| |
Firewall: Erstellung von Regeln Das Prinzip ist einfach zu verstehen: Zuerst werden alle Verbindungen von außen nach innen und umgekehrt geblockt (gesperrt). Nun werden die benötigten bzw. gewünschten Verbindungen nach und nach, unter Angabe des verwendeten Remote- und Local-Ports sowie Protokoll, Applikation (Programm) und evtl. IP-Adressen bzw. Hosts, freigegeben. Dies kann über Regeln erreicht werden. Nachstehend ein Beispiel anhand vom Web-Browser. Verfahren Sie so auch mit allen anderen Verbindungen, nachdem Sie zuvor die Ports oder Portranges, Protokolle, Hosts bzw. IP-Adressen der jeweiligen Verbindung recherchiert haben (z.B. über Traffic-Logfiles der Firewall und diverse Whois-Server-Datenbanken).
Beispiel: Sie möchten mit Ihrem Browser im Internet auf verschlüsselten und unverschlüsselten Seiten surfen sowie Downloads jeglicher Art durchführen können. Dazu benötigen Sie die Protokolle http (TCP-Port 80), https (TCP-Port 443) und FTP (TCP Port 21). Der Passiv-FTP-Download gestaltet sich etwas schwieriger in der Regelgestaltung, da hier über den Remote-TCP-Port 21 die Initialisierung des Downloads erfolgt aber die eigentlichen “Arbeitsports” dann dynamisch von 1024-65535 auf beiden Computern (remote- wie localseitig) zugewiesen werden. Damit Ihre Firewall diese Pakete durchläßt, sind folgende Regeln erforderlich.
|
Applikations- und verbindungsbasierende Regel für http und https:
|
| Applikation/Programm: |
.exe |
| IP/Hosts: |
keine Eingabe (=unbekannt) |
| erlaubte Remote-Ports: |
TCP 80 (für http), TCP 443 (für https) |
| erlaubte Local Ports: |
TCP 1024-65535 |
| Aktion als Client oder Server: |
nur Client (outgoing) |
|
Applikations- und verbindungsbasierende Regel zu FTP:
|
| Applikation/Programm: |
.exe |
| IP/Hosts: |
keine Eingabe (=unbekannt=alle) |
| erlaubte Remote-Ports: |
TCP 21, TCP 1024-65535 |
| erlaubte Local Ports: |
TCP 1024-65535 |
| Direction/Richtung: |
outgoing |
|
Weiteres Beispiel: Sie möchten mit Ihrem E-Mail-Client (Z.B. Outlook) Post abholen und verschicken. Wir gehen hier von einer T-Online- E-Mail-Adresse bzgl. der IP-Adressen aus.
| Applikations- und verbindungsbasierende Regel inkl. IP-Einschränkung: |
| Applikation: |
outlook.exe |
| IP/Hosts: |
194.25.134.0-194.25.134.255
(Server-IP-Adressen von T-online) |
| erlaubte Remote Ports: |
TCP 25 (smtp), TCP 110 (pop3) |
| erlaubte Local Ports: |
TCP 1024-65535 |
| Aktion als Client oder Server: |
nur Client (outgoing) |
|
ICMP muss besondere Beachtung geschenkt werden und wir empfehlen folgende grundsätzliche Regeln zu diesem Protokoll, um Angriffe wie Denial-of-Service-Attack, Ping-to-Death oder Redirecting zu verhindern.
- Typ 0 (Echo Reply): Incoming OK,Outgoing block ! Sie sollten pingen können aber nicht gepingt werden !
- Typ 3 (Destination unreachable): Incoming OK,Outgoing block ! Um einem Denial-of-Service-Attack zu vermeiden
- Typ 4 (Source Quench): Incoming block, Outgoing block ! Zur Vermeidung eines Source-Quench-Angriffs.
- Typ 5 (Redirect): Incoming block, Outgoing block !
- Typ 8 (Echo Request): Incoming block, Outgoing OK ! Sie sollten eine Echo-Anfrage starten können aber selbst keine bekommen !
- Typ 9/10 (Router Adv./Selection):Incoming block, Outgoing block !
- Typ 11 (Time Exceeded): Incoming OK, Outgoing block !
- Typ 12 (Parameter Problem): Incoming block, Outgoing block !
- Typ 13 (Timestamp Request): Incoming block, Outgoing block !
- Typ 14 (Timestamp Reply): Incoming block, Outgoing block !
- Typ 15 (Info Request): Incoming block, Outgoing block !
- Typ 16 (Info Reply): Incoming block, Outgoing block !
- Typ 17 (Adress Request): Incoming block, Outgoing block !
- Typ 18 (Adress Reply): Incoming block, Outgoing block !
Sie können vorgenannte Punkte in drei Regeln wie folgt zusammenfassen: |
Menü: Firewall-Regeln
Kommentieren
Menü: Firewall-Regeln
