Personal Firewall für Einsatz in LAN (Local Area Network) |
||
---|---|---|
#0
| ||
08.01.2007, 03:29
...neu hier
Beiträge: 7 |
||
|
||
08.01.2007, 11:08
Member
Beiträge: 647 |
#2
Zu
a) Ja, aber wofür ist die überhaupt installiert wenn du nichts filtern willst? Oder gehen die Notebooks auch mal direkt ins I-Net? b) Wenn schon inbound, weil ansonsten bekommst du keine Verbindung mehr zum Router c) Ja d) Erstmal, konfiguriere deinen Router richtig, "Stealth" bist du sowieso nicht und ping unterdrücken ist nicht RFC-Konform. Den Rest den du da schreibst versteh ich nicht, könntest du das bitte genauer erklären? Übrigens ist Shields Up! nun wirklich nicht die Seite der du dein Vertrauen schenken solltest... e) Die Frage ist doch eher was du mit dieser ganzen Konfiguration erreichen willst? __________ Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen... |
|
|
||
08.01.2007, 16:58
...neu hier
Themenstarter Beiträge: 7 |
#3
Zitat heptamer666 posteteHallo, und erstmal vielen Dank für Deine Rückantwort! Zu a) Wie Du bereits richtig festgestellt hast, gehen die Laptops zuweilen direkt ans Netz. Jedoch nie wireless. Sondern immer per Kabel. Das ist dann der Fall, wenn ich außer Haus bin, und sie an einen fremden Internetanschluss angebunden werden. Das kann sowohl Dial-up als auch Breitbandanschluss sein. In beiden vorgenannten Fällen bräuchte ich dann schon eine PFW, da mein Heim-Router ja wegfällt wenn ich mobil bin. Um nun auf die Filterung anzusprechen: In "Zielsetzung von Personal Firewall Sygate Pro 5.5 für LAN (Local Area Network)" hatte ich versucht dies zu erklären. Selbstverständlich aus Sicht eines Laien. Doch für meine Zwecke ist das vollkommen ausreichend, wie bereits eingangs erläutert. Zu b) Womit Du natürlich Recht hast! Zu c) Danke! Zu d) Das war kryptisch meinerseits zu vorgerückter Stunde. Ich bitte um Nachsicht! Nun zur Korrektur. Meine gegenwärtige Konfiguration der PFW ist wie eingangs erwähnt: "Konfiguration von Sygate Personal Firewall Pro 5.5 Es wurde eine Advanced Rule mit nachstehender Rule Summary erstellt: This rule will allow both incoming and outgoing traffic from/to Subnet IP address 192.168.1.254 Mask 255.255.255.0 on all ports and protocols. This rule will be applied to National Semiconductor Corp. DP83815/816 10/100 MacPhyter PCI Adapter. *) 192.168.1.254 ist IP von Modem-Router-Gateway" Vor dieser Konfiguration hatte ich in Advanced Rules von Sygate Personal Firewall Pro 5.5 bei Remote Host "Apply this rule to all addresses" eingetragen. Über die Eintragungen in der Traffic Log File meiner PFW sah ich dann wenig später, dass das ICMP-Protokoll meines Modem Routers (IP 192.168.1.254) bei Inbound Traffic geblockt wurde. Aber eben nur für ICMP, und nicht die restlichen Protokolle (TCP, UDP, IP Type). Dies hatte übrigens dazu geführt, dass ich in diesem Forum nicht mehr posten konnte. Also ging ich erneut in "Advanced Rules" meiner PFW. Unter Subnet (Subnet IP Address) trug ich: 192.168.1.254 ein, die Adresse meines Modem-Routers. Und unter Subnet Mask: "255.255.255.0". Frage: Müsste bei Subnet IP Address nicht die IP: "192.168.1.0" eingetragen sein?? Aus dem Stegreif heraus würde ich dies bejahen wollen. Des weiteren führst Du aus, dass ich "zuerst meinen Router richtig konfigurieren sollte". Worauf beziehst Du Dich konkret?? Über nähere Angaben (Konfiguration) wäre ich Dir sehr dankbar. Weshalb ich "ShieldsUp" nicht mein Vertrauen schenken sollte entzieht sich meiner Kenntnis. Immerhin hat der Webbetreiber Sicherheitslücken von MS aufgedeckt und dem Otto-Normal-Verbraucher verständlich machen können, wie er sein Windows "sicher" gestalten kann. Aber vermutlich sieht man das unter Fachleuten differenzierter. Wie gesagt, ich bin Laie! Ebenso gut hätte ich auch einen Online-Scan über diese Webseite, mit denselben Resultaten, ausführen können. Und ob nun eine Ping-Unterbindung nicht RFC konform ist, dazu vermag ich noch viel weniger zu sagen. Ausser vielleicht jenem: RFC = Remote Function Call, sofern ich das richtig verstanden habe?? Zu e) Um nun auf Deine Frage, als auch den Kern meiner Anfrage, anzusprechen: Ich möchte, dass meine Personal Firewall Sygate Pro 5.5 richtig in mein LAN (Local Area Network) integriert ist. Darunter verstehe ich als Laie: die Kommunikation zwischen PFW und meinem Modem-Router und vice versa, welches sich durch die richtige Adressierung von IPs und Ports ergibt. Zumindest aus meiner Sicht... Über die weitere Verwendung meiner PFW hatte ich bereits eingangs in "Zielsetzung von Personal Firewall Sygate Pro 5.5 für LAN (Local Area Network)" berichtet. Erneut mit bestem Dank und freundlichen Grüssen! Nachtrag: Ich habe aus Sicherheitsgründen in MS XP Home Edition ausschließlich das TCP/IP Protokoll für das Internet aktiviert. IP und DNS erhalte ich automatisch. NetBios per TCP/IP habe ich deaktiviert. Und soeben unter Subnet IP Address in meiner PFW "192.168.1.0" eingefügt. Es funktioniert - ich kann posten! Dieser Beitrag wurde am 08.01.2007 um 20:32 Uhr von eaton56 editiert.
|
|
|
||
08.01.2007, 21:14
Member
Beiträge: 647 |
#4
Als erstes: Weiterführende Links zu den Sachen die ich hier poste folgen am Ende.
Zitat eaton56 posteteDas ist ein allgemein weit verbreiteter Irrglaube. Ein vernünftig gepatchter PC, die Verwendung allgemein als "sicher" bekannte Software sowie das regelmässige Patchen und das nichtanbieten von Diensten reicht völlig aus, dazu evtl. noch die windows-eigene Firewall aktivieren. Je mehr Software man auf sein System aufpfropft, desto anfälliger wird es. Zitat eaton56 posteteUm nun auf die Filterung anzusprechen:Ok, noch mal gelesen, kann das mit dem Traffic-loggen auch nachvollziehen, die Zugriffskontrolle kannst du dir abschminken, das schafft keine PFW. Zitat eaton56 posteteWundert mich nicht... Zitat eaton56 posteteNein, Subnet und Subnet-maske sind zwei unteschiedliche Paar Stiefel. Zitat eaton56 posteteMit "StealtH"-Modus ist in der Regel gemeint das der Router auf eingehende ICMP Pakete keine Antwort gibt, diese sozusagen verwirft. Für die Verkäufer der gelben Pappschachteln ist das somit ein Argument, mit "Unsichtbarkeit" zu werben, da ja jemand der versucht dich zu scannen keine Antwort bekommt und somit glaubt du wärst nicht da. Wenn man nun weiß wie das Internet funktioniert, weiß man auch das das Schwachsinn ist. Wenn jemand auf der IP wirklich nicht da ist (Rechner offline oder was auch immer), gibt der letzte Knoten, der das Paket an die Adresse weiter leiten wollte (in der Regel ein Gateway des Providers) automatisch eine Antwort an den Absender zurück das die IP nicht online ist - das passiert immer und ist auch so beabsichtigt um Overhead (unnützen Traffic) zu vermeiden. Kommt allerdings keine Antwort zurück weiß derjenige der es gesendet hat ganz genau das auf der IP jemand aktiv ist und wird dann vermutlich erst recht neugierig. Zitat eaton56 posteteNein, das waren andere... Zitat eaton56 posteteAuch das können andere besser und geben auch die besseren Tipps. Zitat eaton56 posteteRFC=Request for comments - darunter werden auch die Spezifikationen der Internet-Protokolle und noch vieles mehr zusammengefasst. Zitat eaton56 postete]Und dem kann ich nicht folgen: Meinst du damit das deine PFW alles was vom Router kommt durchlässt? Dann brauchst doch nur alles was aus dem Adressbereich 192.168.1.0/254 kommt zuzulassen. Weiterführende Links: Sinn/Unsinn Desktop-Firewalls u.v.m: http://linkblock.de Sichere Konfiguration von Windows-PCs: www.dingens.org Subnet: http://de.wikipedia.org/wiki/Subnetz RFCs: http://velociraptor.mni.fh-giessen.de/rfc/rfc-liste.html __________ Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen... |
|
|
||
08.01.2007, 22:53
...neu hier
Themenstarter Beiträge: 7 |
#5
Hallo und nochmals: vielen Dank für die interessanten Ausführungen sowie die angegebenen Links!
Letztere werde ich mir intensiv zu Gemüte führen. Denn sie haben mein Interesse geweckt noch tiefer in die Materie einzusteigen. Was Du natürlich nicht wissen kannst ist, dass ich eine baldmögliche Lösung für mein LAN benötige. Zitat eaton56 postete]Und dem kann ich nicht folgen: Meinst du damit das deine PFW alles was vom Router kommt durchlässt? Dann brauchst doch nur alles was aus dem Adressbereich 192.168.1.0/254 kommt zuzulassen. Ja, genau dies meinte ich! Ausserdem aber auch die richtige Zuordnung der IP-Adressen in meiner Firewall. Und somit den korrekten Eintrag in der dortigen Maske. Daher erneut meine Netzwerkdaten: Local Network Gateway : 192.168.1.254 IP Router IP Network : 192.168.1.0 Das ist die Subnet IP Adresse, nicht wahr? Subnet Mask : 255.255.255.0 DHCP Range : 192.168.1.64 – 192.168.1.253 Das ist die IP-Vergabe für die einzelnen Computer? Allocated : 2 Remaining : 188 DHCP Timeout : 1440 minutes Devices : Ethernet: Active 2 Somit trage ich in meiner Firewall unter "Advanced Rules" bei Remote Host nachstehendes ein: Remote Host Apply this rule to IP Address: 192.168.1.254 (?) Subnet: 192.168.1.0 (?) Subnet Mask: 255.255.255.0 (?) Wo trage ich nun aber in der PFW die IP "192.168.1.64" meines Laptop-Clienten ein?? Denn: Wenn ich Subnet in der PFW aktviert habe, wird "apply this rule to IP address" 192.168.1.254 deaktiviert! Mit der Bitte um Rückbestätigung, herzlichen Dank und freundlichen Grüßen! Dieser Beitrag wurde am 09.01.2007 um 00:09 Uhr von eaton56 editiert.
|
|
|
||
09.01.2007, 11:22
Member
Beiträge: 647 |
#6
Wie du deine Firewall-Software einstellen muß kann ich dir leider nicht sagen, auch anhand deiner Beschreibungen nicht, weil diese für mich in sich nicht schlüssig sind.
Ich kann dir mal allgemein dazu sagen wie ich das in der Theorie lösen würde, müsstest du dann für deine Software entsprechend anpassen (oder mal Screenshots zeigen wie das bei dir aussieht): Dein Gateway erlaubt alles ausgehende aus deinem lokalen Netzwerk, verweigert aber alles was reinkommen möchte (das ist schon per default so, wenn du kein Portforwarding brauchst solltest du es auch lassen). Deine Desktop-Firewalls müssen so eingestellt werden, das sie alle Anfragen aus dem lokalen Bereich akzeptieren, alles andere eingehend sollte verworfen werden. Soweit ich weiss ist es bei manchen Software-Firewalls so das die Reihenfolge der regeln auch wichtig ist, du solltest also zuerst die Kommunikation mit dem internen Netzwerk zulassen und als zweite Regel allen weiteren Verkehr eingehend verbieten. Ist zwar keine schöne Lösung, die ich persönlich auch nicht so machen würde, aber eben auf deine Zwecke bezogen und sollte funktionieren. BTW: Dein DHCP-Bereich ist ein wenig ** zu groß, potenzielle Sicherheitslücke. Wenn nicht mehr als zwei Rechner im Netz stehen, reicht es völlig das auch nur auf die zwei einzuschränken. __________ Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen... |
|
|
||
09.01.2007, 16:54
...neu hier
Themenstarter Beiträge: 7 |
#7
Zitat heptamer666 posteteHallo, und nochmals vielen Dank!! Well, I do hope that I can reach you by this message: Ich ersuche Dich um Bestätigung zu meiner IP-Konfiguration in meiner Desktop-Firewall in meinem LAN, da ich sicher gehen will die richtigen IP-Adressen eingetragen zu haben. IP-Adressen von meinem LAN: Gateway : 192.168.1.254 (Modem Router mit integrierter Firewall) IP Network : 192.168.1.0 Subnet Mask : 255.255.255.0 DHCP Range : 192.168.1.64 – 192.168.1.253 Meine Desktop-Firewall ist Sygate Pro 5.5, mit welcher ich den Datenverkehr (Log Files) protokolliere als auch den Zugang zum Internet (Outbound Traffic) überwache. In der Sygate-Maske für "Advanced Rules Settings" gibt es unter "Hosts" vier Optionen zum Eintrag der IP-Adressen für den "Remote Host". Es heisst dort wie folgt: "apply this rule to": * All addresses * MAC address: ... * IP Address(es): Example: 10.0.0.1, 192.168.0.1-192.168.0.76 * Subnet : Subnet IP Address: ... , Subnet Mask: ... Zusatzinformation: Ich habe insgesamt 2 PCs, die voneinander unabhängig ins Internet können: per BELKIN 5-Port Network Switch und 2WIRE Modem Router. Die IP-Adressen meiner jeweiligen PCs sind: 192.168.64 und 192.168.65. Nun zu den jeweiligen IP-Einträgen in Sygate Pro 5.5 - so wie ich sie vornehmen würde: 1. PC: Unter IP Adress(es): 192.168.1.64 Unter Subnet, Subnet IP Address: 192.168.1.0 Unter Subnet Mask: 255.255.255.0 2. PC: Unter IP Adress(es): 192.168.1.65 Unter Subnet, Subnet IP Address: 192.168.1.0 Unter Subnet Mask: 255.255.255.0 Stimmt meine IP-Konfiguration, habe ich alles richtig eingetragen?? Freundliche Grüsse, eaton56 Nachwort: Schlüssiger geht es nicht! :) ;) Dieser Beitrag wurde am 09.01.2007 um 19:37 Uhr von eaton56 editiert.
|
|
|
||
09.01.2007, 23:29
Member
Beiträge: 647 |
#8
Zitat eaton56 posteteSollen das die Regeln sein, oder wo trägst du das ein? Wenn das wirklich Regeln sein sollten, bewirken die wohl so rein gar nichts... Du schreibst was von IP-Konfigurationen in deiner Sygate Firewall - was soll das bewirken und wofür soll das gut sein? Und ehrlich gesagt, du schreibst viel, du wiederholst dich noch öfter, aber wirtklich was neues schreibst du nicht - ich werde dir keine Antwort geben können solange du weiterhin so kryptisch antwortest da du anscheinend wohl vorraussetzt das jeder weiß wie dieses Stück Software funktioniert. Nun, zumindest bei mir ist das nicht der Fall... __________ Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen... |
|
|
||
10.01.2007, 00:43
...neu hier
Themenstarter Beiträge: 7 |
#9
@heptamer666
Erneut vielen und besten Dank für Deine Stellungnahme! Mein Anliegen konnte ich zwischenzeitlich mit Hilfe eines Informatikers lösen. Zu meinem grossen Erstaunen bin ich dort auf Anhieb verstanden worden. Dabei bedurfte es nicht einmal irgendwelcher Wiederholungen, was mich noch mehr ins Staunen versetzte. Alles Gute für Dich! eaton56 Nachwort Ich erwarte von niemandem, dass er "diese oder jene Software kennt". Freilich jedoch, dass sich mein Gegenüber mit meinen Texten zumindest etwas auseinandersetzt. Ansonsten nämlich schreibt man aneinander vorbei, was für beide Seiten zu unbefriedigenden Resultaten führt; wobei ich mich fairerweise natürlich mit einschließe. Leider war das bei uns der Fall: nach Deinen ersten, übrigens sehr guten Antworten! Und variierte Wiederholungen meinerseits, die darauf abzielten Dir eine Verständnis-Brücke zu bauen, mussten dann natürlich im Nirgendwo enden. Ansonsten möchte ich mich bei Dir bedanken. Du hast mir, ohne dass es Dir vielleicht bewusst wurde, den Sinn für "gewisse Dinge" geschärft. Diese Zusatzinformation ist unschätzbar wichtig für mich gewesen. Und ich denke, dass ich auch eine Menge dazulernen konnte in puncto Forum. Und last but not least Sygate Personal Firewall ist nicht gleichzusetzen mit anderen Desktop-Firewalls. Ich habe sie übrigens seit Jahren auf meinen Rechnern im Einsatz. Und bin voll zufrieden damit!! Über den Sinn und Unsinn von Desktop-Firewalls habe ich so manche einschlägige Literatur gelesen. Es gibt Desktop-Firewalls die sicherlich, selbst für einen Laien ersichtlich, unter die Kategorie "wenig nützlich" fallen - um mich einmal diplomatisch auszudrücken. Sygate Personal Firewall aber in einschlägigen Abhandlungen gleichsetzen zu wollen mit solchen Firewalls, dagegen wehre ich mich! Wenn man sich beruflich mit Computern auseinandersetzen muss, dann weiß man natürlich wie gewissen Diensten, die auf das Internet über Port X zugreifen wollen, zu begegnen ist. Als Heim-User - und das dürften wohl die meisten von uns sein, die an der Türe dieses Forums anklopfen! - bleibt einem dieses Fachwissen verschlossen. Es sei denn, dass der ein oder andere es sich autodidaktisch aneignet. Doch da dürfte die Ausnahme die Regel bilden. Worauf ich jedoch hinaus wollte ist, dass sich mit der Sygate Personal Firewall über die "Advanced Rules", einem sogenannten Fine tuning Ergebnisse erzielen lassen, die sich durchaus mit denen aus der Fachwelt messen lassen können. Das ist, worin sich diese Firewall gegenüber "Ein- und Ausschaltern" unterscheidet; und was sie letztendlich auch zeitlos macht. Um darauf zu kommen bedarf es allerdings auch eines kleinen Studiums. Aber damit warst Du jetzt nicht gemeint! Dieser Beitrag wurde am 10.01.2007 um 07:38 Uhr von eaton56 editiert.
|
|
|
||
bevor ich zu meinem Anliegen komme, möchte ich zunächst dem Protecus-Team ein herzliches Dankeschön für dieses interessante und zugleich wichtige Forum aussprechen!! Es ist tatsächlich einzigartig in seiner Art im deutschsprachigen Cyberspace. Daher empfinde ich es auch als ein Privileg mich an das Security Forum wenden zu können. Vielen Dank!!
Zunächst also zu Details wie: Hardware, Software, Personal Firewall sowie deren Konfiguration in meinem LAN (Local Area Network).
Hardware
Laptop: hp pavilion ze 5200
2WIRE Gateway 2071 (Modem-Router)
BELKIN : 5-Port Network Switch
Software
Betriebssystem: MS XP Home Edition, SP2
Sygate Personal Firewall Pro 5.5
Antivirus : avast!
Browser : Firefox
Mail Client : Thunderbird
*) Vorgenannte Software ist stets aktualisiert.
Zusatzinformation
Die Firewall von MS XP Home Edition ist deaktiviert.
Konfiguration von Sygate Personal Firewall Pro 5.5
Es wurde eine Advanced Rule mit nachstehender Rule Summary erstellt:
This rule will allow both incoming and outgoing traffic from/to Subnet IP address 192.168.1.254 Mask 255.255.255.0 on all ports and protocols. This rule will be applied to National Semiconductor Corp. DP83815/816 10/100 MacPhyter PCI Adapter.
*) 192.168.1.254 ist IP von Modem-Router-Gateway
Geschaltetes Netzwerk
Internet via Breitband -> ADSL-Modem-Router mit integrierter Firewall -> 5-Port Network Switch -> 2 Laptops mit jeweils einer PFW
*) Laptops können voneinander unabhängig ins Internet gehen.
Zielsetzung von Personal Firewall Sygate Pro 5.5 für LAN (Local Area Network)
Kontrolle des ein- und ausgehenden Datenverkehrs über die jeweiligen Log Files der PFW auf jedem Laptop.
Zugriffskontrolle auf das Internet der jeweiligen Programme sowie deren Überwachung.
Zusatzinformation zu Local Network
Gateway : 192.168.1.254
IP Network : 192.168.1.0
Subnet Mask : 255.255.255.0
DHCP Range : 192.168.1.64 – 192.168.1.253
Allocated : 2
Remaining : 188
DHCP Timeout : 1440 minutes
Devices : Ethernet: Active 2
Public Routed Subinterface
Router Address : Disabled
Subnet Mask : Disabled
Public Proxied Subnet (NAT/Routed)
Bridge Address : Disabled
Subnet Mask : Disabled
Fragen
a) Geht die Konfiguration - siehe oben! - von der PFW in Ordnung oder sollte ich sie besser ändern, wenn ja, wie?
b) Sollte ich dennoch Ports für Outbound Traffic schliessen, wenngleich im LAN nach einer Faustregel alles erlaubt sein kann??
c) IP Network 192.168.1.0 steht für Subnet?
d) Mein Inbound Traffic wird über die Firewall des Modem-Routers kontrolliert. Aktiviert ist: Stealth Modus sowie Ignorieren von Ping, was dieser Online Test : ShieldsUp! ergab. Dennoch hatte meine Personal Firewall Sygate Pro 5.5, bevor ich die oben genannte Konfiguration vorgenommen hatte, mein Modem-Router (Remote Host 192.168.1.254) bei Inbound Traffic (Protokoll ICMP) geblockt, jedoch alle weiteren Protokolle zugelassen: Ich hatte zuvor bei Remote Host "accept all addresses" eingestellt. Kann man das Verhalten der PFW dann als folgerichtig bezeichnen?
e) Falls ich noch etwas Wichtiges übersehen haben sollte, lasst es mich bitte wissen.
Über Euer Feedback freue ich mich jetzt schon, und möchte mich an dieser Stelle bereits im voraus bei Euch bedanken.
Viele Grüße von eaton56!