|
Set 1 Nr. 1 (Call-Filter) und Set 2 Nr. 1 (Daten-Filter)
Diese Regeln stammen nicht von mir, sondern waren im Auslieferungszustand
meines Routers mit der Firmware 2.00 a als Default-Regeln eingetragen. Ich verstehe
die Regeln nicht und gehe davon aus, dass sie vertauscht sind.
Zur Erläuterung: Über die Ports 137 bis 139 regelt NetBIOS die Datei- und Druckerfreigabe.
Die Regeln dürfen keinen Anwendungsfall haben, wenn Sie meiner Empfehlung
gefolgt sind (s. bei Begriffserläuterungen unter NetBIOS), NetBIOS über
TCP/IP abzuschalten. Haben Sie aber bewusst oder versehentlich die Datei- und
Druckerfreigabe für TCP/IP aktiviert, dann stellt NetBIOS über den DNS-Port 53 eine
Vielzahl von Verbindungen her, weil NetBIOS ständig auf der Suche nach anderen
Rechnern ist und diese Suche zu den DNS-Servern weiterleitet, wenn die Rechner
nicht gefunden werden. Die Regel Set 2 Nr. 1 verhindert das, wenn sie als Call-Filter,
also in das Set 1, eingetragen wird. Die Regel Set 1 Nr. 1 soll den Datenverkehr über
die Ports 137 bis 139 verhindern, also Zugriffe auf Festplatten blocken. Als Call-Filter
macht das keinen Sinn, weil die Call-Filter nach den Beschreibungen im Original-
Handbuch nur bei nicht bestehender Verbindung angesprungen werden. Wenn ich
aber den Datenverkehr über die NetBIOS-Ports unterbinden will, dann will ich dies
unabhängig davon, ob eine Verbindung besteht oder nicht. Die Regel Set 1 Nr. 1 gehört
daher als Daten-Filter in das Set 2. Nach meiner Auffassung und nach den Empfehlungen
in anderen Firewalls muss sie außerdem durch eine Filterregel ergänzt
werden, durch die alle ausgehenden Verbindungen (Direction:Out) von allen Adressen
über die Ports 137-139 auf alle Adressen mit allen Ports unterbunden wird (Block
Immediately). Wenn Sie sich jedoch an die Empfehlungen in meinem Beispielset halten,
brauchen Sie diese Regeln nicht, weil die Block-Regeln im letzten Set ohnehin
auch den NetBIOS-Verkehr stoppen.
Meine Empfehlung: Regel Set 1 Nr. 1 ersatzlos löschen und Regel Set 2 Nr. 1 unverändert
als Regel Set 1 Nr. 1 eintragen, wobei man sogar noch hierüber diskutieren
könnte: Lässt man nämlich diesen Call-Filter weg, bemerkt man durch die unerklärlichen
Verbindungsaufnahmen möglicherweise schneller, dass NetBIOS über
TCP/IP läuft und kann etwas dagegen tun.
Set 3
Nr. 1
Dies ist die einzige Regel in meinen Sets, bei dem unter ,Fragments' etwas anderes
als ,Don't Care' angewählt wurde, nämlich ,Too Short'. Die Regel blockt alle ankommenden
Pakete, die so kurz sind, dass sie keinen kompletten TCP-Header haben
(s.a. die entsprechenden Erläuterungen in der Handbuchübersetzung).
Set 4
Nr. 1
Die Regel schaltet das ICMP-Protokoll ausgehend komplett frei, was aus Sicherheitsgründen
nicht unproblematisch ist (s.a. bei Begriffserläuterungen zu ICMP sowie
bei [1]). Es dürfte eigentlich nicht zu nennenswerten Problemen kommen, wenn man
diese Regel für den ,normalen' Internetverkehr abschaltet. Als Alternative kann man
61
___________________________
Anmerkungen zu den Beispielen für die Router-Firewall
darüber nachdenken, über eine Desktop-Firewall, die das ICMP-Protokoll detaillierter
kontrollieren kann als die Vigor-Firewall, nur bestimmte Typen aus dem Protokoll zuzulassen.
Nrn. 2 + 3
Die Regeln geben zum Port 53 den Zugang zum DNS-Server frei, der die Web-
Adresse (www.mueller.de) in die IP-Adresse im Zahlenformat
(0000.0000.0000.0000) umwandelt. Ohne diese Regeln können Sie daher nur dann
im Internet surfen, wenn der Router die Adresse aus seinem eigenen Cache holen
kann oder Sie die Zahlenadresse im Kopf haben. Die Angabe der Destination-IPAdresse
ist nur als Beispiel zu verstehen. Hier müssen Sie die Adresse des DNSServers
Ihres Providers eintragen (das Beispiel gilt für den DNS-Server von t-online
bei einem Zugang aus Köln, beim Zugang aus anderen Städten oder beim Zugang
über andere Provider gelten andere Nrn. s. unter Begriffserläuterungen � IPAdresse).
In der Regel reichte bei mir die Regel Nr. 2. Zu bestimmten Zeiten schaltet t-online
aber offenbar tatsächlich - wie auf deren Home-Page angekündigt - auf andere Server
(in meinem konkreten Fall auf Server im Bereich 194.25.2.129 bis 194.25.2.134)
um, so dass die Regel 3 erforderlich wurde. Bitte beachten Sie die Subnetzmaske:
Freigeschaltet werden tatsächlich alle Adressen von 194.25.2.128 - 194.25.2.255
(der Adressbereich 194.25.2.0 bis 194.25.3.255 ist gemäß Auskunft von
www.swhois.net der Deutschen Telekom zugeteilt).
Nrn. 4 + 5
erlauben den Zugriff auf das Internet für normale (http, 80) und gesicherte (https,
443) Verbindungen. Als weitere Absicherung kann man darüber nachdenken:
- über eine Desktop-Firewall nur bestimmten Programmen den Zugang über die
Ports zu gestatten.
Set 5
Nrn. 1 + 2
sind erforderlich, um ein- (POP3, 110) und ausgehende (SMTP, 25) Mails zu ermöglichen.
Falls die Mails über das IMAP-Protokoll (s. Begriffserläuterungen) abgeholt
werden, muss statt Port 110 der Port 143 freigeschaltet werden. Falls die eingehenden
Mails über eine sichere Verbindung (SPOP3) laufen, muss der Port 995 freigeschaltet
werden.
Bitte beachten: Die Destination-IP-Adresse und -Subnetzmaske sind nur als Beispiel
zu verstehen. Sie beziehen sich auf die Mail-Server von t-online und müssen durch
die Mail-Server-Adressen Ihres Providers ersetzt werden. Mit der von den sonstigen
Einstellungen abweichenden Subnetzmaske hat es folgende Bewandtnis: Ich habe
insgesamt 12 Adressen für die Mailserver von t-online ermittelt, die leider nicht einmal
fortlaufend sind. Wenn ich diese ausgehend für Port 110 und 25 eingebe,
verbrauche ich 24 (!) Filterregeln, was nicht diskutabel ist. Durch die Filterregeln sind
nur die ersten 25 Stellen (in dualer Schreibweise) der IP-Adresse maßgebend. Im
konkreten Beispiel lässt der Filter daher Pakete an die Adressen 194.25.134.0 bis
194.25.134.127 durch. In diesem Bereich liegen die Mailserver-Adressen von t62
___________________________
Anmerkungen zu den Beispielen für die Router-Firewall
online. Ich habe jetzt zwar statt 12 Adressen 128 freigeschaltet, da jedoch nach Auskunft
von www.swhois.net der gesamte Adressbereich von 194.25.134.0 bis
194.25.134.255 in der Hand der Deutschen Telekom liegt, gehe ich davon aus, dass
hierdurch keine zusätzliche Bedrohung entsteht (durch den Aufbau der Vigor Firewall
habe ich keine andere Möglichkeit).
Als weitere Absicherung sollte man:
- eine Desktop-Firewall einsetzen und nur dem verwandten Mail-Clienten den
Zugriff über die Ports gestatten.
Nrn. 3 + 4
Zugriff auf die Newsserver: Die eingetragenen Adressen stehen für news.btx.dtag.de
und msnews.microsoft.com und müssen im Bedarfsfall angepasst werden (die Adresse
des Microsoft-Servers wechselt gelegentlich, keine Probleme dürfen Sie mehr
haben, wenn Sie als Destination-IP-Adresse 207.46.0.0 mit der Subnetzmaske
255.255.0.0 eingeben, weil dadurch der gesamte Bereich von 207.46.0.0 bis
207.46.255.255 freigeschaltet wird, der nach Auskunft von swhois MicroSoft gehört).
Als weitere Absicherung sollte man:
- eine Desktop-Firewall einsetzen und nur dem verwandten News-Programm
den Zugriff über die Ports gestatten.
Nr. 5
erforderlich für aktives und passives ftp. Die Regel ist bedenklich (s. unter Hinweise).
Als Destination-IP-Adresse kann man auch die Adresse des ftp-Servers angeben, mit
dem man die Daten austauschen will (für die t-online-Homepages [home-up.tonline.
de] zum Beispiel 194.25.3.142). Für andere Server wird die Verbindungsaufnahme
dann unterbunden.
Als weitere Absicherung sollte man:
- eine Desktop-Firewall einsetzen und nur den Programmen den Zugriff über
den Port gestatten, mit denen man die Dateien verschiebt (einschließlich eines
etwa eingesetzten Download-Managers).
Ferner würde ich mir überlegen, ob ich die Regel nicht im Normalbetrieb deaktiviere
und damit den Port sperre, um diesen nur im Bedarfsfall freizuschalten.
Nr. 6
bei passivem ftp erforderlich, um die Daten abzuholen. Ebenfalls bedenklich (s. die
Hinweise zur Regel Nr. 5).
Nr. 7
erforderlich, wenn mit Telnet auf andere Systeme zugegriffen werden soll. Es gelten
die gleichen Hinweise wie zur Regel Nr. 5.
63
___________________________
Anmerkungen zu den Beispielen für die Router-Firewall
Set 8
Nr. 1
Die Regel schaltet das ICMP-Protokoll eingehend komplett frei, was aus Sicherheitsgründen
problematisch ist (s. dazu Set 4 Nr. 1).
Nr. 2
Bei aktivem ftp baut der externe Rechner über den Port 20 zu einem beliebigen Port
>1023 eine Verbindung auf, um die Dateien zu übertragen. Aus Sicherheitsgründen
bedenklich. Da aktives ftp seltener verwendet wird und insbesondere die Browser nur
passives ftp benutzen, sollte die Regel im Normalfall deaktiviert werden.
Set 10
Alle Regeln in diesem Set sind deaktiviert. Der Realplayer funktioniert allerdings in
der Grundeinstellung nur dann, wenn Sie diese Regeln einschalten, was ich nicht
empfehle. Das Set enthält derart weitreichende Freigaben, dass die Aktivierung aus
Sicherheitsgründen nicht zu empfehlen ist. Wer den Player unbedingt braucht, mag
das Set einschalten. Gleichwohl kann man mit dem Realplayer auch arbeiten, ohne
den Regelsatz zu aktivieren. Zwingen Sie den Realplayer, für alle Verbindungen den
http-Port (80) zu benutzen (Achtung: Unter Windows 2000 benötigen Sie für die Eingabe
der Einstellungen Administrator-Rechte !!): Starten Sie den Realplayer: Unter
Ansicht � Einstellungen � Transportprotokoll � RTSP-Einstellungen und PNAEinstellungen
kreuzen sie jeweils das Kästchen nur http verwenden an. Nach den
Infos von RealNetworks soll dies mit Performance-Verlusten verbunden sein, was ich
aber jedenfalls mit DSL subjektiv nicht bestätigen kann.
Set 11
Beachten Sie bitte, dass alle Regeln in diesem Set deaktiviert sind. Entsprechend
der Bezeichnung dient das Set nur für Notfälle. Es werden die wichtigsten Ports für
alle IP-Adressen freigeschaltet. Die Warnungen von t-online vor der Angabe fester
IP-Adressen haben mich derart verunsichert, dass ich mir für ,Notfälle' ein Set zurecht
gelegt habe, welches ich benutzen möchte, falls ich den Verdacht habe, dass
mein Internet-Verkehr deshalb nicht mehr funktioniert, weil t-online die IP-Adressen
geändert hat.
Set 12
Dies sind mit Abstand die wichtigsten Regeln in der ganzen Konfiguration. Hier
wird ein- und ausgehend alles gesperrt, was nicht vorher explizit zugelassen wurde.
Was fehlt ?
1. Wenn Sie den Instant Messenger von AOL benutzen, müssen Sie eine Erlaubnisregel
für ausgehende Datenpakete über das TCP-Protokoll von allen
lokalen IP-Adressen und allen Quell-Ports auf alle IP-Adressen (oder
die IP-Adressen des Terminals) auf den Port 5190 erstellen.
2. Die Proxy-Ports 8080 oder 3128 (ggfs. weitere) müssen anstelle der Ports
80 (http) und 443 (https) freigeschaltet werden, wenn der Provider einen
64
___________________________
Anmerkungen zu den Beispielen für die Router-Firewall
Proxy-Server verwendet und diese Ports vorgibt (bei diesem erfragen). Bei
t-online reichen die Standard-Ports 80 und 443.
3. Bei mir funktionierte mit dem Regelset t-online-Banking nicht mehr. In einem
solchen Fall bleibt nichts anderes übrig, als Telnet zu bemühen. Starten
Sie Telnet wie folgt: Start � Ausführen � Telnet 192.168.1.1 [Enter] -
Eingabe des Passwortes [Enter] - log -F a [Enter], um alle alten Log-Flags
zu löschen (die spätere Abfrage wird dann übersichtlicher). Minimieren Sie
Telnet. Aktivieren Sie im General Setup des Filter/Firewall Setups im Router
unter Log Flag den Listeneintrag ,Block' oder kreuzen Sie bei den beiden
Regeln im Set 12 die Checkbox ,Log' an. Starten Sie dann das tonline-
Banking-Programm und versuchen Sie, z.B. die Umsätze zu aktualisieren,
was natürlich nach wie vor nicht funktioniert. Aktivieren Sie wieder
Telnet und geben Sie folgendes ein: log -f [Enter]. Jetzt müssten Sie exakt
sehen, was geblockt wurde. In meinem konkreten Fall hat mir Telnet angezeigt,
dass es eine ausgehende Verbindung von der lokalen IP-Adresse
meines Rechners (192.168.1.xxx) auf Port 1073 (!) auf die IP-Adresse
194.25.134.212 auf Port 866 (!) abgefangen hat. Also geben Sie jetzt eine
Regel ein, die eine ausgehende Verbindung auf die gerade beschriebenen
Adressen und Ports zulässt, wobei Sie als Source-IP-Adresse natürlich
,any' oder (192.168.1.0 mit der Subnetzmaske 255.255.255.0/24) angeben,
denn sonst kann nur der Rechner, der zufällig die von Telnet lokal angezeigte
Adresse dynamisch oder fest bekommen hat, auf das Online-
Banking zugreifen.
Das Spiel geht weiter: Nach meiner Auffassung gibt es keinerlei Gewähr
dafür, dass die Adressen und Ports, die Telnet bei einer Verbindungsaufnahme
gezeigt hat, auch am nächsten Tag noch gelten. Wenn Sie t-online-
Kunde sind, schlage ich Ihnen daher - ohne Gewähr für hiermit etwa verbundene
Sicherheits-Risiken - folgendes vor: Ändern Sie die Regel Set 5
Nr. 1: wie folgt ab: Destination-IP-Subnetzmaske 255.255.255.0/24, Destination-
Start-Port löschen, also nichts eintragen. Die Regel Set 5 Nr. 2 können
Sie dann gleich löschen. Damit haben Sie alle ausgehenden Verbindungen
zu den Adressen 194.25.134.0 bis 194.25.134.255 auf allen Ports
freigeschaltet und müssen darauf vertrauen, dass von dort keine Bedrohung
ausgeht (gemäß Auskunft von www.swhois.net sind alle soeben freigeschalteten
Adressen der Deutsche Telekom AG zugeteilt).
4. Apples Quicktime wird ebenfalls nicht funktionieren. Hier dürften Regeln erforderlich
sein, die dem Set 10 gleichen. Wer dieses Programm unbedingt
braucht, mag sich die Daten für die erforderlichen Freigaben selbst besorgen.
Auch Quicktime können Sie aber zwingen, den Port 80 (http) zu benutzen.
So geht's unter QuickTime 5 (unter w2k Administrator-Rechte erforderlich
!!): Quicktime starten, Bearbeiten � Voreinstellungen � Quick-
Time Einstellungen � Streaming Transport � http, Port-ID verwenden ,80'
ankreuzen. Auch apple warnt vor Performance-Einbußen, die mir nicht
aufgefallen sind.
65
___________________________
Anmerkungen zu den Beispielen für die Router-Firewall
5. Wenn Sie online spielen wollen, müssen Sie sich beim Betreiber des
Spiels erkundigen, welche Ports in welche Richtung über welches Protokoll
freigeschaltet werden müssen. Ich gehe davon aus, dass hierdurch erhebliche
Risiken geschaffen werden können, und empfehle, die hierdurch bedingten
Regeln in einem speziellen Set unterzubringen, welches nur zum
Spielen freigeschaltet und im übrigen übersprungen wird. Bedenken Sie
bitte, dass die Filterregeln im Router für alle angeschlossenen Rechner
gelten, also auch für die Personen, die gar nicht spielen. Es erscheint mir
daher auch sinnvoll, die ,Spiel-Regeln' auf die konkreten IP-Adressen der
Rechner der Spieler zu beschränken, was voraussetzt, dass die IPAdressen
der lokalen Rechner nicht dynamisch, sondern fest vergeben
werden.
6. Wenn Sie an Tauschbörsen teilnehmen möchten, müsste Ihnen eigentlich
die für den ftp-Datenkanal vorgesehene Regel im Set 5 Nr. 6 den Download
ermöglichen, denn die Dateien werden idR über die Ports oberhalb von
1023 übertragen. Für den Upload (also wenn Sie Ihre Dateien anderen
Nutzern zur Verfügung stellen wollen) sind weitere Regeln für einkommende
Datenpakete erforderlich, was natürlich wiederum mit Risiken verbunden
ist (vgl. im übrigen die Ausführungen zu 5.).
7. Durch die Regeln in Set 12 wird auch der gesamte Verkehr über den Port
445 geblockt, über den w2k/XP die Datei- und Druckerfreigabe managen,
wenn TCP/IP mittels ,direct hosting' benutzt wird. Wenn Sie entfernte Windows-
Netze mit diesem Verfahren vernetzen wollen, müssen Sie entsprechende
Erlaubnisregeln einfügen.
|
