Windows-XP-Firewall reißt Löcher in Netzwerkschutz
Installiert man XP Service Pack 2 auf XP-SP1-Systeme mit Laufwerksfreigaben im LAN, so kann die Firewall größere Löcher aufreißen, als sie schließt.
Unter bestimmten Umständen reißt die mit XP Service Pack 2 installierte Firewall größere Löcher auf, als sie schließt. Der Grund liegt in der neu hinzugekommenen Ausnahmeliste, mit der sich definieren lässt, welche Dienste und Ports von außen erreichbar sind. Bei der Installation aktiviert Windows die XP-Firewall für alle erkannten Netzwerkschnittstellen automatisch. Damit gilt auch die Ausnahmeliste für alle Interfaces. Da Windows aber nur eine einzige Ausnahmeliste verwaltet, wirkt sich beispielsweise die aktivierte Datei- und Druckerfreigabe ebenfalls auf alle Interfaces aus.
Verfügt der Windows-Rechner nun über mehrere Schnittstellen, etwa LAN und DSL, so sind die Freigaben, die eigentlich nur im LAN erreichbar sein sollten, prinzipiell auch aus dem Internet erreichbar. Über diesen Umstand und wie man ihn korrigiert, berichtete c't bereits in Ausgabe 16/2004 im Schwerpunkt über das Service Pack 2 (siehe den Artikel "Firewall-Kur" ab Seite 98).
Allerdings überrumpelt Service Pack 2 bei der Installation XP-Systeme mit Service Pack 1, in dem es die alte Firewall-Konfiguration schlichtweg ignoriert beziehungsweise nicht richtig übersetzt. Die Freigabe-Dienste sind unter XP SP1 prinzipiell an jedes Interface gebunden, vor dem Zugriff aus dem Internet schützt aber in der Regel automatisch die Internet Connection Firewall (ICF). Für LAN-Schnittstellen ist die ICF unter SP1 noch standardmäßig deaktiviert, sodass ein freigegebenes Laufwerk ohne weitere Konfiguration im lokalen Netzwerk erreichbar ist. Installiert man auf solch einem System Service Pack 2, so erkennt Windows die Laufwerksfreigaben und merkt sie sich in der Ausnahmeliste -- damit gelten sie leider auch für das DFÜ-Interface.
Allerdings sollte normalerweise die Datei- und Druckerfreigabe nur für das lokale Subnetz gültig sein -- egal ob nun LAN- oder DFÜ-Interface. Die Redaktion der Zeitschrift PC-Welt hat aber laut ihren Tests herausgefunden, dass diese Beschränkung unwirksam ist, wenn die Internetverbindungsfreigabe (Internet Connection Sharing) deaktiviert ist. So sei trotzdem der Zugriff auf den Rechner möglich. Abhilfe schaffe ein manueller Eintrag der IP-Adressen in die "Benutzerdefinierte Liste" unter Ausnahmeliste/Bearbeiten/Bereich für alle vier vordefinierten Ports.
Alternativ können Anwender die Datei-und Druckfreigabe in der Ausnahmeliste auch deaktivieren und dediziert für das entsprechende LAN-Interface eigene Ports öffnen. Unter den erweiterten Netzwerkverbindungseinstellungen müssen dazu die TCP-Ports 139 und 445 sowie die UDP-Ports 137 und 138 hinzugefügt werden.
Siehe dazu auch: (dab)
- Da gibt's doch was von Microsoft, c't-Artikel 16/04
