Tips: Unerlaubte Zugriffe aus dem Internet verfolgen (CHIP 07/2002)

Unerlaubte Zugriffe aus dem Internet verfolgen

Windows XP verfⁿgt ⁿber eine interne Internet-Verbindungs-Firewall. Damit k÷nnen Sie Ihren Computer vor unerlaubten Zugriffen aus dem Internet schⁿtzen. Allerdings arbeitet diese Firewall zunΣchst vollkommen unsichtbar: Wenn Windows XP einen Zugriffsversuch aus dem Internet verweigert, erscheint keine Meldung. Sie m÷chten es aber erfahren, wenn jemand versucht, auf Ihren Computer zuzugreifen.

Die Internet-Verbindungs-Firewall von Windows XP protokolliert abgeblockte Zugriffsversuche aus dem Internet in einem Sicherheitsprotokoll. Dieses Protokoll schreibt die Firewall in die Textdatei PFIREWALL.LOG, die Sie im Installationsverzeichnis von Windows finden. Sie k÷nnen diese Datei mit jedem beliebigen Texteditor ÷ffnen.
Das Sicherheitsprotokoll ist in zwei Abschnitte unterteilt. Im ersten Teil, dem ╗Vorspann½, finden Sie allgemeine Informationen wie die Version des Sicherheitsprotokolls und die Bezeichnungen der im zweiten Abschnitt aufgefⁿhrten Daten. Der zweite Abschnitt nennt sich ╗Rumpf½; hier protokolliert das Betriebssystem die von der Firewall tatsΣchlich verfolgten AktivitΣten. Dabei spendiert Windows jeder AktivitΣt im Protokoll eine eigene Zeile, die jeweils mit dem Datum und der Uhrzeit beginnt.
Fⁿr verwehrte Zugriffe aus dem Internet mⁿssen Sie die Zeilen betrachten, in denen nach Datum und Uhrzeit als dritte Information die Aktion ╗DROP½ steht. Beim nΣchsten Eintrag handelt es sich um das bei der Datenⁿbertragung verwendete Protokoll. Besonders interessant sind allerdings die dann folgenden Informationen: Direkt nach dem verwendeten Protokoll zeigt Windows die IP-Adresse des Computers, von dem aus der Zugriff erfolgen sollte, direkt gefolgt von der IP-Adresse des Zielrechners dieser Datenⁿbertragung.
Falls Sie auf Ihrem System keine Datei namens PFIREWALL.LOG finden, k÷nnen Sie den Namen der von Windows XP genutzten Datei wie folgt ermitteln: ╓ffnen Sie zuerst mit dem Befehl ╗Start | Verbinden mit | Alle Verbindungen anzeigen½ das Fenster ╗Netzwerkverbindungen½. Klicken Sie dann mit der rechten Maustaste auf die durch die interne Firewall geschⁿtzte DF▄-Verbindung und rufen Sie den Kontextbefehl ╗Eigenschaften½ auf. Im Register ╗Erweitert½ des gleichnamigen Dialoges klicken Sie auf die SchaltflΣche ╗Einstellungen½. Im folgenden Dialog ╗Erweiterte Einstellungen½ finden Sie im Register ╗Sicherheitsprotokollierung½ den Abschnitt ╗Protokolldateioptionen½ und dort unter ╗Name½ die von Windows aktuell benutzte Log-Datei. Hier k÷nnen Sie bei Bedarf den Ordner und Dateinamen zur Ablage des Sicherheitsprotokolls beliebig Σndern; klicken Sie dazu einfach auf die SchaltflΣche ╗Durchsuchen½.
! Achtung: Damit die Firewall abgeblockte Zugriffsversuche auch protokolliert, muss im Dialog ╗Erweiterte Einstellungen½ der entsprechenden DF▄-Verbindung im Register ╗Sicherheitsprotokollierung½ die Option ╗Verworfene Pakete protokollieren½ aktiviert sein.
Wenn Sie zusΣtzlich die Option ╗Erfolgreiche Verbindungen protokollieren½ aktivieren, speichert Windows XP auch die erfolgreichen Verbindungen. ErfahrungsgemΣ▀ fⁿhrt der Einsatz dieser Option allerdings schnell zu einer unⁿberschaubaren Anzahl von EintrΣgen im Sicherheitsprotokoll.