Internet Connection Firewall (ICF)

Firewall in Windows XP mit SP1 / Server 2003:

Die integrierte Firewall in Windows XP/2003 ist ein reiner Port-Blocker (Internet Connection Firewall, kurz ICF), also die einfachste Art "Brandschutz-Mauer", die man sich vorstellen kann. Trotz des bescheidenen Funktionsumfangs empfehlen wir diese für die genutzten Online-Verbindungen zu aktivieren. Standardmäßig ist die integrierte Firewall-Funktionalität deaktiviert (nur bei SP1).

Die Firewall besitzt keine eigenständige Bedienoberfläche, sondern ist per Rechtsklick in den Eigenschaften einer Verbindung zu finden, und zwar im Reiter Erweitert. Dies gilt für alle angelegten DFÜ-, LAN- oder sonstigen Verbindungen.

 

Über Einstellungen gelangt man zu den erweiterten Konfigurationsoptionen. Die meisten User müssen die Firewall nicht speziell konfigurieren, weil die Basis-Einstellungen die Sicherheitsfunktionen bereits weitgehend ausschöpfen. Im Reiter Dienste sollten Protokolle wie FTP, POP3, Telnet und HTTP nur zur Nutzung freigegeben werden, wenn ein entsprechender Server lokal, im LAN oder im VPN betrieben wird. Alle nicht ausgewählten Ports bleiben für den Aufbau von Verbindungen durch fremde Rechner geschlossen.

 

Wer also Websites ansehen will, braucht dafür nicht den Eintrag Webserver (HTTP) mit Port 80 auszuwählen. Dies muss nur der User tun, der erstens einen Webserver betreibt und zweitens möchte, dass dieser im Internet erreichbar ist. Auch für die vielen lokalen HTTP-Server zum Test eigener Websites vor deren Upload ist hier also kein Freischalten nötig.

Ebenso sollte nur jemand, der ein Fernwartungsprogramm von einem anderen PC aus nutzen will, den Eintrag Remotedesktop freischalten. Denn die hierbei genutzten lokalen Terminal-Server-Sessions auf Port 3389 sind für Angriffe nutzbar.

Wie die meisten Firewalls protokolliert auch das Tool die aktiven Online-Verbindungen, wenn auch nicht ausführlich. Im Konfigurationsmenü der Firewall unter Erweitert/Einstellungen finden Anwender im Reiter Sicherheitsprotokollierung ein Protokoll von Verbindungsdaten. Über Protokollierungsoptionen lässt sich die Menge der mitzuschreibenden Daten regeln und ein Größenlimit für das Logfile bestimmen. Hierbei sollte der User sowohl Verworfene Pakete protokollieren als auch Erfolgreiche Verbindungen protokollieren auswählen. Das Logfile ist als Textdatei pfirewall.log unter c:\windows abgelegt. Über Durchsuchen greift der Nutzer auf den genannten Ordner zu. Mit dem Windows-Editor lässt sich die Log-Datei öffnen.

Die gelogten Informationen umfassen im wesentlichen Ursprungs- und Ziel-IP-Adresse einer Verbindung sowie die hierbei verwendeten Ports. Diese Einträge sind nach Zugriffszeit geordnet. Alle anderen Angaben, wie Port-Zustand (action), verwendetes Übertragungsprotokoll (protocol), Quell-IP (src-ip), Ziel-IP (drc-ip), Quell-Port (src-port) und Ziel-Port (dst-port) werden ohne eine komfortable Spaltenzuordnung angezeigt. Wer möchte, kann die Daten in Excel als Tabelle formatieren und nach Wunsch sortieren.

Mit ICMP (Internet Control Message Protocol) sind die mit IP kommunizierenden Hosts und Router in der Lage, auftretende Fehler zu melden und eingeschränkte Steuer- und Statusinformationen auszutauschen.

Beispiel: Mithilfe des Befehls ping können Sie ICMP-Echoanforderungen senden und den Empfang von ICMP-Echoantworten aufzeichnen. Anhand dieser Meldungen können Sie Hostkommunikations- und Netzwerkfehler ermitteln und allgemeine Probleme bei TCP/IP-Konnektivität beheben.

Die Abbildung zeigt unsere Empfehlung zur ICMP-Einstellung:

Echoanforderung Ermittelt, ob ein IP-Knoten (ein Host oder ein Router) im Netzwerk verfügbar ist.
Echoantwort Antwortet auf eine ICMP-Echoanforderung.
Ziel nicht erreichbar Sendet Informationen an den Host, wenn ein Datagramm nicht zugestellt werden kann.
Quelldrosselung Weist den Host aufgrund einer Netzwerküberlastung an, die Übertragungsrate herabzusetzen.
Umleitung Benachrichtigt den Host über eine bevorzugte Route.
Zeitüberschreitung Gibt an, dass die Gültigkeitsdauer (TTL = Time-To-Live) eines IP-Datagramms abgelaufen ist.

ICMP-Meldungen werden i. d. R. in einer der folgenden Situationen automatisch gesendet:

Ein IP-Datagramm gelangt nicht zum gewünschten Ziel.
Ein IP-Router (Gateway) ist bei der aktuellen Übertragungsrate nicht in der Lage, Datagramme weiterzuleiten.
Ein IP-Router weist den sendenden Host an, eine bessere Route zum Ziel zu verwenden.
ICMP-Meldungen werden eingekapselt und werden in IP-Datagrammen gesendet.

Die verschiedenen Arten von ICMP-Meldungen werden im ICMP-Header gekennzeichnet. Da ICMP-Meldungen in IP-Datagrammen übertragen werden, können sie nicht als zuverlässig gelten.