Konfiguration
|
Konfiguration FirewallInhalt:1 ) Einleitung 2) Konfiguration der Firewall 3) Absicherung des Betriebssystems 4) Optimierung der Routereinstellungen 5) Schlussfolgerungen 1 ) Einleitung Viele Dienste und Programme erstellen unerlaubten Kontakt zum Internet her. Ihr Ziel ist es, Kontaktversuche von aussen zu gewähren. Diese Tatsache und immer wieder bekannt werdende Sicherheitslücken im Windows Betriebssystem stellen das grösste Sicherheitsrisiko für Ihren PC dar. Windows XP mit SP2 hat eine eigene Firewall integriert,die jedoch aber keinen Schutz vor solchen Trojanern und Viren bieten kann. Hierfür bieten Software Firewalls wie Outpost Firewall Free oder Zonealarm mehr Sicherheit. Beide Firewalls können auf verschiedenen Windows Plattformen installiert werden. Sollten Sie jedoch die Windows XP eigene Firewall installiert haben, so müssen Sie diese vorübergehend deaktivieren. 
Microsoft - Anleitung zur XP-Firewall-Deaktivierung
Vorab möchte ich gerne darauf hinweisen, dass ich hier als Beispiel Firewalls Agnitum Outpost Firewall Free und Zonealarm gewählt habe. Zonealarm hat viele Einstellungen schon als Standardeinstellungen. Sollte es daher mal nur eine Erläuterung für Outpost geben, so ist diese Einstellung wahrscheinlich schon bei Zonealarm als eine Standardeinstellung eingerichtet. Es ist nicht von Vorteil wenn man zwei Firewall Anwendungen im Betrieb hat. Im Gegenteil. Es ist sogar kontraproduktiv, da sich diese mit Wahrscheinlichkeit gegenseitig stören und zu Systemfehlern oder Programmabstürzen führen können. Sollten Sie also eine Firewall installiert haben, dann deinstallieren Sie diese, bevor Sie eine der o.g. oder alternative Firewalls installieren. Haben Sie die XP Firewall, so deaktivieren Sie diese nur. Generell ist es auch zu empfehlen, so wenig Programmen wie möglich, den Zugriff auf das Internet zu erlauben. Benötigt ein Programm Onlinezugriff, so wird die Notwendigkeit des Zugriffs durch die Firewall angekündigt und Sie können es individuell erlauben oder verbieten. Manche Ihrer Programme benötigen allerdings Internetzugang um richtig zu funktionieren. Diesen Programmen, sowie Programme bei denen Sie wissen, dass sie den Zugang zum Internet benötigen, sollten Sie von Anfang an Internetverbindungsrechte geben. 2.1 ) Absicherung der Konfigurationseinstellungen Um die von Ihnen vorgenommenen Veränderungen in der Konfigurationen zu aktivieren, ist es ab und zu notwendig, den Computer neu zu starten. Sichern Sie daher zwischendurch Ihre Einstellungen und vergeben Sie aussagekräftige Namen. Beispiel Outpost Firewall Free: C.\Programme\Agnitum Firewall 1.0 Dies ist das Verzeichnisss in dem die Konfigurationsdatei gespeichert wird. Selektieren Sie die Datei configuration.cfg und kopieren Sie die Datei mit einem rechtsklick. Fügen Sie die Kopie nun ein und benennen Sie sie z.B.: AprilKonfig.cfg. 
Beispiel ZoneAlarm: Zonealarm
ZoneAlarm PRO Wählen Sie Überblick --> Voreinstellungen und dann unter Sicherheitseinstellungen sichern und wiederherstellen auf speichern klicken. Wählen Sie einen aussagekräftigen Namen und speichern Sie die Datei an einem Ihnen leicht zu merkenden Ort. 2.2 ) Zugriffsrechte für Anwendungen freigeben Wie zuvor schon erwähnt, starten Sie nach der Installation alle Ihre Programme, denen Sie Internetzugang bzw. Netzwerkzugang gewähren wollen. d.h. also Ihren Internet Browser, Email Client (Outlook Express, Thunderbird, etc.), Instant Messenger, Antiviren Programm und alles andere was noch bei Ihnen installiert ist und Internetzugriff benötigt. Bei Agnitum Outpost Firewall free müssen Sie dazu jeweils auf Eine Regel erstellen / oder preset nutzen, OK. ZoneAlarm öffnet bei Starten des jeweiligen Programmes ein Fenster, in dem Sie gefragt werden, ob diesem Programm der Zugang zum Internet bzw Netzwerk erlaubt werden soll. 
Hier ticken Sie diese Antwort merken an und klicken auf Ja für jeweils Internet- und Netzwerkzugang, falls beides angefragt wird, oder nur für den Internetzugang. Hierdurch erstellen Sie automatisch eine Reihe von Regeln, die Sie bei Outpost für jedes Programm nach dem o.g. Prinzip erstellen müssten. 2.3 ) Scans und Portabfragen aus dem Internet verhindern
Ping
dient zum Überprüfen, ob DER PC vom Internet aus erreichbar ist.
Dies kann von sogenannten Hackern ausgenutzt werden. Um dies vermeiden oder zu veringern, sollten Sie folgende
Einstellungen vornehmen, um Ihren PC abzusichern:
Agnitum Outpost: Wählen Sie dazu im Menü Optionen --> System und aktivieren Sie bei Typ der Antwort die Einstellung stealth. Sie können bei der Freeware durch allgemeine, festgelegte Regeln erweitern, oder bei der Pro Version Ihre eigenen Regeln erstellen. WICHTIG: Achten Sie darauf, dass Sie folgende Einstellungen vornehmen: TCP: * Block Remote Procedure Call * Block Server Message, Block Protocol UDP: * Deny unknown Protocols
Ports
sind Anschlüsse,
die von Internet-Anwendungen
genutzt werden um gleichzeitig miteinander zu kommunizieren. Es gibt
ca. 65000 Ports , die über diese Anwendungen kommunizieren können, ohne sich gegenseitig zu stören.
Hier ein Ausschnitt aus der Liste der meistgebräuchlichsten Ports :
Auflistung
15 netstat 19 chargen 21 TCP ftp 22 SSH 23 TCP telnetd 25 TCP smtp 80/8080 http 87 link 110 pop3 Die Portnutzung der meisten Programme ist weitestgehend bekannt. Dies ermöglicht Hackern sogenannte Datenspione zu nutzen, die das Internet nach Rechnern durchsuchen. Wird ein Rechner Online gefunden, so werden sogenannte Portscanner eingesetzt. Diese finden dann offene Ports bei diesem PC , durch die der Hacker dann Zugriff erlangen kann. Ein erleichterter Zugriff des Hackers ist durch Exploits möglich. Durch Updaten des Betriebssystems, Internet Browsers, Antiviren Programm, etc. ist eine Einschränkung von vorhandenen Expoits möglich. Eine Firewall verhindert, das solche Portscans auf Ihrem PC durchgeführt werden. Mit Outpost Firewall Free kann man zum Beispiel alle Ports blockieren. Sie können die offenen Ports durch Analyse- und Protokollfunktionen ausfindig machen. Zonealarm blockiert standardmässig alle Ports von vornherein und Sie müssen die Freigeabe der einzelnen Ports zur Freigabe genehmigen. Zum Schliessen der Ports unter Outpost, wählen Sie Mein Internet --> Offene Ports; ( roter Kasten links ). 
Dort können Sie anhand der Protnummer oder der Anwendung Ihre Wahl treffen und durch selektieren und Rechtsklick - Erstelle Regel... aktivieren Sie den sogenannten Regeleditor. 
Wählen Sie dort unter die folgende Option:Wenn das gewählte Protokoll istDanach klicken Sie bei 3 auf den Eintrag undefiniert. Dies müssen Sie nun auf TCPausdehen.Ausserdem aktivieren Sie unter 1. die Regel Wenn der gewählte Lokalport ist. Der neue Eintrag in blau muss dann dementsprechend von undefiniert auf 135 (Outpost ändert den Eintrag automatisch auf DCOM ab) abgeändert werden (in diesem Bsp.). Um diesen Port nun zu blockieren, wählen Sie unter 2. die Option verbiete es. Nun erscheint die komplette Regel unter 3. Zuletzt steht nun nur noch an, das Sie unter 4. der gerade erstellten Regel einen Namen geben. In unserem Bsp. Vielleicht svchost blocken. Durch Bestätigen mit OK schliessen Sie die Regelerstellung ab. Wie schon oben (in Klammern) erwähnt, ändert Outpost Standard Portnamen automatisch ab. Da der von Ihnen bestimmte Regelname (in diesem Bsp. svchost blocken) später in Fehlerprotokollen auftaucht, sollte dieser aussagekräftig sein. Blockierte Ports kann niemand mehr nutzen. Kein Hacker, aber auch Sie als Anwender nicht mehr. Benötigen Sie jedoch Zugriff, weil Sie z.B. Administrator oder Betreiber eines Servers sind, so bietet Outpost als Alternative das Blockieren einer IP-Adresse. Hierfür wählen Sie unter Optionen den Menüpunkt Abwehr von Angriffen. Dort klicken Sie auf Eigenschaften (roter Kasten). Unter Blockiere Angriffe, setzen Sie ein Häkchen vor die Option Blockiere IP des Angreifers. Wiederholen Sie diesen Schritt für die Option Blockiere lokalen Port bei einem DoS Angriff. Um die Einstellungen zu überbnehmen, bestätigen Sie einfach mit OK. 
Um zu sehen, welche Anwendung welche Ports benutzt, haben Sie bei : Outpost Firewall Free, unter Mein Internet --> Alle Verbindungen und Ansicht --> Layout... die Möglichkeit detaillierte Infos zu bekommen. Aktivieren Sie im unteren Bereich des geöffnenten alle dort aufgeführten Optionen durch das Setzen eines Häkchens in jedem der Kästchen vor den Optionen. Wenn Sie auf Mein Internet --> Offene Ports gehen, zeigt Ihnen Outpost nun alle Prozesse an, die durch offene Ports auf Kommunikation mit Servern im WWW. Wollen Sie die Ports mit deren Nummer anzeigen, so können Sie dies über Ansicht --> Spalten... und dann Erweitert durch anklicken der Option Nummer unter Zeige Ports an als... tun. Unter den Bereichen Mein Internet, Erlaubt und Mein Internet --> Blockiert werden alle Programme aufgelistet die erlaubt oder blockiert sind. Sie sollten regelmässig prüfen, ob Zugriffe auf Webseiten, die Sie nicht kennen, stattgefunden haben. Um registrierte Portscans einzusehen, wählen Sie Plugins, Abwehr von Angriffen. Um zu erkennen, warum Outpost einen Zugriff verweigerte, können Sie unter Grund die Regel finden, die den Zugriff blockierte. Kaspersky PURE 
Das ultimative Schutzpaket für Ihren PC
Kaspersky PURE ist das ultimative Schutzpaket für Ihren PC. Es geht weit über den Schutz bisheriger Internet-Security-Pakete hinaus. Sie erhalten damit ein Höchstmaß an Immunität vor den unterschiedlichsten Internet-Bedrohungen. Kaspersky PURE sichert die einwandfreie Funktion Ihres Computers und schützt Ihre digitalen Daten. So müssen Sie sich keine Sorgen mehr um Ihre PC-Sicherheit machen. |
Werbung
TuneUp System warten PC-Probleme beheben Leistung steigern Windows anpassen optimale Leistung gleich kaufen oder: kostenlose Testversion (30 Tage) laden Wenn Sie ActiveX und VBScripts einen Strich durch die Rechnung machen wollen, so können Sie bei Emails und Newsletteremails unterbinden, das solche Skripts laufen dürfen. Dazu selektieren Sie Optionen --> Plug-in Setup und öffnen das Aktive Inhalte Fenster durch einen Doppelklick. Dort selektieren Sie nun Email, News und stellen alle Optionen auf Deaktivieren. Durch das Deaktivieren sperren Sie diese Funktion. Bei Internetseiten können Sie solche Vorkehrungen auch über den IE durchführen, sind jedoch nicht immer nutzvoll. Outpost merkt sich die Einstellungen für Ihre verschiedenen, aufgerufenen Webseiten. Hiefür müssen Sie nur folgende Einstellungen vornehmen: Webseite, im rechten Bereich ActiveX Steuerelemente, Cookies und Java-applets die Option Nachfragen aktivieren. Zusätzlich können Sie noch Pop-up-Fenster und Referers deaktivieren, um noch komfortabler zu surfen. Um bei Email-attachments auf Nummer sicher zu gehen, können Sie automatisch eine safe Endung anhängen lassen, sobald es sich um eine ausführbare Datei handelt. Hierfür wählen Sie Optionen --> Plugin-In Setup und Dateianlagen-Filter - doppelklick. Auf diese Weise kann die Datei gespeichert werden, nicht aber ausgeführt werden. Stellt sich nach einem Scan mit Ihrer Antiviren Software heraus, das es eine legitime Datei ist, so entfernen Sie einfach die .safe Endung (z.B.: hello.exe.safe --> hello.exe). Danach kann die Datei problemlos ausgeführt werden. Folgenden Prozessen sollten Sie dem Internetzugriff verwehren, da Sie gelegentlich Zugang zum Internet suchen, aber nicht benötigen. Es sei ausserdem angemerkt, dass diese Dateien oft von Viren oder Trojanern missbraucht werden: *C:\Windows\explorer.exe == Windows Explorer *C:\Windows\System32.exe == Aplication Layer Gateway (Internet Verbindungsfreigabe unter WinXP sperren Sie die Datei NICHT, wenn Sie die MS Firewall nutzen!) *C:\Windows\System32\lsass.exe == Windows Benutzteranmeldung 3. ) Windows Absichern Hier werden eine Reihe von Dienste und Optionen besprochen, die aus Sicherheitsgruenden eingeschränkt, kontrolliert, oder deaktiviert werden sollten. 3.1 ) Add-ons Der IE / Firefox darf aufgrund Ihrer Outpost Einstellungen ja uneingeschränkt auf das Internet zugreifen. Add-ons für Browser haben somit die selben Rechte. Daher kann es sein, dass ein Add-on Ihres Browser's Zugang zum Internet herstellt, ohne das Sie davon Kenntnis haben. Diese Add-ons erscheinen nicht im Taskmanager und sind beim Firefox nur unter Plug-Ins zu finden. Der SP2 für WinXP erweitert den IE um eine eigene Browser-Add-on Verwaltung, um diese einsehen zu können. Im IE unter Extras, navigieren Sie zu Internetoptionen. Dort gehen Sie auf den Reiter Programme und klicken auf add-ons verwalten. Schalten Sie hier alle unbekannten Prozesse aus. Sind Sie sich nicht ganz sicher, so nutzen Sie Google für ein wenig Recherche. Um einen Prozess zu deaktivieren, selektieren Sie den Prozess und setzen Sie den Status auf Dektivieren. 3. 2 ) Nachrichtendienst Um den Nachrichtendienst abzuschalten, gehen Sie auf Verwaltung --> Dienste unter Systemsteuerung. Dort doppelklicken Sie Nachrichtendienst unter Dienste (Lokal). Nun stellen Sie den Starttyp noch auf deaktiviert. Der Firefox verhindert zwar die lästigen Pop-ups , aber auf diesem Wege können Sie auf Nummer sicher gehen. 3.3 ) Selten genutzte Dienste deaktivieren Um Ihren PC sicherer zu bekommen, sollten Sie Dienste, die Sie nicht häufig benötigen, deaktivieren. Bevor Sie jedoch einen Dienst deaktivieren, sollten Sie dessen Abhängigkeiten überprüfen -- Doppelklick auf einen Eintrag und wechseln Sie zum gleichnamigen Reiter Abhängigkeiten. 3.4 ) Druckerfreigabe abschalten Outpost Firewall Free blockiert dies Standardmaessig. Da jeder Internetnutzer auf freigegebene Dateien, Ordner, oder Laufwerke Zugriff hat, wenn ein Online PC nicht richtig eingestellt ist. Wenn Sie also keine Freigaben verwenden, sollten Sie diese komplett abstellen. Dies tun Sie unter Netzwerkverbindungen in der Systemsteuerung. Selektieren Sie Ihre Internetverbindungsart und klicken Sie auf Eigenschaften. Gehen Sie nun auf den Reiter Netzwerk und deaktivieren Sie die Datei und Druckerfreigabe. Zusätzlich markieren Sie das Internetprotokoll (TCP/IP) und gehen Sie über Eigenschaften und Erweitert auf den Reiter WINS. Dort sollte dann NetBIOS ueber TCP/IP deaktivieren aktiviert sein. 3.5 ) Fernzugriff abschalten Per Fernzugriff via Internet, ist es möglich auf einen Rechner Zugriff zu erlangen, der an einem weiter entfernten Standort ist. Dies kann sehr hilfreich sein, stellt aber auch ein Sicherheitsrisiko für den User dar. Sollten Sie keine Verwendung für diesen Dienst haben, so schalten Sie ihn ab. Dazu doppelklicken Sie auf System in der Systemsteuerung und klicken den Remote Reiter an. Hier deaktivieren Sie nun Ermöglicht das Senden von Remoteunterstützungsangeboten, sowie Benutzern erlauben, eine Remotedesktopverbindung herzustellen. Nun klicken Sie bitte noch auf Remotebenutzer auswählen und entfernen dort - falls vorhanden, jegliche Einträge. N.B: Es gibt noch weitere Möglichkeiten den PC sicherer zu machen. Dies ist jedoch an dieser Stelle fehl am Platz, da zu komplex. oder schauen Sie sich hier weiter um. Weitere Recherche können Sie mit den Suchmaschienen machen. 4. ) Router Einrichtung optimieren Router werden heutzutage fast überall mit Ihrem DSL Anschluss angeboten. Sie haben bis zu vier LAN -Anschlüsse und erlauben somit bis zu vier PCs den gemeinsamen Onlinezugang. Was viele PC-Anwender nicht wissen ; Ihr Router bietet einen integrierten Netzwerkschutz. Dieser ist im Einsatz, ohne das Sie Veränderungen vornehmen müssen. Falls Sie jedoch Tauschbörsen nutzen oder bestimmte andere Programme, müssen Sie einige Aenderungen vornehmen. Da es verschiedene Hersteller gibt, werden hier Begriffe genannt, die bei den meisten Herstellern verwendet werden. Eventuell können aber Namens- bzw. Begriffsabweichungen auftreten. 4.1 ) Passwortwahl Hacker sind die Standardpasswoerter bekannt, bzw. Sie können solche Standardpasswörter schnell herausfinden. Es ist daher ungemein wichtig, ein sicheres Passwort zu wählen. Um das Standardpasswort zu ändern, geben Sie im IE oder Firefox die Netzwerkadresse Ihres DSL-Routers und dann das bisherige Standardpasswort ein. Nun selektieren Sie die Rubrik Advanced Setup --> System --> Password Settings. Dort ändern Sie das bisherige Passwort in ein neues Passwort ab. 4.2 ) Filesharing Durch das NAT Prinzip werden Netzwerkadressen durch IP-Adressen von Ihrem Router vergeben. Hierdurch werden Peer-2-Peer Programme geblockt oder verlangsamt. Andererseits werden Zugriffe, die nicht von Ihnen stammen, sondern von aussen kommen, von Ihrem Router blockiert. Nutzen Sie also solche Peer-to-Peer Systeme, müssen Sie bestimmte Ports freigeben (Sie finden diese Ports meist in den online Foren oder werden automatisch von Programm angefragt). -- selektieren von Virtual Server. Unter Port geben Sie dann die notwendigen Ports ein. Haben Sie mehrere Pcs über den Router im Netz und Sie wollen nicht allen Computern diesen Port freigeben, so geben Sie die IP-Adresse der Pcs ein, bei denen die Ports freigegeben werden sollen. Wenn Sie noch eine Software Firewall nutzen, müssen Sie das Programm bzw. Die o.g. Ports auch hier freigeben. 4.3 ) Nummernfreigabe Konfigurieren Das Windows Betriebssystem fragt bei jedem Start nach, ob ein DHCP Server im Netz ist. DSL-Router sind meist so eingestellt, dass sie als ein solcher Server agieren. Hierdurch erlangt der PC automatisch eine IP-Adresse, was bedeutet, dass Sie keine Kontrollmöglichkeit haben. Sie benötigen aber diese Kontrolle, wenn Sie Ihren Router konfigurieren wollen. Dementsprechend müssen Sie Ihren Pc(s) jeweils eine feste IP-Adresse zuweisen. Eine feste IP-Adressse weisen Sie wie folgt zu: Navigieren Sie zu LAN-Verbindungen unter Systemsteuerung und öffnen Sie die Eigenschaften. Doppelklicken Sie Internetverbindung (TCP/IP) und ändern Sie bei Folgende IP-Adresse beziehen die IP-Adresse von Standardgateway und Bevorzugter DNS-Server auf die Ihres Routers um. Bei Subnetzmaske müssen Sie noch 255.255.255.0 eingeben. Wenn Sie mehrere Pcs über den Router online haben, tragen Sie die IP-Adressen bei IP-Adresse ein. Hierzu ist es allerdings notwendig, das die ersten Zahlen mit denen Ihres Routers übereinstimmen. Schlussfolgerung Es gibt noch wesentlich mehr Einstellungen, die Sie mit Ihrem Router vornehmen können. Allerdings kommt es hier auf den Verwendungszweck Ihres Pcs an. Nicht alle Einstellungen sind für normale Surfer von Notwendigkeit. Die Nutzung einer Software Firewall ist heutzutage kaum wegzudenkene. Allerdings sollte man die mitgelieferten Firewalls der Router nutzen. Sie kosten nichts und bieten meisst einen sehr guten Schutz, bevor auch nur eine Software Firewall eingesetzt wurde. Sie sollten jedoch nicht nur eine Routerfirewall einsetzen. © 2005 Yourhighness |
