Startseite   |  Site map   |  A-Z artikel   |  Artikel einreichen   |   Kontakt   |  
  


informatik artikel (Interpretation und charakterisierung)

Kommentierte Übersetzung des handbuches


1. Java
2. Viren

Vorbemerkung Die folgende Übersetzung gibt den Abschnitt 5.6 des Handbuches wieder, welches

mit meinem Vigor 2200X (Firmware bei Auslieferung: 2.0a) ausgeliefert wurde. Der

englische Text kann unter

f

tp://ftp.draytek.com.tw/VIGOR2200/MANUAL/USER\'S%20GUIDE.zip

nach wie vor heruntergeladen werden (im ZIP-Archiv ist es die Datei IPFILTER.PDF)

Allgemeines

Die Einstellungen finden sich im Advanced Setup unter IP Filter/Firewall Setup.

Der Router enthält zwei Arten von Filtern, nämlich die Anruffilter (Call Filter) und die

Datenfilter (Data Filter).

Die Anruffilter entscheiden, ob bei nicht bestehender Verbindung mit einem bestimmten

Datenpaket eine Verbindung hergestellt werden darf, der Datenfilter entscheidet,

ob der Pakettyp, der versandt werden soll, gesperrt ist oder nicht. Ist er gesperrt, so

wird er verworfen, andernfalls zum Versand freigegeben.

4

___________________________

Kommentierte Übersetzung des Handbuches

Ein ankommendes Paket wird sofort durch den oder die Datenfilter geschickt und

entweder verworfen oder an das LAN (Local Area Network) weitergeleitet.

Es gibt 12 Filter-Sets, die jeweils bis zu 7 Regeln enthalten können, so dass insgesamt

84 Filter-Regeln definiert werden können. In der Standardeinstellung sind die

Anruffilter-Regeln im ,Set 1' und die Datenfilter-Regeln im ,Set 2'.

Um die Arbeitsweise der Filter besser zu verstehen, empfiehlt es sich, zunächst im

Anhang unter Socket den Zusammenhang zwischen IP-Adresse und Port-Nr. nachzuschlagen.

Das Eingangsmenu

3 Menupunkte stehen zur Wahl:

General Setup generelle Einstellungen für die Firewall

Filter Setup die 12 Filter-Sets können erstellt/bearbeitet werden

Set to Factory Default die Filterregeln werden auf die Standardwerte zurückgestellt

General Setup

Call Filter Anruffilter können ein- (Enable) und ausgeschaltet (Disable) werden.

Außerdem kann eingestellt werden, mit welchem Set die

Call-Filter beginnen (Start Filter Set). Standardmäßig beginnen

die Call-Filter vor den Datenfiltern. Das macht deshalb Sinn, weil

man von dem Filter-Set, mit dem die Call-Filter beginnen, auf

weitere Filter-Sets verweisen kann, so dass die später definierten

Datenfilter zugleich als Call-Filter fungieren. (vgl. zum Sinn der

Call-Filter noch unter Einige persönliche Anmerkungen)

Data Filter Datenfilter können ein- (Enable) und ausgeschaltet (Disable)

werden. Außerdem kann eingestellt werden, mit welchem Set die

Datenfilter beginnen (Start Filter Set).

Um es klar zu machen: Durch die Unterscheidung zwischen Anruf- und Datenfilter

habe ich die Möglichkeit, ein Filterset vor die eigentlichen Datenfilter zu

setzen, welches nur durchlaufen wird, wenn keine Internet-Verbindung besteht.

Hierdurch kann ich - wenn mir eine passende Regel einfällt -, die Verbindungsaufnahme

zu einer bekannten IP-Adresse oder über bestimmte Ports

verhindern, um z.B. unnötige Kosten zu verhindern. Gleichzeitig kann ich aber

den Datenaustausch in den Datenfiltern zulassen, wenn bereits eine Verbindung

besteht (z.B.: Ein Programm gleicht die Uhrzeit im Computer mit der Atomzeit

ab, indem es sich mit einer bestimmten IP-Adresse verbindet. Dies soll

das Programm auch tun, aber eben nur dann, wenn aus anderen Gründen bereits

eine Verbindung besteht).

Log Flag für die Fehlersuche kann das Verhalten der Filter protokolliert

werden

5

___________________________

Kommentierte Übersetzung des Handbuches

None nichts wird protokolliert

Block alle blockierten (verworfenen) Pakete werden protokolliert

Pass alle Pakete, die die Filter passieren durften, werden protokolliert

No Match alle Pakete, auf die keine Regel zutraf, werden protokolliert

Das Protokoll kann mit TELNET betrachtet werden. TELNET meint in diesem

Zusammenhang das mit Windows mitgelieferte Terminal-Programm (Telnet

heißt aber auch das zu TCP/IP gehörende Protokoll für virtuelle Terminals, s.

Anhang). TELNET wird gestartet mit:

Start->Ausführen und der Eingabe

telnet 192.168.1.1

wobei die Zahl hinter Telnet die IP-Adresse des Routers angibt. Im obigen

Beispiel wurde die Standard IP-Adresse des Routers verwandt. Falls diese

geändert wurde, muss natürlich die geänderte Adresse angegeben werden.

Nach Abfrage des (hoffentlich vergebenen) Passwortes kann mit

log -f

(Kleinschreibung beachten !)

die Protokoll-Datei betrachtet werden. Weitere Einzelheiten zu TELNET in

Verbindung mit dem Vigor-Router befinden sich in Kapitel 8 des Original-

Handbuches und nachfolgend unter ,Hinweise'.

MAC Address for Logged Packets Duplication

MAC (Media Access Control) hat in diesem Zusammenhang

nichts mit apple zu tun, sondern gibt eine in alle

Netzwerkkomponenten fest eingebaute Adresse an, die

weltweit einmalig sein soll (nicht mit IP-Adresse verwechseln).

MAC-Adressen sehen z.B. so aus: 00-80-C7-6D-A4-

6E. Die MAC-Adresse des Routers wird im Hauptbildschirm

der Router-Konfiguration angezeigt.

Wenn also ein Duplikat der Protokoll-Datei an eine andere

Netzwerkkomponente versandt werden soll, muss hier die

entsprechende MAC-Adresse (im HEX-Format, Zahlensystem

auf der Basis 16 [0....9 und A...F]) eingetragen

werden. Soll diese Funktion abgeschaltet werden, so ist

an Stelle der MAC-Adresse ,0' einzugeben.

Filter Setup

Comments Beschreibung des Filter-Sets (max. 22 Buchstaben)

Filter Regeln ein Klick auf den gewünschten Zahlenschalter ermöglicht

das Erstellen/Bearbeiten der gewählten Regel

Active Ein- und Ausschalten der Regel

Next Filter Set Verweis auf ein weiteres Filter-Set, welches nach dem aktuellen

Filter-Set bearbeitet werden soll. Das Original-

Handbuch weist etwas missverständlich darauf hin, dass

mit den Filtern keine Schleife gebildet werden darf (,The

6

___________________________

Kommentierte Übersetzung des Handbuches

Filters cannot be looped'). Gemeint ist damit, dass nur auf

nachfolgende und nicht auf vorangehende Filter-Sets verwiesen

werden darf.

Wichtig: Der Verweis muss auch dann gesetzt werden,

wenn das nachfolgende Filterset anschließend abgearbeitet

werden soll. Wenn Sie hier ,None' eintragen, macht die

Firewall nach dem Filterset Schluss, was insbesondere

dann fatal ist, wenn Sie Ihren Regelsatz so aufgebaut haben,

dass am Ende im letzten Set eine ,deny all'-Regel alles

blockt, was nicht vorher erlaubt wurde (wird bei den

Filterbeispielen noch erläutert).

Lediglich bei den Call-Filtern kann man überlegen, ob es

Sinn macht, auf die nachfolgenden Datenfilter zu verweisen.

Dies hängt davon ab, welche Regel-Arten man bei

den Call-Filtern definiert hat.

Bearbeiten der Filter-Regeln

Comments Beschreibung der Filter-Regel (max. 14 Buchstaben)

Active Ein- und Ausschalten der Regel

Pass or Block gibt an, was zu tun ist, wenn die Regel zutrifft

Block Immediately Paket wird sofort verworfen, wenn die

Regel zutrifft

Pass Immediately Paket wird sofort weitergeleitet, wenn

die Regel zutrifft (Bei der Verwendung

dieser Option ist natürlich Vorsicht

geboten: Wenn diese Regel zu großzügig

oder fehlerhaft formuliert ist, hilft

es nichts mehr, dass später möglicherweise

sehr detaillierte Sperrregeln

formuliert sind, denn diese Regeln

werden gar nicht mehr abgearbeitet !)

Block If No Further Match das Paket wird verworfen, es sei denn

eine spätere Regel lässt es ausdrücklich

zu. Ich habe diese Option ,bedingte

Verwerfung' genannt. Gemeint ist:

Grundsätzlich sollen Pakete, die die

Regel erfüllen, nicht weitergeleitet

werden; in einer späteren Regel folgt

aber eine Ausnahme für eine Untermenge

aus der Menge der Pakete, für

die die aktuelle Regel zutrifft, und diese

Untermenge soll zugelassen werden.

Pass If No Further Match das Paket wird zugelassen, es sei

denn eine spätere Regel verwirft es

ausdrücklich. Ich habe diese Option

,bedingte Zulassung' genannt. Gemeint

ist: Grundsätzlich sollen Pakete,

die die Regel erfüllen, weitergeleitet

7

___________________________

Kommentierte Übersetzung des Handbuches

werden; in einer späteren Regel folgt

aber eine Ausnahme für eine Untermenge

aus der Menge der Pakete, für

die die aktuelle Regel zutrifft, und diese

Untermenge soll verworfen werden.

Branch to Other Filter Set wenn die Regel zutrifft, verzweigt die

nächste Filter-Regel zu dem hier angegebenen

Filter-Set. Diesen Satz

habe ich möglichst wortgetreu aus

dem Originalhandbuch übersetzt. Die

Beschreibung ist ebenso kurz wie

falsch (genauer wird dies unter IV.

Hinweise Kann die Firewall mehr ?

erläutert). Lassen Sie möglichst ,None'

stehen. Sie können aber auch irgendetwas

anderes eintragen, wenn Sie es

schaffen. Hierdurch wird nur Speicherplatz

im Router verschwendet.

Der Router arbeitet in jedem Fall die

nächste aktive Filter-Regel im aktuellen

Set ab (beachte nochmals: bei den

Filter-Sets muss ausdrücklich angegeben

werden, dass das nächste Filter-

Set aufgerufen werden soll).

Log Log-Funktion ein/ausschalten: Das erstellte Protokoll kann

mit dem TELNET-Befehl log -f eingesehen werden (s.o.:

General Setup) (eine genaue Beschreibung, wie Sie mit

TELNET weiterkommen, finden Sie übrigens in den Erläuterungen

zum Beispielfilterset unter ,Was fehlt ?')

Direction bestimmt, ob ein- oder ausgehende Datenpakete von der

Regel betroffen sind (der Menu-Punkt ist daher für Call-

Filter irrelevant)

für Datenfilter:

In Regel gilt für ankommende Pakete

Out Regel gilt für abgehende Pakete

Protocol legt fest für welche Protokollart die Regel gilt (any [=jede],

TCP, UDP, ICMP, IGMP, zur Erläuterung s. Anhang)

I

P Adress bestimmt für welche Source- (=Quell-) Adresse bzw. für

welche Destination- (=Ziel-) Adresse die Regel gilt. Dabei

gilt es zu unterscheiden: Falls bei ,Direction' ,In' angegeben

wurde, ist mit ,Source' der externe Rechner und mit

,Destination' der lokale Rechner gemeint, bei ,Out' ist es

genau umgekehrt. Ein ,!'-Zeichen vor der Adresse bewirkt,

dass die Regel für diese Adressen nicht gilt (entspricht

8

___________________________

Kommentierte Übersetzung des Handbuches

dem logischen Operator NOT (nicht)). Nicht mit dem unten

beschriebenen Operator-Feld verwechseln. Achtung: die

Angabe bestimmter Adressen für lokale Rechner macht

natürlich nur dann Sinn, wenn diese fest und nicht dynamisch

vergeben werden oder Sie mit einer passenden

Subnetzmaske arbeiten.

Subnet Mask hier kann eine als Filter fungierende Subnet-Maske zur IPAdresse

eingetragen werden (dies führt an dieser Stelle

zu weit, s. daher unter Begriffserläuterungen und bei der

Beispielkonfiguration)

Operator logischer Operator mit folgenden Möglichkeiten:

= Wenn End Port leer bleibt, gilt die Regel für den bei

Start Port angegebenen Port, andernfalls für alle

Ports, die zwischen Start Port und End Port liegen

(einschließlich Start Port und End Port). Wenn Sie gar

nichts eintragen gilt die Regel für alle Ports.

!= Wenn End Port leer bleibt, gilt die Regel für alle Ports

die nicht den bei Start Port angegebenen Wert haben,

andernfalls für alle Ports, deren Werte nicht zwischen

Start Port und End Port liegen (einschließlich Start

Port und End Port)

> Die Regel gilt für alle Ports, die größer oder gleich

dem bei Start Port angegebenen Wert sind.

< Die Regel gilt für alle Ports, die kleiner oder gleich

dem bei Start Port angegebenen Wert sind.

Keep State Wenn dies angekreuzt wird, wird die Protokoll-Information

über die TCP/UDP/ICMP-Kommunikations-Sitzung von

der IP-Filter/Firewall aufbewahrt. Die Firewall-Protokoll-

Möglichkeit setzt voraus, dass TCP oder UDP oder

TCP/UDP oder ICMP ausgewählt wurde, damit diese

Operation korrekt funktioniert.

Wer mit dieser (von mir möglichst wörtlich) übernommenen

Übersetzung aus dem Original-Handbuch etwas anfangen

kann, ist ein Künstler. Eine Erklärung finden Sie

unter Begriffserläuterungen.

Source Route = Quell-Route (in den Handbüchern nicht erläutert, ab

Firmware 2.3 aus dem WebInterface entfernt, wird aber

unter Begriffserläuterungen trotzdem erklärt, beachten Sie

bitte unbedingt die Hinweise dort, wenn Sie auf die Firm9

___________________________

Begriffserläuterungen

ware 2.3 umsteigen und vorher Regeln benutzt haben, bei

denen die Source Route-Option aktiviert war !)

Fragments Behandlung fragmentierter Datenpakete

Don't Care Regel gilt unabhängig davon, ob das Datenpaket

fragmentiert ist oder nicht

Unfragmented Regel gilt nur bei nicht fragmentierten Datenpaketen

Fragmented Regel gilt nur bei fragmentierten Datenpaketen

Too Short Regel gilt nur bei Datenpaketen, die zu klein sind, um

einen kompletten TCP-Header zu haben. Anmerkung

von mir: Bei der so genannten Tiny Fragment Attacke

erzeugt der Hacker extrem kleine Datenpakete, von

denen nur das erste den TCP-Header enthält. Dadurch

soll der Router veranlasst werden, nur das erste

Fragment zu prüfen und die restlichen ungeprüft

durchzulassen. Nach meiner Auffassung sollte daher

eine Regel verfasst werden, die nur für Pakete gilt, die

,too short' (zu kurz) sind, und die diese Pakete auf allen
Ports verwirft.

 
 

Datenschutz
Top Themen / Analyse
indicator Zukunft der Viren
indicator Der Drucker--
indicator Die Flusskontrolle
indicator Was ist Internet? -
indicator Warum auch perfekte Expertensysteme problematisch wären
indicator Digitale Signatur
indicator Computer - Konfiguration
indicator Benutzerverwaltung unter Windows NT
indicator Java.net.Socket
indicator What do I need to get started?


Datenschutz
Zum selben thema
icon Netzwerk
icon Software
icon Entwicklung
icon Windows
icon Programm
icon Unix
icon Games
icon Sicherheit
icon Disk
icon Technologie
icon Bildung
icon Mp3
icon Cd
icon Suche
icon Grafik
icon Zahlung
icon Html
icon Internet
icon Hardware
icon Cpu
icon Firewall
icon Speicher
icon Mail
icon Banking
icon Video
icon Hacker
icon Design
icon Sprache
icon Dvd
icon Drucker
icon Elektronisches
icon Geschichte
icon Fehler
icon Website
icon Linux
icon Computer
A-Z informatik artikel:
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z #

Copyright © 2008 - : ARTIKEL32 | Alle rechte vorbehalten.
Vervielfältigung im Ganzen oder teilweise das Material auf dieser Website gegen das Urheberrecht und wird bestraft, nach dem Gesetz.
dsolution