Block

Block ICMP fragment: aktivieren br / Block IP options: IP-Options werden im Internet selten verwandt. Es dürfte zu keinen

Problemen kommen, wenn diese Option aktiviert wird.

Enable Port Scan detection: würde ich aus den Gründen, die ich unter den Begriffserläuterungen

dargelegt habe, nicht aktivieren. Außerdem sollten die nachfolgenden

Filterregeln und die Desktop-Firewall verhindern, dass ein offener Port - selbst

wenn er gefunden wird - missbraucht werden kann.

Block TCP flag scan: immer aktivieren. Pakete mit irregulären Flags deuten mit

ziemlicher Sicherheit auf einen Angriff hin. Selbst wenn die Flags versehentlich

falsch gesetzt sind, wird das Paket ohnehin verworfen.

Block trace route: würde ich nicht aktivieren, sondern mich auch insoweit auf die

nachfolgenden Filterregeln und die Desktop-Firewall verlassen.

Block Unknown Protocol: wie Block Trace Route: Mit den Port-Filtern in der Vigorund

der Desktop-Firewall kann ich viel genauer arbeiten.

Blockierer

Bevor Sie irgendeinen der nicht unter ,Forscher' aufgeführten Punkte aktivieren,

müssen Sie darüber nachdenken, ob auf Ihrem System überhaupt Server-Dienste

angeboten werden und welche Ports Sie für eingehende Verbindungen geöffnet haben.

Einen hilfreichen Test finden Sie bei PC Flank [58]. Selbst wenn Sie aber zu

dem Ergebnis kommen, dass Sie theoretisch angreifbar sind, sollten Sie nicht ohne

weitere Überlegung alle vom Vigor angebotenen Optionen aktivieren. Nur wenn Sie

der Auffassung sind, dass schon der erste DoS-Angriff und der damit verbundene

Ausfall von Server-Diensten für Sie eine Katastrophe bedeutet, müssen Sie sich den

DoS-defense-Optionen zuwenden, wobei nach meinen Informationen Land, Ping of

Death und Tear Drop für Windows-Rechner ab w98 keine Gefahr mehr darstellen.

Sind hingegen die Server-Dienste für Sie nicht von existentieller Bedeutung, dann

können Sie es auch darauf ankommen lassen, ob Sie überhaupt jemals Opfer eines

solchen Angriffs werden, was nach meiner Auffassung eher unwahrscheinlich ist, da

sich DoS- oder DDoS-Angreifer in der Regel große Institutionen aussuchen werden.

Werden Sie nachhaltig durch solche Angriffe gestört, können Sie immer noch die

Angriffsform, deren Opfer Sie geworden sind, abwehren. Dies ist nach meiner Auffassung

die bessere Lösung, als durch das ,blinde\' Einschalten aller Abwehrmöglichkeiten

im Vigor ständig Performance-Einbußen in Kauf nehmen zu müssen.

Allgemeine Tipps für die bei ,Threshold' und ,Timeout' einzustellenden Werte kann es

nicht geben, weil einerseits der Angreifer bestimmt, mit wie vielen Paketen er Sie pro

Sekunde bombardieren will, und weil es andererseits vom angegriffenen System abhängt,

wie viele Pakete es pro Sekunde verkraftet, bevor es ernsthaft gestört ist.

53

___________________________

Beispielfilterset für die Router Firewall

Einstellung der einzelnen Filter-Regeln

(BI=Block Immediately - PI = Pass Immediately):

Bitte beachten Sie, dass die Sets 2 bis 11 jeweils auf das nachfolgende Filterset verweisen. Lediglich bei den Call-Filtern (Set 1) erfolgt kein

Verweis auf ein anderes Set (None). Natürlich können Sie stattdessen auch auf das nächste belegte Filterset verweisen und die nicht belegten

überspringen. Weil ich aber Sorge habe, dass dies später einmal übersehen werden könnte und Regeln in ein Set eingetragen werden, die nie

zum Zuge kommen, weil das ganze Set übersprungen wird, habe ich aus Sicherheitsgründen hiervon abgesehen.

Filter Set 1 Comments Default Call Filter Next Filter Set None

Source Destination

Rule

Comments

Check to enable

Pass or Block

Branch to other Filter

Set

Duplicate to LAN

Log

Direction

Protocol

IP-Adresse

Subnet Mask

Operator

Start Port

End Port

IP-Adresse

Subnet Mask

Operator

Start Port

End Port

Keep State

Fragments

1 Block

NetBIOS

X BI None

in TCP/

UDP

any 255.255.255.255/32 = 137 139 any 255.255.255.255/32 = Don't Care

Filter Set 2 Comments Default Data Filter Next Filter Set Set#3

Source Destination

Rule

Comments

Check to enable

Pass or Block

Branch to other Filter

Set

Duplicate to LAN

Log

Direction

Protocol

IP-Adresse

Subnet Mask

Operator

Start Port

End Port

IP-Adresse

Subnet Mask

Operator

Start Port

End Port

Keep State

Fragments

1 NetBIOS -

> DNS

X BI None

out TCP/

UDP

any 255.255.255.255/32 = 137 139 any 255.255.255.255/32 = 53 Don't Care

54

___________________________

Beispielfilterset für die Router Firewall

Filter Set 3 Comments Block Next Filter Set Set#4

Source Destination

Rule

Comments

Check to enable

Pass or Block

Branch to other Filter

Set

Duplicate to LAN

Log

Direction

Protocol

IP-Adresse

Subnet Mask

Operator

Start Port

End Port

IP-Adresse

Subnet Mask

Operator

Start Port

End Port

Keep State

Fragments

1 Block Too

Short

X BI None in any any 255.255.255.255/32 = any 255.255.255.255/32 = Too Short

Filter Set 4 Comments zugelassene Ports Out 1 Next Filter Set Set#5

Source Destination

Rule

Comments

Check to enable

Pass or Block

Branch to other Filter

Set

Duplicate to LAN

Log

Direction

Protocol

IP-Adresse

Subnet Mask

Operator

Start Port

End Port

IP-Adresse

Subnet Mask

Operator

Start Port

End Port

Keep State

Fragments

1 ICMP X PI None

out ICMP any 255.255.255.255/32 = any 255.255.255.255/32 = Don't Care

2 DNS (tonline)

X PI None

out UDP any 255.255.255.255/32 = 217.5.99.9

s. Anm.

255.255.255.255/32 = 53 Don't Care

3 DNS (tonline)

X PI None

out UDP any 255.255.255.255/32 = 194.25.2.128

s. Anm.

255.255.255.128/25 = 53 Don't Care

4 http (80) X PI None

out TCP any 255.255.255.255/32 = any 255.255.255.255/32 = 80 Don't Care

5 https

(443)

X PI None

out TCP any 255.255.255.255/32 = any 255.255.255.255/32 = 443 Don't Care

55

___________________________

Beispielfilterset für die Router Firewall

Filter Set 5 Comments zugelassene Ports Out 2 Next Filter Set Set#6

Source Destination

Rule

Comments

Check to enable

Pass or Block

Branch to other Filter

Set

Duplicate to LAN

Log

Direction

Protocol

IP-Adresse

Subnet Mask

Operator

Start Port

End Port

IP-Adresse

Subnet Mask

Operator

Start Port

End Port

Keep State

Fragments

1 POP3(11

0) t-onl

X PI None

out TCP any 255.255.255.255/32 = 194.25.134.0

s. Anm

255.255.255.128/25

s. Anm

= 110 Don't Care

2 SMTP(25)

t-onl

X PI None

out TCP any 255.255.255.255/32 = 194.25.134.0

s. Anm

255.255.255.128/25

s. Anm

= 25 Don't Care

3 NNTP TOnline

X PI None

out TCP any 255.255.255.255/32 = 62.153.159.134

s. Anm.

255.255.255.255/32 = 119 Don't Care

4 NNTP

MicroSoft

X PI None

out TCP any 255.255.255.255/32 = 207.46.248.16

s. Anm.

255.255.255.255/32 = 119 Don't Care

5 ftp (21) X PI None

out TCP any 255.255.255.255/32 > 1024 any 255.255.255.255/32 = 21 Don't Care

6 pass.ftp>1

024

X PI None

out TCP any 255.255.255.255/32 > 1024 any 255.255.255.255/32 > 1024 Don't Care

7 Telnet

(23)

X PI None

out TCP any 255.255.255.255/32 = any 255.255.255.255/32 = 23 Don't Care

Filter Set 6 Comments Next Filter Set Set#7

Source Destination

Rule

Comments

Check to enable

Pass or Block

Branch to other Filter

Set

Duplicate to LAN

Log

Direction

Protocol

IP-Adresse

Subnet Mask

Operator

Start Port

End Port

IP-Adresse

Subnet Mask

Operator

Start Port

End Port

Keep State

Fragments

56

___________________________

Beispielfilterset für die Router Firewall

Filter Set 7 Comments Next Filter Set Set#8

Source Destination

Rule

Comments

Check to enable

Pass or Block

Branch to other Filter

Set

Duplicate to LAN

Log

Direction

Protocol

IP-Adresse

Subnet Mask

Operator

Start Port

End Port

IP-Adresse

Subnet Mask

Operator

Start Port

End Port

Keep State

Fragments

Filter Set 8 Comments zugelassene Ports IN 1 Next Filter Set Set#9

Source Destination

Rule

Comments

Check to enable

Pass or Block

Branch to other Filter

Set

Duplicate to LAN

Log

Direction

Protocol

IP-Adresse

Subnet Mask

Operator

Start Port

End Port

IP-Adresse

Subnet Mask

Operator

Start Port

End Port

Keep State

Fragments

1 ICMP X PI None

in ICMP any 255.255.255.255/32 = any 255.255.255.255/32 = Don't Care

2 akt.ftpdata/

20

X PI None

in TCP any 255.255.255.255/32 = 20 any 255.255.255.255/32 > 1024 Don't Care

57

___________________________

Beispielfilterset für die Router Firewall

Filter Set 9 Comments Next Filter Set Set#10

Source Destination

Rule

Comments

Check to enable

Pass or Block

Branch to other Filter

Set

Duplicate to LAN

Log

Direction

Protocol

IP-Adresse

Subnet Mask

Operator

Start Port

End Port

IP-Adresse

Subnet Mask

Operator

Start Port

End Port

Keep State

Fragments

Filter Set 10 Comments Real Player Next Filter Set Set#11

Source Destination

Rule

Comments

Check to enable

Pass or Block

Branch to other Filter

Set

Duplicate to LAN

Log

Direction

Protocol

IP-Adresse

Subnet Mask

Operator

Start Port

End Port

IP-Adresse

Subnet Mask

Operator

Start Port

End Port

Keep State

Fragments

1 554 OUT PI None

out TCP any 255.255.255.255/32 = any 255.255.255.255/32 = 554 Don't Care

2 7070 Out PI None

out TCP any 255.255.255.255/32 = any 255.255.255.255/32 = 7070 Don't Care

3 UDP PI None

in UDP any 255.255.255.255/32 = any 255.255.255.255/32 6970 7170 Don't Care

58

___________________________

Beispielfilterset für die Router Firewall

Filter Set 11 Comments Notfall53-25-110-119auf Next Filter Set Set#12

Source Destination

Rule

Comments

Check to enable

Pass or Block

Branch to other Filter

Set

Duplicate to LAN

Log

Direction

Protocol

IP-Adresse

Subnet Mask

Operator

Start Port

End Port

IP-Adresse

Subnet Mask

Operator

Start Port

End Port

Keep State

Fragments

1 DNS OUT

any

PI None

out UDP any 255.255.255.255/32 = any 255.255.255.255/32 = 53 Don't Care

2 SMTP

OUT any

PI None

out TCP any 255.255.255.255/32 = any 255.255.255.255/32 = 25 Don't Care

3 POP3

OUT any

PI None

out TCP any 255.255.255.255/32 = any 255.255.255.255/32 = 110 Don't Care

4 NNTP any PI None

out TCP any 255.255.255.255/32 = any 255.255.255.255/32 = 119 Don't Care

Filter Set 12 Comments Block all Next Filter Set None

Source Destination

Rule

Comments

Check to enable

Pass or Block

Branch to other Filter

Set

Duplicate to LAN

Log

Direction

Protocol

IP-Adresse

Subnet Mask

Operator

Start Port

End Port

IP-Adresse

Subnet Mask

Operator

Start Port

End Port

Keep State

Fragments

1 Block out X BI None

out any any 255.255.255.255/32 = any 255.255.255.255/32 = Don't Care

2 Block in X BI None

in any any 255.255.255.255/32 = any 255.255.255.255/32 = Don't Care

59

___________________________

Beispielfilterset für die Router Firewall

Leerformular zum Eintragen eigener Filterregeln für die Router-Firewall:

Filter Set ____ Comments Next Filter Set Set#

Source Destination

Rule

Comments

Check to enable

Pass or Block

Branch to other Filter

Set

Duplicate to LAN

Log

Direction

Protocol

IP-Adresse

Subnet Mask

Operator

Start Port

End Port

IP-Adresse

Subnet Mask

Operator

Start Port

End Port

Keep State

Fragments

1

2

3

4

5

6 7

Datenschutz
Top Themen / Analyse

	LAN - Standards: Ethernet, Tokenring, Tokenbus, FDDI
	Sequentielle Suche -
	Was ist eine Domäne?
	3D-Scanner
	Die Geschichte des I-Nets
	Von Access- und Assign-Methoden
	Wie funktioniert ein Computer ?
	Bill Gates und das erfolgreichste Softwareunternehmen der Welt!!!
	Scripteditor:
	Controller- und Bus-Standards