Port Blocken

Absichern des LANs, Firewallkonfiguration, Sicherheit, ...

Moderatoren: TommyTC, alf, Petrus, andreastc, DSL-Hexe, nobody

Beitragvon Lupi » So 07.07.2002 - 13:37

Hi,
weis nicht wie ich alle Ports blocken soll!!!!
So?:

Durchlassen oder blocken?
- Blocken , wenn keine andere folgt

(Will noch andere Regeln folgen lassen, wo ein Paar Ports Frei gegeben sind.)

Weiterleiten an:
- keine

Richtung
- rein

Protokoll
- jedes

Quelle: any 255.255.255.255 (/32) = leer leer
Ziel: any 255.255.255.255 (/32) = leer leer
(leer steht für ein leeres Feld)

Cu Lupi
Lupi
Grünschnabel
 
Beiträge: 2
Registriert: So 07.07.2002 - 13:17

Beitragvon defence » So 07.07.2002 - 17:51

Ich würde es andersherum machen:
Ich würde die Block-Regeln in das letzte Set setzen und die Erlaubnis-Regeln davor (es muss dann allerdings fortlaufend auf die folgenden Sets verwiesen werden). Bei diesem Aufbau reicht es aus, mit block immediately bzw. pass immediately) zu arbeiten. Im übrigen ist Deine Regel richtig, aber: Du musst eine gleichlautende ausgehende Regel (Richtung out) formulieren, die viel wichtiger ist. Auf Rechnern, auf denen keine Server-Dienste laufen, sind eingehende Verbindungen selten (Ausnahme: ICMP, UDP-Verbindungen für Media-Streaming, z.B. QuickTime, RealPlayer, aktives ftp).

Eine Beispielkonfiguration findest Du bei www.vigor-users.de

Grüsse
defence
Power-User
 
Beiträge: 115
Registriert: Do 25.04.2002 - 18:15

Beitragvon Lupi » Mo 08.07.2002 - 09:54

Danke Defence für deine hilfe!!

Bis denn :)
Lupi
Grünschnabel
 
Beiträge: 2
Registriert: So 07.07.2002 - 13:17

Beitragvon chi » Mi 31.07.2002 - 23:37

[quote="defence"][/quote]
Hi,

> Ich würde es andersherum machen:
> Ich würde die Block-Regeln in das letzte Set setzen
> und die Erlaubnis-Regeln davor [....]

FALSCH!!! (und sehr gefährlich gerade beim Web-Interface des Vigor - ein fortlaufender Verweis bis zur abweisenden Regel, ohhh Wahnwitz , wer kommt auf solch eine Idee! :(

Es ist zum Haare raufen:
Es gibt eine nur eine grundlegende Regel für Firewalls ->
Zuerst alles verbieten und dann ein paar Kleinigkeiten erlauben!!!

Falls du keine Flatrate hast:
Zuerst einmal einen vernünftigen Call-Filter!
Die default-Regel des Vigor kannst du da vergessen! (Ganz ehrlich: ist dort keinem aufgefallen das eine IN-Regel recht schlecht für einen Call-Filter geeignet ist :-)))
Also wenn du Windows-Rechner hast:
(OUT) egal woher, egal wohin, Port 137-139 Block Immedialety
Dann kannst du noch so alles anwenden was gegen unerwünschten Verbindungsaufbau empfohlen wird, Schaden wirds kaum ;)

Dann die 'Daten-Filter':
Also zuerst alles 'ganz gefährliche' mal abblocken:
- Source Route: (OUT) egal wohin, warum, wie, wann, weswegen <g> - Block Immedialety
- Too short: (IN) egal woher, etc... - Block Immedialty
- NETBIOS: (IN) egal woher, wohin, Port 137-139 Block Immedialety
- NETBIOS (OUT) egal woher, etc..., Port 137-139 Block Immedialety
(Kein Kummer zwecks Netzwerkkopplung: für einen IP-Tunnel jeglicher Art - also ein VPN - gelten diese Regeln nicht!)

Jetzt alles vorsorglich 'bedingt' verbieten:
- From all, to all, protocol any (IN) Block all If No Further Match
- From all, to all, protocol any (Out) Block all If No Further Match

Und nun kannst du anfangen diverse Ports und Adressen freizugebenn!!!

> Eine Beispielkonfiguration findest Du bei www.vigor-users.de
[...]
Ich nehme an, hier ist die Konfiguration von Michael König gemeint.
Diese find ich in einigen Punkten recht bedenklich:
Punkt null: den Abschnitt Netbios over TCP/IP in den Begriffserläuterungen möchte ich lieber überlesen haben......
Punkt eins: siehe oben (Firewall-Bibel)!
Punkt zwei: Warum hat der Autor trotz seiner (IMHO richtigen) Erkenntnis und trotz seiner Empfelungen in den Anmerkungen die Standardregeln des vigor in sein Konfigurationsbeispiel übernommen???
Punkt drei: Auf 'aktives FTP' sollte man unbedingt verzichten - hier muss man IN-Connections auf beliebige Ports > 1024 erlauben - das ist HORROR! Ich kenne allerdings auch keinen vernünftigen Grund aktiv-FTP zu verwenden...
Punkt vier: man kann manche Details auch übertreiben ;))
Ansonsten sollte man sich das Dokument ruhig mal durchlesen...

Ansonsten solltest du bitte nicht vergessen das die Firewall des Vigor 'nur' ein Paketfiler ist!!!

Bye
Chi
Benutzeravatar
chi
Grünschnabel
 
Beiträge: 2
Registriert: Do 25.07.2002 - 19:24
Wohnort: Koepenick

Beitragvon defence » Sa 03.08.2002 - 15:38

Ich teile Deine Auffassung nicht:

1. Die von Dir vorgeschlagene Reihenfolge (Verbote zuerst und Erlaubnisse dahinter) hat gerade beim Vigor tatsächlich einen entscheidenden Vorteil: Wenn ich bei meiner Reihenfolge den Verweis auf das letzte Set 'vergesse', ist die ganze Firewall nutzlos. Hier muss man eben aufpassen; das muss man aber bei der Vigor-Firewall an allen Stellen !! Weitere Vorteile kann ich bei der von Dir vorgeschlagenen Reihenfolge nicht erkennen, wohl aber eine Reihe von Nachteilen:

a. Die Router Firewall kann nach meiner Auffassung nur einen Grundschutz liefern. Man braucht mindestens noch eine Desktop-Firewall (Port-Blocker), weil diese anwendungsbezogen blocken kann. Die meisten mir bekannten Desktop-Firewalls (Kerio, TPF, Norton Internet Security etc.) schreiben aber die Block-Regeln an das Ende, so dass man ständig umdenken muss, wenn man beide Firewalls konfigurieren muss. Wenn Deine Auffassung richtig wäre, hätten diese Programmierer alle keine Ahnung.

b. Mir ist kein anderer Router bekannt, der die Vigor-Option 'Block all if no further match' bietet. So müssen z.B. die ELSA-Router genauso konfiguriert werden, wie ich es vorgeschlagen habe. Weil ich auch andere Router konfigurieren muss und wahrscheinlich auch mit dem Vigor nicht in Rente gehen werde, ist es für mich wichtig, eine Konfiguration zu haben, die möglichst allgemein verwandt werden kann.

c. Ich bemühe mich, die Regeln so aufzubauen, dass ich möglichst schnell zum Ergebnis komme. Dein Aufbau führt dazu, dass der Router ständig eine Vielzahl von Verbotsregeln durchlaufen muss, bevor er die zutreffende Erlaubnisregel findet (und das möglicherweise für 4 angeschlossene Rechner). Bei meinem Aufbau muss ich nur ein einziges Mal (!) genau nachsehen, ob die Verweise stimmen.

2. Ich verstehe nicht, warum man in der Beispielkonfiguration bei www.vigor-users.de den Abschnitt NetBios over TCP/IP überlesen soll, sondern kann im Gegenteil nicht begreifen, warum Du NetBIOS über dieses Protokoll laufen lassen willst, um es dann im Router zu blocken. Ich binde doch NetBIOS nicht an ein routbares Protokoll, um dann das Routing wieder zu blocken ?

3. Aktives ftp ist gefährlich (steht auch in der Anleitung). Wer es aber braucht, kommt um die passenden Regeln nicht herum. Im Gegensatz zu Dir bin ich der Auffassung, dass die Regeln für aktives ftp für viele Anwender die drittwichtigsten (nach DNS und http) überhaupt sind: Die Datenübertragung bei den Tauschbörsen läuft idR über dieselben Ports ! (aber vielleicht beruht das Gejammere der Musikindustrie ja auf reinen Hirngespinsten)

4. Ich fand es nützlich, dass der Verfasser der Beispielkonfiguration die Original-DrayTek-Regeln abgedruckt und für unsinnig erklärt hat und im übrigen auch ausdrücklich darauf hingewiesen hat, dass die Regel Nr. 1 als Call-Filter unsinnig ist. Jetzt weiss ich das nämlich und brauche nicht weiter darüber nachzudenken. Als Block-Regeln sind die Regeln schließlich ungefährlich.


Grüsse
defence
Power-User
 
Beiträge: 115
Registriert: Do 25.04.2002 - 18:15


Zurück zu Firewall und IP-Filter

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste

cron