Firewall im lokalen Netz

[rfbdoc]

Unter Windows2003Server kann man im lokalen Netz auf dem Server die Windows Firewall aktivieren.

Welche Ausnahmen müssen zugelassen werden, damit Clients und Server unter TurboMed arbeiten können ?

Sicherlich TurboMed.exe und Fastobjektserver.

Bei eingeschalteter Firewall auf dem Server2003 taucht auch wieder der Ventariopfad Fehler auf. Welches Programm verbirgt sich dahinter ?

Welche weiteren Ausnahmen sollten zugelassen werden ?

[wahnfried]

...feste IP-Adressen vergeben und diese als IP-Bereich der Sicheren Zone zugehörig deklarieren, sofern der Firewall dies zulässt (so geht's bei ZoneAlarm, der auch den Netzwerk-Traffic mit kontrolliert), danach keinerlei Trouble mehr. (Ggfs. ZoneAlarm statt Windows-Firewall installieren.)

Wahnfried

[Thomas]

Ich persönlich sehe das mit den Firewalls im lokalen Netz so:

a) Damit das Netzwerk funktioniert, muss man ja die Windows Freigaben und andere Dienste aktivieren. Das reisst Löcher so groß wie Scheunentore.

b) Man muss lange herumfummeln, bis man alle Programme zum Laufen hat und wundert sich doch manchmal über seltsames Verhalten, weiss dann nie, ob man nicht doch noch was vergessen hat oder das Programm einfach nur Fehler macht.

c) Bei den Personal Firewalls (Zone Alarm & Co.) wird der Anwender regelmäßig mit Pop-Ups konfrontiert, ob er dieses oder jenes Programm zulassen will. Mal ehrlich - wer schaut sich schon den Speicherort und die Signaturen der betroffenen Programmodule an und vergleicht das mit Herstellerdaten um sicher zu gehen, dass das Programm legitim ist und nicht einfach mit dem Namen eines wohlbekannten Windows-Teils (quasi unter falscher Flagge) ins Internet will??? Man lässt es also in der Regel zu.

d) Ein ordentlicher Router sowieso sämtliche eingehenden Anfragen pauschal ablehnt, es kann von der Seite also sowieso nichts ins Netz.

Deshalb spare ich mir den Stress und schalte innerhalb des Netzes alle Firewalls ab.

Wie gesagt, das ist meine Ansicht. Darüber kann man vortrefflich philosophieren... (Gleich vorab: Innerhalb eines großen Firmennetzes kann ich mir Firewalls durchaus vorstellen, um Sicherheitshierarchien abzubilden, aber diese Situation ist in unseren Praxen wohl nicht gegeben.)

Viele Grüße,
Thomas

[JR]

Zu Ventario: Wenn man mit dem Process Explorer von Sysinternals die ventario.dll sucht, so zeigt sich dass diese von TurboMed.exe aufgerufen wird. An Informationen kann weiterhin entnehmen, dass die Datei von der CompuGroup Group stammt und die verwendeten Strings enthalten Angaben wie "Arzneiempfehlung" und "Handlungsempfehlungen", "Promotion" etc. Ich glaube hier im Forum wurde einmal erwähnt, das die ventario.dll für bestimmte Versorgungsverträge benötigt werde.

Zur Firewall: Bei Kaspersky geht es ähnlich wie bei Zonealarm. Die Windows Firewall habe ich abgeschaltet (bei mir sowieso nur XP). Die meisten Software-Firewalls haben einen Lernmodus, bei dem jede Programmanfrage einzeln signalisiert und das Vorgehen abgefragt wird, meiner Erinnerung nach auch die Windows Firewall. Nach ein paar Tagen hat man dann fast alles im Überblick.

MfG - JR

[JR]

Zu Thomas:
Nach allem, was man liest, genügt ein Router, um eingehende Bedrohungen von außen abzublocken.
Der Sinn einer zusätzlichen Software-Firewall auf dem Einzelplatzrechner im Netzwerk ist nach meinem Ermessen vor allem, unerwünschte ausgehende Aktivität zu blocken. So hatte ich einmal auf einem Computer trotz Antivirusprogramm (ich gebe zu, vor längerer Zeit) einen Keylogger, der Passwörter verschlüsselt abspeicherte. Das Versenden dieser Passwort-Datei wurde von der damals installierten Software-Firewall blockiert und gemeldet (es war Zonealarm). Es war möglich, diese Datei zu entschlüsseln und einzusehen und tatsächlich waren die eingetippten Benutzer und Passwörter enthalten. Ich konnte sogar den Absender der E-Mail nachvollziehen. Es war ein großer Wohlfahrtsverband vor Ort. Ich habe dort angerufen und von der Geschäftsführerin gehört, dass das Computernetz dort tagelang blockiert war.

MfG -JR

[Thomas]

Hallo JR,

das freut mich sehr! Aber wie gesagt, mein Rat war mehr an die breite Masse gerichtet. Nehmen wir ruhig Ihren Fall als Beispiel: Nehmen wir an, der Keylogger wäre nicht so dumm, sich Keylogger.exe zu nennen, sondern svchost.exe, ie.exe, usw. (das das dürfte für die Mehrzahl der Schadprogramme gelten). Nehmen wir dann an, der Otto-Normaluser würde von seiner Firewall gefragt werden, ob er ie.exe den Zugriff auf's Internet erlauben würde. Jetzt können 4 Dinge passieren:

a) Die Warnung ist gerechtfertigt, kommt also von einem "getarnten" Schadprogramm, der Benutzer ist qualifiziert und erkennt das (!) lehnt ab und das Programm wurde gestoppt. Gut. Das ist der Idealfall.

b) Die Warnung ist nicht gerechtfertigt, kommt also von einem legitimen Programm, der Benutzer erkennt das (!) und lässt zu. Das System funktioniert so gut wie vorher. Gut. Oder Glück gehabt.

c) Die Warnung ist gerechtfertigt, kommt also von einem "getarnten" Schadprogramm, der Otto-Normalbenutzer erkennt das nicht und lässt das Programm zu. Nicht Gut. Man hätte sich die Firewall auch sparen können.

d) Die Warnung ist nicht gerechtfertigt, kommt also von einem legitimen Programm, der Benutzer hat Panik und lässt das Programm nicht zu. Das System funktioniert nicht mehr. Die Ursachen dafür sind nicht bekannt. Der Otto-Normalbenutzer holt sich seinen externen Techniker und lässt den den Fehler wieder (kostenpflichtig) reparieren. Man hätte sich die Firewall sparen SOLLEN

Jetzt bewerte jeder für sich, wie er in dem Fall reagiert hätte und kann dann entscheiden, ob er eine Firewall haben will - jeder für sich, denn eine allgemeingültige Aussage wird es hier nicht geben.

Viele Grüße,
Thomas

[wahnfried]

Hallo,

ich habe bei solchen Anfragen üblicherweise erstmal "abgelehnt", ohne dies gleich in die Einstellungen zu speichern, um zu sehen, wie das Programm reagiert, das ich gerade benutze. Wenn die Funktionalität dadurch nicht beeinträchtigt ist, kann man bei der nächsten Anfrage die Entscheidung sichern/abspeichern lassen, sonst Klärung der Hintergründe.

Auch achte ich darauf bei welcher Aktivität eine Firewall-Meldung auftritt. Wenn ich mit TurboMed arbeite, lehne ich Anfragen an das Internet eben immer ab (Hier kein TurboMed-net... ). Wenn ich im Internet bin, muß ich halt mal den Grips bemühen.

Was nicht heißen soll, daß ich den bei der Arbeit mit TurboMed nicht bemühe... (aber eben gezielter ).

Viele Grüsse, Wahnfried

[rfbdoc]

Nachdem ich mit der Windows2003Server Firewall unter verschieden Einstellungen TurboMed meist lahm gelegt habe, werde ich mich vorerst auf die Variante mit der ausgeschalteten Firewall im lokalen Netz einlassen.

Aber zu Thomas: Was heisst ein ordentlicher Router lehnt sowieso sämtliche eingehenden Anfragen pauschal ab. Da habe ich mangels hinreichender Kenntnis doch Zweifel. Einfach via Router aus dem lokalen Netz ins Internet ?

[Thomas]

Hallo, rfb,

was ich meine ist, dass ein (jeder) Router im Normalzustand keinerlei Anfragen aus dem Internet ins lokale Netzwerk lässt. Von dieser Seite her kommt also sowieso niemand ins Netz, was Firewalls auf den Rechnern hinter dem Router (also im lokalen Netz) erübrigt. Das Attribut "ordentlich" zum Router füge ich sicherheitshalber dazu, weil der Router natürlich a) eine fehlerfreie Firmware haben sollte, die keine Schlupflöcher hat (das nehmen wir mal der Einfachheit halber an) und b) so sicher wie möglich konfiguriert ist, also mit Passwort auf der Konfigurationsoberfläche, UPNP ausgeschaltet, usw.

Anders sah das aus, als man PCs moch direkt mit einem DSL Modem ins Internet hing, denn da wäre der PC ohne Software-Firewall hilflos allen Schädlingen ausgeliefert. Nun, mit Router als "Bollwerk", prallt erstmal alles daran ab. Die verbleibende Gefahr kommt i.d.R. "nur" noch aus dem lokalen Netz, d.h. wenn ein PC erst einmal verseucht ist, kann er treiben, was er will - auch Verstärkung aus dem Internet herunterladen, denn das sind ausgehende Verbindungen die ein Router standardmäßig ungefiltert passieren lässt. Hier können Software-Firewalls jeder Art einen gewissen Schutz bieten - aber eigentlich ist das Kind dann eh schon im Brunnen...

Aber wie schonmal gesagt, das ist eine Philosophie-Frage aus der EDV, da kann man sich vortrefflich die Köpfe darüber heißreden

Viele Grüße und eine frohe Vorweihnachtszeit
Thomas

Viele Grüße,
Thomas

[Igel]

Hallo,

die Einrichtung der Firewall auch für die verschiedenen Versionen von 2003 ist m.E. ganz gut beschrieben in
http://www.hanser.de/buch.asp?isbn=978-3-446-40057-3

Wer einen Server bzw. Router selbst betreibt, sollte sich wenigstens ein Buch zum Nachschlagen besorgen, damit erspart man sich auch wochenlanges Grübeln über die oft widersprüchlichen guten Ratschläge der verschiedenen Experten. Ich finde obiges viel praxisrelevanter als das offizielle von Microsoft zu SBS 2003 (das hat eigentlich nur genervt anstatt Hilfe zu den Fragen zu geben). Zu vielen anderen Problemen aus dem Forum wird darin übrigens auch grundlegend Stellung bezogen.
Wenn man beim Lesen Verständnisprobleme oder Unmut über den Umfang hat, würde ich das ganz vorsichtig als Zeichen werten, die Administration zumindest des Servers abzugeben.

viele Grüße vom Igel