Maximale Sicherheit für Windows
Norton Personal Firewall 2002

von Aron Vrtala (Ausgabe 02/2, Oktober 2002)

 

Hinweis: Allgemeine Informationen über die Funktionsweise und den Betrieb von Firewalls finden Sie im Artikel Firewalls: Schutz vor Gefahren aus dem Internet.

Die Norton Personal Firewall 2002 von Symantec ist eine auch für Anfänger relativ einfach zu bedienende Firewall-Software für Windows-Arbeitsplatzrechner. Ihre Konfiguration erscheint zwar auf den ersten Blick etwas umständlich, dafür zeichnet sich die Software aber durch vielfältige integrierte Funktionen und eine gute Hilfe-Funktion aus. Für den Einsatz auf Windows NT-Servern und Windows 2000-Servern ist die Norton Personal Firewall jedoch nicht geeignet - wenn Sie ein solches System schützen wollen, empfehlen wir die Tiny Personal Firewall.

Falls Sie Windows XP verwenden, müssen Sie die systemeigene Firewall abschalten, bevor Sie die Norton Personal Firewall installieren: Klicken Sie auf Start - (Einstellungen -) Systemsteuerung - Netzwerkverbindungen, dann mit der rechten Maustaste auf LAN-Verbindung (bzw. bei Modem- oder ADSL-Anschluß auf die DFÜ-Verbindung) und wählen Sie aus dem Kontextmenü die Option Eigenschaften. In der Registerkarte Erweitert müssen Sie nun das Kontrollkästchen im Bereich Internetverbindungsfirewall deaktivieren.

Uni-Mitarbeiter mit Mailbox-UserID können die Norton Personal Firewall im Rahmen der Standardsoftware vom ZID beziehen. Nachdem Sie das Programmpaket vom Softwaredistributions-Server heruntergeladen und entpackt haben (z.B. mit WinZip), installieren Sie die Firewall, indem Sie die Datei cdstart.exe ausführen. Sobald die Installation und der anschließende Neustart abgeschlossen sind, meldet sich der Security Assistent, um Ihnen beim Konfigurieren der Sicherheitseinstellungen behilflich zu sein; dies können Sie jedoch zu einem späteren Zeitpunkt genauso bequem durchführen.

Die Norton Personal Firewall bietet drei Hauptthemen, die konfiguriert werden können: Internetstatus, Persönliche Firewall und Datenschutz (siehe Abb. 1).

Norton Personal Firewall
Abb. 1: Hauptthemen & Aktueller Status

Thema Internetstatus

Dieses Hauptthema gliedert sich in drei Abschnitte: Unter Aktueller Status können Sie Systemereignisse abfragen (vgl. Abb. 1). Unter Benachrichtigung (siehe Abb. 2) läßt sich die Mitteilsamkeit der Firewall-Software konfigurieren, wobei die Stufe Niedrig für die meisten Benutzer ausreichend ist: Die Meldungen beschränken sich dann auf wichtige Systemereignisse und eine eventuell erfolgende automatische Konfiguration der Firewall. Während Sie an das Internet angeschlossen sind, haben Sie unter dem Thema Internetstatus auch die Möglichkeit, Ihren Rechner mittels einer externen Sicherheits-Analyse von Norton überprüfen zu lassen. 

Abb. 2: Internetstatus - Benachrichtigung
Abb. 2: Internetstatus - Benachrichtigung

Thema Persönliche Firewall

Unter diesem Thema sind in vier Konfigurationsbereichen (Persönliche Firewall-Einstellungen, Internetzugriffssteuerung, Internetgruppen und Zugriffsschutz) alle Einstellungsmöglichkeiten zusammengefaßt, mit denen Sie die Netzwerkverbindungen Ihres Systems regeln können.

Persönliche Firewall-Einstellungen

Im Konfigurationsbereich Persönliche Firewall-Einstellungen sollten Sie die Sicherheitsstufe unbedingt auf den Wert Hoch einstellen (siehe Abb. 3). Damit ist jeder Zugriff aus dem Internet und auf das Internet standardmäßig verboten, bis Sie ihn explizit zulassen. Diese Sicherheitsstufe bewirkt auch, daß Sie vor der unbeabsichtigten Ausführung aktiver Internet-Inhalte (z.B. Java, ActiveX) geschützt sind. 

Ganz wichtig: Vergessen Sie bitte nicht, das Kontrollkästchen Sicherheit aktivieren mit einem Hakerl zu versehen - andernfalls ist die Firewall nicht eingeschaltet und Ihr PC nicht geschützt! Diese Funktion muß standardmäßig aktiviert sein, damit sich die Firewall-Software beim Booten des PCs selbständig startet. Die Firewall erst nachträglich einzuschalten ist nicht zielführend, da unerwünschte Programme (z.B. Trojaner) oft bereits während des Boot-Vorgangs aktiv werden und somit ungestört agieren können.

Persönliche Firewall
Abb. 3: Persönliche Firewall - Persönliche Firewall-Einstellungen

Internetzugriffssteuerung

Der zweite und wichtigste Konfigurationsbereich ist die Internetzugriffssteuerung, mit der die Zugriffsregeln nach innen und außen für das gesamte System bzw. für einzelne Anwendungsprogramme festgelegt werden können. Trojaner und eMail-Würmer lassen sich beispielsweise recht effektiv behindern, indem man nur ausgewählten Anwendungsprogrammen Internetverbindungen erlaubt.

Methode A: Automatische Konfiguration für das gesamte System

Die Norton Personal Firewall bietet die Möglichkeit, alle internetfähigen Anwendungsprogramme anzeigen zu lassen und dann automatisch zu konfigurieren. Dazu klicken Sie im Fenster Internetzugriffssteuerung auf die Schaltfläche Konfigurieren oberhalb der Anwendungsliste. Im nun aufklappenden Menü wählen Sie die Option Anwendungsprüfung (siehe Abb. 4).

Persönliche Firewall
Abb. 4: Persönliche Firewall - Internetzugriffssteuerung - Konfigurieren

 

Jetzt müssen Sie angeben, welche Laufwerke des Rechners (üblicherweise C:\) auf internetfähige Programme geprüft werden sollen. Nach einem Klick auf Weiter durchsucht die Firewall Ihr System und liefert schließlich eine Ergebnisliste (siehe Abb. 5).

 

Abb. 5: Persönliche Firewall - Internetzugriffssteuerung - Ergebnis der Anwendungsprüfung

Sehen Sie sich diese Liste genau an - es ist schon vorgekommen, daß ein Trojaner hier aufschien. Klicken Sie daher nicht auf das Feld Alle, sondern wählen Sie nur diejenigen Programme aus, die Sie wirklich mit Internetzugriff ausstatten wollen (vermutlich MS-Internet Explorer, MS-Outlook, Netscape usw.). Die gängigen Internet-Anwendungen sind der Firewall-Software bekannt und die entsprechenden Voreinstellungen für den Zugriff daher im allgemeinen sinnvoll.

Mit dieser Methode können auch weniger versierte Benutzer mit geringem Aufwand eine gewisse Grundsicherheit erreichen. Der Nachteil dabei ist allerdings, daß die Firewall nur für die ihr bekannten Anwendungsprogramme brauchbare Regeln definieren kann. Für die Mehrzahl der Anwendungen werden die Regeln jedoch zu weitreichend formuliert, sodaß ein händischer "Feinschliff" empfehlenswert ist.

Methode B: Manuelle Konfiguration einzelner Anwendungen

Um Zugriffsregeln für eine einzelne Anwendung zu definieren, klicken Sie im Fenster Internetzugriffssteuerung auf die Schaltfläche Hinzufügen unterhalb der Anwendungsliste (vgl. Abb. 4). Sobald Sie das gewünschte Programm ausgewählt haben, erscheint ein Fenster, in dem sie nochmals bestätigen müssen, daß Sie für diese Anwendung den Internetzugriff konfigurieren möchten (siehe Abb. 6). Neben einer nur mäßig brauchbaren Risiko-Einschätzung der Anwendung bietet dieses Fenster drei Optionen: Sie können den Internetzugriff für diese Anwendung generell zulassen, generell blockieren oder speziell konfigurieren.

Persönliche Firewall
Abb. 6: Persönliche Firewall - Internetzugriffssteuerung - Bestätigung

Wenn Sie - wie oben beschrieben - im Konfigurationsbereich Persönliche Firewall-Einstellungen die Sicherheitsstufe auf Hoch gestellt haben (vgl. Abb. 3), ist der Internetzugriff für alle Anwendungen ohnehin standardmäßig verboten. Spezielle Zugriffsregeln sind daher nur dann notwendig, wenn Sie eine Ausnahme von dieser Grundregel definieren und einem bestimmten Programm den Internetzugriff gestatten wollen. Falls Sie die von der ausgewählten Anwendung benötigten Übertragungsprotokolle nicht wissen, empfehlen wir, den Internetzugriff generell zuzulassen (dies entspricht im wesentlichen Methode A). Kennen Sie hingegen das Programm bzw. das entsprechende Protokoll, sollten Sie die Firewall-Funktion für die Anwendung explizit konfigurieren, damit nicht mehr Privilegien als unbedingt notwendig vergeben werden.

Worauf es bei der Konfiguration der Firewall-Funktionen ankommt, soll nun anhand des Programms ssh (Secure Shell) gezeigt werden, das eine verschlüsselte interaktive Kommunikation und einen sicheren Datentransfer ermöglicht. Nachdem Sie dieses Programm generell für das Internet geöffnet haben (vgl. Abb. 6), werden in einem separaten Fenster die derzeit gültigen Regeln angezeigt: Zulassen, Richtung Ankommend/Abgehend, Computer: Alle, Kommunikationstypen: Alle, Protokoll: TCP-UDP (siehe Abb. 7).

Persönliche Firewall
Abb. 7: Persönliche Firewall - Internetzugriffssteuerung - Übersicht über Anwendungsregel

Um ssh genauer zu konfigurieren, klicken Sie in diesem Fenster auf die Schaltfläche Ändern. Nun erscheint das Fenster Regel ändern, das mehrere Registerkarten enthält. Die erste davon nennt sich Aktion. Dahinter verbergen sich die Einstellungsmöglichkeiten Zulassen, Blockieren und Überwachen. Da die Firewall grundsätzlich auf Blockieren eingestellt ist, sind zusätzliche blockierende Regeln generell überflüssig - dies reduziert den Denkaufwand auf jene Aktivitäten, die zugelassen werden sollen.

In der Registerkarte Verbindungen wird geregelt, wer die Verbindung starten darf (siehe Abb. 8). Das sind entweder

  • Sie selbst mittels der gewählten Anwendung ("abgehende Verbindung"),
  • andere Computer im Netz, die Ihren Rechner als Server verwenden wollen ("ankommende Verbindung"), oder
  • beide, also bidirektionaler Verbindungsaufbau.

Da im Falle von ssh Ihr Windows-PC immer der Klient ist, der sich eines fremden Servers bedient, müssen Sie hier die erste Option Verbindungen mit anderen Computern wählen. Dasselbe gilt beispielsweise auch für eMail (SMTP, POP3, IMAP4) und für WWW (HTTP, HTTPS).

Abb. 8: Registerkarte Verbindungen im Fenster Regel ändern
Abb. 8: Registerkarte Verbindungen im Fenster Regel ändern

Aufgrund dieser Einstellung bietet die nächste Registerkarte Computer nun die Möglichkeit, dem Programm ssh den Zugriff auf Alle Computer zu erlauben oder diesen auf bestimmte Server zu beschränken (siehe Abb. 9). Die Optionen dieser Karte sind von der Konfiguration der Registerkarte Verbindungen abhängig: Hätten Sie dort z.B. Verbindungen von anderen Computern gewählt, könnten Sie nun die Internet-Adressen jener Rechner angeben, die auf Ihr System Zugriff haben sollen.

Abb. 9: Registerkarte Computer im Fenster Regel ändern
Abb. 9: Registerkarte Computer im Fenster Regel ändern

In der Registerkarte Kommunikationstypen konfigurieren Sie anschließend die zugriffsberechtigten Protokolle und Anschlüsse (Ports). Dies ist insofern nicht immer einfach, als die Anzahl der im Internet verwendeten Übertragungsprotokolle mittlerweile selbst für Experten nahezu unüberschaubar ist (siehe dazu auch den Artikel Firewalls: Schutz vor Gefahren aus dem Internet). Für das Programm ssh müssen Sie das Protokoll TCP zulassen (siehe Abb. 10). Zusätzlich können Sie in dieser Registerkarte entscheiden, ob Sie alle oder nur bestimmte TCP-Ports erlauben möchten. Dem Prinzip der minimalen Privilegien folgend, sollten Sie hier die Option Nur die unten aufgeführten Kommunikationstypen bzw. Anschlüsse auswählen und auf die Schaltfläche Hinzufügen klicken.

Abb. 10: Registerkarte Kommunikationstypen im Fenster Regel ändern
Abb. 10: Registerkarte Kommunikationstypen im Fenster Regel ändern

Sie erhalten nun ein Fenster, in dem Sie die gewünschten Anschlüsse angeben können (siehe Abb. 11). Im allgemeinen wird Ihnen hier die Option Filtern nach: Bekannten Anschlüssen aus Liste sehr hilfreich sein. Für ssh müssen Sie jedoch den benötigten Anschluß explizit angeben: Das Programm verwendet Port 22 auf dem betreffenden Server (also Remote).

Abb. 11: Auswahlmenü für Anschlüsse (Ports)
Abb. 11: Auswahlmenü für Anschlüsse (Ports)

Das Resultat Ihrer Bemühung wird Ihnen anschließend im Fenster Regel ändern präsentiert (siehe Abb. 12). Nun müssen Sie noch mit OK bestätigen - fertig ist Ihre erste eigenhändig definierte Firewall-Regel! Wenn Sie anschließend wieder den Konfigurationsbereich Persönliche Firewall - Internetzugriffssteuerung aufrufen, sehen Sie, daß die Anwendung SshClient.Exe eine benutzerdefinierte Konfiguration erhalten hat. Die Festlegung weiterer Regeln verläuft stets nach demselben Schema, das hier vorgestellt wurde (siehe auch Tabelle Übersicht über die wichtigsten Protokolle und Ports).

Abb. 12: Fenster Regel ändern mit fertig definiertem Kommunikationstyp für ssh
Abb. 12: Fenster Regel ändern mit fertig definiertem Kommunikationstyp für ssh

Internetgruppen

Um auch eine einfache und schnelle Zugriffskontrolle anhand von Internet-Adressen durchführen zu können, sieht die Norton Personal Firewall im Thema Persönliche Firewall zwei sogenannte Internetgruppen vor. Dieser Konfigurationsbereich ermöglicht es, bestimmten Rechnern jeglichen Zugriff entweder zu erlauben oder zu verbieten: Internet-Adressen von Systemen, die Sie kennen und mit denen Sie unbegrenzt kommunizieren wollen, können in die Gruppe Vertraut eingetragen werden. Die Gruppe Eingeschränkt - die besser Ausgeschlossen heißen sollte - ist für alle Rechner bestimmt, denen keinerlei Zugriff auf Ihren PC gestattet werden soll. Für beide Gruppen können Sie weder Protokolle noch Ports definieren, sondern nur Internet-Adressen, wobei diese jedoch auch für ganze Netzwerkbereiche angegeben werden können (siehe Abb. 13).

Abb. 13: Persönliche Firewall
Abb. 13: Persönliche Firewall - Internetgruppen

Zugriffsschutz

Der vierte Konfigurationsbereich des Themas Persönliche Firewall ist der Zugriffsschutz. Es handelt sich dabei um eine Analysefunktion, die alle Zugriffe von außen auf Hackversuche überprüft. Auch wenn die Ergebnisse dieser Analyse nicht immer richtig sind, empfiehlt es sich dennoch, die Optionen Anschlußprüfungen abfangen und Autoblock aktivieren einzuschalten: Hacker verwenden oft sogenannte Scan-Programme, mit deren Hilfe beliebige Rechner im Netz nach angreifbaren Ports und anderen Schwachstellen untersucht werden können. Die beiden genannten Funktionen der Norton Personal Firewall bewirken, daß solche Port-Scans unterbunden und potentielle Hacker nach einer gewissen Anzahl von Zugriffsversuchen blockiert werden.

Die Kehrseite der Medaille ist allerdings, daß diese Funktionen einem Hacker ermöglichen können, wichtige Dienste Ihres PCs zu torpedieren: Indem der Hacker seine Identität verschleiert (dafür gibt es im Internet leider viele Möglichkeiten) und sich z.B. als Mailserver der Uni ausgibt, erreicht er, daß Ihre Firewall bei der beschriebenen Konfiguration nach einer gewissen Zeit die Kommunikation mit dem Mailserver verbietet. Deshalb hat Norton auch die Option Ausschlüsse vorgesehen: Sie ermöglicht die Definition von Internet-Adressen, die niemals durch Autoblock behindert werden sollen.

Thema Datenschutz

Zusätzlich zur Firewall-Funktion kann die Software auch verhindern, daß persönliche Dateninhalte Ihren PC ohne vorherige Bestätigung verlassen. Unter dem Thema Datenschutz können Sie kritische Zeichenfolgen (z.B. Ihre Kontonummer oder eMail-Adresse) eingeben. Beachten Sie aber bitte, daß diese Methode nur bei unverschlüsseltem Datenaustausch funktionieren kann.

Weitere Informationen über Sicherheitsvorkehrungen und Firewalls finden Sie in den Unterlagen zur Vorlesung Security im Internet, die unter www.univie.ac.at/ZID/security/ (Menüpunkt Vorträge) abrufbar sind. Viel Erfolg!