Konfiguration SPF

Anleitung zur Konfiguration der Sygate Firewall

Für keinen Link, Anweisung oder Anmerkung wird irgendeine Gewährleistung übernommen.
Ich distanziere mich ausdrücklich von dem Inhalt der verlinkten Seiten.
Wer einen Link folgt, verlässt diese Seiten auf eigene Verantwortung
Das Ausprobieren der empfohlenen Einstellungen geschieht auf eigene Gefahr.
Auf eine in der EDV üblichen Backupmassnahme wird nicht extra aufmerksam gemacht,
sondern als selbstverständlich vorausgesetzt.

Mit dem Kauf von Sygate durch Symantec im November 2005 wurde alle Personal Firewall Produkte eingestellt. Dies betrifft nicht die "Enterprise" Version, damit sind die kommerzielle Produkte von Sygate gemeint, die in Unternehmen eingesetzt werden.

Genaueres kann man bei Symantec nachlesen.

Nichtsdestotrotz ist die Sygate Personal Firewall eine weiterhin beliebte "Personal Firewall" für den Privatanwender. Das mag auch daraus resultieren, weil die Sygate Personal Firewall sich einen guten Ruf erworben hat, bis heute (April 2006) mit Signaturupdates unterstützt wird, und im Internet eine kleine Fangemeinde treu zur SPF hält.

Aus diesem Grund gibt es noch einmal ein Update der "Konfiguration der Sygate Firewall" auf Grundlage der im deutschsprachigen Sygate Forum entdeckten und besprochenen Konfigurationsprobleme.

Neu hinzugekommen sind eine

FAQ mit den immer wieder vorkommen Problemen wie "Ebay geht nicht", Port 135, etc.
Erklärung und Konfiguration von ICMP
Konfiguration der Sygate Personal Firewall auf einen Einzelrechner mit direkten Zugang zum Internet

Zukunftsaussichten:

Die Technik enttwickelt sich weiter, und irgendwann wird auch die SPF nicht mehr aktuell zu halten sein. Dabei sind weniger die Signaturupdates wichtig, weil die nur den IDS Anteil der SPF betreffen, ein Bestandteil, auf den man im Notfall auch verzichten könnte. Nein, viel problematischer wird es sich eines Tages gestalten, die SPF auf neue Betriebssysteme zu installieren oder, sollte mal eines Tages ein ernsthafter Hack für die SPF rauskommen, das dieser nicht mehr durch Patches gefixt werden kann.

Aber auf kurz oder lang muß sich jeder von uns mit dem Gedanken anfreunden, einen Ersatz anzuschaffen.
Meine Empfehlungen wäre, das man sich einen Hardware Router mit NAT- und Firewall-Funktionen anschafft. Preiswerte Geräte gibt es bereits ab 50 Euro.

Wie auch immer eine zukünftige Lösung ausschaut, bis heute hat die SPF ihren Zweck erfüllt, und ich bedanke mich bei Sygate dafür, das sie uns die Möglichkeit gegeben haben, die kostenlose Version zu benutzen.

April 2006

der_kleine_techniker, CISSP

Die Sygate Personal Firewall (SPF) ist eine für den "privaten" Gebrauch kostenlose, d.h. zum Preis des Downloads, Desktop Firewall für Rechner mit dem Betriebssystemen vom MS Windows.

Daneben gibt es noch weitere Versionen, aber für den Privatmann sollte die Standard Version ausreichen.

Die deutsche Version bekommt man bei http://www.sygate.de/
und die englische Version gibt es hier: http://www.sygate.com/support/download_central.htm

Service und Support

http://forums.sygate.com/vb/

Das englischsprachige Forum ist Anlaufstelle für Probleme jeglicher Art. Gute Englisch Kenntnis werden aber benötigt.

http://smb.sygate.com/support/documents/spf/default.htm

englische Dokumentation, Download, Hilfe zur Installation, FAQ, Hilfe zu Erstellung Advanced Rules

http://www.sygate.de/

Wer auf dieser Seite dem Link zum Forum folgt, kommt in ein deutsches Forum. Die freundlichen Forumsteilnehmer sind immer bemüht, weiterzuhelfen. Bitte bei Fragen aber daran denken, das niemand mit hellseherischen Kräften geboren ist. Also bei Problemen immer mit angeben, welche Sygate Version, welche Windowversion, was wurde versucht, um das Problem zu lösen. Bitte auch daran denken, das in einem anderen Forumbeitrag das Problem vielleicht schon beschrieben und gelöst wurde. Also ruhig mal durchs Forum schauen und suchen.

Diese Anleitung beschreibt die Konfiguration der englischsprachigen SPF.

Vor dem Einsatz einer Desktop Firewall, besonders wenn es eine komplexe wie hier SPF handelt, sind einige Überlegungen notwendig. und es erfordert einige Einarbeitung in internettypische Begriffe wie Ports, IP-Adressen, etc. Eine Firewall ist somit nicht nur ein Programm, sondern ein Konzept, das die Bereitschaft und den Willen erfordert, sich mit den Grundlagen vertraut zu machen.

Kommen wir zum Teil 1 des Sicherungskonzeptes. Das betrifft alle Teile des PC, die auf den ersten Blick nichts mit der Firewall direkt zu tun haben:

Sichere Software - Idee: Verzichte auf als "unsicher" bekannte Software

Anstatt Internet Explorer besser Mozilla oder Opera oder Firefox
Statt Outlook(Express) besser Pegasus oder Mozilla Thunderbird, gut aber nicht kostenlos The Bat!

Aktueller Virenscanner - Idee: Schützt den Rechnern vor Viren, Trojanern, Dialern, Schadprogramme

http://www.kaspersky.com/de/

Aktueller Spyware Remover - Idee: Wir wollen nicht ausspioniert werden. Spionage- und WebTracking Programme sind BÖSE

http://www.safer-networking.org/

regelmässig Windows Updates - Idee: Halte den Rechner softwaretechnisch Up-ToDate

geht am einfachsten über Internet Explorer\Extras\Windows Update (die einzigste Aufgabe, zu die der IE eingesetzt werden sollte)

Deaktivierung nicht benötigter Dienste unter Systemsteuerung\Dienste - Idee: Dienste, die nicht laufen, sind auch kein Angriffziel.

Es gibt mehr als eine Seite, die sich mit den Diensten unter Windows befasst: Google dich schlau
Noch ein Warnhinweis: Das Deaktivieren der Dienste Plug & Play und Remoteprozeduraufruf (RPC) kann zu erheblichen Problemen bis zum Ausfall des Rechners führen.

Richtige und saubere Netzwerkkonfiguration - Idee: Die richtige Netzwerkkonfiguration ist das A und O des Netzwerkens

Dazu gibt es eine eigene Seite Netzwerkkonfiguration

Die Frage ist immer die gleiche: "Was wollen wir schützen, wie wollen wir es schützen, und wie hoch darf der Aufwand sein" ?

Nicht jeder wird bei der Beantwortung dieser Fragen bei der SPF landen, und so sollen hier auch einige Alternativen zur Sprache kommen, die einem persönlich vielleicht mehr zusagen.

Welche Faktoren beeinflussen nun unsere Wahl?

Know-How des Administrators und die Einsatzumgebung

Der einfache Internetnutzer, der auch sein eigener Administrator ist, möchte sich nur schützen und benötigte eine einfache Desktop Firewall wie z.B. Zonealarm. Dazu muß gesagt werden, das Zonealarm als oft benutzte Desktop Firewall den Angriffen diverser Exploits, Scripts und Trojaner ausgesetzt ist, die nur diese Firewall angreifen bzw. ausser Gefecht setzen. Daher nur für Anwender, die sich trotz bessseren Wissens nicht zu SPF durchringen können.
Der Linux Nutzer benutzt seine der Distribution beiliegende Firewall
Die kleine Büro- oder Wohngemeinschaft kauft einen preiswerten Hardware Router mit integrierter Firewall und SPI Funktionalität.
Der Bastler mit viel alter Hardware baut sich einen Floppyrouter http://www.fli4l.de/
der_kleine_Techniker benutzt natürlich SPF

Netzwerkstruktur wie Lan und WAN Verbindungen

Einzelplatzrechner mit einer Netzwerkkarte für DSL oder Modemanschluss -> Zonealarm oder SPF
PC Router auf Windows Basis mit Netzwerkarte für Lan und Netzwerkkarte fürs DSL -> Kerio, Outpost, SPF
Kleines Rechenzentrum -> Hardware Firewall

Angebotene Dienste

Webserver, Mailserver, Telnet, FTP, P2P -> Port 80, 110, 25, 21, 4662
Internetspiele -> je nach Spiel unterschiedliche Ports
Mail, News, Surfing -> Port 110, 119, 80, 8080

Aufwand bei Einsatz der Hard- und Software

Finanzieller Background
Zeit
Knowhow

Beobachtung von Security Mailing Lists / Seiten

Mit SPF können wir einige Anforderungen erfüllen, und nachdem wir sicher sind, das SPF die Firewall unserer Wahl ist, gehts jetzt los.

Eine grundlegende Frage bei der Entwicklung eines Firewallkonzeptes: Alle Ports erlauben, oder alle Ports verbieten?

Dazu gibt es viele Meinungen, viele Diskussionen, und noch viel mehr böses Blut. Die Idee, alles zu sperren, hat ihre Berechtigung. Und das wird standardmässig ja auch so gemacht, in Umgebungen, wo studierte Hochleistungs Security Firewall Experten Tage- und Wochenlang sich den Kopf dadrüber zerbrechen, wie man ein Unternehmen schützen kann. Nur was richtigerweise für ein Unternehmen gilt, das ganz andere Komplexititäten und Anforderungen aufweist, das muß für den Betreiber eines kleinen Heimnetzes noch lange nicht gelten.

Ich hab mich dazu entschieden, diese Seiten auf der Grundlage "Alles Erlauben" aufzubauen, und nur die Ports zu sperren, die im Internet unnötigt sind, auf der Intranetseite aber benötigt werden. Dies gilt für den Fall, wo der Rechner als Router arbeitet.

Ein weiterer Vorteil hat dies bei der allgemeinen Konfiguration. Wenn wir eine Freigabe machen, dann geben wir ja immer ein Programm frei. Wir kennen das Fenster, wo SPF uns fragt, ob wir dieses oder jenes Programm erlauben möchten, und wir JA oder NEIN anklicken können. Das gibt uns die Freiheit, nicht mehr über weitere Einzelheiten wie benötigte Ports nachzudenken. Hat das Programm die Freigabe, kann es die Ports benutzen, die es benötigt.

Hätten wir nach dem Motto gehandelt "Alles Sperren", so müssten wir jetzt umständlich nach den benötigten Portadressen suchen, und diese einzeln, oder als Adressraum, freigeben. Und das macht die Sache nicht einfacher.

Über die Lösung mit "Alles Erlauben" mag nicht jeder glücklich sein. Aber es steht jeden frei, es anders zu handhaben.

FAQ

ICMP und warum es so wichtig ist

Allgemeine_Konfiguration_der_Sygate_Firewall

Netzwerkkonfiguration

Konfiguration_von_Sygate_Firewall_auf_einem_PC_Router_Rechner

Konfiguration von Sygate Firewall auf einem Einzelplatzrechner

Deinstallation_der_Sygate_Firewall