Personal Firewalls: So konfiguriert man sie richtig

Normalerweise ist eine Firewall so konfiguriert, dass sie alle Pakete abweist, die eine Verbindung von außen aufbauen wollen. Das heißt, man muss einzelne Dienste freigeben. Das ist in vielen Fällen schwieriger als es zunächst scheint: Relativ einfach sind Protokolle wie SSH oder Telnet. Wer sie für einzelne Nutzer freigeben will, muss dazu lediglich TCP-Port 22 (SSH) oder 23 (Telnet) zulassen.

Recht komplex ist das SMB-Filesharing von Windows oder via Samba. Es nutzt die TCP-Ports 135, 139 und 445 sowie die UDP-Ports 137 und 138. Um also SMB-Filesharing für einen begrenzten Nutzerkreis zu erlauben, etwa 192.168.0.0/24 oder 10.0.0.0/8, müssen alle diese Ports eingehend geöffnet werden.

Die meisten Firewalls besitzen jedoch für Standard-Anwendungen ebenfalls Profile oder Regelsätze. Auf diese Weise lässt sich der logische Dienst Windows-File-und-Printer-Sharing in seiner Gesamtheit für andere freigeben.

Kompliziert wird es, wenn man einen Dienst freigeben will, der nicht in der Liste der Standardanwendungen der Firewall eingetragen ist. Dann muss man alle Ports kennen, die der Dienst benutzt und die Ports einzeln freigeben.

Darüber hinaus gibt es Dienste, bei denen man gar nicht vorhersagen kann, welche Ports sie benutzen. Dazu gehört etwa FTP. FTP verwendet zwei TCP-Verbindungen, eine für Übermittlung von Kommandos und die zweite für den Datentransfer. Ganz gleich, ob man aktives oder passives FTP verwendet, teilt entweder der Server (passiv) oder der Client (aktiv) der Gegenstelle mit, zu welchem Port diese die Datenverbindung aufbauen soll.

Die meisten FTP-Server erlauben es, für passives FTP eine TCP-Port-Range anzugeben, die für Datenverbindungen genutzt werden kann, beispielsweise 55000 bis 55999. In diesem Fall müssen FTP-Server und Firewall aufeinander abgestimmt werden.

Wer auf einem Rechner keine Dienste wie File-und-Print-Sharing, FTP, HTTP, SSH, Remote Desktop oder VNC freigeben will, hat es scheinbar einfach. Die Default-Firewall-Einstellungen sperren normalerweise jeden eingehenden Verbindungsaufbau.

Man sollte aber auch an typische Peer-to-Peer-Dienste denken, etwa P2P-Filesharing. Neben der Öffnung der genutzten Ports am NAT-Router müssen die Ports auch an der Personal-Firewall geöffnet werden, sofern das Filesharing-Programm die Firewall nicht "kennt" und die Ports automatisch öffnen kann. Das gleiche gilt auch für viele LAN-Spiele.

Themenseiten: Big Data, Datendiebstahl, Hacker, Privacy, Security-Analysen

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Personal Firewalls: So konfiguriert man sie richtig

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *