Personal Firewall und Router richtig konfigurieren

[Brei]

Hallo,

habe einen router mit nat und ich kann da auch ip filter einstellen. Personal Firewall ist kerio (bin aber zu einem Wechsel zu einer anderen Freeware bereit).

Wie muss ich jetzt Regeln erstellen damit ich "einigermaßen" sicher bin. Z.B. die komischen Windowsdienste, welcher darf ins Internet, welcher braucht das nicht?

Wie muss ich die Ports für Browser und Email Clients einstellen?

[hades]

Es gibt kein Patentrezept.

Es kommt drauf an ob die betreffenden Dienste auf deren Standardports hoeren oder ob andere Ports oder gar Proxies genutzt werden.

Fuer Deinen Zweck reichen als Grundkonfiguration diese Regeln aus:

DNS (nur ausgehend)

HTTP (nur ausgehend)

HTTPS (nur ausgehend)

POP3 (nur ausgehend)

SMTP (nur ausgehend)

letzte Regel: eine Regel definieren, die alles verbietet

Das Regelwerk wird so abgearbeitet, dass von oben nach unten geprueft und die entsprechende Regel aktiv wird.

Die Ports und das benoetigte Transport-Layer Protokoll kannst Du hier entnehmen: http://www.iana.org/assignments/port-numbers

Bei nicht portgebundenen Protokollen (z.B. ICMP, VPN mit PPTP, IPsec) oder Protokollen, die mehrere Verbindungen benoetigen (z.B. FTP), wird es interessanter.

[Brei]

aha, danke.

Hab jetzt mal folgendes für ausgehende Verbindungen:

Protokoll | Quell-Ip | ZielIP | Port | erlaubt

TCP ALL ALL 80 ja

TCP ALL ALL 443 ja

TCP ALL ALL 110 ja

TCP ALL ALL 25 ja

TCP ALL ALL 53 ja

ALL ALL ALL ALL nein(bei disem letzten all steht eigentlich kein "all" da, aber ich hab die regel so erstellt.)

bei den eingehenden hab ich folgendes:

ALL ALL ALL ALL nein

scheint alles zu passen

ABER: Es ist mir nicht ganz klar. Von meinem Netzwerk ins Internet kommen jetzt nur die erlaubten Pakete. Aber wenn ich alles eingehende verbiete, dann dürfte auch nichts in Netzwerk gelangen, tut es aber. Es kommen z.B. emails an. Warum?

[hades]

Bei den o.g. Protokollen wird eine Verbindung zu einem Server ausserhalb Deines Netzwerkes (ausgehend) hergestellt und ueber diese erfolgt dann der Datenaustausch.

Einen Ueberblick ueber die Protokolle und Verweise auf die zugehoerigen RFCs findest Du hier:

http://www.networksorcery.com/enp

Details zu den einzelnen Protokollen findest Du in den einzelnen RFCs:

- HTTP: RFC2616

- HTTPS: RFC2818

- DNS: RFC1035

- POP3: RFC1939

- SMTP: RFC2821

[Brei]

Ich brauch leider noch ein paar erkärungen wie das mit den ports ist.

Wann ist eine Verbindung ausgehend wann eingehend? Denn wenn Sie besteht kann auf ihr ja in beide Richtungen gesendet werden oder?

Angenommen mein IE startet eine Webanfrage wie läuft dann das ab? Welcher port auf welchem system (bei mir und beim zielrechner) öffnet sich dann?

[Tronde]

Wenn du in deinem IE jetzt eine URL eintippst öffnet der IE im Normalfall den Port 80 und baut eine Verbindung zum entsprechenden Webserver auf. Über diese Verbindung fliessen nun die Datenpakete in beide Richtungen, die zum Informationsaustausch notwendig sind.

Wenn jetzt ein Programm aus dem Internet allerdings versucht, den Port 80 auf deinem Rechner zu öffnen wird dies durch die Firewall unterbunden. Damit soll verhindert werden, dass geschlossene Ports vom I-Net her geöffnet werden können und irgendjemand in deinem System rumspizeln kann.

Ist zwar sehr einfach erklärt aber vielleicht ist dir damit ja schon geholfen.

[hades]

Wenn du in deinem IE jetzt eine URL eintippst öffnet der IE im Normalfall den Port 80 und baut eine Verbindung zum entsprechenden Webserver auf.

Etwas genauer:

Der Port 80 wird nur auf dem Webserver benoetigt.

Auf dem Client wird ein Port aus dem Bereich oberhalb von 1023 genutzt.

[Brei]

Etwas genauer:

Der Port 80 wird nur auf dem Webserver benoetigt.

Auf dem Client wird ein Port aus dem Bereich oberhalb von 1023 genutzt.

Das sind dann die random high ports oder? Da hab ich schonmal was davon gehört.

Also das "ausgehend" heißt dann nur, dass die Verbindung von meinem PC aufgebaut wird und nicht vom einem fremden Rechner aus dem Internet?

Es macht dann auch keinen Sinn die Ports ab 1024 zu sperren oder?

wie meint die firwall das mit den Ports? WEnn ich da welche Sperre, sind die dann für den Zielrechner gesperrt oder für meinen?

danke für eure nachhilfe :uli

[hades]

Das sind dann die random high ports oder? Da hab ich schonmal was davon gehört.

Nicht ganz.

Es gibt drei Einordnungen von Ports.

Well-known Ports: 0-1023

Registered Ports: 1024-49151

Dynamic Ports: 49152-65535

siehe http://www.iana.org/assignments/port-numbers

Also das "ausgehend" heißt dann nur, dass die Verbindung von meinem PC aufgebaut wird und nicht vom einem fremden Rechner aus dem Internet?

Ausgehend heisst, dass eine Verbindung von Deinem Netzwerk (LAN) aus initiiert wird.

Es macht dann auch keinen Sinn die Ports ab 1024 zu sperren oder?

Schau Dir bitte die obigen Regeln nochmal genauer an.

Es greift hier das Prinzip: Alles was nicht explizit erlaubt ist, ist verboten.

wie meint die firwall das mit den Ports? WEnn ich da welche Sperre, sind die dann für den Zielrechner gesperrt oder für meinen?

IdR kannst Du Firewall-Regeln (genauer: hier handelt es sich um Paketfilter) definieren, die folgende Kritieren pruefen koennen:

• Richtung (aus-/eingehend oder beides)
  
• Protokoll (TCP/UDP)
  
• Port auf dem Quellsystem
  
• Port auf dem Zielsystem
  

Neben den beiden portgebundenen Protokollen TCP und UDP koennen meist auch andere Protokolle wie ICMP (u.a. ping), GRE (VPN-PPTP), ESP (IPsec), AH (IPsec) angegeben werden. Diese koennen entweder namentlich ausgewaehlt oder per Protokoll-Nr. (siehe http://www.iana.org/assignments/protocol-numbers ) angegeben werden.

Um die Netzwerklast zu minimieren werden Firewallregeln soweit wie moeglich am Quellsystem und um den Arbeitsaufwand zu verringern an zentraler Stelle eingerichtet.

D.h. in Deinem Fall auf Deinem Router.

Eine Personal Firewall benoetigst Du nicht zwingend. Du kannst sie zusaetzlich zum Filtern unerwuenschter Verbindungen von Anwendungen des lokalen PCs einsetzen.

[Brei]

irgendwie kapier ich es nicht.

Also mein Rechner initiert eine Verbindung zu einem Webserver

=> Die Verbindung ist ausgehend, der Zielserver wird auf Port 80 angesprochen. WElcher von meinen Ports ist dann offen? => Einer von denen ab 1023?

=> Wenn dieser aber gesperrt ist? (weil ja alles verboten ist, was nicht erlaubt ist) Dann kanns eigentlich nicht gehen?

PS: Ich such schon mal den Schlauch auf dem ich wohl stehe

[hades]

Dochdoch, das geht.

Bei einer Verbindung zu einem Webserver wird auf Deinem System ein Port oberhalb von 1023 genutzt. Dieser wird nur fuer die Verbindung genutzt, er ist nicht offen. Offene Ports findest Du nur bei Diensten, die auf dem System gestartet sind.

Die einzelnen Verbindungen und die offenen Ports auf Deinem System kannst Du Dir anschauen, indem Du in der Eingabeaufforderung netstat -a eingibst.

Alle Ports, die auf einem englischen System mit Listening bzw. auf einem deutschen System mit Abhoeren aufgefuehrt sind, sind offene Ports auf dem System.

Deine o.g. Firewallregeln arbeiten die Regeln ab und schauen nur, welcher Port am Ziel angesprochen werden soll. Das Ziel ist diesem Beispiel ein Server ausserhalb Deines Systems, der mit dem Standardport fuer HTTP (80) arbeitet. Sie pruefen nicht, welcher Port auf dem Quellsystem genutzt wird.

[Brei]

was bedeutet dann wartend bei den verbindungen

[geloescht_JesterDay]

Hallo,

habe einen router mit nat und ich kann da auch ip filter einstellen. Personal Firewall

[...]

Wie muss ich jetzt Regeln erstellen damit ich "einigermaßen" sicher bin.

Da du einen Router mit NAT hast (gibt es einen ohne?) brauchst du erstmal um sicher zu sein keine personal firewall mehr. Selbst die komischen Windowsdienste, die dir gefährlich werden könnten (Exploits: Blaster und Co) oder auch irgendwelche Trojaner müssen auf deinem Rechner von aussen erreichbar sein. Sprich über deine IP-Adresse und eine Portnummer

z.B.: 234.235.12.1:135

Da aber nur dein Router direkt im Netz hängt, würde so eine Anfrage an den Router gehen, der damit ja nix anfangen kann. Du müsstest also in der Lage sein, einen Server auf deinem Rechner zu betreiben um überhaupt aus dem Netz angegriffen werden zu können. Einen Rechner kannst du aber hinter einem Router nur dann betreiben, wenn du Port-forwarding benutzt, also anfragen an bestimmte Ports immer an eine festgelegte IP-Adresse weiterleitest. Anfragen von dir ins Netz werden vom Router übersetzt (NAT) und auf einen hohen Port gelegt. Antworten auf diesem Port kann der Router dann deiner IP zuordnen. Andere Anfragen auf irgendwelche Ports werden im Normallfall vom Router nicht weitergeleitet.

IMHO brauchst du keine personal Firewall um "sicher" zu sein. Die hilft dir nur, um zu sehen welche Programme raus wollen oder um Verwirrung zu stiften (siehe dieser lange Thread *g*)

[Brei]

Verwirrung ist gut. Naja, ich wills halt auch verstehen und kontrollieren welche Programme inst Internet dürfen und welche nicht.

Außerdem denke ich, dass sowas Grundwissen für alle IT_Berufler sein sollte und ich ja schon im 3. Jahr bin. Solche Sachen habe ich aber noch nie gelernt und bezweifle, dass es in der Schule mal erwähnt wird.

[nic_power]

Hallo,

DSprich über deine IP-Adresse und eine Portnummer

z.B.: 234.235.12.1:135

[Haarspaltmode]

Das ist kein gutes Beispiel, da es sich um eine Multicast-Adresse handelt. Diese können keinem eindeutigen Endsystem zugeordnet werden.

[/Haarspaltmode]

Nic

[Brei]

kurze Zwischenfrage: woran erkennt man multicast adressen?

zurück zum thema:

meine letzte frage war was wartend bedeutet wenn ich netstat -a eingebe.

[nebensache]

bin ja mal gespannt wann eure geduld zu ende ist :-) Das kann nämlich noch länger dauern

[/nebensache]

also danke für eure Mühen

[nic_power]

Hallo,

kurze Zwischenfrage: woran erkennt man multicast adressen?

Multicast-Adressen verwenden einen eigenen Adressbereich: Class D ("1110") Adressen im Bereich 224.0.0.0-239.255.255.255.

zurück zum thema:

meine letzte frage war was wartend bedeutet wenn ich netstat -a eingebe.

"Wartend" oder "Waiting" bedeutet üblicherweise, dass der Socket gerade heruntergefahren (geschlossen) wird. Ich bin mir aber nicht sicher, in welchem genauen Zustand sich der Socket unter Windows im Zustand "wartend" befindet, da es unterschiedliche "Waiting-Zustände" geben kann (FIN_WAIT1, FIN_WAIT2 und TIME_WAIT).

Nic

[Brei]

Also, mit den Einstellungen des routers komm ich jetzt einigermaßen klar. Aber bei der Firwall passts einfach nicht.

Hab Kerio personal firewall und da siehts momentan so aus:

www.zweigstelle.de.vu/firewall.jpg

Wenn ich die "alles verbieten" aktiviere kann ich blos mit firefox surfen. Und ich kann mit ihm im LAN auf meinen router per http zugreifen.

Wenn ich diese Regel nicht aktiviert habe, dann kann ich trotzem mit dem IE garnichts anfangen. Zum Router braucht er 5 Minuten zum Verbindngsaufbau und ins internet komme ich garnicht.

In meinem Rechner habe ich eine Netzwerkkarte und so müsste doch die firewall alles gleich behandeln egal ob LAN oder WAN.

Outlook geht ebenfalls nur wenn ich die "alles verbieten" nicht aktiviert habe.

[nic_power]

Hallo,

wie sehen denn die Einstellung (TCP/IP) auf Deinem Endsystem aus? Überprüf mal, ob Du eine gültige IP-Adresse erhalten hast und schau Dir die DNS-Einstellungen an.

Nic

[Brei]

mein pc hat eine feste ip, mein router bezieht eine vom provider.

Firefox funktioniert ja, blos der ie und outlook will nicht. Auch winamp mag die regel "alles verbieten" nicht. ich versteh das nicht.

IE kann zwar per http auf den router verbinden, aber das dauert 5 Minuten. Wenn ich die Regel deaktiviere gehts flott.

Hab die "alles verbieten" mal geloggt:

www.zweigstelle.de.vu/log.jpg

[hades]

Hab Kerio personal firewall und da siehts momentan so aus:

www.zweigstelle.de.vu/firewall.jpg

...

Hab die "alles verbieten" mal geloggt:

www.zweigstelle.de.vu/log.jpg

Es sind noch ein paar kleine Fehler drin.

Mit Aktivieren der Deny-All Regel hast Du keine DNS-Aufloesung.

Eine Anwendung loest selbst normalerweise keine DNS-Namen auf. Sie reicht diese Anfragen an einen Systemprozess weiter.

D.h. Port 53 (domain) bei den Browsern rausnehmen und eine extra Regel fuer die DNS-Aufloesung an erster Stelle des Regelwerkes erstellen. Wenn es geht, diese Regel anwendungsunabhaengig erstellen (das geht zumindest mit der aelteren Kerio PFW 2.x ).

Nachtrag:

FTP wird mit diesem Regelwerk nicht funktionieren.

Du moechtest aktives FTP verwenden. Die Richtungen stimmen hier nicht. ftp-control (Port 21) ist richtig definiert (ausgehend), ftp-data (Port 20) hingegen muss eine eingehende Verbindung sein. Der Port 20 (ftp-data) muss bei aktivem FTP auch auf dem Router von draussen nach drinnen auf Deinen Rechner weitergeleitet werden.

Du kannst passives FTP verwenden, um dieses Problem zu umgehen.

Denn damit benoetigst Du keine eingehende FTP-Verbindung. ftp-control (21) wird hier auch ausgehend benoetigt, dazu kommt eine sekundaere ausgehende Verbindung mit einem der Ports oberhalb von 1023.

[hades]

Ich bin mir aber nicht sicher, in welchem genauen Zustand sich der Socket unter Windows im Zustand "wartend" befindet, da es unterschiedliche "Waiting-Zustände" geben kann (FIN_WAIT1, FIN_WAIT2 und TIME_WAIT).

Bei Microsoft ist "Wartend" die Anzeige fuer alle Waiting-Zustaende.

@Brei:

Weiterfuehrendes zu unseren Aussagen findest Du in der Definition zum TCP-Protokoll.

http://www.networksorcery.com/enp/protocol/tcp.htm

http://www.ietf.org/rfc/rfc0793.txt

[Brei]

danke leute, werd das mal morgen checken.

Vielleicht find ich auch noch eine deutsche Doku zu meinem ganzen problem damit ich das ganze verstehe.

[h0m3r]

:uli , Leute, :uli !

Dieser Thread ist wahrlich eine kleine Goldgrube für mich. Bin selbst ein Sicherheitsfanatiker mit (noch) wenig Erfahrung. Insbesondere was das Thema "Spionage" betrifft, bin ich ziemlich ängstlich. Im Moment steht das Thema vielleicht noch nicht so groß an, da ich noch mit 56k-Modem arbeite und somit selten im Internet bin. Aber spätestens, wenn 'ne Flat ins Haus kommt, wirds ernst!

Weiter so!

Gleich eine Frage: Kann mir jemand einen Hinweis oder einen Link geben (vielleicht sogar in diesem Forum, bin ja neu hier), der Dienste in Windows2000 und XP auflistet und beschreibt? Interessiere mich nicht nur aus Sicherheitsgründen sondern auch aus Performancegründen dafür - nach dem Motto: Je weniger im Hintergrund läuft, desto fließender läuft das System!