yewkeo, 123RP

Zugang gesperrt

Schützen Sie Ihr System mit der Firewall UFW

18.11.2009
Sorgfältige Benutzer setzen Wert auf Sicherheit. Die Firewallwerkzeuge von Ubuntu helfen Ihnen, Eindringlinge von Ihrem System fernzuhalten.

Wenn es um Sicherheit geht, bietet Ubuntu mehrere Vorteile gegenüber einem System wie Windows. Zum Beispiel hat Ubuntu einen offenen Quellcode. Das bedeutet, dass Hunderte und sogar Tausende von Entwicklern den Code überprüfen und verbessern. Auch verfügen Linux-Systeme im Gegensatz zu Windows über keine Registry, vermissen somit den Bestandteil, der Windows-Systemen über die Jahre Würmer, Viren und verschiedenen anderen Angriffe einbrachte. Die einzelnen Komponenten eines Linux-Systems sind zudem lose verknüpft: Nur weil ein Teilbereich kaputt geht, muss nicht unbedingt das ganze System zusammenbrechen oder instabil werden.

Obwohl Linux also von Haus aus als sicherer als andere vergleichbare Desktopsysteme betrachtet werden kann, ist kein Betriebssystem von Haus aus wirklich sicher – nicht einmal Ubuntu. Ein Angreifer könnte versuchen, Ihr System zu durchsuchen, um einen offenen Port zu finden. Jede Anwendung, die auf einem Port lauscht, kann ein Sicherheitsproblem mitbringen, das zur Kompromittierung Ihres Rechners führen kann und so weiter.

Egal was Ihnen über die Sicherheit von Linux oder Windows erzählt wird: Eine persönliche Firewall zu konfigurieren, gehört bei jedem Rechner der sich ab und zu oder permanent im Internet befindet zum Standardsetup. Denn der sichere Umgang mit dem Computer hilft Ihnen, Ihr System besser zu verstehen und Ihre Seelenruhe zu bewahren. Lesen Sie dazu auch den Kasten "Alles gesperrt?".

Alles gesperrt?

Viele Benutzer schalten deshalb keine persönliche Firewall ein, weil sie befürchten, dass sie ihre Lieblingsvideoseiten nicht mehr aufsuchen und Programme nicht mehr herunterladen können. Davor müssen Sie keine Angst haben. Die Entwickler von Firewall-Programmen sind nicht dumm und wissen genau, dass Sie all die guten Dinge im Internet erreichen wollen. Sie wissen aber auch, dass da draußen viele bösen Menschen lauern, die in Ihren Computer eindringen wollen. Die Ubuntu-Firewall blockiert deshalb generell nur den Zugriff von Außen aber nicht Ihren Browser oder Ihren Mediaplayer. Einen Dienst freizugeben bedeutet somit nicht, dass Sie diesen Dienst von Ihrem Rechner aus nutzen können sondern dass andere Rechner den Dienst auf Ihrem Rechner nutzen können. Den Port 80 (um HTTP als Beispiel zu nehmen) müssen Sie somit nicht freigeben, um über Firefox im Internet surfen zu können sondern nur dann, wenn Sie selbst einen Webserver auf Ihrem eigenen Rechner einrichten möchten, was doch relativ selten der Fall ist.

Einführung in UFW

UFW ist die Abkürzung für Uncomplicated Firewall. Die "unkomplizierte Brandschutzmauer" ist das offizielle Firewall-Konfigurationswerkzeug von Ubuntu [1][2] wird deshalb auch oft nur Ubuntu Firewall genannt. Das Kommandozeilentool UFW funktioniert ziemlich gut als Frontend für das leistungsstarke Set von Linux-Firewall-Dienstprogrammen, bekannt unter dem Namen Iptables [3]. Obwohl UFW dem Benutzer als ein komplettes Firewallsystem erscheint, ist ihre Aufgabe in Wirklichkeit, eine etwas leichtere Syntax für die Verwendung von iptables zu bieten.

Die Iptables-Dienstprogramme wiederum betreiben das Netfilter-Framework, erhältlich in jeder Linux-Implementierung. Netfilter und Iptables sind kompliziert genug, um ein komplettes Buch darüber zu schreiben und viele Benutzer abzuschrecken. Die UFW und das zugehörige grafische Frontend Gufw sollen die Vorteile von Firewalls dem alltäglichen Ubuntu-Benutzer näher bringen.

Die Personal Firewall

Der Begriff Firewall bezieht sich in der Regel auf eine Vorrichtung, die zwischen einem lokalen Netzwerk (wie zum Beispiel ein Heim- oder ein Firmennetzwerk) und einem größeren, weniger kontrollierten Netzwerk, wie dem Internet, eingesetzt wird. Obwohl moderne Firewalls mit einer breiten Palette von Funktionen aufgerüstet sind, besteht die grundlegende Aufgabe einer Firewall darin, den Zugriff auf das lokale Netzwerk durch Filtern des eingehenden Datenverkehrs zu beschränken. Eine persönliche Firewall funktioniert ganz ähnlich wie eine Netzwerk-Firewall, mit dem Unterschied, dass eine persönliche Firewall typischerweise ein softwarebasierter Bestandteil ist, der auf einem einzelnen System läuft, während eine echte Firewall aus spezieller Hardware und mehreren Komponenten besteht.

Eine persönliche Firewall kann den Datenverkehr aufgrund von verschiedenen Parametern wie Quell-IP-Adresse, Zieladresse oder Portnummer blockieren oder erlauben. Dienste, die auf Ihrem Ubuntu-System laufen, lauschen auf einem bestimmten TCP- oder UDP-Port auf eingehende Verbindungen. Die Portnummer gibt somit einen Hinweis darauf, welchen externen Dienst der Rechner anbietet oder benutzen möchte. Die Tabelle "Gängige Dienste" führt eine Liste der wichtigsten Dienste mit den zugehörigen Portnummern.

Viele persönliche Firewalls können den Datenverkehr auch aufgrund des Netzwerkprotokolls blockieren oder erlauben. Mehrere Firewallsysteme unterstützen zudem eine Protokollierung, sodass Sie eine Aufzeichnung der Datenverkehrstatistiken und über die Zugriffsversuche von draußen erhalten.

Gängige Dienste

Abkürzung Beschreibung Portnummer
FTP File Transfer Protocol TCP 20 und 21 (meist als 21 aufgeführt)
POP3 Das am meisten verbreitete Protokoll für E-Mail-Abruf. Über den POP3-Server loggt man sich ein und lädt die E-Mails herunter. TCP 110
IMAP Internet Message Access Protocol (IMAP). Ein neueres, weiterentwickeltes Mailbox-Protokoll. TCP 143
SMTP Simple Mail Transfer Protocol. E-Mail-Protokoll für die Übermittlung und Weiterleitung von ausgehenden Nachrichten. TCP 25
NFS Das Network File System wird unter Linux und Unix-Systemen zum Freigeben von Dateien und zum Einbinden entfernter Verzeichnisse benutzt. TCP- und UDP-Port 2049. Außerdem stützt es sich auf den Portmapper Dienst, der den UDP-Port 111 verwendet.
SSH Die Secure Shell bietet eine relativ sichere Art, um auf ein System zuzugreifen und es zu bedienen. SSH benutzt Verschlüsselung und Public-Key-Authentifizierung. Man kann SSH auch zum Tunneln unverschlüsselter Protokolle anwenden. TCP 22
Telnet Ein älteres Protokoll, um entfernte Systeme zu steuern. Heute durch SSH weitgehend ersetzt Server lauscht auf TCP 23. Man kann mithilfe eines Telnet-Clients jeden Port erreichen.
VNC Virtual Network Computing ist ein Protokoll, worüber man auf einem entfernten Rechner einloggen und die grafische Oberfläche betrachten kann, als säße man direkt davor. TCP 5900
IPP Internet Printing Protocol – dient zum Anschluss von Druckern im Netzwerk. UDP und TCP 631

Erste Schritte mit UFW

Man startet UFW in jeder üblichen Karmic-Installation im Terminalfenster durch Eingabe von ufw. Wie bei vielen administrativen Tools, muss man auch für ufw über die nötigen Rechte verfügen, die Ihnen das vorangestellte sudo und die Eingabe Ihres Benutzerpassworts verschafft.

$ sudo ufw enable
Firewall is active and enabled on system startup

Als Ergebnis des vorherigen Befehls wird UFW bei jedem Systemstart gestartet. Nach der Ausgabe des Befehls, kann man die Grundeinstellung bestimmen:

$ sudo ufw default deny
Default policy changed to 'deny'
(die Regeln müssen entsprechend aktualisiert werden)

Dieser Befehl sagt UFW, automatisch alle ICMP-Pakete zu verwerfen also auch aller Protokolle, die in der Tabelle "Gängige Dienste" aufgeführt sind. Anschließend setzen Sie Ausnahmen zu dieser standardmäßig gesperrten Grundeinstellung. Die folgenden Befehle erlauben eine Verbindung auf SSH-, Web- und VNC-Servern, die auf Ihrem System laufen:

sudo ufw allow 22
Regel hinzugefügt
sudo ufw allow 80
Regel hinzugefügt
sudo ufw allow 5900
Regel hinzugefügt

Ob die UFW-Einstellungen geklappt haben, überprüfen Sie mit folgendem Befehl:

sudo ufw status

Auf diesen Befehl hin erscheint eine Ausgabe, wie im Listing 1 zu sehen.

Listing 1

Status abfragen

Status: active
Zu                         Aktion  Von
–                         ——  —-
22                         ALLOW   Anywhere
80                         ALLOW   Anywhere
5900                       ALLOW   Anywhere

LinuxCommunity kaufen

Einzelne Ausgabe
 

Related content

Kommentare

Infos zur Publikation

Ubuntu User ist bis Ausgabe 02/2013 vierteljährlich erschienen, aktuelle Artikel zu Ubuntu finden sich ab Ausgabe 04/2013 im LinuxUser.

Tipp der Woche

Schnell Multi-Boot-Medien mit MultiCD erstellen
Schnell Multi-Boot-Medien mit MultiCD erstellen
Tim Schürmann, 24.06.2014 12:40, 0 Kommentare

Wer mehrere nützliche Live-Systeme auf eine DVD brennen möchte, kommt mit den Startmedienerstellern der Distributionen nicht besonders weit: Diese ...

Aktuelle Fragen

Server antwortet mit falschem Namen
oin notna, 21.07.2014 19:13, 1 Antworten
Hallo liebe Community, Ich habe mit Apache einen Server aufgesetzt. Soweit, so gut. Im Heimnet...
o2 surfstick software für ubuntu?
daniel soltek, 15.07.2014 18:27, 1 Antworten
hallo zusammen, habe mir einen o2 surfstick huawei bestellt und gerade festgestellt, das der nic...
Öhm - wozu Benutzername, wenn man dann hier mit Klarnamen angezeigt wird?
Thomas Kallay, 03.07.2014 20:30, 1 Antworten
Hallo Team von Linux-Community, kleine Zwischenfrage: warum muß man beim Registrieren einen Us...
openSUSE 13.1 - Login-Problem wg. Fehler im Intel-Grafiktreiber?
Thomas Kallay, 03.07.2014 20:26, 8 Antworten
Hallo Linux-Community, habe hier ein sogenanntes Hybrid-Notebook laufen, mit einer Intel-HD460...
Fernwartung für Linux?
Alfred Böllmann, 20.06.2014 15:30, 7 Antworten
Hi liebe Linux-Freunde, bin beim klassischen Probleme googeln auf www.expertiger.de gestoßen, ei...