Tipps im Umgang mit externen Firewalls

Die folgenden Tipps gelten für gebräuchliche externe HOME-Firewalls, deren Software von den Herstellern meist auf DSL-Routern aufgesetzt wird, um eine Kontrolle des Internetzugriffs in privaten Netzwerken zu ermöglichen.

Hinweis: Hierbei handelt es sich um einen Entwurf, der zum Teil Stichpunkte enthält und unvollständig ist. Die hier erwähnten Einstellungen stellen zunächst einfache Vorschläge für den weiteren Verlauf des Artikels dar und sind mit einer gesunden Skepsis zu betrachten. Es steht jedem Leser frei, sich aktiv an dem Artikel zu beteiligen, Vorschläge zu unterbreiten und im Diskussionsbereich Kritik zu üben.

Grundlagen

• Die Zusammenhänge zwischen MAC- und IP-Adresse, Port, Subnetzmaske, DNS und „default Gateway“ werden im Artikel zur Adressierung in TCP/IP-Netzen erklärt.

• Um zu verstehen, wie eine externe (Home-) Firewall funktioniert und worin deren Grenzen liegen, ist der Artikel zur Firewall zu empfehlen.

Erstkonfiguration der Firewall

Da sich die Geräte stark von einander unterscheiden, ist eine einheitliche Beschreibung nicht möglich, weshalb wir zu den folgenden Punkten fast ausschließlich auf das Handbuch verweisen müssen.

Wenn möglich, den verkabelten Zugang nutzen

Für die Erstkonfiguration empfiehlt es sich, die Firewall mit dem PC zu verkabeln, statt den (möglichen) kabellosen Zugang zu verwenden. Im Anschluss daran kann es vorkommen, dass die Netzwerkeinstellung des PCs, wie im Handbuch beschrieben, konfiguriert werden muss, um eine Verbindung zur Firewall aufbauen zu können. Zuvor sollte man sich die alten Netzwerkeinstellungen des PCs notieren, um sie später wiederherstellen zu können.

Nach einem Neustart des PCs ist nun ein Zugriff auf die Firewall möglich. Wie man das Konfigurationsmenü der Firewall aufruft, wird ebenfalls im Handbuch beschrieben.

WLAN (vorübergehend) deaktivieren

Unterstützt die Firewall auch kabellose Netzwerke und wird sie, wie empfohlen, über den verkabelten Computer konfiguriert, ist als erste Handlung die vorübergehende Deaktivierung des drahtlosen Zugangs ratsam. In der Regel findet man diese Einstellung unter dem Namen „WLAN“, welches sich dort per „Disabled“ ausschalten lässt. Den drahtlosen Zugang sollte man erst wieder zulassen, wenn die Firewall so konfiguriert wurde, dass ein ungesicherter Zugriff auf das eigene WLAN nicht mehr ohne weiteres möglich ist.

Hinweis: In allen Netzwerken, die keinen drahtlosen Zugang benötigen, ist es grundsätzlich sinnvoll, das WLAN deaktiviert zu lassen. Damit schließt man nicht nur eine der populärsten Zugriffsmöglichkeiten für Eindringlinge auf das private Netz. Man spart auch Energiekosten und setzt sich keinem unnötigen Elektrosmok aus.

Den Firewallzugang konfigurieren

Als nächstes ist es sinnvoll, den Zugriff auf die Firewallkonfiguration durch ein Passwort zu schützen. Dann sollte man sich davon überzeugen, dass die „Remote Konfiguration“ für das Internet abgeschaltet ist (siehe Handbuch). So lässt sich verhindern, dass ein Rechner aus dem Internet die Konfiguration der Firewall ändern kann.

Den Internetzugang konfigurieren

Stellt die Firewall auch den Internetzugang bereit (wie bei DSL-Routern üblich), so müssen die Zugangsdaten des Internetproviders in dem Gerätemenü eingetragen werden (siehe Handbuch).

Die Firmware der Firewall aktualisieren

Sobald die Internetverbindung funktioniert, ist es empfehlenswert, zunächst auf die Herstellerseite der Firewall zu gehen und die aktuellste Firmware zu installieren. Dazu benötigt man, neben der Bezeichnung für die Firewall, oft auch die Versionsangabe der Hardware (z.B. Rev. A, B oder C etc.), welche meist einem Aufkleber an der Firewall zu entnehmen ist.

Hinweis: Es kann vorkommen, dass Hersteller Sicherheitslücken schließen, ohne diesen Umstand in der Historie zu erwähnen. Denn wird eine Sicherheitslücke von dem Unternehmen selbst gefunden und geschlossen, raten Marketingstrategen meist von einer Publikation ab, da dies potentielle Käufer abschrecken könnte. Deshalb scheint es sinnvoll zu sein, die aktuellste Firmware zu verwenden, auch wenn in der Historie nur Änderungen aufgelistet werden, die einem unwichtig erscheinen.

Oftmals werden durch das Update die Werkeinstellungen übernommen. Damit ist das drahtlose Netz nach der Einspielung der neuen Firmware wieder für alle offen, wobei auch die meisten anderen Einstellungen zurückgesetzt wurden. Daher sollte man nach dem Firmwareupdate wie bei einer Erstinstallation alle Punkte erneut abarbeiten.

WLAN-Konfiguration

Siehe dazu Tipps im Umgang mit einem WLAN-Accesspoint.

MISC-Einstellungen (ping-, DoS-Protect, etc.)

Wird noch beschrieben.

Firewallregeln

Im Folgenden werden Anfragen aus dem externen Netz als „eingehend“ betitelt, wobei Verbindungsanforderungen aus dem internen Netz kurz „ausgehend“ genannt werden. Die Bezeichnungen und Anordnungen der Filter sind je nach Hersteller unterschiedlich und werden hier allgemein gehalten, um eine Portierung zu vereinfachen.

Unsinnige Firewallregeln (Trojanerports sperren; Anfrage- mit Rückgabeport gleichsetzen)

Hin und wieder kommt es vor, dass jemand versucht, eingehende Trojanerports zu sperren. Da selbst ein DSL-Router und damit auch die darauf aufgesetzte externe HOME-Firewall PAT beherrscht, ist dies ein sinnloses, weil überflüssiges Unterfangen (diese Ports sind ohnehin gesperrt – wo sollten sie auch hinzeigen?). Wenn überhaupt, dann greifen solche Regeln lediglich bei einem „exposed Host“, nicht aber bei den übrigen internen Rechnern.

Da einem populären Irrtum zufolge zahlreiche Anwender davon ausgehen, dass die Antwortpakete an denselben Port gerichtet sind, auf dem die Netzwerkanfrage gestellt wird, vergreifen sie sich manchmal auch an die entsprechenden ausgehenden (Trojaner-) Ports ihrer Firewall, in der Hoffnung, damit den Zugriff auf das interne Netz besser unterbinden zu können. Wie im Beitrag zu den Anfrage- und Rückgabeports beschrieben, bietet dieses Vorgehen jedoch keinen zusätzlichen Schutz und kann unerwünschte Auswirkungen haben.

Regeln für ausgehende Verbindungen erstellen

Sinn und Unsinn eines solchen Regelwerks

Bei einer HOME-Firewall, welche in einem privaten Netz eingesetzt wird, stellt sich beim Sperren ausgehender Ports zunächst die Frage nach dem Sinn eines solchen Regelwerks. Firmen verwenden diese Filter, um den Zugriff ihrer Mitarbeiter auf das Internet einzuschränken (z.B. um zu erreichen, dass HTML-Seiten aufgerufen werden dürfen, eine Teilnahme am Chat jedoch unterbunden wird). Warum sollte man sein eigenes privates Netz einer solchen Einschränkung unterziehen? Einer der Gründe könnte sein, dass man damit verhindern will, dass eine Malware (Schadprogramm) von einem internen PC aus ungehindert auf das Internet zugreifen kann. Sobald man an der Firewall auch nur einen einzigen Port für die Kommunikation von innen nach außen freigibt, ist diese Maßnahme jedoch fragwürdig, da man nicht mit Sicherheit davon ausgehen kann, dass die zu blockierende Malware nicht auch diesen Port für ihre Kommunikation verwendet. Je populärer der Port ist, desto wahrscheinlicher wird ein solches Szenario. So ist bei fast jeder Firewall der Port 80 für die Kommunikation mit dem Internet freigeschaltet, da er für den Zugriff auf Webseiten (HTML) benötigt wird. Zahlreiche Malwareprodukte nutzen nun ebenfalls den Port 80 für ihre eigene Kommunikation mit dem Internet, da sie davon ausgehen können, dass der Port nicht blockiert wird.

Ausgehende Verbindungen konfigurieren

Will man dennoch die Kommunikationsmöglichkeiten über die externe Firewall einschränken, so lässt sich dass wie folgt realisieren.

Grundlegende Einstellungen

Zunächst bietet es sich an, eine Regel zu erstellen, die jeglichen Zugriff auf das Internet für alle internen Rechner unterbindet, um danach nur die explizit erlaubten Kommunikationen zuzulassen.

Hierbei handelt es sich um eine globale Regel. Da die meisten Firewalls die Regeln von oben nach unten abarbeiten, ist es ratsam, diese Regeln zu den anderen globalen Regeln an das Ende der Regelliste zu stellen. Auf diese Weise lassen sich leicht Ausnahmen definieren, indem eine Regel, die den Zugriff auf einen gesperrten Port wieder erlaubt, einfach vor die globale Regel platziert wird.

Was wurde durch diese Regel erreicht? Die Netzwerkkommunikation eines Programms, welches möglicherweise versucht, von einem internen Rechner aus mit dem Internet zu kommunizieren, wird nun blockiert, solange es keinen Port verwendet, der durch einer der folgenden Regeln explizit freigegeben wurde.

Grundsätzlich sollte man als erstes ICMP (Internet Control Message Protocol) zulassen, da dieses Protokoll die Basis für eine gepflegte Kommunikation im Netz darstellt. Es dient dem Austausch von Fehler- und Informationsmeldungen. Wird es blockiert, so funktionieren viele Verbindungen zwar noch immer, jedoch wird dann das Netz durch Mehrfachanfragen unnötig belastet und die eigene Netzwerkkommunikation ausgebremst. Auch kann eine Blockierung von ICMP zu schwer analysierbaren Fehlerzuständen innerhalb einer Netzwerkverbindung führen. Wie man sich gegen einen möglichem Missbrauch dieses Protokolls schützt, wird später erklärt. Ein generelle Blockade von ICMP ist jedenfalls der falsche Weg.

Für die Auflösung von Webadressen sollte nun der DNS-Zugriff erlaubt werden:

Surfen und Download von Dateien erlauben (HTTP, HTTPS, FTP)

Möchte man den internen Rechnern gestatten, mit ihrem Browser auf das Internet zuzugreifen, sowie Dateien herunterzuladen, bieten sich zudem folgenden Regeln an:

Chat freischalten (IRC)

IRC (Internet Relay Chat) ermöglicht die Teilnahme an einem rein textbasierten Chat-System. Um es nutzen zu können, benötigt man die folgende Firewallregel:

Hinweis: Möchte man statt IRC einen alternativen Chat wie z.B. ICQ verwenden, dann benötigt man diese Regel nicht.

FTP-Methoden erweitern (SFTP, aktives FTP)

Bei SFTP werden Passwort und Nutzdaten verschlüsselt übertragen. Um es nutzen zu können, muss der SSH-Port freigeschaltet sein:

Aktives FTP findet im Internet kaum Anwendung. Aufgrund gravierender sicherheitstechnischer Probleme, sollte man auf den Gebrauch dieses Protokolls möglichst verzichten. Wird es dennoch benötigt, so lässt es sich wie folgt freischalten:

Verschlüsselte Verbindung nutzen (SSH)

Der SSH-Tunnel bietet mehrere Möglichkeiten, um die Übertragung von Passwort und Nutzdaten verschiedner Dienste verschlüsselt zu übertragen. Um ihn nutzen zu können, muss der SSH-Port freigeschaltet werden (wenn SFTP erlaubt wurde, so ist der SSH-Port bereits freigeschaltet):

Den erweiterten Zugriff auf eMails ermöglichen

Mit den Einstellungen zum Surfen lassen sich eMails mittels Webinterface des jeweiligen Anbieters bereits erstellen und abrufen, ohne dass ein weiterer Port dafür freigeschaltet werden muss. Zudem gibt es Produkte, die den eMailverkehr über Port 80 bzw. Port 443 tunneln, was mit diesen Einstellungen ebenfalls bereits funktioniert. Daher bietet es sich an zu testen, ob man mit den bisherigen Einstellungen nicht schon wie gewohnt auf seine eMails zugreifen kann (siehe auch Fehleranalyse).

Gelingt der Zugriff auf die eMails nicht, kann eine der folgenden Regeln helfen, das Problem zu beheben. Durch eine (Internet-) Recherche des verwendeten Produkts lässt sich herausfinden, welches Protokoll verwendet wird (respektive welchen Port man freischalten muss). Alternativ dazu lassen sich die benötigten Ports auch durch die testweise Freischaltung der folgenden Regeln herausfinden:

POP3(S) + (S)SMTP

Die meisten eMail-Clients verwenden noch immer POP3 („Post Office Protocoll, Version 3“), ein Protokoll, welches genutzt wird, um eMails aus dem Eingangsordner des Providers auf den PC zu laden. Da POP3 nicht zum Versenden von eMails geeignet ist, wird es in Kombination mit SMTP verwendet. Die Klartextversion, welche Passwort und Inhalt der eMails unverschlüsselt überträgt, benötigt folgende Firewallregeln:

Aus Sicherheitsgründen ist es ratsam, stattdessen eine gesicherte (SSL-) Verbindung zu verwenden, bei der das Zugangspasswort und die eMails verschlüsselt übertragen werden. Der eMail-Provider muss dies allerdings unterstützen. Zudem muss das eMail-Clientprogramm auf dem PC entsprechend konfiguriert worden sein. Statt der obigen Einstellung benötigt man nun die folgenden Firewallregeln:

Hinweis zur Fehlersuche: Aus Sicherheitsgründen erlauben einige Provider den SMTP-Zugriff auf ihren eMaildienst erst, nachdem man sich dort über POP3 authentifiziert hat. In diesem Fall ist man gezwungen, zunächst eMails von dort abzuholen, bevor ein Versand neuer eMails dorthin möglich wird. Dieses Verhalten stellt keinen Fehler dar und hat nichts mit der Firewallregel zu tun.

IMAP(S)

Anders als bei der Verwendung von POP3 kann das modernere Protokoll IMAP (Internet Message Access Protocol) eMails nicht nur empfangen, sondern auch versenden. Neu ist ebenfalls die Art des Zugriffs, welche es erlaubt, eMails nebst Verzeichnissen auf dem Server zu verwalten. Routinen für Sortieren, Suchen und Löschen laufen direkt auf dem Server. Alternativ dazu lassen sich eMails für den Offlinebetrieb auch lokal verwalten oder lokale Sicherungskopien des Serverbestands anlegen. Für die Klartextversion von IMAP benötigt man folgende Regel:

Aus Sicherheitsgründen ist es auch hier ratsam, stattdessen eine gesicherte (SSL-) Verbindung zu verwenden, bei der die Daten verschlüsselt übertragen werden. Der eMail-Provider muss IMAPS allerdings unterstützen. Zudem muss das eMail-Clientprogramm auf dem PC entsprechend konfiguriert worden sein. Statt der obigen Einstellung benötigt man nun die folgende Firewallregel:

SMTP(S) only

SMTP (Simple Mail Transfer Protokoll) kann eMail versenden und empfangen, benutzt hierfür jedoch keine Authentifizierung (daher „simple“). Das Protokoll wird von eMailservern untereinander benutzt, um eMails zu transportieren. Abhängig von der Gegenstelle kann man es privat auch ohne POP3 nutzen. Dazu muss wie unter POP3(S) + (S)SMTP beschrieben lediglich der Port 25 bzw. 465 (für SSMTP) in der Firewall freigeschaltet werden. Will man dagegen einen eigenen Mailserver betreiben, so muss man einen entsprechenden Dienst einrichten, der über das Internet erreichbar ist.

Weitere Dienste zulassen

Wird der Zugriff auf einen Dienst benötigt, der hier nicht aufgeführt ist, dann kann ein Blick in die Portliste helfen, den dafür freizuschaltenden Port zu finden.

Regeln für LAN-Rückgabeports erstellen

Es gibt Methoden, die es ermöglichen, durch die externe Firewall hindurch auf die Netzwerkdienste der internen Rechner zugreifen zu können. Ein möglicher Angriff basiert auf eine speziell präparierte Internetseite, die z.B. über Java eine Verbindungsanforderung aus dem internen Netz zum externen Netz hin initiiert, wobei als Rückgabeport der Port des Netzwerkdienstes angegeben wird. Dadurch erzeugt sie eine dynamische Regel in der NAT-Tabelle, die es dem kontaktierten Internetserver nun erlaubt, auf den Netzwerkdienst zuzugreifen. Als Beispiel siehe den Beitrag zum PAT-Angriff auf Computer hinter einer externen Firewall. Die folgende Regel soll helfen, diese Art des Zugriffs zu unterbinden:

Da hierdurch alle internen Verbindungsanfragen unter Angabe dieser Rückgabeports entweder keine Einträge in der NAT-Tabelle mehr hervorbringen oder aber wenigstens die Antwortpakete an die internen Rechner nicht mehr durchgereicht werden, lässt sich der Zugriff auf den Netzwerkdienst verhindern. Diese Regel greift allerdings ausschließlich für Netzwerkdienste, die sich an einen Port von 0 bis 1023 eines internen Rechners binden. Kommt auf den internen Rechnern ein Netzwerkdienst zum Einsatz, der einen Port jenseits der 1023-Marke nutzt, so kann man den verwendeten Port durch eine weitere, gleichartige Regel sperren. Allerdings ist es nicht ratsam, die Port Range bis zu diesem Port zu erhöhen, da dies zu unerwünschten Nebenwirkungen bei dynamischen Verbindungen führt. Einen Port eines Netzwerkdienstes, der höher als 1023 ist, muss man also einzeln sperren.

Hinweis: Es gibt externe HOME-Firewalls, die eine solche Regel nicht unterstützen. Und selbst wenn sie diese Regel zulassen, kann es sein, dass die gewünschte Wirkung ausbleibt. Der Grund dafür liegt darin, dass einige Hersteller diese Art der Regel dazu verwenden, um ausschließlich den „exposed Host“ gegen die besagten Ports abzusichern. Testen kann man die Funktionalität der Regel, indem erst einmal sämtliche internen Rückgabeports gesperrt werden (Port Range = 0 bis 65535). Kann man nun eine Verbindung zum Internet aufbauen, so ist die Regel für die internen Rechner jenseits des „exposed Hosts“ wirkungslos.

Man kann die oben benannte Attacke auch verhindern, wenn die Firewall diese Regel nicht unterstützt. Allerdings muss man dafür alle unnötigen Netzwerkdienste auf den internen Rechnern deaktivieren, was ohnehin empfehlenswert ist (siehe dazu Tipps für Systeme ohne Firewall). Bei Rechnern, die Netzwerkdienste für das interne Netz anbieten müssen, kann eine weitere externe Firewall, wenigstens aber eine Desktop Firewall dabei helfen, den Zugriff darauf auf weinige interne Rechner zu beschränken.

Eigene Dienste anbieten, die über das Internet erreichbar sein sollen

Es ist ein Irrtum zu glauben, man könne die Firewall abschalten, indem dort keine Regel erstellt wird. Gemäß des PAT-Konzeptes werden mit dieser Einstellung noch immer die eingehenden Ports blockiert. Die Firewall bleibt also aktiv, wodurch ein Zugriff aus dem Internet heraus auf die Dienste der internen Rechner unterbunden wird. Wie man die Firewall für einen einzelnen Rechner dennoch ausschalten kann und wie man den Zugriff auf einen Dienst eines internen Rechners freigibt, wird hier beschrieben.

Die Firewall für einen internen Rechner „ausschalten“ (exposed -Host / -DMZ / Standardserver)

Für kurzzeitige Tests und zur Fehleranalyse lässt sich die Firewall für einen einzigen internen Rechner sinnbildlich abschalten. Diese Funktion wird als „exposed Host“ bezeichnet, welche manchmal auch „Standardserver“ oder „exposed DMZ“ genannt wird (nicht zu verwechseln mit einer echten DMZ). Siehe dazu den Artikel zum „exposed Host“.

Löcher in die Firewall bohren (Port Forwarding / Trigger Ports)

Das vorherige Beispiel eignet sich für einen kurzzeitigen Test oder eine Fehleranalyse. Soll ein Dienst aus dem Internet heraus permanent erreichbar sein, so bietet sich eine Port Forwarding-Regel an. Alternativ dazu kann eine Trigger Port-Regel für eine dynamische Portfreischaltung in das interne Netz sorgen.

Mögliches Beispiel: Ein eigener (HTTP-) Internetserver (inkl. dyn.DNS, etc.). Eine Beschreibung fehlt noch. Wenn Du Erfahrung damit hast, wäre es nett, wenn Du dabei hilfst, diesen Beitrag entsprechend zu vervollständigen… :)

Fehleranalyse

Funktioniert der Zugriff eines Programms auf das Internet nicht korrekt, so lässt sich durch eine kurzzeitige Deaktivierung der blockierenden Regeln herausfinden, ob dies wirklich an der Firewall liegt (in unserer Konfiguration wären dass lediglich die Regeln „out block all“ und „in block all wk-ports“, die man deaktivieren müsste). Man sollte sich darüber im Klaren sein, dass für die Zeit des Tests jeder interne PC nun ungehindert über sämtliche Ports auf das Internet zugreifen kann.

Alternativ dazu kann man den ungehinderten Zugriff auf das Internet auf einen einzigen Rechner beschränken. Dazu muss die „out block all“-Regel allerdings aktiviert bleiben. Stattdessen fügt man dem Regelwerk eine weitere Regel hinzu:

Ist das Programm unter diesen Firewalleinstellungen lauffähig, so sollte man sich darüber informieren, welche Ports das Programm für seine Arbeit benötigt. Die gerade deaktivierten blockierenden Regeln sollten wieder aktivieren werden. Dann legt man für die benötigten Ports entsprechende erlaubende Regeln in der Firewall an. Das Programm sollte nun lauffähig sein.

Funktioniert das Programm auch bei deaktivierten blockierenden Regeln nicht, so ist es sehr wahrscheinlich, dass dies an der Konfiguration des Programms oder des Rechners liegt und nicht an der Firewall. In einigen wenigen Ausnahmefällen kann es allerdings sein, dass das Programm Dienste anbietet, die aus dem Internet heraus direkt ansprechbar sein müssen. Auch dafür hält die Firewall eine Lösung parat: Für einen kurzzeitigen Test lassen sich sämtliche Ports der Firewall auf diesen Rechner lenken. Mehr dazu steht im Artikel zum „exposed Host“. Hierbei ist zu beachten, dass beliebige Rechner aus dem Internet auf sämtliche Netzwerkdienste des (exposed-) Rechners zugreifen können. Daher ist es empfehlenswert, zuvor aktuelle Sicherheitsupdates des Rechners einzuspielen und alle für den Test nicht benötigten Netzwerkdienste des Rechners zu deaktivieren. Man sollte sich auch sicher sein, dass keine Malware auf dem Rechner installiert ist, die es einem Eindringling ermöglicht, aus der Ferne darauf zuzugreifen. Ist das begehrte Programm im exposed-Modus lauffähig, so muss man herausfinden, welche Ports auf den internen Rechner zeigen müssen, damit es funktioniert. Diese legt man dann als Port Forwarding- oder ggf. als Trigger Port-Regel an. Aus Sicherheitsgründen ist es nicht ratsam, den Rechner über den kurzen Test hinaus in dem exposed-Modus zu betrieben.

Selten kann es vorkommen, dass man ein Programm verwendet, welches spezielle Protokolle voraussetzt, die die externe Firewall nicht unterstützt. Dies kann z.B. bei der Verwendung eines älteren VPN-Protokolls der Fall sein. Bei einigen betagten Firewallmodellen könnte es helfen, den VPN Pass-Through-Modus (wenn vorhanden) zu aktivieren. Auf jeden Fall kann man versuchen, das Problem durch die Einspielung des aktuellen Firmware-Updates zu beheben. Im ungünstigsten Fall kann es auch sein, dass das Programm nicht für einen Betrieb hinter einem NAT-Gerät entwickelt wurde und es deshalb nicht hinter einer externen HOME-Firewall lauffähig ist. Eine Recherche im Internet könnte Klarheit schaffen. In der Regel aber liegt das Problem bei der Konfiguration des Programms oder Rechners, statt bei der Firewall.

Die DMZ

Ein erfolgreicher Hack eines Rechners, der in einer DMZ (demilitarisierte Zone) steht, ermöglicht es dem Angreifer nicht, über die DMZ hinweg direkt auf das interne Netz zuzugreifen. Deshalb sollten Rechner, auf die man aus dem externen Netz heraus über eine Port Forwarding-Regel direkt zugreifen kann, in einer DMZ stehen. Allerdings unterstützen die meisten HOME-Firewalls leider keine echte DMZ. Um Kosten zu sparen, nehmen die Hersteller dort ein vollkommen anderes Feature namens „exposed Host“ und nennen es aus marketingtechnischen Gründen ungeniert „DMZ“. In eine solche „exposed DMZ“ sollte man seinen Rechner auf keinen Fall stellen, wenn man ihn und das restliche interne Netz vor unerlaubten Fernzugriffen schützen möchte. Mehr darüber kann im Beitrag zur DMZ nachgelesen werden. Dort wird auch erklärt, wie man erkennt, ob die eigene Firewall eine echte DMZ unterstützt.

für Fortgeschrittene

erweiterte Firewallregeln

• ICMP Konfiguration
• fester DNS-Server
• [Port Forwarding != public] && !stdPort
• trigger-Ports
• Den Irrsinn auf die Spitze treiben :)
  PC=Port-Korridor für erlaubte Nerzwerkzugriffe schaffen
  FW=Abschottung der restlichen Rückgabeports aus der NAT-Tabelle

• Port 110 - Email empfangen
• Port 25 - Email senden
• Port 443 - Https (secure Http), WEBDav
• Port 80 - Internetseiten
• Port 21 - ftp
• Port 22 - Sftp

die Abschottung der Konfigurationsschnittstellen

• wenn vorhanden konfig per com / usb aktivieren
• telnet / http Ports deaktivieren bzw. verschieben

Netzkonfiguration

• DHCP konfigurieren
• private IP-Bereiche
• eigene Subnetzmaske verwenden
• Router-IP / Grenz -IP

siehe auch

• Tipps im Umgang mit einem WLAN-Accesspoint
• Tipps im Umgang mit Desktop Firewalls
• Tipps für Systeme ohne Firewall

• PAT-Angriff auf Computer hinter einer externen Firewall

• Firewall
• externe Firewall
• NAT, NAT-Router und PAT