Besuchen Sie jetzt unseren Online Shop www.tos.mynetcologne.de ..::..::..::..::..Schauen Sie mal unsere Service Produkte und unsere Service Angebote an es LOHNT sich.... ..::..::..::..::..

Firewall Einstellung inklusive zwei Einrichtung Varianten

Hier werden Sie einiges über Firewalls erfahren, was sie sind, wie sie funktionieren und wer sie herstellt.

Was ist ein Firewall?

Eine Firewall ist jedes Gerät, das dazu entwickelt wurde, Außenseiter davon abzuhalten, Zugang zu Ihrem Netzwerk zu erhalten. Dieses Gerät ist in der Regel ein unabhängiger Rechner, ein Router oder eine Firewall in einer Box (proprietäres Hardware-Gerät). Das Gerät dient als einzelner Eingangspunkt zu Ihrer Site. Die Firewall bewertet jede eingehende Verbindungsanfrage. Es werden nur Verbindungsanfragen von autorisierten Hosts weiterverarbeitet, die anderen Verbindungsanfragen werden abgelehnt.

Die meisten Firewalls erreichen dies, indem sie die Ursprungsadresse überprüfen. Wenn Sie beispielsweise nicht wollen, dass sich die Benutzer des Rechners www.mcp.com auf Ihrer Site umsehen, können Sie die entsprechende Adresse sperren, indem Sie Verbindungsanfragen von 206.246.131.227 blockieren. An deren Ende wird dann eine Meldung wie »Verbindung abgelehnt« oder ähnliches generiert (oder es gibt gar keine Meldung, der Versuch zum Verbindungsaufbau wird einfach ignoriert).

Was macht eine Firewall?

Firewalls können eingehende Datenpakete von verschiedenen Protokollen analysieren. Basierend auf dieser Analyse kann eine Firewall verschiedene Aktionen starten. Daher können Firewalls an Bedingungen geknüpfte Auswertungen durchführen (»Wenn ich auf diesen Pakettypen treffe, dann werde ich das tun«).

Diese an Bedingungen geknüpften Konstruktionen werden Regeln genannt. Wenn Sie eine Firewall aufstellen, werden Sie sie im allgemeinen mit Regeln versorgen, die die Zugangsrichtlinien Ihrer Organisation widerspiegeln. Nehmen wir beispielsweise an, Sie haben Buchhaltungs- und Vertriebsabteilungen. Unternehmensrichtlinien verlangen, dass nur die Vertriebsabteilung Zugang zu Ihrer Website erhält. Um diesen Richtlinien zu entsprechen, weisen Sie Ihrer Firewall eine Regel zu; in diesem Fall ist die Regel, dass nur Verbindungsanfragen und Verbindungen aus der Vertriebsabteilung erlaubt werden.

In dieser Hinsicht sind Firewalls für Netzwerke das, was Benutzerprivilegien-Schemata für Betriebssysteme sind. Zum Beispiel können Sie unter Windows NT festlegen, welche Benutzer auf eine bestimmte Datei oder ein bestimmtes Verzeichnis zugreifen können. Das ist benutzerbestimmbare Zugriffsberechtigungszuweisung auf Betriebssystemebene. Ganz ähnlich dazu ermöglichen Ihnen Firewalls Zugriffsberechtigungszuweisungen zu Ihren vernetzten Workstations oder Ihrer Website.

Diese Zugangsüberprüfung ist allerdings nur ein Teil dessen, was moderne Firewalls tun können. Zum Beispiel ermöglichen die meisten kommerziellen Firewalls eine Überprüfung des Inhalts. Diese Möglichkeit können Sie ausnutzen, um Java-, JavaScript-, VBScript- und ActiveX- Scripts sowie Cookies an der Firewall zu blockieren. Sie können sogar Regeln kreieren, um bestimmte Angriffssignaturen zu blockieren.

Tipp:

Wie baue ich eine Firewall?

Im esoterischen Sinn existieren die Bestandteile einer Firewall im Kopf der Person, die sie entwickelt. In ihrer Essenz ist eine Firewall eher ein Konzept als ein Produkt; sie basiert auf der Bestimmung, wer Zugang zu Ihrer Site erhält.

In generellem Sinn besteht eine Firewall aus Software und Hardware. Die Software kann Proprietär, Shareware oder Freeware sein. Die Hardware kann jede Hardware sein, die die Software unterstützt.

Firewall- Typen

Firewalls kommen in zwei grundlegenden Versionen:

• Netzwerkschicht- Firewalls 
• Anwendungsschicht- Gateway- Firewalls

Lassen Sie uns jede kurz anschauen.

Netzwerkschicht- Firewalls

Netzwerkschicht- Firewalls sind in der Regel Router mit mächtigen Paketfilterfunktionen. Mit einer Netzwerkschicht- Firewall können Sie basierend auf verschiedenen Variablen Zugang zu Ihrer Site gewähren oder ablehnen. Diese Variablen sind u.a.

• Ursprungsadresse 
• Protokoll 
• Port-Nummer 
• Inhalt

Router- basierte Firewalls sind populär, weil sie leicht zu implementieren sind. (Sie schließen sie einfach an, versehen sie mit einigen Regeln und das war's.) Außerdem arbeiten die meisten neuen Router hervorragend mit dualen Interfaces (für die IPs von außen einem anderen Protokoll innen übersetzt werden müssen).

Eine Router- basierte Firewall stellt eine periphere Lösung dar. Da Router externe Geräte sind, brauchen Sie den normalen Netzwerkbetrieb nicht zu unterbrechen. Wenn Sie eine Router- basierte Firewall einsetzen, müssen Sie nicht ein Dutzend Rechner (oder ein Dutzend Dienste) konfigurieren, um sie anzuschließen.

Und schließlich bieten Router eine integrierte Lösung, d.h. wenn Ihr Netzwerk dauerhaft mit dem Internet verbunden ist, brauchen Sie sowieso einen Router, warum also nicht zwei Fliegen mit einer Klappe schlagen?

Router- basierte Firewalls haben andererseits auch einige Nachteile. Einer ist, dass Router anfällig für Spoofing- Angriffe sind (obwohl Router- Hersteller Lösungen dafür entwickeln). Von einem rein praktischen Standpunkt aus gesehen sinkt die Performance von Routern erheblich, wenn Sie übermäßig strenge Filterprozesse durchführen wollen. (Router- Performance kann ein Aspekt sein oder auch nicht, je nachdem wie viel Datendurchsatz Sie erwarten.)

Tipp:

 Application- Proxy- Firewalls (Anwendungsschicht- Gateways)

Eine andere Art von Firewalls ist die Application- Proxy- Firewall (auch Anwendungsschicht- Gateway genannt). Wenn ein entfernter Benutzer ein Netzwerk kontaktiert, auf dem ein Anwendungsschicht- Gateway läuft, nimmt dieser Gateway die Verbindung stellvertretend an, d.h. IP- Pakete werden nicht an das interne Netzwerk weitergeleitet. Statt dessen findet eine Art Übersetzung statt, mit dem Gateway als Zwischenstation und Übersetzer.

Der Vorteil von Anwendungsschicht- Gateways ist, dass sie verhindern, daß IP- Pakete sich einen Weg in Ihr Netzwerk schleusen. Der Nachteil ist, dass sie hohe laufende Kosten verursachen und Sie sich eingehend mit ihnen beschäftigen müssen. Für jeden vernetzten Dienst wie FTP, Telnet, HTTP, Mail, News usw. muß eine Proxy- Applikation konfiguriert werden. Außerdem müssen interne Benutzer Proxy- Clients benutzen (wenn sie dies nicht tun, müssen sie neue Richtlinien und Verfahren annehmen). Wie John Wack in seinem Artikel »Applikation Gateways« berichtet:

Ein Nachteil von Anwendungsschicht- Gateways ist, daß in bezug auf Client-Server-Protokolle wie Telnet zwei Schritte notwendig sind, um innen und außen zu verbinden. Einige Anwendungsschicht- Gateways benötigen modifizierte Clients, was als Vor- oder Nachteil betrachtet werden kann, je nachdem ob die modifizierten Clients eine Benutzung der Firewall einfacher machen. Ein Telnet-Anwendungsschicht- Gateway verlangt nicht unbedingt einen modifizierten Client, aber eine Änderung im Verhalten des Benutzers: Der Benutzer muß sich zunächst mit der Firewall verbinden (sich aber nicht einloggen), statt eine direkte Verbindung zum Host einzugehen. Ein modifizierter Telnet-Client dagegen würde die Firewall praktisch durchsichtig werden lassen, da er dem Benutzer ermöglicht, das Zielsystem (im Gegensatz zur Firewall) im Telnet-Befehl zu spezifizieren. Die Firewall würde als Weg zum Zielsystem fungieren und damit die Verbindung aufhalten, um weitere notwendige Schritte auszuführen, wie beispielsweise ein Einmalpasswort zu verlangen. Der Benutzer braucht sein Verhalten nicht zu ändern, allerdings muß in diesem Fall für jedes System ein modifizierter Client eingesetzt werden.

Das Trusted Information Systems Firewall Toolkit (TIS FWTK)

Ein gutes Beispiel für ein Anwendungsschicht- Gateway ist das TIS Firewall Toolkit. Dieses Paket (das für nichtkommerzielle Zwecke kostenlos erhältlich ist) beinhaltet Proxies für die folgenden Dienste:

• Telnet 
• FTP 
• Rlogin 
• Sendmail 
• HTTP 
• X Window System

Für jeden dieser Proxies müssen Sie Regeln spezifizieren. Sie müssen drei Dateien editieren, um Ihre Regeln einzuführen:

• /etc/services. Diese Datei befindet sich bereits in Ihrem System. Sie spezifiziert, welche Dienste Ihr Rechner unterstützen wird und über welche Ports diese Dienste laufen. (Hier geben Sie die Ports an, über die Ihre Proxies laufen werden.) 
• /etc/inetd.conf. Diese Datei befindet sich ebenfalls schon in Ihrem System. Sie ist die Konfigurationsdatei für inetd. Die inetd.conf-Datei spezifiziert, welcher Server aktiviert wird, wenn Außenstehende eine Verbindung zu einem bestimmten Dienst etablieren wollen. (Hier spezifizieren Sie Ihre Proxies, die die voreingestellten Server ersetzen.) 
• /usr/local/etc/netperm-table. Dies ist eine FWTK-Datei, in der Sie spezifizieren, wer die von Ihnen angebotenen Dienste benutzen kann.

In bezug auf Zugangsberechtigungen können Sie zwei Ansätze benutzen:

• Was nicht ausdrücklich erlaubt ist, wird abgelehnt. 
• Was nicht ausdrücklich verboten ist, wird angenommen.

Ich empfehle Ihnen den ersten Ansatz, da er wesentlich einschränkender ist.

Mit Hilfe des TIS Firewall Toolkits ist das Gewähren oder Ablehnen von Zugangsberechtigungen sehr leicht. Sie können breitgefaßte Masken von Adressen und Hosts angeben, denen ein Zugang verweigert wird. Sie können Sternchen benutzen, um eine ganze Reihe von Adressen anzuzeigen:

http-gw: userid root
http-gw: directory /somewhere

http-gw: timeout 90

http-gw: default-httpd www.myserver.net

http-gw: hosts 199.171.0.* -log { read write ftp }

http-gw: deny-hosts *
 

(http-gw ist der Proxy für HTTP.)

Wie Sie sehen, müssen Sie Zugangsregeln für jeden Dienst konfigurieren. Dies ist einer der Nachteile von Anwendungsschicht- Gateways. Ein anderer Nachteil ist, daß jede Applikationssession mit Proxies versehen sein muss. Dies kann für interne Benutzer eine arbeitsintensive und lästige Umgebung sein. (Interne Benutzer müssen ihren ausgehenden Verkehr ebenfalls mit Proxies versehen. Dies kann bedeutende Kosten zur Folge haben, da eingehender Verkehr in bezug auf Ressourcen auf den ausgehenden Verkehr einwirkt.)

Anwendungsschicht- Gateways sind geeigneter, wenn Sie keinen ausgehenden Verkehr haben - zum Beispiel wenn Ihre Site Clients außerhalb der Firewalls mit archivierten Informationen bedient. Ein typisches Beispiel hierfür ist, wenn Sie Kunden haben, die gegen Gebühr technische Spezifizierungen von Ihrem Server erhalten. Diese technischen Spezifizierungen sind sensible Daten und daher sollten nur Ihre Kunden in der Lage sein, diese zu erhalten. In einem solchen Fall ist ein Anwendungsschicht- Gateway perfekt.

Anwendungsschicht- Gateways sind weniger geeignet für Unternehmen, Universitäten, Internet Service Provider oder andere Umgebungen, für die eine flüssigere Kommunikation (und mehr Kontakte mit der Öffentlichkeit) notwendig sind. In solchen Umgebungen können Sie beispielsweise nicht immer sicher sein, daß sich Benutzer stets von bestimmten Servern oder Netzwerken verbinden. Sie können von einer ganzen Reihe von IP- Adressen kommen. Wenn Sie einen Anwendungsschicht- Gateway benutzen und eine Benutzerverbindung von netcom.com autorisieren müssen, müssen Sie, wenn es sich nicht um eine statische Adresse handelt, jeden Benutzer von netcom.com zulassen.

Wenn Sie noch keine Firewall gekauft haben (oder nur etwas über Firewalls lernen wollen), sollten Sie sich das TIS Firewall Toolkit besorgen. Wenn Sie es konfigurieren und Ihre Regeln ausprobieren, werden Sie viel darüber lernen, wie Firewalls arbeiten.

Tipp:

Tipp:

Generell sind Anwendungsschicht- Gateways (proxybasierte Firewalls) sicherer als die vielen verfügbaren Paketfilter.

Allgemeines zur Firewall

Viele Firewalls machen Ihr System für die Außenwelt unsichtbar. SunScreen von Sun Microsystems beispielsweise bietet Nicht-IP-Möglichkeiten, die es Crackern unmöglich machen, Netzwerkknoten hinter der Firewall ausfindig zu machen.

Tipp:

Firewalls sind die strengsten Sicherheitsmaßnahmen, die Sie ergreifen können. Aber Sie sollten sich einiger Nachteile bewusst sein.

Ein Nachteil ist, daß Firewall- Sicherheit dermaßen streng konfiguriert sein kann, dass die eigentliche Funktion des Netzwerks beeinträchtigt wird. Zum Beispiel stellen einige Studien klar, dass der Einsatz einer Firewall in solchen Umgebungen unpraktisch ist, in denen Benutzer sehr von verteilten Applikationen abhängen. Die strikten Sicherheitsrichtlinien einer Firewall führen in diesen Umgebungen dazu, dass sich das System festfährt. Was sie an Sicherheit hinzugewinnen, verlieren sie an Funktionalität. Universitäten sind ein perfektes Beispiel für derartige Umgebungen. Forschungsarbeiten werden in Universitäten oft von zwei oder mehr Abteilungen (oft auf Netzwerksegmenten, die weit voneinander entfernt sind) gemeinsam ausgeführt. In solchen Umgebungen ist es schwer, unter den strengen Sicherheitsauflagen zu arbeiten, die eine Firewall implementiert.

Ein anderer ernsterer Punkt ist, dass es mit dem Einsatz einer Firewall oft nicht getan ist. Wenn Ihre Firewall durchbrochen wird, kann Ihr internes Netzwerk schnell zerstört werden. Wiegen Sie sich nicht in Sicherheit. Die Tatsache, daß Sie eine Firewall verwenden, sollte Sie nicht davon abhalten, andere Sicherheitspraktiken einzusetzen. Tun Sie dies nicht, werden Sie es eines Tages bereuen. Firewalls verengen den Eingang zu Ihrem Netzwerk und fördern eine Umgebung, die sich auf einen einzigen zentralen Abwehrpunkt konzentriert. Das ist eine unzureichende und potentiell gefährliche Situation.

Bevor Sie eine Firewall kaufen, sollten Sie Ihr eigenes Netzwerk, Ihre Benutzer und die Bedürfnisse Ihrer Benutzer ernsthaft untersuchen. Sie sollten außerdem eine visuelle Darstellung der Vertrauensverhältnisse (sowohl zwischen Rechnern als auch zwischen Menschen) in Ihrem Unternehmen generieren. Verschiedene Netzwerksegmente müssen miteinander kommunizieren können. Die Kommunikation zwischen diesen Netzwerken kann durch automatisierte Prozesse oder durch menschliche Interaktion stattfinden. Automatisierte Prozesse erweisen sich möglicherweise als einfach zu bewerkstelligen. Vom Menschen initiierte Prozesse dagegen können sich als schwierig erweisen. Für manche Organisationen ist eine Firewall schlicht und einfach nicht praktikabel. In solchen Fällen wäre es vielleicht besser, sich auf altbewährte Systemadministrationstechniken (und umfassende Paketfilter) zu verlassen.

Aufbau einer Schutzwalls

Es gibt sechs Schritte, denen Sie beim Aufbau einer Firewall folgen sollten:

• Bestimmen Sie Ihre Bedürfnisse in bezug auf Topologie, Applikationen und Protokolle. 
• Analysieren Sie die Vertrauensverhältnisse in Ihrer Organisation. 
• Entwickeln Sie Richtlinien, die auf diesen Bedürfnissen und Verhältnissen basieren. 
• Suchen Sie die richtige Firewall für Ihre spezielle Konfiguration. 
• Setzen Sie diese Firewall richtig ein. 
• Überprüfen Sie Ihre Richtlinien.

Bedürfnisbestimmung in Bezug auf Topologie, Applikationen und Protokolle

Ihr erster Schritt besteht darin, Ihre Bedürfnisse in bezug auf Topologie, Applikationen und Protokolle zu bestimmen. Dieser Schritt ist schwerer als er sich anhört, abhängig von der Größe und der Zusammensetzung Ihres Netzwerks.

Natürlich ist diese Aufgabe leichter, wenn Sie ein komplett homogenes Netzwerk haben (nur wenige Leute haben das). Sie haben dann durchgehend ein Betriebssystem und eine bestimmte Sammlung von Applikationen. Sie sollten sich glücklich schätzen, wenn das so ist.

Die meisten Netzwerke sind heterogen. Wenn Ihres dazugehört, müssen Sie jedes Betriebssystem und alle Applikationssammlungen, die in diesem Netzwerk benutzt werden, zusammentragen. Vielleicht müssen Sie hierfür sogar Experten einbringen, die die speziellen Sicherheitsaspekte für jede Applikation kennen.

 Die Firewall, das Internet und der eigene Rechner

Firewall

Eine Firewall im eigentlichen Sinne ist ein einzelner Rechner oder ein Router/Gateway, der mit Firewall-Funktionen oder -Software versehen, an der Übergangsstelle zwischen einem internen, abgeschlossenem Netzwerk (z. B. einem Firmennetzwerk) aus mehreren Rechnern und einem äußeren, offenen Netzwerk (z. B. dem Internet) steht.

Router und Gateways

Ein Router (von Route: Reiseweg, Wegstrecke) ist ein Rechner, der verschiedene Netzwerke miteinander verbindet. Auch das Internet ist ein großes Konglomerat mehrerer Netzwerke. Die Aufgabe des Router besteht bei der Versendung von Datenpaketen zum Zielhost darin, in seiner Routingtabelle nachzusehen, die günstigste Route zu ermitteln und dann das Datenpaket über diese Route weiterzusenden.
Gateways (von gateway: Torweg, Einfahrt) sind auch Rechner, die zwischen verschiedenen Netzwerken stehen, nur besteht ihre Aufgabe darin, das Netzwerkformat der Datenpakete in ein anderes Netzwerkformat umzuformatieren, damit das nächste Netzwerk die Daten auch verarbeiten kann.

Software oder Personal Firewalls

Rechner mit Firewall-Software sind oft Linux oder OpenBSD Rechner, auf denen nur das Betriebssystem und die Firewall läuft. Die Firewall schottet also ein Netzwerk von einem anderen ab, bzw. fungiert als Torwächter, der darüber entscheidet, was in das innere Netzwerk hinein (inbound) und was aus dem inneren Netzwerk hinaus (outbound) gelangen darf.

Die so genannten Personal- oder Desktop- Firewalls sind dagegen Programme, die auf einem Einzelrechner als Applikation laufen, der mit einem Netzwerk wie dem Internet verbunden ist. Hier ist die Firewall eine Software wie jedes andere Programm auch, die die Funktionalität der obigen Firewall in Software nachahmt (wie ein Software-Modem, dass ein richtiges Modem als Programm nachahmt).
Die Firewall an sich besteht im Grunde aus einem Regelwerk, dass in- und ausgehende Verbindungen erlaubt oder verweigert. Dabei folgen die Regeln zwei Grundprinzipien:
Entweder verbietet die Firewall alles, was nicht ausdrücklich erlaubt wurde oder erlaubt alles, was nicht ausdrücklich verboten wurde.
Bei dem ersten Prinzip muss jeder Dienst und jedes Programm extra freigeschaltet werden, beim zweiten Prinzip muss ein zu unterbindender Dienst oder ein Programm extra verboten werden.
Allgemein wird die erste Regel als sicherer angesehen, dieser Regel folgt auch die Anleitung.

 Netzwerke

Um eine Firewall richtig zu handhaben, muss man ein gewisses Verständnis über die Mechanismen und Funktionen des Verkehrs in einem Netzwerk oder zwischen Netzwerken besitzen, also zu dem was sich unter der Oberfläche von Browsern oder E-Mail Programmen bewegt.
An dieser Stelle soll keine vollständige Abhandlung über Netzwerktopologien oder dergleichen folgen, nur ein paar Worte, um das zu verstehen, was die NPF macht.

Server und Clients

Im Internet treffen sich zwei Arten von Rechnern (Hosts):
Auf der einen Seite die Server ("Bediener, Servierer"), auf der anderen Seite die Clients ("Klienten, Kunden").

Die Server offerieren dem Client Dienste ("Services"): Man kann Webseiten abrufen, E-Mails versenden oder abholen, die News im Usenet lesen und welche versenden, Dateien versenden oder herunterladen, daher auch die Begriffe Mail-Server, Web-Server, News-Server, FTP-Server usw.
Die verschiedenen Server sind selbst eigenständige Programme oder Skripte, die die jeweiligen Funktionsabläufe umsetzen. Der Server als Rechner und der Server als Programm werden meistens synonym verwendet.

Der Client nimmt diese Dienste wahr, indem er Programme einsetzt, die mit den Servern kommunizieren: Das E-Mail Programm, den Newsreader, den Browser. Auch hier wird sowohl der einzelne Rechner als Client als auch die einzelnen Programme als Clients bezeichnet.

TCP/IP, UDP, Ports und Dienste

Im Internet werden Daten aller Art in Form von Datenpaketen hin und her geschickt. Eine Datei oder eine E-Mail, die wir als Client versenden, wird in einzelne dieser Pakete zerlegt und auf der anderen Seite beim Server wieder zusammengesetzt. Das gleiche passiert, wenn uns der Server Daten schickt. Jedes Paket trägt dabei die Adresse des Absenders und des Empfängers in Form der IP (Internet Protocol)- Nummern mit sich, die Art des Dienstes und die eigentlichen Inhalte der Daten, damit die Pakete ihre Zielorte auch erreichen und die Rechner wissen, zu welchem Dienst diese Daten gehören.

Für jeden Dienst gibt es im Internet eine Verteil- und Formatierungsvorschrift, die so genannten Protokolle. Die Basisprotokolle TCP (Transmission- Control- Protocol) und IP sind dabei die bekanntesten Protokolle, die u. a. für die Adressierung und Aufteilung in Pakete zuständig sind.
Ein weiteres Basisprotokoll ist UDP (User-Datagram-Protcol), das verwendet wird, wenn kleine und einfache Datenmengen, die in ein Datenpaket passen, versendet werden.

Daneben gibt es zum Beispiel auch das NNTP (Network-News-Transport-Protocol) für die News des Usenets, das SMTP (Simple-Mail-Transfer-Protocol) für das Versenden von E-Mails oder auch das FTP (File-Transfer-Protocol) für die Versendung von Dateien.
Doch wie unterscheidet der Server als Rechner, auf dem mehrere Server verschiedene Dienste anbieten, welcher Server, bzw. Dienst welche Daten annehmen soll?

Zu diesem Zweck besitzt jeder Server einen eigenen Anschluss mit einer Anschlussnummer, man könnte auch sagen eine eigene Schleusenöffnung, die die Daten annehmen und passieren lassen, die sogenannten Ports (Port: Hafen) und Portnummern. Jedem Dienst wird eine dieser Nummern zugeteilt. So benutzt NNTP 119, SMTP 25 und FTP 21. Insgesamt gibt es 65535 Ports, von denen nur ein Teil genutzt wird.

Bekannte Services und Ports:

Kontrollnachrichten

Ausser den Protokollen werden eine Reihe von Kontrollnachrichten im Verbund der Gateways, Ziel- und Ursprungshosts eingesetzt unter Verwendung des Internet Control Message Protocol [ICMP].
Das ICMP ist ein integraler Bestandteil des IP.
Über das ICMP werden Fehler-, oder besser gesagt Kontrollnachrichten erstellt, die von einem Gateway oder Zielrechner bei Problemen oder Fehlern an den absendenden Host zurückgesendet werden.
Zwei ICMP Typen werden auch dazu verwendet, um über die beiden bekannten Befehle traceroute oder ping den Weg eines Datenpakets zu einem Zielrechner zu verfolgen oder zu klären, ob ein bestimmter Rechner aktiv online ist.

ICMP Typen

Die Aufgabe der Firewall besteht nun darin, zu bestimmen, welche Dienste, Ports und Protokolle benutzt werden dürfen und welche nicht, die unbenutzen zu schliessen und die Programme einzugrenzen, die dabei verwendet werden.
Die oben erläuterten Bestandteile werden uns bei der Erstellung von Firewall-Regeln wieder begegnen.

Beispiel für eine Konfiguration I

Vorbereitungen

Zuerst werden nach der Installation von NPF alle vorkonfigurierten Regeln für bestimmte Programme gelöscht.
Zu finden sind die Regeldateien im C:\WINDOWS\Anwendungsdaten\Symantec\Norton Personal Firewall Verzeichnis. Die Dateien besitzen die Extension *.ale.
Am besten löscht man alle Dateien komplett oder verschiebt sie in ein ZIP, RAR oder ACE Archiv.

Der Rechner wird insgesamt, beginnend von der Installation über die Anwendung von Virenscannern bis hin zu Netzwerk-Konfiguration weitestgehend abgesichert konfiguriert - dazu zählt auch u. a. die Deaktivierung von NetBIOS in der Netzwerkkonfiguration.
Eine Firewall auf einem ansonsten ungesicherten System verliert ihren Sinn - auf Windows-Systemen ganz besonders!

Das Hauptfenster

Im Hauptfenster von NPF kann die Firewall mit Aktivieren/Deaktivieren aktiviert, bzw. deaktiviert werden.
Unter Status können die zwei Sicherheitskategorien Sicherheit und Datenschutz aktiviert/deaktiviert werden.
Zudem werden neben einem Verbotsschild und einem grünen Haken die abgeblockten und zugelassenen Verbindungen angezeigt, die durch die beiden Kategorien geregelt wurden.

Kommen wir zur Konfiguration der beiden Sicherheitskategorien Sicherheit und Datenschutz.
Der NPF wird die Konfiguration über Standard nicht überlassen, sondern über Benutzdefiniert selbst übernommen.

Sicherheit

Mit Aktiviere Sicherheit wird die Sicherheit Kategorie aktiviert
Klickt man auf Benutzerdefiniert, können die Abstufungen der Sicherheit Konfiguration justiert werden.

Persönliche Firewall

wird generell auf Hoch: Blockiere alles... gestellt, so dass alles standardmässig blockiert wird, bis eine entsprechende Erlaubt-Regel vergeben wurde.

Java Applet Sicherheitsstufe

hier stellt man ein, was mit Java basierten Programmen in Webseiten passieren soll:

• mit Keine: Erlaube Java Applets werden alle Java Applets zugelassen
• mit Mittel: Jedesmal nachfragen wird jedesmal eine Erlaubnis vor dem Start eines Applets eingeholt
• mit Hoch: Blockiere Java Applets werden Applets generell blockiert

ActiveX-Steuerelemente Sicherheitsstufe

hier stellt man ein, was mit Programmen in Webseite passieren soll, die auf Microsofts ActiveX Technik basieren. Generell besitzen ActiveX Controls noch geringere Sicherheitsmechanismen als Java Applets.
Folgende Stufen stehen zur Verfügung:

• mit Keine: Erlaube ActiveX-Steuerelemente wird die Ausführung generell zugelassen
• mit Mittel: Jedesmal nachfragen wird vorher nachgefragt
• mit Hoch: Blockiere ActiveX-Steuerelemente wird die Ausführung generell blockiert

Java Applet und ActiveX-Steuerelement Konfiguration können in Abstimmung mit den Sicherheitseinstellungen im verwendeten Browser durchgeführt werden:
Wenn man ActiveX und Java in der NPF bereits blockiert hat, braucht man dies nicht mehr im Browser wiederholen und umgekehrt. Es schadet aber auch nichts, beide gleich einzustellen, wenn man eine Funktion generell blockieren will.
Nur hilft es nichts, im Browser unter Java eine Bestätigung zu verlangen, wenn Java in der NPF bereits generell blockiert wurde.

Aus Sicherheitsgründen hier alle Java Applets und ActiveX Controls generell blockieren und nur für einzelne Websites, für die diese Techniken unbedingt erforderlich sind (z. B. Internet-Banking) an anderer Stelle zulassen, denn es hat sich mittlerweile herausgestellt, dass gerade Java und ActiveX die Hauptverantwortlichen für Sicherheitslöcher in Bezug zum Websurfen sind.
Die gleiche Konfiguration sollte im Browser wiederholt werden: Also Java & ActiveX generell blockieren, für einzelne Websites zulassen.
 

Mit Aktiviere Personal Firewall Warnungen wird im Hauptfenster ein Warnsymbol sichtbar, über das man zum entsprechenden Firewall-Protokolleintrag gelangt. Zusätzlich verändert sich das Trayicon.

Mit Nicht verwendete Anschlüsse blockieren werden generell alle Anschlüsse (Ports) gesperrt, wenn eine eingehende Verbindung von außerhalb hergestellt werden soll, auf dem PC aber keine Applikation oder ein Service läuft, der Verbindungen auf diesem Port annehmen könnte (im Regelfall Serverdienste). Eine Warnmeldung unterbleibt.

Datenschutz

Mit Datenschutz aktivieren wird die Datenschutz Kategorie aktivieret. Unter Vertrauliche Info können sensible Daten (wie Kreditkarten- oder Personalausweisnummern) eingegeben werden, deren Weitergabe per HTTP im WWW NPF blockieren soll.
Dazu werden die entsprechenden Daten unter Geschützte Information eingegeben. Für Informationen mit verschiedenen Schreibweisen (mit/ohne Leerzeichen, geklammert/ohne Klammer) müssen jeweils separate Eingaben gemacht werden.
Unter Beschreibung kann eine leicht zu verstehende Kurzbeschreibung der Information vergeben werden.

Benutzerdefiniert

Vertrauliche Info

Unter Vertrauliche Info kann dann eingegeben werden, wie NPF mit den vertraulichen Informationen umgehen soll:

• mit Keine... werden alle Infos werden weitergegeben
• mit Mittel... fragt NPF nach Erlaubnis zur Eingabe
• mit Hoch... werden alle Infos generell blockiert

NPF will also den Anwender vor sich selbst schützen, wenn dieser auf einer Website eine der vorher gespeicherten vertraulichen Informationen eingeben will.
Wer sich selbst nicht vertraut, was die Weitergabe persönlicher daten angeht, sollte die Funktion nutzen.

Cookie Blockierung

In Cookie Blockierung wird festgelegt, wie NPF mit der Rücksendung von Cookie-Informationen, bzw. der Anforderung von Cookies durch Web-Server verfährt.
Das bedeutet, die NPF verhindert nicht das Speichern von Cookies, sondern nur das Absenden von Cookies.
Will man generell schon das Speichern von Cookies unterbinden, müssen die entsprechenden Browseroptionen und Programme wie Junkbuster, A4Proxy und WebWasher eingesetzt werden!

• mit Keine... wird der Versand aller Cookies zugelassen
• mit Mittel... wird vor Versand eines Cookies zuerst nachgefragt
• mit Hoch... wird der Versand aller Cookies blockiert

Abweichende Cookie-Regeln für einzelne Websites können in den erweiterten Optionen erstellt werden (siehe unten)

Mit Browser-Datenschutz aktivieren wird die Übertragung des FROM und REFERER Headers blockiert, über die die eigene E-Mail Adresse und die zuletzt besuchte Seite an den aktuellen Webserver weitergereicht werden können.
Mit Sichere Verbindungen (https) aktivieren werden SSL verschlüsselte Verbindungen über das HTTPS Protokoll zwischen Browser und Webserver zugelassen. Sollte aktiviert werden

Optionen

Die NPF kann entweder automatisch bei jedem Windowsstart geladen oder manuell gestartet werden.
Wenn man sich für den manuellen Start entscheidet (was z. B. das Problem umgeht, dass einige Monitore nicht mehr aus dem Stand-By Betrieb reaktiviert werden können, solange die NPF läuft), muss darauf geachtet werden, sie extra mit dem Enable Button im Hauptfenster zu aktivieren - sonst läuft die NPF nicht!

Eine elegantere Lösung ist es, die Verknüpfung "LW:\Pfad\iamapp.exe" -LOAD anzulegen,
damit ist die NPF auf Knopfdruck aktiviert! (Dank an Andreas Gier für diesen Tip)

Ereignisprotokoll

Über Zeige Ereignisprotokoll wird das Ereignisprotokoll der NPF angezeigt.

• im Verbindungen Fenster werden alle Verbindungen aufgezeichnet (die beteiligten Hosts, die übertragenen Bytes, verwendete Ports und Protokolle
• im Firewall Fenster werden die verarbeiteten Firewall-Regeln angezeigt, d. h. welche Verbindungen erlaubt und welche geblockt wurden.
  Diese Anzeige ist zum Teil davon abhängig, ob für die einzelne Firewall-Regel das Protokollieren aktiviert wurde oder nicht
• im Datenschutz Fenster werden deateilierte Informationen zu abgeblockten Cookies und Informationen über geblockte REFERER Header angezeigt
• im System Fenster werden Start und Beendigung der NPF Dienste angezeigt
• im Webverlauf Fenster werden alle besuchten URL's aufgelistet (ähnlich der Browser-History Funktion)

Statistiken

Über Zeige Statistiken wird die Echtzeit-Anzeige der NPF gestartet. Im Menü Ansicht/Optionen kann festegelegt werden, welche Daten angezeigt werden sollen:

• Netzwerk zeigt die Anzahl der per TCP und UDP übertragenen Datenmenge in Bytes an
• Web zeigt die Anzahl der geblockten Cookies und Referer und die übertragene Datenmenge an
• Firewall TCP-Verbindungen zeigt die Anzahl der eingegangenen (inbound) und ausgegangen (outbound) zugelassenen und gesperrten TCP Verbindungen an
• Firewall UDP-Datagramme zeigt die Anzahl der eingegangenen und ausgegangenen zugelassnen und gesperrten UDP Datagramme an
• Firewall-Regeln zeigt an, wie oft eine Firewall-Regel eine Verbindung zugelassenen oder gesperrt hat. In der Anzeige werden generell alle definierten Firewall-Regeln aufgelistet
• Netzwerkverbindungen zeigt im Überblick, welche Verbindungen gerade über welches Protokoll mit welcher Applikation zu welchem Zielrechner laufen.
  Eine bestimmte Verbindung kann in dieser Anzeige sofort beendet werden

Mit Werte zurücksetzen werden alle Werte (außer Netzwerkverbindungen) der Echtzeit-Statistik auf 0 zurückgesetzt

Erweiterte Optionen

In den erweiterten Optionen wird die Kern-Konfiguration der NPF durchgeführt.

Registerkarte Web

In der Einstellung Web werden unter Standard die Standardeinstellungen für alle Websites angezeigt, wie sie in den Sicherheitskategorien Datenschutz und Sicherheit festgelegt wurden. Das betrifft die Handhabung von Java Applets, ActiveX Steuerelementen und Cookies.
Zusätzlich kann hier in der Datenschutz Karteikarte die Übertragung des REFERER (zueletzt besuchte Webseite), FROM (E-Mail Adresse) und USER-AGENT (benutzter Browser/benutztes Betriebssystem) Headers fein eingestellt werden.
Wir erinnern uns, dass man bereits in der Sicherheitskategorie Datenschutz im Hauptfenster den FROM und REFERER Header generell sperren konnte (siehe oben).
Will man also unter Web eigene Informationen eintragen, muss die Option unter Datenschutz im Hauptfenster deaktiviert werden.
Zusätzlich kann hier in der Karteikarte Aktiver Inhalt festgelegt werden, wie mit Java- und VB(VisualBasic)Script und animierten Grafiken verfahren werden soll: Skript

• mit Gesamtes Skript blockieren werden alle JavaScripte & VBscripte blockiert
• mit Nur Skript-Popups blockieren werden nur zusätzliche Browserfenster, die durch Skripte gestartet werden, blockiert
• mit Ausführung des gesamten Skripts zulassen werden alle Java- & VB Skripte ausgeführt

Verschiedenes

• mit Wiederholtes Abspielen von Animationen blockieren werden keine Animationen zugelassen
• mit Wiederholtes Abspielen von Animationen zulassen werden alle Animationen zugelassen

Wie bereits im Abschnitt Sicherheit gesagt, wird die Regelung aktiver Inhalte/Skripte absolut restriktiv gehandhabt und nur für einzelne Sites zugelassen.
Dazu kann man im Web Fenster eine Site oder Domain hinzufügen (Beispiel: als Site "windowsupdate.microsoft.com" oder als Domain "microsoft.com") und dann im Datenschutz und Aktiver Inhalt Fenster selektiv die Bestandteile zulassen, die man zum Besuch und für die Funktionen der Website benötigt (z. B. für Shopping Sites oder Internet Banken, die JavaScript verwenden).
Im Datenschutz Fenster muss noch zuvor die Option Diese Regeln verwenden für... aktiviert werden.

Registerkarte Firewall

Im Firewall Fenster werden alle definierten und gespeicherten Firewall-Regeln aufgelistet:
Auf der linken Seite sieht man eine Beschreibung der Regel. Wenn mit dem Firewall Regelassistenten eine neue Regel aufgenommen wird, die sich auf ein Programm bezieht, setzt NPF automatisch den Namen des Programmes als Beschreibung ein.
Auf der rechten Seite wird der Regelinhalt summarisch in folgender Reihenfolge angezeigt:

1. Programm/Service Icon
2. blaue Richtungspfeile (links: eingehende (inbound)/rechts: ausgehende (outbound) Verbindungen
3. [Zielrechner/IP-Adresse:] Protokoll/Portnummer/Service

Die Buttons Hinzufügen, Ändern und Entfernen dienen der Pflege der Regeliste, mit dem Test Button können Verbindungen simuliert werden, um die Regeln zu testen. Mit den beiden Positionierungspfeiltasten kann die Reihenfolge der Regeln geändert werden. Dies erst einmal zur Übersicht, zur genaueren Erklärung des Firewall fensters kommen wir später.

Registerkarte Andere

HTTP-Anschlussliste

In der HTTP-Anschlussliste sind alle Anschlussnummern (Portnummern) aufgeführt, über die Anwendungen wie Browser, lokale Suchprogramme und Proxy per HTTP mit Servern im Internet kommunizieren und die NPF überwachen soll.

Verschiedenes

• IGMP-Protokoll blockieren
  blockiert generell das Internet Group Management Protocol (IGMP), das zur Regsistrierung des eigenen Rechners bei Multicast-Routern eingesetzt wird.
  Diese Option aktivieren
• Fragmentierte IP-Pakete blockieren
  blockiert generell IP-Pakete, deren Header stark fragmentiert sind, das betrifft alle per TCP, UDP, ICMP und IGMP ausgetauschten Datenpakete.
  Diese Option aktivieren
• Autom. Firewall-Regelerstellung aktivieren
  Mit dieser Option wird festgelegt, ob NPF automatisch eigene Firewall-Regeln erstellen soll oder nicht.
  Wenn in der Sicherheitskategorie Sicherheit/Persönliche Firewall die Stufe Hoch... und die Option Aktiviere Personal Firewall Warnungen gewählt wurde, wird bei jeder Verbindung, für die keine Regel existiert, der Regelassistent aktiviert, mit dem manuell der genaue Inhalt der Firewall-Regel bestimt wird. Andernfalls nimmt NPF nur einen Regeleintrag vor, der erst einmal die Verbindung als zulässig kennzeichnet und den man nachträglich selbst bearbeiten muss!
  Diese Option deaktivieren

Konfiguration II

Die Erstellung und Pflege von Firewall-Regeln

Name-Server

Der Name-Server nimmt eine zentrale und primäre Rolle ein, wenn es um Verbindungsaufnahmen zu anderen Rechnern geht. Deshalb sollte man zuerst eine Regel erstellen (lassen), die die Verbindungen mit dem Name-Server grudsätzlich erlaubt.
Entweder hat man alle IP-Adressen der Name-Server des Provider bereits vorliegen (sonst nachfragen) oder nicht. Im ersten Fall kann man direkt eine Regel in der NPF eingeben.
Anhand des Name-Server Eintrags sollen deshalb an dieser Stelle exemplarisch die beiden Wege der Firewall-Regel Erstellung dargestellt werden.

Ob man eine halbautomatische oder eine manuelle Regel-Erstellung vornimmt:
Führen Sie sich gedanklich vor Augen, welche Rechner an der Verbindung beteiligt sind und wie die Kommunikationsströme erfolgen: Wann eine Inbound, wann eine Outbound Verbindung erfolgt und welches Protokoll über welchen Port ein Dienst oder ein Programm verwendet.

Dabei bietet die Datei SERVICES im Windows Verzeichnis eine bessere und umfangreichere Übersicht zu Ports und Diensten als die verkürzte Liste der NPF Hilfe.

A) IP-Adressen liegen vor

Wir öffnen das Hauptfenster, gehen in die erweiterten Optionen und öffnen das Firewall-Fenster:

Mit Hinzufügen/Add öffnen wir das Regel-Fenster der NPF:

• hinter Name: vergibt man einen beschreibenden Namen, hier "Nameserver 1"
• hinter Aktion/Action: geben wir an, ob eine Verbindung zugelassen (Permit), blockiert (Block) oder ignoriert (Ignore) wird, hier wird sie "erlaubt"
• hinter Richtung/Direction: geben wir an, ob es sich um eine ankommende (inbound) oder abgehende (outbound) Verbindung oder um beides (either) handelt. Hier "beides"
• hinter Protokoll/Protocol: geben wir an, um welchen Protokolltyp (TCP, UDP, TCP+UDP, ICMP) es sich handelt, hier "UDP"
• hinter Kategorie/Category: kann noch bestimmt werden, in welche Klasse der Verbindungstyp fällt.
  Die Bezeichnungen der Kategorien können in der Registry im Zweig HKEY_LOCAL_MACHINE\Software\Symantec\IAM\FirewallObjects\Categories umbenannt werden

In der Registerkarte Anwendung/Application können wir bestimmen, ob die Regel

1. nur für die die oben aufgeführte Anwendung/Application shown above gelten soll (deren genaue Position mit dem Browse Button ermittelt werden kann)
2. für jede Anwendung/Any Application gelten soll

Die Nameserver-Regel soll für alle Anwendungen gültig sein.

 In der Registerkarte Dienst/Service können wir unter Remote-Dienst bestimmen, welche Dienste von fernen Rechnern (Servern) und unter Lokaler-Dienst, welche Dienste auf dem eigenen Rechner zugelassen werden:

• Einzelner Dienst/Single service: die Regel bezieht sich nur auf die unter Dienstname oder Anschluss/Service name or port: einzutragende Portnummer (z. B. 53), statt der Portnummer kann auch der Dienstname (z. B. domain) verwendet werden
• Dienst-Bereich/Service range: die Regel bezieht sich auf einen Bereich mehrerer Ports (A...Z), den man mit Eingabe der Portnummern unter Erste Portnummer/First port number und Letzte Portnummer/Last port number eingrenzt.
• Dienste-Liste/List of services: die Regel bezieht sich auf eine Liste ausgewählter Dienste (A, D, Y...Z)
• Jeder Dienst/Any service: die Regel bezieht sich auf alle Dienste

Während ein Dienst zumeist nur einen Port auf dem Server betrifft, kann dieser Dienst auf dem eigenen/lokalen Rechner aber über mehrere und unterschiedliche Ports laufen, deshalb wurde hier im lokalen Bereich Jeder Dienst/Any service aktiviert.

 In der Registerkarte Adresse/Address werden unter Remote-Adresse die Adressen oder Adressbereiche der entfernten Server oder Netzwerke und unter Lokale Adresse die Adresse des eigenen Rechners bestimmt, die von der Regel betroffen sind:

Remote-Adresse:

• Hostadresse/Host adress: Eintrag der IP-Adresse oder des Namens des Servers. Die IP-Adresse kann offline, der Name nur online eingetragen werden.
• Netzwerkadresse/Network adress: Eintrag der IP-Adresse unter Adresse/Address: und des Teilnetzes, zu dem die IP-Adresse gehört unter Teilnetzmaske/Subnet mask:, um alle Rechner eines Teilnetzes zu erfassen
• Adressbereich/Address range: Eintrag der ersten (niedrigsten) IP-Adresse unter Erste Adresse/First address: und der letzten (höchsten) IP-Adresse unter Letzte Adresse/Last address:, um alle Hosts eines beliebigen Adressraumes (netzwerkübergreifend) zu erfassen.
• Jede Adresse/Any address: Alle Hosts des Internets, zu denen eine Verbindung aufgebaut wird, werden erfasst.

Lokale Adresse:

• Hostadresse/Host address: Eingabe der eigenen IP-Adresse, wenn man keine dynamische, sondern eine fixe IP-Adresse besitzt oder 127.0.0.1/localhost, wenn man lokale Server wie Proxy(programme) oder Mailserver betreibt, über die Verbindungen weitergeleitet werden
• Jede Adresse/Any address: Wenn man dynamische IP-Adressen zugewiesen bekommt und/oder keine lokalen Server betreibt.

In der Registerkarte Protokollieren/Logging kann eingestellt werden, ob ein Eintrag in das Ereignisprotokoll/Event Log und ein visueller Hinweis erfolgen soll, wenn eine Übereinstimmung mit einer Regel erfolgt ist:

• Bei Übereinstimmung Eintrag im Ereignisprotokoll vornehmen: selbsterklärend
• Ereignis protokollieren nach XY Übereinstimmungen: Ein Eintrag erfolgt erst, wenn für RegelA XY Übereinstimmungen registriert wurden
• Sicherheitswarnung anzeigen, wenn diese Regel protokolliert wird: Im Status Fenster erscheint bei Regelübereinstimmung ein Warnsymbol, von dem auf den entsprechenden Eintrag im Ereignisprotokoll verzweigt wird

Ob man alles oder nur ausgewählte Regeln mitprotokollieren sollte, bleibt dem eigenen Geschmack überlassen. Ich würde nur Logeinträge für Regeln zulassen, die Verbindungen und Dienste betreffen, die nicht zum normalen Internetverkehr zählen oder zeitlich begrenzt, wenn über eine Regel ein neues Programm aufgenommen wurde, um zu überprüfen, ob die Verbindungen über dieses Programm funktionieren.
Einige Anwender erstellen auch einzelne Regeln für Trojanerports, um mitzubekommen, wieviele Trojaner Angriffsversuche sie erhalten.

B) die IP-Adressen liegen nicht vor - automatische Regelerstellung

Die Aufnahme aller Internetprogramme

Am besten startet man alle Programme, vom E-Mail Reader bis zum Browser, die man im Internet verwenden möchte oder legt sich eine Liste der verwendeten Programme zurecht. Danach stellt man eine Onlineverbindung her.
Anschliessend stellt man mit jedem Programm eine Verbindung zu den beteiligten Zielrechnern her: Bei dem E-Mailprogramm wird das der Mail-Server (oder ein POP und ein SMTP Server) sein, beim Newsreader der News-Server, bei FTP-Programmen und Browsern wird es eine exemplarische Verbindung sein, die für viele Verbindungen steht (im Normalfall surft man viele verschiedene Seiten an und besucht mehrere FTP-Server), für die Browser kommt eventuell noch die Verbindung zu einem Proxy-Rechner hinzu, falls man einen verwendet.
Bei Programmen, die die Systemuhr nach der Atomuhr eines anderen Rechners stellen, ist es wieder ein bestimmter Time-Server.
Zum Beispiel versendet man mit dem E-Mailprogramm eine E-Mail und ruft die E-Mails anderer Personen ab, postet eine Nachricht in das Usenet und ruft die Nachrichten einer Newsgroup ab, besucht einen FTP-Server usw., usw.

Wird zum ersten Mal eine neue Verbindung zum Internet hergestellt, für die keine Regel existiert, öffnet sich das NPF Alarm Fenster.
Unter Details wird angezeigt, welches Programm an der Verbindung beteiligt ist, die genaue Uhrzeit und das Datum, ob es sich um eine eingehende (inbound) oder abgehende (outbound) Verbindung handelt, der beteiligte Service und die Portnummer und die IP-Adresse des entfernten Rechners.

Der Anwender hat nun drei Möglichkeiten zu reagieren:

1. eine Regel für alle zukünftigen Verbindungen dieses Typs konfigurieren
2. die aktuelle Netzwerk-Verbindung nur für dieses eine Mal blockieren
3. die aktuelle Netzwerk-Verbindung nür für dieses eine Mal erlauben

Für alle oben erwähnten, regelmässig verwendeten Programme und Netzwerk-Verbindungen sollte direkt eine permanente Regel konfiguriert werden. Bei den meisten Verbindungen muss nur eine Outbound-Regel erstellt werden, es kann aber auch vorkommen, dass zuerst eine Outbound und danach eine Inbound Regel erstellt werden, da sich zwischen Client und Server Anfrage/Anforderung<=>Rückantwort/Rücksendung Beziehungen ergeben.
Die Verbindung über Port 53 zum Name-Server ist z. B. eine outbound/inbound Beziehung, ebenso die Ausführung eines Ping-Befehls, wo für die ICMP Echo-Anfrage eine Outbound-Regel und für die ICMP Echo-Antwort eine Inbound-Regel nötig ist oder eine FTP-Verbindung, die per FTP über Port 20 outbound und FTP-data über Port 21 inbound hergestellt wird.
Die Verbindungen zu Mail-Servern (SMTP und POP3), News-Servern und Web-Servern sind alle reine Outbound-Verbindungen und werden durch Outbound-Regeln abgedeckt.
Mehr dazu unten.

Im darauf folgenden Fenster wird bestimmt, ob die permanente Regel eine Verboten (Always block...)- oder Erlaubt (Always permit...)-Regel ist und ob man dem beteiligten Programm den totalen Internetzugriff über alle Ports erlaubt (Permit Programm XY) oder verweigert (Block Programm XY).

Wir entschliessen uns für die erste Option.
Es ist immer besser, jeden Dienst und jedes Programm so spezifisch wie möglich zu konfigurieren, z. B. ein Programm also an einen Port und einen bestimmten Server zu binden.
Die Auto-Konfiguration ist deaktiviert, da wir in Konfiguration I diese Option deaktiviert haben.

Deshalb schränken wir die Regel auf den Service XY mit Port YZ (Only this service) ein und weiten die Regel nicht auf alle Dienste (Any service) aus.

In diesem Fenster schränken wir die Regelbeziehung auf die bestimmte IP-Adresse eines Rechners (Address:) ein und beziehen sie nicht auf jede beliebige IP-Adresse (Any address), damit auch nicht auf jeden x-beliebigen Rechner im Internet.

Hier kann man der Regel noch eine bestimmte Kategorie zuordnen. Die Kategorien haben für NPF keine Bedeutung, da keine Auswertung möglich ist. Es gibt Zusatzprogramme wie NISrules, mit denen man die Kategorien verwerten kann.

Zum Schluss zeigt uns NPF eine summarische Übersicht des Regelinhalts an. Nehmen Sie sich die Zeit, die Regel nochmal zu überschauen, auch wenn eine nachträgliche Änderung möglich ist.

Diesen Vorgang wiederholen wir für jedes Programm, mit dem wir in Konatkt mit dem Internet kommen

Übersicht der gängisten Regeltypen:

Anmerkung

Mit dem whois Befehl, bzw. einer Anfrage an einen Whois Server können detailierte Informationen zu einer IP-Adresse in Erfahrung gebracht werden. Die NIC (Network Information Center) Server unterhalten dazu grosse Datenbanken über registrierte User und Hosts. Zusammen mit Traceroute und Finger wird Whois dann eingesetzt, um nähere Informationen zu Angreifern in Erfahrung zu bringen. Z. B. sind in der BlackIce Firewall solche Befehle bereits implementiert, d. h. registriert BlackIce einen Connect als Angriff, versucht sie selbstständig über obige Befehle den Angreifer zu identifizieren und zu lokalisieren.
Diese Funktionalität kann man durch Einsatz geeigneter Programme der NPF hinzufügen: Gibt die NPF eine Warnung aus, lokalisiert man im Ereignisprotokoll die Adresse des Remote Host und setzt dann die obigen Befehle auf die Adresse an.

Noch ein Tip:
Man sollte nicht bei jedem Portscan oder einem Versuch über einen Trojanerport auf den eigenen Rechner zuzugreifen, sofort Beschwerdemails an den ermittelten Provider versenden - der Portscan ist z. B. zu einem Volkssport sogenannter "Script-Kiddies" geworden, die sich damit einen Spass machen. Auch die bestürzte Nachfrage bei jedem Scan in einer Newsgroup ist überflüssig - Bei einer gut eingestellten Firewall kann man solche Angriffe getrost der Firewall überlassen.
Was hinzukommt: Geschicktere Angreifer verbergen sich über IP-Spoofing hinter anderen IP-Adressen, so dass eine Beschwerdemail auch den Falschen treffen könnte.
Nur wenn tatsächlicher Schaden entstanden ist oder die reale Gefahr eines Schadens bestand, sollte man mit einem Auszug des Ereignisprotokolls und den ermittleten Daten über obige Befehle den Provider und/oder die Polizei verständigen.

Regeln für ICMP Nachrichten

Für die ICMP Kontrollnachrichten (siehe oben) erstellen wir eine Inbound-Regel, die alle zulässigen inbound ICMP Verbindungen bündelt und eine Outbound-Regel, die alle zulässigen outbound ICMP Verbindungen bündelt nach dem Verfahren, wie es unter IP-Adressen liegen vor beschrieben ist.

ICMP-Inbound

• im Feld Protokoll/Protocol ICMP auswählen, so dass im unteren Bereich die Registerkarte Typ sichtbar wird.
• unter Typ die Option Typen-Liste aktivieren
• mit dem Button Hinzufügen folgenden Typen eintragen:
  • Destination unreachable
  • Echo Reply
    [für Programme die Ping und Traceroute anbieten]
  • Parameter Problem
  • Source Quench
  • Time Exceeded for a Datagram
    [für Programme die Ping und Traceroute anbieten]
• Die Angaben der anderen Registerkarten unverändert lassen

ICMP-Outbound

• im Feld Protokoll/Protocol ICMP auswählen, so dass im unteren Bereich die Registerkarte Typ sichtbar wird.
• unter Typ die Option Typen-Liste aktivieren
• mit dem Button Hinzufügen folgenden Typen eintragen:
  • Address-Mask Request
  • Echo Request
    [für Programme die Ping und Traceroute anbieten]
  • Information Request
  • Timestamp Request
• Die Angaben der anderen Registerkarten unverändert lassen

UltraBlock-Regeln

Wenn wir für die System-Verbindungen, ICMP-Verbindungen und Programm-Verbindungen alle Regeln aufgestellt haben, legen wir noch drei Regeln an, die für TCP/UDP und ICMP:

• alle anderen Ports sperren
• alle übrigen inbound/outbound Verbindungen sperren

Diese Regeln schliessen alle Verbindungen, für die keine Regel existiert, generell aus. D. h. auch, wenn wir ein neues Programm installieren oder einen neuen Dienst aufnehmen, müssen diese Regeln für die Dauer der Regelerstellung deaktiviert werden.

UltraBlock A

• hinter Aktion: Blockieren
• hinter Richtung: Beide Richtungen
• hinter Protokoll: TCP oder UDP
• Anwendung: Jede Anwendung
• Dienst: Remote-Dienst: Dienstebereich: Portnummern 1 bis 65535 hinzufügen
• Alle weiteren Angaben unverändert lassen

Ultrablock B

• hinter Aktion: Blockieren
• hinter Richtung: Beide Richtungen
• hinter Protokoll: TCP oder UDP
• Anwendung: Jede Anwendung
• Dienst: Lokaler-Dienst: Dienstebereich: Portnummern 1 bis 65535 hinzufügen
• Alle weiteren Angaben unverändert lassen

UltraBlock C

• hinter Aktion: Blockieren
• hinter Richtung: Beide Richtungen
• hinter Protokoll: ICMP
• Typ: Jeder Typ
• Alle weiteren Angaben unverändert lassen

Anmerkung:
Mit der Eingabe der UltraBlock Regeln erscheinen die Ports bei Online-Sicherheitschecks nicht als stealth, sondern als closed.

Wer will, kann auch noch die Ereignisprotokollierung aktivieren oder Trojaner-Ports aus den Bereichen ausnehmen und dafür eine eigene UltraBlock-Regel mit Protokollierung erstellen, wenn man einen besonderen Eintrag zu Trojanern im Ereignisprotokoll wünscht, für die Blockierung von Hackangriffen ist das aber nicht nötig.

Nun stehen eine Menge von Regeln in der Firewall-Regelliste, die aber noch mit Hilfe der Reihenfolge-Pfeilbuttons sortiert werden müssen. Denn die NPF arbeitet die Regelliste bei jeder Verbindung der Reihe nach ab.
Sobald eine Regel zutrifft, werden die anderen Regeln, die darauf folgen, ignoriert.
Ich habe deshalb in meiner Firewall-Regelliste eine Dreiteilung (von oben nach unten):

Die Ignorieren-Regel

Neben dem Erlauben und Verbieten (Blockieren) kann man als weitere Aktion Ignorieren wählen.
Wird ein Verbindungstyp mit einer Ignorieren-Regel belegt, erfolgt eine Protkollierung einer Verbindung, die der Regel entspricht (die NPF schaltet automatisch auf Protokolleintrag in der Protokollieren-Registerkarte), es wird aber keine Blockierung oder Erlaubnis erteilt, sondern die Firewall sucht weiter, ob eine darauffolgende Regel zutrifft. Ist dies nicht der Fall, startet der Regelassistent, um eine ständige oder temporäre Regel zu konfigurieren. D. h. man kann die Ignorieren-Aktion dazu verwenden, etwas nur zu protokollieren, aber auch, um eine Regel zeitweise, aber dauerhaft ausser Kraft zu setzen, denn wenn man das Häckchen vor einer Regel löscht, um sie zu deaktivieren, ist die Inaktivität nur für die Zeitdauer der Aktivität der NPF in Kraft, beim Neustart oder bei einer Neu-Aktivierung ist die Regel wieder in Kraft.
Normalerweise wird die Deaktivierung einer Regel nur selten benötigt, z. B. dann, wenn man eine neue Applikation aufnimmt und dazu die UltraBlock-Regeln für die Zeitdauer der Aufnahme deaktiviert.

Eine Überprüfung der Firewall mit diesen Konfigurationen ergibt bei den Online-Sicherheitschecks Shields Up, HackerWhacker und dem Selbst-Test des Datenschutzbeauftragten Niedersachsen keinerlei Sicherheitsprobleme, was offene Ports und unberechtigte Zugriffe betrifft.

Links und nützliche Programme

• Symantec Norton Personal Firewall
• SmartWhois
  gut augestatteter Whois Client
• CyberKit
  Ping, Traceroute, Whois, Finger, NS Lookup Client
• NeoTrace
  Traceroute, Ping, Whois Client mit guter, grafischer Datenaufbereitung
• NISalarm, NISPorts und NISrules
  gute Tools, um die Daten der NPF und der Registryeinträge anzuzeigen und zu organisieren
• Symantec NPF Support
• Sicherheit im Kabelnetzwerk - Online Sicherheitstests
• Personal FireWall Guide
• Firewall Questions & Answers
• Info Firewall
• SecurityPortal: Personal Firewalls / Intrusion Detection Systems

Analyse der Vertrauensverhältnisse in Ihrer Organisation

Der nächste Schritt betrifft die Analyse von Vertrauensverhältnissen in Ihrer Organisation. Dafür müssen Sie möglicherweise mit verschiedenen Abteilungen reden. Bestimmte Netzwerksegmente brauchen eventuell gegenseitigen Zugriff auf ihre Informationsquellen. Wenn sich diese Segmente in geographisch unterschiedlichen Orten befinden, muss Ihr Netzverkehr unter Umständen einen oder mehrere der von Ihnen entwickelten Gateways überqueren. Um einer totalen Unterbrechung Ihres derzeitigen Systems vorzugreifen, ist es empfehlenswert, zunächst eine detaillierte Analyse dieser Verhältnisse vorzunehmen.

Sie sollten während dieses Prozesses äußerst taktvoll vorgehen. Sie werden möglicherweise Benutzer oder Manager treffen, die darauf bestehen, dass »sie es jetzt schon seit 10 Jahren auf diese Art und Weise durchführen«. Sie müssen mit diesen Leuten arbeiten. Es ist notwendig, dass sie den Vorgang vollkommen verstehen. Wenn Ihre Sicherheitspraktiken die Arbeitsumgebung dieser Mitarbeiter enorm beeinflussen, sollten Sie ihnen erklären, warum das so ist.

Das letzte, was Sie jetzt gebrauchen können, sind verärgerte lokale Benutzer. Statt dessen brauchen Sie ihre Unterstützung, da Sie nach der Konstruktion Ihrer Firewall wahrscheinlich neue Richtlinien verteilen werden. Die Tatsache, ob die Benutzer diese Richtlinien auch befolgen, hat dramatische Auswirkungen auf die Sicherheit des gesamten Netzwerks. Wenn Sie anständig mit den Benutzern umgehen, haben Sie nichts zu befürchten. Wenn Sie jedoch drakonische Anweisungen ohne jegliche Erklärung erlassen, werden die lokalen Benutzer Sie ablehnen und jede Gelegenheit suchen, Ihnen eins auszuwischen.

Richtlinien aufstellen und die richtige Firewall finden

Der nächste Schritt besteht darin, Richtlinien zu entwickeln, basierend auf dem, was Sie über Ihr Netzwerk und seine Benutzer gelernt haben. Hier bestimmen Sie, wer auf Ihr Netzwerk zugreifen kann und wie. Außerdem fügen Sie jegliche plattform- oder protokollspezifische Informationen ein, die Sie gefunden haben.

Basierend auf diesen Informationen können Sie jetzt eine kluge Auswahl für eine Firewall treffen. Zumindest verfügen Sie über genügend Informationen, um diese Angelegenheit intelligent mit verschiedenen Herstellern ausdiskutieren zu können. Solange Sie wissen, was Sie brauchen, werden Sie nicht von Marketingleuten des Herstellers übers Ohr gehauen.

Bevor Sie Auskünfte über einen Kauf sammeln, sollten Sie sich eine Liste der absolut notwendigen Punkte zusammenstellen und Ihre endgültige Kaufentscheidung darauf basieren.

Anwenden und Testen der Firewall

Nachdem Sie Ihre Firewall gekauft haben, werden Sie schließlich Ihre gesammelten Informationen einsetzen und Ihre Richtlinien anwenden. Dafür empfehle ich Ihnen umfangreiche Testläufe. Hierbei gibt es zwei Phasen:

• Testen der Richtlinien gegen Außenstehende 
• Testen der internen Richtlinien

Die erste Phase können Sie jederzeit durchführen, auch (und vielleicht vorzugsweise) wenn Ihre Benutzer nicht anwesend sind.

Die zweite Phase ist komplizierter. Erwarten Sie viele Probleme und planen Sie einige Zeit für Netzwerkausfälle ein. (Machen Sie sich außerdem auf einige ärgerliche Benutzer gefasst.) Es ist sehr unwahrscheinlich, dass Sie es gleich beim ersten Mal richtig hinbekommen, außer wenn Ihr Netzwerk vollkommen homogen ist und Sie über durchgehend gleiche Applikationssammlungen verfügen.

Sind Firewalls narrensicher?

Natürlich sind Firewalls nicht narrensicher. Viele Sites, die Firewalls benutzten, wurden geknackt. Firewall- Produkte sind nicht in sich fehlerhaft, aber sie werden manchmal falsch implementiert. Die Nummer-eins-Ursache für trotz Firewall geknackter Sites liegt darin, dass der Systemadministrator die Firewall nicht korrekt konfiguriert hat.

Das heißt nicht, dass nicht manche Firewalls Sicherheitsschwachstellen haben. Einige haben sie. Meistens aber sind diese Schwachstellen minimal. Die folgenden Abschnitte beschreiben einige.

Cisco-PIX-DES-Schwachstelle

Im Juni 1998 wurde entdeckt, dass der Cisco PIX Private Link einen kleinen (48 Bit) DES- Schlüssel benutzt. Es ist denkbar, daß dieser geknackt werden kann. Hierzu die CIAC:

PIX Privat Link ist eine optionale Funktion, die in Cisco PIX Firewalls installiert werden kann. PIX Private Link kreiert virtuelle IP Private Networks über unzuverlässige Netzwerke wie das Internet und benutzt dazu Tunnel, die mit DES im ECB(»Electronic Codebook«)- Modus verschlüsselt werden. Ein Fehler in der automatischen Syntaxanalyse von Konfigurationsdateibefehlen reduziert die effektive Schlüssellänge für die PIX-Private-Link-DES- Verschlüsselung auf 48 Bit im Gegensatz zu den vorgegebenen 56 Bit. Wenn Angreifer die Details des Fehlers kennen, werden Sie 8 Bit des Schlüssels im voraus kennen. Dies reduziert die effektive Länge des Schlüssels aus Sicht des Angreifers von 56 auf 48 Bit. Diese Reduzierung der effektiven Schlüssellänge reduziert die Arbeit, die für einen Brute-Force- Angriff auf die Verschlüsselung notwendig ist, um den Faktor 256. Das heißt, Angreifer, die über dieses Wissen verfügen, können den richtigen Schlüssel 256mal schneller finden, als sie es mit einem richtigen 56-Bit-Schlüssel könnten.

Cisco fand eine Abhilfe für dieses Problem. Details finden Sie unter http://www.cisco.com/ warp/public/770/pixkey-pup.shtml.

Firewall-1-Reserved-Words-Schwachstelle

Im Mai 1998 wurde entdeckt, dass Firewall-1 mehrere reservierte Schlüsselwörter beinhaltete, die ein großes Sicherheitsloch öffneten, wenn sie benutzt wurden, um ein Netzwerkobjekt zu repräsentieren (das benannte Objekt wird als »undefiniert« interpretiert und ist für jede Adresse zugänglich, wenn nicht andere Änderungen vorgenommen werden).

Sie können diese Schwachstelle besser verstehen (und eine Liste der Schlüsselwörter erhalten), wenn Sie sich das folgende Dokument herunterladen: http://www.checkpoint.com/ techsupport/config/keywords.html.

Kommerzieller Schutz

Der nächste Abschnitt gibt Ihnen Details über Firewall- Hersteller, ihre Produkte und spezielle Funktionen der jeweiligen Firewalls.

AltaVista Firewall 98

Firewalltyp: Software - Anwendungsschicht-Gateway

Hersteller: Digital Equipment Corp.

Unterstützte Plattformen: DEC Unix, Windows NT

Weitere Informationen: http://www.altavista.software.digital.com/firewall/products/ overview/index.asp

AltaVista Firewall 98 bietet Anwendungsschicht- Gateways für FTP (Telnet), HTTP, Mail, News, SQL*Net, RealAudio und finger. Einmal- Passwörter werden für FTP- und Telnetdienste unterstützt. Dieses Produkt läuft sowohl auf Intel- als auch auf Alphaplattformen.

ANS InterLock

Firewalltyp: Software

Hersteller: ANS Communications

Unterstützte Plattformen: Solaris (Sun Microsystems)

Weitere Informationen: http://www.ans.net/whatneed/security/interlock/interloc.htm

ANS InterLock bietet komplette Kontrolle über den Netzwerkverkehr, einschließlich Sperren und Filtern nach IP- Adresse, Datum, Zeit, Benutzer, Logins und Protokoll. Die ANS- InterLock- Programmfamilie ist eine komplette Netzwerkmanagement-Paketlösung und bietet Anwendungsschicht- Gatewaydienste.

Avertis

Firewalltyp: Firewall in einer Box

Hersteller: Galea Network Security Inc.

Unterstützte Plattformen: keine Angaben

Weitere Informationen: http://www.galea.com/En/Products/Avertis/Index.html

Avertis ist eine proprietäre Lösung, die auf proprietärer Hardware und Software basiert. Es bietet Echtzeit- Filtering und -Analyse von Netzwerkverkehr, Schutz gegen Spoofing- Angriffe und Hardware- Proxying.

BorderManager

Firewalltyp: Software

Hersteller: Novell Inc.

Unterstützte Plattformen: Novell NetWare

Weitere Informationen: http://www.novell.com/text/bordermanager/index.html

BorderManager ist die führende Firewall für Novell- Netzwerke, schützt aber auch Unix- und NT-basierte Netzwerke. Das Produkt bietet zentralisiertes Management, starke Filter und schnelle Echtzeitanalyse von Netzwerkverkehr. Außerdem verfügt BorderManager über eine Funktion zum Aufbau von »Mini-Firewalls«, die interne Angriffe von Abteilungen oder lokalen Netzwerken innerhalb Ihrer Organisation abwehren.

Conclave

Firewalltyp: Software

Hersteller: Internet Dynamics Inc.

Unterstützte Plattformen: Windows NT

Weitere Informationen: http://www.interdyn.com/fyi.html

Conclave wurde entwickelt, um Intranets und Extranets zu schützen. Daher stellt Conclave nicht nur Zugangskontrollen für die Benutzer- oder Paketebene, sondern auch für die Dateiebene zur Verfügung. Conclave wendet außerdem MD5-Paketintegrität-Analysen an, um es Crackern zu erschweren, Datenpakete zu fälschen oder Arbeitssitzungen an Terminals abzufangen.

CSM Proxy/Enterprise Edition

Firewalltyp: Software - Anwendungsschicht-Gateway

Hersteller: CSM-USA Inc.

Unterstützte Plattformen: Linux, Solaris und Windows NT

Weitere Informationen: http://www.csm-usa.com/proxy/index.htm

CSM Proxy ist eine umfassende Proxy-Server- Lösung, die das Filtern von ActiveX und Java Scripts, Cookies, News und Mail beinhaltet. CSM Proxy unterstützt jetzt auch Windows 95.

CyberGuard Firewall

Firewalltyp: Software - Anwendungsschicht- Gateway

Hersteller: CyberGuard Corp.

Unterstützte Plattformen: UnixWare und Windows NT

Weitere Informationen: http://www.cyberguard.com/products2/frames/nt_overview.html

CyberGuard bietet statische und dynamische Echtzeit-Paketfilter für alle üblichen Protokolle (IP, TCP, UDP und ICMP) und eine ganze Reihe von Proxies.

CyberShield

Firewalltyp: Hardware/Software

Hersteller: BDM International Inc.

Unterstützte Plattformen: Data General

Weitere Informationen: http://www.cybershield.com/

CyberShield ist eine proprietäre, fokussierte Lösung. Viele der Protokollierungs- und Auditingfunktionen von CyberShield wurden für eine nahtlose Integrierung in die B2-Level Assurance Security Controls in DG-UX entwickelt. Es ist eine gute »komplette« Lösung, insbesondere wenn Ihre Beschäftigten Erfahrungen mit Data General Unix haben. CyberShield gibt Ihnen Sicherheit auf einem sehr hohen Niveau.

Elron Firewall/Secure

Firewalltyp: Software/Hardware

Hersteller: Elron Software Inc.

Unterstützte Plattformen: Windows NT und Secure32OS

Weitere Informationen: http://www.elronsoftware.com/proddoc.html

Die Elron Firewall beinhaltet ein Firewall- Betriebssystem, das als NT-Dienst läuft. Die Administration findet über NT statt und das Produkt bietet zentrales Management und Benutzerfreundlichkeit.

FireWall A 3.0

Firewalltyp: Software

Hersteller: Check Point Software Technologies Ltd.

Unterstützte Plattformen: Windows NT und Unix

Weitere Informationen: http://www.checkpoint.com/products/firewall-1/descriptions/ products.html

Die Firewall A hat weltweit den größten Marktanteil. Das Produkt beinhaltet Paketfilter, starke Inhaltsüberprüfungen, integrierten Schutz gegen Spoofing und sogar Echtzeit- Scan- Vorgänge für Computerviren. Außerdem bietet Firewall A eine Time-Object- Kontrolle; es ermöglicht Ihnen die Kontrolle darüber, wie oft auf Ihre Netzwerk-Ressourcen zugegriffen werden kann.

Gauntlet Internet Firewall

Firewalltyp: Software - Anwendungsschicht- Gateway

Hersteller: Trusted Information Systems

Unterstützte Plattformen: Unix, Windows NT, DMS, ITSEC E3 und IRIX

Weitere Informationen: http://www.tis.com/prodserv/gauntlet/index.html

Erinnern Sie sich an das TIS Firewall Toolkit? Es bildete die Grundlage für Gauntlet. Gauntlet bietet starke Paketfilter, DES- und Triple-DES- Verschlüsselung, Benutzertransparenz und integriertes Management.

GNAT Box Firewall

Firewalltyp: Firewall in einer Box

Hersteller: Global Technology Associates

Unterstützte Plattformen: keine Angaben

Weitere Informationen: http://www.gnatbox.com/

GNAT ist eine Firewall in einer Box. Diese proprietäre Hardware und Software ist in ein einzelnes Gerät gepackt. (Diese Art von Produkten sind Plug-in- Lösungen. Sie schließen Sie einfach nur an und können loslegen.) Sie können die GNAT-Box entweder über ein Befehlszeilen- oder ein Web-basiertes Interface bedienen. GNAT filtert eingehenden Verkehr, basierend auf IP-Ursprungsadresse, Zieladresse, Port, Netzwerk-Interface und Protokoll.

Guardian

Firewalltyp: Software

Hersteller: NetGuard Inc.

Unterstützte Plattformen: Windows NT

Weitere Informationen: http://www.ntguard.com/grfeatures.html

Guardian bietet komplette Transparenz (Benutzer müssen ihre Gewohnheiten nicht ändern), Filter, Inhaltsüberprüfung und Zugangskontrollen. Das Produkt benutzt außerdem ein proprietäres Kommunikationsprotokoll zwischen der Systemmanager-Applikation und den Agent- Applikationen. Außerdem verfügt das Programm über gute Verschlüsselungsunterstützung.

IBM eNetwork Firewall

Firewalltyp: Software - Anwendungsschicht- Gateway

Hersteller: IBM

Unterstützte Plattformen: AIX und Windows NT

Weitere Informationen: http://www.software.ibm.com/enetwork/firewall/

eNetwork Firewall ist eine Kombination mehrerer Firewall-Architektur- Designs. Es bietet sowohl Anwendungsschicht- Gateways als auch komplexe Paketfilter. Außerdem stellt das Produkt einen VPN-Pfad zwischen Ihren Benutzern und der Firewall zur Verfügung.

Interceptor Firewall Appliance

Firewalltyp: Firewall in einer Box

Hersteller: Technologic Inc.

Unterstützte Plattformen: BSDI

Weitere Informationen: http://www.tlogic.com/appliancedocs/index.html

Dies ist eine preiswerte Komplettlösung für Netzwerke, die keine umfassende Anpassung benötigen. Interceptor bietet Plug&Play-Firewall- Funktionalität, darunter vorkonfigurierte Proxies, zentralisierte Überwachung, Audit- und Protokollverfolgung und plattformneutrale Administration. (Sie können dieses Produkt von jeder Plattform managen.)

NETBuilder

Firewalltyp: Router-basiert

Hersteller: 3Com Corp.

Unterstützte Plattformen: Solaris, Windows NT, HP-UX

Weitere Informationen: http://www.3com.com/products/dsheets/pdf/40023808.pdf

NETBuilder ist eine Router- Hardware- und -Softwarefamilie. Die IP-Firewall- Möglichkeit ist in das NETBuilder- Routerpaket integriert. Es bietet extrem feines Filtern nach Protokoll, Port, Adresse und Applikation.

NetRoad TrafficWARE Firewall

Firewalltyp: Software - Anwendungsschicht- Gateway

Hersteller: Ukiah Software Inc.

Unterstützte Plattformen: Windows NT

Weitere Informationen: http://www.ukiahsoft.com/

NetRoad bietet Anwendungsschicht- Gateways, zentralisiertes Management, Bandbreitenkontrolle und sogar Arbeitssitzungsprioritäten. Basierend auf bestimmten Regeln können Sie bestimmen, welche Netzwerk-Arbeitssitzungen zuerst erledigt werden.

NetScreenA0

Hersteller: NetScreen Technologies Inc.

Gestützte Podeste: keine Angaben

Weitere Informationen: http://www.netscreen.com/netscreen100.htm

NetScreen ist sowohl eine Firewall als auch eine Extranet-Lösung. Es bietet IPSEC-, DES- und Triple-DES- Verschlüsselung und Arbeitssitzung- Integritätsprüfungen über MD5 und SHA. Unterstützte Protokolle sind ARP, TCP/IP, UDP, ICMP, DHCP, HTTP, RADIUS und IPSEC.

PIX Firewall 4.1

Firewalltyp: Router- basiert

Hersteller: Cisco Systems Inc.

Unterstützte Plattformen: keine Angaben

Weitere Informationen: http://www.cisco.com/warp/public/751/pix/

Diese Firewall verlässt sich nicht auf Anwendungsproxies (die zusätzliche Ressourcen und CPU-Zeit brauchen), sondern auf ein sicheres Betriebssystem innerhalb der Hardwarekomponente selbst. Spezielle Funktionen sind ein HTML- Konfigurations- und Administrationstool, IP- Verbergung und Nichtübersetzung und Unterstützung für 16.000 sofortige Verbindungen.

Raptor Firewall

Hersteller: Raptor Systems

Unterstützte Plattformen: Solaris und Windows NT

Weitere Informationen: http://www.raptor.com/products/datasheets/prodsheet.html

Raptor-Produkte verbinden eine ganze Reihe von Firewalltechniken, darunter umfassende Protokollierung, spezialisierter, ereignisabhängiger Umgang mit verdächtigen Aktivitäten und extrem enggefasste Zugangskontrollen. Diese Familie von Firewallprodukten integriert Anwendungsschicht- Proxies.

Secure Access

Firewalltyp: Router-basiert

Hersteller: Ascend Communications Inc.

Unterstützte Plattformen: keine Angaben

Weitere Informationen: http://www.ascend.com/656.html

Secure Access wird durch die Ascend-MAX- Routerfamilie zur Verfügung gestellt. Funktionen sind u.a. Zugangskontrollen, Verschlüsselung, fortgeschrittene Filter, Unterstützung für die meisten bekannten Protokolle und RADIUS Anwahlmanagement.

SecurIT Firewall

Firewalltyp: Anwendungsschicht- Gateway

Hersteller: Milkyway Networks Corp.

Unterstützte Plattformen: Solaris und Windows NT

Weitere Informationen: http://www.milkyway.com/libr/solarisdes.html

SecurIT ist eine duale Anwendungsschicht-/Schaltungsschicht-Firewall- Lösung, die Proxies für die meisten bekannten Dienste (darunter SQL*Net und Pop3), hochgradige Verschlüsselung und ein eingebautes VPN bietet.

SunScreen

Firewalltyp: Gemischt

Hersteller: Sun Microsystems

Unterstützte Plattformen: SunOS und Solaris

Weitere Informationen: http://www.sun.com/security/overview.html

SunScreen von Sun Microsystems besteht aus einer Reihe von Produkten. Mit ihrer SunScreen- Produktlinie reagiert Sun auf eines der Hauptprobleme, das ich vorher angesprochen habe: Wenn Ihr Engpass durchbrochen wird, ist Ihr Netzwerk komplett offengelegt. Suns neue Produktlinie wird wahrscheinlich die Firewall- Industrie revolutionieren (sicherlich, was die Sun-Plattform betrifft). Die hauptsächlichen Produkte sind:

• SunScreen SPF 100/100G - Schlüsselfertige Lösung, die eine Nicht-IP- Adreßmöglichkeit zur Verfügung stellt. Das heißt, das Cracker von außen die Knotenpunkte hinter der Firewall nicht hundertprozentig identifizieren können. Außerdem wurde starke Paketfilter-Technologie integriert. 
• SunScreen EFS - Implementiert umfassende Paketfilter und, noch wichtiger, Verschlüsselung. Spezielle Komforts sind u.a. Provisionen für entfernte Administration und Administration über ein HTML-Interface. 
• SunScreen SKIP - Dieses interessante Produkt bietet sichere Authentifizierung für PCs und Workstations.

Zusammenfassung

Firewalls sind zur Zeit der letzte Schrei, und das ist durchaus berechtigt. Sie bieten umfassende Sicherheit vor Angriffen von außen. Firewalls sollten jedoch nicht die einzige Komponente Ihrer allgemeinen Sicherheitsarchitektur sein. Ich empfehle Ihnen ausdrücklich, sich nicht nur auf eine Firewall zu verlassen.

Infoquellen

Dieser Abschnitt stellt Ihnen einige URLs zur Verfügung, unter denen Sie Online-Dokumente finden, die Ihnen die Firewall-Technologie weiter erklären, bitte hier drücken.

Wichtigste Kundenvorteile

• Vorteil 1
• Vorteil 2
• Vorteil 3

[ Home ] [ Nach oben ] [ Infoquellen ]

Senden Sie E-Mail mit Fragen oder Kommentaren zu dieser Website an: tos.computer@gmx.de 
Copyright © 2003 TOS Computer Systeme
Stand: 14. November 2004