|
1. In jedem Fall sind eine anwendungsbezogene Desktop-Firewall (z.B. ZoneAlarm,
Tiny Personal Firewall, Outpost [60]) und ein Virenscanner (wei40
___________________________
Hinweise
terführende Informationen unter [7] bis [19] und [35] bis [38]) erforderlich,
weil man nur mit solchen Programmen (hoffentlich) verhindern kann, dass
schädliche (oder auch unbekannte) Programme (z.B. Trojaner) die offenen
Ports benutzen, um unerwünscht Daten zu übermitteln oder Schadprogramme
zu laden und auszuführen. Die Hardware-Firewall kann ja nur Adressen
und Ports sperren. Nützlich erscheint mir auch TrojanCheck [61].
Jeder Trojaner muss sich in irgendeiner Weise in den Startpunkten von
Windows verankern. Diese Punkte überwacht TrojanCheck.
2. Sehr interessant fand ich die Sandbox-Idee, die Aladdin mit eSafe Desktop
[3] umzusetzen versucht hat. Leider hat das Programm nur durchschnittliche
Kritiken bekommen, vor allem weil es schwierig zu konfigurieren ist
und nicht absolut zuverlässig funktioniert. Vereinfacht arbeitet eine Sandbox
wie folgt: Programme, die eine Internet-Verbindung aufbauen dürfen,
haben nur sehr eingeschränkten Zugriff auf die Rechner-Ressourcen (insbesondere
Festplattenverzeichnisse, Dateien, Registry), während Programme,
die uneingeschränkten Zugriff haben, eben nicht in das Internet
dürfen. Wie schwierig es ist, die Idee umzusetzen, haben mich meine Erfahrungen
gelehrt: Zum einen gibt es kaum noch neuere Programme, die
ohne Internetzugang auskommen. Zum anderen (und das ist viel schwerwiegender)
wollen die klassischen Zugangsprogramme (z.B. Outlook) einen
derart weitreichenden Systemzugriff, dass die ganze Idee nicht mehr
klappt. Insbesondere Outlook verknüpft sich in derart umfassender Weise
mit den anderen Office-Programmen, dass man sehr schnell die ganze Office-
Familie freigegeben hat. Wenn dann die wichtigsten und sensibelsten
Daten mit Word, Excel und Access bearbeitet werden sollen, müssen diese
Programme auch auf die Daten zugreifen können, so dass diese Daten
eben nicht mehr geschützt sind, wenn die Hauptprogramme in irgendeiner
Weise ins Internet kommen. Die neuesten Versionen der Norman Personal
Firewall [4] sowie der Tiny Personal Firewall (Version 4.0) [22] enthalten
ebenfalls Sandbox-Module, welche ich aber noch nicht ausprobieren konnte.
Die Sphinx PC Firewall (zuletzt wohl ebenfalls mit Sandbox) wird wegen
Insolvenz nicht weitergeführt.
Ausprobieren konnte ich inzwischen die Tiny Personal Firewall 3.0: Diese
Version hat nichts mehr mit einem einfachen Port-Blocker zu tun. Wenn
man sich die Oberfläche dieser Firewall und die hier angebotenen Möglichkeiten
ansieht, wähnt man sich am Ziel seiner Träume. Wenn die Firewall
all das könnte, was die Oberfläche verspricht, könnte das Programm
der ideale Schutz sein. Allerdings ist das ,Manual' derart knapp, dass ich
das Programm hiermit nicht bedienen könnte. Der Rechner wird nach der
Installation deutlich stärker belastet als mit der Tiny Personal Firewall 2.0
und der Kerio Personal Firewall 2.1.4, was angesichts der angebotenen
Überwachungsmöglichkeiten auch nicht verwundert. Ich habe zunächst
das Sandbox-Modul getestet und versucht, allen Programmen, die Zugriff
auf das Internet haben, den Zugriff auf die Laufwerke und Ordner auf meinem
Novell-Server zu verbieten - ohne jeden Erfolg. Ob dies mit den Besonderheiten
des Novell-Systems zusammenhängt und das Sandbox-
Modul in reinen Windows-Umgebungen funktioniert, habe ich nicht mehr
probiert, weil ich nach dieser Fehlfunktion keinerlei Vertrauen mehr in die
41
___________________________
Hinweise
Software hatte. Eine eMail-Anfrage an Tiny-Software wurde nicht beantwortet.
Das Manual enthält keinerlei Hinweise, dass die Software nur in
bestimmten Netzen (oder sogar nur auf Einzelrechnern) funktioniert. Auch
die Deinstallation der Software war nur mit Mühe möglich.
Nach meinen Erfahrungen mit der Version 3.0 fehlt mir im Moment der
Mut, die zum Jahreswechsel 2002/2003 herausgekommene Version 4.0
auszuprobieren [56]. Das bei tinysoftware separat herunterladbare Manual
ist nach wie vor unzulänglich: Es nützt nichts, dem Kunden 102 Seiten anzubieten,
wenn der größte Teil dieser Seiten leer ist.
3
. Wenn Sie einen alten Rechner haben, können Sie natürlich auch darüber
nachdenken, diesen an den Vigor anzuschließen, nur auf diesem das
TCP/IP-Protokoll zu installieren, nur mit diesem ins Internet zu gehen und
diesem Rechner den Zugriff auf andere Rechner zu verbieten (wird bei Virenupdates
und Updates anderer Software [Windows-Service-Packs] etwas
umständlich). Deshalb Alternative: Installieren Sie das TCP/IP doch
auf allen Rechnern. Blocken Sie im Filtersetup des Routers über die lokalen
IP-Adressen (feste Zuweisung erforderlich) alle Rechner außer dem ,alten'.
Die Blockade der anderen Rechner heben Sie nur kurzfristig auf und
auch nur, um Updates über vertrauenswürdige Sites Ihrer Softwarehersteller
zu laden.
Haben Sie keinen ,alten' Rechner, können Sie ähnliches auch auf einem
,neuen' Rechner mit einem Dual-Boot-System erreichen: Nehmen Sie statt
des ,alten' Rechners einen ,neuen' und installieren Sie auf diesem zwei Betriebssysteme
(kann natürlich auch zweimal w2k/XP sein). Es würde den
Rahmen dieser Hilfe sprengen, wenn ich versuchen wollte, auch dies zu
erklären (ich empfehle Partition Magic). Bei der Installation des TCP/IPProtokolls
auf beiden Betriebssystemen geben sie unterschiedliche IPAdressen
für die Netzwerkkarte ein (hier beweist sich einmal mehr, wie
nützlich es ist, dass es außer der MAC-Adresse auch eine frei zuweisbare
IP-Adresse gibt). Die IP-Adresse des Systems, welches ins Internet ,darf'
schalten Sie im Router-Filter-Setup frei, die andere blockieren Sie. Sie
müssen natürlich durch entsprechende Freigaben/Verschlüsselungen des
zu schützenden Betriebssystem dafür Sorge tragen, dass das internetzugelassene
System nicht auf die zu schützenden Daten zugreifen kann.
Wenn Ihnen auch das noch zu gefährlich erscheint, können Sie für das zu
schützende System w2k/XP einsetzen und für das internetzugelassene
System w98. w2k/XP formatieren Sie mit NTFS und w98 mit FAT xx. Ohne
spezielle Erweiterung kann w98 nicht auf die NTFS-Partitionen zugreifen.
4. In einer Newsgroup habe ich einmal den Ratschlag bekommen, doch den
Stecker zu ziehen. Was auf den ersten Blick aussieht wie eine Unverschämtheit
oder jedenfalls wie die Kapitulation vor den anstehenden Problemen,
ist auf den zweiten Blick durchaus nachdenkenswert: Es bringt sicherlich
zusätzliche Sicherheit, z.B. dem T-DSL-Modem den Strom abzuschalten,
wenn Sie keine Internetverbindung haben wollen (sehr bequem
mit einer fernbedienbaren Funk-Zwischensteckdose aus dem Baumarkt).
Auch diese ,mechanische Firewall' hat ihre Daseinsberechtigung. Das
42
___________________________
Hinweise
ISDN-Fallback muss natürlich abgeschaltet werden (Quick Setup � Internet
Access Setup � PPPoE Client Mode � ISDN Dial Backup Setup: None)
! Achtung: Bei meinen Firmware-Versionen 2.1, 2.2 und 2.3 funktionierte
diese Abschaltung nicht. Die Rechner benutzten trotz der oben wiedergegebenen
Einstellung die ISDN-Leitung, wenn der DSL-Zugang ausfällt.
Daher ist es besser, das ISDN-Kabel abzuziehen.
5. Bekanntlich legt Windows an mehreren Stellen Verknüpfungen zu Programmen
an, die beim Systemstart automatisch gestartet werden. Diese
automatisch startenden Programme sollte man sich regelmäßig ansehen,
und zwar einmal, um Verknüpfungen zu entfernen, die das System ausbremsen,
zum anderen aber auch, um festzustellen, ob sich an diesen
Stellen nicht ein Schädling eingenistet hat. So hat z.B. ein Trojaner den
schwierigsten Teil seiner Arbeit bereits erledigt, wenn es ihm gelungen ist,
sich unter die Autostart-Dateien zu schmuggeln. Zur Kontrolle reicht eigentlich
das Programm msconfig (über Start �Ausführen aufrufen), welches
aber nicht in allen Windows-Versionen enthalten ist. Wesentlich komfortabler
und mit allen Windows-Versionen arbeitet der Autostart-Manager
[44]. TrojanCheck [61] verspricht eine automatische Überwachung.
6. Viele Sicherheitspakete enthalten einen sogenannten Content-Filter, der
eingehende Pakete inhaltlich untersucht und bei bestimmten im Filter vorgegebenen
Inhalten verwirft. Ein solcher Filter könnte auch umgekehrt, bei
ausgehenden Paketen für zusätzliche Sicherheit sorgen. Man könnte z.B.
in geheimhaltungsbedürftigen Dateien einen bunten Zahlen- und Buchstaben-,
Salat' unterbringen und dem Filter vorgeben, Dateien, die diese
Buchstaben- und Zahlenkombination beinhalten, von einer Versendung ins
Internet auszunehmen. In WORD-Dateien könnte man die Kombination
notfalls in weißer Schrift im eigentlichen Text, besser aber in den Texteigenschaften
oder in einem verborgenen Textteil unterbringen. Erstellt man
sich eine entsprechende Dokumentenvorlage, klappt das Ganze in Zukunft
vollautomatisch. Leider habe ich noch kein Programm gefunden, das einen
Content-Filter für ausgehende Pakete beinhaltet.
7. Für den Umgang mit Cookies und dem Referrer finden Sie bei den Begriffserläuterungen
unter den entsprechenden Stichworten Hinweise.
8. Wie Sie mit den erheblichen Risiken umgehen, die bei der Verwendung
des Internet Explorers und aktiviertem ActiveX entstehen, müssen Sie
selbst entscheiden. Erste Hinweise finden Sie in den Begriffserläuterungen
unter ActiveX.
|
