TC und F-Secure Internet Security

Peter Zimmermann · Post by *Peter Zimmermann » 2005-07-05, 14:58 UTC

Ich habe Gestern Norton Internet Security durch F-Secure Internet Security ersetzt. Jetzt habe ich Probleme bei FTP verbinden. Nach Klicken auf verbinden bleibt der TC bei "List - Verzeichnis einlesen" stehen. Es tut sich nichts mehr; es hilft nur abbrechen.
Zum Testen habe ich F-Secure Internet Security deinstalliert und siehe da, FTP verbinden funktioniert wieder.

icfu · Post by *icfu » 2005-07-05, 15:15 UTC

Passivmodus aktivieren bzw. Firewall deinstallieren, schau mal hier rein:
http://www.ghisler.ch/board/viewtopic.php?t=7846

Wenn Du nicht in einem LAN bist, kannst Du die Scriptoption "ALL" verwenden, dann brauchst Du den Extraschritt für Port 445 nicht.

Icfu

Peter Zimmermann · Post by *Peter Zimmermann » 2005-07-05, 15:54 UTC

Danke, die Einstellung "Passiven Modus für Transfers verwenden" hat schon geholfen.

Post by *ghisler(Author) » 2005-07-07, 16:08 UTC

Schon eine seltsame Firewall, die nicht mal das FTP-Protokoll kennt.

Gute Firewalls wie die von mir verwendete Agnitum Outpost können das selbverständlich, und öffnen die Ports für den Aktivmodus jeweils nur für die jeweilige FTP-Verbindung (nennt sich stateful packet inspection). F-Secure scheint offenbar nur alle Verbindungen von aussen generell zu blocken...

squeller · Post by *squeller » 2005-07-07, 17:57 UTC

Ghisler: Wie jetzt? Outpost schaut also in den Content hinein, um zu sehen, dass es FTP ist, macht von sich aus Ports nach außen auf? Ausserdem: IMHO hat das Problem mit dem Sperren eingehender Ports nichts zu tun. Das Problem machen zugemachte, ausgehende source ports, weil beim aktiven ftp 20 und 21 niicht ausreichen.
Es sei denn, der OP betreibt einen FTP-Server, aber davon war ja nicht die Rede...

Gute Konzepte sind, Paketfilter und Maschine zu trennen (zum Beispiel mit einer http://m0n0.ch/wall/ auf http://www.soekris.com ist sehr schön, so mache ich das) und auf dem Client erst gar keine ungewollten Dienste anzubieten (http://www.ntsvcfg.de/).

Es ist so einfach, daß es keiner schnallt.

Wirf also Dein Firewallspielzeug nach Erkenntnisgewinn weg.

icfu · Post by *icfu » 2005-07-07, 20:24 UTC

IMHO hat das Problem mit dem Sperren eingehender Ports nichts zu tun. Das Problem machen zugemachte, ausgehende source ports, weil beim aktiven ftp 20 und 21 niicht ausreichen.

Das ist hier nicht zutreffend, da Peter auf den Server verbinden konnte, lediglich die Datenverbindung kam nicht zustande. Ports >1023 fallen als Fehlerursache daher aus. Die sind bei Desktopfirewalls auch nicht realistisch, da jeder DAU die Frage, ob der TC ins Internet verbinden dürfen soll, (leider) bejahen wird, denn das erste, was ein PFW-Anwender lernt, ist die nervenden Dialogboxen immer fleißig mit OK zu beantworten, da es sonst Verbindungsprobleme gibt.

Mit dem Rest hast Du natürlich Recht.

Icfu

Post by *ghisler(Author) » 2005-07-11, 10:19 UTC

Wie jetzt? Outpost schaut also in den Content hinein, um zu sehen, dass es FTP ist, macht von sich aus Ports nach außen auf?

Ganz genau! Allerdings fragt es vorher 1x nach. Man kann dann folgende Konfiguration wählen:

Wenn das Protokoll ist TCP
und Wo das Ziel ist Ausgehend
und Wenn der Remote Port ist FTP
Erlaube es
und aktiviere Stateful Inspection

Dieses "Stateful Inspection" beobachtet das FTP-Protokoll, und gibt nur die angeforderten Ports frei. Meine Hardware-Firewallappliance kann das übrigens auch...