Firewall: Erstellung von Regeln

Das Prinzip ist einfach zu verstehen: Zuerst werden alle Verbindungen von außen nach innen und umgekehrt geblockt (gesperrt). Nun werden die benötigten bzw. gewünschten Verbindungen nach und nach, unter Angabe des verwendeten Remote- und Local-Ports sowie Protokoll, Applikation (Programm) und evtl. IP-Adressen bzw. Hosts, freigegeben. Dies kann über Regeln erreicht werden. Nachstehend ein Beispiel anhand vom Web-Browser. Verfahren Sie so auch mit allen anderen Verbindungen, nachdem Sie zuvor die Ports oder Portranges, Protokolle, Hosts bzw. IP-Adressen der jeweiligen Verbindung recherchiert haben (z.B. über Traffic-Logfiles der Firewall und diverse Whois-Server-Datenbanken).

Beispiel: Sie möchten mit Ihrem Browser im Internet auf verschlüsselten und unverschlüsselten Seiten surfen sowie Downloads jeglicher Art durchführen können. Dazu benötigen Sie die Protokolle http (TCP-Port 80), https (TCP-Port 443) und FTP (TCP Port 21). Der Passiv-FTP-Download gestaltet sich etwas schwieriger in der Regelgestaltung, da hier über den Remote-TCP-Port 21 die Initialisierung des Downloads erfolgt aber die eigentlichen “Arbeitsports” dann dynamisch von 1024-65535 auf beiden Computern (remote-  wie localseitig) zugewiesen werden. Damit Ihre Firewall diese Pakete durchläßt, sind folgende Regeln erforderlich.

Applikations- und verbindungsbasierende Regel für http und https: Applikation/Programm: <ihrbrowser>.exe IP/Hosts: keine Eingabe (=unbekannt) erlaubte Remote-Ports: TCP 80 (für http), TCP 443 (für https) erlaubte Local Ports: TCP 1024-65535 Aktion als Client oder Server: nur Client (outgoing) Applikations- und verbindungsbasierende Regel zu FTP: Applikation/Programm: <ihrbrowser>.exe IP/Hosts: keine Eingabe (=unbekannt=alle) erlaubte Remote-Ports: TCP 21, TCP 1024-65535 erlaubte Local Ports: TCP 1024-65535 Direction/Richtung: outgoing

Weiteres Beispiel: Sie möchten mit Ihrem E-Mail-Client (Z.B. Outlook) Post abholen und verschicken. Wir gehen hier von einer T-Online- E-Mail-Adresse bzgl. der IP-Adressen aus.

Applikations- und verbindungsbasierende Regel inkl.  IP-Einschränkung: Applikation: outlook.exe IP/Hosts: 194.25.134.0-194.25.134.255 (Server-IP-Adressen von T-online) erlaubte Remote Ports: TCP 25 (smtp), TCP 110 (pop3) erlaubte Local Ports: TCP 1024-65535 Aktion als Client oder Server: nur Client (outgoing)

ICMP muss besondere Beachtung geschenkt werden und wir empfehlen folgende grundsätzliche Regeln zu diesem Protokoll, um Angriffe wie Denial-of-Service-Attack, Ping-to-Death oder Redirecting zu verhindern.

• Typ 0 (Echo Reply): Incoming OK, Outgoing block ! Sie sollten pingen können aber nicht gepingt werden !
• Typ 3 (Destination unreachable): Incoming OK, Outgoing block ! Um einem Denial-of-Service-Attack zu vermeiden
• Typ 4 (Source Quench): Incoming block, Outgoing block ! Zur Vermeidung eines Source-Quench-Angriffs.
• Typ 5 (Redirect): Incoming block, Outgoing block !
• Typ 8 (Echo Request): Incoming block, Outgoing OK ! Sie sollten eine Echo-Anfrage starten können aber selbst keine bekommen !
• Typ 9/10 (Router Adv./Selection): Incoming block, Outgoing block !
• Typ 11 (Time Exceeded): Incoming OK, Outgoing block !
• Typ 12 (Parameter Problem): Incoming block, Outgoing block !
• Typ 13 (Timestamp Request): Incoming block, Outgoing block !
• Typ 14 (Timestamp Reply): Incoming block, Outgoing block !
• Typ 15 (Info Request): Incoming block, Outgoing block !
• Typ 16 (Info Reply): Incoming block, Outgoing block !
• Typ 17 (Adress Request): Incoming block, Outgoing block !
• Typ 18 (Adress Reply): Incoming block, Outgoing block !

Sie können vorgenannte Punkte in drei Regeln wie folgt zusammenfassen:

Sehen Sie auch das Beispiel zur Einrichtung eines lokalen Netzwerk mit Internetgateway.

Zu “Viel verwendete Ports und Protokolle”

Zu “Wissenswertes über Ports und Protokolle”

Siehe auch Infos zu: “Router/Proxyserver”

Home | Angebot | IT-Forensik | IT-Risiken | WWW | Sicherheit | Tipps | Aktuelles | Kontakt | Links | Newsletter | AGB | Impressum | Sitemap |