15.12.2018 | 21:21 Uhr
 
Kommentieren     
  Firewall: Erstellung von Regeln Das Prinzip ist einfach zu verstehen: Zuerst werden alle Verbindungen von außen nach innen und umgekehrt geblockt (gesperrt). Nun werden die benötigten bzw. gewünschten Verbindungen nach und nach, unter Angabe des verwendeten Remote- und Local-Ports sowie Protokoll, Applikation (Programm) und evtl. IP-Adressen bzw. Hosts, freigegeben. Dies kann über Regeln erreicht werden. Nachstehend ein Beispiel anhand vom Web-Browser. Verfahren Sie so auch mit allen anderen Verbindungen, nachdem Sie zuvor die Ports oder Portranges, Protokolle, Hosts bzw. IP-Adressen der jeweiligen Verbindung recherchiert haben (z.B. über Traffic-Logfiles der Firewall und diverse Whois-Server-Datenbanken).
Beispiel: Sie möchten mit Ihrem Browser im Internet auf verschlüsselten und unverschlüsselten Seiten surfen sowie Downloads jeglicher Art durchführen können. Dazu benötigen Sie die Protokolle http (TCP-Port 80), https (TCP-Port 443) und FTP (TCP Port 21). Der Passiv-FTP-Download gestaltet sich etwas schwieriger in der Regelgestaltung, da hier über den Remote-TCP-Port 21 die Initialisierung des Downloads erfolgt aber die eigentlichen “Arbeitsports” dann dynamisch von 1024-65535 auf beiden Computern (remote- wie localseitig) zugewiesen werden. Damit Ihre Firewall diese Pakete durchläßt, sind folgende Regeln erforderlich.

Applikations- und verbindungsbasierende Regel für http und https:

Applikation/Programm: .exe
IP/Hosts: keine Eingabe (=unbekannt)
erlaubte Remote-Ports: TCP 80 (für http), TCP 443 (für https)
erlaubte Local Ports: TCP 1024-65535
Aktion als Client oder Server: nur Client (outgoing)

Applikations- und verbindungsbasierende Regel zu FTP:

Applikation/Programm: .exe
IP/Hosts: keine Eingabe (=unbekannt=alle)
erlaubte Remote-Ports: TCP 21, TCP 1024-65535
erlaubte Local Ports: TCP 1024-65535
Direction/Richtung: outgoing





















Weiteres Beispiel: Sie möchten mit Ihrem E-Mail-Client (Z.B. Outlook) Post abholen und verschicken. Wir gehen hier von einer T-Online- E-Mail-Adresse bzgl. der IP-Adressen aus.
Applikations- und verbindungsbasierende Regel inkl. IP-Einschränkung:
Applikation: outlook.exe
IP/Hosts: 194.25.134.0-194.25.134.255
(Server-IP-Adressen von T-online)
erlaubte Remote Ports: TCP 25 (smtp), TCP 110 (pop3)
erlaubte Local Ports: TCP 1024-65535
Aktion als Client oder Server: nur Client (outgoing)








 


ICMP muss besondere Beachtung geschenkt werden und wir empfehlen folgende grundsätzliche Regeln zu diesem Protokoll, um Angriffe wie Denial-of-Service-Attack, Ping-to-Death oder Redirecting zu verhindern.
  • Typ 0 (Echo Reply): Incoming OK,Outgoing block ! Sie sollten pingen können aber nicht gepingt werden !
  • Typ 3 (Destination unreachable): Incoming OK,Outgoing block ! Um einem Denial-of-Service-Attack zu vermeiden
  • Typ 4 (Source Quench): Incoming block, Outgoing block ! Zur Vermeidung eines Source-Quench-Angriffs.
  • Typ 5 (Redirect): Incoming block, Outgoing block !
  • Typ 8 (Echo Request): Incoming block, Outgoing OK ! Sie sollten eine Echo-Anfrage starten können aber selbst keine bekommen !
  • Typ 9/10 (Router Adv./Selection):Incoming block, Outgoing block !
  • Typ 11 (Time Exceeded): Incoming OK, Outgoing block !
  • Typ 12 (Parameter Problem): Incoming block, Outgoing block !
  • Typ 13 (Timestamp Request): Incoming block, Outgoing block !
  • Typ 14 (Timestamp Reply): Incoming block, Outgoing block !
  • Typ 15 (Info Request): Incoming block, Outgoing block !
  • Typ 16 (Info Reply): Incoming block, Outgoing block !
  • Typ 17 (Adress Request): Incoming block, Outgoing block !
  • Typ 18 (Adress Reply): Incoming block, Outgoing block !
Sie können vorgenannte Punkte in drei Regeln wie folgt zusammenfassen:
   
 
Übergeordnete Regel 1: “ICMP Block in beide Richtungen”:
Aktion: block
Applikation: alle
IP: keine Eingabe (=unbekannt=alle)
Protocol: ICMP
ICMP-Typ: 4, 5, 9, 10, 12, 13, 14, 15, 16, 17, 18
Direction/Richtung: both (Inbound/Outbound)
   
 
Übergeordnete Regel 2: “ICMP Block Inbound”:
Aktion: block
Applikation: alle
IP: keine Eingabe (=unbekannt=alle)
Protocol: ICMP
ICMP-Typ: 8
Direction/Richtung: incoming (Inbound)
   
 
Übergeordnete Regel 3: “ICMP Block Outbound”:
Aktion: block
Applikation: alle
IP: keine Eingabe (=unbekannt=alle)
Protocol: ICMP
ICMP-Typ: 0, 3, 11
Direction/Richtung: outgoing (Outbound)
Kommentieren