Wie benutzt man eine Win9x Firewall
by XpaCcsX URl: www.h-d-c-org
1.0 Was ist eine Firewall
2.0 Wozu eine Firewall in Windows
3.0 Tcp/ip Grundlagen
4.0 Welsche Firewall's gibt es
5.0 Konfigurieren einer Windows Firewall (Beispiele anhand der AtGuard)
6.0 Vorteile einer Firewall
7.0 Filtern von Werbung/Cookies/Script's etc.
8.0 Schlusssatz
1.0 Was ist eine Firewall
Firewall's wurden Ursprünglich auf Unix Systemen eingesetzt, um in einem
Netzwerk den Internen und Externen Ip Verker zu Regeln. Firewall's sind in
der Grundkomponente eher IP Filter, die angommende Packete anhand von div.
Kriterien entweder Blocken der durchlassen.
2.0 Wozu eine Firewall in Windows
Windows systeme bieten von Grund auf keinen selbsttändigen Schutz gegen
anfragen von Externen systemen, der Grund sich eine Firewall in Windows zu
installieren dürfte rein Theoretisch garnicht gestellt werden :) "Wozu ein
Schloss an der Wohnungs - tür wenn eh keiner Kommt" :p Gerade bei Windows
systemen hat man die Problematik, das sich das OS in keiner weise zu
Schützen vermag, die "Sicherheit" die Windows bietet, ist das keine Server
oder Dienste installiert sind, wird ein solscher Dienst Installiert, z.b.
via Trojaner steht jedem internet- Teilnehmer der Rechner frei zur verfügung
(an Dieser stelle verweise ich auf meine FTP Hack faq, und die Div. Faq's zu
Bo bzw. Netbus Trojanern)
3.0 Tcp/ip Grundlagen
Eigendlich ist es Peinlich, aber ich werde mehr als oft gefragt, wie das
Internet im Gröbsten Sinne Funktioniert, ich werde also in dieser Faq darauf
eingehen Das internet ist ein "Packet-Orientierter" service, d.h. das es in
der TCP/ip Spefikation keine Wirklichen "Verbindungen" gibt, alle Daten die
am Modem/ISDN/NetzwerkAdapter ankommen sind Pakete. Diese Packete sofern sie
Geschickt oder Gesendet werden müssen Addressiert werden, das geschieht
IMMER mit einer sogenannten "IP" Adresse Jeder Internet Rechner hat eine IP
Adresse> wobei es ausnahmefälle gibt. bzw. zwischen internen und Externen
Ip Adressen unter- Schieden wird. Sendet also Rechner A an Rechner B ein
packet muss die IP Adresse des Absenders und des Empängers im Header
(Kopfzeile) eines Packetes stehen. Diese Packete sind im Regelfall 32 bittig
und fallen zwischen 0-255, z.b. 193.12.0.12 . Man unterscheidet darunter
zwischen Classen eines Netzes oder Unternetzes, (Class A, Class B, Class C
netze). Ich werde auf dieses Thema nicht weiter eingehen, dafür exestieren
mittlerweile genug Faq's anleitungen etc. und würden den umfang dieser Faq
Locker Sprengen. nun unterscheidet man zwischen der Art des Packetes, im
internet werden Mehere Protokolle angewendet, die Bekanntesten davon sind
TCP und UDP und evtl. ICMP eine untergeordnete Rolle spielen Protkolle wie
ARP, Netbui, RARP etc. Kommt nun ein Tcp packet vom Rechner A zum Rechner B
muss der Client, oder halt der Server nun Wissen, welschen Dienst das Packet
nun ansprechen möchte, Dienste im Sinne von TCP/ip nennt man Port's, in der
IP Spefikation sind insgesammt 65535 Port's ansprechbar. Ein internet Port
kann man sich Bildlich wie eine Tür vorstellen, kommt ein Packet zu einem
Rechner an, muss es wissen welsche TÜR im System sie nun Betreten will. die
Bekanntesten port's nunmal in der kürzte:
FTP : 21 <-Dateiübertragungen
SSL : 22 <-Verschlüsselte Verbindungen
Smtp : 25 <-Ausgehende E-Mail's
DNS : 53 <-Umwandlung einer URL z.b. www.yahoo.de zu einer Ip Adr.
Http : 80 <-HTTP Connection, also das WWW
POP3 : 110<-Eingehende E-Mails
Weitere Port's lassen sich in Windows unter C:\WINDOWS\SERVICES nachlesen
:)) Bei den port's muss man nun unterscheiden zwischen Inport's und
Outprot's, die Oben genannten sind die outport's, quasi die port's an denen
das Packet Addressiert wird.
4.0 Welsche Firewalls gibt es
Es gibt eine ganze handvoll Firewalls, die sich zumeist in der
Benutzerführung und Features unterscheiden, so kann z.b. die Conseal
Firewall von Signal9 sehr gut mit weniger bekannten Protokollen umgehen als
andere Firewalls, dafür hat die Conseal z.b. den Nebeneffekt, das sie bei
der Konfiguration der Rules listen sehr verwirrnend sein kann. Die von mir
am liebten genutzte Firewall ist die @Guard oder einfach ATGuard, sie
enthält neben der Reinen Firewall funktion (TCP und UDP) auch Werbe Filter,
Cookie Filter und weiters zubehör, ausserdem muss sie nicht in jedem Browser
extra als Proxyserver eingetragen werden, weil sie Systemweit die
Aktivitäten überwacht. Andere Firewalls wie die MCaffee Firewall oder der
PcGuard sind vom prinzip her auch Annehmbar:) Die aber eigendlich wichtigste
sache bei einer Firewall ist nicht der Herrsteller, vom Grundprinzip her
sind alle relativ gleich, sondern auf die Konfiguration kommt es an!!! Nur
eine Richtig eingestellte Firewall bietet Schutz.!
5.0 Konfiguration einer Firewall
Nun, wie konfiguriert man eine Firewall, es gibt mehere ansätze, die meisten
User die sich eine Firewall installieren lassen sie im "Lerning Mode" laufen
und schalten alles frei was Fragt!, Das dies der Falsche ansatz ist ist
irgendwie klar, also geht man am Besten folgendermassen ran:
1.) Man schaltet zunächst alle vordefinierten Regeln ab bzw. Löscht
Sie, Quasi man Blockt alles
2.) Man stellt die Nächsten Systemweiten Dienste ein wie z.b. Port 53
(Domain) auf UDP
3.) Man Erlaubt dem Brwosern das Zugreifen auf alle Ip's mit TCP auf
Port 80
4.) Man Konfiguriert weitere dienste wie ICQ,AIM etc.
Man kann sich die Konfiguration einer Firewall wie einen Schieberegler
vorstellen wie z.b.
Sicher I----------<<>>----------I Unsicher
Das hat einen Sinn, denn wenn man die Firewall zu Genau Konfiguriert, was
jedes Programm wann und wie Tun kann, hat man das problem, das des Öfteren
Nachfragen im Lerning mode Stattfinden, oder das Verbindungen
einfacherhalber weise Geblockt werden, Klassische Beispiele sind z.b allein
bei'm Web Browser, nehmen wie den Netscape, wenn man jetzt den OutPort 80
einstellt ist das eine gute sache, man kann sich quasi damit jede Webside
angucken, Problematisch wird es an der Stelle wo z.b. Java Chat's geladen
werden, oder Plug - In's zum einsatz kommen, dann nämlich fragt die Firewall
nach, ob auf dem Port wo die Daten dann übertragen werden sollen auch alles
in Ordnung ist, oder ob diese Kommunikation OK ist.
Das hat nämlich folgenden Hintergrund : Java Chat's oder andere Plugin's
greifen meist auf anderen Port's zu, um mit der Gegenstelle zu komunizieren,
das ist ja auch ok, Problematisch wird diese sache, wenn man aber auf einer
Webside kommt, die dem user nicht gut gesonnen ist, z.b. Existieren Java
Applets die aus der "Sandbox" herraus programme ausführen, oder Daten
Spionieren, in diesem Fall ist der user Gefragt, ob eine Verbindung nun
Stattfinden soll oder nicht. Die Einstellungen einer Firewall oder nennen
wir sie einfach mal Filter beruhen meist auf folgenden Regeln :
- Host Adresse - InPort
- Locale Adresse - OutPort
- Inbound - Outbound
- Uhrzeit - Datum
- Anwendungsprogramm / Netzwerk
Anhand dieser Indiziern kann eine Firewall eine Verbindung entweder Erlauben
oder Blocken, die Obengenannten beispiele stammen aus der ATGuard, andere
Firewall's setzen noch auf Regeln wie Piorität, oder ob eine Andere
Verbindung schon Aktiv ist, so kann die Conseal Beispielsweise so
konfiguriert werden das eine Verbindung erst dann erlaubt wird, wenn eine
andere Vordefinierte verbindung existiert, im Allgemeinen kann man sagen das
die Konfigruation einer Firewall wie im richtigen leben reine
"Einstellungssache" ist, und abhängig von der Paranoia der zu Surfenden
Person.
Die Einstellungen der Host und Local adresse beziehen sich dabei mehr auf
Die Konfiguration in einem Netzwerk, so das z.b. ein Windows 9x oder Nt
rechner (Meinetwegen auch Linux, OpenBSD, BEOs etc.) als Gateway dient, und
die Firewall die Anfragen entsprechend der Ip's bedient, so kann rechner A
im internen Netzwerk z.b. nur POP und SMTP zugreifen, während rechner B auch
Telnet Port's Öffnen kann ....
6.0 Vorteile einer Firewall
Nah ja, Vorteile, mhhh gibt es sicherlich, in erster linie ist die Firewall
gegen angriffe auf dem Web verantwortlich, eine Firewall bietet NIE
100%tigen schutz, das muss jedem klar sein, Eine Firewall hat nur diese
Funktion den TCP Verkehr zu regeln, mehr nicht, wer sich via E-Mail
Attachment einen MakroVirus downladet und Startet darf nicht über die
Firewall meckern, so nach dem Motto : "Das hätte sie ja merken müssen",
andererseits kann die Firewall sofort alarm schlagen sowie dieser Marovirus
versucht Private Daten in's Internet zu senden, wobei an dieser stelle
wieder die Frage ist ob der User dann weiss ob die Verbindung Akzeptiert
oder Geblockt werden soll. Es nützt nicht's eine Firewall zu installieren
und durchzuKonfigurieren, wenn dabei der User den port 31337 (BO Port)
freischaltet und oder Trojaner dann seine Kommunikation weiterführen kann.
Firewall's haben aber auch die Vorteile, das sie SEHR gut Protokollieren
können, so kann die @Guard eine Verbindungshistory erstellen und auch
nachträglich sagen was Passiert ist, Jeder der eine firewall sein eigen
nennt sollte von dieser Funktion gebrauch machen, sich Regelmässig die
Webconnection's speichern und Via pgp z.b. Verschlüsseln. PGP wird
warcheinlich eines meiner nächsten Faq's sein sobald Bedarf ist :) Eine noch
sehr sinnvolle sache für alle Poweruser einer Firewall ist, das man auch
Trojaner auf seinen eigendem Rechner ohne Probleme installieren kann wie
z.b. Back Orifice, und diesen dann nach aussen hin blocken kann, intern aber
Benutzten kann, hat z.b. die Vorteile das man mit dem Back Orifice server
Keylogging betreiben kann, oder die Windows Task's steuern kann. ich
Persönlich setzte Innerhalb der firewall Back orifice auf Kommandozeile ein,
und kann so nach bedarf automatisch via Batches Task's Kicken, Laden oder
anzeigen lassen, eine Funktion die Windows so nicht Bietet (Kleiner Tip :
Netbus, kommt auch lustig wenn man damit die eigenden Funktionen steuern
kann), dabei ist man dann auch sicher, das kein aussenstehender auf diese
Funktionen zugreifen kann ;-)
7.0 Filtern von Werbung/Cookies/Script's etc.
An dieser Stelle kann ich mal ein wenig die @Guard funktionen beschreiben
und auch mal auf ein anderes Theritorium gehen : die Proxyserver eines der
Bekanntesten Werbeblocker sind der Webwasher von Siemens (Für Private
Nutzung Kostenlos) und der Junkbuster (müsste genauso sein), beide setzten
auf eine Block list, also eine liste, die Regelmässig von dem entsprechenden
Websides geladen werden kann, Die Block listen sind eine Sammlung von URl's
wo man weiss, das sich dort Werbung befindet, Viele websides die Werbung auf
ihren Sites haben werden von den Entsprechnenden Webservern gesendet, werden
diese Geblockt is Sense mit Werbung, Beide Proxyserver kann man auch
Wunderbar Koppeln, und zusammen mit einer Firewall die die @Guard (wieder
z.b.) hehe> Proxyserver
installiert man Folgendermassen : man installiert sich den Webwasher, und
trägt in seinem Browser die Local IP (das ist die 127.0.0.1 <-- einfach
merken) auf den Port 8080, das ist der Port wo Webwasher arbeitet, und
diesen kann man wenn man lust hat mit dem Junkbuster Verbinden, dafür trägt
man im Webwasher den Proxyserver 127.0.0.1 auf Port 8000 <-- und da arbeitet
der junkbuster :)
8.0 Schlussatz
So, ich hoffe ich hab jetzt nicht zuviel geschrieben ;-), wenn es einen von
den lesern etwas geholfen haben sollte ist es schon Lohn genug :), wer
ergänzungen für Diese faq hat, oder was zusagen möchte xpaccsx@h-d-c.org
IRCnet: #hdc-public www.h-d-c.org