 "yewkeo, 123RP")
Wenn es um Sicherheit geht, bietet Ubuntu mehrere Vorteile gegenüber einem System wie Windows. Zum Beispiel hat Ubuntu einen offenen Quellcode. Das bedeutet, dass Hunderte und sogar Tausende von Entwicklern den Code überprüfen und verbessern. Auch verfügen Linux-Systeme im Gegensatz zu Windows über keine Registry, vermissen somit den Bestandteil, der Windows-Systemen über die Jahre Würmer, Viren und verschiedenen anderen Angriffe einbrachte. Die einzelnen Komponenten eines Linux-Systems sind zudem lose verknüpft: Nur weil ein Teilbereich kaputt geht, muss nicht unbedingt das ganze System zusammenbrechen oder instabil werden.
Obwohl Linux also von Haus aus als sicherer als andere vergleichbare Desktopsysteme betrachtet werden kann, ist kein Betriebssystem von Haus aus wirklich sicher – nicht einmal Ubuntu. Ein Angreifer könnte versuchen, Ihr System zu durchsuchen, um einen offenen Port zu finden. Jede Anwendung, die auf einem Port lauscht, kann ein Sicherheitsproblem mitbringen, das zur Kompromittierung Ihres Rechners führen kann und so weiter.
Egal was Ihnen über die Sicherheit von Linux oder Windows erzählt wird: Eine persönliche Firewall zu konfigurieren, gehört bei jedem Rechner der sich ab und zu oder permanent im Internet befindet zum Standardsetup. Denn der sichere Umgang mit dem Computer hilft Ihnen, Ihr System besser zu verstehen und Ihre Seelenruhe zu bewahren. Lesen Sie dazu auch den Kasten "Alles gesperrt?".
Alles gesperrt?
Viele Benutzer schalten deshalb keine persönliche Firewall ein, weil sie befürchten, dass sie ihre Lieblingsvideoseiten nicht mehr aufsuchen und Programme nicht mehr herunterladen können. Davor müssen Sie keine Angst haben. Die Entwickler von Firewall-Programmen sind nicht dumm und wissen genau, dass Sie all die guten Dinge im Internet erreichen wollen. Sie wissen aber auch, dass da draußen viele bösen Menschen lauern, die in Ihren Computer eindringen wollen. Die Ubuntu-Firewall blockiert deshalb generell nur den Zugriff von Außen aber nicht Ihren Browser oder Ihren Mediaplayer. Einen Dienst freizugeben bedeutet somit nicht, dass Sie diesen Dienst von Ihrem Rechner aus nutzen können sondern dass andere Rechner den Dienst auf Ihrem Rechner nutzen können. Den Port 80 (um HTTP als Beispiel zu nehmen) müssen Sie somit nicht freigeben, um über Firefox im Internet surfen zu können sondern nur dann, wenn Sie selbst einen Webserver auf Ihrem eigenen Rechner einrichten möchten, was doch relativ selten der Fall ist.
Einführung in UFW
UFW ist die Abkürzung für Uncomplicated Firewall. Die "unkomplizierte Brandschutzmauer" ist das offizielle Firewall-Konfigurationswerkzeug von Ubuntu [1][2] wird deshalb auch oft nur Ubuntu Firewall genannt. Das Kommandozeilentool UFW funktioniert ziemlich gut als Frontend für das leistungsstarke Set von Linux-Firewall-Dienstprogrammen, bekannt unter dem Namen Iptables [3]. Obwohl UFW dem Benutzer als ein komplettes Firewallsystem erscheint, ist ihre Aufgabe in Wirklichkeit, eine etwas leichtere Syntax für die Verwendung von iptables zu bieten.
Die Iptables-Dienstprogramme wiederum betreiben das Netfilter-Framework, erhältlich in jeder Linux-Implementierung. Netfilter und Iptables sind kompliziert genug, um ein komplettes Buch darüber zu schreiben und viele Benutzer abzuschrecken. Die UFW und das zugehörige grafische Frontend Gufw sollen die Vorteile von Firewalls dem alltäglichen Ubuntu-Benutzer näher bringen.
Die Personal Firewall
Der Begriff Firewall bezieht sich in der Regel auf eine Vorrichtung, die zwischen einem lokalen Netzwerk (wie zum Beispiel ein Heim- oder ein Firmennetzwerk) und einem größeren, weniger kontrollierten Netzwerk, wie dem Internet, eingesetzt wird. Obwohl moderne Firewalls mit einer breiten Palette von Funktionen aufgerüstet sind, besteht die grundlegende Aufgabe einer Firewall darin, den Zugriff auf das lokale Netzwerk durch Filtern des eingehenden Datenverkehrs zu beschränken. Eine persönliche Firewall funktioniert ganz ähnlich wie eine Netzwerk-Firewall, mit dem Unterschied, dass eine persönliche Firewall typischerweise ein softwarebasierter Bestandteil ist, der auf einem einzelnen System läuft, während eine echte Firewall aus spezieller Hardware und mehreren Komponenten besteht.
Eine persönliche Firewall kann den Datenverkehr aufgrund von verschiedenen Parametern wie Quell-IP-Adresse, Zieladresse oder Portnummer blockieren oder erlauben. Dienste, die auf Ihrem Ubuntu-System laufen, lauschen auf einem bestimmten TCP- oder UDP-Port auf eingehende Verbindungen. Die Portnummer gibt somit einen Hinweis darauf, welchen externen Dienst der Rechner anbietet oder benutzen möchte. Die Tabelle "Gängige Dienste" führt eine Liste der wichtigsten Dienste mit den zugehörigen Portnummern.
Viele persönliche Firewalls können den Datenverkehr auch aufgrund des Netzwerkprotokolls blockieren oder erlauben. Mehrere Firewallsysteme unterstützen zudem eine Protokollierung, sodass Sie eine Aufzeichnung der Datenverkehrstatistiken und über die Zugriffsversuche von draußen erhalten.
Gängige Dienste
| Abkürzung | Beschreibung | Portnummer |
|---|---|---|
| FTP | File Transfer Protocol | TCP 20 und 21 (meist als 21 aufgeführt) |
| POP3 | Das am meisten verbreitete Protokoll für E-Mail-Abruf. Über den POP3-Server loggt man sich ein und lädt die E-Mails herunter. | TCP 110 |
| IMAP | Internet Message Access Protocol (IMAP). Ein neueres, weiterentwickeltes Mailbox-Protokoll. | TCP 143 |
| SMTP | Simple Mail Transfer Protocol. E-Mail-Protokoll für die Übermittlung und Weiterleitung von ausgehenden Nachrichten. | TCP 25 |
| NFS | Das Network File System wird unter Linux und Unix-Systemen zum Freigeben von Dateien und zum Einbinden entfernter Verzeichnisse benutzt. | TCP- und UDP-Port 2049. Außerdem stützt es sich auf den Portmapper Dienst, der den UDP-Port 111 verwendet. |
| SSH | Die Secure Shell bietet eine relativ sichere Art, um auf ein System zuzugreifen und es zu bedienen. SSH benutzt Verschlüsselung und Public-Key-Authentifizierung. Man kann SSH auch zum Tunneln unverschlüsselter Protokolle anwenden. | TCP 22 |
| Telnet | Ein älteres Protokoll, um entfernte Systeme zu steuern. Heute durch SSH weitgehend ersetzt | Server lauscht auf TCP 23. Man kann mithilfe eines Telnet-Clients jeden Port erreichen. |
| VNC | Virtual Network Computing ist ein Protokoll, worüber man auf einem entfernten Rechner einloggen und die grafische Oberfläche betrachten kann, als säße man direkt davor. | TCP 5900 |
| IPP | Internet Printing Protocol – dient zum Anschluss von Druckern im Netzwerk. | UDP und TCP 631 |
Erste Schritte mit UFW
Man startet UFW in jeder üblichen Karmic-Installation im Terminalfenster durch Eingabe von ufw. Wie bei vielen administrativen Tools, muss man auch für ufw über die nötigen Rechte verfügen, die Ihnen das vorangestellte sudo und die Eingabe Ihres Benutzerpassworts verschafft.
$ sudo ufw enable Firewall is active and enabled on system startup
Als Ergebnis des vorherigen Befehls wird UFW bei jedem Systemstart gestartet. Nach der Ausgabe des Befehls, kann man die Grundeinstellung bestimmen:
$ sudo ufw default deny Default policy changed to 'deny' (die Regeln müssen entsprechend aktualisiert werden)
Dieser Befehl sagt UFW, automatisch alle ICMP-Pakete zu verwerfen also auch aller Protokolle, die in der Tabelle "Gängige Dienste" aufgeführt sind. Anschließend setzen Sie Ausnahmen zu dieser standardmäßig gesperrten Grundeinstellung. Die folgenden Befehle erlauben eine Verbindung auf SSH-, Web- und VNC-Servern, die auf Ihrem System laufen:
sudo ufw allow 22 Regel hinzugefügt sudo ufw allow 80 Regel hinzugefügt sudo ufw allow 5900 Regel hinzugefügt
Ob die UFW-Einstellungen geklappt haben, überprüfen Sie mit folgendem Befehl:
sudo ufw status
Auf diesen Befehl hin erscheint eine Ausgabe, wie im Listing 1 zu sehen.
Status abfragen
Status: active Zu Aktion Von – —— —- 22 ALLOW Anywhere 80 ALLOW Anywhere 5900 ALLOW Anywhere
Einem Freund empfehlen
