Der ,klassische' Call-Filter, der in fast jeder Router-Konfiguration vorgegeben wird, ist
der NetBIOS-Blocker, mit dem beim TCP/IP-Protokoll Anfragen von den NetBIOS
Ports 137-139 an den DNS-Port 53 für alle Ziel- und Quell-Adressen unterbunden
werden, um unerwünschte Verbindungen zu verhindern (s. dazu im einzelnen noch
bei den Beispielregeln Sets 1 + 2).
Mit einem Call Filter kann man aber beispielsweise auch einstellen, dass nur zu bestimmten
IP-Adressen (=Internet-Adressen) eine Verbindung hergestellt werden darf
(z.B. www.heise.de). Dazu muss man allerdings die dem Domain-Namen entsprechende
IP-Adresse kennen oder erfragen (z.B. 193.141.40.129). Achtung: Als alleinige
Sicherheitseinstellung reicht das natürlich nicht, denn der Call-Filter wird ja nur
dann abgearbeitet, wenn keine Internet-Verbindung besteht. Daher wirkt der vorbeschriebene
Call-Filter nicht mehr, wenn die Verbindung besteht, so dass der Anwender
von der zugelassenen Adresse weitersurfen kann, ohne dass der Filter dies verhindert.
Will man daher wirklich nur Verbindungen mit einer bestimmten Adresse zulassen,
so ist zusätzlich entweder ein gleichlautender Daten-Filter erforderlich oder
man definiert im General Setup für die Datenfilter das gleiche Regelset als Anfangspunkt
wie für die Call-Filter. In Zusammenarbeit mit einem solchen Daten-Filter
macht der Call-Filter deshalb Sinn, weil bereits die Verbindungsaufnahme unterbunden
wird.
Eine weitere Anwendungsmöglichkeit besteht darin zu verhindern, dass ein bestimmtes
Programm von sich aus eine - u.U. kostenpflichtige - Verbindung eigenmächtig
aufbaut (z.B. um die Uhrzeit mit einer Atom- oder Funkuhr abzugleichen). Bei den
Datenfiltern kann man diesen Datenverkehr dann zulassen, weil hier nur eine bereits
bestehende Verbindung genutzt wird. Die immer häufiger anzutreffende Unsitte, dass
Programme bei ihrem Start oder sogar schon beim Start von Windows eine Internet-
Verbindung herstellen, um auf der Homepage des Herstellers nach Updates zu suchen,
kann man so ebenfalls bekämpfen, indem man einen passenden Call-Filter
benutzt. Der Nachteil besteht darin, dass die Update-Funktion - auch wenn man sie
bewusst benutzen will - jetzt nur noch funktioniert, wenn man vorher eine Verbindung
aufbaut. Auch andere Programm-Funktionen können beeinträchtigt sein. Deshalb
ist es in jedem Fall besser, im Programm selbst nach einer Möglichkeit zu suchen,
das Auto-Update abzuschalten (unter w2k/XP muss man in jedem Fall unter
Start->Einstellungen->Systemsteuerung->Automatische Updates-> "Computer auf
dem neuesten Stand halten" deaktivieren). Nicht selten fehlt in den Programmen eine
solche Funktion. Dies ist sehr schlecht für alle Anwender, die über einen Router ins
Internet gehen. Das Programm will ,nur' prüfen, ob eine Verbindung zu einer
bestimmten Internet-Seite möglich ist und schickt eine Anfrage an diese Seite.
Aufgabe des Routers ist aber gerade, die Beantwortung einer solchen Frage zu
ermöglichen. Also schickt der Router nicht etwa eine Info an das anfragende
Programm mit der er mitteilt, zur Zeit bestehe keine Verbindung, sondern stellt
(pflichtgemäß) die Verbindung her, damit die Anfrage beantwortet werden kann.
Vielleicht ist mit der Unsitte Schluss, wenn der erste Anwender, der über einen Rou33
___________________________
Hinweise
Schluss, wenn der erste Anwender, der über einen Router ins Internet geht, keine
Flatrate hat, die Verbindungen im Hintergrund nicht bemerkt hat, weil er keinen Kontroll-
Monitor hat und vom Programmhersteller auf automatischen Verbindungsaufbauten
nicht hingewiesen worden ist, die hierdurch entstandenen Kosten erfolgreich
als Schadensersatz von seinem Vertragspartner eingefordert hat.
I
ch persönlich mag die ,unerklärlichen' Verbindungsaufbauten überhaupt nicht (und
viele andere Anwender auch nicht, wenn man sich die diesbezüglichen Anfragen in
den Foren ansieht), weil sie auch ein Anzeichen dafür sein können, dass sich ein
Schädling (z.B. ein Trojaner) im System breit gemacht hat.
Leider kann der Router - im Gegensatz zu einer Software Desktop-Firewall - natürlich
keine Anwendungen erkennen, weil er nur Datenpakete bekommt. Daher lässt
sich ein solcher Call-Filter nur dann realisieren, wenn die ,lästige' Anwendung z.B.
einen atypischen Port benutzt, der sich sperren lässt, ohne dass der gewöhnliche
Internetverkehr (z.B. über Port 80: http) unterbunden wird oder die lästige Anwendung
eine bestimmte IP-Adresse ansteuert, die bekannt ist oder sich ermitteln lässt.
Schließlich kann der Call-Filter eingesetzt werden, wenn man bestimmten Rechner
im Netzwerk zwar nicht die Internet-Nutzung, wohl aber die selbständige Verbindungsaufnahme
untersagen will. Dies setzt allerdings voraus, dass den einzelnen
Netzwerk-Rechnern die IP-Adressen nicht dynamisch, sondern fest zugewiesen werden.
Die IP-Adressen der auszusperrenden Rechner müssen dann bei der Source-
(Quell-) IP-Adresse eingetragen werden, wobei bei Destination (Ziel) ,any' (jede) Adresse
anzugeben und die Port-Nrn. freizulassen sind. Durch eine entsprechende
Subnetzmaske (s. bei Begriffserläuterungen) können auch Gruppen mit einer einzigen
Regel ausgesperrt werden.
|