Brauche Hilfe zur Konfiguration meiner neuen Firewall

[n00blesupp]

Moinsen,
ich habe mir aufgrund der immer häufiger werdenden Diskussionen um die Klasse von manchen Firewalls eine ordentliche (hoffe ich mal ) gekauft: Sygate Personal Firewall Pro 5.5.

Nur stehe ich jetzt vor reativ vielen Optionen/Einstellungen, die ich in dieser Anzahl nicht erwartet hatte.
Deswegen wollte ich euch (... und besonders die Erfahrenen) um ein "wenig" Hilfe bei der Konfiguration dieser Firewall bitten ...

Bevor ich mit Fragen zu den einzelnen Einstellungen loslege, ist es, denke ich, besser, wenn ich zuerst noch ein paar Daten meines Systems aufliste:

• Win98 SE
• "Stand-Alone" PC
• ISDN
• AVM FritzWeb Karte
• Zugang über DFÜ
• Keine Netzwerkkarte

Und jetzt liste ich hier mal die Einstellungen, die in den Optionen aufgeführt sind und zu denen ich gar nichts weiß, auf (meistens kann die Option durch ein Häckchen de- oder aktiviert):

Sreensaver Mode:
Block Network Neighbourhood traffic while in screensaver mode (Standard: AUS)

Security Enhancement: ... (s. Anhang)

Network Interface:
FITZ!web (--meine IP--) oder T-Online (so heißt meine DFÜ Verbindung über die ich Online gehe.)
Da muss ich doch das 1. eingestellt lassen, oder?

Network Neighborhood Settings:
Allow to browse Network Neighborhood files and printer(s) (Standard: AN)
Allow others to share my files and printer(s) (Standard: AUS)


Wie soll ich die ganzen Einstellungen handhaben; was soll ich erlauben/aktivieren und und was nicht?


PS: Falls ihr zu einer Einstellung noch mehr wissen wollt, kann ich euch noch die Quickinfo posten.

Vielleicht kennt jemand noch ne (private) Seite zu der Firewall, mit Forum etc..

Danke!

[Morgoth]

Sreensaver Mode:
Block Network Neighbourhood traffic while in screensaver mode (Standard: AUS)

Wenn Dein Bildschirmschoner anspringt (oder Bildschirm ausgeht wegen zu lang IDLE) kann niemand mehr auf Deinen PC per Netzwerk zugreifen, sprich ein eventueller Gameserver oder Dateifreigabe ist nicht erreichbar.

Security Enhancement: ... (s. Anhang)

Lass alles so, die werden sich schon was dabei gedacht haben. Aber "Enable Portscan Detection" solltest Du wegmachen, das ist nun absolut sinnlos.

Network Interface:
FITZ!web (--meine IP--) oder T-Online (so heißt meine DFÜ Verbindung über die ich Online gehe.)
Da muss ich doch das 1. eingestellt lassen, oder?

Wenn T-Online Deine DFÜ-Verbindung ist und mit der ins Internet gehst, musst Du natürlich diese auswählen.
Aber ich gebe Dir mal einen Tip: gehe mit Fritz!web ins Internet und verkaufe Deine Firewall wieder. Das Fritz!web ist so etwas wie eine Hardware-FW auf Deinem Rechner, das blockt jeden eingehenden Verkehr erfolgreich ab.

Network Neighborhood Settings:
Allow to browse Network Neighborhood files and printer(s) (Standard: AN)
Allow others to share my files and printer(s) (Standard: AUS)

Das sind die Einstellungen zur Datei- und Druckerfreigabe. Ersteres erlaubt Dir, Freigaben im Netzwerk zu durchsuchen, zweiteres dass man Deine durchsuchen darf. Wenn Du nichts freigegeben hast, dann ist es egal wie Du es einstellst.

Gruß
Morgoth

[freak01]

Servus
n00ble°suPP : genialer name

also nun zu deinen Fragen:

Sreensaver Mode:
Block Network Neighbourhood traffic while in screensaver mode (Standard: AUS)
-> mit dieser Option wird die Datenübertragung (mit Network Neighbourhood wird wahrscheinlich der gesamte Datentransfer seis Netzwerk oder Internet gemeint sein), sobald der Bildschirmschoner sich einschaltet, geblockt
-> das ist wichtig, wenn du immer wissen btz. sehen willst, ob daten übertragen werden. es gibt ja auch böswillige viren/trojaner, die sich als bildschirmschoner tarnen und, sobald sie aktivert werden, als datenschleuder fungieren

Security Enhancement:
zu den bereits aktivierten Häckchen solltest du noch "anti-IP spoofing" aktivieren (keine Umleitung auf gefakte Internet-Sites), ansonsten "Block all traffic while the service is not loaded" (wenn du bestimmte programme/services blocken musst, die grundsätzlich nicht ins internet kommunizieren dürfen) und "Allow initial traffic", wenn für das Einwählen Daten übertragen werden müssen

x Enable Intrusion Detection System, Enable portscan detection --> "Hackerangriffe" z.B. pinging deiner IP-Adresse wird abgewehrt

x Enable anti-MAC spoofing --> Umleitung/Missbrauch der MAC-Einstellung (ich glaub so eine Art Netzwerk) verhindern

x Enable driver level protection --> überprüft, ob sich Treiber verändern

x Enable DoS detection -> verhindert Denial of Service-Angriffe (schon mal was von Massenangriffen mehrerer Rechner auf einen Firmenrechner bzw. einen Internet-Server gehört ;-) ?)

x Enable OS fingerprint masquerading -> damit wird glaub ich der Internet-Site vorgegaukelt, dass du kein Windows hast (funktioniert am besten mit "anti-IP spoofing", "stealth mode browsing")

x NetBIOS Protection -> Schützt vor Missbrauch des Netzwerk-Protokolls Netbios bzw. ein TRojaner, der sich auf den dazugehörigen Ports in deinen PC einwählt

x Anti-Application Hijacking -> damit wird angezeigt, wenn z.B. der Internet Explorer von einer anderen Anwendung gestartet wurde

x Automatically block attackers IP address for 600 second(s) --> damit wird für 600 Sekunden (10 Minuten) ein Angreifer geblockt, eine Überlastung der Firewall wird verhindert

---------------------------------------------------------
Smart Traffic Handlung

x Enable smart DNS (domain name server = DNS, falsche Internetadressen werden geblockt?)
x Enable smart DHCP (für DHCP-Server = Netzwerk erforderlich)
x Enable smart WINS (?)

------------------------------------------------------------------------------------------------
T-Online/Fritz Web -> das ist egal

Network Neighborhood Settings:
Allow to browse Network Neighborhood files and printer(s) (Standard: AN)
Allow others to share my files and printer(s) (Standard: AUS)
--> beide sollten abgeschaltet sein, wenn du nicht mit einem anderen Rechner in einem Netzwerk verbunden bist

[Steini]

Schau doch mal den Artikel auf http://www.au-ja.org/artikel-firewall-1.phtml näher an. Hier wird Dir anhand der Sygate Personal FW erklärt, welche Einstellungen und Regeln wichtig sind und wie sie gemacht werden.

Gruß,

Steini

[freak01]

Zitat:
Das Fritz!web ist so etwas wie eine Hardware-FW auf Deinem Rechner, das blockt jeden eingehenden Verkehr erfolgreich ab.

Mit einer Hardware-FW kann er aber nicht kontrollieren, was sich ins Internet verbinden möchte

-------------------------------------------------------------------------------------
Und wenn eine Hardware-Firewall vorgeschaltet ist, (auch diese kann ausfallen, nichts ist unmöglich ;-)) dann springt die Software-Firewall ein

moment mal ... : FritzWeb ist doch in der "FRITZ!32 Kommunikationssoftware" enthalten, also gar keine Hardware-Firewall ?

[wop]

@n00ble°suPP
Umso teurer die Firewall, desdo besser der Schutz - oder wie?

Mit der Outpost bist Du anscheinend nicht klargekommen,
http://www.computerbase.de/forum/showthread.php?t=44319
da ist der Kauf und Umstieg auf die Sygate die falsche Richtung - weil ohne fundierte Netztwerkkentnisse Dein Rechner mit Sygate unsicherer ist als kpl. ohne Firewall.

Nach Jahren mit der Outpost Free bin ich vor 2 Monaten auf die Outpost Pro 2.0 umgestiegen - und es hat sich gelohnt. Läuft stabiler, ist übersichtlicher und hat einen umfangreichen Logviever. Etliche Verbesserungen werden in der 2.1 realisiert, die Betaphase läuft schon.

Nochmal die Links für Outpost -Interessierte:
http://www.agnitum.com/download/
User Guide in deutsch http://www.agnitum.com/download/outpost1.html
agnitum.com hat auch ein engl. Outpostforum.

Dt. Outpost-Support, Forum, Test, Plugins usw http://www.firewallinfo.de/index.php

wop

[freak01]

@wop:
vom Funktionsumfang ist Outpost Pro 2 wirklich nicht zu schlagen (ich hatte ungefähr 20 Tage mal die TRial getestet) was mich schließlich zur Sygate Firewall gebracht hat, sind die Löcher / offenen Ports, die bei Outpost trotz angeblichem "stealth"-modus offen sind, die ich nach mehreren firewall-tests entdeckte

[Morgoth]

Fritz!Web simuliert eine Art Hardwarerouter in Software. Das meinte ich mit "...so etwas wie..."

Und wenn Fritz!Web ausfällt, dann kann man nicht mehr ins Internet, also ist eine Softwarefirewall dann nutzlos.

Gruß
Morgoth

[n00blesupp]

...

genialer name

... meinste wirklich?

Danke erstmal für eure Antworten; jetzt sind mir ein paar Dinge klarer geworden!

Trotzdem habe ich noch en paar Fragen bzgl. mancher Optionen (ich liste grad mal noch die Beschreibung aus der Hilfe auf!)

Smart Traffic Handling

- 'Enable smart DNS' (an)
By default, this option is enabled in the Personal Firewall. Smart DNS is a feature that blocks all DNS traffic, except for outgoing DNS requests and the corresponding reply. This means that if your computer sends out a DNS request, and another computer responds within five seconds, the communication will be allowed. All other DNS packets will be dropped.

If you disable this feature, please note that you will need to manually allow DNS name resolution by creating an advanced rule that allows UDP traffic for remote port 53.
=> Soll ich an lassen oder deaktivieren?


- 'Enable smart DHCP' (an)
By default, this option is enabled in the Personal Firewall. Smart DHCP is a feature that allows only outgoing DHCP requests and incoming DHCP replies, and only for network cards that allow DHCP.

Should you choose to disable this feature, and need to use DHCP, you must create an advanced rule for UDP packets on remote ports 67 and 68.
=> Soll ich an lassen oder deaktivieren?


- 'Enable smart WINS' (aus)
By default, this option is disabled in the Personal Firewall. It allows Windows Internet Naming Service (WINS) requests only if they were solicited. If the traffic was not requested, the WINS reply is blocked.
=> Soll ich aus lassen oder aktivieren?



Security Enhancement

- 'Allow initial traffic'
By default, this option is enabled in the Personal Firewall. This option enables initial traffic, needed for basic network connectivity, to take place. This includes initial DHCP and netBIOS traffic so that the Personal Firewall can obtain an IP address, for example.
=> Kann ich das auch deaktivieren?


- 'Block Universal Plug and Play (UPnP) Traffic'
By default, this option is enabled in the Personal Firewall. This option causes the Personal Firewall to look for and block UPnP traffic to counter the vulnerabilities that are introduced by this operating system feature: The first vulnerability could enable an attacker to gain complete control over an affected system, while the second vulnerability could enable an attacker to either prevent an affected system from providing useful service or utilize multiple users’ systems in a distributed denial of service attack against a single target. Users can disable this feature when using applications that require the UPnP protocol to operate.
=> Woher weiß ich, ob ich solche Anwendungen habe, die dieses UPnP protocol nutzen? Soll ich die Opt. deaktivieren?

• Wenn ich 'Anti-IP Spoofing' aktiviere, kommt folgende Meldung Disabling oder enabling Anti-IP Spoofing will cause any current connection to be lost. Also when Anti-IP Spoofing is enabled all connections will be lost if the service if the service is stopped or started.
  Bitte was soll ich darunter verstehen?
• Soll ich den 'Stealth-Mode' aktivieren? Ist das das gleiche wie bei Outpost?
• @ freak01: Bist du sicher, dass es egal ist, welches 'Network Interface' ich auswähle?

Dann hatte ich gestern noch ne Meldung von meiner Firewall, die mich ein bisschen stutzig gemacht hatte (s. Anhang)!

War das jetzt schon ein Angriff, wurde der geblockt, oder wie? Kleiner Flo is ganz =>

Hier noch die in der Logdatei angezeigte Packetmenge:
0000: 44 45 53 54 00 00 20 53 : 52 43 00 00 08 06 00 01 | DEST.. SRC......
0010: 08 00 06 04 00 02 20 53 : 52 43 00 00 CD BC FA 06 | ...... SRC......
0020: 44 45 53 54 00 00 D9 56 : 44 C4 00 7E FF 03 00 FD | DEST...VD..~....
0030: 21 B3 00 0B 47 E9 11 C8 : | !...G...



Danke, dass ihr euch die Mühe macht!

[freak01]

* Wenn ich 'Anti-IP Spoofing' aktiviere, kommt folgende Meldung Disabling oder enabling Anti-IP Spoofing will cause any current connection to be lost. Also when Anti-IP Spoofing is enabled all connections will be lost if the service if the service is stopped or started.
Bitte was soll ich darunter verstehen?

-> die sygate-firewall ist unter windows als service angemeldet (läuft also automatisch und permanent im hintergrund, auch wenn die *.exe nicht läuft)

... das bedeutet, wenn du ein häckchen vor diese option setzt, muss die anwendung bzw. die zulassung für die anwendung neu initialisiert werden:
du surftst gerade eine internet-site an, aktivierst genau in dem moment das häckchen (unwahrscheinlich, nicht?) danach musst du die adresse im browser neu angeben oder "aktualisieren"
mach dir keine sorgen darüber, bei mir funktioniert das auch

* Soll ich den 'Stealth-Mode' aktivieren? Ist das das gleiche wie bei Outpost?

Nicht ganz, dieser modus ist im grunde sogar eine stufe weiter als bei Outpost

wenn du den "stealth-mode/modus" aktivierst und die oben genannten optionen zusätzlich dazu, wirst du auf bestimmten sites merken, dass fehlermeldungen kommen, sprich: dein browser/system wird nicht mehr als windows anerkannt, sondern als unbekanntes system

probier' das mal bei http://securityresponse.symantec.com/ -> "check for security risks" mit den aktivierten optionen, interessant nicht? die site fragt, was du für ein system hast

* @ freak01: Bist du sicher, dass es egal ist, welches 'Network Interface' ich auswähle?

klaro, wenn du z.B. das 2. Gerät, welches beim Öffnen des Tabs nicht angezeigt wird, auswählst, wirst du beim öffnen das nächste Mal sehen, dass wieder das 1. Gerät gewählt ist -> das spielt also keine rolle, weil sich das programm die einstellungen trotzdem merkt

[n00blesupp]

Ich will dich ja nicht drängeln , aber kannste mir noch Auskunft zu der "Angriff-Meldung" und zu den Einstellungen unter Smart Traffic Handling - Security Enhancement geben.

Wie soll ich die einstellen??

[wop]

@freak01
"die Löcher / offenen Ports" konfiguriert man im OS dicht - wer z. Beispiel den Taskplaner anhat, der braucht sich über den offenen 135 nicht zu wundern.
Außerdem bezweifle ich daß zumindest die Outpost Pro irgendwas offen läßt, bei der Free bin ich mir nicht sicher, zumal sie (aufgrund der Releasenummer) seit einiger Zeit nicht weiterentwickelt wird.

Ob der ""stealth"-modus" Sicherheitstechnisch sinnvoll ist, darüber streiten sich die Gelehrten ...

Ich behaupte nicht daß Outpost die beste Firewall ist, für Leutz ohne Netzwerktechnik-Plan ist sie aber mit Sicherheit eine gute Wahl.

wop

[freak01]

@n00ble°suPP:

wenn du mir kurz sagst, wie man einen screenshot von dem programm macht, könnte ich den gleiche posten

@wop:
ich hatte nur gemeint, dass unter diversen firewall-testsites einige Ports für angreifer sichtbar waren (für mich auch *g*) vielleicht wurde dieses "loch" ja mit dem neusten update geschlossen


also nichts für ungut