Firewall-Einstellungsanleitung
Beim Konfigurieren einer Firewall sind ggf. weitere Informationen zu einigen Einstellungen und deren Aktivierung/Deaktivierung erforderlich.
Dieser Artikel enthält die "Werksstandard"-Regeln und Konfigurationseinstellungen für die Sophos Firewall, wenn sie über die Schaltfläche "Erweiterte Einstellungen" in der Firewall-Richtlinie konfiguriert wurde. Soweit wie möglich wurden hier die Sicherheitsauswirkungen aller Einstellung sowie der jeweilige Standard beschrieben.
Lesen Sie die Einführungsanleitung zur Firewall, bevor Sie sie auf Ihre Endpoint-Computer verteilen.
Eine Übersicht über weitere Praxistipps finden Sie im Support-Artikel Praxistipps für Endpoint Security and Control
In diesem Artikel ist Folgendes enthalten:
Erweiterte Konfiguration:
Allgemeine Einstellungen | Standorterkennungseinstellungen | Prüfsummeneinstellungen | Protokolleinstellungen
Konfiguration des primären oder sekundären Standorts:
Allgemeine Einstellungen | ICMP-Einstellungen | LAN-Einstellungen | Globale Regeln | Anwendungsregeln | Prozesssteuerungseinstellungen
Erweiterte Konfiguration
Registerkarte "Allgemeine Einstellungen"
| Einstellungsname | Standard | Kommentar |
|---|---|---|
| Primärer Standort: Gesamten Verkehr zulassen | Deaktiviert |
Diese Einstellung trifft nur für besondere Umstände zu. Sie deaktiviert die Firewall am primären Standort. Im Allgemeinen sollte sie nicht benutzt werden. Wenn Sie eine Anwendung oder Verbindung zulassen möchten, richten Sie stattdessen eine Anwendungsregel, eine ICMP-Regel oder eine globale Regel ein. |
| Hinzufügen einer Konfiguration für einen sekundären Standort | Deaktiviert | Diese Einstellung sollte nur für Laptops und andere Computer verwendet werden, die regelmäßig an ein weiteres Netzwerk angeschlossen werden, wie z.B. ein Heim- oder öffentliches Wireless-Netzwerk. |
| Angewandter Standort | Konfiguration des erkannten Standorts |
Deaktiviert, bis die Option "Konfiguration für einen sekundären Standort" gewählt wird. Hier können Sie einstellen, welche Richtlinie angewandt wird, wenn ein neuer Standort erkannt wird. Der Standard "Konfiguration des erkannten Standorts" stellt sicher, dass die Firewall automatisch das aktuelle Netzwerk erkennt und die entsprechende Konfiguration wählt. Endbenutzer, die zur Gruppe "SophosPowerUsers" oder "SophosAdministrators" gehören, können manuell den primären oder sekundären Standort wählen, wenn sie sich an einem anderen befinden. Informieren Sie diese Laptop-Benutzer, dass sie diese Möglichkeit haben, wenn sie sich mit einem neuen Netzwerk verbinden und erklären Sie ihnen, welche Konfiguration gewählt werden sollte. |
Registerkarte "Standorterkennung"
| Einstellungsname | Standard | Kommentar |
|---|---|---|
|
Erkennungsmethode |
DNS, nicht konfiguriert | Es empfiehlt sich, möglichst die Gateway MAC-Adressenerkennung zu verwenden. Die Firewall kann problemlos die Einstellung des Gateways erkennen und deren primären oder sekundären Standort verwenden. |
Registerkarte "Prüfsumme"
| Einstellungsname | Standard | Kommentar |
|---|---|---|
| Anwendung/ Version/ Prüfsumme |
Nicht konfiguriert | Bevor Sie die Firewall implementieren, geben Sie hier die MD5-Prüfsummen der häufig benutzten Anwendungen in Ihrem Netzwerk ein. Damit sparen Sie Zeit und vermeiden doppelte Arbeit, wenn auf Firewall-Anfragen während der Implementierung reagiert wird. |
Registerkarte "Protokoll"
| Einstellungsname | Standard |
|---|---|
| Alle Datensätze behalten/Alte Datensätze löschen | Alte Datensätze löschen |
| Datensätze löschen nach x Tagen | 1 Tag deaktiviert |
| Nicht mehr behalten als y Datensätze | 200 Datensätze deaktiviert |
| Größe unter z MB | 50 MB aktiviert |
Konfiguration des primären oder sekundären Standorts
Hinweis: Es wurde kein sekundärer Standort vorkonfiguriert. Falls einer hinzugefügt wird, sind dessen Standardeinstellungen denen des primären Standorts gleich.
Registerkarte "Allgemein"
| Einstellungsname | Standard | Kommentar |
|---|---|---|
| Arbeitsmodus | Standardmäßig sperren |
Wenn Sophos Client Firewall erstmals auf einem Testcomputer eingerichtet wird, ist der Standard "Standardmäßig sperren" am sichersten, bis Sie Anwendungen zulassen, die auf das Netzwerk zugreifen müssen. Wenn Sie mit der Implementierung der Firewall beginnen, wechseln Sie zum Modus "Interaktiv", um Richtlinien für die häufig benutzten Anwendungen und Prozesse festzulegen. Im Allgemeinen sollte, sobald alle freigegebenen Anwendungen Zugriff über die Firewall erhalten haben, der Modus "Standardmäßig sperren" eingestellt werden, um den Zugriff nicht zugelassenen Datenflusses auf das Netzwerk zu verhindern. Hinweis: Wenn primäre und sekundäre Standorte aktiviert sind und der primäre Modus "interaktiv" lautet, wird für den sekundären Standort automatisch der Modus "standardmäßig sperren" festgelegt. |
| Prozesse sperren, wenn Speicher verändert wird | Aktiviert | Diese Option kann die Infektion Ihres Computers durch Bedrohungen verhindern. Diese Option sollte meist aktiviert sein. |
| Sperren versteckter Prozesse | Aktiviert | Diese Option sollte immer aktiviert sein, um schädliche Programme an der Ausführung auf Ihren Endpoints zu hindern. |
| Entsorgen von Paketen, die an blockierte Ports gesendet wurden | Aktiviert | Diese Option verhindert, dass von außerhalb festgestellt werden kann, dass auf Ihrem Computer ein Port existiert und verhindert somit eine Infektion. Diese Option sollte meist aktiviert sein. |
| Authentifizieren von Anwendungen mit Hilfe von Prüfsummen | Aktiviert | Mit dieser Option kann die Firewall legitime Anwendungen von schädlichen Programmen mit gleichem Namen unterscheiden. Diese Option sollte gewöhnlich aktiviert sein. |
| Blockieren von IPv6-Paketen | Aktiviert | Im Moment wird IPv6 von nur wenigen Anwendungen und ISPs verwendet. Mit dieser Einstellung können Sie IPv6-Datenfluss zu ihren Endpoints blockieren, wenn diese z.B. eine P2P-Anwendung benutzen. Um alle P2P-Anwendungen in Ihrem Netzwerk zu blockieren, konfigurieren Sie stattdessen eine Application Control-Richtlinie. |
| Anzeigen eines Alerts in der Management-Konsole, wenn die globalen Regeln, Anwendungen, Prozesse oder Prüfsummen lokal geändert werden | Aktiviert | Wenn "Alert in Management-Konsole anzeigen..." gewählt wird, kann festgestellt werden, ob die Firewall-Einstellungen auf Ihren Arbeitsplatzrechnern vom Benutzer oder von Malware geändert wurden. Unter den meisten Umständen sollte diese Option aktiviert sein. |
| Neue Anwendungen und Datenfluss an die Management-Konsole melden | Aktiviert | Diese Option sollte immer aktiviert sein, um die Vorgehensweise Ihrer Endbenutzer zu überwachen. |
| Fehler an die Management-Konsole melden | Aktiviert | Mit dieser Option kann der Administrator Firewall-Fehlermeldungen auf Arbeitsplatzrechnern über die Konsole ansehen. Diese Option sollte gewöhnlich aktiviert sein. |
| (Desktop-Benachrichtigungen) Warnmeldungen und Fehler anzeigen |
Aktiviert |
Es empfiehlt sich, diese Option zu aktivieren, um Ihre Benutzer auf Probleme aufmerksam machen zu können. |
| (Desktop-Benachrichtigungen) Unbekannte Anwendungen und Datenbewegungen anzeigen |
Deaktiviert | Diese Einstellung zeigt nur unbekannte Anwendungen und Datenbewegungen an, wenn der interaktive Modus gewählt wurde. |
Registerkarte "ICMP"
| Einstellungsname | Standard | Kommentar |
|---|---|---|
| Echo-Antwort (0) | Gesperrt EIN | Zum Antworten auf Echo-Anforderungen (Pings). Wenn "Echo-Antwort" aktiviert wird, kann Ihr Computer Smurf-Infektionen ausgesetzt sein. |
| Ziel nicht erreichbar (3) | Gesperrt EIN und AUS | Wenn diese Option aktiviert wird, kann Ihr Computer für "Ziel nicht erreichbar"-Angriffe anfällig sein. |
| Quelldrosselung (4) | Nicht eingerichtet | Um eine Überlastung zu steuern, fordern Quelldrosselungsmeldungen an, dass die an den Meldungsursprung gesendete Informationsmenge reduziert wird. Aktivieren der Quelldrosselung kann Ihren Computer für "Man in the Middle"- und Denial of Service-Attacken anfällig machen. |
| Meldung umleiten (5) |
Nicht eingerichtet |
Wenn keine Umleitung erforderlich ist, sollten Sie diese Einstellung nicht aktiveren: Eine Umleitung kann zum Ändern von Routingtabellen auf Routern und Computern verwendet werden, um DoS-Attacken zu ermöglichen. |
| Echo-Anforderung (8) | Gesperrt AUS | Mit dieser Einstellung wird festgestellt, ob ein Netzwerkcomputer aktiv ist (z.B. ping). Wenn Echo-Anforderungen aktiviert sind, kann dies Ihren Computer für Smurf-Infektionen anfällig machen. |
| Router-Ankündigung (9) | Gesperrt EIN | Router-Ankündigungsmeldungen werden auf Router-Anfragen gesendet oder, um den Router zu melden. Gefälschte Router-Ankündigungsmeldungen können dazu verwendet werden, Routing-Tabellen in Routern zu ändern, um "Man in the Middle"- und DoS-Attacken zu ermöglichen. Eingehende Ankündigungsmeldungen wurden daher standardmäßig deaktivert. |
| Router-Anfrage (10) | Gesperrt AUS | Router-Anfragen werden versendet, um Router in einem Netzwerk als eine Art von Netzwerk-Scan zu suchen. Böswillige Benutzer können mit Router-Anfragen nach Computern zum Angreifen suchen. Daher wurde die Einstellung standardmäßig deaktiviert. |
| Zeitüberschreitung (11) | Gesperrt EIN | |
| Parameterproblem (12) | Nicht eingestellt | |
| Zeitstempel-Anforderung (13) | Nicht eingestellt | |
| Zeitstempel-Antwort (14) | Nicht eingestellt | |
| Informations-Anforderung (15) | Nicht eingestellt | |
| Informations-Antwort (16) | Nicht eingestellt | |
| Adressmasken-Anforderung (17) | Nicht eingestellt | |
| Adressmasken-Antwort (18) | Nicht eingestellt |
Registerkarte "LAN"
| Einstellungsname | Standard | Kommentar |
|---|---|---|
| LAN (IP-Adresse und Subnetz) | Nicht eingestellt | NetBIOS ermöglicht Datei- und Druckeraustausch mit anderen Computern im LAN oder vertrauenswürdigen Subnetz. Diese Option sollte für die meisten Bürotätigkeiten ausreichend sein.
"Vertrauenswürdig" ermöglicht den gesamten Datenfluss zwischen Computern in einem LAN. Benutzen Sie diese Option nur dort, wo sie wirklich notwendig ist. |
Registerkarte "Globale Regeln"
| Einstellungsname | Standard | Kommentar |
|---|---|---|
| Loopback-TCP-Verbindungen zulassen |
Wenn das Protokoll TCP ist und die Remote-Adresse 127.0.0.0 (255.0.0.0) lautet |
Mit einer Loopback-Verbindung können Anwendungen prüfen, ob eine Netzwerkverbindung vorhanden ist. Web-Browser suchen oftmals auf diese Weise nach einer Verbindung. |
| GRE-Protokoll erlauben |
Wenn das Protocol IP ist und der Typ GRE |
Damit kann GRE in IP-Tunneln zum oder vom Client-Computer laufen, d.h. VPN-Verbindungen (virtuelle private Netzwerk-Verbindungen). |
| PPTP-Steuerungsverbindung erlauben | Wenn das Protokoll TCP ist, die Richtung "ausgehend", der Remote-Port 1723 und der lokale Port 1024-65535 lautet Erlauben |
Damit kann PPTP in IP-Tunneln zum oder vom Computer laufen, d.h. VPN-Verbindungen (virtuelle private Netzwerk-Verbindungen). |
| Loopback-UDP-Verbindungen erlauben |
Wenn das Protokoll UDP ist, |
|
| RPC sperren (TCP) | Wenn das Protokoll TCP ist, die Richtung "eingehend" und der lokale Port 135 lautet Sperren |
Diese Einstellung unterbindet, dass Remote Procedure Calls (RPC) TCP auf dem Client-Computer vewenden. Damit kann verhindert werden, dass Eindringlinge auf dem lokalen Computer auf unerwünschte Weise legitime Codes ausführt. Hinweis: Der vom RPC Port Mapper verwendete Port (135) steht in Verbindung mit mehreren weit bekannten Schwachstellen, die von Netzwerkwürmern zur Replizierung und Übertragung ausgenutzt werden. |
| RPC (UDP) sperren | Wenn dieses Protokoll UDP ist und der lokale Port 135 lautet Sperren |
Diese Einstellung unterbindet auf dem Client-Computer Remote Procedure Calls (RPC), die UDP verwenden. Damit kann verhindert werden, dass Eindringlinge auf dem lokalen Computer auf unerwünschte Weise legitime Codes ausführt. |
Registerkarte "Anwendungen"
Die häufigsten und wichtigsten Windows-Dienste werden hier aufgeführt. Sie müssen wahrscheinlich mehrere Anwendungen hinzufügen, wenn Sie die Firewall im interaktiven Modus implementieren.
| Anwendungsname | Standard |
|---|---|
|
alg.exe |
ALG-Umleitung erlauben Wenn das Protokoll TCP und die Richtung "eingehend" ist Erlauben und Stateful Inspection |
|
Microsoft Application Layer Gateway Service-Verbindung | |
|
lsass.exe |
Local Security Authority Service Kerberos UDP-Verbindung Wenn das Protokoll UDP ist und der Remote-Port 88 lautet Erlauben und Stateful Inspection |
|
Local Security Authority Service Kerberos TCP-Verbindung | |
|
LSASS LDAP-Verbindung mit Global Catalog Server | |
|
Local Security Authority Service LDAP UDP-Verbindung | |
|
Local Security Authority Service LDAP TCP-Verbindung | |
|
Local Security Authority Service DCOM Zuweisung des dynamischen Ports | |
|
Local Security Authority Service DCOM-Verbindung | |
|
DNS-Auflösung erlauben (TCP) | |
|
DNS-Auflösung erlauben (UDP) | |
|
services.exe |
Services DCOM-Verbindung Wenn das Protokoll TCP ist, die Richtung "ausgehend" und der Remote-Port 135 lautet Erlauben |
| Services DCOM Zuweisung des dynamischen Ports Wenn das Protokoll TCP ist, die Richtung "ausgehend" und der Remote-Port 1090-1110 lautet Erlauben | |
| Services LDAP-Verbindung Wenn das Protokoll TCP ist, die Richtung "ausgehend" und der Remote-Port 389, 3268 lautet Erlauben | |
| DNS-Auflösung erlauben (TCP) Wenn das Protokoll TCP ist, die Richtung "ausgehend" und der Remote-Port 53 lautet Erlauben | |
|
DNS-Auflösung erlauben (UDP) | |
| DHCP erlauben Wenn das Protokoll UDP ist, der Remote Port 67 lautet und der lokale Port 68 Erlauben | |
| DHCP (v6) erlauben Wenn das Protokoll UDP ist, der Remote-Port 547 lautet und der lokale Port 546 Erlauben | |
|
svchost.exe |
DNS-Auflösung erlauben (TCP) |
|
DNS-Auflösung erlauben (UDP) | |
|
DHCP erlauben | |
|
DHCP (v6) erlauben | |
|
userinit.exe |
Microsoft Userinit LDAP-Verbindung "Wenn das Protokoll TCP ist, |
|
Microsoft Userinit DCOM-Verbindung "Wenn das Protokoll TCP ist, | |
|
winlogon.exe |
Microsoft Winlogon LDAP-Verbindung Wenn das Protokoll TCP ist, die Richtung "ausgehend" und der Remote-Port 389, 3268 lautet Erlauben |
|
Microsoft Winlogon DCOM-Verbindung |
Registerkarte "Prozesse"
| Einstellungsname | Standard | Kommentar |
|---|---|---|
| Vor neuen Launchern warnen. | Aktiviert | Diese Option steht nur im interaktiven Modus zur Verfügung. |
| Vor dem Gebrauch von Raw-Sockets warnen. | Aktiviert | Diese Option steht nur im interaktiven Modus zur Verfügung. |
Wenn Sie weitere Informationen oder Unterstützung benötigen, wenden Sie sich bitte an den technischen Support.
- Artikel-ID: 57757
- Erstellt: 28.04.2009
- Letztes Update: 05.09.2011
