» cFos/Professional, Firewall

Die cFos Firewall

Die cFos Firewall analysiert ein- und ausgehende Pakete und blockiert solche, die möglicherweise Gefahren bergen. Sie wurde so entwickelt, daß er ein paar grundlegende Sicherheitslücken in heutigen Systemen geschlossen werden. Sie ist aber kein Ersatz für eine "richtige" Firewall-Software, wie z.B. Zonelabs' Zonealarm, Agnitum Output, Kerio Personal Firewall, Symantec's Nortan Personal Firewall, um nur einige zu nennen.

Wie funktioniert das?

cFos untersucht Ihren PPP Datentransfer und blockiert erstmal alle unbekannten Protokolle (d. h. alles, was nicht IP oder VJ-komprimiertes TCP/IP ist). Desweiteren prüft es Ihren IP-Verkehr und blockiert die ICMP Nachrichten, die unter Umständen Risiken bergen (es werden z. B. PING-Pakete von außen abgelehnt, da man damit bei ADSL eine Denial-of-Service Attacke machen kann). Weiterhin werden alle TCP & UDP Pakete von und zu bestimmten Ports abgelehnt. Die genaue Port-Nummern sind in der Datei SETTINGS.INI einzusehen und können dort, inerhalb der Zeilen mit "-tcp-dport" und "-udp-dport", geändert werden.

Wenn ein Zugriff abgewehrt wird, können Sie das im cFos Statusfenster dadurch sehen, dass unten links im selben Moment ein rotes Schild aufblinkt.

Die wichtigste Aufgabe von der Firewall ist sicher das NetBIOS "Scheunentor" zu schliessen, welches es den "bösen Jungs" ermöglicht, auf Ihre Freigaben und Dateien zuzugreifen. Geblocked werden dabei die Port-Nummern 137-139, 135 und 445, die von vielen Eindringlingen verwendet werden.

Wenn Sie keinen Server haben, der vom Netz aus erreichbar sein soll, sind die Standard-Einstellungen eine gute Wahl. Wenn Sie einen solchen Server im Betrieb haben sollten diese Einstellungen auch funktionieren. Wenn nicht, können Sie die Firewall an Ihre Bedürfnisse anpassen, oder zu einem anderen Firewall Produkt wechseln.

Technischer Hintergrund der cFos Firewall:

Gerade mit ADSL, aber auch mit ISDN, zeigt unsere Erfahrung, daß man nach ein paar Minuten Onlinezeit die ersten "Port-Scans" von potentiellen Angreifern auf dem lokalen Rechner, selbst auf einer dynamisch zugewiesenen IP-Adresse, sehen kann. Es gibt im Internet genügend Programme, die nach potentiellen Sicherheitslöchern auf im Internet eingeloggten PCs suchen.

Je nach Betriebssystem gibt es unterschiedliche Sicherheitslücken:

Unter Windows 9x und NT/2000/XP stellen die sogenannten NetBIOS-Ports ein großes Problem dar. Über diese NetBIOS-Ports kann ein Angreifer nicht nur Usernamen und Rechner-Namen erfragen, sondern auch, ob der Benutzer Datei-Freigabe-Dienste aktiviert hat. Sollte dies der Fall sein, gibt es einschlägige Programme, die (gerade mit ADSL) in Sekundenschnelle alle typischen Passwörter für die lokalen Verzeichnisse durchprobieren können. Die Chancen, so Zugriff auf die Dateien zu erhalten, sind so groß, daß in Sicherheitskreisen die NetBIOS-Ports als "Scheunentor" betrachtet werden. Aber die Standard-Einstellung der cFos Firewall schliesst den Zugriff auf diese Ports aus.

Ein zweites Problem, das bei ADSL wegen der unterschiedlichen Übertragungseschwindungkeit beim Upload und Download auftreten kann, sind Denial-of-Service Angriffe. Man kann mehr Daten zum lokalen Rechner senden, als dieser wegen der geringeren Bandbreite in Netzrichtung beantworten kann, und so verhindern, daß dieser die von den Telekom-Breitband-Knoten in regelmäßigen Abständen erwarteten Echo-Request (Wakeup-Päckchen) versendet. Die Folge ist ein Verbindungsabbruch. cFos blockt daher alle potentiell gefährlichen ICMP Pakete.

Die Firewall hält den Status der TCP Verbindungen nach. Dadurch erlaubt cFos die "Port Tarnung" (Port Stealthing). Wenn zum Beispiel jemand versucht sich mit Ihrem Computer zu verbinden, aber der entsprechende Port nicht im Empfangszustand ist, erhält der entfernte Computer keine Ablehnung für diesen Versuch. Genauer gesagt weiss der andere Rechner nicht einmal, dass Ihr Computer existiert! Nur wenn der Port existiert und im Empfangsstatus ist (z.B. wenn sie einen Server anbieten), werden eingehende Verbindungen akzeptiert und die Antworten dazu zurückgeschickt.

Das gleiche gilt für UDP Ports: When ein entfernter Computer versucht, einen Ihrer UPD Ports anzusprechen, der sich nicht im Empfangsstatus befindet, wird er keine Ablehnung bekommen. Der Port ist effektiv getarnt

Der Vorteil dieser Technik ist, dass ein böswilliger Angreifer nicht herausfinden kann, ob unter Ihrer Adresse wirklich niemand ist oder doch jemand, der nur nicht antwortet. Damit fällt Ihr Rechner als potenzielles "leichtes Opfer" für den Angreiffer aus.

Um den Firewall zu aktivieren, setzt man das Modem-Register S89. Den Standardwert dieses Registers kann man als globalen Parameter beim Laden von cFos vorgeben ( -x89=... ), so daß er für alle COM-Ports und cFos -Modems gilt.

Die Firewall bietet Usern Schutz vor einigen bekannten externen Angriffen. Der Problemkreis, daß aber z. B. heimlich auf dem lokalen PC installierte Trojaner Daten aktiv nach außen senden oder man verhindern möchte, daß Mitarbeiter über diesen Rechner Firmendaten nach außen senden möchten, wird durch dieses Konzept nicht abgedeckt.
Wer so hohe Sicherheitsanforderungen hat, sollte eine professionelle Firewall-Software installieren. Wie auch immer, kann die Firewall nicht vor Web-Browser Exploits oder anderer High-Level Software schützen.

Die cFos Firewall bietet, gerade im Hinblick auf Flatrate-Tarife, aber guten Schutz vor Angriffen von außen, ohne den Anwender mit Sicherheitsfragen und/oder Installation einer weiteren Software zu belasten. Diese zusätzliche Sicherheit bekommt der Anwender bei der Installation von cFos quasi "frei Haus" mitgeliefert. cFos läßt sich aber auch im Zusammenspiel mit anderer Firewall-Software einsetzen und unterstützt daher den Gedanken eines mehrstufigen Sicherheitskonzepts.

 

Powered by cFos Personal Net Webserver
Practice random kindness and senseless acts of beauty