nach Überprüfung mit Virenscannern geöffnet und nur dann, wenn man dem Absender vertraut, bzw. sicher ist, dass die E-Mail wirklich von dem angegeben Absender stammt.
  • bei Nutzung von Servern oder serverähnlichen Diensten (wie P2P) sind die Sicherheitshinwweise der Dokumentationen zu befolgen.
  • Austausch des Internet Explorers und Outlook (Express) durch andere Anwendungen
  • regelmäßige Überprüfung des gesammten Systems mit Virenscannern und Spyware-Entfernungstools
  • Anfertigung von Backups oder Images. Mindestens der Userdaten (Dokumente, Datenbanken usw.). Programme und Betriebssystem können notfalls neu installiert werden, verlorengegangene Userdaten nicht.
  • Deaktivierung oder Einschränkung der Nutzung aktiver/dynamischer Funktionen von Websites (Javascript, Java, ActiveX, Flash)

Aregungen, Anleitungen und Hilfestellungen sind auf dieser Website und über die Dokumente der angegebenen Links zu erhalten.

Zuerst werden nach der Installation von NPF alle vorkonfigurierten Regeln für bestimmte Programme gelöscht.
Zu finden sind die Regeldateien im C:\WINDOWS\Anwendungsdaten\Symantec\Norton Personal Firewall Verzeichnis. Die Dateien besitzen die Extension *.ale.
Am besten löscht man alle Dateien komplett oder verschiebt sie in ein ZIP, RAR oder ACE Archiv.

Der Konfiguration einer Firewall geht *immer* eine Konfiguration des Betriebssystems hinsichtlich der Absicherung voraus. Oft ergibt sich für richtig abgesichrte Einzelplatzrechner, dass gar keine Personal Firewall nötig ist.
Der Rechner wird insgesamt - beginnend mit der Wahl des Betriebssystems (bei Windows beginnt ein sinnvoller Einsatz von Firewalls mit Windows NT, weil u. a. dort eine Trennung zwischen Administrator- und Userrechten gegeben ist), über die Anwendung von Virenscannern, Netzwerk- und Dienstekonfiguration bis hin zur Abschottung des Browsers - weitestgehend abgesichert konfiguriert. Dazu zählt u. a. die Deaktivierung aller Dienste und Server, die nicht benötigt werden (ein bekanntes Beispiel wäre NetBIOS).
Es ist z. B. möglich, dass Angreifer den Code, der Schadensroutinen enthält, innerhalb von Protokollen wie HTTP quasi "huckepack" übertragen, der für die PFW als Webanfrage akzeptabel eingestuft und durchgelassen wird. Trifft dieser Code auf ein Betriebssystem, das keinerlei Schutzvorrichtungen besitzt, wird er trotz Firewall seine seine Routinen zur Anwendung bringen können.
Eine Firewall auf einem ansonsten ungesicherten System verliert ihren Sinn - auf Windows-Systemen ganz besonders!

Das Hauptfenster

Im Hauptfenster von NPF kann die Firewall mit Aktivieren/Deaktivieren aktiviert, bzw. deaktiviert werden.
Unter Status können die zwei Sicherheitskategorien Sicherheit und Datenschutz aktiviert/deaktiviert werden.
Zudem werden neben einem Verbotsschild und einem grünen Haken die abgeblockten und zugelassenen Verbindungen angezeigt, die durch die beiden Kategorien geregelt wurden.

Kommen wir zur Konfiguration der beiden Sicherheitskategorien Sicherheit und Datenschutz.
Der NPF wird die Konfiguration über Standard nicht überlassen, sondern über Benutzdefiniert selbst übernommen.

Sicherheit

Mit Aktiviere Sicherheit wird die Sicherheit Kategorie aktiviert. Klickt man auf Benutzerdefiniert, können die Abstufungen der Sicherheit Konfiguration justiert werden.

Persönliche Firewall
Wird generell auf Hoch: Blockiere alles... gestellt, so dass alles standardmäßig blockiert wird, bis eine entsprechende Erlaubt-Regel vergeben wurde.
Java Applet Sicherheitsstufe

Hier stellt man ein, was mit Java basierten Programmen in Webseiten passieren soll.

  • mit Keine: Erlaube Java Applets werden alle Java Applets zugelassen
  • mit Mittel: Jedesmal nachfragen wird jedesmal eine Erlaubnis vor dem Start eines Applets eingeholt
  • mit Hoch: Blockiere Java Applets werden Applets generell blockiert
ActiveX-Steuerelemente Sicherheitsstufe

Hier stellt man ein, was mit Programmen in Webseite passieren soll, die auf Microsofts ActiveX Technik basieren. Generell besitzen ActiveX Controls noch geringere Sicherheitsmechanismen als Java Applets.

Folgende Stufen stehen zur Verfügung:

  • mit Keine: Erlaube ActiveX-Steuerelemente wird die Ausführung generell zugelassen
  • mit Mittel: Jedesmal nachfragen wird vorher nachgefragt
  • mit Hoch: Blockiere ActiveX-Steuerelemente wird die Ausführung generell blockiert

Java Applet und ActiveX-Steuerelement Konfiguration können in Abstimmung mit den Sicherheitseinstellungen im verwendeten Browser durchgeführt werden:
Wenn man ActiveX und Java in der NPF bereits blockiert hat, braucht man dies nicht mehr im Browser wiederholen und umgekehrt. Es schadet aber auch nichts, beide gleich einzustellen, wenn man eine Funktion generell blockieren will.
Nur hilft es nichts, im Browser unter Java eine Bestätigung zu verlangen, wenn Java in der NPF bereits generell blockiert wurde.

Aus Sicherheitsgründen hier alle Java Applets und ActiveX Controls generell blockieren und nur für einzelne Websites, für die diese Techniken unbedingt erforderlich sind (z. B. Internet-Banking) an anderer Stelle zulassen, denn es hat sich mittlerweile herausgestellt, dass gerade Java und ActiveX die Hauptverantwortlichen für Sicherheitslöcher in Bezug zum Websurfen sind.
Die gleiche Konfiguration sollte im Browser wiederholt werden: Also Java & ActiveX generell blockieren, für einzelne Websites zulassen.

Mit Aktiviere Personal Firewall Warnungen wird im Hauptfenster ein Warnsymbol sichtbar, über das man zum entsprechenden Firewall-Protokolleintrag gelangt. Zusätzlich verändert sich das Trayicon.

Mit Nicht verwendete Anschlüsse blockieren werden generell alle Anschlüsse (Ports) gesperrt, wenn eine eingehende Verbindung von außerhalb hergestellt werden soll, auf dem PC aber keine Applikation oder ein Service läuft, der Verbindungen auf diesem Port annehmen könnte (im Regelfall Serverdienste). Eine Warnmeldung unterbleibt.

Datenschutz
Mit Datenschutz aktivieren wird die Datenschutz Kategorie aktivieret. Unter Vertrauliche Info können sensible Daten (wie Kreditkarten- oder Personalausweisnummern) eingegeben werden, deren Weitergabe per HTTP im WWW NPF blockieren soll.
Dazu werden die entsprechenden Daten unter Geschützte Information eingegeben. Für Informationen mit verschiedenen Schreibweisen (mit/ohne Leerzeichen, geklammert/ohne Klammer) müssen jeweils separate Eingaben gemacht werden.
Unter Beschreibung kann eine leicht zu verstehende Kurzbeschreibung der Information vergeben werden.
Benutzerdefiniert
Vertrauliche Info

Unter Vertrauliche Info kann dann eingegeben werden, wie NPF mit den vertraulichen Informationen umgehen soll.

  • mit Keine... werden alle Infos werden weitergegeben
  • mit Mittel... fragt NPF nach Erlaubnis zur Eingabe
  • mit Hoch... werden alle Infos generell blockiert

NPF will also den Anwender vor sich selbst schützen, wenn dieser auf einer Website eine der vorher gespeicherten vertraulichen Informationen eingeben will.
Wer sich selbst nicht vertraut, was die Weitergabe persönlicher daten angeht, sollte die Funktion nutzen.

Cookie Blockierung

In Cookie Blockierung wird festgelegt, wie NPF mit der Rücksendung von Cookie-Informationen, bzw. der Anforderung von Cookies durch Web-Server verfährt.
Das bedeutet, die NPF verhindert nicht das Speichern von Cookies, sondern nur das Absenden von Cookies.
Will man generell schon das Speichern von Cookies unterbinden, müssen die entsprechenden Browseroptionen und Programme wie Junkbuster, A4Proxy und WebWasher eingesetzt werden!

  • mit Keine... wird der Versand aller Cookies zugelassen
  • mit Mittel... wird vor Versand eines Cookies zuerst nachgefragt
  • mit Hoch... wird der Versand aller Cookies blockiert

Abweichende Cookie-Regeln für einzelne Websites können in den erweiterten Optionen erstellt werden (siehe unten).

Mit Browser-Datenschutz aktivieren wird die Übertragung des FROM und REFERER Headers blockiert, über die die eigene E-Mail Adresse und die zuletzt besuchte Seite an den aktuellen Webserver weitergereicht werden können.
Mit Sichere Verbindungen (https) aktivieren werden SSL verschlüsselte Verbindungen über das HTTPS Protokoll zwischen Browser und Webserver zugelassen. Sollte aktiviert werden

Optionen

Die NPF kann entweder automatisch bei jedem Windowsstart geladen oder manuell gestartet werden.
Wenn man sich für den manuellen Start entscheidet (was z. B. das Problem umgeht, dass einige Monitore nicht mehr aus dem Stand-By Betrieb reaktiviert werden können, solange die NPF läuft), muss darauf geachtet werden, sie extra mit dem Enable Button im Hauptfenster zu aktivieren - sonst läuft die NPF nicht!

Eine elegantere Lösung ist es, die Verknüpfung "LW:\Pfad\iamapp.exe" -LOAD anzulegen,
damit ist die NPF auf Knopfdruck aktiviert! (Dank an Andreas Gier für diesen Tip).

Ereignisprotokoll

Über Zeige Ereignisprotokoll wird das Ereignisprotokoll der NPF angezeigt.

  • im Verbindungen Fenster werden alle Verbindungen aufgezeichnet (die beteiligten Hosts, die übertragenen Bytes, verwendete Ports und Protokolle
  • im Firewall Fenster werden die verarbeiteten Firewall-Regeln angezeigt, d. h. welche Verbindungen erlaubt und welche geblockt wurden.
    Diese Anzeige ist zum Teil davon abhängig, ob für die einzelne Firewall-Regel das Protokollieren aktiviert wurde oder nicht
  • im Datenschutz Fenster werden deateilierte Informationen zu abgeblockten Cookies und Informationen über geblockte REFERER Header angezeigt
  • im System Fenster werden Start und Beendigung der NPF Dienste angezeigt
  • im Webverlauf Fenster werden alle besuchten URL's aufgelistet (ähnlich der Browser-History Funktion)
Statistiken

Über Zeige Statistiken wird die Echtzeit-Anzeige der NPF gestartet. Im Menü Ansicht/Optionen kann festegelegt werden, welche Daten angezeigt werden sollen.

  • Netzwerk zeigt die Anzahl der per TCP und UDP übertragenen Datenmenge in Bytes an
  • Web zeigt die Anzahl der geblockten Cookies und Referer und die übertragene Datenmenge an
  • Firewall TCP-Verbindungen zeigt die Anzahl der eingegangenen (inbound) und ausgegangen (outbound) zugelassenen und gesperrten TCP Verbindungen an
  • Firewall UDP-Datagramme zeigt die Anzahl der eingegangenen und ausgegangenen zugelassnen und gesperrten UDP Datagramme an
  • Firewall-Regeln zeigt an, wie oft eine Firewall-Regel eine Verbindung zugelassenen oder gesperrt hat. In der Anzeige werden generell alle definierten Firewall-Regeln aufgelistet
  • Netzwerkverbindungen zeigt im Überblick, welche Verbindungen gerade über welches Protokoll mit welcher Applikation zu welchem Zielrechner laufen.
    Eine bestimmte Verbindung kann in dieser Anzeige sofort beendet werden

Mit Werte zurücksetzen werden alle Werte (außer Netzwerkverbindungen) der Echtzeit-Statistik auf 0 zurückgesetzt.

Erweiterte Optionen

In den erweiterten Optionen wird die Kern-Konfiguration der NPF durchgeführt.

Registerkarte Web

In der Einstellung Web werden unter Standard die Standardeinstellungen für alle Websites angezeigt, wie sie in den Sicherheitskategorien Datenschutz und Sicherheit festgelegt wurden. Das betrifft die Handhabung von Java Applets, ActiveX Steuerelementen und Cookies. Zusätzlich kann hier in der Datenschutz Karteikarte die Übertragung des REFERER (zueletzt besuchte Webseite), FROM (E-Mail Adresse) und USER-AGENT (benutzter Browser/benutztes Betriebssystem) Headers fein eingestellt werden.
Wir erinnern uns, dass man bereits in der Sicherheitskategorie Datenschutz im Hauptfenster den FROM und REFERER Header generell sperren konnte (siehe oben).
Will man also unter Web eigene Informationen eintragen, muss die Option unter Datenschutz im Hauptfenster deaktiviert werden.
Zusätzlich kann hier in der Karteikarte Aktiver Inhalt festgelegt werden, wie mit Java- und VB(VisualBasic)Script und animierten Grafiken verfahren werden soll: Skript.

  • mit Gesamtes Skript blockieren werden alle JavaScripte & VBscripte blockiert
  • mit Nur Skript-Popups blockieren werden nur zusätzliche Browserfenster, die durch Skripte gestartet werden, blockiert
  • mit Ausführung des gesamten Skripts zulassen werden alle Java- & VB Skripte ausgeführt
Verschiedenes
  • mit Wiederholtes Abspielen von Animationen blockieren werden keine Animationen zugelassen
  • mit Wiederholtes Abspielen von Animationen zulassen werden alle Animationen zugelassen

Wie bereits im Abschnitt Sicherheit gesagt, wird die Regelung aktiver Inhalte/Skripte absolut restriktiv gehandhabt und nur für einzelne Sites zugelassen.
Dazu kann man im Web Fenster eine Site oder Domain hinzufügen (Beispiel: als Site "windowsupdate.microsoft.com" oder als Domain "microsoft.com") und dann im Datenschutz und Aktiver Inhalt Fenster selektiv die Bestandteile zulassen, die man zum Besuch und für die Funktionen der Website benötigt (z. B. für Shopping Sites oder Internet Banken, die JavaScript verwenden).
Im Datenschutz Fenster muss noch zuvor die Option Diese Regeln verwenden für... aktiviert werden.

Registerkarte Firewall

Im Firewall Fenster werden alle definierten und gespeicherten Firewall-Regeln aufgelistet.
Auf der linken Seite sieht man eine Beschreibung der Regel. Wenn mit dem Firewall Regelassistenten eine neue Regel aufgenommen wird, die sich auf ein Programm bezieht, setzt NPF automatisch den Namen des Programmes als Beschreibung ein.
Auf der rechten Seite wird der Regelinhalt summarisch in folgender Reihenfolge angezeigt:

  1. Programm/Service Icon
  2. blaue Richtungspfeile (links: eingehende (inbound)/rechts: ausgehende (outbound) Verbindungen
  3. [Zielrechner/IP-Adresse:] Protokoll/Portnummer/Service

Die Buttons Hinzufügen, Ändern und Entfernen dienen der Pflege der Regeliste, mit dem Test Button können Verbindungen simuliert werden, um die Regeln zu testen. Mit den beiden Positionierungspfeiltasten kann die Reihenfolge der Regeln geändert werden. Dies erst einmal zur Übersicht, zur genaueren Erklärung des Firewall Fensters kommen wir später.

Registerkarte Andere

HTTP-Anschlussliste

In der HTTP-Anschlussliste sind alle Anschlussnummern (Portnummern) aufgeführt, über die Anwendungen wie Browser, lokale Suchprogramme und Proxy per HTTP mit Servern im Internet kommunizieren und die NPF überwachen soll.

Verschiedenes

  • IGMP-Protokoll blockieren
    blockiert generell das Internet Group Management Protocol (IGMP), das zur Regsistrierung des eigenen Rechners bei Multicast-Routern eingesetzt wird.
    Diese Option aktivieren
  • Fragmentierte IP-Pakete blockieren
    blockiert generell IP-Pakete, deren Header stark fragmentiert sind, das betrifft alle per TCP, UDP, ICMP und IGMP ausgetauschten Datenpakete.
    Diese Option aktivieren
  • Autom. Firewall-Regelerstellung aktivieren
    Mit dieser Option wird festgelegt, ob NPF automatisch eigene Firewall-Regeln erstellen soll oder nicht.
    Wenn in der Sicherheitskategorie Sicherheit/Persönliche Firewall die Stufe Hoch... und die Option Aktiviere Personal Firewall Warnungen gewählt wurde, wird bei jeder Verbindung, für die keine Regel existiert, der Regelassistent aktiviert, mit dem manuell der genaue Inhalt der Firewall-Regel bestimt wird. Andernfalls nimmt NPF nur einen Regeleintrag vor, der erst einmal die Verbindung als zulässig kennzeichnet und den man nachträglich selbst bearbeiten muss!
    Diese Option deaktivieren
Konfiguration II
Die Erstellung und Pflege von Firewall-Regeln
Name-Server

Der Name-Server nimmt eine zentrale und primäre Rolle ein, wenn es um Verbindungsaufnahmen zu anderen Rechnern geht. Deshalb sollte man zuerst eine Regel erstellen (lassen), die die Verbindungen mit dem Name-Server grudsätzlich erlaubt.
Entweder hat man alle IP-Adressen der Name-Server des Provider bereits vorliegen (sonst nachfragen) oder nicht. Im ersten Fall kann man direkt eine Regel in der NPF eingeben.
Anhand des Name-Server Eintrags sollen deshalb an dieser Stelle exemplarisch die beiden Wege der Firewall-Regel Erstellung dargestellt werden.

Ob man eine halbautomatische oder eine manuelle Regel-Erstellung vornimmt:
Führen Sie sich gedanklich vor Augen, welche Rechner an der Verbindung beteiligt sind und wie die Kommunikationsströme erfolgen: Wann eine Inbound, wann eine Outbound Verbindung erfolgt und welches Protokoll über welchen Port ein Dienst oder ein Programm verwendet.

Dabei bietet die Datei SERVICES im Windows Verzeichnis eine bessere und umfangreichere Übersicht zu Ports und Diensten als die verkürzte Liste der NPF Hilfe.

A) IP-Adressen liegen vor

Wir öffnen das Hauptfenster, gehen in die erweiterten Optionen und öffnen das Firewall-Fenster:

Mit Hinzufügen/Add öffnen wir das Regel-Fenster der NPF:

  • hinter Name: vergibt man einen beschreibenden Namen, hier "Nameserver 1"
  • hinter Aktion/Action: geben wir an, ob eine Verbindung zugelassen (Permit), blockiert (Block) oder ignoriert (Ignore) wird, hier wird sie "erlaubt"
  • hinter Richtung/Direction: geben wir an, ob es sich um eine ankommende (inbound) oder abgehende (outbound) Verbindung oder um beides (either) handelt. Hier "beides"
  • hinter Protokoll/Protocol: geben wir an, um welchen Protokolltyp (TCP, UDP, TCP+UDP, ICMP) es sich handelt, hier "UDP"
  • hinter Kategorie/Category: kann noch bestimmt werden, in welche Klasse der Verbindungstyp fällt.
    Die Bezeichnungen der Kategorien können in der Registry im Zweig HKEY_LOCAL_MACHINE\Software\Symantec\IAM\FirewallObjects\Categories umbenannt werden

In der Registerkarte Anwendung/Application können wir bestimmen, ob die Regel...

  1. nur für die die oben aufgeführte Anwendung/Application shown above gelten soll (deren genaue Position mit dem Browse Button ermittelt werden kann)
  2. für jede Anwendung/Any Application gelten soll

Die Nameserver-Regel soll für alle Anwendungen gültig sein.

In der Registerkarte Dienst/Service können wir unter Remote-Dienst bestimmen, welche Dienste von fernen Rechnern (Servern) und unter Lokaler-Dienst, welche Dienste auf dem eigenen Rechner zugelassen werden:

  • Einzelner Dienst/Single service: die Regel bezieht sich nur auf die unter Dienstname oder Anschluss/Service name or port: einzutragende Portnummer (z. B. 53), statt der Portnummer kann auch der Dienstname (z. B. domain) verwendet werden
  • Dienst-Bereich/Service range: die Regel bezieht sich auf einen Bereich mehrerer Ports (A...Z), den man mit Eingabe der Portnummern unter Erste Portnummer/First port number und Letzte Portnummer/Last port number eingrenzt.
  • Dienste-Liste/List of services: die Regel bezieht sich auf eine Liste ausgewählter Dienste (A, D, Y...Z)
  • Jeder Dienst/Any service: die Regel bezieht sich auf alle Dienste

Während ein Dienst zumeist nur einen Port auf dem Server betrifft, kann dieser Dienst auf dem eigenen/lokalen Rechner aber über mehrere und unterschiedliche Ports laufen, deshalb wurde hier im lokalen Bereich Jeder Dienst/Any service aktiviert.

In der Registerkarte Adresse/Address werden unter Remote-Adresse die Adressen oder Adressbereiche der entfernten Server oder Netzwerke und unter Lokale Adresse die Adresse des eigenen Rechners bestimmt, die von der Regel betroffen sind:

Remote-Adresse:

  • Hostadresse/Host adress: Eintrag der IP-Adresse oder des Namens des Servers. Die IP-Adresse kann offline, der Name nur online eingetragen werden.
  • Netzwerkadresse/Network adress: Eintrag der IP-Adresse unter Adresse/Address: und des Teilnetzes, zu dem die IP-Adresse gehört unter Teilnetzmaske/Subnet mask:, um alle Rechner eines Teilnetzes zu erfassen
  • Adressbereich/Address range: Eintrag der ersten (niedrigsten) IP-Adresse unter Erste Adresse/First address: und der letzten (höchsten) IP-Adresse unter Letzte Adresse/Last address:, um alle Hosts eines beliebigen Adressraumes (netzwerkübergreifend) zu erfassen.
  • Jede Adresse/Any address: Alle Hosts des Internets, zu denen eine Verbindung aufgebaut wird, werden erfasst.

Lokale Adresse:

  • Hostadresse/Host address: Eingabe der eigenen IP-Adresse, wenn man keine dynamische, sondern eine fixe IP-Adresse besitzt oder 127.0.0.1/localhost, wenn man lokale Server wie Proxy(programme) oder Mailserver betreibt, über die Verbindungen weitergeleitet werden
  • Jede Adresse/Any address: Wenn man dynamische IP-Adressen zugewiesen bekommt und/oder keine lokalen Server betreibt.

In der Registerkarte Protokollieren/Logging kann eingestellt werden, ob ein Eintrag in das Ereignisprotokoll/Event Log und ein visueller Hinweis erfolgen soll, wenn eine Übereinstimmung mit einer Regel erfolgt ist:

  • Bei Übereinstimmung Eintrag im Ereignisprotokoll vornehmen: selbsterklärend
  • Ereignis protokollieren nach XY Übereinstimmungen: Ein Eintrag erfolgt erst, wenn für RegelA XY Übereinstimmungen registriert wurden
  • Sicherheitswarnung anzeigen, wenn diese Regel protokolliert wird: Im Status Fenster erscheint bei Regelübereinstimmung ein Warnsymbol, von dem auf den entsprechenden Eintrag im Ereignisprotokoll verzweigt wird

Ob man alles oder nur ausgewählte Regeln mitprotokollieren sollte, bleibt dem eigenen Geschmack überlassen. Ich würde nur Logeinträge für Regeln zulassen, die Verbindungen und Dienste betreffen, die nicht zum normalen Internetverkehr zählen oder zeitlich begrenzt, wenn über eine Regel ein neues Programm aufgenommen wurde, um zu überprüfen, ob die Verbindungen über dieses Programm funktionieren.
Einige Anwender erstellen auch einzelne Regeln für Trojanerports, um mitzubekommen, wieviele Trojaner Angriffsversuche sie erhalten.

B) die IP-Adressen liegen nicht vor - automatische Regelerstellung
Die Aufnahme aller Internetprogramme

Am besten startet man alle Programme, vom E-Mail Reader bis zum Browser, die man im Internet verwenden möchte oder legt sich eine Liste der verwendeten Programme zurecht. Danach stellt man eine Onlineverbindung her.
Anschließend stellt man mit jedem Programm eine Verbindung zu den beteiligten Zielrechnern her: Bei dem E-Mailprogramm wird das der Mail-Server (oder ein POP und ein SMTP Server) sein, beim Newsreader der News-Server, bei FTP-Programmen und Browsern wird es eine exemplarische Verbindung sein, die für viele Verbindungen steht (im Normalfall surft man viele verschiedene Seiten an und besucht mehrere FTP-Server), für die Browser kommt eventuell noch die Verbindung zu einem Proxy-Rechner hinzu, falls man einen verwendet.
Bei Programmen, die die Systemuhr nach der Atomuhr eines anderen Rechners stellen, ist es wieder ein bestimmter Time-Server.
Zum Beispiel versendet man mit dem E-Mailprogramm eine E-Mail und ruft die E-Mails anderer Personen ab, postet eine Nachricht in das Usenet und ruft die Nachrichten einer Newsgroup ab, besucht einen FTP-Server usw., usw.

Wird zum ersten Mal eine neue Verbindung zum Internet hergestellt, für die keine Regel existiert, öffnet sich das NPF Alarm Fenster.
Unter Details wird angezeigt, welches Programm an der Verbindung beteiligt ist, die genaue Uhrzeit und das Datum, ob es sich um eine eingehende (inbound) oder abgehende (outbound) Verbindung handelt, der beteiligte Service und die Portnummer und die IP-Adresse des entfernten Rechners.

Der Anwender hat nun drei Möglichkeiten zu reagieren:

  1. eine Regel für alle zukünftigen Verbindungen dieses Typs konfigurieren
  2. die aktuelle Netzwerk-Verbindung nur für dieses eine Mal blockieren
  3. die aktuelle Netzwerk-Verbindung nür für dieses eine Mal erlauben

Für alle oben erwähnten, regelmässig verwendeten Programme und Netzwerk-Verbindungen sollte direkt eine permanente Regel konfiguriert werden. Bei den meisten Verbindungen muss nur eine Outbound-Regel erstellt werden, es kann aber auch vorkommen, dass zuerst eine Outbound und danach eine Inbound Regel erstellt werden, da sich zwischen Client und Server Anfrage/Anforderung<=>Rückantwort/Rücksendung Beziehungen ergeben.
Die Verbindung über Port 53 zum Name-Server ist z. B. eine outbound/inbound Beziehung, ebenso die Ausführung eines Ping-Befehls, wo für die ICMP Echo-Anfrage eine Outbound-Regel und für die ICMP Echo-Antwort eine Inbound-Regel nötig ist oder eine FTP-Verbindung, die per FTP über Port 20 outbound und FTP-data über Port 21 inbound hergestellt wird.
Die Verbindungen zu Mail-Servern (SMTP und POP3), News-Servern und Web-Servern sind alle reine Outbound-Verbindungen und werden durch Outbound-Regeln abgedeckt.
Mehr dazu unten.

Im darauf folgenden Fenster wird bestimmt, ob die permanente Regel eine Verboten (Always block...)- oder Erlaubt (Always permit...)-Regel ist und ob man dem beteiligten Programm den totalen Internetzugriff über alle Ports erlaubt (Permit Programm XY) oder verweigert (Block Programm XY).

Wir entschliessen uns für die erste Option.
Es ist immer besser, jeden Dienst und jedes Programm so spezifisch wie möglich zu konfigurieren, z. B. ein Programm also an einen Port und einen bestimmten Server zu binden.
Die Auto-Konfiguration ist deaktiviert, da wir in Konfiguration I diese Option deaktiviert haben.

Deshalb schränken wir die Regel auf den Service XY mit Port YZ (Only this service) ein und weiten die Regel nicht auf alle Dienste (Any service) aus.

In diesem Fenster schränken wir die Regelbeziehung auf die bestimmte IP-Adresse eines Rechners (Address:) ein und beziehen sie nicht auf jede beliebige IP-Adresse (Any address), damit auch nicht auf jeden x-beliebigen Rechner im Internet.

Hier kann man der Regel noch eine bestimmte Kategorie zuordnen. Die Kategorien haben für NPF keine Bedeutung, da keine Auswertung möglich ist. Es gibt Zusatzprogramme wie NISrules, mit denen man die Kategorien verwerten kann.

Zum Schluss zeigt uns NPF eine summarische Übersicht des Regelinhalts an. Nehmen Sie sich die Zeit, die Regel nochmal zu überschauen, auch wenn eine nachträgliche Änderung möglich ist.

Diesen Vorgang wiederholen wir für jedes Programm, mit dem wir in Konatkt mit dem Internet kommen

Übersicht der gängisten Regeltypen
Programm/
Prozess
Dienst remote/lokal Port Richtung Rechner
remote/lokal
Protokoll
E-Mail SMTP u. POP3/Alle 25 u. 110 outbound Mailserver / Alle TCP
News-Reader NNTP/alle 119 outbound Newsserver / Alle TCP
Browser - ohne Proxy HTTP u. HTTPS/Alle 80,8000,
8080,3128
u. 443
outbound Alle/Alle TCP
Browser - mit Proxy HTTP/Alle 80,8000,
8080,3128
outbound IP Adresse des Proxys/Alle TCP
Browser - mit Proxy Programm HTTP/Alle Port Proxy-
programm
outbound localhost/Alle TCP
Proxy Programm A Alle/Port des Proxy Programms Port Proxy-
programm
inbound localhost/Alle TCP
Proxy Programm B Port des Proxy Programms / Alle Port Proxy Programm outbound Alle/Alle TCP
Browser mit Proxy oder Proxy Programm
[um direkte SSL Verbindungen ohne Proxy zu ermöglichen]
HTTPS/Alle 443 outbound Alle/Alle TCP
FTP FTP/Alle 21 outbound Alle/Alle TCP
FTP FTP-data/Alle 20 inbound Alle/Alle TCP
Whois whois/Alle 43 outbound Alle (oder bevorzugter Whois Server)/Alle TCP
Anmerkung

Mit dem whois Befehl, bzw. einer Anfrage an einen Whois Server können detailierte Informationen zu einer IP-Adresse in Erfahrung gebracht werden. Die NIC (Network Information Center) Server unterhalten dazu grosse Datenbanken über registrierte User und Hosts. Zusammen mit Traceroute und Finger wird Whois dann eingesetzt, um nähere Informationen zu Angreifern in Erfahrung zu bringen. Z. B. sind in der BlackIce Firewall solche Befehle bereits implementiert, d. h. registriert BlackIce einen Connect als Angriff, versucht sie selbstständig über obige Befehle den Angreifer zu identifizieren und zu lokalisieren.
Diese Funktionalität kann man durch Einsatz geeigneter Programme der NPF hinzufügen: Gibt die NPF eine Warnung aus, lokalisiert man im Ereignisprotokoll die Adresse des Remote Host und setzt dann die obigen Befehle auf die Adresse an.

Noch ein Tip:
Man sollte nicht bei jedem Portscan oder einem Versuch über einen Trojanerport auf den eigenen Rechner zuzugreifen, sofort Beschwerdemails an den ermittelten Provider versenden - der Portscan ist z. B. zu einem Volkssport sogenannter "Script-Kiddies" geworden, die sich damit einen Spass machen. Auch die bestürzte Nachfrage bei jedem Scan in einer Newsgroup ist überflüssig - Bei einer gut eingestellten Firewall kann man solche Angriffe getrost der Firewall überlassen.
Was hinzukommt: Geschicktere Angreifer verbergen sich über IP-Spoofing hinter anderen IP-Adressen, so dass eine Beschwerdemail auch den Falschen treffen könnte.
Nur wenn tatsächlicher Schaden entstanden ist oder die reale Gefahr eines Schadens bestand, sollte man mit einem Auszug des Ereignisprotokolls und den ermittleten Daten über obige Befehle den Provider und/oder die Polizei verständigen.

Regeln für ICMP Nachrichten

Für die ICMP Kontrollnachrichten (siehe oben) erstellen wir eine Inbound-Regel, die alle zulässigen inbound ICMP Verbindungen bündelt und eine Outbound-Regel, die alle zulässigen outbound ICMP Verbindungen bündelt nach dem Verfahren, wie es unter IP-Adressen liegen vor beschrieben ist.

ICMP-Inbound
  • im Feld Protokoll/Protocol ICMP auswählen, so dass im unteren Bereich die Registerkarte Typ sichtbar wird.
  • unter Typ die Option Typen-Liste aktivieren
  • mit dem Button Hinzufügen folgenden Typen eintragen:
    • Destination unreachable
    • Echo Reply
      [für Programme die Ping und Traceroute anbieten]
    • Parameter Problem
    • Source Quench
    • Time Exceeded for a Datagram
      [für Programme die Ping und Traceroute anbieten]
  • Die Angaben der anderen Registerkarten unverändert lassen
ICMP-Outbound
  • im Feld Protokoll/Protocol ICMP auswählen, so dass im unteren Bereich die Registerkarte Typ sichtbar wird.
  • unter Typ die Option Typen-Liste aktivieren
  • mit dem Button Hinzufügen folgenden Typen eintragen:
    • Address-Mask Request
    • Echo Request
      [für Programme die Ping und Traceroute anbieten]
    • Information Request
    • Timestamp Request
  • Die Angaben der anderen Registerkarten unverändert lassen
UltraBlock-Regeln

Wenn wir für die System-Verbindungen, ICMP-Verbindungen und Programm-Verbindungen alle Regeln aufgestellt haben, legen wir noch drei Regeln an, die für TCP/UDP und ICMP:

  • alle anderen Ports sperren
  • alle übrigen inbound/outbound Verbindungen sperren

Diese Regeln schliessen alle Verbindungen, für die keine Regel existiert, generell aus. D. h. auch, wenn wir ein neues Programm installieren oder einen neuen Dienst aufnehmen, müssen diese Regeln für die Dauer der Regelerstellung deaktiviert werden.

UltraBlock A
  • hinter Aktion: Blockieren
  • hinter Richtung: Beide Richtungen
  • hinter Protokoll: TCP oder UDP
  • Anwendung: Jede Anwendung
  • Dienst: Remote-Dienst: Dienstebereich: Portnummern 1 bis 65535 hinzufügen
  • Alle weiteren Angaben unverändert lassen
Ultrablock B
  • hinter Aktion: Blockieren
  • hinter Richtung: Beide Richtungen
  • hinter Protokoll: TCP oder UDP
  • Anwendung: Jede Anwendung
  • Dienst: Lokaler-Dienst: Dienstebereich: Portnummern 1 bis 65535 hinzufügen
  • Alle weiteren Angaben unverändert lassen
UltraBlock C
  • hinter Aktion: Blockieren
  • hinter Richtung: Beide Richtungen
  • hinter Protokoll: ICMP
  • Typ: Jeder Typ
  • Alle weiteren Angaben unverändert lassen

Anmerkung:
Mit der Eingabe der UltraBlock Regeln erscheinen die Ports bei Online-Sicherheitschecks nicht als stealth, sondern als closed.

Wer will, kann auch noch die Ereignisprotokollierung aktivieren oder Trojaner-Ports aus den Bereichen ausnehmen und dafür eine eigene UltraBlock-Regel mit Protokollierung erstellen, wenn man einen besonderen Eintrag zu Trojanern im Ereignisprotokoll wünscht, für die Blockierung von Hackangriffen ist das aber nicht nötig.

Nun stehen eine Menge von Regeln in der Firewall-Regelliste, die aber noch mit Hilfe der Reihenfolge-Pfeilbuttons sortiert werden müssen. Denn die NPF arbeitet die Regelliste bei jeder Verbindung der Reihe nach ab.
Sobald eine Regel zutrifft, werden die anderen Regeln, die darauf folgen, ignoriert.
Ich habe deshalb in meiner Firewall-Regelliste eine Dreiteilung (von oben nach unten).

I. Bereich:
Alle erlaubten inbound/outbound System-Regeln (also Nameserver, ICMP)
II. Bereich:
Alle erlaubten inbound/outbound Anwendungs-Regeln (also die an bestimmte Dienste, Ports und Server gebundenen Applikationen)
Zur besseren Übersicht sollte man alle Regeln, die zu einer Anwendung gehören untereinander gruppieren
III. Bereich:
Alle UltraBlock-Regeln und "Spezialitäten"
Die Ignorieren-Regel

Neben dem Erlauben und Verbieten (Blockieren) kann man als weitere Aktion Ignorieren wählen.
Wird ein Verbindungstyp mit einer Ignorieren-Regel belegt, erfolgt eine Protkollierung einer Verbindung, die der Regel entspricht (die NPF schaltet automatisch auf Protokolleintrag in der Protokollieren-Registerkarte), es wird aber keine Blockierung oder Erlaubnis erteilt, sondern die Firewall sucht weiter, ob eine darauffolgende Regel zutrifft. Ist dies nicht der Fall, startet der Regelassistent, um eine ständige oder temporäre Regel zu konfigurieren. D. h. man kann die Ignorieren-Aktion dazu verwenden, etwas nur zu protokollieren, aber auch, um eine Regel zeitweise, aber dauerhaft ausser Kraft zu setzen, denn wenn man das Häckchen vor einer Regel löscht, um sie zu deaktivieren, ist die Inaktivität nur für die Zeitdauer der Aktivität der NPF in Kraft, beim Neustart oder bei einer Neu-Aktivierung ist die Regel wieder in Kraft.
Normalerweise wird die Deaktivierung einer Regel nur selten benötigt, z. B. dann, wenn man eine neue Applikation aufnimmt und dazu die UltraBlock-Regeln für die Zeitdauer der Aufnahme deaktiviert.

Eine Überprüfung der Firewall mit diesen Konfigurationen ergibt bei den Online-Sicherheitschecks keinerlei Sicherheitsprobleme, was offene Ports und unberechtigte Zugriffe betrifft.

Wer sich für eine Personal Firewall interessiert, die sich auf die bloße Firewallfunktion, d. h. das Paketfiltern konzentriert, empfehle ich, einen Blick auf die TINY Personal Firewall zu werfen.
Die Tiny Firewall basiert auf der Firewallengine von Winroute Pro, die von den ICSA Labs (International Computer Security Association) nach deren Firewall Product Certification Criteria Version 3.0a zertifiziert wurde.

Links und nützliche Programme
[ Top ]