Zentralinstitut für Angewandte Mathematik
D-52425 Jülich, Tel. (02461) 61-6402
Informationszentrum, Tel. (02461) 61-6658

Technische Kurzinformation

FZJ-ZAM-TKI-0376
J.Meißburger
11.03.2002

Norton Personal Firewall 2002

Symantec's Desktop-Firewall für Windows 95b bis XP

Inhaltsverzeichnis:

1. Einleitung

2. Hinweise zur Installation und Konfiguration

1. Einleitung

Seit einiger Zeit sind Rechner im JuNet gegen Hacker-Angriffe aus dem Internet durch ein leistungsfähiges Firewall geschützt. Da jedoch die weltweite IP-Kommunikation einen wesentlichen  Bestandteil von JuNet darstellt, müssen zwangsläufig einige wenige, ausgesuchte Netzdienste auch weiterhin das Firewall passieren. Damit besteht ein Restrisiko, dass ein System im JuNet über einen dieser Dienste attackiert und durch Ausnutzung von Fehlern in der Software oder in der Konfiguration durch Hacker „übernommen“ wird. Eine noch größere Gefahr stellen Rechner – meist Laptops –  dar, die häufig in fremden Netzen arbeiten oder Daten von JuNet-fremden Servern (Mail, Web) empfangen. Diese können durch Viren infiziert und durch sogenannte „Trojaner“ jeglichen Schutzes vor fremdem Zugriff beraubt werden. Sobald ein solches System dann wieder im JuNet betrieben wird, stellt es ein hohes Risiko für alle übrigen Rechner im JuNet dar, da es als JuNet-internes System wesentlich geringeren Sicherheitsrestriktionen unterliegt.

Um sich vor diesen Gefahren und vielleicht auch vor allzu neugierigen Blicken von Kollegen zu schützen, bietet das ZAM für Windows-PCs seit längerem die Software „AtGuard“ an, ein persönliches Firewall für die Betriebssysteme Windows 95b, 98, 98SE, NT4, 2000 und XP (siehe auch „PC-Security“ unter http://www.fz-juelich.de/zam/net/security ). AtGuard ist jedoch nicht für Windows ME geeignet, und es erfordert zwingend eine Startkonfiguration „von Hand“, um einerseits die Kommunikation und andererseits einen minimalen Schutz zu gewährleisten. Aus diesen Gründen bietet das ZAM-Dispatch (Tel. 5642   ) ab sofort auch das Nachfolgeprodukt von AtGuard in der aktuellen Version

Symantec Norton Personal Firewall 2002

als Originaldistribution mit Handbuch und CD an, das gegenüber AtGuard einige Vorteile aufweist:

• Unterstützung aller derzeit verfügbaren Windows-Versionen ab Win95b

• Unmittelbarer Systemschutz direkt nach der Installation (außer NT/2000-Server)

• Sicherheitsassistent zur Konfiguration und Konfigurationsüberprüfung

• Regelbasierter Schutz vor unberechtigten Zugriffen  aus dem Netz und Warnung bei Hacker-Attacken (Portscans)

• Automatische Konfiguration eigener Netzzugriffe aus bekannten Anwendungen (Browser, Mail, Office etc.) heraus

• Warnung mit Bestätigung vor Ausführung aktiver Inhalte (Java, ActiveX)

• Datenschutzfunktion verhindert die versehentliche Weitergabe persönlicher Daten

• Einrichtung von Computern bzw. Teilnetzen in Gruppen mit uneingeschränktem oder  völlig unterbundenem Zugriff

• Automatisches Update der Software und kritischer Firewallregeln (LiveUpdate) innerhalb eines Jahres nach Installation

Wer sich als „Profi“ seit längerem mit der Regelerstellung im JuNet vertraut gemacht hat und diese direkt und übersichtlich dargestellt sehen möchte, ist weiterhin mit AtGuard gut beraten. Wer den Schutz für ein Windows ME-System benötigt, wer sich unsicher bei der Erstellung geeigneter Firewallregeln fühlt oder einfach die Mühe der Regelverwaltung scheut, kann mit geringem Aufwand sein System durch Norton Personal Firewall 2002 schützen. Funktionell ist Norton Personal Firewall 2002 weitgehend mit der Vorgängerversion Norton Personal Firewall 2001 identisch.

2. Hinweise zur Installation und Konfiguration

1. Vor Installation von NPFW2002 muß eine eventuell bereits installierte, ältere Version durch Deinstallation und Reboot aus dem System entfernt werden (Start - Einstellungen - Systemsteuerung - Software).
2. Im Gegensatz zu allen anderen Windowssystemen wird NPFW2002 unter den Serverversionen von NT und 2000 nicht automatisch nach dem Reboot aktiviert, um Probleme beim Startup zu vermeiden. Auf diesen Systemen wird NPFW wie üblich als Dienst gestartet und kann über den Dienste-Manager auch konfiguriert werden. 
3. Nach der Installation empfiehlt sich die Durchführung eines LiveUpdate, das automatisch alle neueren Komponenten vom Symantec-Server herunterlädt und installiert (Kann auch jederzeit "von Hand" ausgeführt werden).
4. Ebenso sollte zur Vermeidung von Performance-Problemen zum Abschluß der Installation eine Anwendungsprüfung durchgeführt werden.

Die Installation erfolgt wie unter Windows üblich selbsterklärend mit Hilfe eines Assistenten. Nach erfolgter Installation startet automatisch der Sicherheitsassistent, der bereits mit seinen Default-Einstellungen ausreichend Schutz im Internet bietet. Dennoch können zweckmäßigerweise zur weiteren Erhöhung der Sicherheit und bequemeres Arbeiten im eigenen, vertrauenswürdigen Umfeld Netz noch einige Einstellungen verändert werden.  Diese lassen sich jederzeit auch nachträglich durch Doppelklick auf das NPFW-Symbol ändern:

Persönliche Firewall - Persönliche Firewalleinstellungen - Benutzerdefiniert Java-Applets und ActiveX-Objekte nur nach vorheriger Anfrage und Bestätigung ausführen.   Wer genau wissen möchte, was um ihn herum vorgeht, sollte auch die Warnmeldungen bei Zugriff auf ungenützt Anschlüsse aktivieren!

Persönliche Firewall - Internetgruppen Hier können Sie Ihr eigenes, lokales Subnetz und alle Rechner - beispielsweise Ihre eigenen - eintragen, denen Sie absolut vertrauen und freien Zugang zu Ihrem System erlauben (diese Adressen werden von der NPFW-Firewall nicht überprüft!). Auf keinen Fall sollte man hier das gesamte JuNet 134.94.0.0 eintragen!!

Datenschutz - Vertrauliche Info - Hinzufügen Hier können vertrauliche Daten bzw. Teile vertraulicher Daten als Substring eingetragen werden, die nicht ohne vorherige Warnung und explizite Bestätigung über das Internet verschickt werden sollten (Datenausgangsfilter).

	Hauptmenü - Optionen - Erweiterte Optionen Hier können für ausgewählte Internet-Rechner und IP-Domänen veränderte Einstellungen für den Datenschutz und die aktiven Inhalte eingetragen werden. Beispiel: Für fz-juelich.de das Ausführen von Skripten (JavaScript, VisualBasicScript etc.) und  Java-Applets grundsätzlich zulassen.
Die angezeigten Standards für ActiveX und Java werden wie oben gezeigt unter "Sicherheitseinstellungen anpassen" eingestellt. Für alle nicht explizit aufgeführten Domänen gelten die Einstellungen unter der Root-Domäne "(Standard)". Die vom Hersteller eingetragenen Domänen microsoft.com und nortonweb.com können entfernt werden, wenn man Softwareupdates nicht automatisch ausführen läßt, sondern jeweils bei Bedarf "von Hand" initiiert.
	Beispiel: Für fz.juelich.de den Datenschutz für die Standarddaten des Browsers (Browsertyp, Referer und Email-Adresse) abschalten.

Sollte das Firewall beim Systemstart nicht automatisch aktiviert worden sein, im Hauptmenü auf "Optionen" klicken und "Ausführen bei Systemstart" aktivieren. Der Alert-Tracker zeigt am unteren rechten Bildschirmrand Internet-Zugriffe an, hat aber keinen Einfluß auf die Funktion des Firewall. Er kann deshalb jederzeit abgeschaltet werden.

Zum Abschluß der Installation sollte mit "Internet-Zugriffssteuerung - Konfigurieren" noch eine Anwendungsprüfung durchgeführt werden, bei der NPFW alle bekannten Anwendungen automatisch für den Internetzugriff vorkonfiguriert

Nachträglich kann die Zugriffserlaubnis für einzelne Anwendungen jederzeit noch manuell verändert werden

Zum Schluß sollte auf jeden Fall noch einmal der aktuelle Aktivierungszustand des Firewalls im Hauptmenü überprüft werden. Dieser wird auch durch ein veränderliches Symbol in der Taskleiste angezeigt: