Tipps: Unerlaubte Zugriffe aus dem Internet verfolgen (CHIP 7/2002)

Unerlaubte Zugriffe aus dem Internet verfolgen

Windows XP verfügt über eine interne Internet-Verbindungs-Firewall. Damit können Sie Ihren Computer vor unerlaubten Zugriffen aus dem Internet schützen. Allerdings arbeitet diese Firewall zunächst vollkommen unsichtbar: Wenn Windows XP einen Zugriffsversuch aus dem Internet verweigert, erscheint keine Meldung. Sie möchten es aber erfahren, wenn jemand versucht, auf Ihren Computer zuzugreifen.

Die Internet-Verbindungs-Firewall von Windows XP protokolliert abgeblockte Zugriffsversuche aus dem Internet in einem Sicherheitsprotokoll. Dieses Protokoll schreibt die Firewall in die Textdatei PFIREWALL.LOG, die Sie im Installationsverzeichnis von Windows finden. Sie können diese Datei mit jedem beliebigen Texteditor öffnen.

Das Sicherheitsprotokoll ist in zwei Abschnitte unterteilt. Im ersten Teil, dem »Vorspann«, finden Sie allgemeine Informationen wie die Version des Sicherheitsprotokolls und die Bezeichnungen der im zweiten Abschnitt aufgeführten Daten. Der zweite Abschnitt nennt sich »Rumpf«; hier protokolliert das Betriebssystem die von der Firewall tatsächlich verfolgten Aktivitäten. Dabei spendiert Windows jeder Aktivität im Protokoll eine eigene Zeile, die jeweils mit dem Datum und der Uhrzeit beginnt.

Für verwehrte Zugriffe aus dem Internet müssen Sie die Zeilen betrachten, in denen nach Datum und Uhrzeit als dritte Information die Aktion »DROP« steht. Beim nächsten Eintrag handelt es sich um das bei der Datenübertragung verwendete Protokoll. Besonders interessant sind allerdings die dann folgenden Informationen: Direkt nach dem verwendeten Protokoll zeigt Windows die IP-Adresse des Computers, von dem aus der Zugriff erfolgen sollte, direkt gefolgt von der IP-Adresse des Zielrechners dieser Datenübertragung.

Falls Sie auf Ihrem System keine Datei namens PFIREWALL.LOG finden, können Sie den Namen der von Windows XP genutzten Datei wie folgt ermitteln: Öffnen Sie zuerst mit dem Befehl »Start | Verbinden mit | Alle Verbindungen anzeigen« das Fenster »Netzwerkverbindungen«. Klicken Sie dann mit der rechten Maustaste auf die durch die interne Firewall geschützte DFÜ-Verbindung und rufen Sie den Kontextbefehl »Eigenschaften« auf. Im Register »Erweitert« des gleichnamigen Dialoges klicken Sie auf die Schaltfläche »Einstellungen«. Im folgenden Dialog »Erweiterte Einstellungen« finden Sie im Register »Sicherheitsprotokollierung« den Abschnitt »Protokolldateioptionen« und dort unter »Name« die von Windows aktuell benutzte Log-Datei. Hier können Sie bei Bedarf den Ordner und Dateinamen zur Ablage des Sicherheitsprotokolls beliebig ändern; klicken Sie dazu einfach auf die Schaltfläche »Durchsuchen«.

! Achtung: Damit die Firewall abgeblockte Zugriffsversuche auch protokolliert, muss im Dialog »Erweiterte Einstellungen« der entsprechenden DFÜ-Verbindung im Register »Sicherheitsprotokollierung« die Option »Verworfene Pakete protokollieren« aktiviert sein.

Wenn Sie zusätzlich die Option »Erfolgreiche Verbindungen protokollieren« aktivieren, speichert Windows XP auch die erfolgreichen Verbindungen. Erfahrungsgemäß führt der Einsatz dieser Option allerdings schnell zu einer unüberschaubaren Anzahl von Einträgen im Sicherheitsprotokoll.