Inhalt
1 Einleitung
1.1 Schutz des PC
2 Konkrete Maßnahmen, in Reihenfolge der Priorität
3 Ein wenig Beschäftigung ist nötig
3.1 Andere Konzepte
4 Zusammenfassung
4.1 Wie kann man vorbeugen?
4.2 Was tun, wenn Verdacht auf Infizierung besteht?
5 Hilfe zur richtigen Konfiguration der Firewall
5.1 Firewall-Test
5.2 Erstellen der Regeln
5.2.1 Grundregeln
5.2.2 Regeln für Anwendungen
5.2.2.1 Internet Explorer
5.2.2.2 Outlook Express
5.2.2.3 Regeln für weitere Anwendungen
6 Hinweis zur IP-Konfiguration bei LAN-Verbindung
7 Vorschläge für den Download
8 Nachwort
1 Einleitung
Wie lange kann es dauern, bis ungebetene Gäste in eine offenstehende, unbewachte Wohnung eindringen? Anstatt auf die Antwort zu warten, wäre es wohl besser, den Grund für die Frage gar nicht aufkommen zu lassen. Dagegen ist es nicht so offensichtlich, dass unser PC – wenn wir ihn ohne Vorkehrungen ans Internet anschließen - ähnlichen Gefahren ausgesetzt ist. Nach einer kürzlich veröffentlichten Statistik ( http://www.golem.de/0408/33039.html ) dauert es im Durchschnitt nur Minuten, bis ein vollkommen ungeschützter PC am Internet infiziert wird. Das kann durch Angriffe, Programme zur Spionage unserer Daten (Spyware), Viren usw. passieren. Im besten Fall können wir den PC danach wieder säubern, im schlimmsten Fall gibt er seinen Geist auf und muss neu konfiguriert werden, was u.U. mit erheblichem Datenverlust verbunden ist, oder wir selbst erleiden sogar finanziellen Schaden. Was mit viel Mühe und den besten Absichten erfunden wurde, um die weltweite Kommunikation zu ermöglichen, an der wir täglich teilnehmen, kann leider auch als Medium dienen, um einfach Schaden anzurichten (Viren) oder kommerziellen Nutzen zu beabsichtigen (Spyware, Adware).
Was kann man dagegen tun? Unser Eigentum schützen wir mit Sicherheitsschlössern, Alarmanlagen und unserer eigenen Wachsamkeit, damit keine zweifelhaften Elemente eindringen. Genau das gleiche gilt für den PC: Säubern, dicht machen, überwachen und nur diejenigen einlassen, mit denen wir in Verbindung treten wollen. Dafür gibt es kleine, z.T. kostenlose Programme, die genau diesen Zweck verfolgen: Zum einen bereits eingedrungene Bösewichte und Ungeziefer auffinden und austreiben und zum anderen verhindern, dass sich neue Eindringlinge einnisten und/oder aktiv werden. Es leuchtet ein, dass jeder Schutz mit einer gewissen Einschränkung verbunden ist. So wie wir die Türen unserer Wohnung nicht mehr offen lassen und darauf vertrauen können, dass uns nur gute Freunde besuchen, müssen wir nun kontrollieren, ob wir Einlass gewähren oder nicht.
1.1 Schutz des PC
Die möglichen Maßnahmen sind:
1) Korrektiv: Viren, Spyware und sonstige Malware aufspüren und beseitigen;
2) Präventiv: Ports (Türen) schließen, überwachen und nur bei Bedarf für willkommene Gäste öffnen;
3) Monitoring: Bei Eindringlingen in unserem PC Alarm geben (Intrusion detection).
Diese einfach durchzuführenden Maßnahmen werden nun näher beschrieben. Den vielfältigen Angriffsmethoden des Internet-Ungeziefers entsprechend verspricht die sinnvolle Kombination verschiedener Schutzprinzipien (mit teilweiser Funktionsüberschneidung) den besten Erfolg.
Für den wichtigsten vorbeugenden Schutz sind wir allerdings selbst verantwortlich:
Wachsam sein und nicht einfach drauflos klicken!
2 Konkrete Maßnahmen, in Reihenfolge der Priorität
a) - c) unumgänglich; d) – e) empfehlenswert; f) - h) nützlich
a) Internet Explorer unserem Bedarf anpassen:
Diese Einstellungen sind ohne zusätzliche Software bereits im Browser vorgesehen:
> Start > Einstellungen > Systemsteuerung > Internetoptionen
Sicherheit (Active-X, Scripte etc.) nicht unter „Mittel“, besser auf „Hoch“ stellen und bei Bedarf vertrauenswürdige Sites als Ausnahme programmieren und Datei-Downloads zulassen;
Privatsphäre (Cookies) nicht unter „Mittel-Hoch“, besser auf „Hoch“ stellen bzw. am besten „Alle Cookies blockieren“ und individuelle Sites als Ausnahme zulassen.
Tatsächlich können die meisten Sites ohne wesentliche Einschränkungen mit den schärfsten Einstellungen für Sicherheit und Privatsphäre besucht werden; nur wenige Sites benötigen es zur Erkennung, ein Cookie zu hinterlegen.
b) Personal Firewall installieren und konfigurieren:
Funktioniert wie ein Wächter, der unsere Ports (Türen) bewacht und kontrolliert, wer ein- und ausgehen darf; daneben wird Port-Scans und Angriffen vorgebeugt.
Vom Prinzip werden im wesentlichen Protokoll-/Port-Filter und Anwendungsfilter unterschieden sowie deren Kombination. Ein reines Protokoll-/Portfilter bietet – da es die Anwendungen nicht unterscheidet - unzureichenden Schutz vor Verbindungen, die von innen, z.B. durch eingeschleuste Spyware, aufgebaut werden wollen, während eine nur anwendungsorientierte Firewall das Erstellen relevanter, individueller Grundregeln ausschließt. Eine Firewall mit Protokoll-/Port- und Anwendungsfilter ermöglicht bei relativ einfacher Konfiguration einen guten, individuell anpassbaren Schutz.
Da es sich um das effektivste Programm zum vorbeugenden Schutz handelt, sollen folgende Erfahrungen nicht vorenthalten werden:
· Nur auf ein bewährtes Programm vertrauen! Experimente mit unausgereiften Produkten können den Schutz in Frage stellen oder sogar Probleme verursachen.
· Die beste Firewall ist nur so gut, wie wir sie konfiguriert haben! „Automatische Konfiguration“, manchmal angepriesen, ist zweifelhaft, da individuelle Belange kaum berücksichtigt werden können und daher mehr freigegeben wird, als im Einzelfall erforderlich ist.
· Mit einer Firewall müssen wir uns nur zu Beginn bzw. dann beschäftigen, wenn unsere Entscheidung verlangt wird. Da die Funktionsweise nicht auf „schwarzen Listen“, sondern von uns erstellten Regeln beruht, sind keine laufenden Updates erforderlich, sondern ggf. eine gewisse „Wartung“ der Regeln (siehe Punkt 5).
Aus Kompatibilitätsgründen niemals zwei Firewalls gleichzeitig installieren!
Auch die in Windows XP integrierte Funktion muss deaktiviert werden, bevor eine Firewall installiert wird:
> Start > Einstellungen > Netzwerk und Internetverbindungen > (betreffende Internetverbindung) > Eigenschaften > Erweitert > (Häkchen in Checkbox für die Schutzfunktion entfernen)
Doppelt kann hier zu Sicherheitseinbuße oder sogar Systemfehlern führen!
c) Antivirus installieren und aktualisieren:
Grundsätzlich unterscheidet man Programme, die nur auf Anforderung scannen oder zusätzlich im Hintergrund alle Dateien überwachen, auf die zugegriffen wird, worauf man bei einem Rechner mit Internet-Anschluss nicht verzichten sollte. Ferner ist es empfehlenswert, dass auch eingehende E-Mails automatisch auf Viren geprüft werden.
Regelmäßiges Update der Signaturdatenbank erforderlich!
d) Spy-/Malware-Scanner installieren und aktualisieren:
Auch hier gibt es Programme, die permanente Überwachung bieten bzw. nur auf Anforderung scannen, was im allgemeinen ausreichend ist und das System nicht zusätzlich belastet, zumal das Eindringen und Ausführen schädlicher Software bereits durch die weiteren Schutzfunktionen weitgehend verhindert wird. Den Scan lässt man bei Verdacht bzw. je nach Einsatz des PC z.B. wöchentlich ausführen. Permanente Überwachung bietet natürlich den Vorteil, dass eingedrungene Spy-/Adware umgehend entdeckt und neutralisiert wird.
Regelmäßiges Update der Signaturdatenbank erforderlich!
e) Autostart-Monitor installieren:
Ein effizientes Programm (userfreundlichere Variante der in letzter Zeit aufgekommenen „Intrusion Detection Systems“, kurz IDS genannt), das ohne wesentliche Systembelastung ständig im Hintergrund läuft und alle eventuellen Systemänderungen, wie z.B. Zufügen von Autostarteinträgen, BHOs (Browser Helper Objects) oder Ändern der Internet-Startseiten umgehend entdeckt und meldet. Sind die Änderungen unerwünscht, z.B. durch eingedrungene Malware verursacht, können wir sie verbieten, sind sie dagegen erwartet, z.B. bei Installieren eines vertrauenswürdigen neuen Programms, lassen wir sie zu.
Diese Programme speichern unsere Entscheidungen (auch die falschen!), sind also lernfähig.
f) Web-Inhaltsfilter installieren:
Kann ergänzend zu den Einstellungen des Internet Explorers weitere ungebetene Inhalte von Websites ausfiltern. Der Filtergrad ist nach Bedarf einstellbar, die Sites werden durch Ausfiltern der Popups und Werbung ruhiger und durch die geringere Belastung der Internet-Verbindung schneller aufgebaut. Dazu kann das Ausführen von Scripten und Weiterleiten auf andere Websites verhindert sowie der Browser getarnt werden.
g) E-Mail-Überwacher installieren:
Einfach zu bedienendes Programm mit automatischer Überwachungsfunktion für unsere E-Mail-Konten. Arbeitet unabhängig von Outlook Express und zeigt E-Mails auf dem Server an, so dass Spam- und sonstige unerwünschte Post bereits dort aussortiert und gelöscht werden kann, ohne sie herunterzuladen.
h) Reinigungstool installieren:
Je nach Einsatz des PC sollte man das System ab und zu von temporären Dateien (*.tmp) und sonstigem Datenmüll reinigen lassen. Spuren, die das Surfverhalten preisgeben können, wie z.B. zuletzt besuchte Internet-Adressen, Cookies usw. können dabei auch (auf Wunsch selektiv) entfernt werden, so dass u.U. nicht nur viele MB Speicherplatz gewonnen werden, sondern das System auch weniger anfällig für Spionage wird.
Ausgewählte, bewährte Software unter Punkt 7
3 Ein wenig Beschäftigung ist nötig
Die lernfähigen Programme, also Firewall und Autostart-Monitor, müssen natürlich gut „angelernt“ werden, um ihre Überwachungs- und Schutzaufgabe korrekt erfüllen zu können.
Eine neu installierte Firewall fragt zunächst, ob sie eine bisher unbekannte Verbindung zulassen darf oder ablehnen soll, z.B. ob Internet Explorer oder Outlook Express sich mit dem Internet verbinden dürfen. In diesem Fall ist die Entscheidung klar: Sie dürfen, sollen sogar, damit sie ihren Zweck erfüllen. Dagegen sollten automatisch, d.h. ohne unser Zutun geforderte Verbindungen nach draußen mit Vorbehalt analysiert werden; es könnte sich um Spyware handeln, die ihrem Auftraggeber Geheimnisse über uns verraten will. Verbindungen, die von draußen, also aus dem Internet, aufgebaut werden wollen (incoming), sollten bei einem Einzelplatzrechner grundsätzlich abgelehnt werden!
Der Autostart-Monitor überwacht ständig die Systemeinträge und fragt, ob wir eine entdeckte Änderung, z.B. einen neuen Start-Eintrag, zulassen oder nicht. Solche Änderungen kommen beabsichtigt nur vor, wenn ein Programm installiert, deinstalliert oder geändert wurde, was immer mit unserem Zutun erfolgt. Darüber hinaus sind selbsttätig auftretende Änderungen mit großer Wahrscheinlichkeit auf die Aktion eines Eindringlings, z.B. eines Trojaners zurückzuführen (kleine, getarnt eingeschleuste Programme mit einem bestimmten Zweck, meist zur Spionage), der aktiv werden will. Deshalb den Monitor erst nach gründlicher Säuberung (Viren- und Spy-/Malware-Scan) installieren, damit er als Referenz ein „sauberes System“ vorfindet!
Ein E-Mail-Überwacher zeigt uns auf dem Server eingetroffene E-Mails an und gibt uns dadurch Gelegenheit, unbekannte oder verdächtige E-Mails bereits auf dieser Ebene auszusondern und zu löschen, ohne sie vorher herunterzuladen. Daneben sehr praktisch zum automatischen Überwachen mehrerer E-Mail-Konten.
Viren- und Spy-/Malware-Scanner suchen nach dem Ungeziefer, das in ihrer „schwarzen Liste“ verzeichnet ist. Da laufend neue Viren, Spyware usw. auf das Internet losgelassen werden, müssen die Datenbanken dieser Programme oft genug aktualisiert werden, um ihren Zweck erfüllen zu können (tatsächlich wenden sie zur vorbeugenden Sicherheit auch heuristische Methoden an). Das Update erfolgt online in wenigen Minuten, entweder auf Anforderung oder u.U. auch automatisch bei bestehender Internet-Verbindung.
Ein Web-Inhaltsfilter braucht nur einmal auf den gewünschten Filtergrad eingestellt zu werden und benötigt danach weder Aktualisierung noch weitere Beachtung. Neben lästigen Popups und u.U. bösartigen Scripten sollten vor allem „schlechte“ Cookies gesperrt werden, die nur unser Surf-Verhalten ausspionieren und verraten wollen.
Um einen wirkungsvollen Schutz vor den Gefahren zu erzielen, die im Internet lauern, ist ein wenig Beschäftigung mit der Materie nötig. Zum Glück sind heutzutage alle guten Programme didaktisch und induzierend, so dass nur am Anfang eine kurze Einarbeitung erforderlich ist, die man aber auf jeden Fall ernst nehmen sollte.
Weitergehende Information zum Thema „Sicherheit im Internet“ u.a. bei:
www.bsi-fuer-buerger.de ; www.protecus.de ; www.antivirus-online.de ; alerta-antivirus.red.es ; www.firewallguide.com
3.1 Andere Konzepte
Ein vollkommen anderes Konzept beruht auf der Idee, nicht den eigentlichen PC zum Surfen im Internet zu benutzen, sondern lediglich ein virtuelles Abbild der dafür erforderlichen Komponenten. Dieser virtuelle Browser – ein kleines, dediziertes Subsystem innerhalb des Rechners - ist auf Grund seiner ausschließlichen Existenz in einem Teil des Arbeitsspeichers von der Hard- und Software des Rechners weitgehend abgegrenzt, man sagt, er wird in einer Sandbox ausgeführt. Sollte dieses virtuelle System z.B. durch Malware unbrauchbar werden, kann man bei Beendigen der Virtualisierungsanwendung entscheiden, diese Änderungen nicht dauerhaft zu übernehmen, wobei natürlich auch evtl. während der Sitzung heruntergeladene Dateien und Programme verloren gehen. Werden sie dagegen zur dauerhaften Speicherung und weiteren Bearbeitung auf die Festplatte übertragen, ist der Rechner dabei so gefährdet, als wäre er ohne Schutz direkt mit dem Internet verbunden.
In einigen Fällen wird auch vorgeschlagen, andere Betriebssysteme zu benutzen, die weniger anfällig für Malware sein sollen. Das ist insofern zutreffend, als für alternative Systeme auf Grund der z.Zt. noch nicht massiven Verbreitung bisher nur ein geringer Prozentsatz Malware „entwickelt“ wird. Genauer gesagt ist also lediglich die Wahrscheinlichkeit geringer, ohne weitere Schutzmaßnamen infiziert zu werden. Probleme treten auf, wenn professionelle Anwendungen eingesetzt werden sollen, da sie bisher nur in geringem Maße für alternative Betriebssysteme zur Verfügung stehen.
So genanntes „anonymes Surfen“ ist kein Schutzkonzept im hier verstandenen Sinne, sondern ein Verfahren, um unsere IP-Adresse zu verschleiern. Bei der normalen Internet-Verbindung ist unsere IP-Adresse (die uns von unserem Server zugeteilt wurde) sichtbar und die Gegenstelle (Server der besuchten Web-Site) kann daraus die geographische Lage unseres Servers ermitteln und diese Daten ggf. für statistische Zwecke verwenden. Werden zwischen unseren Server und die Gegenstelle weitere Server geschaltet, die zyklisch wechseln oder die IP-Adresse austauschen, ist die Gegenstelle nicht mehr in der Lage, unseren Server zu lokalisieren. Diese zwischengeschalteten Server haben jedoch Zugriff auf die Daten und können sie u.U. weiter verwenden, so dass die erwünschte Anonymität fraglich wird. Zudem wird die Verbindung durch die zusätzlichen Server deutlich schwerfälliger.
Aus den genannten Gründen erscheinen diese Verfahren z.Zt. für den beruflichen Einsatz weniger geeignet, weshalb in diesem Rahmen nicht näher darauf eingegangen wird.
4 Zusammenfassung
· Vor dem Surfen im Internet Sicherheit und Privatsphäre im Internet Explorer auf einen hohen Schutzgrad einstellen!
· Daneben sollte bereits unbedingt eine bewährte Firewall installiert sein! Daher das Programm ggf. auf CD besorgen, installieren, konfigurieren (siehe Punkt 5) und mit diesem Grundschutz erst die weiteren Sicherheitsprogramme – vorzugsweise direkt von den Hersteller-Sites - herunterladen und ggf. aktualisieren!
4.1 Wie kann man vorbeugen?
Die Firewall, die richtige Einstellung des Internet Explorers und ggf. ergänzend das Web-Inhaltsfilter beugen bei bestehender Internet-Verbindung gegen Angriffe (Port-Scan) und gewisse bösartige Aktionen vor. Das Einschleusen von Viren, Trojanern etc. wird dadurch auch erschwert, aber nicht verhindert!
· Deshalb sollte unbedingt ein Virenschutz mit Hintergrundwächter und vorzugsweise E-Mail-Prüfung verwendet werden. Unbekannte Disketten und CDs sowie heruntergeladene Dateien von dem Viren-Scanner prüfen lassen, bevor man sie öffnet! Keine Software zweifelhaften Ursprungs installieren!
· Unbekannte Internet-Sites, die Scripte oder Cookies verlangen bzw. niedrigere Sicherheitseinstellungen des Browsers empfehlen, nach Möglichkeit vermeiden! Nicht einfach drauflos klicken! Meldungen der Firewall beachten! Bei Online-Banking nur dieses einzige Fenster öffnen!
· Verdächtige E-Mails von unbekannten, exotischen Absendern oder mit verlockendem Betreff bereits auf dem Server löschen lassen, ohne sie herunterzuladen oder gar zu öffnen! Neugier kann hier böse Folgen haben. Besondere Vorsicht ist bei unbekannten, relativ kleinen Anhängen (unter 100 kB) und der Dateiendung *.exe geboten, da Malware oft in solchen Dateien in Umlauf kommt.
· Antivirus- und Spy-/Malware-Programme regelmäßig aktualisieren, damit sie up to date sind, wenn wir sie brauchen!
4.2 Was tun, wenn Verdacht auf Infizierung besteht?
Wenn der PC langsamer wird, häufig abstürzt, Fehlermeldungen anzeigt, auf dem Desktop neue Symbole auftauchen, unbekannte Programme sich periodisch mit dem Internet verbinden wollen oder der Autostart-Monitor ohne bewusst vorgenommene Änderungen Alarm schlägt, besteht Verdacht auf eingeschleuste Viren oder Spyware.
· In diesem Fall die Internet-Verbindung abbrechen und das gesamte System scannen lassen, zuerst von dem Viren-Scanner und danach von dem Spy-/Malware-Scanner.
· Vom Autostart-Monitor gemeldete verdächtige Einträge u.U. von einem Spezialisten (z.B. in einem einschlägigen Forum oder ggf. mit Hilfe des Online-Supports) beurteilen lassen und ggf. deaktivieren bzw. löschen.
5 Hilfe zur richtigen Konfiguration der Firewall
Eine Firewall soll grundsätzlich nach dem Prinzip
„Alles ist verboten, was nicht ausdrücklich erlaubt ist“
arbeiten. Damit wir erlauben können, was für unseren Bedarf erforderlich ist, soll sie außerdem im
Frage-Modus
betrieben werden, d.h. bei bisher nicht ausdrücklich erlaubten Verbindungen, sei es auf Grund der Anwendungen oder der IP-Adressen bzw. Ports, soll sie uns die Frage stellen, ob wir diese Verbindung durch eine Regel erlauben wollen oder nicht. Bei fast allen Firewalls kann man im Zweifelsfall die Verbindung, ohne eine definitive Regel aufzustellen, vorläufig ein mal verbieten bzw. – mit Vorsicht - ein mal erlauben und das Resultat beurteilen.
Bei nahezu allen Firewalls wird bereits bei der Installation automatisch mehr freigegeben, besonders von dem Betriebssystem beantragte Verbindungen für Netzwerke, als wirklich erforderlich ist. Bei einem Einzelplatzrechner sollten diese Verbindungen wieder geschlossen werden, da sie unnötige offene Türen für Angriffe darstellen.
Am Beispiel der ressourcen- und userfreundlichen Firewall KERIO PF 2 (Anwendungs- und Protokoll-/Portfilter) sollen die Grundregeln und die für Internet Explorer und Outlook Express erforderlichen Einstellungen beschrieben werden (die auch auf andere Firewalls dieser Art anwendbar sind). Daneben wird auf die alternative Einbindung eines Web-Proxy (Inhaltsfilter) und E-Mail-Proxy (zur Prüfung eingehender E-Mails auf Viren) eingegangen. Werden die Proxy-Server nicht benutzt, sind Internet Explorer bzw. Outlook Express direkt auf die entsprechenden Ports 80 bzw. 110 zu adressieren.
Bei den Regeln ist zu beachten, dass sie zyklisch von oben nach unten in der Regelliste abgearbeitet werden! Ein Beispiel: Einige Grundregeln erlauben für die Funktion unerlässliche eingehende Verbindungen. Sie müssen auf jeden Fall in der Regelliste vor (d.h., weiter oben) der Regel stehen, die alle (weiteren) eingehenden Verbindungen verbietet. Bei spezifisch erlaubten Verbindungen ist dagegen die Reihenfolge ohne Bedeutung, da sie keine anderen Verbindungen ausschließen.
Für die Erstellung gilt: - Was erlaubt wird, soll so einschränkend sein, wie möglich!
Zumindest muss die Anwendung definiert sein!
- Was verboten wird, soll so umfassend sein, wie möglich!
- Da lokale Ports den Anwendungen frei zugeordnet werden, hat es –außer bei einigen Grundregeln - keinen Sinn, sie zu definieren.
Nachdem die Firewall installiert ist, sollte man die dann bereits vorhandenen Regeln zur Sicherheit speichern. Danach kann man die nicht erforderlichen Regeln anpassen bzw. löschen und die benötigten Grundregeln editieren, z.B. „ICMP (All)“ „NetBios“, „All in“ und „Generic Host Process for Windows“ (bei Win 2K und XP) verbieten. Die weiteren Regeln ergeben sich dann bei der Benutzung durch die von den Anwendungen beantragten Verbindungen, die von der Firewall als entsprechende Frage dargestellt werden. Vertrauenswürdige Anwendungen (Anwendungen, bei denen wir sicher sind, dass wir sie bewusst installiert haben und deren Verbindungsantrag die Folge einer soeben von uns vorgenommenen Handlung ist) können wir durch eine Regel dauernd erlauben.
Nach den ersten erfolgreichen Verbindungen kann es sinnvoll sein, die Regelliste einzusehen und ggf. zu vereinfachen oder zusammenzufassen. Ein Beispiel: Bei dem ersten E-Mail-Abruf beantragt Outlook Express eine Verbindung über Port 110 (sofern kein E-Mail-Proxy benutzt wird), während bei der ersten E-Mail-Sendung eine Verbindung über Port 25 verlangt wird, die wir natürlich beide durch entsprechende Regeln erlauben. Danach ist es zweckmäßig, beide Regeln in einer einzigen Regel zusammenzufassen, indem wir Outlook Express Verbindungen über die Ports 25 und 110 (geschrieben z.B.: 25,110) erlauben. Je kürzer die Regelliste ohne Sicherheitseinbuße gehalten werden kann, desto schneller wird sie zyklisch abgearbeitet.
Eine richtig konfigurierte Firewall ist – neben einem geschützten Browser, einem residenten Viren-Wächter und unserer eigenen Behutsamkeit - der beste Schutz gegen Angriffe aus dem Internet. Deshalb sollte man sich zu Anfang die Zeit nehmen, die Grundregeln richtig zu erstellen und beantragte Verbindungen bzw. aufgeworfene Fragen zu analysieren und durch eindeutige Regeln zu entscheiden. Wenn alle Fragen einfach ohne Einschränkungen mit „Erlauben“ beantwortet werden, ist die Schutzfunktion zweifelhaft oder wir ermöglichen es u.U. sogar eingeschleuster Spyware, nach Belieben „nach Hause telefonieren zu können“!
5.1 Firewall-Test
Einen schnellen und sicheren Port-Scan zum Testen der Firewall bietet u.a. „Der Landesbeauftragte für den Datenschutz Niedersachsen“ in Zusammenarbeit mit der Firma „Heise Security“ an. Wenn im Ergebnis alle Ports „gefiltert“ erscheinen, ist der Schutz weitgehend in Ordnung; bei „offenen“ Ports ist die Konfiguration der Firewall zu überprüfen!
Zum Test: http://www.heise.de/security/dienste/portscan/test/go.shtml?scanart=1
5.2 Erstellen der Regeln
Firewall „freigeben“ und in den „Frage-Modus“ schalten.
Über „erweiterte“ Einstellungen können bei der Konfiguration „neue Regeln“ erstellt oder vorhandene Regeln „editiert“, „gelöscht“, „nach oben“ bzw. „nach unten“ verschoben werden.
Eine Regel besteht aus einer kurzen „Beschreibung“, der Art des „Protokolls“, der „Richtung“ (ein- und/oder ausgehend) des Protokolls, dem „lokalen Endpunkt“ (unser System) mit „Port“ und „Anwendung“, dem „entfernten Endpunkt“ mit „Adresse“ und „Port“, der Angabe, ob die Regel „immer“ oder in einem gewissen „Zeitraum“ gilt (um z.B. Kinder vor bestimmten Verbindungen zu schützen), und schließlich der Definition, ob die in der Regel beschriebene Aktion „erlaubt“ oder „verboten“ ist. Ein Häkchen vor der Regel gibt an, dass sie „true“ (aktiv) ist; anderenfalls wäre sie „false“ (inaktiv), wovon u.U. bei Versuchen Gebrauch gemacht werden kann.
Die Auswahl erfolgt mit den bei Windows üblichen Konventionen, wie z.B. „erweitern“, „browsen“, „anhaken“, „markieren“ usw.
Nachfolgend werden die Grundregeln in Abhängigkeit vom Betriebssystem (Windows 98, 2K, XP) in der Reihenfolge von oben nach unten und die für Internet Explorer und Outlook Express mit oder ohne Proxy geltenden Regeln beispielhaft angegeben. Sie sind von dem Verfasser auf den angegebenen Betriebssystemen erprobt worden und haben sich seit Jahren bewährt.
5.2.1 Grundregeln
(1 bis 7 bei Win 98 bzw. 1 bis 8 bei Win 2K und XP):
Die Wirksamkeit des Schutzes wird wesentlich von diesen Regeln bestimmt. Sie sind ausschließlich für Einzelplatzrechner aufgestellt worden.
1. Regel (alle Betriebssysteme)
Action (Allow/Deny): Deny
Description: ICMP (All)
Protocol: ICMP > All ICMP Codes
Direction (Out/In): Both
Local Port: Any
Remote Address: Any
Remote Port: Any
Application: Any
2. Regel (alle Betriebssysteme; soweit die Firewall dieses Protokolls unterstützt)
Action (Allow/Deny): Deny
Description: IGMP
Protocol: Other-2
Direction (Out/In): Both
Local Port: Any
Remote Address: Any
Remote Port: Any
Application: Any
3. Regel (alle Betriebssysteme)
Action (Allow/Deny): Deny
Description: NetBios
Protocol: UDP/TCP
Direction (Out/In): Both
Local Port: 135,137,138,139
Remote Address: Any
Remote Port: Any
Application: Any
4. Regel (abhängig vom Betriebssystem)
4.1 (bei Win 98)
Action (Allow/Deny): Allow
Description: Configuration TCP/IP
Protocol: UDP
Direction (Out/In): Both
Local Port: 68
Remote Address: Any
Remote Port: 67
Application: C:\WINDOWS\WINIPCFG.EXE
4.2 (bei Win 2K)
Action (Allow/Deny): Allow
Description: DHCP
Protocol: UDP
Direction (Out/In): Both
Local Port: 68
Remote Address: Any
Remote Port: 67
Application: C:\WINNT\SYSTEM32\SERVICES.EXE
4.3 (bei Win XP)
Action (Allow/Deny): Allow
Description: DHCP
Protocol: UDP
Direction (Out/In): Both
Local Port: 68
Remote Address: Any
Remote Port: 67
Application: C:\WINDOWS\SYSTEM32\SVCHOST.EXE
5. Regel (abhängig vom Betriebssystem)
5.1 (bei Win 98)
Action (Allow/Deny): Allow
Description: DNS
Protocol: UDP
Direction (Out/In): Both
Local Port: Any
Remote Address: Any
Remote Port: 53
Application: Any
5.2 (bei Win 2K)
Action (Allow/Deny): Allow
Description: DNS
Protocol: UDP
Direction (Out/In): Both
Local Port: Any
Remote Address: Any
Remote Port: 53
Application: C:\WINNT\SYSTEM32\SERVICES.EXE
5.3 (bei Win XP)
Action (Allow/Deny): Allow
Description: DNS
Protocol: UDP
Direction (Out/In): Both
Local Port: Any
Remote Address: Any
Remote Port: 53
Application: C:\WINDOWS\SYSTEM32\SVCHOST.EXE
6. Regel (alle Betriebssysteme)
Action (Allow/Deny): Deny
Description: All In
Protocol: Any
Direction (Out/In): In
Local Port: Any
Remote Address: Any
Remote Port: Any
Application: Any
7. Regel (bei Win 2K und XP; entfällt bei Win 98)
Action (Allow/Deny): Deny
Description: Generic Host Process for Windows
Protocol: UDP/TCP
Direction (Out/In): Out
Local Port: Any
Remote Address: Any
Remote Port: Any
Application: C:\WINNT\SYSTEM32\SVCHOST.EXE
7. Regel (bei Win 98) bzw.
8. Regel (bei Win 2K und XP)
Action (Allow/Deny): Allow
Description: Loopback
Protocol: UDP
Direction (Out/In): Out
Local Port: Any
Remote Address: 127.0.0.1
Remote Port: Any
Application: C:\....\INTERNET EXPLORER
5.2.2 Regeln für Anwendungen
Diese Regeln folgen im Anschluss an die vorstehenden Grundregeln.
5.2.2.1 Internet Explorer:
a) Ohne Web-Proxy:
Action (Allow/Deny): Allow
Description: Internet Explorer
Protocol: TCP
Direction (Out/In): Out
Local Port: Any
Remote Address: Any
Remote Port: 21,80,443
Application: C:\....\INTERNET EXPLORER
Anmerkung: Port Nr. 80 stellt die Verbindung zu Websites her, Port Nr. 21 zu FTP-Sites und Port Nr. 443 zu „sicheren Verbindungen“, z.B. bei Online-Banking.
b) Mit Web-Proxy (Beispiel: WebWasher):
Action (Allow/Deny): Allow
Description: WebWasher
Protocol: TCP
Direction (Out/In): Out
Local Port: Any
Remote Address: Any
Remote Port: 80
Application: C:\....\WEBWASHER
Action (Allow/Deny): Allow
Description: Internet Explorer
Protocol: TCP
Direction (Out/In): Out
Local Port: Any
Remote Address: 127.0.0.1
Remote Port: 8080
Application: C:\....\INTERNET EXPLORER
Anmerkung: Bei einem anderen Proxy ist ggf. an Stelle des Ports 8080 der entsprechende vom Hersteller angegebene Port zu verwenden; ebenso lautet dann die Anwendung anders.
Action (Allow/Deny): Allow
Description: Internet Explorer
Protocol: TCP
Direction (Out/In): Out
Local Port: Any
Remote Address: Any
Remote Port: 21,443
Application: C:\....\INTERNET EXPLORER
Anmerkung: Port Nr. 21 stellt die Verbindung zu FTP-Sites her und Port Nr. 443 zu „sicheren Verbindungen“, z.B. bei Online-Banking.
5.2.2.2 Outlook Express:
a) Ohne E-Mail-Proxy:
Action (Allow/Deny): Allow
Description: Outlook Express
Protocol: TCP
Direction (Out/In): Out
Local Port: Any
Remote Address: Any
Remote Port: 25,110
Application: C:\....\OUTLOOK EXPRESS
b) Mit E-Mail-Proxy für eingehende E-Mails (Beispiel: MailGuard AntiVir PE):
Action (Allow/Deny): Allow
Description: Avmailc (In)
Protocol: TCP
Direction (Out/In): Out
Local Port: Any
Remote Address: Any
Remote Port: 110
Application: C:\....\ANTIVIR PERSONALEDITION PREMIUM\AVMAILC.EXE
Action (Allow/Deny): Allow
Description: Outlook Express (In)
Protocol: TCP
Direction (Out/In): Out
Local Port: Any
Remote Address: 127.0.0.1
Remote Port: 44110
Application: C:\....\OUTLOOK EXPRESS
Anmerkung: Bei einem anderen Proxy ist ggf. an Stelle des Ports 44110 der entsprechende vom Hersteller angegebene Port zu verwenden; ebenso lautet dann die Anwendung anders.
Action (Allow/Deny): Allow
Description: Outlook Express (Out)
Protocol: TCP
Direction (Out/In): Out
Local Port: Any
Remote Address: Any
Remote Port: 25
Application: C:\....\OUTLOOK EXPRESS
5.2.2.3 Regeln für weitere Anwendungen:
Die Reihenfolge ist unerheblich, sie ergibt sich durch die beantragten Verbindungen. Auf jeden Fall soll die Anwendung definiert sein und nach Möglichkeit Adresse und Port der Gegenstelle, z.B.:
Action (Allow/Deny): Allow
Description: (Name der Anwendung)
Protocol: TCP
Direction (Out/In): Out
Local Port: Any
Remote Address: 127.0.0.1 (bei Web-Proxy; ohne Proxy: z.B. Any)
Remote Port: 8080 (bei Web-Proxy „WebWasher“; ohne Proxy: z.B. 80)
Application: C:\....\Anwendung
Anmerkung:
„127.0.0.1“ ist die lokale Host-Adresse. Sie kann – ebenso wie Name und Pfad der Anwendungen – je nach Version des Betriebssystems und Konfiguration u.U. anders lauten.
Die angegebenen Regeln haben sich bei dem Verfasser auf Einzelplatzrechnern mit den Betriebssystemen Windows 98, 2K und XP mit Telefoneinwahl und LAN-Verbindung (Kabelmodem) bewährt.
Je nach Fall können abweichende Regeln erforderlich werden.
6 Hinweis zur IP-Konfiguration bei LAN-Verbindung
Sollte nach Aufruf von Internet Explorer oder Outlook Express trotz richtiger Einstellung der Firewall eine Fehlermeldung auftreten (es konnte keine Verbindung mit dem Server hergestellt werden), kann die IP-Konfiguration des Rechners zu Beginn der Sitzung einfach manuell gestartet werden, sofern die entsprechenden Soft- und Hardwarekomponenten und der Server funktionieren:
Bei Win 98: > Start > Ausführen > (eintippen) winipcfg > OK > (neues Fenster) > Erneuern > OK
Bei Win 2K und Win XP: > Start > Ausführen > (eintippen) cmd > OK > (im schwarzen Kommandozeilenfenster eintippen, hinter C:\>) ipconfig/renew > (bestätigen mit) ENTER
Oder bei Win XP: > Start > Einstellungen > Netzwerk und Internetverbindungen > (Rechtsklick auf die entsprechende Internetverbindung) > (im Kontextmenü) Reparieren
Anmerkung: Je nach Version des Betriebssystems können die Befehle und Sequenzen u.U. abweichen.
7 Vorschläge für den Download
Das gesamte Sicherheitspaket nimmt installiert etwa 80 MB Speicherplatz auf der Festplatte ein, wovon der weitaus größte Teil auf das Anti-Virus-Programm entfällt. Die verschiedenen Programme haben sich bei dem Verfasser als untereinander kompatibel und stabil herausgestellt und werden beispielhaft angegeben. Es sollte nur ein Programm jeder Gruppe installiert werden! Niemals zwei Firewalls gleichzeitig!
Die ausgewählte Sicherheitssoftware für Windows-Betriebssysteme 98, 2K und XP, soweit nicht anders angegeben, konnte im August 2006 auf folgenden Hersteller-Sites als Freeware, z.T. für nicht gewerbliche Nutzung, oder Donationware bzw. z.T. alternativ als Shareware-Version mit erweitertem Funktionsumfang heruntergeladen werden.
Diese Angaben entstammen Quellen Dritter und werden ohne Gewähr wiedergegeben!
Programm Version Download-Site
b) Firewall: Kerio PF 2 * http://www.sunbelt-software.com/ihs/alex/keriopf215.zip
Kerio PF 4 ** http://www.sunbelt-software.com/Kerio.cfm
c) Anti-Virus: AntiVir PE http://www.free-av.com
d) Anti-Spy-/Malware: Ad-Aware SE Personal http://www.lavasoft.com
e) Autostart-Monitor: WinPatrol http://www.winpatrol.com
f) Web-Inhaltsfilter: WebWasher Classic http://www.webwasher.com
g) E-Mail-Überwacher: POP Peeper http://www.poppeeper.com
h) Reinigungstool: IE Privacy Keeper http://browsertools.net/IE-Privacy-Keeper
Anmerkung:
* Direkter Download der zip-Datei (2018 kB); auch auf verschiedenen spezialisierten Freeware-Sites erhältlich, z.B. bei: http://www.321download.com/LastFreeware/index.html
** Lt. Hersteller nur mit Windows 2K Pro und XP kompatibel.
8 Nachwort
Es wurde versucht, einen Überblick über aktuelle Schutzkonzepte zu geben, die bei beruflich eingesetzten, mit dem Internet verbundenen Einzelplatzrechnern sinnvoll erscheinen und sich bewährt haben. Daneben wurde die Konfiguration einer anwendungs- und portorientierten Firewall eingehend beschrieben, da dieses sicherheitsrelevante Programm meist die größten Schwierigkeiten bereitet und daher die Einstellung oft vernachlässigt wird.
Der Verfasser sah sich im Zuge der ständigen Zunahme der Bedrohungen aus dem Internet zur eingehenden Beschäftigung mit dem Thema gezwungen, um einen wirkungsvollen Schutz für die eigenen Rechner aufzubauen. Folgende Zielsetzung wurde dabei zugrunde gelegt:
1. Der Schutz soll so sicher wie möglich sein, ohne jedoch unsere Internet-Verbindung wesentlich einzuschränken, lästig zu fallen oder dauernde Mehrarbeit zu erfordern.
2. Das aktuelle Konzept – Vorbeugen, Korrigieren, Überwachen – soll konsequent angewandt werden.
3. Im vorhandenen System gegebene Schutzfunktionen sollen weitgehend ausgeschöpft werden.
4. Zusätzliche Komponenten sollen zuverlässig, user- und ressourcenfreundlich sein und keine Nebenwirkungen hervorrufen.
5. Nach Möglichkeit sollen Freeware- bzw. kostengünstige Produkte Anwendung finden.
Die dabei gesammelten Erfahrungen werden hier als Vorschlag für ein Schutzkonzept zugänglich gemacht, erheben jedoch keinen Anspruch auf umfassende Behandlung der gesamten Thematik.
Copyright © ProZ.com, 1999-2024. All rights reserved.