Lokale Firewall

Die lokalen Schnittstellen sind nicht so wichtig wie die Remote-Ports, da sie nur geöffnet werden, um eine andere Rechnerverbindung zu haben. Beim Öffnen dieser Webseite öffnet der Webbrowser also einen lokalen Anschluss (natürlich 15577) an den Remote-Port 80. Dieser Anschluss wird auf TCP beibehalten, so lange er benötigt wird, in diesem Falle handelt es sich um das http-Protokoll - also wird die Leitung aufrechterhalten, bis alle Angaben sind übertragen

Es ist unwichtig, wie lange Sie den Webbrowser geöffnet haben übrigens. Ich weiß nicht, wie ich die Schnittstellen entsperre, damit ich das Programm benutzen kann! Häfen können nicht freigeschaltet werden, es ist schlichtweg ein Irrtum. Häfen werden nur geöffnet, wenn ein Service diesen benötigt - der Benutzer hat hier keine echte Kontrolle, es sei denn, er beginnt den Service (wie ein FTP-Server) oder stoppt ihn.

Desktop-Firewalls blockieren oft den Port (Firewall), da die meisten Privatanwender über ihr eigenes Betriebssystem verwirrt sind und nicht wirklich wissen, welche Services aktiviert oder deaktiviert sind. Das wird als'Schutz' betrachtet, was auch nicht stimmt - schließen Sie alle unerwünschten Prozesse und die Ports sind ebenfalls dicht - keine Firewall erforderlich.

Warum lokale Brandmauern?

RUS-CERT bekommt von Zeit zu Zeit die Frage, ob aufgrund des auf dem Perimeter Router befindlichen Filtermaterials (meist "Uni-Firewall" genannt) noch weitere Firewall im Hochschulnetz notwendig sind. Das vorliegende Handbuch erklärt, warum der Einsatz einer Firewall vor Ort nach wie vor sehr einleuchtend ist. Die Filterung des Perimiterrouters, obwohl sie jeden Tag unzählige Attacken verhindert, hat allerdings einige grundsätzliche Schwächen:

Es handelt sich bei dem Sieb nicht um eine Firewall im allgemeinen Sinn. Durch die sehr heterogene Nutzerstruktur des Hochschulnetzes und die Verwaltung der auf die einzelnen Standorte und Institutionen aufgeteilten Anlagen ist die Umsetzung eines für die ganze Hochschule einheitlich und restriktiv ausgelegten Firewall-Konzeptes zur Zeit nur in der auf diesen Internetseiten beschriebenen Form möglich. Die Erfahrung hat gezeigt, dass der Einsatz des Filters nur einen Teil der möglichen Attacken abfängt.

Angriffe aus dem Hochschulnetz selbst sind zu erwarten. Die Anlagen innerhalb der Uninets werden durch den Einsatz des Filters nicht voneinander getrennt. Mit kompromittierten Systemen innerhalb des Hochschulnetzes können andere im Hochschulnetz befindliche Rechner aus dem Hochschulnetz selbst angegriffen werden, die nicht mehr durch den Schutz des Filters am Perimeter-Router sind. Schon durch den Einsatz eines simplen Packetfilters (z.B. auf der Grundlage eines Linux-Kernels) zwischen dem lokalen Netzwerk und dem Universitätsnetzwerk können folgende Ziele gesteckt werden: 1:

Auch der lokale Paket-Filter bietet Schutz vor Attacken aus dem übrigen Universitätsnetzwerk. Bei Bedarf ist es möglich, mit Proxys auf Anwendungsebene das eigene Netzwerk so weit wie möglich vom Hochschulnetz und damit vom Intranet zu trennen. Bei Attacken kann der lokale Paket-Filter oft sehr kurzfristige Abhilfe schaffen (natürlich nur bei Attacken, die die Verbindung nicht sättigen).

Aufgrund der noch bestehenden Schwachstellen des hochschulweiten Filter und der vielen weiteren Schutzmöglichkeiten ist die Erarbeitung eines Konzepts zum Schutz des Netzwerks vor Ort sehr zu empfehlen, vor allem wenn die erforderlichen Hard-, Soft- und Personalressourcen grundsätzlich bereitstehen. Selbst innerhalb eines gesicherten Netzwerks ist es zweckmäßig, nicht auf den Computern selbst im Netzwerk genutzte Services auszuschalten oder zu blockieren, um durch ein kompromittiertes Netzwerk verursachte Brände in der Umgebung zu unterdrücken.

RUS-CERT kann, soweit möglich, im Umfang der zur Verfügung stehenden Mittel bestehende Firewall-Konzepte evaluieren.