Die Standardeinstellungen bei neuen Firewalls beinhalten meist nur 2 Regeln. Erstens wird eingehender Traffic komplett geblockt und zweitens sind alle Ports für ausgehenden Verkehr offen. Der Hersteller kann ja nicht wissen ob in Ihrem Netzwerk Dienste für externe Internet-User angeboten werden und welche. Das öffnen der Ports für eingehenden Datenverkehr bleibt also dem Firewall-Admin überlassen. Keine Frage, Sie sollten sich genauestens informieren welche Ports für bestimmte Zwecke geöffnet werden müssen. In vielen Firewalls kann man auch Zeitpläne einrichten, so daß Ports z.B. nur während der Arbeitszeit geöffnet sind, wenn sie auch wirklich gebraucht werden. Sei’s drum, an diese Sicherheitsfunktionen denkt jeder Admin als Erstes.

Erstaunlich oft sehen wir bei neuen Kunden, daß man sich um die weitere Regeln für ausgehenden Datenverkehr gar nicht gekümmert hat, sondern einfach alle Ports offen stehen. „Von den eigenen Rechnern geht doch keine Gefahr aus.“ hören wir oft. Falsch gedacht ! Mal angenommen einer Ihrer Rechner wird über einen USB-Stick oder eine CD-Rom mit einem Trojaner infiziert. Der könnte dann intern tätig werden und Ihre vertraulichen Daten über irgendeinen der offenen Ports für ausgehenden Datenverkehr nach Draußen senden. Es gibt schier unendliche Möglichkeiten, was eine einmal platzierte Schadsoftware alles anrichten könnte. Deshalb: Denken Sie bei der Firewallkonfiguration auch an die Regeln für ausgehenden Daten-Verkehr. Schließen Sie die Ports, die Sie nicht verwenden !

Welche ausgehenden Ports brauchen Sie ? Im Normalfall reichen einige wenige von 65535. HTTP(80), HTTPS(443),FTP(21). Wenn Sie einen eigenen Mail-Server haben, muss er natürlich Mails versenden können. Dafür benötigen Sie SMTP(25), SMTPS(465) auch ausgehend. Je nachdem evtl. auch POP3 und POP3S Ports. DNS zur Namensauflösung und NTP für evtl. Uhrzeitabgleich nicht zu vergessen. Und jetzt das Wichtigste schließen Sie alle Ports die nicht verwendet werden. Setzen Sie dazu die Default-Regel als letzte in der Reihenfolge auf „deny“.

Ihr ISC Support-Team