|
Vorstehend habe ich bereits mehrfach darauf hingewiesen, dass die Router-Firewall
tunlichst durch eine Desktop-Firewall ergänzt werden sollte, weil diese insbesondere
die generell freigegebenen Verbindungen dadurch weiter präzisieren kann, dass sie
diese Verbindungen nur für bestimmte Programme freischaltet. Ein angenehmer Nebeneffekt
ist, dass eine solche Desktop-Firewall bei den problematischen ICMPVerbindungen
bestimmte Unter-Typen dieses Protokolls ausschließen kann.
Hierzu stehen eine Vielzahl von Programmen zur Verfügung (s. [7], [14], [16], [18],
[19], [60]). Für die Kerio Firewall (Version 2.1.4 vom 15.04.2002, im folgenden KF,
Weiterentwicklung der Tiny Personal Firewall [22], im folgenden TPF) habe ich mich
entschieden, weil
- sie für die private Nutzung kostenlos ist [21],
- sie auf allen MicroSoft-Betriebssystemen ab Windows 9x funktioniert,
- sie und die TPF - absehen von der Konfiguration, der nur spärlichen Hilfe in
englisch und des Risikos, durch ein Schadprogramm gewaltsam beendet zu
werden (dazu noch unten) - grundsätzlich in allen Tests gut abgeschnitten
haben,
- sie mit ihrer deny-all-Strategie meiner vorgeschlagenen Konfiguration für die
Router-Firewall sehr ähnelt, so dass man nicht grundlegend umdenken muss,
- sie sehr kompakt ist und keine Unmengen an Speicherplatz frisst und es auch
bei den einzelnen Regeln sehr detailliert ermöglicht, eine Vielzahl von Fällen
mit einer einzigen Regel abzudecken,
- ich subjektiv auch im laufenden Betrieb praktisch keine Performance-
Einbußen feststellen konnte, was bei anderen Firewalls, mit denen ich gearbeitet
habe, ganz anders aussieht,
- die Konfiguration nach meiner Auffassung sehr übersichtlich ist (wenn Sie sich
durch die Anleitung für die Router-Firewall gekämpft haben, müssten Ihnen alle
Menupunkte der KF auf Anhieb einleuchtend sein),
- die Firewall auch konfiguriert werden kann, wenn man nur mit einfachen Benutzerrechten
angemeldet ist (Es mag zunächst merkwürdig erscheinen, dass
ich dies positiv werte, entspricht aber meinen Sicherheitsvorstellungen: Ich
versuche immer, Internetverbindungen zu vermeiden, wenn ich Administrator-
Rechte habe. Wenn mich KF zwänge, die Konfiguration mit diesen Rechten
vorzunehmen, müsste ich zur Konfiguration und zum Test eine Vielzahl von
Verbindungen mit diesen Rechten herstellen. KF kann durch ein eigenes
Passwort gesichert werden. Dies ist die richtige Lösung.),
- ich grundsätzlich Programme vorziehe, bei denen ich genau sehe, was ich
einstelle, und demgegenüber Programme meide, die meinen, Sie wüssten,
was ich will, und mir helfen wollen, indem sie Dinge für mich entscheiden, ohne
mir genau zu sagen, was sie eigentlich eigenmächtig machen (deshalb teile
ich die in den diversen Tests an der TPF (s. insbesondere [18]) geäußerte
Kritik, die Firewall lasse gefährliche Regeln zu und sei für Einsteiger schwer
zu konfigurieren, gerade nicht: Eine Firewall kann nur der sinnvoll einrichten,
67
___________________________
Konfiguration einer ergänzenden Desktop Firewall
der sich mit der Materie befasst hat. Wenn ein solcher Anwender eine gefährliche
Regel möchte, soll er sie bekommen.)
- sie nach meiner Auffassung die Einrichtung eben doch sehr erleichtert, weil
sie sich so einstellen lässt, dass sie bei allen Paketen, bei denen die Firewall
keine Regel findet, nachfragt und die Erstellung einer generellen Regel ermöglicht,
- sie anhand von MD5-Checksummen prüft, ob eine Anwendung, die für bestimmte
Verbindungen zugelassen wurde, modifiziert oder ausgetauscht wurde
(Wenn der Sinn der ergänzenden Desktop-Firewall gerade darin bestehen
soll, die Router-Firewall durch anwendungsbezogene Regeln zu verfeinern,
wäre es natürlich eine Katastrophe, wenn sich die Desktop-Firewall schon dadurch
aushebeln ließe, dass sich ein Schadprogramm in ,Internet Explorer'
umbenennt).
I
n der Bedienbarkeit erhält die KF in Vergleichstests regelmäßig nur durchschnittliche
oder gar unterdurchschnittliche Noten. Das ist aber ein grundsätzliches Problem von
Softwaretests, weil am Ende eine Gesamtnote herauskommen soll, durch die ganz
unterschiedliche Gesichtspunkte vermengt werden. Die KF ist sicher nichts für Anwender,
die davon ausgehen, nur den Knopf ,Install' drücken zu müssen, um danach
ein ,sicheres' System zu haben. Man muss sich mit der Firewall auseinandersetzen
und sich die Regeln erarbeiten. Wenn man dies aber getan hat, wird man nach meiner
Auffassung feststellen, dass die Bedienbarkeit nicht nur sehr gut ist, sondern
dass es auch nichts zu verbessern gibt (und dies behaupte ich nur von sehr wenig
Software).
Viel ernster ist die - auf fast alle Desktop-Firewalls und auf viele andere Sicherheitsprogramme
zutreffende - Feststellung, dass diese Firewalls durch Schadprogramme
,abgeschossen' werden können (der derzeit am meisten verbreitete Schädling, nämlich
der Bugbear-Wurm, ist eben auch deshalb so erfolgreich, weil er eine Vielzahl
von Schutzprogrammen beenden kann, vgl. die Liste bei: [43]).
Bei der KF kann man dies durch einen Eintrag in die Registry verhindern [24] (unter
NT/w2k/XP sind natürlich Administrator-Rechte erforderlich; auch hier der übliche
Hinweis: bitte die Registry vor jeder Veränderung sichern):
Unter Start � Ausführen Regedit eingeben:
Unter win 9x/ME den Eintrag
HKEY_LOCAL_MACHINE�System�CurrentControlSet�Services�VxD�fwdrv
und unter NT/w2k/XP den Eintrag
HKEY_LOCAL_MACHINE�System�CurrentControlSet�Services�fwdrv
suchen und dort einen neuen DWORD-Wert mit der Bezeichnung ,AlwaysSecure'
anlegen und diesem Eintrag den Wert ,1' zuweisen.
68
___________________________
Konfiguration einer ergänzenden Desktop Firewall
Danach muss der Rechner neu gestartet werden. Solange die KF läuft, funktioniert
alles wie gewohnt. Wird die KF aber beendet, ist der gesamte TCP/IP-Verkehr gesperrt
(NetBEUI funktioniert weiter). Sie kommen also weder ins Internet noch ans
WebInterface des Routers, der Virtual TA Client und die Monitor-Programme für den
Router funktionieren nicht mehr. Sie können nicht einmal mehr das Administrations-
Menu der KF aufrufen, um diese wieder einzuschalten. Um dies zu können, müssen
Sie zunächst mit regedit die oben wiedergegebenen Registry-Einträge aufrufen, den
Wert von ,AlwaysSecure' auf ,0' setzen, den Rechner neu starten, das Administrations-
Menu der KF aufrufen, diese wieder einschalten, den Wert von ,AlwaysSecure'
wieder auf ,1' setzen und den Rechner neu starten. Sicherheit hat eben ihren Preis.
Allerdings dürfte die KF mit diesem Registry-Patch jeden Vergleichstest zwischen
Portblockern gewinnen. Gleichwohl bleibt natürlich das Risiko, dass ein Schadprogramm
den vorerwähnten DWORD-Wert zunächst auf ,0' setzt und erst dann die Firewall
abschießt, und dieses Risiko wird durch die Verbreitung des oben wiedergegebenen
Tipps noch größer. Deshalb auch an dieser Stelle nochmals mein Rat:
Nicht mit Administrator-Rechten im Internet surfen !
I
ch habe den Registry-Patch sowohl unter w98 als auch unter w2k getestet und keine
weiteren Probleme feststellen können.
Abschließend möchte ich darauf hinweisen, dass die TPF in [18] abgewertet wurde,
weil sich in diesem Test bei einer Installation auf Windows XP ein Schadprogramm
den Namen ,Explorer.exe' und dessen in der Firewall vergebenen Rechte aneignen
konnte. Sollte dies zutreffen, so wäre das natürlich eine schwere Sicherheitslücke !
Die PC Welt hat die Firewalls allerdings unter erschwerten Bedingungen getestet,
weil die Datei- und Druckerfreigabe auch für den Internet-Anschluss freigeschaltet
war, was ich für den Normalanwender nicht empfehle (s.o. Begriffserläuterungen�
NetBIOS). Die Fehlfunktion hängt möglicherweise auch mit den nachstehend umschriebenen
Freigaben zusammen, die KF automatisch bei einer Installation unter
w2k erstellt und die ich abschalten würde (s.u.). Bei meinen Installationen ist ein solcher
Fehler nie aufgetreten. Die KF hat mich jedes Mal gewarnt, wenn ein zugelassenes
Programm durch ein Update geändert oder ausgetauscht wurde (und das ist
bei den ganzen bugfixes und Sicherheits-Patches für den Internet Explorer gerade
bei diesem Programm sehr häufig vorgekommen). Alle nachstehenden Ausführungen
können Sie praktisch unverändert auch für die TPF übernehmen, denn die Oberflächen
der KF und der TPF unterscheiden sich nur geringfügig.
Nach der Installation würde ich zunächst die Firewall durch einen Rechtsklick auf das
in der Taskleiste rechts neu erscheinende Icon aufrufen und dann unter Administration
� Miscellaneos die Checkbox ,Check For New Versions ...' deaktivieren. Andernfalls
stellt KF bereits eine Internetverbindung für die Suche nach einer neuen Version
her, bevor Sie sich angemeldet haben. Bei Win9X würde ich im gleichen Menu auch
,Enable DNS Resolving' deaktivieren, weil auch dies beim Start bereits zu einer Verbindung
mit dem externen DNS-Server führt. Unter Windows 2000 passiert das nicht.
Gleichzeitig würde ich zur Kenntnis nehmen, dass unter Administration � Authentication
,Authentication Is Required' angekreuzt und ein Passwort vergeben werden
kann, würde dies aber zunächst noch nicht aktivieren, sondern erst die wesentlichen
Erlaubnisregeln eingeben bzw. erstellen lassen. Sonst müssen Sie bereits in der An69
___________________________
Konfiguration einer ergänzenden Desktop Firewall
fangsphase ständig das Passwort angeben, um die Firewall Administration aufzurufen
und die Regeln zu verfeinern. Nach den Grundeinstellungen ist es aber unbedingt
erforderlich, die Firewall durch ein Passwort zu sichern. Auch unter w2k hat
sonst jeder einfache Benutzer Zugriff auf die Firewall und kann sie abschalten oder
unsinnige Regeln eingeben.
KF erstellt unter w2k (nicht unter w98) nach der Installation eine Reihe von Erlaubnisregeln,
die ich für bedenklich halte und die Sie nach meiner Auffassung auch nicht
benötigen und deaktivieren sollten, wenn Sie den LAN-Verkehr nicht über TCP/IP
(sondern über NetBEUI) betreiben (so wird zum Beispiel der Port 445 freigegeben,
mit dem w2k die Datei- und Druckerfreigabe managt, und die Local Security Authority
[LSASS.EXE], die u.a. dafür zuständig ist, ein sicheres Einloggen auf anderen Rechnern
zu ermöglichen, usw.). In w2k/XP-Netzen, bei denen mittels direct hosting
TCP/IP benutzt wird, werden Sie an diesen Regeln nicht vorbeikommen. Sie erkennen
diese Freigaben daran, dass sie für Programme gelten, die im Verzeichnis
...WINNTSystem32 abgelegt sind, oder bei ihnen statt eines Programmes ,system'
angegeben ist.
DHCP funktionierte auf meinen Rechner ohne ausdrückliche Freigabe durch die KF.
I
m übrigen können Sie sich die Konfiguration der KF ziemlich einfach machen: Lassen
Sie den Regler der Firewall-Administration in der mittleren Stellung ,Ask me First'
und starten Sie alle Internetanwendungen. Bei fehlender Zulassung werden Sie gefragt,
wie verfahren werden soll: Sie können mit ,permit' die Verbindung einmal zulassen
oder mit ,Create Rule' gleich eine Regel erstellen. Im Anschluss an diese
,Rundreise' würde ich mir allerdings unter Administration � Firewall � Advanced �
Edit die einzelnen Regeln genau ansehen und verfeinern bzw. allgemeiner formulieren,
denn je weniger Regeln Sie brauchen, um so weniger wird die Leistung Ihres
Rechners durch die Firewall beeinträchtigt. Um Ihnen diese Arbeit zu erleichtern folgt
ein Beispielset:
70
___________________________
Beispielfilterset für die Kerio Firewall
Beispielfilterset für die Kerio Firewall
Nr.
Rule Description
enabled
Direction
Action
(Permit=P/Deny=B)
Protocol
Local Port
Remote Address
Remote Port
Rule Valid (always=a)
Application
1 DNS->Router X both P UDP any 192.168.1.1 53 a any
2 DNS (t-online) X both P UDP any 217.5.99.9 (s. Anm.) 53 a any
3 DNS (t-online) Reserve X both P UDP any 194.25.2.129-194.25.2.134
(s. Anm.)
53 a any
4 Outgoing PING command X Out P ICMP any any entfällt a any
5 Outgoing PING command
(Incoming Reply)
X In P ICMP any any entfällt a any
6 Incoming Icmp Time Exceeded
(used by TRACEROUTE
command)
X In P ICMP any any entfällt a any
7 Outgoing reply on PING
command
X Out P ICMP any any entfällt a any
8 Other ICMP X both B ICMP any any entfällt a any
9 IGMP X both B other-2 any any entfällt a any
10 Virtual TA Broadcast X Out P UDP any 255.255.255.255 56415 a {Lw}:programmevirtual ta clientrccicon.exe
11 Virtual TARouter X both P TCP and
UDP
any 192.168.1.1 56415 a {Lw}:programmevirtual ta clientrccicon.exe
12 Telnet->Router X Out P TCP any 192.168.1.1 23 a {Lw:}:winntsystem32telnet.exe
13 Download Manger http, https X Out P TCP any any 80,443 a {Lw}:programme{Pfad}{Programmname}
14 Download Manager ftp Kommandokanal
X Out P TCP any any 21 a {Lw}:programme{Pfad}{Programmname}
15 Download Manager ftp
Datenkanal
X Out P TCP 1024-65535 any 1024-65535 a {Lw}:programme{Pfad}{Programmname}
16 WS_FTP Pro (21) X Out P TCP 1024-65535 any 21 a {Lw}:programmews_ftp proftp95pro.exe
17 WS_FTP Pro data X Out P TCP 1024-65535 any 1024-65535 a {Lw}:programmews_ftp proftp95pro.exe
18 WS_FTP Pro aktiv X In P TCP 1024-65535 any 20 a {Lw}:programmews_ftp proftp95pro.exe
19 Virenscanner-Update X Out P TCP any any 80 a {Lw}:programme{Pfad}{Programmname}
20 Internet Explorer Loopback X Out P TCP and
UDP
any 127.0.0.1 any a {Lw }:programmeinternet exploreriexplore.exe
71
___________________________
Beispielfilterset für die Kerio Firewall
21 Internet Explorer X Out P TCP any any 80,443 a {Lw }:programmeinternet exploreriexplore.exe
22 Outlook Express Loopback X Out P TCP and
UDP
any 127.0.0.1 any a {Lw}:programmeoutlook expressmsimn.exe
23 Outlook Express POP3 X Out P TCP any 194.25.134.0-194.25.134 .128
(s. Anm.)
110 a {Lw}:programmeoutlook expressmsimn.exe
24 Outlook Express SMTP X Out P TCP any 194.25.134.0-194.25.134 .128
(s. Anm.)
25 a {Lw}:programmeoutlook expressmsimn.exe
25 NAV POP3 X Out P TCP any 194.25.134.0-194.25.134 .128
(s. Anm.)
110 a {Lw}:programmegemeinsame dateien
symantec sharedccapp.exe
26 NAV SMTP X Out P TCP any 194.25.134.0-194.25.134 .128
(s. Anm.)
25 a {Lw}:programmegemeinsame dateien
symantec sharedccapp.exe
27 NTVDM (t-online-Banking) X Out P TCP any 194.25.134.0-194.25.134 .255
(s. Anm.)
any a {Lw}:winntsystem32ntvdm.exe
28 OnlineBanking (Werbeblocker)
X Out B TCP any any any a {Lw}:programmetonline_
40ob4hbcibanking.exe
29 Realplayer X Out P TCP any any 80 a {Lw}:programmerealrealplayerrealplay.exe
30 QuickTime X Out P TCP any any 80 a {Lw}:programmequicktimequicktimeplayer.exe
31 WMPlayer Loopback X Out P TCP and
UDP
any 127.0.0.1 any a {Lw}:programmewindows media
playerwmplayer.exe
32 WMPlayer X Out P TCP any 207.46.0.0/255.255.0.0 80 a {Lw}:programmewindows media
playerwmplayer.exe
33 MMJukebox Loopback X Out P TCP and
UDP
any 127.0.0.1 any a {Lw}:programmemusicmatchmusicmatch
jukeboxmmjb.exe
34 MMJukebox X Out P TCP any any 80 a {Lw}:programmemusicmatchmusicmatch
jukeboxmmjb.exe
35 Outlook Express NNTP tonline
X Out P TCP any 62.153.159.134 119 a {Lw}:Programmeoutlook expressmsimn.exe
36 Outlook Express NNTP MicroSoft
X Out P TCP any 207.46.248.16 119 a {Lw}:Programmeoutlook expressmsimn.exe
37 Block all X both B any any any entfällt a any
72
___________________________
Beispielfilterset für die Kerio Firewall
Leerformular zum Erstellen eigener Regeln für die Kerio Firewall: Nr.
Rule Description
enabled
Direction
Action
(Permit=P/Deny=B)
Protocol
Local Port
Remote Address
Remote Port
Rule Valid (always=a)
Application
|
