connect 1/2003 - Rechenzentrum - Universität Augsburg
connect 1/2003 - Rechenzentrum - Universität Augsburg
connect 1/2003 - Rechenzentrum - Universität Augsburg
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Sicherheit<br />
Abb. 2: Administrations-Pannel<br />
dem regelmäßigen Update des Betriebssystems<br />
bildet ein Personal Firewall aber<br />
ein ausreichendes Bündel an Maßnahmen,<br />
das den Ansprüchen an die Sicherheit<br />
genügt.<br />
Sicherheit ist nicht umsonst zu haben. Es<br />
braucht Zeit und die Bereitschaft, sich<br />
mit den Einstellungen und dem Gebrauch<br />
eines Personal Firewall auseinander<br />
zu setzen. Aufgrund der Filtermöglichkeiten<br />
empfiehlt sich der – für den<br />
privaten Einsatz kostenlose – Personal<br />
Firewall der Firma Kerio.<br />
Das Softwarepaket ist einfach zu installieren<br />
(Windows 98, Me, NT 4.0, 2000, XP)<br />
und liefert einen Satz Filterregeln mit, die<br />
an die eigenen Gegebenheiten angepasst<br />
werden müssen. Die Programme, Konfigurations-<br />
und Logfiles werden im<br />
Unterverzeichnis C:\Programme\Kerio\Personal<br />
Firewall abgelegt.<br />
Unmittelbar nach dem obligatorischen<br />
Neustart fährt der Firewall in den Lernmodus.<br />
Der Benutzer muss für jede Datenverbindung<br />
entscheiden, ob sie erlaubt<br />
oder abgelehnt werden soll. Zusätzlich<br />
besteht die Option, eine passende Filterregel<br />
erzeugen zu lassen (siehe Abbildung<br />
1).<br />
das Status-Pannel. Letzteres listet und<br />
summiert die gesamte Netzaktivität. Im<br />
Untermenü Logs -> Firewall Log bekommt<br />
man die Protokolleinträge des Firewalls<br />
chronologisch angezeigt.<br />
Der Firewall kennt drei Sicherheitsniveaus:<br />
Deny Unknown, Ask Me First und Permit<br />
Unknown. Die Einstellung erfolgt im<br />
Administrations-Pannel (siehe Abbildung<br />
2). Aus Sicherheitsgründen sollte die<br />
mittlere Stufe eingestellt sein. Einerseits<br />
läßt sie keinen ungewollten Datentransfer<br />
zu, andererseits werden Lücken im Filterregelwerk<br />
sofort aufgedeckt. Der Benutzer<br />
sollte ein Administrator-Kennwort<br />
setzen (Registerkarte Authentication) und<br />
darauf achten, dass der Firewall automatisch<br />
beim Windows Startup aktiviert<br />
wird (Registerkarte Miscellaneous).<br />
Es gibt zwei Methoden Filterregeln zu<br />
erzeugen. Wie bereits erwähnt mit Hilfe<br />
der interaktiven Abfrage oder manuell.<br />
Klicken auf Advanced öffnet das zugehörige<br />
Dialogfeld (siehe Abbildung 3). Der<br />
Benutzer kann Filterregeln erzeugen, ändern<br />
oder löschen, er kann sie (de)aktivieren<br />
und über ihre Reihenfolge entscheiden.<br />
Ein Arbeitsplatzrechner benötigt<br />
zwischen 10 und 15 Regeln.<br />
Das Filterregelwerk sollte – mit Ausnahme<br />
der letzten Regel – entscheiden welcher<br />
Datenverkehr zulässig ist. Die wichtige<br />
letzte Filterregel muss dann alle anderen<br />
Datenverbindungen ablehnen.<br />
Netzwerkverbindungen unter Windows,<br />
z.B. Laufwerks- oder Druckerfreigaben,<br />
sind einerseits besonders sicherheitskritische<br />
Applikationen, andererseits sind sie<br />
kompliziert in ein Filterregelwerk zu integrieren.<br />
Diese beiden Schwierigkeiten lassen<br />
sich mit dem Kerio Firewall umgehen<br />
(Registerkarte Microsoft Networking).<br />
Hierzu müssen u.a. in das Eingabefeld<br />
Trusted Address Group die IP-Adressen<br />
eingetragen werden, zu denen eine Vertrauensstellung<br />
besteht.<br />
Der Firewall bietet zwar die Möglichkeit<br />
die Authentizität der Netzapplikationen<br />
zu überprüfen (Registerkarte Application’s<br />
MD5). Die Signaturen lassen sich jedoch<br />
nicht manuell einpflegen. Deren Erzeugung<br />
ist auf den Lernmodus beschränkt.<br />
Erheblich leichter und besonders für Anfänger<br />
überschaubarer wird das Arbeiten<br />
mit der Personal Firewall von Kerio, indem<br />
die Konfigurationsdaten aus einer<br />
Datei eingelesen werden (Registerkarte<br />
Miscellaneous im Administrations-Pannel).<br />
Vorsicht, der Hinweis Current settings will<br />
be lost! ist wörtlich zu nehmen! Die neuen<br />
Filterregeln werden erst nach einem Neustart<br />
des Computers aktiv. Die alten werden<br />
aber mit dem Laden der neuen Konfiguration<br />
deaktiviert.<br />
• Eine Beispielkonfiguration ist unter<br />
der angegebenen URL erhältlich:<br />
www.rz.uni-augsburg.de/security.<br />
• Dokumentation der Kerio Personal<br />
Firewall<br />
www.kerio.com/dwn/kpf/kpf21-en-v1.pdf<br />
• Download der Software<br />
www.kerio.com/dwn/kpf2-en-win.exe<br />
Anfänglich tritt eine Flut solcher Anfragen<br />
auf. Sie vermitteln einen Eindruck<br />
von der Höhe des Datendurchsatzes. Es<br />
braucht nur wenige Minuten für die erste<br />
Anfrage nach einem Verbindungsaufbau<br />
von einem Rechner außerhalb der Universität.<br />
Hierbei handelt es sich entweder<br />
um fehlgeleitete Pakete oder Aktionen,<br />
die gegen das eigene System gerichtet<br />
sind.<br />
Der Kerio Firewall verfügt über zwei<br />
Schnittstellen: das Administrations- und<br />
Abb. 3: Dialogfeld zur Manipulation der Filterregeln.<br />
14<br />
<strong>connect</strong> 1/<strong>2003</strong>