AA_mauer.jpg

© Artsem Martysiuk, 123RF

Wie Firewalls den Rechner schützen

Brandmauern

Eine massive Brandschutzwand soll Feuer vom Gebäude und seinen Bewohnern fernhalten. Nach einem ganz ähnlichen Prinzip blockt im Computer eine Firewall Gefahren aus dem Internet ab. Wie ein Blick auf ihre Arbeitsweise zeigt, ist sie jedoch alles andere als ein Allheilmittel.

Ihr Computer ist extrem attraktiv und begehrt – insbesondere bei Kriminellen. Sie klopfen systematisch bei allen an das Internet angeschlossenen Computern an und versuchen, ihnen auf verschiedenen Wegen Viren, Trojaner und andere Schadprogramme unterzujubeln. Diese verwandeln den PC dann wahlweise in eine Versandstation für Werbe-E-Mails oder schreiben alle eingetippten Passwörter und Kreditkartennummern mit.

Geschlossene Gesellschaft

Abhilfe gegen solche Angriffe von außen verspricht eine Firewall. Im abstrakten Sinn ist die Firewall ein Konzept, um Netze voneinander zu trennen (etwa Intranet und Internet) und mit Hilfe von Programmen ungewollte und schädigende Netzwerkverbindungen zu verhindern. In der üblichen Wahrnehmung bestehen Firewalls hingegen meist aus einem oder mehreren Programmen, die eingehende und ausgehende Netzwerkverbindungen überwachen und ungebetene Anfragen aus dem Internet abweisen (Abbildung 1).

Abbildung 1: Eine Firewall blockt Anfragen und Kontaktversuche aus dem Internet ab, die Verbindungen des eigenen PCs lässt sie hingegen passieren.

Im privaten Bereich kommen dabei meist zwei Typen von Firewalls zum Einsatz. Sofern die Firewall auf dem eigenen Computer läuft, spricht man von einer Desktop- oder Personal-Firewall (Abbildung 2). Starten Sie auf dem gleichen PC aber (versehentlich) ein Schadprogramm, kann dieses die Firewall teilweise lahmlegen oder ganz abschalten. Folglich ist es eine gute Idee, die Firewall auf einen eigens für sie abgestellten Computer auszulagern (Abbildung 3). Eine solche externe Firewall werkelt in vielen Wohnungen bereits still und heimlich in Form eines DSL-Routers, wie etwa der beliebten FritzBox. Die gesamte Kommunikation mit dem Internet läuft dabei zwangsweise über die externe Firewall, die wiederum ein Auge auf alle durchsausenden Daten wirft und so alle angeschlossenen PCs im Haushalt vor Einbruchsversuchen bewahrt.

Abbildung 2: Eine Personal-Firewall läuft direkt auf dem eigenen Computer.
Abbildung 3: Dank einer externen Firewall sind die PCs nicht direkt mit dem Internet verbunden.

Geschützt ist hierbei allerdings immer nur das komplette Heimnetzwerk gegenüber dem Internet. Hat sich beispielsweise der PC eines Bewohners mit einem Virus infiziert, könnte dieser auch theoretisch die Computer der übrigen Haushaltsmitglieder anstecken. Das würde wiederum nur eine Personal-Firewall auf jedem einzelnen PC verhindern.

Gesichtskontrolle

Linux verfügt bereits über eine eingebaute Firewall. Sie hört derzeit noch auf den Namen Netfilter/Iptables und besteht im Kern aus mehreren Komponenten, die alle zusammen die Firewall bilden. Häufig ist nur von Iptables die Rede, wenn die Linux-Firewall zu Sprache kommt – dabei handelt es sich lediglich um eine von mehreren – wenn auch wichtigen – Komponenten.

Die zugrunde liegende Arbeitsweise von Netfilter/Iptables ist so simpel wie genial: Wenn ein Computer mit einem anderen Informationen austauschen möchte, verpackt er die Daten in kleine Pakete, die sich wesentlich einfacher und schneller zustellen lassen. Das gleiche Prinzip haben Sie sehr wahrscheinlich auch bei Ihrem letzten Umzug angewendet. Wie ein echtes Postpaket tragen auch die Datenpakete einen Absender, eine Empfangsadresse und noch ein paar weitere Informationen, die für den Transport notwendig sind. Eine Firewall kann sich diese Paketaufkleber ansehen und anhand von vorgegebenen Regeln dann entweder durchlassen (englisch accept), auf den Müll werfen (drop) oder zurückschicken (reject). Das funktioniert übrigens in beide Versandrichtungen. So kann man nicht nur Anfragen aus dem Internet abblocken, sondern mit passenden Regeln auch umgekehrt ganz gezielt den Zugriff auf bestimmte Internetseiten oder Dienste sperren. Heiße Kandidaten dafür sind z. B. alle Dienste, die Passwörter im Klartext übertragen. Eine solche Sperrung verhindert auch ganz nebenbei, dass irgendwelche (fehlerhaften) Anwendungen heimlich nach Hause telefonieren. Zu Netfilter gehören dabei unter anderem ein Paketfilter, eine Adressübersetzung und eine Verbindungsverfolgung. Das Netfilter-Projekt [1] bietet noch weitere Komponenten an.

Für gewöhnlich vergleicht die Firewall das Adressetikett auf dem hereinkommenden Paket solange mit jeder ihr bekannten Regel, bis irgendeine zutrifft. Bei sehr vielen Regeln dauert dies schon einmal eine Weile und verlangsamt so als unangenehmer Nebeneffekt den Netzwerkverkehr. Ein gutes Regelwerk (englisch Rulebase) erfordert daher viel Gehirnschmalz. Um der Firewall die Regeln einzuimpfen, kommt das bereits erwähnte Kommandozeilen-Werkzeug iptables zum Einsatz, das allerdings nur recht kryptische Befehle akzeptiert. Unter OpenSuse gibt es das einfacher zu bedienende Modul Firewall in der Systemverwaltung YaST. Unter Kubuntu können Sie die Kommandozeilenlösung ufw verwenden [2], eine stark vereinfachte Variante von Iptables.

Ein Webserver sendet immer nur dann eine Internetseite an den heimischen Rechner, wenn dieser die Seite explizit anfordert. Trudelt plötzlich unerwartet ein als Internetseite deklariertes Paket ins Haus, kann etwas nicht stimmen. Um diesen Fall aufzudecken, reicht es jedoch nicht mehr aus, nur stur auf das Adressetikett zu schauen. Die Firewall muss sich zusätzlich merken, wer vorher welche Anfragen wohin geschickt hat. Diese Fähigkeit bezeichnet man als Stateful Packet Filtering. Auch die in Linux eingebaute Firewall besitzt ein kleines Gedächtnis, dessen Wissen sich im Rahmen der Iptables-Regeln ausnutzen lässt.

Aus oder an? Oder doch aus?

Die in Linux eingebaute Firewall ist unter Ubuntu und Kubuntu im Auslieferungszustand abgeschaltet. Aber keine Panik: Canonical hat alle in seiner Distribution enthaltenen Programme konsequent so voreingestellt, dass sie von außen kommende Datenpakete schlichtweg ignorieren. Unter OpenSuse ist die Firewall hingegen standardmäßig aktiv und weist dort alle an der Netzwerkkarte ankommenden Daten ab.

In Foren und in der Literatur wird immer wieder eifrig und heftig darüber diskutiert, welcher der beiden Wege sinnvoller ist. Eine standardmäßig aktivierte Personal-Firewall kann durch ihre strikte Blockadehaltung den Benutzer verwirren, weil Anwendungen nicht so funktionieren, wie sie sollen. Konfiguriert man das System so konsequent wie im Fall von Ubuntu, ist eine Personal-Firewall zudem nicht notwendig. Installiert man sie doch, wäre das in etwa so, als würde man vor einem Haus mit verrammelten Türen noch einen Wachschutz postieren. Andererseits kann eine Anwendung theoretisch schwerwiegende Fehler enthalten und dadurch dann doch schadhafte Pakete aus dem Internet annehmen.

Wenn Sie jetzt verwirrt sind, vertrauen Sie am besten den Voreinstellungen Ihrer Distribution. Weitere Pro- und Kontra-Argumente finden Sie z. B. in der Beschreibung von Ubuntus Uncomplicated Firewall [3].

Ein Angreifer könnte seinen Computer so einrichten, dass dessen IP-Adresse aus dem heimatlichen Netzwerk zu stammen scheint. Die Firewall würde in diesem Fall alle Aktionen des Fremden erlauben. Ein solches, absichtliches Fälschen einer IP-Adresse bezeichnet man als IP-Spoofing. Als Abwehrmaßnahme weist man die Firewall mit Hilfe entsprechender Regeln an, ausschließlich Kommunikationsversuche von Computern mit ganz bestimmten IP-Adressen anzunehmen. Moderne DSL-Router und Firewalls können dabei zusätzlich oder alternativ die weltweit eindeutige Seriennummer der Netzwerkhardware (die so genannte MAC-Adresse) heranziehen. Diese lässt sich allerdings leicht fälschen, bietet also keine starke Sicherheit.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

Kommentare

Infos zur Publikation

EL 11/2017-01/2018: Einstieg in Linux

Digitale Ausgabe: Preis € 9,80
(inkl. 19% MwSt.)

EasyLinux erscheint vierteljährlich und kostet 9,80 Euro. Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 33,30 Euro. Details dazu finden Sie im Computec-Shop.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!      

Stellenmarkt

Aktuelle Fragen

Installation Linux mint auf stick
Reiner Schulz, 10.12.2017 17:34, 0 Antworten
Hallo, ich hab ein ISO-image mit Linux Mint auf einem Stick untergebracht Jetzt kann ich auch...
Canon Maxify 2750 oder ähnlicher Drucker
Hannes Richert, 05.12.2017 20:14, 4 Antworten
Hallo, leider hat Canon mich weiterverwiesen, weil sie Linux nicht supporten.. deshalb hier die...
Ubuntu Server
Steffen Seidler, 05.12.2017 12:10, 1 Antworten
Hallo! Hat jemand eine gute Anleitung für mich, wie ich Ubuntu Server einrichte? Habe bisher...
Tinte sparen bei neuem Drucker
Lars Schmitt, 30.11.2017 17:43, 2 Antworten
Hi Leute, ich habe mir Anfang diesen Monats einen Tintenstrahldrucker angeschafft, der auch su...
Für Linux programmieren
Alexander Kramer, 25.11.2017 08:47, 3 Antworten
Ich habe einen Zufallsgenerator entworfen und bereits in c++ programmiert. Ich möchte den Zufalls...