Vergitterte Fenster, Teil 1
Seite 2: Komm nicht näher!
Komm nicht näher!
Wenn man einen Port in der Firewall öffnet, können sich bisher beliebige PCs damit verbinden. Service Pack 2 ermöglicht die Freigabe eines Ports nur für Adressen aus dem lokalen IP-Subnetz, in dem der Rechner arbeitet. Gibt ein Anwender auf dem eigenen PC ein Laufwerk oder Drucker für das Netzwerk frei, so aktiviert Windows XP automatisch die Local-Subnet-Restriction (nur lokales Subnetz), um einen Zugriff aus fremden Netzen auf die Ports 137, 138, 139 und 445 zu verhindern. Allerdings ist dies nicht immer erwünscht, inbesondere in größeren Unternehmensnetzen kommunizieren Rechner über mehrere Subnetze hinweg. Diese Einschräkung könnte einigen Applikationen Schwierigkeiten bereiten. Auch Universal-Plug-and-Play (UPnP) funktioniert dann standardmäßig nur noch im lokalen Netz. Alle Ports lassen sich auf Wunsch aber auch global öffnen.
Auch Heim-Anwender deren Rechner direkt am Internet hängt, schützt die Local-Subnet-Restriction. Arbeitet der Provider mit korrekten Subnetz-Masken (255.255.255.255), können Angreifer aus dem Internet versehentlich offene Dienste wie Dateifreigaben nicht erreichen. Die bei manchen Anbietern übliche Class-A-Maske 255.0.0.0 hebelt diesen Schutz jedoch aus.
Mit dem Firewall-Netsh-Helper erhalten Administratoren ein Kommandozeilen-Tool, um die XP-Firewall ohne grafische Oberfläche zu konfigurieren. Damit lassen sich Firewall-Regeln in einem Login-Skript verarbeiten. Die frühere Version unterstützte nur IPv6, nun ist auch IPv4 implementiert. Leider laufen bisherige Skripte für IPv6 nicht mehr. Aufgrund der vielen hinzugekommenen Optionen haben die Redmonder das grafische Interface der Firewall überarbeitet, das nun auch direkt über die Eigenschaften der Netzwerkumgebung erreichbar ist. Will man IPv6-Verkehr filtern, muss man aber weiterhin auf den Netsh-Helper zurückgreifen.
Eingeladen
Um auf XP Server-Applikationen zu betreiben, müssen die benötigten Ports für eingehenden Verkehr von außen erreichbar sein. Anwendungen vor Service Pack 2 riefen dazu die Firewall-API auf, um selbsttätig Ports zu öffnen und beim Beenden wieder zu schließen. Stürzt die Anwendung aber während des Betriebs ab, so bleibt der Port offen. Da zum Freischalten nur der lokale Administrator berechtigt ist, muss die Anwendung in dessen Kontext laufen. Das ist aus Sicherheitsgründen unerwünscht, da eine Serveranwendung nur die zum Betrieb notwendigen minimalen Rechte erhalten sollte. Mit den neuen Permission Lists/Application White Lists (Zugelassene Programme) können Server mit den Rechten eines nicht-privilegierten Anwenders laufen. Die Firewall öffnet den Port nur dann, wenn die Serveranwendung in die Liste eingetragen ist und nur solange wie sie auf einem oder mehreren Ports auf eingehende Verbindungen horcht. Das Öffnen beliebiger unbenutzter Ports durch die Applikation ist damit nicht mehr möglich.
Eine Applikation fügt man der White List durch Angabe des Pfades und Programmnamens hinzu, etwa "Programme/NetMeeting/conf.exe" für NetMeeting. Allerdings lässt sich die dahintersteckende Applikation leicht austauschen: Nachdem wir die NeetMeeting-Originaldatei durch einen in "conf.exe" umbenannten Telnet-Server im gleichen Verzeichnis ersetzt hatten, gelang uns von außen der Zugriff auf eine Telnet-Shell. Auf die gleiche Weise könnten Trojaner - ohne Eintrag in die Permission List - einen Server-Port nach außen öffnen. Da die viele Anwender aber als Administrator auf ihren Rechnern arbeiten, können sich eingeschleppte Trojaner diesen Umweg jedoch sparen und sich auch gleich selbst in die Liste eintragen.
