In diesem Abschnitt können Sie definieren, wie die Firewall-Engine den Datenverkehr auf Ihrem Computer bei Anschluss an ein Netzwerk verwaltet. Außerdem werden erweiterte Optionen zur Modulanpassung bereitgestellt, die Ihnen die Einstellung des Moduls auf Ihre persönlichen Sicherheitsanforderungen oder die Netzwerkkonfiguration ermöglichen.
Die Angaben der Registerkarte Sicherheit stehen in direktem Zusammenhang mit dem Schutz gegen Netzwerkangriffe, den die BullGuard Firewall bietet. Über die Optionen auf dieser Registerkarte können Sie die Erkennung von Angriffen durch die Firewall an die Spezifikationen Ihres Netzwerks anpassen.
Firewall-Regeln weiter anwenden, wenn BullGuard geschlossen ist: Damit wird die Funktion der Firewall auch nach dem Schließen der Anwendung aufrechterhalten. Beachten Sie, dass dies zu Problemen mit Anwendungen führen kann, die nicht in der Liste mit Anwendungen stehen, die Zugriff auf das Netz zu erhalten versuchen.
Da BullGuard abgeschaltet ist und nur die Firewall-Engine im Hintergrund ausgeführt wird, wird keine Benutzerschnittstelle geladen und es gibt keine sichtbaren Pop-Up-Fragen der Firewall.
Da Sie nur eine begrenzte Zeitdauer für die Beantwortung der Pop-Ups haben, diese aber wegen der nicht geladenen Schnittstelle nicht sehen können, ergreift die Firewall die Standardmaßnahme und blockiert die Programme, die nicht in der Anwendungsliste stehen. Wenn Sie über eine gut definierte Anwendungsliste verfügen, blockiert die Firewall die notwendigen Anwendungen selbstverständlich nicht.
Angriffserkennung aktivieren: Ermöglicht oder verhindert, dass die BullGuard Firewall Netzwerkangriffe blockiert. Es wird empfohlen, diese Option immer aktiviert zu halten.
Erkennen, wenn Programme modifiziert werden: Diese Funktion ermöglicht BullGuard zu erkennen, wenn ein Programm aus der Anwendungsliste geändert worden ist. Sie werden daher gefragt, ob Sie die Anwendung weiterhin zulassen oder blockieren möchten.
Diese Option ist sehr nützlich, da sie verhindert, dass eine gekaperte Anwendung sich ohne Ihre Zustimmung eine Verbindung zum Internet verschafft. Sie funktioniert am besten in Zusammenarbeit mit dem Echtzeitscanner des Antivirusmoduls, weil so ein maximaler Schutz für die Sicherheit Ihres Computers geschaffen wird.
Die Firewall erkennt auch, wenn eine Anwendung versucht, ein Programm zu ändern, das mit dem Internet verbunden ist, und fragt Sie, ob Sie dies zulassen möchten. Sie sollten jedoch auch daran denken, dass Softwareaktualisierungen(wie z. B. die regelmäßigen Aktualisierungen von Windows) Programme ändern können. In solchen Fällen sollten Sie den geänderten Programmen weiterhin den Zugang zum Internet erlauben.
Angriffserkennung
Das Angriffserkennungssystem ist das Herzstück der Firewall.
Angriffserkennungseinstellungen
BullGuard blockiert eine Vielzahl von Netzwerkangriffen. Aufgrund von bestimmten Anforderungen an Netzwerk und Geräte-Konfigurationen können einige aus dem Internet empfangene Informationen eine unrichtige Warnung vor einem Angriff auslösen (sog. „falsche Positive“). Aus diesem Grund können Sie die Angriffsparameter der Firewall so bearbeiten, dass sie mit den Eigenschaften Ihres Netzwerks übereinstimmen.
Schaltfläche Konfigurieren für: Port Scans erkennen, Single Port Scans erkennen und Denial-of-Service-Angriffe erkennen: Hier können Sie die Empfindlichkeit der Firewall im Hinblick auf solche Angriffe einstellen.
Erweiterte ARP-Schutzeinstellungen konfigurieren: Hier können Sie die Empfindlichkeit der Angriffserkennung für ARP-Scans einstellen.
Vertrauenswürdige Hosts von Angriffserkennung ausschließen: Alle auf der Liste der vertrauenswürdigen Hosts aufgeführten IP-Adressen werden von Kontrollen durch die Angriffserkennung ausgenommen.
Eindringliche blocken (Sekunden): Für jeden erkannten Angriff können Sie die Firewall so einrichten, dass die Herkunfts-IP für eine bestimmte Zeitdauer geblockt wird.
Angriffstypen
Port-Scans erfassen: Dies ermöglicht der Firewall die Erfassung von Port-Scans, die eigentlich keine Angriffe, sondern eine übliche Vorgehensweise vor einem Angriff sind. Es handelt sich dabei um einen Versuch herauszufinden, welche Ports an Ihrem Computer offen sind.
Single port scan attack: Ebenfalls eine Art von Angriff, bei der versucht wird, herauszufinden, welche Ports auf dem Zielcomputer offen sind. Auch dies ist selbst noch kein direkter Angriff, aber ist gewöhnlich die Vorbereitung eines Angriffs.
Denial of Service- (DoS) Angriffe erfassen: Die Firewall kann damit einen Angriff erfassen und verhindern, der die Dienste eines Netzwerks sowie Ressourcen für die Zielgruppe der Benutzer nicht erreichbar macht. DoS oder DDoS (Distributed Denial of Service-Angriffe) können auf verschiedene Weise zustande kommen: Teardrop-Attacken, ICMP-Angriffe, Nuke-Angriffe, verteilte Angriffe. Dies sind einige der verräterischen Anzeichen für solche Angriffe: niedrige Netzwerkleistung, kein Zugang zu Netzwerkressourcen (Server, Drucker, gemeinsam genutzte Dateien, Netzwerkzeuge/Anwendungen), schlechte Computerleistung. In einigen Fällen verursachen DoS-Angriffe eine hohe CPU-Aktivität, durch die das Betriebssystem abstürzt.
Spoofing der IP-Adresse erkennen: Erkennt und blockiert Netzwerk-Datenpakete vor Angreifern, die versuchen, sich durch Fälschen der IP-Adresse der Netzwerkpakete als vertrauenswürdige Computer auszugeben.
IP-Adressendiebstahl erfassen:Damit wird Ihr Computer vor Angreifern geschützt, die IP-Adressen aus dem Netzwerk duplizieren könnten, damit sich das Betriebssystem aufhängt oder abstürzt. Diese könnten dem angegriffenen Computer auch den Zugriff auf Netzwerkressourcen oder Serviceleistungen verweigern, indem falsche ARP-Pakete gesendet werden, mit denen sie aber die „Identität“ des angegriffenen Computer stehlen würden.
ARP-Scan erfassen: Dies ermöglicht der Firewall die Erfassung von ARP-Scans, mit denen der Angreifer sich als ein anderer Computer/Server ausgibt und versucht, den Angegriffenen zum Senden von Informationen zu überlisten. Dieser Angriffstyp verursacht aufgrund der ARP-Manipulation Verzögerungen bei der Datenübertragung oder Denial of Service für die betroffenen Geräte. Auf diese Weise können wichtige und vertrauliche Daten (Chat-Sitzungen, E-Mails) abgefangen werden.
Fragmentierter ICMP-Angriff: Die Firewall erfasst alle Angreifer, die versuchen, fragmentierte ICMP-Pakete zu senden und damit Sicherheitsmaßnahmen zu umgehen.
Fragmentierter IGMP-Angriff: Die Firewall erfasst alle Angreifer, die versuchen, fragmentierte IGMP-Pakete zu senden und damit Sicherheitsmaßnahmen zu umgehen.
Kurzfragment-Angriff: Damit wird sichergestellt, dass die Firewall die in DoS-Angriffen verwendeten Pakettypen erkennt. Die Pakete sind absichtlich so geändert, dass sie kleiner als die regulären Pakete sind, damit sie von Sicherheitssystemen (Hardware- oder Software-Firewalls) nicht erfasst werden.
„1234“-Angriff: Dies ermöglicht der Firewall die Erfassung von Angriffen des Typs ICMP aufgrund gesendeter fehlerhafter ICMP-Zeitstempel.
Überlappender Fragment-Angriff: Die Firewall hindert Angreifer daran, fragmentierte Pakete mit sich überlappenden Informationen in der Absicht zu senden, das System zu schwächen und für einen Angriff verwundbar zu machen. Diese Vorgehensweise ist für gewöhnlich bei Teardrop-Attacken zu beobachten.
WinNuke-Angriff: Diese Option schützt Ihren Computer vor einem Angriff mit einem OOB- (Out of Band) Paket, das zur Sperre des Computers und einem blauen BSOD-Bildschirm (Blue Screen of Death) führen würde. Dieser Angriff würde zwar die Daten auf der Festplatte nicht beschädigen, aber zum Verlust aller vor dem Angriff nicht gespeicherten Daten führen. Diese Art von Angriff war typisch für die frühen Windows-Versionen (Windows 95, alte NT-Versionen und Windows 3.11).
Teardrop-Attacke: Damit verhindert die Firewall, dass Angreifer eigene, größenveränderte Fragmente senden können, die sich überlappen. Eine Schwachstelle im TCP-Protokoll führte zu einer schlechten Handhabung solcher Pakete. Dieser Angriff ist typisch für Windows 3.11, 95 und alte Versionen von Windows NT und Linux.
Nestea-Angriff: Damit wird der Computer vor einer Linux-spezifischen Netzwerkattacke geschützt, die einer Teardrop-Attacke ähnelt. Diese Art von Angriff nutzte die Schwachstelle bei der Defragmentierung von Netzwerkpaketen bei älteren Linux-Versionen aus.
Ice Ping-Angriff: Diese Option ermöglicht es der Firewall zu erkennen, ob Windows mit ICMP-Paketen falsch umgeht, die in eine große Anzahl kleiner Fragmente unterteilt sind. Normalerweise stürzt der Computer ab, wenn die kleineren Pakete wieder zusammengesetzt werden.
OpenTear-Angriff: Die Firewall schützt Ihren Computer vor einer Angriffsart, die zufällig manipulierte IPs verwendet, um beliebige Ports des Zielcomputers mit zufallsfragmentierten UDP-Paketen zu überschwemmen, die zum Absturz des Betriebssystems für Windows 95, 98, NT 2000 führen.
IGMPSYN-Angriff: Damit kann die Firewall dieser allgemeinen Denial-of-Service-Technik entgegenwirken.
Option für falsch formatierte IP: Die Firewall hindert Angreifer daran, ein Paket einem mit umfangreichen IP-Optionenfeld zu senden, das einen Pufferüberlauf im TCP/IP-Stapel generiert. Damit besteht die Möglichkeit, dass bösartige Codes auf dem Zielcomputer ausgeführt werden und eine erhöhte Netzwerkaktivität entsteht, die den Datenverkehr im Netz extrem verlangsamt.
Moyari13-Angriff: Hiermit wird der Computer vor Angriffen des Typs ICMP geschützt, in denen der Angreifer einen illegalen ICMP-Zeitstempel sendet. Nach dem Empfang eines solchen Pakets stürzt der Computer ab (das Netzwerk reagiert nicht mehr). Der Angriff wurde gegen Windows 95/98 verwendet.
FAWX-Angriff: Damit kann die Firewall einen Denial-of-Service-Angriff des Typs IGMP verhindern, der Betriebssysteme von Windows 95, 98 oder NT lahmlegt.
FAWX2-Angriff: Die Firewall schützt Ihr System vor einer Angriffsart, die beliebige Junk-Pakete sendet, die den Port 139 überschwemmen und unter Windows 95, 98 oder 2000 blaue Bildschirmanzeigen verursachen.
KOX-Angriff: Damit kann die Firewall einen Denial-of-Service-Angriff des Typs IGMP erfassen, der Betriebssysteme von Windows 95, 98 oder NT lahmlegt.
Angriffserkennungsparameter
In diesem Abschnitt können Sie eine Feinabstimmung der Empfindlichkeit der Firewall in Bezug auf Port-Scans, Einzel-Port-Scans und Denial-of-Service vornehmen. Dies geschieht wie folgt:
Je empfindlicher die Firewall reagiert, um so schneller erfolgt eine Warnung, und die Angreifer-IP wird für die Standarddauer (300 Sekunden) geblockt, obwohl dadurch die Chancen steigen, dass es zu einer „falsch-positiven“ Angriffserkennung kommt.
Je unempfindlicher die Firewall ist, desto schwerer wird eine Angriffswarnung ausgelöst. Falsche Positiverkennung können dadurch fast bis auf null verringert werden. Allerdings kann dadurch auch die Sicherheit Ihres Computers aufs Spiel gesetzt werden.
Die Standardeinstellung der Firewall sorgt für ein Gleichgewicht zwischen einem strengen Sicherheitssystem und eine niedrigen Quote von falsch-positiv erkannten Werten sowie fast keiner Behinderung des Datenverkehrs im Netz. Aufgrund der kontinuierlichen Filterung des Datenverkehrs im Netz ist eine geringfügige Minderung der Verbindungsgeschwindigkeit zu erwarten. Falls jedoch größere Geschwindigkeitsunterschiede auftreten, empfehlen wir Ihnen, sich mit dem BullGuard-Supportteam in Verbindung zu setzen.
Die Angriffswarnungen bei Port-Scans werden auf Basis von Quoten ausgelöst. Den Ports wird eine ihrer Empfindlichkeit entsprechende spezifische Gewichtung (Bedeutung) zugewiesen. Ein Port-Scan-Angriff wird ausgelöst, wenn eine bestimmte Punktzahl (ein Standard- oder benutzerdefinierter Wert) erreicht wird.
Dieses Verfahren weist aufgrund der Anpassbarkeit der Firewall Vorteile auf, da Sie sie so einrichten können, dass eine falsch-positive Angriffserkennung vermieden wird.
Die Ports haben standardgemäß bestimmte Punktwerte. Ein offener Port zählt 0, weil niemand beschuldigt werden kann, den Port unberechtigt zu scannen, wenn er sowieso offen ist (sogar Websites können zur Optimierung der Datenübertragung einen kurzen Port-Scan durchführen). Ein geschlossener Port hat die Punktzahl 1 oder mehr, je nach seiner Wichtigkeit. Normalerweise schließt die Firewall alle Ports, die nicht genutzt werden.
Eine Angriffswarnung wird aufgrund einer während eines bestimmten Zeitraums erreichten Punktzahl ausgelöst.
Zeitlimit: Wenn die Bedingungen über eine vorgegebene Zeitdauer erfüllt werden, wird die Warnmeldung ausgelöst. Der Standardwert beträgt 600 m, kann aber geändert werden.
Punktesystem: Wenn ein Computer/Server in weniger als 600 ms sechs geschlossene Ports scannt, wird dies als Angriff angesehen und eine Warnung vor einem Port-Scan ausgegeben. Die Firewall berücksichtigt bei der Bewertung, ob die gescannten Ports offen oder geschlossen sind. Wenn der Gesamtwert über dem eingestellten Wert (standardgemäß 6) liegt, wird eine Warnung ausgelöst.
Bei der Konfiguration der Parameter für die Angriffserkennung haben Sie die Möglichkeit, benutzerdefinierte Werte für sensible Ports einzugeben, denen BullGuard dann mehr Aufmerksamkeit schenken wird. Wenn der Angreifer einen besonders sensiblen Port scannt, wird die Warnung schneller ausgelöst und er wird eher gesperrt.
Um die Liste der besonders wichtigen Ports zu bearbeiten, klicken Sie im Fenster Erweiterte Port-Scan-Parameter die Schaltfläche Konfigurieren.
Um der Liste einen neuen Port hinzuzufügen, klicken Sie einfach auf +, geben anschließend die Portnummer ein und klicken auf OK.
Erweiterte ARP-Schutzeinstellungen konfigurieren
Mit dieser Funktion kann BullGuard Angriffe durch infizierte Computer oder Server erkennen und so die Sicherheit Ihres Computers steigern.
Blockieren unerbetener ARP-Pakete: Dies ist eine weitere Sicherheitsfunktion, mit der alle potenziell gefährlichen ARP-Pakete, die nicht zuvor von einer Anwendung auf Ihrem Computer angefordert wurden, blockiert werden. In der Regel werden unerbetene ARP-Pakete von infizierten Computern oder von Angreifern, die sich als Server oder andere Computer aus Ihrem Netzwerk ausgeben, geschickt. So wird versucht, den Computer dazu zu bringen Kommunikationsports zu öffnen.
Vor gekaperten Gateways schützen: Schützt Sie vor gefährdeten Gateway-Servern.
Vor kopierten IP-Adressen schützen: Wenn für einen Computer in einem Netzwerk eine neue IP-Adresse eingestellt wurde, überträgt der Computer diese Information über das Netzwerk. BullGuard liest diesen Verkehr mit, und wenn die IP-Adresse mit der Ihres Computers identisch ist, werden die Datenpakete blockiert. Einige Betriebssysteme „hängen sich auf“ beim Versuch, solche Datenpakete zu lesen. BullGuard hindert deshalb die Daten daran, das Betriebssystem zu erreichen.
Erkennen, wenn Programme modifiziert werden
Diese Funktion ermöglicht BullGuard zu erkennen, wenn ein Programm aus der Liste der Anwendungen geändert wurde und die Firewall wird Sie fragen, ob dem Programm weiterhin der Netzzugang erlaubt sein oder es blockiert werden soll. Diese Option ist sehr nützlich, da sie verhindert, dass eine gekaperte Anwendung sich ohne Ihre Zustimmung eine Verbindung zum Internet verschafft. Sie funktioniert am besten in Zusammenarbeit mit dem Echtzeitscanner des Antivirusmoduls, weil so ein maximaler Schutz für die Sicherheit Ihres Computers geschaffen wird.
Außerdem wird die Firewall erkennen, wenn eine Anwendung versucht, ein Programm zu ändern, das eine Verbindung zum Internet hat. Sie wird Sie dann fragen, ob Sie die Verbindung weiterhin zulassen möchten. Sie sollten jedoch auch daran denken, dass Softwareaktualisierungen (wie z. B. die regelmäßigen Aktualisierungen von Windows) Programme ändern können. In solchen Fällen sollten Sie den geänderten Programmen weiterhin den Zugang zum Internet erlauben.