Praxistipps: Firewall-Einstellungsanleitung

  • Artikel-ID: 57757
  • Aktualisiert: 04 Jul 2013

Beim Konfigurieren einer Firewall sind ggf. weitere Informationen zu einigen Einstellungen und deren Aktivierung/Deaktivierung erforderlich.

Dieser Artikel enthält die "Werksstandard"-Regeln und Konfigurationseinstellungen für die Sophos Firewall, wenn sie über die Schaltfläche "Erweiterte Einstellungen" in der Firewall-Richtlinie konfiguriert wurde. Soweit wie möglich wurden hier die Sicherheitsauswirkungen aller Einstellung sowie der jeweilige Standard beschrieben.

Lesen Sie die Einführungsanleitung zur Firewall, bevor Sie sie auf Ihre Endpoint-Computer verteilen.

Deaktivieren der Firewall: Anweisungen zum Deaktivieren der Firewall können Sie bei Bedarf dem Abschnitt "Firewall vorübergehend deaktivieren" in der Endpoint- oder Konsolen-Hilfe entnehmen. Hinweis: Eine Deaktivierung der Firewall durch Deaktivieren der Firewall-Dienste wird nicht unterstützt.

Eine Übersicht über weitere Praxistipps finden Sie im Support-Artikel Praxistipps für Endpoint Security and Control

In diesem Artikel ist Folgendes enthalten:

Erweiterte Konfiguration:
Allgemeine Einstellungen | Standorterkennungseinstellungen | Prüfsummeneinstellungen | Protokolleinstellungen

Konfiguration des primären oder sekundären Standorts
Allgemeine Einstellungen | ICMP-Einstellungen | LAN-Einstellungen | Globale Regeln | Anwendungsregeln | Prozesssteuerungseinstellungen

Erweiterte Konfiguration

Registerkarte "Allgemeine Einstellungen"

Einstellungsname Standard Anmerkung
Primärer Standort: Gesamten Verkehr zulassen Deaktiviert

Diese Einstellung trifft nur für besondere Umstände zu. Sie deaktiviert die Firewall am primären Standort. Im Allgemeinen sollte sie nicht benutzt werden.

Wenn Sie eine Anwendung oder Verbindung zulassen möchten, richten Sie stattdessen eine Anwendungsregel, eine ICMP-Regel oder eine globale Regel ein.

Hinzufügen einer Konfiguration für einen sekundären Standort Deaktiviert Diese Einstellung sollte nur für Laptops und andere Computer verwendet werden, die regelmäßig an ein weiteres Netzwerk angeschlossen werden, wie z.B. ein Heim- oder öffentliches Wireless-Netzwerk.
Angewandter Standort Konfiguration des erkannten Standorts

Deaktiviert, bis die Option "Konfiguration für einen sekundären Standort" gewählt wird. Hier können Sie einstellen, welche Richtlinie angewandt wird, wenn ein neuer Standort erkannt wird.

Der Standard "Konfiguration des erkannten Standorts" stellt sicher, dass die Firewall automatisch das aktuelle Netzwerk erkennt und die entsprechende Konfiguration wählt.

Wenn Endbenutzer Mitglieder der Gruppe "Sophos Power Users" oder "Sophos Administrators" sind und sich an einem dritten Standort befinden, können manuell den ersten oder zweiten Standort auswählen. Teilen Sie solchen Benutzern mit, dass sie dies bei der Verbindung zu einem neuen Netzwerk vornehmen können und erklären Sie ihnen die nötigen Konfigurationseinstellungen.

Registerkarte "Standorterkennung"

 

Einstellungsname Standard Anmerkung

Erkennungsmethode

DNS, nicht konfiguriert Es empfiehlt sich, möglichst die Gateway MAC-Adressenerkennung zu verwenden. Die Firewall kann problemlos die Einstellung des Gateways erkennen und deren primären oder sekundären Standort verwenden.

Registerkarte "Prüfsumme"

Einstellungsname Standard Anmerkung
Anwendung/
Version/
Prüfsumme
Nicht konfiguriert Bevor Sie die Firewall implementieren, geben Sie hier die MD5-Prüfsummen der häufig benutzten Anwendungen in Ihrem Netzwerk ein. Damit sparen Sie Zeit und vermeiden doppelte Arbeit, wenn auf Firewall-Anfragen während der Implementierung reagiert wird.

Registerkarte "Protokoll"

Einstellungsname Standard
Alle Datensätze behalten/Alte Datensätze löschen Alte Datensätze löschen
Datensätze löschen nach x Tagen 1 Tag
deaktiviert
Nicht mehr behalten als y Datensätze 200 Datensätze
deaktiviert
Größe unter z MB 50 MB
aktiviert

Konfiguration des primären oder sekundären Standorts

Hinweis: Es wurde kein sekundärer Standort vorkonfiguriert. Falls einer hinzugefügt wird, sind dessen Standardeinstellungen denen des primären Standorts gleich.

Registerkarte "Allgemein"

Einstellungsname Standard Anmerkung
Arbeitsmodus Standardmäßig sperren

In diesem Artikel werden bewährte Methoden definiert. Bitte beachten Sie: Wenn Sie Sophos Client Firewall zum ersten Mal einrichten, entnehmen Sie Hinweise zur Einrichtung bitte der Einführungsanleitung für Administratoren.

Im Allgemeinen sollte, sobald alle freigegebenen Anwendungen Zugriff über die Firewall erhalten haben, der Modus "Standardmäßig sperren" eingestellt werden, um den Zugriff nicht zugelassenen Datenflusses auf das Netzwerk zu verhindern.

Hinweis: Wenn primäre und sekundäre Standorte aktiviert sind und der primäre Modus "interaktiv" lautet, wird für den sekundären Standort automatisch der Modus "standardmäßig sperren" festgelegt. Interaktiver Modus ist nicht unter Windows 8 verfügbar.

Prozesse sperren, wenn Speicher verändert wird Aktiviert Diese Option kann die Infektion Ihres Computers durch Bedrohungen verhindern. Diese Option sollte meist aktiviert sein.

Verfügbar unter Windows 8. Funktionalität wird von HIPS bereitgestellt.
Sperren versteckter Prozesse Aktiviert Diese Option sollte immer aktiviert sein, um schädliche Programme an der Ausführung auf Ihren Endpoints zu hindern.

Verfügbar unter Windows 8. Funktionalität wird von HIPS bereitgestellt.
Entsorgen von Paketen, die an blockierte Ports gesendet wurden Aktiviert Diese Option verhindert, dass von außerhalb festgestellt werden kann, dass auf Ihrem Computer ein Port existiert und verhindert somit eine Infektion. Diese Option sollte meist aktiviert sein.

Verfügbar unter Windows 8. Derzeit immer aktiviert.
Authentifizieren von Anwendungen mit Hilfe von Prüfsummen Aktiviert Mit dieser Option kann die Firewall legitime Anwendungen von schädlichen Programmen mit gleichem Namen unterscheiden. Diese Option sollte gewöhnlich aktiviert sein.

In Windows 8 befindet sich diese Option in der Registerkarte "Anwendungen".
Blockieren von IPv6-Paketen Aktiviert Im Moment wird IPv6 von nur wenigen Anwendungen und ISPs verwendet. Mit dieser Einstellung können Sie IPv6-Datenfluss zu ihren Endpoints blockieren, wenn diese z.B. eine P2P-Anwendung benutzen. Um alle P2P-Anwendungen in Ihrem Netzwerk zu blockieren, konfigurieren Sie stattdessen eine Application Control-Richtlinie.

In Windows 8 befindet sich diese Option in der Registerkarte "Globale Regeln". Sie wurde in "Gesamten IPv6-Verkehr sperren" umbenannt.
Anzeigen eines Alerts in der Management-Konsole, wenn die globalen Regeln, Anwendungen, Prozesse oder Prüfsummen lokal geändert werden Aktiviert Wenn "Alert in Management-Konsole anzeigen..." gewählt wird, kann festgestellt werden, ob die Firewall-Einstellungen auf Ihren Arbeitsplatzrechnern vom Benutzer oder von Malware geändert wurden. Unter den meisten Umständen sollte diese Option aktiviert sein.

Verfügbar unter Windows 8
Neue Anwendungen und Datenfluss an die Management-Konsole melden Aktiviert Diese Option sollte immer aktiviert sein, um die Vorgehensweise Ihrer Endbenutzer zu überwachen.
Fehler an die Management-Konsole melden Aktiviert Mit dieser Option kann der Administrator Firewall-Fehlermeldungen auf Arbeitsplatzrechnern über die Konsole ansehen. Diese Option sollte gewöhnlich aktiviert sein.
(Desktop-Benachrichtigungen)
Warnmeldungen und Fehler anzeigen

Aktiviert

Es empfiehlt sich, diese Option zu aktivieren, um Ihre Benutzer auf Probleme aufmerksam machen zu können.
(Desktop-Benachrichtigungen)
Unbekannte Anwendungen und Datenbewegungen anzeigen
Deaktiviert Diese Einstellung zeigt nur unbekannte Anwendungen und Datenbewegungen an, wenn der interaktive Modus gewählt wurde.

 

Registerkarte "ICMP"

Einstellungsname Standard Anmerkung
Echo-Antwort (0) Erlaubt EIN Zum Antworten auf Echo-Anforderungen (Pings). Wenn "Echo-Antwort" aktiviert wird, kann Ihr Computer Smurf-Infektionen ausgesetzt sein.
Ziel nicht erreichbar (3) Erlaubt EIN und AUS Wenn diese Option aktiviert wird, kann Ihr Computer für "Ziel nicht erreichbar"-Angriffe anfällig sein.
Quelldrosselung (4) Gesperrt Um eine Überlastung zu steuern, fordern Quelldrosselungsmeldungen an, dass die an den Meldungsursprung gesendete Informationsmenge reduziert wird. Aktivieren der Quelldrosselung kann Ihren Computer für "Man in the Middle"- und Denial of Service-Attacken anfällig machen.
Meldung umleiten (5)

Gesperrt

Wenn keine Umleitung erforderlich ist, sollten Sie diese Einstellung nicht aktiveren: Eine Umleitung kann zum Ändern von Routingtabellen auf Routern und Computern verwendet werden, um DoS-Attacken zu ermöglichen.
Echo-Anforderung (8) Erlaubt AUS Mit dieser Einstellung wird festgestellt, ob ein Netzwerkcomputer aktiv ist (z.B. ping). Wenn Echo-Anforderungen aktiviert sind, kann dies Ihren Computer für Smurf-Infektionen anfällig machen.
Router-Ankündigung (9) Erlaubt EIN

Unter Windows 8 ist der Standard "Gesperrt"
Router-Ankündigungsmeldungen werden auf Router-Anfragen gesendet oder, um den Router zu melden. Gefälschte Router-Ankündigungsmeldungen können dazu verwendet werden, Routing-Tabellen in Routern zu ändern, um "Man in the Middle"- und DoS-Attacken zu ermöglichen. Eingehende Ankündigungsmeldungen wurden daher standardmäßig deaktivert.
Router-Anfrage (10) Erlaubt EIN

Unter Windows 8 ist der Standard "Gesperrt"
Router-Anfragen werden versendet, um Router in einem Netzwerk als eine Art von Netzwerk-Scan zu suchen. Böswillige Benutzer können mit Router-Anfragen nach Computern zum Angreifen suchen. Daher wurde die Einstellung standardmäßig deaktiviert.
Zeitüberschreitung (11) Erlaubt EIN
Parameterproblem (12) Gesperrt
Zeitstempel-Anforderung (13) Gesperrt
Zeitstempel-Antwort (14) Gesperrt
Informations-Anforderung (15) Gesperrt
Informations-Antwort (16) Gesperrt
Adressmasken-Anforderung (17) Gesperrt
Adressmasken-Antwort (18) Gesperrt

Registerkarte "LAN"

Einstellungsname Standard Anmerkung
LAN (IP-Adresse und Subnetz) Nicht eingestellt NetBIOS ermöglicht Datei- und Druckeraustausch mit anderen Computern im LAN oder vertrauenswürdigen Subnetz. Diese Option sollte für die meisten Bürotätigkeiten ausreichend sein.

"Vertrauenswürdig" ermöglicht den gesamten Datenfluss zwischen Computern in einem LAN. Benutzen Sie diese Option nur dort, wo sie wirklich notwendig ist.


Registerkarte "Globale Regeln"

Einstellungsname Standard Anmerkung
Loopback-TCP-Verbindungen zulassen

Wenn das Protokoll TCP ist und die Remote-Adresse 127.0.0.0 (255.0.0.0) lautet
Erlauben

Mit einer Loopback-Verbindung können Anwendungen prüfen, ob eine Netzwerkverbindung vorhanden ist. Web-Browser suchen oftmals auf diese Weise nach einer Verbindung.
GRE-Protokoll erlauben

Wenn das Protocol IP ist und der Typ GRE
Erlauben

Damit kann GRE in IP-Tunneln zum oder vom Client-Computer laufen, d.h. VPN-Verbindungen (virtuelle private Netzwerk-Verbindungen).
PPTP-Steuerungsverbindung erlauben Wenn das Protokoll TCP ist,
die Richtung "ausgehend",
der Remote-Port 1723
und der lokale Port 1024-65535 lautet
Erlauben
Damit kann PPTP in IP-Tunneln zum oder vom Computer laufen, d.h. VPN-Verbindungen (virtuelle private Netzwerk-Verbindungen).
Loopback-UDP-Verbindungen erlauben

Wenn das Protokoll UDP ist,
die Remote-Adresse 127.0.0.0 (255.0.0.0) lautet
und der lokale Port mit dem Remote-Port übereinstimmt
Erlauben

Hinweis: Unter Windows 8 ist die Option "und der lokale Port ist gleich dem Remote-Port" nicht verfügbar. Die Regel lautet daher:
Wenn das Protokoll UDP ist und die Remote-Adresse 127.0.0.0 (255.0.0.0) lautet Erlauben
RPC sperren (TCP) Wenn das Protokoll TCP ist,
die Richtung "eingehend"
und der lokale Port 135 lautet
Sperren
Diese Einstellung unterbindet, dass Remote Procedure Calls (RPC) TCP auf dem Client-Computer verwenden. Damit kann verhindert werden, dass Eindringlinge auf dem lokalen Computer auf unerwünschte Weise legitime Codes ausführt.
Hinweis: Der vom RPC Port Mapper verwendete Port (135) steht in Verbindung mit mehreren weit bekannten Schwachstellen, die von Netzwerkwürmern zur Replizierung und Übertragung ausgenutzt werden.
RPC (UDP) sperren Wenn dieses Protokoll UDP ist
und der lokale Port 135 lautet
Sperren
Diese Einstellung unterbindet auf dem Client-Computer Remote Procedure Calls (RPC), die UDP verwenden. Damit kann verhindert werden, dass Eindringlinge auf dem lokalen Computer auf unerwünschte Weise legitime Codes ausführt.

Registerkarte "Anwendungen"

Die häufigsten und wichtigsten Windows-Dienste werden hier aufgeführt. Sie müssen wahrscheinlich mehrere Anwendungen hinzufügen, wenn Sie die Firewall im interaktiven Modus implementieren. 

Anwendungsname Standard

alg.exe
(Windows-Firewall-Komponente)

ALG-Umleitung erlauben
Das Protokoll lautet TCP
und die Richtung "eingehend"
Erlauben
und Stateful Inspection 
Hinweis: Die Option "und Stateful Inspection" am Ende der Regel ist unter Windows 8 nicht verfügbar, da alle Regeln standardmäßig zustandsbehaftet sind.

Microsoft Application Layer Gateway Service-Verbindung
Wenn das Protokoll TCP ist,
die Richtung "ausgehend" ist
und der Remote-Port 21 lautet
Erlauben
und Stateful Inspection

Hinweis: Die Option "und Stateful Inspection" am Ende der Regel ist unter Windows 8 nicht verfügbar, da alle Regeln standardmäßig zustandsbehaftet sind.

lsass.exe
(Local Security Authority Subsystem Service)

Local Security Authority Service Kerberos UDP-Verbindung
Das Protokoll lautet "UDP"
und der Remote-Port 88
Erlauben
und Stateful Inspection

Hinweis: Die Option "und Stateful Inspection" am Ende der Regel ist unter Windows 8 nicht verfügbar, da alle Regeln standardmäßig zustandsbehaftet sind.

Local Security Authority Service Kerberos TCP-Verbindung
Wenn das Protokoll TCP,
die Richtung "ausgehend"
und der Remote-Port 88 lautet
Erlauben

LSASS LDAP-Verbindung mit Global Catalog Server
Wenn das Protokoll TCP,
die Richtung "ausgehend" ist
und der Remote-Port 3268-3269 lautet
Erlauben
und Stateful Inspection

Hinweis: Die Option "und Stateful Inspection" am Ende der Regel ist unter Windows 8 nicht verfügbar, da alle Regeln standardmäßig zustandsbehaftet sind.

Local Security Authority Service LDAP UDP-Verbindung
Wenn das Protokoll UDP ist
und der Remote-Port 389 lautet
Erlauben
und Stateful Inspection

Hinweis: Die Option "und Stateful Inspection" am Ende der Regel ist unter Windows 8 nicht verfügbar, da alle Regeln standardmäßig zustandsbehaftet sind.

Local Security Authority Service LDAP TCP-Verbindung
Wenn das Protokoll TCP ist,
die Richtung "ausgehend"
und der Remote-Port 389 lautet
Erlauben
und Stateful Inspection

Hinweis: Die Option "und Stateful Inspection" am Ende der Regel ist unter Windows 8 nicht verfügbar, da alle Regeln standardmäßig zustandsbehaftet sind.

Local Security Authority Service DCOM Zuweisung des dynamischen Ports
Wenn das Protokoll TCP ist,
die Richtung "ausgehend"
und der Remote-Port 1025-1040 lautet
Erlauben

Local Security Authority Service DCOM-Verbindung
Wenn das Protokoll TCP ist,
die Richtung "ausgehend"
und der Remote-Port 135 lautet
Erlauben

DNS-Auflösung erlauben (TCP)
Wenn das Protokoll TCP ist,
die Richtung "ausgehend"
und der Remote-Port 53 lautet
Erlauben

DNS-Auflösung erlauben (UDP)
Wenn das Protokoll UDP ist,
die Richtung "ausgehend"
und der Remote-Port 53 lautet
Erlauben
und Stateful Inspection

Hinweis: Die Option "und Stateful Inspection" am Ende der Regel ist unter Windows 8 nicht verfügbar, da alle Regeln standardmäßig zustandsbehaftet sind.

services.exe
(Windows Service Controller)

Services DCOM-Verbindung
Wenn das Protokoll TCP ist,
die Richtung "ausgehend"
und der Remote-Port 135 lautet
Erlauben
Services DCOM Zuweisung des dynamischen Ports
Wenn das Protokoll TCP ist,
die Richtung "ausgehend"
und der Remote-Port 1090-1110 lautet
Erlauben
Services LDAP-Verbindung
Wenn das Protokoll TCP ist,
die Richtung "ausgehend"
und der Remote-Port 389, 3268 lautet
Erlauben
DNS-Auflösung erlauben (TCP)
Wenn das Protokoll TCP ist,
die Richtung "ausgehend"
und der Remote-Port 53 lautet
Erlauben

DNS-Auflösung erlauben (UDP)
Wenn das Protokoll UDP ist,
die Richtung "ausgehend"
und der Remote-Port 53 lautet
Erlauben
und Stateful Inspection

Hinweis: Die Option "und Stateful Inspection" am Ende der Regel ist unter Windows 8 nicht verfügbar, da alle Regeln standardmäßig zustandsbehaftet sind.

DHCP erlauben
Wenn das Protokoll UDP ist,
der Remote Port 67 lautet
und der lokale Port 68
Erlauben
DHCP (v6) erlauben
Wenn das Protokoll UDP ist,
der Remote-Port 547 lautet
und der lokale Port 546
Erlauben

svchost.exe
(Service Host)

DNS-Auflösung erlauben (TCP)
Wenn das Protokoll TCP ist,
die Richtung "ausgehend"
und der Remote-Port 53 lautet
Erlauben

DNS-Auflösung erlauben (UDP)
Wenn das Protokoll UDP ist,
die Richtung "ausgehend"
und der Remote-Port 53 lautet
Erlauben
und Stateful Inspection

Hinweis: Die Option "und Stateful Inspection" am Ende der Regel ist unter Windows 8 nicht verfügbar, da alle Regeln standardmäßig zustandsbehaftet sind.

DHCP erlauben
Wenn das Protokoll UDP ist,
der Remote Port 67 lautet
und der lokale Port 68
Erlauben

DHCP (v6) erlauben
Wenn das Protokoll UDP ist,
der Remote-Port 547 lautet
und der lokale Port 546
Erlauben

userinit.exe
(User Initialization)

Microsoft Userinit LDAP-Verbindung
"Wenn das Protokoll TCP ist,
die Richtung "ausgehend"
und der Remote-Port 389, 3268 lautet
Erlauben

Microsoft Userinit DCOM-Verbindung 
"Wenn das Protokoll TCP ist,
die Richtung "ausgehend"
und der Remote-Port 135 lautet
Erlauben"

winlogon.exe
(Windows Logon)

Microsoft Winlogon LDAP-Verbindung
Wenn das Protokoll TCP ist,
die Richtung "ausgehend"
und der Remote-Port 389, 3268 lautet
Erlauben

Microsoft Winlogon DCOM-Verbindung
Wenn das Protokoll TCP ist,
die Richtung "ausgehend"
und der Remote-Port 135 lautet
Erlauben


Registerkarte "Prozesse"

Diese Registerkarte ist unter Windows 8 nicht verfügbar. Die Unterstützung versteckter Prozesse wurde entfernt und Raw-Sockets werden genauso behandelt wie normale Sockets.

Einstellungsname Standard Anmerkung
Vor neuen Launchern warnen. Aktiviert Diese Option steht nur im interaktiven Modus zur Verfügung.
Vor dem Gebrauch von Raw-Sockets warnen. Aktiviert Diese Option steht nur im interaktiven Modus zur Verfügung.

 

 
Wenn Sie weitere Informationen oder Unterstützung benötigen, wenden Sie sich bitte an den technischen Support.

Artikel bewerten

Ungenügend Hervorragend

Anmerkungen