Tiny Personal Firewall
Kleine Firewall, ganz groß

von Aron Vrtala (Ausgabe 02/2, Oktober 2002)

 

Kasten: Wichtige Zugriffsregeln

 

Hinweis: Allgemeine Informationen über die Funktionsweise und den Betrieb von Firewalls finden Sie im Artikel Firewalls: Schutz vor Gefahren aus dem Internet.

Die Tiny Personal Firewall von Tiny Software ist eine für alle Windows-Systeme geeignete, schlicht gestaltete Firewall, die relativ einfach gesteuert werden kann. Verglichen mit ihrem geringen Speicherbedarf (weniger als 2 MB) bietet sie einen verblüffenden Leistungsumfang. Man sollte allerdings weder vor nüchternem Design noch vor Portnummern und Fachausdrücken zurückschrecken, wenn man die Tiny Personal Firewall verwenden möchte.

Ein großer Vorteil dieser Firewall ist ihre übersichtliche Gestaltung: Im Gegensatz zur Norton Personal Firewall 2002 kann man hier alle bestehenden Verbindungsregeln mit einem Blick erfassen. Ebenso lassen sich in der Log-Datei der Tiny Personal Firewall Unregelmäßigkeiten leicht entdecken, sodaß man mit ein wenig Übung Hackversuche und Fehlkonfigurationen rasch identifizieren kann.

Die Tiny Personal Firewall steht in der Version für Hochschulen (nur englisch) kostenlos zur Verfügung. Universitätsmitarbeiter mit Mailbox-UserID haben die Möglichkeit, die Datei tinypf2.exe vom Softwaredistributions-Server des ZID unter Gratissoftware - Diverses herunterzuladen und anschließend auf ihrem Windows-Rechner zu installieren. Falls Sie Windows XP verwenden, müssen Sie vor der Installation die systemeigene Firewall abschalten: Klicken Sie dazu auf Start - (Einstellungen -) Systemsteuerung - Netzwerkverbindungen, dann mit der rechten Maustaste auf LAN-Verbindung (bzw. bei Modem- oder ADSL-Anschluß auf die DFÜ-Verbindung) und wählen Sie aus dem Kontextmenü die Option Eigenschaften. In der Registerkarte Erweitert müssen Sie nun das Kontrollkästchen im Bereich Internetverbindungsfirewall deaktivieren.

Immer wichtig:

Jede Firewall-Software muß sich unbedingt schon während des Boot-Vorgangs wie ein Treiber selbständig aktivieren! Wird die Firewall erst über die Autostart-Funktion Ihres Benutzer-Kontos - also dann, wenn Sie sich anmelden - gestartet, ist Ihr Rechner nach dem Booten nicht geschützt: Trojaner können sich dann in der Reihenfolge der Datenbehandlung vor die Firewall setzen und Ihre Sicherheits-Bemühungen somit elegant aushebeln.

Basiskonfiguration

Im Startfenster der Tiny Personal Firewall (siehe Abb. 1) sind bereits zwei wesentliche Vorzüge der Software erkennbar: Einerseits ermöglicht sie eine Fernwartung (Remote Administration) über das Netzwerk, andererseits läßt sich die Firewall durch ein Paßwort schützen, um sicherzustellen, daß nur der Administrator selbst Änderungen vornehmen kann. Wenn kein Paßwort gesetzt ist (z.B. bei der Erstkonfiguration), klicken Sie einfach auf Connect, um die Firewall anzusprechen. Dabei können Sie angeben, ob Sie in der Folge u.a. die Log-Meldungen ansehen (Status window) oder Einstellungen vornehmen möchten (Admin configuration).

Abb. 1: Startfenster der Tiny Personal Firewall
Abb. 1: Startfenster der Tiny Personal Firewall

Die Registerkarte Firewall im Hauptfenster Tiny Personal Firewall (siehe Abb. 2) bietet einen Regler mit drei möglichen Einstellungen:

  • Don't Bother Me: Diese Einstellung ist nicht ratsam - sie läßt jede Netzwerkaktivität zu, die nicht explizit eingeschränkt ist. Damit steht das System faktisch offen.
  • Ask Me First: Das bedeutet, daß ausschließlich solche Netzwerkverbindungen gestattet sind, die explizit genehmigt wurden. Die Genehmigung kann dabei durch eine vordefinierte Regel oder (wenn keine Regel vorliegt) vom Benutzer erteilt werden. Da es bei der Konfiguration von Firewalls generell sinnvoll ist, als ersten Schritt zunächst einmal alle Zugriffe zu verbieten, empfehlen wir diese Option.
  • Cut Me Off entspricht dem Ziehen des Netzwerksteckers.

Achten Sie bitte darauf, daß die Option Firewall Enabled in dieser Registerkarte aktiviert ist - andernfalls kann die Firewall ihrer Schutzfunktion nicht nachkommen. Hinter der Schaltfläche Advanced versteckt sich das Dialogfenster Firewall Configuration, mit dessen Hilfe Zugriffsregeln definiert bzw. geändert werden können (dazu gleich mehr).

Abb. 2: Registerkarte Firewall
Abb. 2: Registerkarte Firewall

Die zweite Registerkarte Miscellaneous (siehe Abb. 3) erlaubt das Setzen eines Administrator-Paßworts sowie eines Paßworts für den Zugriff auf Statistiken und Log-Meldungen der Firewall. Hier können Sie auch unter Enable Remote Administration wählen, ob eine Fernwartung möglich sein soll. Von essentieller Bedeutung ist der Schaltknopf Run As Service: Aus den eingangs beschriebenen Gründen (siehe Immer wichtig) sollte diese Funktion immer aktiviert sein.

Abb. 3: Registerkarte Miscellaneous

Daten-Verkehrsregeln

Aufbauend auf diesen Basiseinstellungen können Sie nun darangehen, eigene Regeln für die Handhabung von Netzwerkverbindungen zu definieren oder bestehende Regeln zu ändern. Dazu klicken Sie in der Registerkarte Firewall auf die Schaltfläche Advanced (vgl. Abb. 2). Nun öffnet sich das Dialogfenster Firewall Configuration, in dem alle notwendigen Einstellungen vorgenommen werden können. In der standardmäßigen Eingangskonfiguration der Tiny Personal Firewall sind für die wichtigsten Anwendungen sinnvolle Regeln vordefiniert.

Registerkarte Filter Rules

Die bestehenden Regeln werden in der Registerkarte Filter Rules in einer Tabelle sehr übersichtlich dargestellt (siehe Abb. 4): Der ersten Spalte können Sie entnehmen, ob die Regel derzeit angewendet wird. Die Tiny Personal Firewall bietet eine sehr elegante Methode, um kurzfristig eine Regel außer Kraft zu setzen bzw. wieder zu aktivieren: Sie müssen weder Einstellungen notieren noch Regeln löschen, sondern nur ins dazugehörige Kontrollkästchen klicken. Die zweite Spalte der Tabelle zeigt entweder das Symbol des Anwendungsprogramms, für das diese Regel gilt, oder den Begriff ANY, falls die Regel alle Anwendungen (und damit das gesamte System) betrifft. Die Pfeile in der nächsten Spalte stellen die Kommunikationsrichtung dar, in der die Regel wirkt - ein Pfeil nach rechts bedeutet Netzwerkverkehr vom PC ins Internet ("abgehender Verkehr"). In den folgenden Spalten finden Sie eine Kurzbeschreibung der Regel (Rule Description; diese können Sie bei der Definition der Regel selbst festlegen), die verwendeten Übertragungsprotokolle (Protocol; in Frage kommen UDP, TCP, ICMP), die betroffenen Ports am eigenen Rechner (Local) sowie die Internet-Adressen und Ports jener Rechner, mit denen man kommuniziert (Remote). In der letzten Spalte wird - ergänzend zum Symbol in Spalte 2 - noch das jeweilige Anwendungsprogramm angeführt (Application).

Rechts unten in dieser Registerkarte finden Sie außerdem das Kontrollkästchen Ask for action when no rule is found. Diese Funktion ist nur sinnvoll, wenn Sie prüfen wollen, warum etwas nicht funktioniert. Im regulären Betrieb sollte sie unbedingt ausgeschaltet sein, damit die Firewall nicht von widerrechtlichen Benutzern umgangen werden kann: Bei einer Anfrage der Firewall müßten diese nur auf Permit klicken, um die Aktion zu erlauben.

Abb. 4: Registerkarte Filter Rules
Abb. 4: Registerkarte Filter Rules

Der Regel-Editor

Wenn Sie in der Registerkarte Filter Rules auf die Schaltfläche Add klicken (bzw. auf Edit, falls Sie eine bestehende Regel ändern wollen), erscheint der Regel-Editor. In diesem Fenster können alle Eigenschaften einer Regel festgelegt werden. Als Beispiel werden hier die beiden üblichen Regeln für das Domain Name Service (kurz: DNS) beschrieben, die es allen Programmen Ihres Rechners ermöglichen, eine Namensauflösung von numerischen IP-Adressen durchzuführen (siehe Abb. 5):

Abb. 5: Der Regel-Editor (Dialogfenster Filter Rule)
Abb. 5: Der Regel-Editor (Dialogfenster Filter Rule)
  • Im Feld Description können Sie eine Kurzbeschreibung der Anwendung eintragen (diese wird dann in der Registerkarte Filter Rules als Rule Description angeführt).
  • Das Domain Name Service verwendet das Übertragungsprotokoll UDP. Bei großen Datenmengen wird jedoch das Übertragungsprotokoll TCP benutzt; daher müssen Sie für dieses Protokoll eine zweite Regel definieren, die - abgesehen vom nächsten Punkt - mit der Regel für UDP identisch ist.
  • Unter Direction ist für UDP Both directions einzustellen (dies ist eine Eigenart von Windows - üblicherweise benötigt DNS die Richtung Out). Bei der TCP-Regel müssen nur abgehende Verbindungen zugelassen werden (Richtung: Out).
  • Anwendungen können von jedem lokalen Port aus eine Abfrage aktivieren, daher sollten Sie am Local endpoint keine Einschränkung vornehmen (Any port).
  • Sinnvollerweise sollten alle Anwendungen Ihres PCs DNS-Abfragen durchführen können. Daher ist im Feld Application der Wert Any einzustellen.
  • Im Datennetz der Uni Wien gibt es zwei DNS-Server: 131.130.1.11 und 131.130.1.12. Daher sollten Sie unter Remote endpoint die Option Address type von der Standardeinstellung Any address auf Network/Range ändern und in den beiden Feldern darunter die beiden genannten IP-Adressen explizit angeben (vgl. Abb. 5).
  • Ein DNS-Server meldet sich stets nur unter Port 53, daher wählen Sie für den Remote endpoint den Porttyp Single port und geben die Nummer 53 ein. Für andere Anwendungen können Sie hier aber auch alle Anschlüsse, Anschlußbereiche oder eine Menge von Portnummern auswählen.
  • Im Bereich Rule Valid beläßt man üblicherweise die Standardeinstellung Always. Auf Wunsch kann hier aber auch mit der Option In this interval only ein Zeitrahmen angegeben werden, in dem die jeweilige Regel gültig sein soll (z.B. für periodische Wartungsarbeiten).
  • Da die Standardeinstellung der Firewall eingangs so definiert wurde, daß jeder Verkehr zunächst blockiert ist, müssen Sie darauf achten, daß im Bereich Action die Option Permit aktiviert ist.
  • Die beiden Optionen rechts unten (Log when this rule match bzw. Display alert box when this rule match) bewirken - falls sie aktiviert sind - einen Log-Eintrag bzw. eine Warnmeldung, sobald die Regel angewendet wird.

Alle anderen Regeln (siehe Kasten Wichtige Zugriffsregeln) sind analog einzustellen und werden ebenfalls über diesen Editor formuliert.

Registerkarte Microsoft Networking

Wenn Ihnen die im Kasten Wichtige Zugriffsregeln angeführten Einstellungen für Microsoft Windows-Shares zu kompliziert sind, können Sie einen sinnvollen Standard-Regelsatz über die Registerkarte Microsoft Networking auswählen: Bestätigen Sie hier einfach die Option For Microsoft Networking Use These Rules Instead of Filter Rules. Falls Sie Netzlaufwerke und Drucker über das Internet freigeben wollen, sollten Sie zusätzlich das Kontrollkästchen Allow Other Users to Access My Shared Folders/Printers aktivieren. Wir empfehlen Ihnen in diesem Fall, über die Auswahl From Trusted Addresses Only eine Liste von Internet-Adressen aller Rechner anzulegen, die Sie zugreifen lassen wollen.

Registerkarte Miscellaneous

Die Registerkarte Miscellaneous des Dialogfensters Firewall Configuration enthält verschiedene Einstellungsmöglichkeiten zur Protokollierung sicherheitsrelevanter Ereignisse - beispielsweise die empfehlenswerte Option Log Packets Addressed to Unopened Ports. Dadurch können Sie unerlaubte Zugriffe rasch erkennen und (z.B. im Fall eines Problems beim Festlegen einer Regel) in der Log-Datei leicht die Ursache finden. Darüber hinaus ermöglicht diese Registerkarte die Definition sogenannter Zugriffsgruppen, das sind Mengen zusammengehöriger Internet-Adressen.

Registerkarte Application's MD5

Sobald einer Anwendung eine Zugriffsregel zugeordnet wird, bildet die Tiny Personal Firewall eine Prüfsumme der ausführbaren Programmdatei. Diese Prüfsumme wird (neben dem Symbol und dem Pfad des jeweiligen Programms) in der Registerkarte Application's MD5 angezeigt.

Diese Registerkarte enthält auch das Kontrollkästchen Check MD5 Signature, das unbedingt aktiviert sein sollte: Die Firewall kontrolliert dann bei jedem Aufruf dieser Anwendung, ob die aktuelle Prüfsumme mit der gespeicherten übereinstimmt. Eine Abweichung bedeutet, daß das Programm verändert wurde - entweder aufgrund einer Neu- bzw. Zusatzinstallation oder weil es von einem Virus oder Trojaner befallen ist. Die Firewall blockiert in diesem Fall den Internetzugriff und liefert eine Warnmeldung.

Weitere Informationen über Sicherheitsvorkehrungen und Firewalls finden Sie in den Unterlagen zur Vorlesung Security im Internet, die unter www.univie.ac.at/ZID/security/ (Menüpunkt Vorträge) abrufbar sind. Viel Spaß!

Wichtige Zugriffsregeln

Ping innerhalb des Uni-Datennetzes (beide Regeln):

  • Protokoll: ICMP, Richtung: Out, Porttyp: 8 (Echo Request), Lokal: alle Ports, Remote: 131.130.0.0 Maske 255.255.0.0, Adreßtyp: Network/Mask
  • Protokoll: ICMP, Richtung: In, Porttyp: 0 (Echo Reply), sonst wie oben

Domain Name Service (DNS):

  • siehe Text (Der Regel-Editor) bzw. Abb. 5

Web-Browsing:

  • Protokoll: TCP, Richtung: Out, Lokal: alle Ports, Remote Ports: 80, 8080, 8081 und 443 (wählen Sie dazu List of Ports an); chello-Benutzer müssen zusätzlich den Remote Port 3128 (Richtung: Out) für den Proxy-Server freischalten

Secure Shell:

  • Protokoll: TCP, Richtung: Out, Lokal: alle Ports, Remote: Port 22 - vorzugsweise einzuschränken auf die ssh-Anwendung (beispielsweise c:\ssh\SshClient.Exe)

Telnet wäre analog zu konfigurieren:

  • Protokoll: TCP, Richtung: Out, Lokal: alle Ports, Remote: Port 23 - Anwendung: c:\winnt\system32\telnet.exe

für das Backup-Service des ZID:

  • Protokoll: TCP, Richtung: Out, Lokal: alle Ports, Remote: Port 1500, Remote endpoint: 131.130.1.8 - für das Programm dsm.exe (der Pfad der Datei ist je nach verwendeter Version unterschiedlich)

Für die Autorisierung von Windows-Shares unter Windows NT, 2000 und XP:

  • Protokoll: UDP, Richtung: bidirektional, Lokal: alle Ports, Remote: Port 88 - für das Programm c:\winnt\system32\lsass.exe (der Dienst heißt Local System Authorization Services)
  • Protokoll: TCP, Richtung: Out, Lokal und Remote: alle Ports - für dasselbe Programm
  • Protokoll: TCP, Richtung: Out, Lokal: alle Ports, Remote: Port 389 - für das Programm c:\winnt\system32\winlogon.exe (gemeint ist eine Autorisierung über LDAP)
  • Protokoll: TCP, Richtung: Out, Lokal: alle Ports, Remote: Port 445 - für alle Anwendungen (dabei handelt es sich um das Microsoft Data-Service)
  • Protokolle: TCP und UDP, Richtung: bidirektional, Lokal und Remote: alle Ports - für die Anwendung c:\winnt\system32\services.exe