Die Firewall optimal konfigurieren

Transkript

1 Die optimal konfigurieren Hacker abwehren, Trojaner mundtot machen, Windows-Freigaben sicher nutzen, Fehlalarme reduzieren: 40 Tipps zeigen, wie Sie die Outpost von der Heft-CD optimal konfigurieren, Windows XP abschotten und Ihren Router als Hardware- nutzen. Gegen viele schädliche Programme helfen weder Virenscanner noch Anti-Spyware oder Dialer-Warner. Eine Chance gegen sie haben nur Tools, die den kompletten Datenverkehr vom PC ins Web und vom Internet auf den Computer kontrollieren. Das ist der Job von s. Die größte Gefahr für die Rechnersicherheit geht von Windows und von auf dem PC installierten Anwendungen aus. Viele Dienste und Programme bauen ungefragt Verbindungen mit Servern im Internet auf und warten auf Kontaktversuche von außen. Beides kann gefährlich werden. Die von Windows XP mit Service Pack 2 schützt nicht vor Programmen und Trojanern, die vom eigenen PC aus selbstständig Online-Verbindungen aufbauen. Mehr Sicherheit bietet eine Anwendungs- wie Outpost Free von der Heft-CD 1. Die Tipps zur -Konfiguration im folgenden Abschnitt setzen Windows XP mit Service Pack 2 und zumindest vorübergehend deaktivierter XP- voraus. Bestmöglichen Schutz erreichen Sie erst in Verbindung mit einem sicher konfigurierten Windows XP Tipps dazu ab Seite 37, einem Virenscanner und umsichtigem Handeln beim Surfen und Mailen. Mit den Utilities und Webdiensten ab Seite 40 können Sie testen, ob Ihre dichthält. Was viele nicht wissen: Ein DSL-Router mit eingebauter -Funktion bietet mehr Sicherheit vor Windows-Würmern als eine Desktop- und ist auch einfacher zu bedienen. Mehr dazu ab Seite 41. konfigurieren Installieren Sie Outpost Free von der Heft-CD 1 und starten Sie den PC neu. Die folgenden Schritte zeigen, wie Sie die optimal konfigurieren und richtig bedienen. Vorsicht: Wenn Sie generell zu viel erlauben, wird die nutzlos und unsicher. Erlauben Sie zu wenig, funktionieren auch erwünschte Programme nicht mehr. 1. Nur eine nutzen Zwei s sind nicht besser als eine. Wird eine zweite installiert, kann das dazu führen, dass Windows nicht mehr startet auch nicht im abgesicherten Modus. Bevor Sie eine neue installieren, sollten Sie daher unbedingt die alte entfernen. Sie nur zu deaktivieren reicht nicht. Eine Ausnahme stellt die Windows-XP- dar, die sich als Inbound- auf die Funktionen eines Paketfilters beschränkt. Zum Testen der hier genannten -Einstellungen sollten Sie die XP- trotzdem vorübergehend deaktivieren. 2. Konfigurationen speichern Starten Sie während der Konfiguration regelmäßig den PC neu, damit alle geänderten Einstellungen aktiviert werden. Um eine funktionierende Konfiguration nicht zu verlieren, speichern Sie 28 Das Computer-Magazin 5/2005

2 COMPUTER Software-Übersicht Programm Alle Steckbrief: Die optimal konfigurieren Ad-Aware SE Personal Edition 1.05 Outpost Free 1.0 Outpost Pro 2.5 Spybot Search & Destroy 1.3 TCP-View 2.34 sie mit einem Trick: Wechseln Sie in das Verzeichnis C:\Programme\Agnitum\ Outpost 1.0 und markieren Sie configuration.cfg. Drücken Sie [Strg C] und [Strg V], um eine Kopie der Datei zu erzeugen. Geben Sie ihr einen neuen Namen wie configuration_ April2005.cfg. Um die Konfiguration wieder herzustellen, geben Sie der Kopie den Namen configuration.cfg. 3. Zugriffsrechte von Tools regeln Starten Sie nach der Installation der möglichst alle Programme, die Sie installiert haben. Gewähren Sie Internet-Tools wie Mail-Software, Browser, Instant Messenger und so weiter Zugriff auf das Internet. Klicken Sie dazu jeweils auf Eine Regel erstellen und/oder preset benutzen, OK. Jedem Programm, das funktional nichts mit dem Internet zu tun hat wie zum Beispiel Office-Anwendungen, Grafikprogramm und Dateiverwaltung, verbieten Sie den Zugriff, indem Sie Jeder Verkehr dieser Anwendung blockieren wählen und auf OK klicken. So entsteht eine Liste von Regeln, die fest- Beschreibung Tool zum Erkennen und Entfernen von Spyware Kostenlose Version mit eingeschränkter Funktionalität Kaufversion, 30 Tage zum Testen Freeware, die Spyware sucht und beseitigt Tool, das den Pfad zu verdächtigen Dateien anzeigt -Programme finden Sie auf der Heft-CD 1 unter Computer, s legen, welche Tools auf das Internet zugreifen dürfen und welche nicht. 4. Ping-Abfragen abweisen Mit dem Utility Ping lässt sich prüfen, ob ein Computer vom Internet aus erreichbar ist. Verbergen Sie Ihren Computer vor solchen Ping-Status-Abfragen. Wählen Sie dazu Optionen, System und aktivieren Sie bei Typ der Antwort" die Einstellung Stealth. Weitere Regeln für allgemeine Anfragen aus dem Internet legen Sie über Optionen, System, Globale Anwendungs-, und Systemregeln fest. Bei Outpost Pro können Sie eigene Regeln einführen. Bei der Freeware von der Heft-CD 1 lassen sich vordefinierte Regeln aktivieren. Achten Sie darauf, dass Block Remote Procedure Call und Block Server Message Block Protocol für TCP und UDP sowie Deny Unknown Protocols aktiviert sind. 5. Port-Scans abschmettern Die Ports sind virtuelle Anschlüsse, über die mehrere Internet-Programme parallel miteinander kommunizie- Kompakt Seite Eine kontrolliert den Datenverkehr vom Internet auf den PC und vom Computer ins Internet. 33 s auf dem PC bieten keinen hundertprozentigen 28 Schutz. Auch mit einer installierten Soft- ware- sollte man nicht sorglos surfen oder 29 dubiose Programme installieren. Ein DSL-Router 33 bietet mehr Sicherheit als eine Software-. 36 Inhalt konfigurieren 1. Nur eine nutzen S Konfigurationen speichern S Zugriffsrechte von Tools regeln S Ping-Abfragen abweisen S Port-Scans abschmettern S IP-Adresse eines Angreifers sperren S Fehlalarme reduzieren S Analysefunktionen einsetzen S Protokolle interpretieren S Aktive Inhalte verbieten S Wurm-Attachments blockieren S Anwendung komplett blockieren S Prozessen Zugriff verbieten S Diesen Tools Internet-Zugriff erlauben S Windows-Prozesse kontrollieren S Online-Updates kontrollieren S FTP und konfigurieren S Trojaner abwehren S Browser-Hijacking vorbeugen S.36 Windows absichern 20. Browser-Add-ons kontrollieren S Nachrichtendienst abschalten S Fernzugriff deaktivieren S Druckerfreigabe abschalten S Windows-Freigaben sicher nutzen S Universal Plug & Play abschalten S Überflüssige Dienste abschalten S NTFS statt FAT32 verwenden S Benutzerrechte einschränken S.39 Test-Utilities 29. Sygate Scan S Superscan S Leaktest S PC Audit S.40 Router optimal einrichten 33. Sicheres Passwort wählen S Nummernvergabe konfigurieren S Nummernvergabe an fremde PCs S Filesharing-Bremse lösen S PC ohne Adressübersetzung S Router- konfigurieren S Zugriffe vom PC auf das Internet S Zugriffe vom Internet auf den PC S.42 Kasten: Grundlagen s (IP) S.33 Kasten: Was ist eigentlich? S. 34 Kasten: Wenn nichts mehr geht S.42 Weitere Infos Detaillierte -FAQ in englischer Sprache Informationen zu sicherheitsrelevanten Diensten in Windows XP und wie man sie abschaltet Das Computer-Magazin 5/

3 ren, ohne sich gegenseitig zu stören. benutzt zum Beispiel Port 110 und 25, die Windows-Freigaben verwenden Port 135. Datenspione klappern wahllos Online-Rechner ab und suchen mit Portscanner-Tools nach offenen Ports. Anhand der Nummer eines offenen Ports kann der Angreifer erschließen, welches Programm den offenen Port verursacht hat. Weist das Programm Schwächen so genannte Exploits auf und sind diese bekannt, kann der Angreifer sie ausnutzen. Eine sorgt dafür, dass Eindringlinge bei solchen Portscans außen vor bleiben. Offene Ports werden von Programmen verursacht, die auf dem Computer installiert sind. Jeder offene Port geht stets auf eine einzelne Anwendung zurück. Mit Outpost Free lassen sich beliebige Ports blockieren. Welche Anwendung einen Port offen hält, bekommen Sie mit den Analyse- und Protokollfunktionen heraus, wie in Tipp 8 beschrieben. Um einen offenen Port zu schließen, wählen Sie im linken Fester Mein Internet, Offene Ports. Markieren Sie die Portnummer beziehungsweise die Anwendung, die Sie sperren wollen. Klicken Sie mit der rechten Maustaste auf den Eintrag und wählen Sie Erstelle Regel (Bild A). Aktivieren Sie im Regel-Editor bei 1. die Optionen Wenn das gewählte Protokoll ist und klicken Sie bei 3. auf den blauen Eintrag Undefiniert. Ändern Sie ihn auf TCP. Aktivieren Sie bei 1. im Scroll-Bereich darunter zusätzlich Wenn der gewählte Lokalport ist und ändern Sie den neuen blauen Eintrag Undefiniert auf 135. Aktivieren Sie bei 2. die Option Verbiete es. Bei 3. erscheint die Regel nun im Klartext (Bild B). Geben Sie der Regel bei 4. einen Namen wie svchost port 135 blocken und schließen Sie mit OK ab. Standard-Ports wie 135 nennt Outpost Free automatisch bei ihrem Standard-Namen, im Fall von Port 135 benennt es den Port automatisch in DCOM um. Verwenden Sie bei 4. einen aussagekräftigen Regelnamen, da er in den Fehlerprotokollen auftaucht und bei der Problemlösung hilft. 6. IP-Adresse eines Angreifers sperren Ports, die geschlossen sind, kann ein Hacker mit einem Portscanner nicht mehr ansprechen. Allerdings kann sie auch sonst niemand ansprechen. Einige Anwender, die zum Beispiel einen Regel-Editor: Hier sperren Sie offene Ports, zum Beispiel Port 135, den svchost.ex geöffnet hat (Bild A) Webserver oder FTP-Server betreiben, möchten spezielle Ports geöffnet halten. Outpost Free bietet die Möglichkeit, die IP-Adresse eines Angreifers zu sperren, während die Ports für den normalen Datenverkehr weiterhin nutzbar sind. Wählen Sie dazu Optionen, Plug-In Setup. Markieren Sie Abwehr von Angriffen und klicken Sie auf Eigenschaften. Aktivieren Sie im Bereich Blockiere Angriffe die Option Blockiere IP des Angreifers und Blockiere lokalen Port bei einem DOS Angriff. Klicken Sie auf OK. Der Regel-Editor erzeugt eine Zusammenfassung der Regel im Klartext (Bild B) 7. Fehlalarme reduzieren Nicht hinter jeder Angriffsmeldung steckt eine Hacker-Attacke. Die meisten Portscans stellen keine Gefahr dar. Wenn die jedoch so eingestellt ist, dass sie jedes Mal Alarm schlägt, ist die Wahrscheinlichkeit hoch, dass Sie später den wirklich wichtigen Warnungen nicht mehr die nötige Aufmerksamkeit schenken. So erreichen Sie, dass Sie bei unkritischen Port-Abfragen nicht alarmiert werden: In der Standardeinstellung interpretiert es Outpost Free als Angriff, wenn innerhalb von 600 Millisekunden sechs Ports abgefragt werden. Ändern Sie über Optionen, Plugins, Abwehr von Angriffen die Alarmstufe auf Minimal, dann gelten erst zwölf Abfragen in 600 Millisekunden als Angriff. Fortgeschrittene Anwender können die Empfindlichkeit noch weiter verringern, indem sie die Konfigurationsdatei C:\Program me\agnitum\outpost 1.0\protect.lst mit einem Text- Editor wie Notepad öffnen. Ändern Sie den Wert N(3) = 12 auf N(3) = 20 und den Eintrag T2 = 600 auf T2 = 500 dann gelten erst zwanzig Portabfragen pro halber Sekunde als Angriff. 8. Analysefunktionen einsetzen Mit den Analysefunktionen von Outpost Free finden Sie heraus, welcher Prozess welchen Port geöffnet hat, und können Gegenmaßnahmen ergreifen. Klicken Sie dazu in Outpost Free links auf Mein Internet, 30 Das Computer-Magazin 5/2005

4 Alle Verbindungen. Outpost Free zeigt dann eine Liste aller Prozesse an, die derzeit Netzwerkverbindungen halten. Wählen Sie Ansicht, Layout und aktivieren Sie im unteren Bereich alle Optionen, um weitere Listen-Ansichten hinzuzufügen (Bild C). Klicken Sie links auf den neuen Punkt Mein Internet, Offene Ports. Nun zeigt Outpost Free nur noch Prozesse an, die mit Hilfe eines geöffneten Ports auf eine Kommunikation warten. Wählen Sie Ansicht, Spalten, klicken Sie auf Erweitert und wählen Sie im Bereich Zeige Port an als die Option Nummer. Nun sehen Sie alle Ports als Nummern. Klicken Sie auf den Spaltenkopf Lokaler Port, um die Liste nach Portnummern zu sortieren. Jetzt ist zu sehen, dass der als verletzlich geltende Port 135 vom Prozess svchost.exe offen gehalten wird. Verwenden Sie die Analyseansicht, um eine passende Regel hinzuzufügen: Klicken Sie mit der rechten Maustaste auf den Eintrag von svchost.exe mit der Portnummer 135 und wählen Sie im Kontextmenü Erstelle Regel. Outpost Free legt die Regel an und füllt Angaben wie den zu blockenden Port auch gleich selbst aus. Layout der Analysefunktion von Outpost: So werden offene Ports angezeigt (Bild C) ActiveX Regelassistent: Mit dem -Filter bestimmen Sie, welche Seite Flash anzeigen darf (Bild D) 9. Protokolle interpretieren Prüfen Sie regelmäßig, ob zum Beispiel Zugriffe auf Webseiten stattgefunden haben, die Sie nicht aufgerufen haben. Der Bereich Mein Internet, Erlaubt zeigt, welche Kommunikation Outpost Free zugelassen hat. Im Bereich Plug-Ins, Abwehr von Angriffen sehen Sie von der registrierte Portscans. Mein Internet, Blockiert zeigt Ihnen, welche Anwendungen und Zugriffe dieser Anwendungen blockiert wurden: Verwenden Sie das Protokoll, um bei Problemen nach den Fehlerquellen zu forschen. Die Spalte Grund zeigt den Namen der Regel an, die einen Zugriff blockierte, also vielleicht Probleme machte. 10. Aktive Inhalte verbieten s halten auch aktive Inhalte vom PC fern. Das sind Windows-Programme, ActiveX-Steuerlemente, Visual-Basic-Skripts und andere potenziell gefährliche Elemente. Outpost Free schützt sowohl Browser als auch s vor solchen Schädlingen. Wählen Sie Optionen, Plug-In Setup und klicken Sie doppelt auf Aktive Inhalte. Markieren Sie , News und stellen Sie alle Optionen um auf Deaktivieren. Deaktivieren bedeutet dort, dass die genannte Funktion gesperrt ist. Im Fall von s gibt es keinen Grund, eine der genannten Funktionen zuzulassen. Auf Webseiten können Sie ActiveX- Controls auch über die Internet-Explorer-Einstellungen sperren. Das gilt dann aber generell, so dass zum Beispiel auch notwendige Flash-Menüs nicht mehr zu sehen sind. Outpost Free merkt sich Ihre Entscheidung für jede Seite individuell (Bild D). Aktivieren Sie dazu bei Web Seite im Bereich rechts bei den Funktionen ActiveX Steuerelemente, Cookies und Java-Applets die Option Nachfragen. Java und VB Skripte ganz zu sperren ist nicht sinnvoll das würde das normale Surfen auf Webseiten zu stark beeinträchtigen. Stellen Sie Pop-Up-Fenster auf Deaktivieren. Es empfiehlt sich, auch Referers zu deaktivieren. 11. Wurm-Attachments blockieren Konfigurieren Sie Outpost Free so, dass die an jeden An- hang, der ausgeführt werden könnte oder ausführbaren Code enthalten könnte, die Endung.safe anhängt. Wählen Sie dazu Optionen, Plug-In Setup und klicken Sie doppelt auf Dateianlagen-Filter. Auf diese Weise wird aus dem wurmverdächtigen Gefahrenherd klickmich.scr ein unwirksames klickmich.scr.safe. Praktisch: Anders als beim integrierten Schutz von Outlook Express können Sie die angehängte Datei nach wie vor problemlos speichern. Ein versehentlicher Doppelklick führt nicht mehr zum Start des Wurms. Wenn Sie die Datei gespeichert, per Scanner untersucht und für sauber befunden haben, entfernen Sie im Windows-Explorer über Datei, Umbenennen die zusätzliche Endung. 12. Anwendung komplett blockieren Wenn eine Anwendung auf fünfzehn verschiedene Arten auf das Internet zugreift, entstehen im Lauf der Zeit fünfzehn Regeln für diese Anwendung. Sehen alle Einzelregeln Blockaden vor, so ist es aus Performance-Gründen klüger, dem Programm Online-Verbindungen generell zu untersagen und die Regeln zu löschen. Öffnen Sie über Optionen, Anwendungen die Liste der kontrollierten Programme (Bild E). Klicken Sie mit der rechten Maustaste auf eine Anwendung und wählen Sie Diese Anwendung immer blockieren. Wenn Sie sich zu einem späteren Zeitpunkt sicher sind, dass sich diese Einstellung nicht negativ auf die Funktionalität des Programms auswirkt, klicken Sie doppelt auf die gesperrte Anwendung und löschen Sie im Regel-Editor alle Regeln. Gelegentlich rutscht die Anwendung dann wieder in die Liste Eingeschränkt erlaubte Anwendungen, sie kann aber per Maus einfach zurück in die Liste Blockierte Anwendungen geschoben werden. 13. Prozessen Zugriff verbieten Sperren Sie Programme, von denen Sie ganz sicher wissen, dass sie keinen Internet-Zugriff benötigen. Wählen Sie Optionen, Anwendungen. Markieren Sie Blockierte Anwendungen und klicken Sie auf Hinzufügen. Geben Sie Pfad- und Dateiname der zu sperrenden Anwendung ein. Folgende Windows-Programme und -Dienste brauchen keinen Internet-Zugriff: C:\Windows\explorer.exe : Der Windows-Explorer will gelegentlich auf das 32 Das Computer-Magazin 5/2005

5 COMPUTER Internet zugreifen, braucht den Zugriff aber nicht. C:\Windows\System32\alg. exe : Der Dienst Application Layer Gateway steuert unter anderem die Internetverbindungsfreigabe von Windows XP. Sperren Sie ihn es sei denn, Sie nutzen die Internetverbindungsfreigabe oder die Windows-XP-. C:\Windows\System32\ lsass.exe : Der Dienst verwaltet die Windows-Benutzeranmeldung und sollte komplett gesperrt werden. 14. Diesen Tools Internet- Zugriff erlauben Einige Anwendungen brauchen dringend Zugriff auf das Internet. Um die erforderlichen Einstellungen im Voraus zu konfigurieren, wählen Sie Optionen, Anwendungen. Markieren Sie Eingeschränkt erlaubte Anwendungen und klicken Sie auf Hinzufügen. Geben Sie dann Pfad- und Dateiname der Anwendung ein und fügen Sie Rechte hinzu. Drei typische Anwendungen: C:\Programme\Messenger\msmsgs. exe : Der Windows Messenger benötigt Zugriffsrechte für TCP, Ausgehend zum Remote Port 1863 ohne Einschränkung des Hosts, sowie TCP, Ausgehend zum Remote Host login.pass port.com über den Remote Port HTT- PS und TCP, Ausgehend zu den Remote Hosts svcs.microsoft.com sowie gateway.messenger.hotmail.com über den Remote Port HTTP. C:\Programme\Lavasoft\Ad-aware6\ ad-aware.exe : Das Programm aktualisiert die Software Ad-Aware SE und benötigt Zugriffsrechte für das Protokoll TCP zum Ziel Ausgehend und zum Remote Host com über den Remote Port HTTP. spybotsd.exe aktualisiert die Software und die Erkennungsregeln für Spybot Search & Destroy. Benötigt Zugriff über TCP zu den Remote Hosts security.kolla.de und see-cure.de über den Remote Port HTTP. 15. Windows-Prozesse kontrollieren Es gibt eine Reihe von Windows-Prozessen, die auf das Internet zugreifen. Viele dieser Zugriffe sind notwenig, einige jedoch nicht. Sie stellen vielmehr potenzielle Angriffsziele dar. Solchen Prozessen dürfen Sie also den Zugriff Liste der Anwendungen: Die Konfiguration können Sie jederzeit nachträglich bearbeiten (Bild E) auf das Internet weder generell verbieten noch generell erlauben. Teilen Sie der genau mit, was die Prozesse dürfen und was nicht. Ein wichtiges Beispiel ist Svchost.exe im Ordner C:\Windows\System32. Die Mantel-Anwendung fasst verschiedene nützliche Dienste zusammen, die Grundlagen s: Internet Protokoll (IP) Eine überwacht den Datenverkehr zwischen Computern, die ans Internet angeschlossen sind. So funktioniert die Schutz-Software. Jedes Gerät sei es ein Handy, ein PC oder ein Server, das mit dem Internet verbunden ist, kann mit jedem anderen System im Internet kommunizieren, indem es mit ihm Datenpakete austauscht. Das IP-Protokoll stellt dafür die grundlegende Sprache dar und legt fest, auf welche Weise diese Datenpakete ausgetauscht werden. Um das Datenpaket zu transportieren, klebt der Absender quasi einen Paketaufkleber auf die Daten: Er enthält die IP-Adresse des Absenders und die IP-Adresse des Ziels. Die IP- Adresse besteht aus vier Zahlen mit Werten zwischen 0 und 255. Dann geht das IP- Datenpaket auf die Reise. Alle Stationen zwischen Absender und Ziel haben eigene IP- Adressen, kennen die Wegroute, die sich aus diesen Adressdaten ergibt, und reichen das Paket weiter. IP-Datenpakete haben verschiedene Typen, darunter TCP (Transmission Control Protocol) und UDP (User Datagram Protocol). Sie erweitern die IP-Adressen um so genannte Ports. Deswegen besteht der Dialog zwischen zwei mit Hilfe von DLL-Dateien ausgeführt werden. Einige Programme brauchen Svchost.exe, um auf das Internet zugreifen zu können. Doch zugleich öffnet das Programm Ports in Richtung Internet, was ein gewisses Sicherheitsrisiko birgt. Mit dieser Konfiguration schützen Sie Ihren PC bestmöglich: Anfrage an DHCP-Server stellen: Erlauben Sie den Zugriff über das Protokoll UDP, Ziel: Eingehend, Lokal- Port 68, Remote Port 67. Wenn dieser Zugriff nicht erlaubt wird, kann der Rechner weder vom Router noch vom Provider eine IP-Adresse holen. Anfrage an den Namensserver (DNS) stellen: Erlauben Sie den Zugriff über das Protokoll UDP, Lokal-Port 53 (DNS). Wenn dieser Zugriff nicht erlaubt wird, kann Windows keine Webadressen mehr zu IP-Adressen umrechnen. Anfrage an den Zeitserver stellen: Erlauben Sie über das Protokoll UDP den Zugriff am Lokal-Port 123. Dieser Zugriff ist allerdings nur dann notwendig, wenn Sie die PC-Zeit von Windows XP automatisch mit einer Atomuhr im Internet abgleichen lassen wollen. Internet-Rechnern zum Beispiel aus Datenpaketen von Rechner über Port 23 zum Rechner :42. Anhand der per Doppelpunkt abgetrennten Port-Nummer weiß die Empfänger-Software, für welche Anwendung die IP-Pakete bestimmt sind. Port 80 heißt Webserver, umgekehrt heißt fast automatisch: Verwende Port 80, weil es ja ein Webserver ist. Surfer bekommen ihre IP-Adresse bei jeder Einwahl neu zugewiesen. Server im Internet haben dagegen fest zugewiesene Adressen. Daher muss niemand im Browser :80 eingeben, sondern kann den Namen der Domain eintippen, also zum Beispiel Domain-Namensserver (DNS) wandeln auf Anfrage die für den Menschen verständliche Eingabe example.com in die für Maschinen nutzbare IP-Adresse um. Eine Personal verwendet alle genannten Informationen. Sie prüft jedes IP-Datenpaket und stellt fest, um welchen Typ es sich handelt, wer Absender und Ziel sind, welche Ports es verwendet. Bei der Konfiguration einer Personal geht es daher stets um die Konfiguration eines Filters, der Datenpakete auf Grund dieser Kriterien passieren lässt oder blockiert. Das Computer-Magazin 5/

6 Erlauben Sie zudem folgende Zugriffe: TCP, Ziel Ausgehend, Remote Port 80 (HTTP) TCP, Ziel Ausgehend, Remote Port 443 (HTTPS) UDP, Ziel Ausgehend, Remote Port 1900 Verbieten Sie die folgenden Zugriffe: UDP, Ziel Eingehend, Remote Ports 1900, 5000, Remote Host: TCP, Ziel Eingehend, Remote Port 5000, Remote Host: TCP, Ziel Eingehend, Lokal-Port Online-Updates kontrollieren Viele s enthalten Vorgaben- Sets so genannte Presets, in denen die Protokoll- und Port-Freigaben für viele Programme bereits gespeichert und vorkonfiguriert sind. Internet Explorer und Firefox konfigurieren Sie am besten mit dem Preset Browser. Dazu wählen Sie im Fenster Erstelle Regel für die Option Eine Regel erstellen und/oder preset benutzen. In den meisten anderen Fällen sollten Sie keine Presets verwenden. Häufig sind diese unvollständig und verführen dazu, dem Programm kurzerhand vollen Zugriff zu gewähren, damit die nicht mehr mit Warnmeldungen nervt. Wählen Sie bei solchen Programmen die Option Andere und konfigurieren Sie den Zugriff manuell. Nach mehreren Zugriffen entsteht dabei ein Muster für die beste Konfiguration. Beispiel: Der Prozess inetupd.exe aktualisiert das Antiviren-Programm Antivir Personal Edition und fordert dazu Zugriffsrechte an über das Protokoll TCP mit dem Ziel Ausgehend über den Remote Port HTTP zum Remote Host dl2.avgate.net. Das genügt aber noch nicht, denn beim nächsten Update verwendet Antivir möglicherweise dl4.avgate.net oder dl3.avgate.net oder dl1.avgate.net. Im Fall von An- tivir PE können Sie entweder für jeden einzelnen Server eine Regel einrichten oder dem Zugriff vertrauen und dabei nur die Einschränkung der Quelle entfernen. Deaktivieren Sie dazu in der Regel die Option Wenn der gewählte Remotehost ist. Das erlaubt dem Internet-Update den Zugriff Ausgehend, per TCP auf Port 80 und funktioniert allgemeingültig, so dass Sie nur noch eine einzige Regel benötigen. 17. FTP und konfigurieren Verwenden Sie bei FTP-Tools und Homepage-Editoren mit eingebauter FTP-Funktion das Preset FTP-Client. Falls Probleme auftreten, konfigurieren Sie das FTP-Programm so, dass es keinen Port 20 benötigt: Die entsprechende Einstellung heißt typischerweise Passive Transfers aktivieren. Verwenden Sie für die -Verbindung das Outpost-Preset. Treten dann bei der -Übertragung Probleme auf, obwohl der Browser funk- Was ist eigentlich? Anwendungs-:, die eingehende und ausgehende Datenpakete den verursachenden Anwendungen zuordnen kann. DHCP: Das Dynamic Host Configuration Protocol standardisiert die automatische Zuteilung von IP-Adressen. Der DHCP-Client, zum Beispiel ein Windows-PC, holt sich dabei eine IP-Adresse vom DHCP-Server, zum Beispiel dem DSL- Router oder dem Internet-Provider. Dienst: Windows aktiviert beim Systemstart eine Reihe von Programmen als Dienste. Unnötige Dienste sollten deaktiviert werden, da fehlerhafte Dienste Schwachstellen darstellen. Exploit: Bezeichnet Programmierfehler, die sich ausnutzen lassen, um fehlerhafte Programme auf nicht vorgesehene Weise zu nutzen. Beispielsweise bietet ein Fehler im Windows-XP- Dienst lsass.exe Angreifern die Möglichkeit, von außen heimlich ein Programm auf den PC zu übertragen und zu starten. Inbound-: Filtert Zugriffe aus dem Internet, die nicht vom PC angefordert wurden. Typisches Beispiel ist die Windows-XP-, die Portscans von Würmern blockiert. Internetverbindungsfreigabe: Diese Windows-Funktion ermöglicht PCs, die per LAN an einen Rechner mit Online-Zugang angeschlossen sind, dessen Internet-Verbindung zu nutzen. MAC-Adresse: Jede Netzwerkkarte besitzt eine individuelle Media-Access-Control-Adresse. Sie erlaubt eindeutiges Adressieren in der Sicherungsschicht der Netzwerkkommunikation. Ping: Kleines Datensignal, das im Netzwerk oder via Internet von einem PC zu einem anderen und zurück läuft, wenn dieser aktiv ist. Outbound Packet Filter: Filtert Zugriffe von innen (PC) nach außen, zum Beispiel Anforderungen wie den Aufruf einer Website. Port: Virtuelle Anschlüsse, über die mehrere Internet-Programme parallel miteinander kommunizieren, ohne sich gegenseitig zu stören. Portscan: Ein Portscan klopft bei jedem Port eines fremden PCs einmal an. Die Antwort kann lauten Du kannst mich benutzen oder Du kannst mich nicht benutzen. Potenzielle Angreifer können aus den benutzbaren Ports schließen, welche Exploits des gescannten PCs sich missbrauchen lassen. Referrer: Wer im Browser auf einen Link klickt, gelangt nicht nur zu einer neuen Webseite. Der Browser teilt der Webseite auch gleich mit, auf welcher Webseite der Link angeklickt wurde. Das kann auch ein -Postfach sein, so dass der Zielserver eine Information wie mailbox:/c /Programme/ Mailsoftware/Users/AndreasWinterer/Inbox.sbd /schlimme_mails erhält. Remote Host: Gegenstelle einer Kommunikation: Bei einem Webzugriff ist etwa eine Gegenstelle (Bild F). UDP: Das User Datagram Protocol ist ein Kommunikations-Protokoll zwischen zwei Computern. UDP ist schneller, aber nicht so zuverlässig wie TCP (Transmission Control Protocol). Universal Plug & Play: Vereinfacht bei Windows Me und XP die Verbindung von PCs, Geräten, Netzwerken und Diensten. Mit der Analysefunktion von Outpost Free sehen Sie die Gegenstelle einer Kommunikation (Bild F) 34 Das Computer-Magazin 5/2005

7 tioniert, prüfen Sie über Optionen, Anwendungen, ob Sie dem - Programm folgende Rechte eingeräumt haben: senden: Protokoll TCP, Ziel Ausgehend, Remote Port 25 (SMTP) abholen (klassischer POP3- Standard): Protokoll TCP, Ziel Ausgehend, Remote Port 110 (POP3) abholen (fortschrittlicher IMAP- Standard, bei Anbietern wie Web.de): Protokoll TCP, Ziel Ausgehend, Remote Port 143 (IMAP) Wenn die -Anwendung trotz dieser Konfiguration nicht funktioniert, ist das Problem meist ein zusätzlicher Sicherheitsfilter etwa ein Spam- oder Virenschutz. Abhilfe: Erteilen Sie der jeweiligen Sicherheits-Software dieselben Zugriffsrechte wie dem - Programm beim Abholen von s. 18. Trojaner abwehren Adware, Spyware und andere unerwünschte Tools erzeugen beim Versuch, auf das Internet zuzugreifen, eine Anfrage des Regel-Assistenten der. In solchen Fällen müssen Sie stets selbst entscheiden, ob Sie Internet- Zugriff gewähren oder nicht. Hilfreich ist, wenn Sie bereits alle erwünschten Internet-Zugriffe definiert haben, wie in Tipp 3 beschrieben. Dann ist ein bislang unbekannter Zugriff wahrscheinlich ein unerwünschter. Blockieren Sie ihn, indem Sie Jeder Verkehr dieser Anwendung blockieren wählen und auf OK klicken. Prüfen Sie in der Analyse-Ansicht von Outpost, welche Adressen welches Prozesses geblockt wurden. Klicken Sie dazu im Hauptfenster links auf Mein Internet, Blockiert. Outpost zeigt eine Liste aller Prozesse mit Netzwerkverbindungen. Die Prozesse haben in der Spalte Anwendungen" typische Programmnamen der Art beispiel.exe". Geben Sie den Namen des Prozesses bei Google ein, um mehr über ihn zu erfahren. Trojanische Pferde kurz Trojaner, vor allem so genannte Remote Access Trojans (RATs) öffnen vom Nutzer unbemerkt Ports in Richtung Internet und warten darauf, dass ein potenzieller Angreifer sie von außen kontaktiert. Zum Aufspüren öffnen Sie das Analysefenster Mein Internet, Offene Ports (Bild G) wie in Tipp 8 zeigt offene Ports: Eine Anwendung ohne bekannte Funktion hat Ports geöffnet (Bild G) beschrieben. Prüfen Sie, ob Ihnen alle Programme bekannt vorkommen und mit einer gewünschten Anwendung verknüpft sind. Im Zweifelsfall hilft Google: Der Prozess lexpps.exe etwa gehört zum Treiber eines Lexmark- Druckers und kann gesperrt werden. Prüfen Sie die Port-Nummer der angezeigten Anwendung, denn auch diese kann Hinweise geben. Port 999 gehört zum Beispiel laut gate.com:443/cgi-in/probe/trojans.cgi (siehe Tipp 29) zu einem Trojaner. Outpost Free zeigt nicht an, in welchem Verzeichnis die EXE-Datei liegt. Hier hilft das Tool TCP-View von der Heft-CD 1, das Sie einfach entpacken und starten können. Klicken Sie in TCP-View mit der rechten Maustaste auf den fraglichen Prozess und wählen TCP-View: Das Tool zeigt Ihnen, in welchen Verzeichnissen sich die Trojaner und andere Malware verstecken (Bild H) Sie Process Properties. TCP-View zeigt dann den Pfad zur Programmdatei des Prozesses an (Bild H). Das hilft Ihnen, herauszufinden, zu welcher installierten Software sie gehört. 19. Browser-Hijacking vorbeugen Beim Browser-Hijacking manipuliert ein Trojaner, ein Wurm oder eine Spyware die Hosts-Datei im Verzeichnis C:\Windows\System32\Drivers\etc so, dass der Aufruf einer Website wie nicht korrekt bearbeitet wird und zu einer ganz anderen Website wie etwa führt. Um das zu verhindern, sollten Sie regelmäßig die Datei hosts prüfen. Laden Sie dazu die Datei in den Editor. Es darf dort auf einem normalen PC nur eine einzige Zeile geben, die nicht durch das Zeichen # zu Beginn der Zeile als Kommentar gekennzeichnet und damit wirkungslos ist. Sie lautet localhost. Andere Zeilen, die nicht mit # beginnen, sind verdächtig und sollten entfernt werden. Windows absichern Der Einsatz von Personal s ist sinnvoll, weil Windows zahlreiche Fehler besitzt und s das Risiko verringern, dass Hacks oder Infektionen diese missbrauchen. In einigen Fällen ist es jedoch besser, nicht das Symptom per 36 Das Computer-Magazin 5/2005

8 COMPUTER zu verbergen, sondern die eigentliche Ursache zu beseitigen. 20. Browser-Add-ons kontrollieren Der Internet Explorer darf in der Regel auf das Internet zugreifen. Erweiterungsprogramme für den Internet Explorer so genannte Browser-Add-ons haben dieselben Rechte wie der Internet Explorer selbst. Das schafft Sicherheitslücken. Wenn nämlich ein Add-on ohne Ihr Einverständnis Kontakt zum Hersteller aufnehmen will, reagiert die unter Umständen nicht. Sie glaubt, dass lediglich der Internet Explorer eine Internet-Verbindung herstellen möchte. Browser-Add-ons erscheinen zudem nicht im Task-Manager. Service Pack 2 für Windows XP erweitert den Internet Explorer um eine eigene Verwaltung dieser Browser-Erweiterungen: Wählen Sie im Internet Explorer Extras, Internetoptionen. Wechseln Sie in das Register Programme. Klicken Sie auf Add-Ons verwalten. Die Programme mit den Dateinamen AcroIEHelper.dll von Adobe, goog letoolbar1.dll von Google, flash.ocx von Macromedia sowie Windows Messenger ohne Herstellerangabe sowie ypager.exe von Yahoo sind unverdächtig. Andere, unbekannte Objekte nicht genannter Hersteller oder unbekannter Funktion schalten Sie aus: Markieren Sie den Eintrag und setzen Sie den Status auf Deaktivieren (Bild I). 21. Nachrichtendienst abschalten Unseriöse Anbieter missbrauchen den Windows-Nachrichtendienst für Webspam: Lästige Pop-up-Fenster fordern den Nutzer auf, Webseiten aufzurufen, auf denen es von Dialern nur so wimmelt. Browser wie Firefox oder eine wehren die Pop-ups zwar ab. Besser ist jedoch, wenn Sie den betreffenden Windows-Dienst von vornherein lahm legen. Öffnen Sie Start, Einstellungen, Systemsteuerung und klicken Sie auf Verwaltung, Dienste. Klicken Sie in der Liste Dienste (Lokal) doppelt auf Nachrichtendienst. Schalten Sie den Starttyp in der Auswahlliste um auf Deaktiviert (Bild J). 22. Fernzugriff deaktivieren Der Fernzugriff erlaubt es, via Internet auf einen entfernten Rechner zuzugreifen, um zum Beispiel einem Bekannten bei der Behebung eines PC-Problems Hilfestellung zu leisten. Doch dieser Windows-Dienst stellt auch ein Sicherheitsrisiko dar. Schalten Sie ihn ab, falls Sie ihn nicht benötigen. Klicken Sie dazu in der Systemsteuerung doppelt Add-on-Verwaltung: Verbieten Sie verdächtigen Erweiterungen des Internet Explorers den Zugriff (Bild I)

9 auf System und wechseln Sie in das Register Remote. Deaktivieren Sie Ermöglicht das Senden von Remoteunterstützungsangeboten und Benutzern erlauben, eine Remotedesktopverbindung herzustellen. Klicken Sie auf Remotebenutzer auswählen und entfernen Sie alle Einträge. 23. Druckerfreigabe abschalten Wer ein Heimnetzwerk betreibt, gibt oft Verzeichnisse oder Laufwerke frei. Geht ein PC mit Windows-Freigaben, der unsicher konfiguriert ist, online, kann jeder Internet-Nutzer auf die freigegebenen Ressourcen zugreifen. Die Datei- und Druckerfreigabe wird daher standardmäßig von Outpost Free blockiert. Doch gehen Sie lieber auf Nummer sicher: Falls Sie die Dateiund Druckerfreigabe nicht verwenden, sollten Sie sie ganz abstellen. Klicken Sie dazu in der Systemsteuerung auf Netzwerkverbindungen. Identifizieren Sie in der Liste die Verbindung, über die Sie ins Internet gehen. Klicken Sie mit der rechten Maustaste darauf und wählen Sie Eigenschaften. Wechseln Sie in das Register Netzwerk und deaktivieren Sie Dateiund Druckerfreigabe für Microsoft- Netzwerke. Markieren Sie Internetprotokoll (TCP/IP), klicken Sie auf Eigenschaften, Erweitert. Wechseln Sie in das Register WINS und stellen Sie sicher, dass NetBIOS über TCP/IP deaktivieren aktiviert ist. 24. Windows-Freigaben sicher nutzen Windows-Freigaben stellen prinzipiell Sicherheitslücken dar. In einigen Fällen benötigt man Windows-Freigaben jedoch, zum Beispiel in Heimnetzwerken, bei denen die PCs über die LAN-Anschlüsse eines DSL-Routers miteinander verbunden sind. Verhindern Sie, dass unbefugte Anwender auf Ihre freigegebenen Ressourcen zugreifen, indem Sie festlegen, welchen Windows-Rechnern Outpost Free Zugriff auf die freigegebenen Verzeichnisse und Dateien gewähren darf (Bild K). Wählen Sie dazu Optionen, System. Aktivieren Sie Erlaube Netbios Kommunikation und klicken Sie auf Einstellungen. Entfernen Sie den vorgegebenen Adressbereich, meist Dienstverwaltung: Deaktivieren Sie hier Services, die unnötig sind, etwa den Nachrichtendienst (Bild J) Tragen Sie stattdessen den Adressraum Ihres Windows-Netzes ein. Wenn Ihr DSL-Router zum Beispiel die Adresse hat, geben Sie * ein. Wenn Sie nicht wissen, welche Adresse Ihr DSL-Router hat, öffnen Sie über Start, Ausführen", cmd eine Kommandozeile und geben Sie darin das Kommando ipconfig ein. Der Eintrag bei Standardgateway gibt die Adresse Ihres Routers an. Tragen Sie diese Adresse bei Outpost Free ein und ersetzen Sie die letzte Zahl durch ein *. 25. Universal Plug & Play abschalten Der Dienst für Universal Plug & Play ermöglicht potenziell riskante Zugriffe über das Internet-Protokoll UDP auf die Ports 1900 und 5000, die vom Dienst Svchost.exe geöffnet werden. Siehe da- Zieladressenkonfiguration: So dürfen nur bestimmte IP-Adressen Ihre Windows-Freigaben nutzen (Bild K) zu Tipp 15. Universal Plug & Play wird nur gebraucht, wenn Sie die Internetverbindungsfreigabe verwenden also im Heimnetz den Internet-Zugang eines angeschlossenen Computers nutzen. Falls Sie die Internetverbindungsfreigabe nicht brauchen, schalten Sie den Dienst für Universal Plug & Play besser ab. Starten Sie dazu die Dienstverwaltung über Start, Ausführen und geben Sie services.msc ein. Suchen Sie den Eintrag Universeller Plug & Play-Gerätehost und klicken Sie doppelt darauf. Schalten Sie im Register Allgemein den Starttyp von Automatisch auf Manuell um (Bild L). 26. Überflüssige Dienste abschalten Deaktivieren Sie Dienste, die Sie nicht oder nur ganz selten brauchen. Damit machen Sie Ihren Computer sicherer und optimieren Ihr Windows XP. Bevor Sie einen Dienst abschalten, klicken Sie doppelt auf seinen Eintrag und wechseln in das Register Abhängigkeiten. Im unteren Bereich zeigt Windows, welche Dienste von diesem Dienst abhängig sind. Lassen Sie wichtige Dienste wie den Arbeitsstationsdienst aktiviert. Welche Dienste Sie bedenkenlos abschalten können, lesen Sie in com! 4/2005 ab Seite NTFS statt FAT32 verwenden Das Dateisystem NTFS ist besser und sicherer als FAT32. Zudem haben Sie nur mit 38 Das Computer-Magazin 5/2005

10 COMPUTER NTFS die Möglichkeit, Dateien und Verzeichnisse per Verschlüsselung oder über eingeschränkte Benutzerrechte zu schützen. Um eine Partition von FAT32 nach NTFS zu konvertieren, wählen Sie Start, Ausführen. Mit cmd öffnen Sie das Kommandozeilenfenster. Geben Sie darin convert <Laufwerk> /fs:ntfs ein. Soll H: konvertiert werden, lautet das Kommando beispielsweise convert h: /fs:ntfs. Keine Angst: Bei der Konvertierung gehen keine Daten verloren. Einstellungen für Universal Plug & Play: Schalten Sie Dienste, die Sie nicht brauchen, auf manuellen Start (Bild L) 28. Benutzerrechte einschränken In der Standardkonfiguration von Windows XP haben Sie Administratorrechte. Alle Programme, die Sie starten, haben Administratorrechte auch Viren, Würmer und Trojaner. Verwenden Sie die Administratorrechte deshalb nur bei Bedarf (Bild M). Legen Sie in der Benutzerverwaltung mit Neues Konto erstellen ein neues Benutzerkonto an. Nennen Sie es nicht Admin oder Administrator, sondern geben Sie ihm einen neuen Namen, zum Beispiel ClarkKent. Wählen Sie als Kontotyp Computeradministrator und klicken Sie auf Konto erstellen. Klicken Sie auf das neu erzeugte Konto und auf Kennwort erstellen. Wählen Sie ein sicheres Kennwort und klicken Sie auf Kennwort erstellen. Klicken Sie auf Start, <Ihr Benutzername> abmelden und Benutzer wechseln. Klicken Sie auf das erzeugte Konto und geben Sie das Passwort ein. Starten Sie die Benutzerverwaltung. Klicken Sie dort auf Ihr bisheriges Benutzerkonto, wählen Sie Kontotyp ändern, Eingeschränktes Konto. Klicken Sie auf Start, ClarkKent abmelden, Benutzer wechseln und melden Sie sich als normaler Benutzer wieder an. Sie haben nun eingeschränkte Rechte. Verwenden Sie ein Administratorkonto wie ClarkKent nur, wenn es nicht anders geht, zum Beispiel bei der Verwaltung von Benutzerkonten: Trennen Sie Benutzer- und Administratorkonto, um die Systemsicherheit zu erhöhen (Bild M) Diensten. Installieren Sie als Administrator Software nur dann, wenn sie aus vertrauenswürdigen Quellen stammt. Vermeiden Sie es, als Benutzer mit Administratorrechten im Internet zu surfen oder -Anhänge zu öffnen. Test-Utilities Prüfen Sie, ob die Ihren PC schützt. Ob er offene Ports aufweist, die sich von außen benutzen lassen, ermitteln Portscanner-Tools. Einige Webseiten bieten diese Portsuche als Dienst an. Das funktioniert aber nur, wenn Sie keinen Router verwenden. Schalten Sie zudem vor Portscans in Outpost Free vorübergehend die aktive Angreiferblockade ab. Wählen Sie dazu Optionen, Plug-In Setup, markieren Sie Abwehr von Angriffen. Klicken Sie auf Anhalten.

11 Andere Utilities testen von Ihrem Computer aus, ob Ihre Trojanern und Spware auch wirklich die Kommunikation vom PC ins Internet verbietet. Wichtig: Verwenden Sie solche Test- Tools nur dann, wenn die Anbieter vertrauenswürdig sind. 29. Sygate Scan Um vom Internet aus quasi aus Hacker-Sicht zu testen, ob Ihr PC Angriffspunkte bietet (Bild N), rufen Sie auf. Wählen Sie im Menü links Quick Scan und klicken Sie auf Scan Now, um den Test zu starten. Je nachdem, wie Ihre konfiguriert ist, stellt der Regel-Assistent nun einige Fragen: Erlauben Sie den Zugriff jeweils einmalig, erzeugen Sie aber keine Regel. Das Ergebnis ist eine Liste von Ports, deren Status der Scan ermittelt hat. Lautet der Status Open, könnten sich Eindringlinge via Internet über diesen Port Zugriff auf Ihren PC verschaffen. Machen Sie dann wie in Tipp 18 beschrieben den Prozess ausfindig, der den offenen Port verursacht. Beenden Sie entweder diesen Prozess oder blockieren Sie den Port. Ist ein Port Closed oder Blocked, droht keine Gefahr, denn dann wartet kein Dienst auf Kontakte aus dem Internet. 30. Superscan Wenn Sie zwei PCs haben, die beide über eine eigenständige Wählverbindung Zugang zum Internet haben und gleichzeitig online gehen können, testet das Port-Scan-Utility Superscan 3.0, ob Ihre ganze Arbeit leistet. Sie finden das Gratis-Tool unter files.com/get/superscan.html. Deaktivieren Sie auf dem zu testenden Rechner vorübergehend die Abwehr von Angriffen. Installieren Sie auf dem angreifenden Rechner superscan.exe per Doppelklick und starten Sie das Programm. Rufen Sie auf dem zu testenden Scan-Websites prüfen, ob der PC offene Ports aufweist, die Eindringlinge nutzen könnten (Bild N) IP-Scanner wie Superscan stellen die Ergebnisse übersichtlich dar (Bild O) Rechner die Webseite auf und ermitteln Sie die aktuelle IP-Adresse sie erscheint im Eingabefeld. Geben Sie die IP-Adresse auf dem angreifenden Rechner im obersten Feld von Superscan ein. Deaktivieren Sie Only scan responsive Pings und aktivieren Sie All ports from. Klicken Sie auf Start. Das Ergebnis entspricht weitgehend dem Port-Scan über scan.sygatetech.com, kann aber auch mal einen offenen Port mehr zutage fördern (Bild O). Unerwünschte offene Ports sollten geschlossen werden, wie in Tipp 21 bis 26 beschrieben, oder verborgen werden, wie in Tipp 13 und 15 gezeigt. 31. Leaktest Leaktest prüft Ihren PC von innen aus Sicht eines Trojaners. Mit dem einfachen Test prüfen Sie, ob bei Ihrer der Filter für ausgehenden Datenverkehr der so genannte Outbound Packet Filter aktiv ist. Diese - Funktion sorgt dafür, dass ohne Ihr Wissen keine Daten vom PC ins Internet übertragen werden. Laden Sie das Tool von herunter und starten Sie es. Das Utility benötigt keine Installation. Klicken Sie auf OK und Test for Leaks. Sobald die anfragt, blockieren Sie den Zugriff. Das Ergebnis muss Unable To Connect lauten. 32. PC Audit Das Utility PC Audit versucht, Daten an der vorbeizuschmuggeln. La- den Sie pcaudit.exe von netpatrol.com herunter und starten Sie das Programm per Doppelklick. Es benötigt keine Installation. Das Tool fordert Sie bei aktivierter zu beliebigen Eingaben am PC auf, die auch Passwörter sein könnten. PC Audit öffnet per Browser eine Ergebnis-Website. Dort sehen Sie einen Screenshot von Ihrem PC und den von Ihnen vorgenommenen Eingaben. Beide zeigen, dass PC Audit die Daten an der vorbei schmuggeln konnte. PC Audit verwendet einen Trick: Es kapert Programme mit Zugriffsrechten und versucht, Daten über sie zu versenden. Schalten Sie Outpost über das Symbol im Infobereich in den Modus Alles blockieren und wiederholen Sie den Test. Das Ergebnis: PC Audit kann die nun nicht mehr durchdringen. Das ist aber keine Lösung, denn mit dieser Totalblockade können Sie nicht mehr mit dem Internet arbeiten. PC Audit demonstriert, dass Personal s in der Praxis undicht sind. Das Gefahrenpotenzial für den normalen Nutzer ist jedoch gering, da nur wenige Schädlinge die nötige Technik beherrschen. Der Test zeigt allerdings, dass man auch mit einer installierten nicht einfach sorglos surfen oder dubiose Programme installieren sollte. Mehr Schutz bieten Profi-s mit einer speziellen Schutzfunktion, wie zum Beispiel Agnitum Outpost Pro ( rund 40 Dollar für eine Einzelplatzlizenz). 40 Das Computer-Magazin 5/2005

12 COMPUTER Router optimal einrichten Ein DSL-Router mit mehreren LAN- Ports gibt mehreren PCs gleichzeitig Zugang zum Internet. Er schützt Ihr Netzwerk, ohne dass Sie etwas konfigurieren müssen. In einigen Fällen müssen Sie den Schutz jedoch lockern, damit alles funktioniert. Die im Folgenden genannten Beispiele beziehen sich auf die verbreiteten Router des Herstellers SMC. Bei anderen Geräten können die Bezeichnungen leicht abweichen. 33. Sicheres Passwort wählen Die Standardpasswörter für Router sind Hackern bekannt. Wenn Sie ein Herstellerpasswort unverändert verwenden, riskieren Sie, dass Funknetz- Hacker auf Ihre Kosten surfen oder kriminelle Handlungen über diesen Zugang abwickeln. Um das Passwort zu ändern, wählen Sie im Browser die Netzwerkadresse des DSL-Routers und geben das Standardpasswort ein. Beide Angaben finden Sie im Handbuch. Wählen Sie Advanced Setup, System, Password Settings. Ersetzen Sie das bisherige Passwort durch ein neues. 34. Nummernvergabe konfigurieren Windows fragt bei jedem Start nach, ob sich ein DHCP-Server im Netz befindet. Fast alle DSL-Router arbeiten gleichzeitig als DHCP-Server. Der DHCP-Server meldet sich und vergibt die notwendige IP-Adresse an den Windows-PC. DHCP Clients List des DSL-Routers: Hier finden Sie die MAC-Adresse Ihres Netzwerkadapters (Bild P) Das ist einfach, hat aber den Nachteil, dass Sie die IP-Adressen nicht manuell kontrollieren können. Diese Kontrolle ist jedoch notwendig, wenn Sie den Router konfigurieren wollen, da jede Regel sich stets auf eine IP-Adresse bezieht. Weisen Sie jedem Windows-PC eine feste IP-Adresse zu. Wählen Sie dazu in der Systemsteuerung Netzwerkverbindungen, klicken Sie mit der rechten Maustaste auf LAN-Verbindung und wählen Sie Eigenschaften. Klicken Sie doppelt auf Internetprotokoll (TCP/IP) und schalten Sie auf Folgende IP-Adresse beziehen um. Tragen Sie bei Standardgateway und bei Bevorzugter DNS-Server die IP-Adresse des Routers ein. Tippen Sie bei Subnetzmaske den Wert ein. Tragen Sie bei IP-Adresse die gewünschte Adresse des PCs ein. Die ersten drei Zahlen der Adresse müssen mit den ersten drei Zahlen der Adresse des DSL-Routers übereinstimmen. 35. Nummernvergabe an fremde PCs Es gibt auch per DHCP einen Weg, IP- Adressen kontrolliert an PCs zu vergeben. Dieser Weg nutzt die Tatsache, dass jeder Netzwerkadapter eine so genannte MAC-Adresse besitzt, die im jeweiligen Netzwerk einzigartig ist. Wählen Sie im Router DHCP Server und aktivieren Sie seine Funktion. Klicken Sie auf Clients List : Die angezeigte Liste besteht meist aus einer IP-Adresse, einem Computernamen und der MAC-Adresse (Bild P). Notieren Sie diese Daten. Klicken Sie auf Fixed Mapping und legen Sie zum Beispiel fest, dass der Router die IP- Nummer 2 an die MAC- Adresse 00-0E-A6-28-6B-32 vergeben soll. Bei Änderungen solcher Adressen ist es ratsam, Router und Windows neu zu booten. Anschließend vergibt der Router die IP-Adresse fest an diesen PC. Diese Funktion können Sie in Funknetzen auch als Zugangsschutz nutzen. Suchen Sie im Router einen Bereich namens MAC Access Control und aktivieren Sie Connection Control für WLAN so, dass PCs, deren MAC-Adresse der Router nicht kennt, kei-

13 ne IP-Adresse erhalten. Dieser Zugangsschutz ersetzt zwar keine Funknetz-Verschlüsselung, lässt aber die meisten Amateur-Hacker abblitzen. 36. Filesharing-Bremse lösen Mit dem Verfahren Network Address Translation kurz NAT ersetzt der Router die im Netzwerk verwendeten Netzwerkadressen durch IP-Adressen. Vorteil: Zugriffe von außen, die Sie nicht selbst initiiert haben, prallen am Router ab. Nachteil: Peer-to-Peer- Systeme wie etwa Tauschbörsen werden durch NAT ausgebremst oder geblockt. Um Tauschbörsen ungehindert nutzen zu können, öffnen Sie am Router ausgesuchte Ports und leiten deren Zugriffe auf den PC mit der Tauschbörsen- Software weiter. Suchen Sie einen Bereich namens Virtual Server (Bild Q). Tragen Sie in der Spalte Service Port die notwendigen Ports ein, in der Spalte IP-Address den PC, an den Port- Anfragen weitergeleitet werden sollen. Hinweis: Wenn der PC zusätzlich eine Personal verwendet, sind deren Ports ebenfalls zu öffnen. Wenn nichts mehr geht Sie haben Outpost eingerichtet, und nun klappt das Surfen nicht mehr so reibungslos wie vorher? Hier gibt s die Lösung für immer wieder vorkommende Probleme. Problem: Der Browser funktioniert nicht. Lösung: Prüfen Sie, ob Sie dem Browser zu wenig Rechte einräumen. Wählen Sie Optionen, Anwendungen, klicken Sie auf den Eintrag des Browsers und auf Entfernen. Das löscht die bestehende Regel. Beim nächsten Browser-Start erlauben Sie den Zugriff. Geht es dann, lag es hieran. Problem: Sie können Webseiten aufrufen, die Sie gestern besucht haben, aber keine neuen. Lösung: Das liegt am Zugriff auf den Domain- Name-Server. Wählen Sie Optionen, System und klicken Sie bei Globale Anwendungs-, und Systemregeln auf Einstellungen.Aktivieren Sie Allow DNS Resolving. Hilft das nichts, prüfen Sie bei den Anwendungsregeln, ob irgendwo der Outbound-Zugriff auf Port 53 gesperrt ist, und löschen Sie das. Konfiguration für die Tauschbörse: Emule auf dem PC Nummer 3 und Bit Torrent auf PC Nummer 4 (Bild Q) 37. PC ohne Adressübersetzung Sie haben die Möglichkeit, einen PC von der Adressübersetzung auszunehmen. Die Wirkung ist so, als würden Sie für alle existierenden Ports einen Virtual Server auf einen ausgesuchten PC konfigurieren. Das kann nützlich sein, wenn Sie Anwendungen wie Online- Spiele, Voice-over-IP-Telefonie oder Video-Conferencing nicht mit Hilfe der Einstellungen von Virtual Server zum Laufen bekommen. Vorsicht: Das ist nur ratsam, wenn der ausgeklammerte PC keine verwundbaren Dienste nutzt und eine Software- verwendet. Um einen PC aus der Adressübersetzung auszuklammern, suchen Sie im Router- Menü eine Einstellung namens DMZ oder Demilitarized Zone und tragen die IP-Adresse des betreffenden PCs ein. 38. Router- konfigurieren Router-s arbeiten mit Regeln, die auf IP-Adressen angewendet wer- Problem: Seit der Installation von Outpost dauert das Abrufen von s erheblich länger als früher. Lösung: Wählen Sie Optionen, System und klicken Sie bei Globale Anwendungs-, und Systemregeln auf Einstellungen. Aktivieren Sie die Option Allow Inbound Identification. Das hebt die Blockade für den Port 113 auf, was bei einigen Internet-Providern für problemlosen Mail-Versand notwendig ist. Problem: Der Browser funktioniert, doch die Downloads klappen auf einigen Webseiten nicht mehr. Lösung: Mit hoher Wahrscheinlichkeit schützt sich die Website per Referrer-Prüfung gegen automatische Downloads. Wählen Sie Optionen, Plug-In Setup" und klicken Sie doppelt auf Aktive Inhalte. Markieren Sie die Option Web Seite und schalten Sie die Option Referers auf Aktivieren.Alternativ fügen Sie die Download-Website hinzu und gestatten nur dieser Website, Referrer-Informationen aus Ihrem Webbrowser zu beziehen. den. Eine feste Vergabe von IP-Adressen an PCs ist daher Voraussetzung für ihren Einsatz. Aktivieren Sie den Schutz über das Menü oder Packet Filter. Die meisten Systeme unterscheiden zwei Arbeitsmodi, die sich mit Erlaube alle Zugriffe, außer die definierten und Verbiete alle, außer die definierten umschreiben lassen und für ausgehenden und eingehenden Datenverkehr getrennt behandelt werden. 39. Zugriffe vom PC auf das Internet Der Filter für ausgehenden Datenverkehr sperrt Zugriffe, die von einem PC Ihres Heimnetzes ausgehen. Um zum Beispiel dem PC mit der Nummer 3 den Zugriff auf Webseiten (HTTP, Port 80), das Empfangen von s (POP3, Port 110) und das Senden von s (SMTP, Port 25) zu erlauben, wählen Sie Deny all to pass except those match the following rules, tragen in die Felder Source IP die IP-Adresse des zu sperrenden PCs ein (*.*.*.3) und lassen den Port unbestimmt. Tragen Sie die erlaubten Port-Adressen des Ziels ein (80, 110, 25). Lassen Sie Destination IP frei, denn der Browser soll ja beliebige Webseiten aufrufen können. Aktivieren Sie die Regel mit Enable. 40. Zugriffe vom Internet auf den PC Nicht jeder Router hat einen Filter für Zugriffe vom Internet auf den PC, einen so genannten Inbound Packet Filter. Ist ein solcher Filter vorhanden, muss er meist nicht konfiguriert werden, da unverlangt eingehende Pakete ohnehin am Router abprallen. Der Inbound-Filter muss lediglich bei DMZ-PCs oder PCs, für die per Virtual Server eine Port- Weiterleitung existiert, eingestellt werden. Der Inbound-Filter wird wie der Outbound-Filter konfiguriert und lässt sich zum Beispiel verwenden, um Adressen gezielt von der Benutzung eines Ports auszuschließen. Angenommen, Sie lassen Port 21 über Virtual Servers an einen PC weiterleiten, auf dem ein FTP-Server betrieben wird. Dann können alle Internet-Nutzer auf ihn zugreifen. Mit der Inbound- definieren Sie per Deny all to pass except... eine einzelne IP-Adresse, zum Beispiel die feste Adresse Ihres Büronetzwerks. Nun können nur Sie und nur über das Büronetzwerk auf den FTP- Server Ihres Heimnetzes zugreifen. Andreas Winterer/ud computer@com-magazin.de 42 Das Computer-Magazin 5/2005