Zurück zur Hauptseite





@Guard: Ein Firewall für Internet-PC's
Erhöhte Sicherheit durch IP- und Webfilter für Windows-PC's


Zentralinstitut für Angewandte Mathematik
Technische Kurzinformation
FZJ-ZAM-TKI-0349
J.Meißburger
15.07.1999





Inhaltsverzeichnis


1. Einleitung

2. Die Installation

3. Die Funktionen

3.1 Das "Dashboard"

3.2 Das Event-Log

3.3 Die Statistik

3.4 Das Konfigurationsmenü "Settings..."

4. Das Menü "Settings": Webfilter und Firewall

4.1 Options

4.2 Webfilter

4.2.1 Filters....

4.2.2 AdBlocking

4.2.3 Privacy

4.2.4 Active Content

4.3 Firewall

4.3.1 Default-Regeln und interaktiver Lernmodus

4.3.2 Ein Beispiel: Regeln für die JuNet-interne Kommunikation

1. Einleitung

 AtGuard ist, ähnlich wie der TCP-Wrapper für Unix-Systeme, ein preiswertes Werkzeug zur Überwachung und Kontrolle der Zugriffe aus dem Netz  auf einen ans Internet angeschlossenen PC unter Windows 95/98/NT. Hersteller ist die Fa. WRQ (Wick Hill), die das Produkt ausschließlich on-line über das Internet vertreibt.

Neben regelbasierten Filtermöglichkeiten auf der Basis von Internet-Adressen und -Applikationen (IP-Port und Anwendung) bietet AtGuard zusätzliche Filtermöglichkeiten für das Browsen im worldwide Web wie z.B. Werbe-, Cookie- oder HTTP-Referrer-Filter. Auch Möglichkeiten, z.B. JavaScript-initiierte Zusatzfenster (Popup's) oder die Wiederholung animierter GIF's zu unterdrücken, mag manchem durchaus attraktiv erscheinen.

AtGuard unterstützt selbstlernend den Aufbau eines nach den Bedürfnissen des Benutzers "maßgeschneiderten" Firewalls durch eine dialoggeführte Regelerstellung, die automatisch beim Versuch eines Verbindungsaufbaus aus dem Netz aktiviert werden kann. Solche Regeln können für die gerade aktive Anwendung, für bestimmte Kommunikationspartner und Ports oder generell systemweit gelten.

Neben einem "Dashboard", das die Aktivitäten von AtGuard im Stile einer Taskleiste "gedocked" oder als normales Fenster anzeigt, werden konfigurierbar Ereignis-Logs und anwendungsspezifische IP-Statistiken der Netzzugriffe erstellt.



2. Die Installation
Der Installationskit kann nur direkt vom Server des Herstellers http://www.atguard.com/ (WWW) heruntergeladen werden. Ein Softwareversand auf Medium wird vom Hersteller nicht angeboten.  Nachdem  on-line über ein Bestellformular bei http://www.netsales.net/pk.wcgi/wrq/supportpub (WWW) die Bezahlung und Lizenzierung erfolgt ist, kann die Software installiert werden. Der Zeitpunkt des Downloads bestimmt auch den Start der Zeitspanne, innerhalb derer ein kostenloses Update der Software vom Distributionsserver des Herstellers möglich ist.

Zur Installation der Software unter Windows-NT muß man sich als "Administrator" anmelden, die Programme stehen dann unter dem Profil "All Users" allen Benutzern zur Verfügung. Vor der Installation sollte man wie üblich evtl. aktive Server wie z.B. FTP- oder Webserver deaktivieren.

Der heruntergeladene "unpacking wizard" atg.exe wird auf ein temporäres Verzeichnis, z.B. C:\Temp kopiert und dort durch Doppelklick ausgeführt:

Ausführen c:\Temp\atg.exe (unpacking wizard)
Next
    Serial # .............
    Digital Key ..........    Eingabe der Lizenzierungsinformation
Next
C:\Temp   als temporäres Directory angeben
Next - Next - Finish
   
Damit wird der eigentliche Installationskit  nach C:\Temp entpackt und der AtGuard Setup Installation Wizard automatisch gestartet.

 ... Installation von AtGuard V3.1
Next - Yes
Installationspfad C:\Programme\Atguard
Next
Program Folders: AtGuard
Next - Next

Yes, I want to restart my computer now:  Finish

Reboot

Nach dem Reboot steht AtGuard als Applikation allen Benutzern des PC's mit einer eigenen Programmgruppe,

 

proggroup.gif (6851 Byte)

einem Icon in der Taskleiste taskbar-icon.gif (1020 Byte)und einem am oberen Bildrand gedockten oder mit der Maus frei beweglichen "Dashboard"

 

 dashboard.gif (2943 Byte)

zur Verfügung.




3. Die Funktionen

Die Funktionen der neu errichteten Programmgruppe "AtGuard" sind durch durch Doppelklicken der Icons der Programmgruppe,  durch Klicken des Icons taskbar-icon.gif (1020 Byte)in der Taskleiste oder durch Öffnen eines Pulldown-Menüs  im Dashboard unter taskbar-icon.gif (1020 Byte)verfügbar. Hier können auch die Einstellungen für den automatischen Start, für die Anzeige von Icon und/oder Dashboard sowie für den Passwortschutz der Konfiguration vorgenommen werden.

3.1 Das "Dashboard"

Das zentrale Anzeige- und Steuerelement für AtGuard ist das Dashboard, in dem durch Anklicken der Auswahlkästchen die Funktionen 

  • Network Activity 
  • Web Network Activity 
  • Ads Blocking 
  • Privacy Protection 
  • Firewall Activity 

 

unmittelbar ein- bzw. ausgeschaltet werden können. Die entsprechenden Einstellungen im Pulldown-Menü "Properties" erlauben die Anzeige dieser Funktionen einzeln an- und abzuschalten. Das Dashboard selbst kann mit "Hide Dashboard" weggeschaltet und über das Icon in der Taskleiste über "Dashboard" wieder sichtbar gemacht werden. Wird im Munüpunkt "Properties" die Funktion "Autohide" aktiviert, so ist das Dashboard nur sichtbar, solange die Maus am oberen Bildrand positioniert ist.

Das Dashboard zeigt mit den angezeigten Zählern die aktuelle Summenstatistik zu IP-Verbindungen, Web-Aktivität, Web-Filtern und Firewall-Filtern. Ein Klick auf die Zahl der offenen Netzwerkverbindungen (15) zeigt eine Liste der gerade aktiven IP-Verbindungen:

 

connections.gif (8626 Byte)


3.2 Das Event-Log

Alle Ereignisse wie Verbindungsaufbau, gefilterte Webinhalte oder angesprochene Firewall-Regeln werden (falls bei der Regelerstellung entsprechend konfiguriert) im Event-Log mit einem Zeitstempel versehen abgespeichert:

 

eventlog.gif (14893 Byte)

Das Pulldown-Menü "Log" bietet die nützlichen Zusatzfunktionen, Ereignis-Einträge als Textdateien abzuspeichern, sie auszudrucken, oder sie z.B. nach jeder Abmeldung vom System automatisch zu löschen.

 3.3 Die Statistik

Summen- und Verkehrsstatistiken werden nach den Gruppen 

  • Netzwerk global 
  • Web-Statistik 
  • Web Grafik 
  • Firewall TCP-Verbindungen 
  • Firewall UDP-Verbindungen 
  • Angesprochene Firewall-Regeln 
  • Netzwerk-Verbindungen 
  • 60 Sekunden Echtzeit 

 

sortiert wie folgt angezeigt:

 

statistics.gif (58902 Byte)

Eine Auswahl der anzuzeigenden Statistikgruppen kann über den Menüpunkt "View - Options..." getroffen werden.

 3.4 Das Konfigurationsmenü "Settings..."

Alle sonstigen Einstellungen, insbesondere die Einstellungen zu den Webfilter- und Firewall-Funktionen und die Definition der Firewall-Regeln werden über das Konfigurationsmenü "Settings..." vorgenommen. Das Menü kann 

  • aus der Programmgruppe durch Klicken des Icons "Settings" 
  • "Settings..." im Pulldown-Menü des Dashboards 
  • oder mit der rechten Maustaste auf dem AtGuard-Symbol im Taskbar und "Settings..." 


aufgerufen werden. Es hat drei Unterpunkte: 

  • Options zur Einstellung der Startup-Eigenschaften von AtGuard 
  • Web zur Definition der Filter für das Web-Browsing 
  • Firewall  zur Definition des Verhaltens des IP-Firewalls (Regeldefinition) 


Diese Einstellungen werden an Hand eines typischen Beispiels für einen PC in JuNet im folgenden Kapitel erläutert.




4. Das Menü "Settings": Webfilter und Firewall

4.1 Options

Die Einstellungen für den Start von AtGuard werden im Untermenü "Options" festgelegt. Eine empfohlene Einstellung wäre wie folgt:

options.gif (28529 Byte)

Damit startet AtGuard automatisch bei Systemstart mit aktivierten   Anzeigen und  Filterfunktionen. Die Konfiguration insbesondere des Firewalls ist durch ein Passwort gegen unbefugte Änderungen geschützt.

Will man in einer ersten Phase zunächst einen Überblick über die typischen Netzwerkaktivitäten des PC's gewinnen, so empfiehlt sich der Einsatz des weiter unten beschriebenen Regel-Assistenten für den Firewall. In diesem Fall sollte man temporär den Paßwortschutz abschalten, da sonst wiederholt bei jedem neuen Verbindungstyp, für den der Assistent eine Regel erstellt, das Security-Paßwort eingegeben werden muss.

4.2 Webfilter

Im Untermenü "Web" werden die Einstellungen für das Filtern von Web-Inhalten festgelegt und durch Auswahl von "Enable web filters" aktiviert.   Sinnvolle Default-Einstellungen sind beispielsweise (aufgeführt sind die aktivierten Funktionen):

4.2.1 Filters....

Ad Blocking: eingeschaltet
Privacy: eingeschaltet
Active Content: eingeschaltet

Cookie Assistant:
aus oder ein, je nachdem, ob man Cookies immer akzeptieren oder je nach Domain unterschiedlich behandeln oder ganz ablehnen möchte. Ist der Cookie-Assistant eingeschaltet, so erscheint bei jedem neuen Cookie, das ein Server ablegen möchte, das Popup-Fenster des "Cookie-Wizards". In diesem kann dann spezifiziert werden, wie mit diesem Cookie in Zukunft verfahren werden soll (Der Aufbau des Fensters entspricht dem unter 4.3.1 gezeigten Fenster des Regel-Assistenten). Empfehlung: Ausgeschaltet.

Java/ActiveX-Assistant:
Je nach Sicherheitsansprüchen aus oder ein, um z.B. Java und vor allem ActiveX-Inhalte nur von vertrauenswürdigen Servern zu laden und auszuführen. Empfehlung: Eingeschaltet.

HTTP Port List:
Hier können zusätzliche Portadressen z.B. für eigene, nicht dem Standard entsprechende Webserver eingetragen werden, für die dann Webinhalte ebenfalls gefiltert werden.


Mit "Add Site" können zusätzliche Webfilter für ganz bestimmte Websites (IP-Domains oder Hosts) in einer hierarchischen Liste abgelegt werden. Root dieser Liste ist stets "Default", d.h. die allgemein gültige Einstellung. Hierunter können Domains oder Websites und hierunter wieder einzelne Websites (Hosts) eingetragen werden, für die die Einstellungen der übergeordneten Hierarchiestufe jeweils übernommen bzw. überschrieben werden.

 4.2.2 AdBlocking

Hier lassen sich mit "Add..." zusätzlich zu den bereits eingerichteten, typischen HTML-Tags und URL's, die auf Werbeinhalte verweisen, weitere HTML-Elemente, die nicht angezeigt werden sollen, eintragen.

Eine weitere Methode, beim Browsen von (häufig besuchten) Webinhalten unerwünschte Links (Bilder, Werbeinhalte etc.) interaktiv zu unterbinden besteht darin, mit der rechten Maustaste ein solches Link aus dem Browser in den Papierkorb des Dashboards zu kopieren. Nach einer kurzen Bestätigung des URLs  wird dieses Link in die Liste der zu sperrenden Webinhalte übernommen.

4.2.3 Privacy

Hier wird festgelegt, welche Informationen der Browser an den Webserver oder an einen "third party"-Server weitergibt. Es sind jeweils drei Einstellungen wählbar: 

  1. Block: AtGuard ignoriert die Serveranfrage und schickt keine Information zurück 
  2. Permit: Die Anfrage wird wie üblich beantwortet 
  3. Reply: AtGuard beantwortet die Anfrage mit einem beliebig wählbaren Text (nicht empfehlenswert!) 

 

Empfohlene Default-Einstellungen sind:

 

·        Cookies: Permit
Cookies werden häufig benutzt und sind unkritisch, liefern aber Informationen über das Verhalten des Benutzers im Web (Profil).

·        Referer: Block
Beim (durch einen besuchten Server veranlassten) Besuch eines "third-party"-Servers muss die Information über den zuerst besuchten Server nicht weitergegeben werden - dies dient meist der Unterstützung von Werbe- und E-Commerce-Servern. 

 

·        Browser (User-agent): Permit
Damit kann der Server den Typ und das Betriebssystem des Browsers abfragen.
            Positiv: Damit ist, falls vom Server unterstützt, eine optimale Ausnutzung der Fähigkeiten des lokalen Browsers gewährleistet.
            Negativ: Andererseits kann diese Information missbraucht werden, um systemspezifischen "Hack"-Versuchen zusätzliche Informationen über das Betriebssystem zu liefern. 

 

·        E-mail: Block
Damit wird unterbunden, dass der Browser die evtl. konfigurierte E-Mail-Adresse des lokalen Systems an einen Webserver weitergibt (Keine Informationen für "Spammer" !). 

 

Mit "Add Site" können auch hier diese Regeln für JuNet-interne Kommunikation außer Kraft gesetzt werden, indem die beiden Domänen "fz-juelich.de" und "kfa-juelich.de" hinzugefügt werden. Durch Anklicken der Domänennamen und "Use these rules for kfa-juelich.de bzw. fz-juelich.de" können dann für die interne Kommunikation alle Einstellungen beispielsweise auf "Permit" geschaltet werden:

 

 

4.2.4 Active Content
Hier werden die Default-Einstellungen zur Behandlung von aktiven Inhalten (Java, JavaScript und ActiveX) festgelegt. Je nach besuchter Domain oder Site können diese mit Hilfe des bei Bedarf automatisch aktivierten Assistenten dann  noch Site-spezifisch und interaktiv modifiziert werden.

Empfohlene Default-Einstellungen:

 

·        Script: Block only popup window script
Dies verhindert die oft lästigen, zusätzlichen Popup-Fenster, die von vielen Servern zu Werbezwecken benutzt werden. Wer (insbesondere fehlerhaftes) JavaScript vielleicht für bestimmte Webserver abschalten möchte, kann dies an dieser Stelle tun.

 

·        Binary Executables: Block ActiveX controls
Java Applets sind relativ sicher (actuelle Browserversionen vorausgesetzt). ActiveX-Applikationen sind riskanter und sollten als Default besser ausgeschaltet werden.

 

·        Make animated images non-repeating
Diese Einstellung ist eigentlich selbstverständlich und zur Reduktion unnötiger Netzlast für Webbrowsing über NT-Terminalserver oder X11-Windowterminals (z.B. WinCenter von NCD) unbedingt zu empfehlen ! 

 

4.3 Firewall

 Hier werden die Einstellungen und Regeln für den eingebauten Firewall abgelegt, die bei jeder Netzwerkverbindung sequentiell durchlaufen und überprüft werden. Je nach Ergebnis wird der Verbindungsversuch dann akzeptiert oder abgelehnt und in den Event-Logs registriert. Die Filterfunktion des Firewalls wird durch Auswahl der Checkbox "Firewall" im Dashboard oder durch "Settings - Enable firewall" im AtGuard Setup aktiviert.

4.3.1 Default-Regeln und interaktiver Lernmodus

Das Prinzip des Firewalls besteht darin, für jede IP-Verbindungsanforderung  deren Charakteristika wie IP-Adresse, IP-Port (Service), Applikation und Uhrzeit an Hand einer Liste vordefinierter Regeln zu überprüfen und die Verbindungsanforderung je nach Ergebnis zuzulassen oder abzulehnen.

Bei eingeschaltetem Firewall werden die dort definierten Regeln sequentiell von oben nach unten durchlaufen und abgeprüft. Sobald eine "passende" Regel gefunden wird, wird diese angewandt und alle weiter unten definierten Regeln werden ignoriert. Ein Verbindungsversuch, für den keine passende Regel existiert, wird per Default abgelehnt und es wird, falls er eingeschaltet ist, der unten beschriebene "Rule-Assistant" des interaktiven Lernmodus aktiviert.

 

        firewall1.gif (7394 Byte)

 

Die mitgelieferten Standardeinstellungen erlauben nur einige für die Internet-Kommunikation fast immer erforderlichen Standard-Dienste wie z.B. den Name-Service DNS und blockieren die kritischen Hacker-Attacken "Back-Orifice" und "NetBus". Für PC's in JuNet werden auch in- und outbound bootp üblicherweise nicht benötigt und können  abgeschaltet werden. (Die zugehörige Regel wird damit außer Kraft gesetzt, aber nicht gelöscht, so dass sie jederzeit wieder reaktiviert werden kann).

Eine Besonderheit von AtGuard ist der interaktive Regel- Assistent, der im Setup durch "Enable Rule Assistant (interactive learning mode)" aktiviert wird. Bei jedem neuen IP-Verbindungstyp, der nicht von einer bereits vorhandenen Regel abgedeckt wird, wird dieser Assistent automatisch aufgerufen und erlaubt menügesteuert die Definition neuer Regeln, nach denen diese Verbindungsanfrage und alle weiteren Verbindungen dieses Typs behandelt werden sollen. Bei Bedarf werden die Eingaben dann als neue Firewall-Regel automatisch der Regelliste hinzugefügt.

Die oben gezeigten Default-Einstellungen erlauben keine "offene" IP-Kommunikation und sind vor allem dann sinnvoll, wenn man in kleinen Netzen oder nur dediziert mit ein, zwei Anwendungen auf einigen wohlbekannten Rechnern arbeiten möchte. Für diese wenigen Verbindungen werden dann die zusätzlich benötigten Regeln interaktiv mit dem Regel-Assistenten festgelegt. Die Default-Einstellungen können auch sinnvoll benutzt werden, wenn man einmal testweise einen Überblick über eigene (outbound) und fremde Verbindungsversuche (inbound) zum eigenen PC gewinnen möchte. Ein Verbindungsversuch zum Webserver des PC's wird dann vom Regel-Assistenten beispielsweise mit folgendem Fenster angezeigt:

Die Verbindung kann dann "For just this attempt" temporär akzeptiert oder abgelehnt werden, oder es kann menügeführt eine neue Regel für diesen Verbindungstyp aufgestellt und der Regelliste hinzugefügt werden.

4.3.2 Ein Beispiel: Regeln für die JuNet-interne Kommunikation

Mit "Add..." können von Hand zusätzliche Firewall-Regeln definiert werden. Es sei nochmals daran erinnert, dass alle Regeln von oben nach unten in der Liste abgearbeitet werden. Genügt also eine Verbindung einer der Regeln der Liste, werden keine weiteren Regeln für diese Verbindung mehr abgeprüft, der "erste Treffer" zählt !".

Um beispielsweise einen PC ohne jede Einschränkung im Netz des Forschungszentrums zu betreiben und gleichzeitig jeden Zugang von und nach draußen zu unterbinden, müssen vier weitere Regeln definiert und in der richtigen Reihenfolge an den Anfang der Liste gestellt werden. Als erstes werden die Regeln aufgeführt, die auf jeden Fall ein "permit" erhalten sollen: Das sind

1.    Default Inbound Loopback und
2.    Default Outbound Loopback

d.h. die Kommunikation des PC's mit sich selbst unter allen möglicherweise aktiven Serveradressen. (Solche Client/Serverkommunikation mit der eigenen "localhost"-Adresse kann u.U. innerhalb einer lokalen Applikation ablaufen).

Als nächstes in der Liste stehen die Regeln für zwei gefährliche "Hacker"-Anwendungen, "Back-Orifice" und "Netbus", die unter allen Umständen abgeblockt und im Eventlog erfasst werden sollen (auch JuNet-intern !):

3.    Default Block Back Orifice
4.    Default Block NetBus

Danach folgen zwei Regeln, die Inbound- und Outbound-Verkehr zu jeder Adresse im JuNet ohne Einschränkung erlauben, sowie zwei weitere Regeln, die jede Kommunikation mit irgendeiner beliebigen Internetadresse verhindern:

5.    JuNet inbound permit all
6.    JuNet outbound permit all
7.    Default inbound block
8.    Default outbound block

Damit ist Kommunikation vom und zum lokalen PC nur noch innerhalb des Adreßbereiches von JuNet (134.94.*.*) möglich. Wer dies wünscht, kann im Untermenü "Logging" die Erfassung solcher Verbindungen im Eventlog aktivieren.

Regel 5 hat dann beispielsweise folgendes Aussehen:

rule1.gif (6815 Byte)

Sie erlaubt jedem Rechner im JuNet den Zugriff auf den eigenen PC zu jeder dort verfügbaren IP-Anwendung, und dies (Default) 24 Stunden täglich. Wer diesen Zeitraum einschränken oder die einzelnen Zugriffe im Ereignislog erfassen möchte, kann dies mit den Einstellungen unter "Time active" und "Logging" tun. Ebenso lässt sich der Zugriff mit "Service" auf bestimmte IP-Dienste (Ports) oder mit "Application" auf bestimmte Applikationen beschränken.

Regel 6 ist identisch mit der ersten, lediglich die Richtung der Datenpakete ist umgekehrt ("outbound" = vom lokalen PC zu einer Adresse im Netz, "inbound" = von außen zu einer Adresse des lokalen PC's).

Für Regel 7 und 8 werden alle Adressen ("Any address") für jeglichen Datenverkehr gesperrt. Unter diese Regel fallen dann alle Verbindungsversuche, die nicht bereits von Regel 5 und 6 für JuNet-internen Datenverkehr erfasst wurden.

Nach Definition der Regeln müssen diese in der Liste mit Hilfe der Pfeiltasten rechts unten in die richtigen Positionen 1 bis 8 gebracht werden.

 

firewall2.gif (9795 Byte)
   

Alle weiteren Regeln sind für dieses Beispiel dann nicht mehr relevant und können auch durch Anklicken der Auswahlbox deaktiviert werden.



Zurück zum Inhalt

 

Diese Themen könnten Sie auch interessieren!

X

Cyber Experience Center in Augsburg

Stell dir vor, du bist mitten in einem Cyberangriff. Nicht als Zuschauer, sondern als Teil des Teams, das in Echtzeit Entscheidungen treffen muss. Genau