Home / LinuxUser / 2002 / 05 / Paketfilter-Firewall

Newsletter abonnieren

Lies uns auf...

Folge LinuxCommunity auf Twitter

Top-Beiträge

Eingedost
(161 Punkte bei 4 Stimmen)
Aufteiler
(161 Punkte bei 4 Stimmen)

Heftarchiv

LinuxUser Heftarchiv

EasyLinux Heftarchiv

Ubuntu User Heftarchiv

Ubuntu User Heftarchiv

Partner-Links:

Das B2B Portal www.Linx.de informiert über Produkte und Dienstleistungen.

aufmacher.jpg

Private Feuerwände

Paketfilter-Firewall

01.05.2002 Eine Firewall sollte heutzutage zum unverzichtbaren Sicherheitsrepertoire jedes vernetzten Computers gehören. Aktuelle Linux-Distributionen liefern die Software dazu mit – man muss sie nur benutzen können.

Eine Firewall kontrolliert, welche Daten Ihren Computer passieren. Sie überwacht ankommende ebenso wie abgehende Pakete. So verhindert sie einerseits den Zugriff fremder Personen auf Ihr System. Gleichzeitig schützt sie vor Fehlern der eigenen Software sowie vor unerwünschten Programmen: Auch der eigene Computer muss sich an die Regeln halten. Der Informationsfluss wird so in beiden Richtungen reglementiert.

Dank der exzessiven Konfigurationsoptionen der Linux-eigenen Firewall-Mechanismen haben Sie alle Möglichkeiten zur beliebig exakten Abdichtung Ihres Systems. Leider heißt das auch, dass eine wirklich sichere Firewall gar nicht so einfach zu bekommen ist.

Wie arbeitet eine Firewall?

Wenn ein Computer Daten mit anderen Rechnern austauscht, verpackt er sie immer in Paketen. Die im Linux-Kernel eingebaute Firewall-Funktionalität sieht sich jedes dieser Pakete an und entscheidet anhand bestimmter Kriterien, was mit ihm geschehen soll. Im überwiegenden Fall wird sie es ganz normal annehmen und an die zuständige Stelle weiterleiten (auf Befehlsseite heißt das ACCEPT), alternativ kommt das Verwerfen eines unerwünschten Paketes (DROP) in Betracht. Eine ganze Reihe zusätzlicher Aktionen sind vor allem für fortgeschrittene Anwender interessant.

Die Firewall selbst besteht aus zahlreichen Regeln, die nacheinander abgearbeitet werden. Jedes Datenpaket wird wie in einer Checkliste mit ihnen verglichen. Die erste passende Regel entscheidet, was mit ihm geschieht.

Für die Entscheidung, ob ein Paket akzeptabel ist oder nicht, können Sie in den Firewall-Regeln verschiedene Parameter abfragen. Die wichtigsten sind das verwendete IP-Protokoll (zum Beispiel TCP, UDP oder ICMP), die IP-Adressen von Absender und Empfänger, die Port-Nummern und das Netzwerk-Interface, über das ein Paket empfangen beziehungsweise verschickt wird.

Exkurs: IP-Protokolle

Jedes der über IP abgewickelten Protokolle hat seine Besonderheiten. In welchem Verhältnis sie zu den Protokollen der Anwendungsebene stehen, zeigt Abbildung 1. Dieses Wissen benötigen wir für die Konstruktion der Firewall.

Abbildung 1

Abbildung 1: IP-Protokolle

Das "Transmission Control Protocol" (TCP) zählt momentan zu den meistgenutzten Protokollen; fast alle klassischen Internet-Dienste verwenden es. TCP kennt den Begriff der Verbindung, die vor der Übertragung aufgebaut und hinterher wieder abgebaut werden muss. Innerhalb einer bestehenden Verbindung garantiert TCP die Integrität der Daten: Falls einzelne Pakete verloren gehen, werden sie automatisch nochmal übertragen. Auch sortiert TCP die Daten richtig, bevor es sie an die Anwendung übergibt.

Für eine Firewall ist TCP insofern praktisch, als man den Aufbau einer Verbindung anhand spezieller Flags im Kopf eines Paketes sehr leicht erkennen kann. So lassen sich Datenströme beurteilen: Gehören sie zu einer Datenübertragung, die durch ein eigenes Client-Programm initiiert wurde, zum Beispiel durch Netscape? Oder versucht jemand aus dem Internet einen (vermutlich unerwünschten) Zugriff auf unseren Computer?

Mit dem "User Datagram Protocol" (UDP) werden einzelne Datenpakete von einem Computer zum anderen verschickt. Die beteiligten Programme identifizieren sich durch Port-Nummern. Bei UDP gibt es keine langwierige Aushandlung einer Verbindung; Pakete können sofort verschickt werden. Damit eignet sich das Protokoll sehr gut für Anwendungen, bei denen es auf die Performance ankommt, beispielsweise vernetzte Dateisysteme oder Multimedia-Übertragungen.

Der Nachteil: Pakete können bei diesem Protokoll verloren gehen; ebenso ist die Reihenfolge, in der die Pakete beim Empfänger ankommen, undefiniert. Das Anwendungsprogramm darf sich also nicht auf vollständige Datenintegrität verlassen beziehungsweise muss dafür eigene Mechanismen implementieren. Auch für die Firewall hat UDP Nachteile: Bei ankommenden Paketen ist primär unklar, ob sie eine Reaktion auf eine lokale Anfrage darstellen oder ob ein Fremder einen Zugriff versucht.

Das "Internet Control Message Protocol" (ICMP) ähnelt UDP insofern, als immer nur einzelne Pakete übertragen werden. Allerdings dient ICMP praktisch nie dem Versand von Nutzerdaten; stattdessen transportiert es Statusinformationen über das Netzwerk oder Fehlermeldungen. Umso wichtiger ist es, dass eine korrekt arbeitende Firewall auf ICMP-Pakete eingeht.

Tip a friend    Druckansicht Bookmark and Share
Kommentare

3450 Hits
Wertung: 136 Punkte (11 Stimmen)

Schlecht Gut

Infos zur Publikation

Infos zur Publikation

LinuxUser 05/2014

Aktuelle Ausgabe kaufen:

Heft als PDF kaufen

LinuxUser erscheint monatlich und kostet in der Nomedia-Ausgabe EUR 5,95 und mit DVD EUR 8,50. Weitere Informationen zum Heft finden Sie auf der LinuxUser-Homepage.

Im LinuxUser-Probeabo erhalten Sie drei Ausgaben für 3 Euro. Das Jahresabo (ab EUR 60,60) können Sie im Medialinx-Shop bestellen.

Tipp der Woche

Bilder vergleichen mit diffimg
Bilder vergleichen mit diffimg
Tim Schürmann, 01.04.2014 12:40, 1 Kommentare

Das kleine Werkzeug diffimg kann zwei (scheinbar) identische Bilder miteinander vergleichen und die Unterschiede optisch hervorheben. Damit lassen sich nicht nur Rätsel a la „Orignial und Fäls...

Aktuelle Fragen

programm suche
Hans-Joachim Köpke, 13.04.2014 10:43, 8 Antworten
suche noch programme die zu windows gibt, die auch unter linux laufen bzw sich ähneln sozusagen a...
Funknetz (Web-Stick)
Hans-Joachim Köpke, 04.04.2014 07:31, 2 Antworten
Bei Windows7 brauche ich den Stick nur ins USB-Fach schieben dann erkennt Windows7 Automatisch, a...
Ubuntu 13.10 überschreibt immer Windows 8 Bootmanager
Thomas Weiss, 15.03.2014 19:20, 8 Antworten
Hallo Leute, ich hoffe das ich richtig bin. Ich habe einen Dell Insipron 660 Ich möchte gerne Ub...
USB-PTP-Class Kamera wird nicht erkannt (Windows-only)
Wimpy *, 14.03.2014 13:04, 15 Antworten
ich habe meiner Frau eine Digitalkamera, AGFA Optima 103, gekauft und wir sind sehr zufrieden dam...
Treiber
Michael Kristahn, 12.03.2014 08:28, 5 Antworten
Habe mir ein Scanner gebraucht gekauft von Canon CanoScan LiDE 70 kein Treiber wie bekomme ich de...