Firewall

Aus Freifunk Leipzig
Wechseln zu: Navigation, Suche

Inhaltsverzeichnis

Vorbemerkung

Folgende Anleitung stellt nur eine Annäherung dar. Wer sein Windows-System ohne viel Vorwissen und großen Aufwand etwas sicherer machen möchte, findet nützliche Hinweise. Wer Fehler entdeckt oder Ergänzungen hat, möge bitte in den Text eingreifen.

Firewall für Windows: Sygate

Eine gut justierte Firewall erlaubt nur den Netzverkehr, den der Nutzer benötigt. Allerdings fangen bereits hier die Probleme an. Denn im Normalfall weiß der Nutzer nicht, welchen Verkehr er benötigt, also welche Ports er für welche Programme zulassen muss. Dass Webbrowser den TCP-Port 80 verwenden (sowie den "sicheren" TCP-Port 443, Stichwort https), mag noch weithin bekannt sein. Aber dass eventuell auch Port 8080 geöffnet werden muss, merkt man gemeinhin erst nach den ersten kleinen Nervenzusammenbrüchen, weil z.B. Bibliothekskataloge (OPACS - Online Public Access Catalogs) nicht mehr funktionieren. Schwierig gestaltet sich die Firewall-Feineinstellung auch dadurch, dass der Nutzer auf kryptische Fragen Antworten finden muss. Muss "ntoskrnl.exe" der Netzzugang erlaubt werden? Nein. Muss "alg.exe" der Zugang erlaubt werden? Eventuell.

Eine hilfreiche Bilderstrecke zur Konfigurierung der Sygate Personal Firewall findet sich auf den Seiten von Chip online. Weitergehende Informationen stehen beispielsweise hier auf der Site [www.protecus.de]. Auf Dingens.org erfahren Tüftler, wie sie die Sicherheit ihres Systems auch ohne Firewall steigern.

Umgang mit Applikationen

Generell ist, wie gesagt, anzuraten, nur denjenigen Anwendungen den Internetzugang zu erlauben, die ihn auch wirklich benötigen. Also z.B. Mailclients, Webbrowsern, FTP-Programmen, nicht aber Textverarbeitungen oder Fotobrowsern.

Ports, die freigegeben sollten (Bedarf vorausgesetzt)

  • für den Webbrowser TCP-Port 80 (http), TCP-Port 443 (https) und Port 53 (DNS). Wer auf Bibliotheksdatenbanken zugreift (Opac) muss wahrscheinlich auch TCP-Port 8080 freigeben.
  • für Mailclients: TCP-Port 25 (smtp - Versand), TCP-Port 110 (pop3 - Empfang), TCP-Port 995 (pop3 via verschlüsselter TLS/SSL-Verbindung). Eventuell muss für den Versand statt Port 25 Port 143 (IMAP) freigegeben werden. Außerdem kann es wünschenswert sein, TCP-Port 80 zu öffnen (sonst können html-Mails - z.B. Newsletter - keine Fotos aus dem Netz laden). Ist ein Newsclient integriert, müssen (bei Bedarf) die Ports 119 (unverschlüsselt) und 563 (SSL) geöffnet werden.
  • FTP-Programme: TCP-Ports 20,21,22
  • Newsclient: TCP-Ports 119 u. 563
  • Messenger: TCP-Port 5190
  • Telnet-Client: TCP-Port 21

erweiterte Regeln

  • TCP Ports, die vermutlich geblockt werden können oder sollten: 135,136,137,138,139,445,593,3389,4246,4444,5000,5554,9995,9996
  • UDP Ports, die vermutlich geblockt werden können oder sollten: 69,135,136,137,138,139,445,500,593,5000,5554,9995,9996

Dienste, denen der Zugriff auf das Netzwerk verboten werden darf

  • NT-Kernel und -system (ntoskrnl.exe)
  • NDIS User mode I/O Driver (ndisuio.sys)
  • Windows Explorer (explorer.exe)
  • LSA Shell (lsass.exe)
  • NT-Situngsmanager (smss.exe)
  • Host Prozess für Dienste (svchost.exe)
  • Druckerspooler (spoolsv.exe) - Ausnahme: Netzwerkdrucker im Einsatz)