Agnitum Outpost Security Suite Pro 2007 Firewall Grundlagen und Regeln – Teil 4

In diesem Teil gehe ich auf die Firewall-Komponente, insbesondere die Regelerstellung der Agnitum Outpost Security Suite Pro 2007 ein.

Die ersten 3 Teile meiner Serie finden Sie unter --> „Interne Links“.

Themen dieses Berichts (was Sie erwartet):

• Allgemeines

• Firewall Bereiche --> Befehlsbereich / Icon Bereich / Linker Fensterbereich / Hauptfenster

• Sicherheitsstufen --> Deaktiviert / Fast alles zulassen / Regelassistent / Fast alles blockieren / Alles stoppen

• Regelwerke --> Automatische Regelerstellung nach Vorlagen / Automatische Regelerstellung nach Handlungsaufforderung / Automatische Regelerstellung durch „ImproveNet“ / Fenster zur Regelerstellung

• Regelbereiche

• LAN-Bereich --> NetBIOS / Vertrauenswürdig / NetBIOS protokollieren / Neue Netzwerkeinstellungen automatisch erkennen

• Globale Systemregeln

• Raw Socket

• Anwendungsregeln

• Hintergrund- bzw. Entertainmentmodus

• Zusammenfassung

• Interne Links

Allgemeines:

Die Firewall Komponente ist sicherlich die umfangreichste Komponente der Agnitum Outpost Security Suite Pro 2007, da sie über Jahre hinweg stetig erweitert und verbessert wurde.

Da diese Komponente identisch mit der Agnitum Outpost Firewall Pro 4 ist, können weite Teile übernommen werden. Auch wenn einzelne Bereiche nun rein optisch dem Anti-Malware Modul zugeordnet wurden, gehören Sie doch funktionell und historisch zur Firewall Komponente.

Firewall Bereiche:

Die Einstellungen der Firewall erstrecken sich über weite Teile der Programmoberfläche und sind wie folgt aufgeteilt:

• Befehlsbereich:

1. Ansicht

2. Optionen

3. Hilfe

• Icon-Bereich:

1. Sicherheitsstufe

2. Gruppierung

• Linker Fensterbereich

1. Mein Internet

2. PlugIns

Befehlsbereich:

Der Befehlsbereich „Ansicht“ bietet verschiedene Konfigurationsmöglichkeiten zur Sortierung, den Spalten und Optionen zur Darstellung.

Der Befehlsbereich „Optionen“ bietet verschiedene Konfigurationsmöglichkeit zu den System- und Anwendungsregeln und der Sicherheit.

Der Befehlsbereich „ Hilfe“ bietet Unterstützung zur Funktion „ImproveNet“.

Icon-Bereich:

Der Icon-Bereich bietet Konfigurationsmöglichkeit zur Sicherheitsstufe und zur Gruppierung der Ansicht.

Linker Fensterbereich:

Im oberen linken Fensterbereich finden Sie den Abschnitt „Mein Internet“, welcher über den aktuellen Verbindungsstatus und Netzwerkaktivitäten informiert.

Dieser Bereich ist unterteilt in:

• Netzwerkaktivitäten

• Zugelassen

• Blockiert

Darunter finden Sie den Abschnitt „PlugIns“. Zur Firewall Komponente gehören:

• Aktive Inhalte

• Angriffserkennung

• DNS-Cache

• Inhalte

• Werbung

Hauptfenster:

Durch Aktivierung (anklicken) des entsprechenden Bereichs erhalten Sie im Hauptfenster weitere Informationen.

Da viele Bereiche selbsterklärend sind, wie z.B. die Ansicht und der Bereich „Mein Internet“, möchte ich nur auf die verschiedenen Konfigurationsmöglichkeiten eingehen.

Sicherheitsstufen:

Die Einstellung der Sicherheitsstufe ist sicherlich die wichtigste Entscheidung, da sie sich sehr umfassend auf die Funktion der Firewall Komponente auswirkt!

Es stehen folgende Sicherheitsstufen zur Verfügung, welche Sie entweder über die Icon-Leiste „Sicherheitsstufe“, über die Befehlszeile --> „Optionen“ --> „Sicherheit“ erreichen oder das Symbol in der Taskleiste --> rechtsklick --> „Sicherheit“. Es stehen folgende Sicherheitsstufen zur Auswahl:

• Deaktiviert: hiermit wird die Firewall Funktion deaktiviert! Es findet keine Regelanwendung mehr statt und jeglicher Netzwerkverkehr ist erlaubt (nicht empfohlen)

• Fast alles zulassen: durch diese Einstellung wird alles erlaubt, was nicht durch eine Regel verboten wurde. Bei unbekannten Anwendungen oder Paketen erfolgt keine Nachfrage seitens der Firewall. Die Angriffserkennung ist aber aktiv und Angriffe werden abgewehrt (nicht empfohlen)

• Regelassistent: diese Einstellung ist im Standard eingestellt. Hierbei werden bereits definierte Regeln angewandt. Erst wenn eine neue Anwendung oder ungeregelter Netzverkehr erkannt wird erscheint ein Fenster zur Regelerstellung. Diese Sicherheitsstufe ist auch als „Lernstufe“ bekannt und eignet sich besonders für die Lernphase nach der Installation (empfohlen Anfangsstufe)

• Fast alles blockieren: diese Sicherheitsstufe blockiert jeden Netzverkehr, welcher nicht durch eine Regel erlaubt wurde. D.h. es werden bei unbekannten Anwendungen, Prozessen oder Netzverkehr keine Nachfragen seitens der Firewall gestellt, sondern unbekannter Verkehr blockiert. Diese Einstellung empfiehlt sich, wenn die Konfiguration abgeschlossen ist und alle zu erlaubenden Prozesse und Programme in einer Regel definiert wurden.

• Alles stoppen: diese Funktion wird auch gerne „Not Aus“ genannt. Mit einem „Klick“ wird sämtlicher Netzwerkverkehr blockiert. Diese Einstellung kann genutzt werden, wenn man einen Angriff feststellt oder vermutet. Ebenso eignet sich diese Einstellung, wenn man seinen Rechner verlässt.

Die verschiedenen Sicherheitsstufen sind farblich und symbolisch gut zu unterscheiden. Ausserdem wird der jeweilige Modus als Symbol in der Taskleiste angezeigt, sodass Sie immer auf einen Blick informiert sind.

Regelwerke:

Jede Firewall lebt von den erstellten Regeln! Dies ist die Grundvoraussetzung für die sichere Funktion einer Firewall! Dabei ist es unwichtig, ob es sich um eine Desktop-Firewall (wie in diesem Fall), oder um eine Hardware-Firewall (Router) handelt. Gleichzeitig ist diese Regelerstellung eine der schwierigsten Aufgaben, die der Benutzer einer Firewall zu erledigen hat.

Die Firewall Komponente in der Agnitum Outpost Security Suite Pro 2007 unterstützt Sie dabei so gut es irgendwie geht!

Folgende unterschiedliche Unterstützungen zur Regelerstellung bietet die Firewall Komponente:

• Automatische Regelerstellung nach Vorlagen: hierbei wird einerseits schon bei der Installation der Rechner nach potentiellen und bekannten Anwendungen durchsucht und direkt vorgefertigte Regelwerke zu den Anwendungen erstellt. Zu beachten ist hierbei, das Regeln zu Programmen und Prozessen erstellt werden, die Sie vielleicht nicht nutzen (z.B. für einen Netzwerkdrucker, oder die Anmeldung über das Netzwerk bei Nutzung von Domänenkonten).

• Automatische Regelerstellung nach Handlungsaufforderung: hierbei werden vorgefertigte Regeln erst bei erkanntem Netzwerkverkehr durch die Anwendung erstellt. Darüber werden Sie aber durch ein entsprechendes Fenster informiert. Dies hat den Vorteil, das keine ungenutzten Regeln erstellt werden, sondern nur bei Bedarf.

• Automatische Regelerstellung durch „ImproveNet“: „ImproveNet“ ist eine Entwicklung von Agnitum und soll unerfahrenen Anwendern bei der Regelerstellung helfen. Dies ist die empfohlen Einstellung! „ImproveNet“ werde ich im übernächsten Teil noch näher erklären – siehe auch --> „Interne Links“.

• Fenster zur Regelerstellung: Je nach gewählter Einstellung erscheint mehr oder weniger häufig ein Fenster zur manuellen Regelerstellung. Dabei erhalten sie von der Firewall Komponente umfangreiche Informationen, um Ihnen die Entscheidung so einfach wie möglich zu gestallten.

Fenster zur Regelerstellung:

Wird eine unbekannte Anwendung gefunden, bemerkt die Firewall als erstes DNS-Verkehr (Domain Name Service). Dieser Verkehr ist für die Namensauflösung (Adressname zu IP-Adresse) notwendig. Bei dem nun erscheinenden Fenster sehen Sie das Icon der Anwendung und auch den Namen der Anwendung. Sie haben nun die Möglichkeit eine dauerhafte Regel zu erstellen, den Verkehr einmalig zu erlauben oder einmalig zu verbieten. Bei unerwünschten Programmen empfiehlt es sich bereits hier eine dauerhafte Regel „DNS-Anforderungen blockieren“ anzulegen!

Als nächstes folgt ein Informationsfenster zum eigentlichen Netzwerkverkehr, der nach der initialen DNS-Anfrage den individuellen Verkehr der Anwendung beschreibt (z.B. HTTP – Port 80 TCP für einen Internet Browser). Bei dem folgenden Screenshot können Sie erkennen, das der Internet Explorer (Anwendung „IEXPLORER.EXE) einen ausgehenden Verkehr über Port 80 TCP (Standardport HTTP) zu der Internetdomäne „www.microsoft.com“ aufbauen möchte:

Nun gibt es die Möglichkeit diesen Verkehr „Einmal zulassen“, oder „Einmal blockieren“ zu wählen. Ausserdem können Sie eine Regel nach der Vorlage „Internet Explorer“ oder „Internet Browser“ erstellen. Es besteht aber auch die Möglichkeit eine „Benutzerdefinierte Regel“ zu erstellen. Diese sieht dann wie folgt aus:

In diesem Fenster haben Sie die volle Kontrolle zur Erstellung individuellen Verkehrsregeln dieser Anwendung. Auch wenn man keine allgemeinen Tips zur Regelerstellung geben kann, gibt es doch ein paar prinzipiell Aussagen, die man treffen kann:

• In erster Linie „ImproveNet-Regeln“ oder vorgefertigte Regelsätze verwenden

• Bei Vorlagen-Regeln primär die genaue Programmbezeichnung wählen (z.B. Internet Explorer) als eine Programmgruppenbezeichnung (z.B. Internet Browser)

• Bei individuellen Regeln so restriktiv wie möglich vorgehen

• Eingehenden Verkehr primär verbieten. Diesen Verkehr nur erlauben, wenn man Serverdienste zur Verfügung stellt (die wenigsten betreiben einen Webserver oder ähnliches)

• Bei der Regelerstellung unbedingt den genauen Pfad prüfen (Malware nutzt gerne gefälschte bekannte Icons und Prozessnamen)

• Bei Unklarheiten „Einmal verbieten“ wählen und prüfen, ob Einschränkungen im Netzwerkverkehr auftreten

Regelbereiche:

Eine Firewall unterscheidet verschiedene Bereiche und priorisiert diese auch unterschiedlich. Die verschiedenen Bereich sind in der Befehlszeile unter „Optionen“ zu finden. Die Bereiche sind nach Priorität unterteilt:

• LAN-Bereich (grundlegende Konfiguration der Netzwerkkarte(n)

• Globale Systemregeln (gelten für das komplette System, also alle Anwendungen und Prozesse die Netzwerkverkehr aufbauen)

• Anwendungsregeln (gelten für jede Anwendung individuell)

In diesem Zusammenhang ist wichtig zu wissen, das immer zuerst die LAN-Regeln Anwendung finden. Erst wenn hier keine passende Regel gefunden wird, werden die globalen Systemregeln abgearbeitet. Finden sich keine passenden Einstellungen, werden zum Schluss die Anwendungsregeln nach passenden Regeln durchsucht. Dabei werden in jedem Bereich die Regeln immer von oben nach unten abgearbeitet. Wird eine passende Regel gefunden (egal in welchem Bereich) wird diese angewandt und die restlichen Regeln ignoriert. Erst wenn am Ende keine Regel zutrifft, meldet sich die Firewall mit dem Fenster zur Regelerstellung.

Den LAN-Bereich und die globalen Systemregeln erreicht man über --> „Optionen“ --> „System“ und sieht dann folgendes Fenster:

LAN-Bereich:

Im LAN-Bereich werden alle Netzwerkkarten und ihre prinzipiellen Regeln angezeigt. Dabei wird nicht die individuelle IP-Adresse der Netzwerkkarte als Basis der Regelerstellung genommen, sondern der Adressbereich gemäss der Subnetzmaske. Folgende Einstellungen und Regeln können hier vorgenommen werden:

• globales erlauben / verbieten von NetBIOS-Verkehr für den Netzbereich

• global den Netzbereich als vertrauenswürdig definieren

• NetBIOS-Verkehr protokollieren

• neue Netzadapter (Netzwerkkarten bzw. Netzwerkeinstellungen) automatisch erkennen

NetBIOS:

NetBIOS wird zwingend für folgende Funktionen benötigt:

• Client für Microsoft Netzwerke

• Datei- und Druckerfreigabe für Microsoft Netzwerke

Da NetBIOS ein Protokoll mit erheblichem Gefahrenpotential ist (deshalb auch die Einstellmöglichkeiten über die Firewall an oberster Ebene) sollte es entsprechend verboten werden.

Sie benötigen dieses Protokoll nur in folgenden Situationen:

• mehrere Rechner sind über den Router miteinander verbunden UND Sie wollen auf Daten eines anderen Rechners zugreifen

• ein netzwerkfähiger Drucker ist am Router angeschlossen und Sie drucken über das Netzwerk

Folglich benötigt man NetBIOS NICHT:

• wenn Sie über eine normale Einwahlverbindung in das Internet gehen

• einem einzelnen PC an einen Router angeschlossen haben

• NICHT auf Dateien eines Rechners in Ihrem Netzwerk zugreifen

• KEINEN Drucker für andere Rechner in Ihrem Netzwerk freigegeben haben

Vertrauenswürdig:

Die Einstellung „vertrauenswürdig“ bewirkt, das JEDES Programm in diesem Netzwerksegment Daten übertragen darf! D.h. es erfolgt keine Nachfrage zur Regelerstellung bei neuen Programmen oder Prozessen. Diese Einstellung ist mit äusserster Vorsicht zu geniessen und ist (wenn überhaupt) nur für völlig abgegrenzte private Netzwerke (physikalische Trennung) geeignet – aber nicht empfehlenswert. Eine Angriffserkennung erfolgt aber auch in vertrauenswürdigen Netzen!

NetBIOS protokollieren:

Es empfiehlt sich, diese Einstellung zu aktivieren um über NetBIOS-Verkehr informiert zu sein.

Neue Netzwerkeinstellungen automatisch erkennen:

Diese Einstellung macht es gerade ungeübten Benutzern einfach, direkt eine neue / geänderte Netzwerkkonfiguration nutzen zu können. Allerdings ist diese Funktion nicht unbedenklich, da bei neuen Netzwerken automatisch der NetBIOS-Verkehr erlaubt wird.

Da sich die Netzwerkkonfiguration nicht oft ändert, bzw. nicht ständig neue Netzwerkkarten eingebaut werden sollte diese Funktion deaktiviert werden. Bei geänderter Netzwerkkonfiguration kann man über den Schalter „Ermitteln“ manuell eine Netzwerkerkennung einleiten und dann bei Bedarf NetBIOS aktiviert lassen oder deaktiviern.

Globale Systemregeln:

Globale Systemregeln gelten – wie der Name schon sagt – für das komplette System, also alle Anwendungen und Prozesse, die Netzwerkverkehr aufbauen. Entsprechend vorsichtig sollte man mit der Erstellung dieser Regeln sein!

Für den normalen Nutzer sind die bereits automatisch erstellten Regeln schon sehr praxisnah und benötigen unter normalen Umständen keiner Änderung.

Raw Socket:

Raw Socket ist eine sehr gefährliche Technik und wird deshalb von der Firewall Komponente auch getrennt überwacht. Bei der Raw Socket Technik können Pakete direkt auf den Netzwerk-Kernel zugreifen, ohne die verschiedenen Netzwerkschichten und ihre Schutzfunktionen zu durchlaufen.

Da der Raw Socket Zugriff für den normalen Anwender bedeutungslos ist, sollte dieser Zugriff nicht erlaubt werden.

Raw Socket Regeln lassen sich über folgendes Fenster regeln (beachten Sie bitte auch die Warnung im roten Rahmen!):

Anwendungsregeln:

Die Anwendungsregeln bilden die letzte Stufe der Regelerstellung und stehen in direkter Verbindung zu netzwerkfähigen Prozessen oder Anwendungen. Die Technik und Konfiguration haben ich bereits weiter oben unter Regelwerke erklärt. Das Fenster zur Konfiguration und Prüfung der Anwendungsregeln finden man unter --> „Optionen“ --> „Anwendungen“:

Die Anwendungen lassen sich in folgende Sparten unterteilen:

• blockierte Anwendungen (diese dürfen keinen Netzwerkverkehr aufbauen)

• Anwendungen mit eingeschränktem Zugriff (es gelten die erstellten Anwendungsregeln)

• vertrauenswürdige Anwendungen (diese Anwendungen dürfen alles, was nicht in den LAN-Regeln oder globalen Systemregeln verboten wurde). Diese Einstellung ist nicht zu empfehlen!!

Hintergrund- bzw. Entertainmentmodus:

Diese beiden Funktionen sind eine neue Entwicklung der Firewall Komponente in der Version 4. Man kommt zu dieser Funktion, indem man --> „Optionen“ --> „Sicherheit“ auf den Schalter „Erweitert“ klickt:

In diesem Konfigruationsfenster können spezielle Einstellungen für folgende Situationen gemacht werden:

• Rechner läuft im Vollbild- bzw. Spielemodus

• Bildschirmschoner ist aktiv

• Inaktivität des Benutzers

Zusammenfassung:

Die Firewall Komponente der Agnitum Outpost Security Suite Pro 2007 – welche identisch mit der Agnitum Outpost Firewall Pro 4 ist – bietet umfangreiche und verständliche Funktionen zu Regelerstellung!

Dabei wird der Anwender durch verschiedene Techniken bei der Erstellung von Regeln unterstützt! Die Regelwerke sind klar unterteilt und und bieten alle nötigen Informationen.

Als Nachteil kann man nur folgende Punkte nennen:

• Neu erkannte Netzwerkkonfigurationen erhalten automatisch das Recht für NetBIOS-Verkehr

• Im Fenster „Regelerstellung“ ist nur der Name der Anwendung, aber nicht deren Pfad erkennbar. Viele Anwendungen fälschen aber bekannte Anwendungsnamen, wobei aber der Pfad unterschiedlich ist

• Anwendungsregeln lassen nicht die Beschränkung auf bestimmte Netzwerkadapter (Local Host-Einstellung fehlt – im Gegensatz zu den globalen Systemregeln) zu. Dies wäre bei der Verwendung von mehreren Netzwerkkarten für das LAN und das WAN eine durchaus sinnvolle Ergänzung

Interne Links:

Agnitum Outpost Security Suite Pro 2007 Vorstellung – Teil 1: http://www.security-dome.eu/Agnitum_Outpost_Security_Suite_2007_Test_1.html

Agnitum Outpost Security Suite Pro 2007 Systemfunktionen und Systemschutz – Teil 2: http://www.security-dome.eu/Agnitum_Outpost_Security_Suite_2007_Test_2.html

Agnitum Outpost Security Suite Pro 2007 Anti-Malware und Anti-Spyware – Teil 3: http://www.security-dome.eu/Agnitum_Outpost_Security_Suite_2007_Test_3.html

Agnitum Outpost Security Suite Pro 2007 Firewall Grundlagen und Regeln – Teil 4: dieser Bericht

Agnitum Outpost Security Suite Pro 2007 Firewall PlugIns und „ImproveNet“ - Teil 5: http://www.security-dome.eu/Agnitum_Outpost_Security_Suite_2007_Test_5.html

Agnitum Outpost Security Suite Pro 2007 Anti-Spam und Log Viewer – Teil 6: http://www.security-dome.eu/Agnitum_Outpost_Security_Suite_2007_Test_6.html

Agnitum Outpost Security Suite Pro 2007 praktische Tests und Informationen – Teil 7: http://www.security-dome.eu/Agnitum_Outpost_Security_Suite_2007_Test_7.html

Weitere Informationen bzw. zur Diskussion dieses Beitrags besuchen Sie unser Forum – unter --> http://www.security-dome.eu/forum/pA/

Autor: Frank Richter

Copyright: Frank Richter – securITy-dome.eu

Erstellungsdatum: 07.06.07

Letzte Aktualisierung: 07.06.07

<-- Zurück zu den News