threeeast

Hallo an Alle,

im nachfolgenden Beitrag möchte ich eine Anleitung zur Konfiguration der Comodo Firewall in Deutsch schreiben - denn in Muttersprache liest es sich bekanntlich um einiges schneller.
Außerdem ist das Thema doch ein sehr Komplexes, wie man an den vielen Beiträgen im Forum sehen kann.

Fangen wir am besten gleich an:
Comodo ist unterteilt in zwei wesentliche Sicherheitsfunktionalitäten.

Nämlich in einen Networkfilter/monitor und einen Applikationsfilter/monitor.

Um das Zusammenwirken dieser beiden besser verstehen zu können, nehmen wir uns das OSI Referenzmodell (theoretisches Modell zur Beschreibung der Bearbeitung von Paketen zur Hilfe.(näheres siehe http://de.wikipedia.org/wiki/OSI-Modell)

Eingehende Anfragen (Inbound requests)

werden zuerst nach den Regeln des Networkmonitors (OSI-Layer 3 und 4) und dann nach den Regeln des Applikationsfilters (OSI 7) kontrolliert.
Alle Informationen (TCP/IP-Stack) kommen ja zuerst an unserer Netzwerkkarte in den PC hinein, werden weiterverarbeitet und dann an unsere Applikation (firefox) zur Interpretation der Daten weitergegeben, um es einfach auszudrücken.

Bei ausgehenden Anfragen (Outbound Requests) erfolgt genau die umgekehrte Reihenfolge, was wohl eh klar war.
Ein ziemlich komplexes Thema beim Ein- oder Umstieg von einer anderen Firewall zu Comodo, ist es, ein grundsätzliches Verständnis für die Auslegung der Regeln zu bekommen.

Was sind eigentlich Inbound oder Outbound Connections ?

Inbound Connections sind Anfragen die wir von extern auf einen Rechner (meist auf unseren Eigenen), ohne das wir angefragt hätten, bekommen.
Hierunter fallen klassischerweise ICMP Requests, wie Time Ecceded und Echo Request vom Provider oder auch der UDP Austausch von emule auf Port 4672.
Outbound Connection sind Anfragen, die wir mit unserem Rechner an Andere stellen.
Verwirrender Weise, aber dennoch logisch und korrekt, sind Outbound Connection ebenfalls Inbound Connections die wir selbst absichtlich initiert haben, wenn wir z.B. eine Website abfragen.
Dabei verbindet sich unser Programm (Webbrowser) erst mit unserem Rechner local (127.0.0.1, Port z.B. 1055) als Plattform, um über Ihn eine Anfrage an z.B. einen Webserver wie Wikipedia.de (HTTP Port 80) die Website zu erhalten.
Diese erhalten wir Inbound vom Webserver an uns zurückgeschickt, wenn man es genau betrachtet.
Wesentliches Unterscheidungsmerkmal zwischen In- und Outbound ist also die Absicht eine Information zu erhalten.
Dieser Zusammenhang ist zur weiteren Definition von Source und Destination wichtig.

Source oder Destination ?
Bei einer Inbound Connection sind wir diejenigen die von einer Source "beschossen" werden, genau das Ziel also die Destination.
Wollen wir eigentlich nur wenn wir müssen !!!
Bei einer Outbound Connection sind wir diejenigen, die was haben wollen, die Source und wir haben als Destination z.B. einen DHCP Server, wie z.B. unseren Router, von dem wir eine IP-Adresse vom Port 67 haben wollen.
Einschränkungen werden hier generell nur zur Vorsorge und Eingrenzung für Programme die sich nicht über erlaubte Ports nach außen verbinden wollen vorgenommen, wie z.B. bei Trojaner etc.

Zur Konfiguration:
Als erster Schritt wird nun die Konfiguration des Networkmonitors anhand einiger Einstellungen erklärt.
Die Abhandlung von Requests/Anfragen im Networkmonitor werden der Reihe nach von oben nach unten kontrolliert.
0 hat dabei die höchste Priorität, alles andere kommt sinnvollerweise im Anschluß

Steht Block and LOG IP IN or Out FROM IP [ANY] TO IP [ANY] WHERE IPPROTO IS ANY oben auf der Position 0 geht nichts mehr.

Diese Regel sollte als Abschlußregel, nach allen Allows(Erlaubten) unbedingt verwendet werden.
Fehlt dieser Block gibt es keine Einschränkungen mehr !
Die Standardeinstellungen sind ganz gut für den Beginn, sollten aber dringend modifiziert werden.
Ich selbst habe ein Notebook in einem LAN, das über einen Router und anschließenden DSL-Modem mit dem Internet verbunden ist.
LAN-Einstellungen sind nicht in den Standardeinstellungen vorhanden, da diese ja immer unterschiedlich nach IP-Adressen Definition sind.
Lassen wir also als allerersten Schritt unsere Abschlußregel immer unten als Block stehen:
Block and LOG IP IN or Out FROM IP [ANY] TO IP [ANY] WHERE IPPROTO IS ANY

LAN Einstellungen werden am besten über eine Zone definiert, die dann bei Bedarf in jeder Regel einfach verwendet werden kann.
Ändert sich diese Zone, ist es nur einmal in der Zonedefinition abzuändern-spart also erheblich Zeit.

Dies geschieht über das Register Task und Add Zone.

Ich verwende für mein LAN den IP-Adressenbereich von 192.168.0.1 bis 192.168.0.255 und nenne ihn einfach mal LAN-clever gemacht.
Der IP Adressenbereich ist natürlich von den Einstellungen, vor allem bei DHCP, vom Router abhängig.
In diesem Bereich erlaube ich alles, könnte auch rigoroser über die Definition von bestimmten Ports definiert werden, wie z.B. die häufig verwendeten Ports für Netbois 137 TCP Netbios name, 138 TCP Netbios datagram und natürlich 139 TCP Netbios session.
Will man sich auf diese Ports beschränken - voila muß man dies zusätzlich zur unteren Regel unter den Portdefinitionen machen.

Die Regel für LAN lautet:
ALLOW and LOG IP OUT FROM IP ZONE:LAN (haben wir ja bereits definiert) TO IP ZONE: WHERE IPPROTO IS ANY
ALLOW and LOG IP IN FROM IP ZONE:LAN (haben wir ja bereits definiert) TO IP ZONE: WHERE IPPROTO IS ANY
eine Modifikation über die Ports ist jederzeit möglich
Warum ich in diesem Beispiel nicht IP OUT or IN verwende ?
Damit können die Logs unter Acitivity nach beiden getrennt, nach OUT oder IN gesucht, sortiert und betrachtet werden können.
Die Protokollierung „and LOG“ wird über das Aktivieren von „create an alert if this rule is fired“ angeschalten.

Jetzt die Loopback Rule, der den Zugriff auf die interne 127.0.0.1 vom eigenen host nur vom eigenen host zulässt
ALLOW and LOG TCP or UDP OUT FROM IP NAME: MEINRECHNER TO IP 127.0.0.1 WHERE SOURCEPORT IS [ANY] AND DESTINATION PORT IS [ANY]

Als nächstes wird der Internetzugang bei dem wir ja „nur“ eine Outboundverbindung wollen, restriktiv eingerichtet und modifiziert
Keine Angst vor:
ALLOW and LOG TCP OUT FROM IP [ANY] TO IP [ANY] AND DESTINATION PORT IS [ANY]
welches die Standardeinstellung ist
Diese Regel ist eine Outbound Regel von der wir auf alles zugreifen können und wollen.
Eine etwas restriktivere Variante für den Internetzugang ist folgende:
ALLOW and LOG TCP OUT FROM IP [ANY] TO IP [ANY] AND DESTINATION PORT IS IN[21,25,80,110,443,]
Erlaube nur das Protokoll TCP ausgehend von irgendeiner IP(eigener Rechner) zu jeder anderen IP(Server) wobei der Zielport (ftp,smtp,http,pop3,https) ist.

Weitere wichtige Rules/Regeln sind:
Für DNS
Erst eine neue Zone für Euren DNS-Server einrichten. DNS IPAdressbereich erfährt Ihr über den Login und anschließenden Status Eures Routers oder über die Website Eures Providers. DNS ist das Domain Name System was wir für die Abfrage einer Domain wie z.B. wo ist www.wikipedia.de benötigen.
ALLOW and LOG UDP OUT FROM IP ZONE:LAN TO IP ZONE:DNS WHERE DESTINATION PORT IS 53

DHCP Abfrage an Router erlauben
ALLOW AND LOG UDP OUT FROM IP [ANY] TO IP 255.255.255.255(broadcast) WHERE SOURCE PORT IS [ANY] AND DESTINATION PORT IS 67

für emule
ALLOW TCP IN FROM IP [ANY] TO IP [ANY] WHERE SOURCE PORT IS [ANY] AND DESTINATION PORT IS 4662
ALLOW TCP OUT FROM IP [ANY] TO IP [ANY] WHERE SOURCE PORT IS [ANY] AND DESTINATION PORT IS IN 4661
ALLOW UDP IN FROM IP [ANY] TO IP [ANY] WHERE SOURCE PORT IS [ANY] AND DESTINATION PORT IS IN [4665,4672,]

Leider verwenden sehr viele emule User und Anbieter nicht die Standardports, so dass man gezwungen ist, vorallem bei der TCP OUT Regel den Port auf ANY zu öffnen.
Wenn dann noch keine Performancesteigerung ersichtlich ist, Networkmonitor ausschalten,- wir haben ja noch unseren Applikationsfilter.
Tja entweder...oder

Falls mal ein Ping notwendig sein sollte:
ALLOW AND LOG ICMP Out FROM NAME: MEINRECHNER TO IP [Any] WHERE ICMP message is ECHO REQUEST
Ich denke Ihr habt das Schema jetzt ganz gut verstanden und könnt Euch an die ersten selbstdefinierten Rules wagen.
Ein sehr gutes Hilfsmittel, wie bei jeder Admin, sind die Logs, in denen alles protokolliert wird und woraus man wirklich gut eine Fehleranalyse erhält, wenn mal etwas nicht so läuft wie erwartet....
Die Konfiguration der Allows oder Blocks im Applikationsbereich verläuft nach dem gleichen Prinzip wie im Networkmonitor nur auf einer anderen Ebene.
Alle werden natürlich zu Beginn erstmal über ein pop-up angezeigt-mit den meisten kann man dann auch was anfangen und erlaubt den Zugriff, der im Anschluß dezidiert in der Applikationsliste modifiziert werden kann, wenn man möchte.

Comodo ist keine Klick , Allow Firewall, was den Vorteil hat, daß man sich mit dem Thema richtig auseinander setzen muß und

beginnt zu verstehen wie Prozesse im Rechner zum Internet und umgekehrt wirklich verlaufen.

Jegliche automatische Installation von angeblich benutzerfreundlichen Firewalls mit Klick and allow kann man sich sparen, wenn man eh alles auf macht.

Der Nachteil ist der Zeitaufwand, den ich hoffe, Euch mit dieser kleinen Anleitung etwas verkürzt zu haben.

Wichtig bei der Erstellung der Regel ist unbedingt die Protokollierung zu aktivieren.

Vor allem zu Beginn sollte man etwas experimentieren, wenn man möchte, und die Einstellungen bei Bedarf korrigieren.
Manchmal sind es nur Denk- oder Flüchtigkeitsfehler, wie statt IN hat man OUT definiert.

Viel Spass mit comodo

threeeast

what you see is what you let

threeeast

Tuesday, December 12, 2006

Arcor DSL Modem einrichten

Monday, December 04, 2006

Kein Drahtlosnetzwerk verfügbar

Monday, November 13, 2006

Comodo Firewall Konfiguration - deutsch

Friday, March 24, 2006

news

Blog Archive

About Me