Sygate Firewall einrichten -- aber wie?

Hallo,

grade habe ich mir mal den 30-Tage Test der Sygate Firewall Pro heruntergeladen und installiert.
Gut gefällt mir daran:
- die detaillierten Informationen über Prozesse, die aufs Netz zugreifen wollen
- Die Fähigkeit adapterspezifisch zu konfigurieren

Die Firewall ist augenscheinlich sehr wirkungsvoll. Etwas zu wirkungsvoll, wenn ich ehrlich sein soll... Obwohl ich die Bedienungsanleitung sowie die englische FAQ und Onlinehilfe rauf und runter durchforstet habe, werde ich nicht klug daraus, wie ich überhaupt wieder Datenaustausch über das Netzwerk hinbekomme, außer mit der Einstellung "Allow All", womit die gesamte Firewall dann so ziemlich Sinnfrei wird. HILFEEEEE!

Soviel habe ich begriffen: für jeden Internetzugriff muß eine Regel erstellt werden, die ihn explizit erlaubt.
Das habe ich gemacht, z.B. für einen Faxklienten, der Port 16209 bis 16214 TCP und UDP zur Verbindung mit dem Faxserver geöffnet haben will. Meine Regeleinstellungen lauten also:
Aktion: "erlauben"
Regel auf Netzwerkschnittstelle anwenden: "Marvell Yukon PCI Fast Ethernet Controller (192.168.179.105)" (Da ist der PC mit dem Faxdienst angeschlossen)
Diese Regel anwenden auf IP-Adressen: "192.168.179.221"
Protokoll:"TCP"
Remote Ports: "16209-16214"
Lokal Ports: "1-65535" (da ich erstmal nicht weiß über welchen Port die Antwort vom Server zurückkommen wird)
Applikationen: Haken bei "Fax-Client"
Außerdem habe ich unter Applikationen dem Fax-Klienten als "vertraute IP für diese Applikation" "192.168.179.221" freigegeben, die Adresse wo der Faxdienst läuft.
Remote Server Ports TCP und UDP "16209-16214"
Lokale Ports auch hier: 1-65535 für TCP und UDP
ICMP Traffic erlauben: Ja.
Trotz aller dieser Freigaben bekomme ich Im Faxklienten beim Verbindungsversich nur die Meldung "Netzwerkfehler: Winsock Error 10038 -- Die Verbindung zum Server 192.168.179.221 konnte nicht hergestellt werden --Überprüfen Sie ob die Netzwerkadresse stimmt und der Server gestartet ist" und zwar genau solange bis ich Sygate auf "Allow All" umstelle.
Woran muß ich da nun schrauben? Auf dem PC mit dem FaxServer habe ich Ethereal mal den Verkehr bei der Klient-Anmeldung mitschneiden lassen, da passiert auch bei deaktivierter FW absolut nichts außerhalb des TCP-Verkehrs über die angegebenen Ports....
In den FW Protokollen erscheint kein Eintrag daß irgendwas geblockt wird, obwohl das Symbol in der Taskleiste beim Verbindungsversuch kurz rot aufblitzt. Es *wird* also doch irgendwas geblockt, aber wie bekomme ich heraus, *WAS* das ist? Müßte bei unbekannten Zugriffen nicht wenigstens eine Nachricht darüber erscheinen verbunden mit der Frage was damit künftig geschehen soll?

All help appreciated!
Thanks,

Funkenzupfer

P.S.: Das gleiche Problem habe ich bei Netzlaufwerken, auf die ich auf einem anderen Rechner zugreifen möchte: Kein Zugriff möglich, aber Sygate zeigt mir nichts darüber, daß es irgendetwas abgefangen hat. Nur mit "Allow All" geht es wieder wie gewünscht.

Nachtrag:

Nach einigen weiteren Versuchen damit wird jetzt im Trafic-Protokoll von Sygate ein Verbindungsversuch eingehend von Quell-Host 192.168.179.221 ICMP 3 an Ziel-Host 192.168.179.105 *ohne* Applikationsname als Blockiert protokolliert. Das ist offenbar die Antwort vom anderen Rechner, aber wie gebe ich das jetzt ohne Applikationsname frei? Die Blockierende Regel wird von Sygate einfach mit "block all" angegeben, Strenge 15" obwohl Sygate nur auf "Normal" eingestellt ist

Grüße
Funkenzupfer

OK, läuft jetzt. Netzlaufwerke und Faxdienst.

meine Regeln waren alle korrekt. Die erweiterten Regeln werden gar nicht benötigt, ich konnte sie nachher wieder entfernen. Die lokalen Ports brauchten auch nicht geöffnet zu werden.

Der Verursacher war die Option "Anti-IP Manipulation" unter den Sicherheitsoptionen. Diese Funktion war zwar nicht angehakt, aber sie war wohl trotzdem aktiv. Erst einmaliges aktivieren/deaktivieren des Kontrollkästchens hat diese Einstellung wohl richtig ausgeschaltet, welche sämtliche Netzwerkfunktionalität kaputt zu machen scheint. Einschalten von OS-Masquerading führt übrigens zu den gleichen Fehlern.

Grüße
Funkenzupfer.

Hallo Mr. Kaiser,

Zitat

Sorry, was besseres fällt mir gerade nicht ein...wenig, ich weiß...aber ich gebe niemals auf...

Ich danke Dir trotzdem für den wohlgemeinten Versuch

Zitat

Also ich finde nichts gescheites im Netz.

...fand ich auch nicht, deshalb hab ich ja so ausführlich hier gefragt

Es ist übrigens die deutsche Version, nur das ausführlichere Online-Handbuch dazu ist halt in Englisch...

Zitat

da scheint man ja einen Lehrgang zu benötigen.

Genau den Eindruck hatte ich auch nachdem alle Versuche dem Teil mit Logik beizukommen gescheitert waren Naja, war wohl eher ein Programmfehler.
Jetzt, wo hoffentlich alles so arbeitet wie es soll, finde ich es ganz überschaubar.

Hier noch zwei Links zum Thema:
http://smb.sygate.com/support/docume…lp/SPFPro55.htm
http://f3.webmart.de/f.cfm?id=2104181&d=90&sr=1

Grüße
Funkenzupfer.

Normalerweise ist es klug, nicht benötigte Windows-Dienste abzuschalten. Dies dient sowohl der Sicherheit im Netzwerk, als auch der effizienteren Prozessornutzung: Weniger Aufgaben = schnelleres Arbeiten.
Nun gibt es aber zunehmend Rechner (vor allem mobile), die über zwei und mehr Netzwerkadapter verfügen, z.B. 1x 100MBit und 1xDrahtloses Netzwerk. Es bietet sich an, diese zwei Adapter für unterschiedliche Aufgaben zu nutzen. Der Drahtlosadapter für unterwegs soll mit möglichst geringem Risiko die Verbindung zu wechselnden Netzen und auch zum Interenet herstellen. Der drahtgebundene Anschluß bietet sich an für den schnellen Datentransfer von und zum Desktop PC. Diese Aufgabenteilung bringt es mit sich, daß nicht mehr alle Windowsdienste einfach abgeschaltet werden können, da sonst letzteres nicht mehr korrekt funktioniert. Hier kommt man mit Windows-Boardmitteln nicht mehr weiter, Windows ist - abgesehen von wenigen Ausnahmen (wie Datei- und Druckerfreigabe) -von Hause aus leider nicht fähig, einen Dienst für nur einen Netzwerkanschluß bereitzustellen. Hier wird - sofern man nicht ganz auf Linux ausweichen möchte - zusätzliche Software bernötigt, und hier bekommt die Verwendung einer Firewall ihren Sinn.

Grade bin ich dabei, die Sygate Firewall zu konfigurieren, und ich stelle meine Versuchsergebnisse hier zur Diskussion, einerseits um euch die dabei gewonnenen Erfahrungen verfügbar zu machen (hab ich nicht kürzlich hier irgendwo im Forum gelesen "Die Sygate würde ich ja gern verwenden, aber damit komm' ich nicht mehr ins Internet?") , andereseits natürlich auch im Hinblick auf eure Verbesserungsvorschläge und Korrekturen.

Bei der Ausgangseinstellung bin ich erstmal der Logik und natürlich auch der Empfehlung von der Sygate-Seite gefolgt: Erstmal alles verbieten, und dann nur das zulassen, was wirklich benötigt wird. OK, also erstmal *alles* verbieten. Dann gucken, was passiert. Und entscheiden, was wieder aufgemacht wird und für wen und für welche Adressen/Ports. Angehängt ein Schnappschuß der anfänglichen Verbotsliste.

Aber wie bekomme ich heraus, was das ist, was wirklich gebraucht wird? Ein nicht ganz einfaches Unterfangen, zumal die Traffic-Protokolle der Firewall nicht immer anzeigen, was blockiert wurde und für welche Anwendung. Warum diese Einträge fehlen, ist mir erstmal nicht klar. Hilfreich in diesem Zusammenhang ist ein Programm, mit dem man den gesamten Netzwerkverkehr mitprotokollieren kann, ich verwende dazu Ethereal (XP-Tipps-Tricks-Downloadbereich!). Um nun die zugehörige Applikation zu einer Übertragung ausfindig zu machen erstellt man eine Sygate-Regel, die die fragliche Übertragung explizit erlaubt, und voila! jetzt findet sich der gesuchte Eintrag auch in den Sygate-Protokollen, und man kann daraus seine Regeln zurechtzimmern.

Nachfolgend eine Übersicht, welche Programme/Dienste für bestimmte Aufgaben freigeschaltet werden müssen (Ergänzungen/Korrekturen stets willkommen!)

1.) Internet surfen (Browser)
- Programm: firefox.exe (Mozzilla Firefox) Vertraute IP's: alle (keine angeben) bzw. bei Verwendung eines http-Proxys nur dessen IP-Adresse nötig Als Client freigeben: Ja, TCP 80 Als Server freigeben nein ICMP: nein (?) Optionen Netzwerk: Durchsuchen für verwendete Netzwerkschnittstelle aktivieren Optionen Sicherheit: alle Funktionen dürfen aktiviert sein.
- Programm: ndisuio.sys (NDIS user mode i/o driver) Nicht konfigurierbar Zugriff erlauben.

2.) Faxdrucker (Netzwerk-Klient)
- Programm: actfax,exe (Active Fax) Vertraute IP's: Adresse des PC's mit dem Fax-Serverdienst Als Client freigeben: Ja, TCP und UDP Ports je nach Serverkonfiguration Als Server freigeben nein ICMP: ja (?) Optionen Netzwerk: Durchsuchen (evtl. auch Freigabe?) für verwendete Netzwerkschnittstelle aktivieren Optionen Sicherheit: Anti-IP Manipulation und OS-Masquerading ausschalten!!

2.) FTP-Klient (passive Verb.)
- Programm: smartftp.exe SmartFTP Vertraute IP's: alle (keine angeben) bzw. bei Verwendung eines FTP-Proxys nur dessen IP-Adresse nötig Als Client freigeben: Ja, TCP alle (keine angeben) Als Server freigeben nein ICMP: ja (?) Optionen Netzwerk: Durchsuchen für verwendete Netzwerkschnittstelle aktivieren (?)Optionen Sicherheit: alle Funktionen dürfen aktiviert sein.
- Programm: alg.exe (Application Layer Gateway Service) Vertraute IP's: alle (keine angeben) bzw. bei Verwendung eines FTP-Proxys nur dessen IP-Adresse nötig Als Client freigeben: Ja, TCP 21 Als Server freigeben nein ICMP: ja (?) Optionen Netzwerk: Durchsuchen für verwendete Netzwerkschnittstelle aktivieren (?)Optionen Sicherheit: alle Funktionen dürfen aktiviert sein.
- Programm: ndisuio.sys (NDIS user mode i/o driver) Nicht konfigurierbar Zugriff erlauben

3.) auf Netzlaufwerke /Freigaben anderer PC's zugreifen
Optionen Netzwerk: Durchsuchen für verwendete Netzwerkschnittstelle aktivieren. Weiter nichts erforderlich. Optionen Sicherheit: alle Funktionen dürfen aktiviert sein.

4.) Drucken über Netzwerk auf an anderem Rechner angeschlossenem Drucker
Optionen Netzwerk: Durchsuchen für verwendete Netzwerkschnittstelle aktivieren. Weiter nichts erforderlich. Optionen Sicherheit: alle Funktionen dürfen aktiviert sein.

5.) Virenscanner Updates AV-Downloadkonfiguration auf passives FTP einstellen
- Programm: inodist.exe (eTrust Antivirus)Vertraute IP's: alle (keine angeben) Als Client freigeben: Ja, TCP alle (keine angeben) Als Server freigeben nein ICMP: ja (?) Optionen Netzwerk: Durchsuchen für verwendete Netzwerkschnittstelle aktivieren (?)Optionen Sicherheit: alle Funktionen dürfen aktiviert sein.
- Programm: alg.exe (Application Layer Gateway Service) Vertraute IP's: alle (keine angeben) bzw. bei Verwendung eines FTP-Proxys nur dessen IP-Adresse nötig Als Client freigeben: Ja, TCP 21 Als Server freigeben nein ICMP: ja (?) Optionen Netzwerk: Durchsuchen für verwendete Netzwerkschnittstelle aktivieren (?)Optionen Sicherheit: alle Funktionen dürfen aktiviert sein.

Wie man unschwer erkennen kann, müssen meistens außer der gewünschten Anwendung noch weitere Dienste/Programme eine Zulassung bekommen, damit das eigentliche Programm funktioniert.

Wer hierzu noch weitere Infos/Wissen hat, könnte bitte die Sammlung noch erweitern, ich suche z.B. noch die korrekten Sygate-Einstellungen für
6.) Windows-Update (da ist wohl svchost beteiligt...)
7.) Zugriff von anderen PC's auf freigegebene Ordner
8.) Drucken von anderen PC's aus auf diesem Rechner
+ was ihr sonst noch so alles habt.

...aber kommt mir bitte jetzt nicht mit "einfach alles erlauben" *grins*

Übrigens: es empfiehlt sich natürlich, hinterher wieder alle Windows-Dienste, die nicht generell oder aber für eine der Aufgaben über einen der Netzwerkadapter benötigt werden, völlig zu deaktivieren nach dem Motto: Was nicht gebraucht wird, muß auch nicht laufen.

Grüße & Danke für jede Mitwirkung
Funkenzupfer

Nachtrag:

Der erwähnte "Schnappschuss" von den ganzen Verboten ließ sich irgendwie nicht hochladen, deshalb hier die Liste "zu Fuß". Ich hoffe mal, die Tabelle wird vom Forumsserver nicht allzusehr zerwurschtelt...

Zitat

Programm Dateiname Einstellung Kommentar
Anwendung für Dienste und Controller services.exe blockiert
Application Layer Gateway Service alg.exe blockiert
certsrv.exe blockiert
dfssvc.exe blockiert
dns.exe blockiert
inetinfo.exe blockiert
ismserv.exe blockiert
llssrv.exe blockiert
mqsvc.exe blockiert
mstask.exe blockiert
ntfrs.exe blockiert
snmp.exe blockiert
termsrv.exe blockiert
Windows Media nscm.exe blockiert
Windows Media nspmon.exe blockiert
Windows Media nsum.exe blockiert
wins.exe blockiert
Client Server Runtime Process csrss.exe blockiert
Generic Host Process für Win32 Services svchost.exe blockiert
LSA Shell (Export Version) lsass.exe blockiert
MS DTC console program msdtc.exe blockiert
NDIS User mode I/O Driver ndisuio.sys blockiert
NT Kernel und System ntoskrnl.exe blockiert
TCP/IP Services Application tcpsvcs.exe blockiert
TCP/IP-Befehl ping ping.exe erlaubt blockieren, wenn man "ping" in der Dos-Box nicht verwenden will.
TCP/IP-Befehl tracert.exe erlaubt blockieren, wenn man "tracert" in der Dos-Box nicht verwenden will.

Alle Anwendungsprogramme, denen man nicht ausdrücklich Netzwerkspaziergänge erlauben möchte [Programmdateiname].exe blockiert

Alles anzeigen

Interessant übrigens, daß ein Dienst scheinbar erst dann konfiguriert werden kann, nachdem er das erste mal einen Zugriff versucht hat... Daraus folgt, daß man noch geraume Zeit die Firewall daraufhin kontrollieren muß, ob wieder ein Dienst eine Regel benötigt. Wäre schön, wenn man diese Dienste /Programme auch hier auf einen Rutsch suchen lassen könnte, wie Norton das macht. Habe ich diese Funktion einfach nur übersehen, oder fehlt die wirklich?

Grüße
Funkenzupfer.