zum Bauser-Enterprises IT Online Helpdesk
PHP Scripts: Formular-Generator, Glossar-Wörterbuch Gästebuch-KOMPLETT, Professionelles Newslettersystem, Tellafriend, Formmailer, Counter
zur Startseite
Diese Webseite an Freunde, Bekannte...weiterempfehlen

Seite weiterempfehlen
zum Gästebuch von Bauser-Enterprises IT

 Firewall-Einstellungen auf Clients (nicht PDA) z. Netzwerk-Bsp.

Wir vergeben Internet-Freigaben für das Surfen/Browsen, das Senden/Empfangen von E-Mails, den Down- und Upload per FTP und speziell für Desktop-PC 2 (Linux) das Filesharing über E-Mule (siehe rote Anmerkung) sowie lokale Freigaben für die Kommunikation der Clients Desktop-PC 2 und Notebook mit Desktop-PC 1. ICMP ist beschränkt zugelassen; bzgl. des Internets sollen unsere Clients pingen und Echo-Anfragen starten können aber nicht umgekehrt. Deshalb sind die ICMP Typen 0, 3, 11 (Incoming) sowie 8 (Outgoing) freigegeben. Alle restlichen ICMP-Typen sind geblockt, um z.B. einen Denial-of-Service-Attack zu verhindern.

“Gefährliche” Ports (z.B. zu NetBIOS etc.) werden aus Sicherheitsgründen nochmals explizit für das WAN (von aussen) geblockt, obwohl es eigentlich nicht notwendig wäre, da dies bereits NAT und Firewall auf Router erledigen und die Desktopfirewall auf den Clients zudem nur freigegebene Verbindungen zuläßt. Wir wollen aber die sog. “Extended Version” und sichern alles drei-vierfach ab. Nun aber zur Regelerstellung:

Applikationsbasiert:

  • Freigabe (bei allen Clients) Remoteports TCP 80 (http), 443 (https) und Local-Ports TCP 1024-65535 für unsere installierte Software wie Browser (z.B. IE, Mozilla, Firefox etc.), Virenscanner (für Update) und evtl. Homebanking-Programm auf HBCI-Basis; Richtung nur Outgoing (als Client). Diese Regel kann auf Wunsch auch auf die einzelnen Programme aufgeteilt und mit den jeweiligen Remote-IP-Adressen verknüpft werden. Dies macht z.B. beim Homebanking-Programm Sinn, da sich dies dann nur mit dem Server Ihrer Bank verbinden kann und darf.
  • Freigabe (bei allen Clients) Remoteports TCP 25 (smtp), 110 (pop) zu Local-Ports TCP 1024-65535 für unseren installierten Mail-Client (z.B. Outlook oder Lotus-Notes); Richtung nur Outgoing (als Client); die IP-Adressen der Remoteserver können zusätzlich auf diese der E-Mail-Provider eingeschränkt werden (Whois-Datenbank-Recherche durchführen).
  • Freigabe (bei allen Clients): Remoteports TCP 21 (Passives FTP) und TCP 1024-65535 (passives FTP) zu den Local-Ports TCP 1024-65535 für unsere Browser und FTP-Clients (z.B. WiseFTP); Richtung Outgoing; wer möchte, kann auch hier nur bestimmte IP-Adressen und/oder MAC-Adressen zulassen. Macht aber eigentlich nur Sinn bei aktivem FTP. Passives FTP hingegen wird oft beim Browsen im Internet benötigt, weshalb es hier sinnlos wäre IP-Adressen einzuschränken, da diese ja vorher nicht bekannt sind.
  • nur Desktop-PC-1: Freigabe Remoteports TCP 20, 21 (Aktives FTP), zu Local-Ports TCP 1024-65535 für unseren aktiven FTP-Clients (z.B. FreeFTP); Richtung Both. Da aktives FTP auch Incoming-Traffic (Aktion als Server) beinhaltet, ist es hier wichtig oder angeraten IP-Adressen einzuschränken. Verwenden Sie Ihren aktiven FTP-Client z.B. ausschließlich, um eine Homepage auf einem Webserver zu aktualisieren, geben Sie als Remote-IP die der/des jeweiligen Webserver an. Eine aktive FTP-Verbindung kann nun mit anderen Rechnern nicht mehr aufgebaut werden.

Verbindungsbasiert:

  • Verfügen die Firewalls nicht über “Smart DNS”, ist auf allen Clients noch der Remoteport UDP 53 zur Remote-IP-Adresse 192.168.1.1 (MAC: A) bzw. 192.168.2.1 (MAC: E) zu den Local-Ports UDP 1024-65535 freizugeben, da ansonsten keine DNS- Namens-Auflösung von Web-Servern erfolgen kann (Browsen funktioniert nicht)
  • alle Clients: Freigabe IP-Adresse 192.168.1.255 (Broadcast-IP) für Remote und Local-Ports UDP 137,138, Richtung Incoming und Outgoing (für Anwendung “ntoskrnl.exe”)
  • nur Desktop-PC-1 (Server im lokalen Netzwerk): Freigabe IP-Adressen 192.168.1.3(MAC: C), 192.168.1.4 (MAC: D) und 192.168.2.2 (MAC: F) mit Remote-Ports TCP 1024-65535 zu Local-Ports TCP 139 (NetBIOS-SessionService), TCP 445 (MS-DS/SMB) Incoming sowie mit Remote-Ports UDP 137 (NetBIOS-NameService), UDP 138 (NetBIOS-Datagram-Service) zu Local-Ports UDP 137, 138 Incoming und Outgoing (für Anwendung “ntoskrnl.exe”)
  • nur Desktop-PC 2 (Linux): Freigabe Remoteports TCP 4242, 4661, 4662 und UDP-Ports 4665, 4672 Outgoing zu jeweils Local TCP/UDP 1024-65535 und Remote-TCP 1024-65535 auf Local-Ports TCP 4662 und UDP 4672 Incoming (für Anwendungsbeispiel “emule.exe”) und Remote-IP-Adresse 192.168.1.2 (MAC: B) mit Remote-Ports TCP 445 und UDP 137 auf Local-Ports 1024-65535 (jeweils TCP und UDP) für Netzwerkverkehr, Richtung Incoming und Outgoing
  • nur Notebook: Freigabe IP-Adresse 192.168.1.2 (MAC: B) mit Remote-Port TCP 139, 445 zu Local-Ports TCP 1024-65535 Outgoing sowie mit Remote-Ports UDP 137, 138 zu Local-Ports UDP 137, 138 Incoming und Outgoing (für Anwendung “ntoskrnl.exe”)
  • Block* (bei allen Clients) ICMP Typ 4,5, 9, 10, 12, 13, 14, 15, 16, 17, 18 in beide Richtungen
  • Block* (bei allen Clients) ICMP Typ 0, 3, 11 Outgoing
  • Block* (bei allen Clients) ICMP Typ 8 Incoming
  • Grundsätzlicher Block* (bei allen Clients) von aussen (Internet) aller Local-TCP-Ports 135 (epmap !), 137, 138, 139, 445, 593, 666, 4444, 12345, 12346, 20034 und Local-UDP-Ports 69 (TFTP !), 135, 137, 138, 139, 445, 4444 Incoming und Outgoing. Client-Ip-Adressen mit MAC-Adressen aus dem eigenen LAN/WLAN müssen ausgenommen werden, da einige dieser Ports für die Kommunikation im lokalen Netzwerk benötigt werden (z.B. NetBIOS Name Service auf Port 137, NetBIOS Datagram Service auf Port 138, Session Service auf Port 139 oder MS-DS/SMB auf Port 445). Mit dieser Regel besteht somit keine Möglichkeit diese Ports von aussen anzusprechen.
  • Grundsätzlicher Block* (bei allen Clients) von aussen (Internet) von Remote-TCP-Ports 23 (Telnet) Incoming und 1900, 5000 (ssdp) Incoming und Outgoing sowie Remote-UDP-Ports 1900 , 5000 (ssdp) Incoming und Outgoing

Anmerkung: Eine Freigabe der Remote-UDP-Ports 67, 68 (DHCP-Vergabe), 138 (DHCP-Client-”Ruf” im Netzwerk) muss nicht erfolgen, da wir den Clients statische IP-Adressen vergeben haben und ohne DHCP arbeiten (siehe Routereinstellungen).

LINUX greift über die Softwareschnittstelle “Samba-Client” auf das Windows-Netzwerk zu. Samba unterstützt das Server Message Block (SMB)-Protokoll (auf Remote Port TCP 445) und NetBIOS (auf Remote Port UDP 137).

* ganz wichtige Regeln für das Notebook bei Betrieb ausser Haus (z.B. mit direktem Anschluss an das Internet oder über öffentlichen Hotspot) !

Sie befinden sich auf der Seite 6.

Weitere Einstellungen:

Allgemeines (Seite 1)

zum Router (Seite 2)

zum Access-Point (Seite 3)

zu den Clients Desktop-PC 1 und 2 (Seite 4)

zu den Clients Notebook und PDA (Seite 5)

Client-Zugriff auf das Internet und lokale Netzwerk (Seite 7)

Zusammenfassung (Seite 8)

Helfen Sie bitte mit, ein solches Projekt zu ermöglichen und aufrecht zu erhalten. 

 zum Empehlungs-Formular Diese Seite weiterempfehlen   zum Gästebuch ins Gästebuch eintragen

 
© Copyright Bauser-Enterprises-IT Thomas Murr: Secured with Digital Watermarking and Patent Protection 

zum Seitenanfang  

Home | Angebot | IT-Forensik | IT-Risiken | WWW | Sicherheit | Tipps | Aktuelles | Kontakt | Links | Newsletter | AGB | Impressum | Sitemap |