Regeln erstellen in Firewalls

#0
18.05.2009, 15:51
...neu hier

Beiträge: 4
#1 Hallo,

ich möchte in der Comodo Firewall (gerade darauf umgestiegen) mal selbst ein wenig an den Regeln rumspielen (diese Regeln werden vermutlich auch für andere Firewalls einstellbar sein). Ich habe jetzt sehr viel gelesen darüber... dummerweise ist vieles ein wenig widersprüchlich.
Über die Sicherheitskonzepte möchte ich nicht streiten ... bitte keine Belehrungen, dass eine Desktop-Firewall nichts bringt.

Daher folgendes:
Ich will unten in die Liste eine Regel schreiben, die alles Blockiert (das schaffe ich noch :-) )
Was muss ich alles erlauben und wie?

Nach meinen Recherchen brauche ich folgendes:
DNS, DHCP, loopback und optional LAN- und filesharing Regeln.

Voraussetzungen: ich hänge an einem Router (ne Fritzbox) und habe für den IP-Bereich, den der Router von PCs akzeptiert (also DHCP-Bereich und zusätzlicher Bereich für statische IPs), eine Zone ("LAN") eingerichtet.
Was nehme ich eigentlich als DNS-Server? Da ich einen Router habe sollte der doch fix sein, oder? Habe mehrfach was von Bereichen gelesen - das wäre dann aber doch, wenn ich ohne router online gehe und dann müsste ich doch den DNS Bereich vom ISP nehmen? Also habe ich, wo unten Zone;)NS steht, die IP vom Router eingetragen - also die 192.178.168.1 bei der fritzbox.

wie muss das genau aussehen?

DHCP: allow - UDP Out - FROM IP [ANY] - TO IP 255.255.255.255(broadcast) - WHERE SOURCE PORT IS [ANY] - DESTINATION PORT IS 67
also udp out von allem erlauben mit der Zieladresse 255.255.255.255, die dem Broadcast entsprechen sollte auf Zielport 67.
In meiner Routerbeschreibung habe ich bei Broadcast aber was anderes gelesen, die IP 192.178.168.255 - mit dem Kommentar, dass damit "Nachrichten verschickt werden"

DNS: Allow - UDP Out - FROM IP ZONE:LAN - TO IP ZONE: DNS - WHERE DESTINATION PORT IS 53
so habe ich das gefunden...
Benötige ich auch TCP?
Benötige ich auch die andere Richtung (In) ?

Loopback: Allow - TCP or UDP Out - FROM IP NAME:MEINRECHNER - TO IP 127.0.0.1 - WHERE SOURCEPORTOCOL IS ANY - DESTINATION PORT IS [ANY]
Passt das? Brauche ich hier auch die In-Direction?

Was ratet ihr mir für LAN-Regeln? An sich ist das "trusted", aber es kann ja immer mal jemand einen Wurm einschleppen...
Was erlaubt man da am besten, was nicht? Ist es gefährlich, ICMP Echos zu erlauben um angepingt werden zu können und um selbst pingen zu können?

Hoffe ihr helft mir weiter, werde aus den ganzen Beschreibungen nicht wirklich eins...
Grüße!
Dieser Beitrag wurde am 18.05.2009 um 16:53 Uhr von gaengelchen editiert.
Seitenanfang Seitenende
18.05.2009, 17:25
Member

Beiträge: 647
#2 Du machst da gerade ein paar Denkfehler, du musst DHCP und DNS aus der Sicht des Routers sehen, oder bietet dein PC diese Dienste an?

Wenn nicht muss das auf inbound und aus destination wird source.

Loopback: 0.0.0.0 sollte man auch nicht vergessen. Loopback sollte auch immer in- und outbound sein, für alle Protokolle.

LAN-Regeln: Kann man nichts zu sagen solange man dein LAN nicht kennt...

ICMP: Halte dich da bitte an RFC 792. Ne gute Erklärung gibts auch hier: http://www.protecus.de/Firewall_Security/icmp.html
__________
Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen...
Seitenanfang Seitenende
18.05.2009, 22:08
...neu hier

Themenstarter

Beiträge: 4
#3 danke schonmal für deine Mühe, heptamer. mein rechner hat diese dienste natürlich nicht, da hast du recht.

zum dns:
klingt logisch... komisch, dass ich das genau so in einer Beschreibung gefunden habe - ist offensichtlich falsch. Ist es denn so, dass ich "nur" die vom dns zu meinem Rechner kommende UDP brauche? Oder auch in die andere Richtung?

zum dhcp:
udp out vom router zum mir (from ip:any to ip:255.255.255.255) - passt das nicht?

loopback - wofür benötigt man die 0.0.0.0 ?
Seitenanfang Seitenende
19.05.2009, 09:43
Member

Beiträge: 647
#4 hmpf, ich sollte richtig lesen...

Ich bin davon ausgegangen du willst einen Router konfigurieren, dabei sprichst du von einer Desktop Firewall.

Also nochmal von vorne:

DNS: Kannste so lassen wie es ist
DHCP: Auf die Broadcast IP des Routers setzen, Rest so lassen

LAN-Regeln: siehe mein erstes Posting

Loopback: Kannste so lassen, einige Programme suchen aber auch nach der 0.0.0.0, ist sozusagen die Default-Route, keine Ahnung ob deine PFW da was unternimmt in die Richtung.
__________
Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen...
Seitenanfang Seitenende
19.05.2009, 10:45
...neu hier

Themenstarter

Beiträge: 4
#5 danke nochmal.

nur damit ichs richtig verstehe:

- beim DNS ist es also ausreichend, wenn ich die Verbindung von meinem PC zum Router - port 53 - (so ists ja eingerichtet) erlaube. Die Richtung stimmt? Benötige ich den Inbound nicht !??
Habe das auf manchen Seiten/Foren so gesehen und auf anderen anders. Auf dem Link hier http://www.protecus.de/Firewall_Security/ruleset.html hier z.b. ist bei DNS als Direction "both" eingetragen (beim loopback ebenfalls!). Kann natürlich sein, dass ich das flasch verstehe und die beschriebene Firewall für einen Router gedacht ist.

- dhcp: wenn ich das so lassen heisst das, dass ich meinem PC den Zugriff zur Router-Broadcast-IP - Port 67 - erlaube, über udp (out)
für die Broadcast habe ich im Handbuch vom Router gefunden: "Broadcast-Adresse, mit der Nachrichten im Netzwerk versendet werden: 192.168.178.255" - ist das die richtige? Habe im Internet ansonsten die 255.255.255.255 gefunden, die als "limitierter Broadcast" alle PCs im lokalen Netzwerk abfragt.

- loopback: wenn ich das so lasse, heisst das, dass mein PC seinen eigenen localhost kontaktieren darf (per TCP/UDP out).
--> wird damit auch die Antwort erlaubt, also das, was ich von der Ziel-IP (z.B. website) angefordert habe?
In dem oben genannten Link ist unter Direction wie gesagt "both" eingetragen.

hoffe das ist jetzt nicht zu nervig, aber ich möchte das gerne wirklich verstehen ;)
Dieser Beitrag wurde am 19.05.2009 um 11:44 Uhr von gaengelchen editiert.
Seitenanfang Seitenende
19.05.2009, 12:00
Member

Beiträge: 647
#6 DNS:
Dein PC schickt eine Anfrage an den DNS Server auf Port 53 (outbound), der Server antwortet dann direkt an deinen Rechner - diese Antwort lässt die Firewall durch. Das ganze könnte zum Beispiel so Aussehen:

Anfrage: 192.168.1.2:1025 (Dein PC, ein zufälliger Absendeport über >1023) an 192.168.1.10:53 (DNS Server)
Antwort: 192.168.1.10:53 an 192.168.1.2:1025

Das wäre ein Outbound Verkehr da dein PC eine Anfrage nach aussen schickt. Diese Anfrage wird mit dem Absendeport in deiner Firewall als legitim gespeichert, kommt jetzt die Antwort an Port 1025 zurück lässt die Firewall diese durch.

DHCP:
Nimm die Broadcast Adresse vom Router, ansonsten müllst du dein Netzwerk mit unnötigem Overhead zu. Den Rest hast du richtig erkannt ;)

loopback: Dein PC MUß localhost kontaktieren können auf allen Schichten weil du ansonsten an kein Netzwerkinterface kommst und somit auch nicht ins Internet oder LAN. Das ganze in- und outbound, also both.
__________
Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen...
Seitenanfang Seitenende
19.05.2009, 13:36
...neu hier

Themenstarter

Beiträge: 4
#7 Besten Dank heptamer!
Damit sind meine Fragen beantwortet. Komme wohl erst morgen dazu, das auszutesten... aber ich bin jetzt in jedem Fall schlauer als vorher! Immer wieder schön, wenn man auf kompetente Foren (bzw. deren Mitglieder) zählen kann!
-----------------------------------------


mir ist doch nochwas eingefallen... sorry, wenn ich doch nochmal störe...

ich hatte ursprünglich die Anleitung auf dieser Seite hier genommen, mit der aber Probleme gehabt:
http://forums.comodo.com/comodo_firewall_translations/comodo_firewall_in_german-t2626.0.html (recht weit unten ist diese Beschreibung)


dabei wird die LOOPBACK NUR ALS OUTBOUND gemacht:
ALLOW and LOG TCP or UDP OUT FROM IP NAME: MEINRECHNER TO IP 127.0.0.1 WHERE SOURCEPORT IS [ANY] AND DESTINATION PORT IS [ANY]

da könnte also das Problem liegen? Oder sollte das trotzdem funktionieren?

Außerdem führt er eine "Internet-" Regel ein, die grundsätzlich JEDEN TCP OUTBOUND ERLAUBT:
ALLOW and LOG TCP OUT FROM IP [ANY] TO IP [ANY] AND DESTINATION PORT IS [ANY]
da frage ich mich ja doch, warum er den outbound überhaupt erst blockt... oder ist der Vorteil, dass UDP out (mit den entsprechenden Außnahmen) nicht geblockt wird?


DNS aus der Beschreibung sollte passen (udp out an Router:53 erlaubt),
dhcp ebenfalls (udp out auf broadcast:67 erlaubt)

Hoffe ich mache euch nicht zuviel Mühe!
Dieser Beitrag wurde am 19.05.2009 um 15:15 Uhr von gaengelchen editiert.
Seitenanfang Seitenende
20.05.2009, 17:01
Member

Beiträge: 647
#8 OK, dann auf ein letztes.

Loopback: Die Begründung für diese Outbound Regel ist imho schwachsinn, auf localhost kann sowieso von ausserhalb niemand zugreifen und einige Dienste brauchen einen inbound zum localhost, das würde also irgendwann schwierigkeiten ergeben.

Outbound würde ich in der Regel auch alles erlauben, nur Leute die ihre Installationen nicht im Griff haben fangen hier an rumzupfuschen.

Bei Firmennetzwerken sieht das was anders aus, da fängt man auch outbound an zu filtern, aber im privaten Bereich ist das quatsch solange man weiß was man macht.
__________
Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen...
Seitenanfang Seitenende
20.05.2009, 22:08
Member
Avatar Xeper

Beiträge: 5285
#9 Loopback ist nicht 0.0.0.0 (oder 0/0) das ist eine Bezeichnung für alle Netze die aber nur rein theoretisch verwendung findet.
Loopback ist wenn schon 127.0.0.0/8.
__________
Email/XMPP: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: