Bauser-Enterprises IT: Firewall-Regeln

Firewall: Erstellung von Regeln Das Prinzip ist einfach zu verstehen: Zuerst werden alle Verbindungen von außen nach innen und umgekehrt geblockt (gesperrt). Nun werden die benötigten bzw. gewünschten Verbindungen nach und nach, unter Angabe des verwendeten Remote- und Local-Ports sowie Protokoll, Applikation (Programm) und evtl. IP-Adressen bzw. Hosts, freigegeben. Dies kann über Regeln erreicht werden. Nachstehend ein Beispiel anhand vom Web-Browser. Verfahren Sie so auch mit allen anderen Verbindungen, nachdem Sie zuvor die Ports oder Portranges, Protokolle, Hosts bzw. IP-Adressen der jeweiligen Verbindung recherchiert haben (z.B. über Traffic-Logfiles der Firewall und diverse Whois-Server-Datenbanken).

Beispiel: Sie möchten mit Ihrem Browser im Internet auf verschlüsselten und unverschlüsselten Seiten surfen sowie Downloads jeglicher Art durchführen können. Dazu benötigen Sie die Protokolle http (TCP-Port 80), https (TCP-Port 443) und FTP (TCP Port 21). Der Passiv-FTP-Download gestaltet sich etwas schwieriger in der Regelgestaltung, da hier über den Remote-TCP-Port 21 die Initialisierung des Downloads erfolgt aber die eigentlichen “Arbeitsports” dann dynamisch von 1024-65535 auf beiden Computern (remote- wie localseitig) zugewiesen werden. Damit Ihre Firewall diese Pakete durchläßt, sind folgende Regeln erforderlich.

Applikations- und verbindungsbasierende Regel für http und https:
Applikation/Programm:	.exe
IP/Hosts:	keine Eingabe (=unbekannt)
erlaubte Remote-Ports:	TCP 80 (für http), TCP 443 (für https)
erlaubte Local Ports:	TCP 1024-65535
Aktion als Client oder Server:	nur Client (outgoing)
Applikations- und verbindungsbasierende Regel zu FTP:
Applikation/Programm:	.exe
IP/Hosts:	keine Eingabe (=unbekannt=alle)
erlaubte Remote-Ports:	TCP 21, TCP 1024-65535
erlaubte Local Ports:	TCP 1024-65535
Direction/Richtung:	outgoing

Weiteres Beispiel: Sie möchten mit Ihrem E-Mail-Client (Z.B. Outlook) Post abholen und verschicken. Wir gehen hier von einer T-Online- E-Mail-Adresse bzgl. der IP-Adressen aus.

Applikations- und verbindungsbasierende Regel inkl. IP-Einschränkung:
Applikation:	outlook.exe
IP/Hosts:	194.25.134.0-194.25.134.255 (Server-IP-Adressen von T-online)
erlaubte Remote Ports:	TCP 25 (smtp), TCP 110 (pop3)
erlaubte Local Ports:	TCP 1024-65535
Aktion als Client oder Server:	nur Client (outgoing)

ICMP muss besondere Beachtung geschenkt werden und wir empfehlen folgende grundsätzliche Regeln zu diesem Protokoll, um Angriffe wie Denial-of-Service-Attack, Ping-to-Death oder Redirecting zu verhindern.

Typ 0 (Echo Reply): Incoming OK,Outgoing block ! Sie sollten pingen können aber nicht gepingt werden !
Typ 3 (Destination unreachable): Incoming OK,Outgoing block ! Um einem Denial-of-Service-Attack zu vermeiden
Typ 4 (Source Quench): Incoming block, Outgoing block ! Zur Vermeidung eines Source-Quench-Angriffs.
Typ 5 (Redirect): Incoming block, Outgoing block !
Typ 8 (Echo Request): Incoming block, Outgoing OK ! Sie sollten eine Echo-Anfrage starten können aber selbst keine bekommen !
Typ 9/10 (Router Adv./Selection):Incoming block, Outgoing block !
Typ 11 (Time Exceeded): Incoming OK, Outgoing block !
Typ 12 (Parameter Problem): Incoming block, Outgoing block !
Typ 13 (Timestamp Request): Incoming block, Outgoing block !
Typ 14 (Timestamp Reply): Incoming block, Outgoing block !
Typ 15 (Info Request): Incoming block, Outgoing block !
Typ 16 (Info Reply): Incoming block, Outgoing block !
Typ 17 (Adress Request): Incoming block, Outgoing block !
Typ 18 (Adress Reply): Incoming block, Outgoing block !

Sie können vorgenannte Punkte in drei Regeln wie folgt zusammenfassen:

Übergeordnete Regel 1: “ICMP Block in beide Richtungen”:
Aktion:	block
Applikation:	alle
IP:	keine Eingabe (=unbekannt=alle)
Protocol:	ICMP
ICMP-Typ:	4, 5, 9, 10, 12, 13, 14, 15, 16, 17, 18
Direction/Richtung:	both (Inbound/Outbound)

Übergeordnete Regel 2: “ICMP Block Inbound”:
Aktion:	block
Applikation:	alle
IP:	keine Eingabe (=unbekannt=alle)
Protocol:	ICMP
ICMP-Typ:	8
Direction/Richtung:	incoming (Inbound)

Übergeordnete Regel 3: “ICMP Block Outbound”:
Aktion:	block
Applikation:	alle
IP:	keine Eingabe (=unbekannt=alle)
Protocol:	ICMP
ICMP-Typ:	0, 3, 11
Direction/Richtung:	outgoing (Outbound)

Kommentare (0) zu dieser Seite
Sie können einen neuen Kommentar-Thread beginnen (siehe Button) oder auf einen bestehenden Kommentar antworten (Grafik "antworten" unten links zu einem Kommentar anklicken). In letzterem Fall wird ein "@{name}" (auf wen die Antwort erfolgte) im Kommentar automatisch vorangestellt.

	Die Übertragung erfolgt SSL-verschlüsselt, d.h. mit Protokoll https (mit * kennzeichnet ein Pflichtfeld)
Name*:
eMail-Adresse*:		eMail-Adresse zum Kommentar anzeigen (nicht zu empfehlen) EINMALIG über Antwort benachrichtigen
Homepage:		Homepage wird zum Kommentar angezeigt
Kommentar*:	Zeichen frei:

*Datenschutz - Einwilligung DSGVO:**	Ich habe die Datenschutzerklärung gelesen sowie verstanden und willige der Verarbeitung meiner personenbezogenen Daten wie dort beschrieben ein (Art. 6 I a DSGVO).
*Sicherheits-Abfrage:**	Bitte geben Sie die Summe als Zahl ein (z.B. VIER+ACHT=12).

Hinweise: Eine eingegebene URL (Internetadresse) wird automatisch erkannt und verlinkt, deshalb bitte keinen HTML-Code eingeben. Wir behalten uns vor, Kommentare vor der Veröffentlichung zu prüfen (Wir benachrichtigen Sie dann über eine Freigabe per E-Mail). Erst-Kommentare werden grundsätzlich zuvor geprüft. Haben Sie bereits Kommentare mit derselben E-Mail-Adresse abgegeben und wir Sie als vertrauenswürdig eingestuft, wird Ihr Kommentar ohne Prüfung sofort veröffentlicht. Auch in diesem Fall behalten wir uns vor, Kommentare nachträglich zu sperren oder endgültig zu löschen, verletzende oder gesetzlich unzulässige Inhalte zu entfernen oder die Vertrauenswürdigkeit wieder herabzustufen.