Moin!

bei mir will kernel32.dll öfter eine Verbindung ins Internet aufbauen. Ich verbiete ihm das immer über die Sygate Personal Firewall. Ich wüsste aber doch ganz gerne, was kernel32.dll vom Internet will. Funkt da wer nach Hause?

Deine Anfrage ist wieder einmal der Beweis dafür, dass es schwachsinnig ist, unwissenden Normalbenutzern, die keine Ahnung von Internetprotokollen haben können, durch Firewalls eine Sicherheit vorspiegeln zu wollen, die nicht existiert.

Konkret:
Der kernel32.dll ist eine zentrale, wichtige DLL von Windows. Der den Internetzugriff zu sperren klingt schon von vornherein nicht wie eine besonders gute Idee. Das machen wohl nur Leute, die unlizensierte Versionen benutzen und Angst haben, Herr Gates könnte morgen an der Tür klingeln.

Weiterhin:
ICMP ist nicht nur das Protokoll für "Ping", sondern umfaßt einen großen Bereich steuernder und regelnder Aufgaben für den Datenfluß im Internet. ICMP-Nachrichten sind durchaus WICHTIG für das Funktionieren des Internets. Meldungen wie "Destination unreachable" informieren über die Unerreichbarkeit des Ziels.

Und die hier vorliegende Nachricht

ICMP Type :  11 (Time Exceeded for Datagram)

bedeutet, dass dein Rechner den anderen Rechner darüber informieren will, dass seine gesendeten IP-Pakete an deinem Rechner enden, weil die gesetzte TTL (time to live, hat aber nichts mit Uhrzeiten zu tun, sondern ist ein Zähler für die maximale Anzahl der Router, die durchquert werden sollen - dein Rechner ist nun eben der letzte gewesen, deshalb die ICMP-Botschaft).

ICMP Code :   1 (Fragment Reassembly Timer Expired - from host)
Remote Name :
Remote Address : 71.38.1.55

Das ist die IP-Adresse des Clients, der die ICMP-Nachricht gesendet kriegen soll, und der sehr wahrscheinlich ein verursachendes Paket gesendet hat.

Was kann passiert sein?

Die banalste Sache kann sein, dass diese IP einfach ein simples Traceroute gemacht hat. Traceroute provoziert durch sehr kleine TTL-Werte in den Datenpaketen, dass sich nacheinander alle auf der Strecke von Start bis Ziel liegenden Router mit einer ICMP-Meldung "Time exceeded for datagram" melden und damit erkennbar werden.

Traceroute-Tests sind absolut nichts gefährliches. Über das Motiv für so einen Test kann man nur spekulieren.

Natürlich könnte auch eine ernsthafte Datenverbindung zu diesem Host bestehen. Dann würde die Sicherheit dieser Verbindung durch die gefilterten ICMP-Meldungen durchaus gefährdet sein.

Es ist also absolut nicht ratsam, uninformiert Firewall-Entscheidungen zu treffen.

Denn was bringt das? Man selbst stellt entweder fest, dass das Verbieten der Datensendung nichts ändert, oder man stellt fest, dass das Internet dann nicht mehr geht. Im letzteren Fall wird man sich dann mit Sicherheit umentscheiden. Welche Sicherheit wäre dadurch gewonnen, dass man sich doch so entscheidet, dass das Internet geht? Niemand wird sich ja so entscheiden, dass er eine maximierte Sicherheit hat, wenn er dadurch Komforteinbußen hat.

Was bei der Entscheidung aber leider vollkommen außen vor bleibt, sind die Auswirkungen auf den Rest des Internets. Das Internet meldet sich natürlich nicht bei dem Firewall-Administrator und beschwert sich.

Unter dem Strich ist diese Firewall-Meldung zwar wunderschön detailliert, aber für den unwissenden Benutzer, der einfach nur "sicheres Internet" will, vollkommen untauglich. Firewall-Admininstratoren müssen sich zwingend mit den Feinheiten des IP-Protokolls sowie der darauf aufsetzenden Protokolle TCP, UDP und ICMP auskennen, um sinnvolle Entscheidungen zu treffen.

Da solche Firewalls aber sowieso keinen Schutz bewirken gegen Programme, die es WIRKLICH darauf anlegen, nach außen Kontakt aufzunehmen, ist es wirklich besser, auf Firewalls dieser Art zu verzichten.

Oder glaubst du im Ernst, Microsoft wäre, wenn sie es denn darauf anlegen würden, so dumm und würde sich beim Nachhause-Senden von irgendwelchen Firewalls erwischen lassen? Wenn, dann würden sie die Daten als "IEXPLORE.EXE" versenden - den wird vermutlich jeder ins Internet lassen. Oder sie benutzen die tiefsten OS-Schichten, in die keine Firewall vordringen kann.

- Sven Rautenberg