Startseite   |  Site map   |  A-Z artikel   |  Artikel einreichen   |   Kontakt   |  
  


informatik artikel (Interpretation und charakterisierung)

Programm

Firewall

Konfiguration einer ergänzenden desktop firewall am beispiel der kerio firewall (vormals tiny personal firewall)


1. Java
2. Viren

Vorstehend habe ich bereits mehrfach darauf hingewiesen, dass die Router-Firewall

tunlichst durch eine Desktop-Firewall ergänzt werden sollte, weil diese insbesondere

die generell freigegebenen Verbindungen dadurch weiter präzisieren kann, dass sie

diese Verbindungen nur für bestimmte Programme freischaltet. Ein angenehmer Nebeneffekt

ist, dass eine solche Desktop-Firewall bei den problematischen ICMPVerbindungen

bestimmte Unter-Typen dieses Protokolls ausschließen kann.

Hierzu stehen eine Vielzahl von Programmen zur Verfügung (s. [7], [14], [16], [18],

[19], [60]). Für die Kerio Firewall (Version 2.1.4 vom 15.04.2002, im folgenden KF,

Weiterentwicklung der Tiny Personal Firewall [22], im folgenden TPF) habe ich mich

entschieden, weil

- sie für die private Nutzung kostenlos ist [21],

- sie auf allen MicroSoft-Betriebssystemen ab Windows 9x funktioniert,

- sie und die TPF - absehen von der Konfiguration, der nur spärlichen Hilfe in

englisch und des Risikos, durch ein Schadprogramm gewaltsam beendet zu

werden (dazu noch unten) - grundsätzlich in allen Tests gut abgeschnitten

haben,

- sie mit ihrer deny-all-Strategie meiner vorgeschlagenen Konfiguration für die

Router-Firewall sehr ähnelt, so dass man nicht grundlegend umdenken muss,

- sie sehr kompakt ist und keine Unmengen an Speicherplatz frisst und es auch

bei den einzelnen Regeln sehr detailliert ermöglicht, eine Vielzahl von Fällen

mit einer einzigen Regel abzudecken,

- ich subjektiv auch im laufenden Betrieb praktisch keine Performance-

Einbußen feststellen konnte, was bei anderen Firewalls, mit denen ich gearbeitet

habe, ganz anders aussieht,

- die Konfiguration nach meiner Auffassung sehr übersichtlich ist (wenn Sie sich

durch die Anleitung für die Router-Firewall gekämpft haben, müssten Ihnen alle

Menupunkte der KF auf Anhieb einleuchtend sein),

- die Firewall auch konfiguriert werden kann, wenn man nur mit einfachen Benutzerrechten

angemeldet ist (Es mag zunächst merkwürdig erscheinen, dass

ich dies positiv werte, entspricht aber meinen Sicherheitsvorstellungen: Ich

versuche immer, Internetverbindungen zu vermeiden, wenn ich Administrator-

Rechte habe. Wenn mich KF zwänge, die Konfiguration mit diesen Rechten

vorzunehmen, müsste ich zur Konfiguration und zum Test eine Vielzahl von

Verbindungen mit diesen Rechten herstellen. KF kann durch ein eigenes

Passwort gesichert werden. Dies ist die richtige Lösung.),

- ich grundsätzlich Programme vorziehe, bei denen ich genau sehe, was ich

einstelle, und demgegenüber Programme meide, die meinen, Sie wüssten,

was ich will, und mir helfen wollen, indem sie Dinge für mich entscheiden, ohne

mir genau zu sagen, was sie eigentlich eigenmächtig machen (deshalb teile

ich die in den diversen Tests an der TPF (s. insbesondere [18]) geäußerte

Kritik, die Firewall lasse gefährliche Regeln zu und sei für Einsteiger schwer

zu konfigurieren, gerade nicht: Eine Firewall kann nur der sinnvoll einrichten,

67

___________________________

Konfiguration einer ergänzenden Desktop Firewall

der sich mit der Materie befasst hat. Wenn ein solcher Anwender eine gefährliche

Regel möchte, soll er sie bekommen.)

- sie nach meiner Auffassung die Einrichtung eben doch sehr erleichtert, weil

sie sich so einstellen lässt, dass sie bei allen Paketen, bei denen die Firewall

keine Regel findet, nachfragt und die Erstellung einer generellen Regel ermöglicht,

- sie anhand von MD5-Checksummen prüft, ob eine Anwendung, die für bestimmte

Verbindungen zugelassen wurde, modifiziert oder ausgetauscht wurde

(Wenn der Sinn der ergänzenden Desktop-Firewall gerade darin bestehen

soll, die Router-Firewall durch anwendungsbezogene Regeln zu verfeinern,

wäre es natürlich eine Katastrophe, wenn sich die Desktop-Firewall schon dadurch

aushebeln ließe, dass sich ein Schadprogramm in ,Internet Explorer'

umbenennt).

I

n der Bedienbarkeit erhält die KF in Vergleichstests regelmäßig nur durchschnittliche

oder gar unterdurchschnittliche Noten. Das ist aber ein grundsätzliches Problem von

Softwaretests, weil am Ende eine Gesamtnote herauskommen soll, durch die ganz

unterschiedliche Gesichtspunkte vermengt werden. Die KF ist sicher nichts für Anwender,

die davon ausgehen, nur den Knopf ,Install' drücken zu müssen, um danach

ein ,sicheres' System zu haben. Man muss sich mit der Firewall auseinandersetzen

und sich die Regeln erarbeiten. Wenn man dies aber getan hat, wird man nach meiner

Auffassung feststellen, dass die Bedienbarkeit nicht nur sehr gut ist, sondern

dass es auch nichts zu verbessern gibt (und dies behaupte ich nur von sehr wenig

Software).

Viel ernster ist die - auf fast alle Desktop-Firewalls und auf viele andere Sicherheitsprogramme

zutreffende - Feststellung, dass diese Firewalls durch Schadprogramme

,abgeschossen' werden können (der derzeit am meisten verbreitete Schädling, nämlich

der Bugbear-Wurm, ist eben auch deshalb so erfolgreich, weil er eine Vielzahl

von Schutzprogrammen beenden kann, vgl. die Liste bei: [43]).

Bei der KF kann man dies durch einen Eintrag in die Registry verhindern [24] (unter

NT/w2k/XP sind natürlich Administrator-Rechte erforderlich; auch hier der übliche

Hinweis: bitte die Registry vor jeder Veränderung sichern):

Unter Start  Ausführen Regedit eingeben:

Unter win 9x/ME den Eintrag

HKEY_LOCAL_MACHINESystemCurrentControlSetServicesVxDfwdrv

und unter NT/w2k/XP den Eintrag

HKEY_LOCAL_MACHINESystemCurrentControlSetServicesfwdrv

suchen und dort einen neuen DWORD-Wert mit der Bezeichnung ,AlwaysSecure'

anlegen und diesem Eintrag den Wert ,1' zuweisen.

68

___________________________

Konfiguration einer ergänzenden Desktop Firewall

Danach muss der Rechner neu gestartet werden. Solange die KF läuft, funktioniert

alles wie gewohnt. Wird die KF aber beendet, ist der gesamte TCP/IP-Verkehr gesperrt

(NetBEUI funktioniert weiter). Sie kommen also weder ins Internet noch ans

WebInterface des Routers, der Virtual TA Client und die Monitor-Programme für den

Router funktionieren nicht mehr. Sie können nicht einmal mehr das Administrations-

Menu der KF aufrufen, um diese wieder einzuschalten. Um dies zu können, müssen

Sie zunächst mit regedit die oben wiedergegebenen Registry-Einträge aufrufen, den

Wert von ,AlwaysSecure' auf ,0' setzen, den Rechner neu starten, das Administrations-

Menu der KF aufrufen, diese wieder einschalten, den Wert von ,AlwaysSecure'

wieder auf ,1' setzen und den Rechner neu starten. Sicherheit hat eben ihren Preis.

Allerdings dürfte die KF mit diesem Registry-Patch jeden Vergleichstest zwischen

Portblockern gewinnen. Gleichwohl bleibt natürlich das Risiko, dass ein Schadprogramm

den vorerwähnten DWORD-Wert zunächst auf ,0' setzt und erst dann die Firewall

abschießt, und dieses Risiko wird durch die Verbreitung des oben wiedergegebenen

Tipps noch größer. Deshalb auch an dieser Stelle nochmals mein Rat:

Nicht mit Administrator-Rechten im Internet surfen !

I

ch habe den Registry-Patch sowohl unter w98 als auch unter w2k getestet und keine

weiteren Probleme feststellen können.

Abschließend möchte ich darauf hinweisen, dass die TPF in [18] abgewertet wurde,

weil sich in diesem Test bei einer Installation auf Windows XP ein Schadprogramm

den Namen ,Explorer.exe' und dessen in der Firewall vergebenen Rechte aneignen

konnte. Sollte dies zutreffen, so wäre das natürlich eine schwere Sicherheitslücke !

Die PC Welt hat die Firewalls allerdings unter erschwerten Bedingungen getestet,

weil die Datei- und Druckerfreigabe auch für den Internet-Anschluss freigeschaltet

war, was ich für den Normalanwender nicht empfehle (s.o. Begriffserläuterungen

NetBIOS). Die Fehlfunktion hängt möglicherweise auch mit den nachstehend umschriebenen

Freigaben zusammen, die KF automatisch bei einer Installation unter

w2k erstellt und die ich abschalten würde (s.u.). Bei meinen Installationen ist ein solcher

Fehler nie aufgetreten. Die KF hat mich jedes Mal gewarnt, wenn ein zugelassenes

Programm durch ein Update geändert oder ausgetauscht wurde (und das ist

bei den ganzen bugfixes und Sicherheits-Patches für den Internet Explorer gerade

bei diesem Programm sehr häufig vorgekommen). Alle nachstehenden Ausführungen

können Sie praktisch unverändert auch für die TPF übernehmen, denn die Oberflächen

der KF und der TPF unterscheiden sich nur geringfügig.

Nach der Installation würde ich zunächst die Firewall durch einen Rechtsklick auf das

in der Taskleiste rechts neu erscheinende Icon aufrufen und dann unter Administration

 Miscellaneos die Checkbox ,Check For New Versions ...' deaktivieren. Andernfalls

stellt KF bereits eine Internetverbindung für die Suche nach einer neuen Version

her, bevor Sie sich angemeldet haben. Bei Win9X würde ich im gleichen Menu auch

,Enable DNS Resolving' deaktivieren, weil auch dies beim Start bereits zu einer Verbindung

mit dem externen DNS-Server führt. Unter Windows 2000 passiert das nicht.

Gleichzeitig würde ich zur Kenntnis nehmen, dass unter Administration  Authentication

,Authentication Is Required' angekreuzt und ein Passwort vergeben werden

kann, würde dies aber zunächst noch nicht aktivieren, sondern erst die wesentlichen

Erlaubnisregeln eingeben bzw. erstellen lassen. Sonst müssen Sie bereits in der An69

___________________________

Konfiguration einer ergänzenden Desktop Firewall

fangsphase ständig das Passwort angeben, um die Firewall Administration aufzurufen

und die Regeln zu verfeinern. Nach den Grundeinstellungen ist es aber unbedingt

erforderlich, die Firewall durch ein Passwort zu sichern. Auch unter w2k hat

sonst jeder einfache Benutzer Zugriff auf die Firewall und kann sie abschalten oder

unsinnige Regeln eingeben.

KF erstellt unter w2k (nicht unter w98) nach der Installation eine Reihe von Erlaubnisregeln,

die ich für bedenklich halte und die Sie nach meiner Auffassung auch nicht

benötigen und deaktivieren sollten, wenn Sie den LAN-Verkehr nicht über TCP/IP

(sondern über NetBEUI) betreiben (so wird zum Beispiel der Port 445 freigegeben,

mit dem w2k die Datei- und Druckerfreigabe managt, und die Local Security Authority

[LSASS.EXE], die u.a. dafür zuständig ist, ein sicheres Einloggen auf anderen Rechnern

zu ermöglichen, usw.). In w2k/XP-Netzen, bei denen mittels direct hosting

TCP/IP benutzt wird, werden Sie an diesen Regeln nicht vorbeikommen. Sie erkennen

diese Freigaben daran, dass sie für Programme gelten, die im Verzeichnis

...WINNTSystem32 abgelegt sind, oder bei ihnen statt eines Programmes ,system'

angegeben ist.

DHCP funktionierte auf meinen Rechner ohne ausdrückliche Freigabe durch die KF.

I

m übrigen können Sie sich die Konfiguration der KF ziemlich einfach machen: Lassen

Sie den Regler der Firewall-Administration in der mittleren Stellung ,Ask me First'

und starten Sie alle Internetanwendungen. Bei fehlender Zulassung werden Sie gefragt,

wie verfahren werden soll: Sie können mit ,permit' die Verbindung einmal zulassen

oder mit ,Create Rule' gleich eine Regel erstellen. Im Anschluss an diese

,Rundreise' würde ich mir allerdings unter Administration  Firewall  Advanced 

Edit die einzelnen Regeln genau ansehen und verfeinern bzw. allgemeiner formulieren,

denn je weniger Regeln Sie brauchen, um so weniger wird die Leistung Ihres

Rechners durch die Firewall beeinträchtigt. Um Ihnen diese Arbeit zu erleichtern folgt

ein Beispielset:

70

___________________________

Beispielfilterset für die Kerio Firewall

Beispielfilterset für die Kerio Firewall

Nr.

Rule Description

enabled

Direction

Action

(Permit=P/Deny=B)

Protocol

Local Port

Remote Address

Remote Port

Rule Valid (always=a)

Application

1 DNS->Router X both P UDP any 192.168.1.1 53 a any

2 DNS (t-online) X both P UDP any 217.5.99.9 (s. Anm.) 53 a any

3 DNS (t-online) Reserve X both P UDP any 194.25.2.129-194.25.2.134

(s. Anm.)

53 a any

4 Outgoing PING command X Out P ICMP any any entfällt a any

5 Outgoing PING command

(Incoming Reply)

X In P ICMP any any entfällt a any

6 Incoming Icmp Time Exceeded

(used by TRACEROUTE

command)

X In P ICMP any any entfällt a any

7 Outgoing reply on PING

command

X Out P ICMP any any entfällt a any

8 Other ICMP X both B ICMP any any entfällt a any

9 IGMP X both B other-2 any any entfällt a any

10 Virtual TA Broadcast X Out P UDP any 255.255.255.255 56415 a {Lw}:programmevirtual ta clientrccicon.exe

11 Virtual TARouter X both P TCP and

UDP

any 192.168.1.1 56415 a {Lw}:programmevirtual ta clientrccicon.exe

12 Telnet->Router X Out P TCP any 192.168.1.1 23 a {Lw:}:winntsystem32telnet.exe

13 Download Manger http, https X Out P TCP any any 80,443 a {Lw}:programme{Pfad}{Programmname}

14 Download Manager ftp Kommandokanal

X Out P TCP any any 21 a {Lw}:programme{Pfad}{Programmname}

15 Download Manager ftp

Datenkanal

X Out P TCP 1024-65535 any 1024-65535 a {Lw}:programme{Pfad}{Programmname}

16 WS_FTP Pro (21) X Out P TCP 1024-65535 any 21 a {Lw}:programmews_ftp proftp95pro.exe

17 WS_FTP Pro data X Out P TCP 1024-65535 any 1024-65535 a {Lw}:programmews_ftp proftp95pro.exe

18 WS_FTP Pro aktiv X In P TCP 1024-65535 any 20 a {Lw}:programmews_ftp proftp95pro.exe

19 Virenscanner-Update X Out P TCP any any 80 a {Lw}:programme{Pfad}{Programmname}

20 Internet Explorer Loopback X Out P TCP and

UDP

any 127.0.0.1 any a {Lw }:programmeinternet exploreriexplore.exe

71

___________________________

Beispielfilterset für die Kerio Firewall

21 Internet Explorer X Out P TCP any any 80,443 a {Lw }:programmeinternet exploreriexplore.exe

22 Outlook Express Loopback X Out P TCP and

UDP

any 127.0.0.1 any a {Lw}:programmeoutlook expressmsimn.exe

23 Outlook Express POP3 X Out P TCP any 194.25.134.0-194.25.134 .128

(s. Anm.)

110 a {Lw}:programmeoutlook expressmsimn.exe

24 Outlook Express SMTP X Out P TCP any 194.25.134.0-194.25.134 .128

(s. Anm.)

25 a {Lw}:programmeoutlook expressmsimn.exe

25 NAV POP3 X Out P TCP any 194.25.134.0-194.25.134 .128

(s. Anm.)

110 a {Lw}:programmegemeinsame dateien

symantec sharedccapp.exe

26 NAV SMTP X Out P TCP any 194.25.134.0-194.25.134 .128

(s. Anm.)

25 a {Lw}:programmegemeinsame dateien

symantec sharedccapp.exe

27 NTVDM (t-online-Banking) X Out P TCP any 194.25.134.0-194.25.134 .255

(s. Anm.)

any a {Lw}:winntsystem32ntvdm.exe

28 OnlineBanking (Werbeblocker)

X Out B TCP any any any a {Lw}:programmetonline_

40ob4hbcibanking.exe

29 Realplayer X Out P TCP any any 80 a {Lw}:programmerealrealplayerrealplay.exe

30 QuickTime X Out P TCP any any 80 a {Lw}:programmequicktimequicktimeplayer.exe

31 WMPlayer Loopback X Out P TCP and

UDP

any 127.0.0.1 any a {Lw}:programmewindows media

playerwmplayer.exe

32 WMPlayer X Out P TCP any 207.46.0.0/255.255.0.0 80 a {Lw}:programmewindows media

playerwmplayer.exe

33 MMJukebox Loopback X Out P TCP and

UDP

any 127.0.0.1 any a {Lw}:programmemusicmatchmusicmatch

jukeboxmmjb.exe

34 MMJukebox X Out P TCP any any 80 a {Lw}:programmemusicmatchmusicmatch

jukeboxmmjb.exe

35 Outlook Express NNTP tonline

X Out P TCP any 62.153.159.134 119 a {Lw}:Programmeoutlook expressmsimn.exe

36 Outlook Express NNTP MicroSoft

X Out P TCP any 207.46.248.16 119 a {Lw}:Programmeoutlook expressmsimn.exe

37 Block all X both B any any any entfällt a any

72

___________________________

Beispielfilterset für die Kerio Firewall

Leerformular zum Erstellen eigener Regeln für die Kerio Firewall: Nr.

Rule Description

enabled

Direction

Action

(Permit=P/Deny=B)

Protocol

Local Port

Remote Address

Remote Port

Rule Valid (always=a)
Application

 
 

Datenschutz
Top Themen / Analyse
indicator NTP (Network Time Protocol)
indicator Elementare Suchmethoden
indicator Sammeln der Monitoring Informationen
indicator Herstellung der CDs
indicator Flachbandplotter
indicator Eingabe / Ausgabe von Zeichenketten
indicator Das Intranet
indicator Email -
indicator Das USB Protokoll
indicator Wie geht's weiter


Datenschutz
Zum selben thema
icon Netzwerk
icon Software
icon Entwicklung
icon Windows
icon Programm
icon Unix
icon Games
icon Sicherheit
icon Disk
icon Technologie
icon Bildung
icon Mp3
icon Cd
icon Suche
icon Grafik
icon Zahlung
icon Html
icon Internet
icon Hardware
icon Cpu
icon Firewall
icon Speicher
icon Mail
icon Banking
icon Video
icon Hacker
icon Design
icon Sprache
icon Dvd
icon Drucker
icon Elektronisches
icon Geschichte
icon Fehler
icon Website
icon Linux
icon Computer
A-Z informatik artikel:
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z #

Copyright © 2008 - : ARTIKEL32 | Alle rechte vorbehalten.
Vervielfältigung im Ganzen oder teilweise das Material auf dieser Website gegen das Urheberrecht und wird bestraft, nach dem Gesetz.
dsolution