|
zu Nrn. 1 - 3
Diese schalten die DNS-Server des Routers (Nr. 1) bzw. von t-online (Nrn. 2 + 3) frei.
Die Remote-Adressen bei den beiden letzten Regeln dürfen Sie nur als Beispiel verstehen
(s. die Anmerkungen bei den Router-Regeln).
Wenn Sie die Router-Firewall in der Weise eingerichtet haben, wie ich es vorstehend
empfohlen habe, können Sie die Regeln auch zusammenfassen: Löschen Sie die
Regeln 2 und 3 und tragen Sie bei der Regel Nr. 1 als Remote-Adress 'any' ein, alles
andere filtern die DNS-Regeln im Router.
zu Nrn. 4 - 9
Die Regeln habe ich unverändert aus der Default-Einstellung bei der Installation übernommen.
IGMP wird komplett abgeschaltet und ICMP nur mit bestimmten Typen
zugelassen. Beim Editieren dieser Filterregeln sehen Sie rechts oben einen Button
mit der Aufschrift \'Set Icmp...\'. Hier können Sie das ICMP-Protokoll Ihren Wünschen
entsprechend einstellen (nähere Informationen bei [1]).
zu Nrn. 10 + 11
Diese Regeln benötigt der Virtual TA Client, der für Telefonieanwendungen benötigt
wird. Beachten Sie die merkwürdige Adresse bei der Regel Nr. 10: Dies ist die so
genannte Broadcast-Adresse, mit der alle Geräte des Netzwerks angesprochen werden.
Der Virtual TA Client sucht so den Router.
Nr. 12
ist erforderlich, damit Sie mittels Telnet auf den Router zugreifen können. Wenn Sie
mit diesem Programm auch auf andere lokale oder externe Geräte zugreifen wollen,
müssen Sie hierfür natürlich entsprechende Regeln erstellen. Gleiches gilt, wenn Sie
ein anderes Terminalprogramm benutzen wollen.
Nrn. 13 - 18
Diese Regeln ermöglichen ftp-Übertragungen zum einen mit Ihrem Download-
Manager und zum anderen mit einem speziellen FTP-Übertragungsprogramm. Die
Angaben zu \'Application\' dürfen Sie natürlich nur als Beispiel verstehen.
Nr. 19
ist wichtig, damit Ihr - hoffentlich installierter - Virenscanner seine Updates abholen
kann
Nr. 20
ist interessant: Die Bedeutung von Loopback habe ich unter Begriffserläuterungen �
Loopback dargestellt. Der IE benutzt dieses Verfahren für Zwecke, die mir nicht bekannt
sind, und arbeitet ohne diese Zulassung nicht richtig. Die KF arbeitet in diesem
Punkt übrigens präziser als die TPF, die Loopback per Standardeinstellung für alle
Anwendungen freigab, was aus Sicherheitsgründen bedenklich ist (s. bei [1]).
74
___________________________
Anmerkungen zu den Kerio-Regeln
Nr. 21
ist eine der wichtigsten Regeln und gibt dem IE die Ports 80 (http) und 443 (https) für
alle Ziele frei. Die entsprechenden Proxy-Ports 8080 oder 3128 müssen freigegeben
werden, wenn der Provider einen Proxy-Server verwendet und (!) diese Ports vorgibt.
Nr. 22
wie Nr. 20
Nrn. 23 - 26
ermöglichen den eMail-Verkehr über die POP3- und SMTP-Ports Falls die Mails über
das IMAP-Protokoll (s. Begriffserläuterungen) abgeholt werden, muss statt Port 110
der Port 143 freigeschaltet werden. Falls die eingehenden Mails über eine sichere
Verbindung (SPOP3) laufen, muss der Port 995 freigeschaltet werden. Eine Besonderheit
stellen die Regeln 25 und 26 dar: Da mein Virenscanner die ein- und ausgehenden
Mails prüft, stellt dieser (und nicht Outlook [Express]) die Verbindungen her.
Die Regeln 23 und 24 wären daher eigentlich überflüssig und sind nur der Vollständigkeit
halber und für den Fall eingefügt, dass der Virenscanner einmal abgeschaltet
sein sollte (die Remote-Adressen sind nur als Beispiel für die Server von tonline/
Deutsche Telekom zu verstehen).
Nr. 27
ist eine Besonderheit für WINNT- und w2k-Anwender: NTVDM (NT Virtual Dos Machine)
stellt auf DOS basierenden Programmen eine DOS Umgebung zur Verfügung,
damit diese überhaupt arbeiten können. Da das t-online-Banking (Version 4.0 !) immer
noch auf solchen Programmen beruht, wird die Verbindung zur Bank über
NTVDM.EXE hergestellt. W9x-Benutzer müssen die Regel entsprechend anpassen
(die Remote-Adressen sind nur als Beispiel für die Server von t-online/Deutsche Telekom
zu verstehen).
Die Regel passt mir natürlich überhaupt nicht, denn sie schaltet den Internet-Zugang
eben nicht nur für das Banking-Programm frei, sondern allen Programmen, die auf
DOS beruhen und den NTVDM für den Internet-Zugang bemühen. Das Risiko wird
lediglich dadurch begrenzt, dass eine Verbindung nur zu Servern der Deutsche Telekom
zugelassen ist. Sicherer ist es aber in jedem Fall, ein anderes Banking-
Programm zu benutzen, welches ohne NTVDM auskommt.
Nr. 28
ist eigentlich nicht wichtig und blockiert nur die vom Banking-Programm eingeblendeten
Werbebanner. Die Regel ist allerdings ein interessantes Beispiel dafür, wie mit
einer Desktop-Firewall auch solche Banner verhindert werden können.
Nrn. 29 + 30
ermöglichen die Benutzung von RealPlayer und Quicktime, wenn Sie diese Programme
entsprechend meiner Empfehlung so eingestellt haben, dass diese den http-
Port 80 benutzen.
Nr. 31
wie Nr. 20
75
___________________________
Anmerkungen zu den Kerio-Regeln
Nr. 32
Erlaubt dem Windows MediaPlayer, die Track-List herunterzuladen, beachten Sie bei
der Remote-Adresse die Subnetzmaske 255.255.0.0: durch sie wird der gesamte
Bereich von 207.46.0.0 bis 207.46.255.255 freigeschaltet (nach Auskunft von swhois
gehören diese Adressen MicroSoft)
Nr. 33
wie Nr. 20
Nr. 34
erlaubt der musicmatch JUKEBOX den Zugriff, damit die Daten der eingelegten Musik-
CD abgerufen werden können. Da alle Remote-Adressen freigeschaltet werden,
ist die Regel natürlich bedenklich. Eine nähere Eingrenzung war mir aber nicht möglich,
weil die Jukebox ständig eine Verbindung zu stets wechselnden Adressen aufbauen
wollte und dadurch immer wieder neue Freigaben erforderlich wurden.
Nrn. 35 + 36
Zugriff auf die Newsserver: Die eingetragenen Adressen stehen für news.btx.dtag.de
und msnews.microsoft.com und müssen im Bedarfsfall angepasst werden (die Adresse
des Microsoft-Servers wechselt gelegentlich, keine Probleme dürfen Sie mehr
haben, wenn Sie als Remote-Adresse 207.46.0.0 mit der Subnetzmaske 255.255.0.0
eingeben, weil dadurch der gesamte Bereich von 207.46.0.0 bis 207.46.255.255 freigeschaltet
wird, der nach Auskunft von swhois MicroSoft gehört).
Nr. 37
sollten Sie - jedenfalls in der Anfangszeit - nicht eingeben, sondern den Regler auf
der Eingangsseite der Firewall Administration auf ,Ask Me First' stehen lassen. Wenn
die Firewall bei dieser Einstellung keine Regel findet, fragt sie nach, was zu tun ist
(Würden Sie die Regel 37 aktivieren, käme es zu dieser Frage nicht mehr, denn die
Regel 37 passt immer.). Wenn Sie allerdings irgendwann den Regler auf ,Permit
Unknown' stellen, funktioniert diese deny-all-Regel als zusätzlicher ,Sicherheitsriegel':
Sie besagt, dass alles, was vorher nicht ausdrücklich zugelassen wurde, verboten
ist. Die gefährliche Einstellung ,Permit Unknown' reicht allein nicht, um den
Rechner zu öffnen, sondern es muss auch die Regel 37 deaktiviert werden. Meine
Empfehlung: Regler auf ,Ask Me First' stehen lassen und Regel 37 nicht aktivieren.
Sonstiges
Sie werden wahrscheinlich eine ganze Reihe weiterer Regeln benötigen, die der Regel
Nr. 19 ähnelt, weil viele Programme inzwischen eine Online-Hilfe anbieten bzw.
per Menu-Aufruf aktualisiert werden können. Ich empfehle, diese Freigaben - wenn
eben möglich - auf konkrete Remote-Adressen zu beschränken. Die nötigen Remote-
Adressen müssen Sie entweder beim Hersteller des Programms erfragen oder
versuchen, sie durch die Firewall ermitteln zu lassen.
Weitere Hilfe zur KF finden Sie auf diesen Seiten [25]. Der Eingangsbildschirm lässt
sich mit diesem Programm [26] abstellen. Bitte sichern Sie vor dem Ausführen des
76
___________________________
Anmerkungen zu den Kerio-Regeln
Programms die Datei PERSFW.exe, die durch dieses Programm verändert wird. Bei
einem w2k-Rechner hatte ich nach dem Entfernen des Eingangsbildschirms Probleme
mit dem Systemstart, die wahrscheinlich nicht auf den Patch zurückzuführen
sind, sondern von einem Timing-Problem herrühren. Gleichwohl sollte man nicht auf
die Möglichkeit verzichten, den Original-Zustand wiederherzustellen.
|
