aufmacher.jpg

Private Feuerwände

Paketfilter-Firewall

01.05.2002
Eine Firewall sollte heutzutage zum unverzichtbaren Sicherheitsrepertoire jedes vernetzten Computers gehören. Aktuelle Linux-Distributionen liefern die Software dazu mit – man muss sie nur benutzen können.

Eine Firewall kontrolliert, welche Daten Ihren Computer passieren. Sie überwacht ankommende ebenso wie abgehende Pakete. So verhindert sie einerseits den Zugriff fremder Personen auf Ihr System. Gleichzeitig schützt sie vor Fehlern der eigenen Software sowie vor unerwünschten Programmen: Auch der eigene Computer muss sich an die Regeln halten. Der Informationsfluss wird so in beiden Richtungen reglementiert.

Dank der exzessiven Konfigurationsoptionen der Linux-eigenen Firewall-Mechanismen haben Sie alle Möglichkeiten zur beliebig exakten Abdichtung Ihres Systems. Leider heißt das auch, dass eine wirklich sichere Firewall gar nicht so einfach zu bekommen ist.

Wie arbeitet eine Firewall?

Wenn ein Computer Daten mit anderen Rechnern austauscht, verpackt er sie immer in Paketen. Die im Linux-Kernel eingebaute Firewall-Funktionalität sieht sich jedes dieser Pakete an und entscheidet anhand bestimmter Kriterien, was mit ihm geschehen soll. Im überwiegenden Fall wird sie es ganz normal annehmen und an die zuständige Stelle weiterleiten (auf Befehlsseite heißt das ACCEPT), alternativ kommt das Verwerfen eines unerwünschten Paketes (DROP) in Betracht. Eine ganze Reihe zusätzlicher Aktionen sind vor allem für fortgeschrittene Anwender interessant.

Die Firewall selbst besteht aus zahlreichen Regeln, die nacheinander abgearbeitet werden. Jedes Datenpaket wird wie in einer Checkliste mit ihnen verglichen. Die erste passende Regel entscheidet, was mit ihm geschieht.

Für die Entscheidung, ob ein Paket akzeptabel ist oder nicht, können Sie in den Firewall-Regeln verschiedene Parameter abfragen. Die wichtigsten sind das verwendete IP-Protokoll (zum Beispiel TCP, UDP oder ICMP), die IP-Adressen von Absender und Empfänger, die Port-Nummern und das Netzwerk-Interface, über das ein Paket empfangen beziehungsweise verschickt wird.

Exkurs: IP-Protokolle

Jedes der über IP abgewickelten Protokolle hat seine Besonderheiten. In welchem Verhältnis sie zu den Protokollen der Anwendungsebene stehen, zeigt Abbildung 1. Dieses Wissen benötigen wir für die Konstruktion der Firewall.

Abbildung 1: IP-Protokolle

Das "Transmission Control Protocol" (TCP) zählt momentan zu den meistgenutzten Protokollen; fast alle klassischen Internet-Dienste verwenden es. TCP kennt den Begriff der Verbindung, die vor der Übertragung aufgebaut und hinterher wieder abgebaut werden muss. Innerhalb einer bestehenden Verbindung garantiert TCP die Integrität der Daten: Falls einzelne Pakete verloren gehen, werden sie automatisch nochmal übertragen. Auch sortiert TCP die Daten richtig, bevor es sie an die Anwendung übergibt.

Für eine Firewall ist TCP insofern praktisch, als man den Aufbau einer Verbindung anhand spezieller Flags im Kopf eines Paketes sehr leicht erkennen kann. So lassen sich Datenströme beurteilen: Gehören sie zu einer Datenübertragung, die durch ein eigenes Client-Programm initiiert wurde, zum Beispiel durch Netscape? Oder versucht jemand aus dem Internet einen (vermutlich unerwünschten) Zugriff auf unseren Computer?

Mit dem "User Datagram Protocol" (UDP) werden einzelne Datenpakete von einem Computer zum anderen verschickt. Die beteiligten Programme identifizieren sich durch Port-Nummern. Bei UDP gibt es keine langwierige Aushandlung einer Verbindung; Pakete können sofort verschickt werden. Damit eignet sich das Protokoll sehr gut für Anwendungen, bei denen es auf die Performance ankommt, beispielsweise vernetzte Dateisysteme oder Multimedia-Übertragungen.

Der Nachteil: Pakete können bei diesem Protokoll verloren gehen; ebenso ist die Reihenfolge, in der die Pakete beim Empfänger ankommen, undefiniert. Das Anwendungsprogramm darf sich also nicht auf vollständige Datenintegrität verlassen beziehungsweise muss dafür eigene Mechanismen implementieren. Auch für die Firewall hat UDP Nachteile: Bei ankommenden Paketen ist primär unklar, ob sie eine Reaktion auf eine lokale Anfrage darstellen oder ob ein Fremder einen Zugriff versucht.

Das "Internet Control Message Protocol" (ICMP) ähnelt UDP insofern, als immer nur einzelne Pakete übertragen werden. Allerdings dient ICMP praktisch nie dem Versand von Nutzerdaten; stattdessen transportiert es Statusinformationen über das Netzwerk oder Fehlermeldungen. Umso wichtiger ist es, dass eine korrekt arbeitende Firewall auf ICMP-Pakete eingeht.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

  • Iptables-GUIs im Vergleich
    Mit dem richtigen Werkzeug ist das Einrichten einer Desktop-Firewall keine Kunst. Wo die distributionseigenen Tools schwächeln, helfen clevere Alternativen weiter.
  • Grafische Firewall-Administration mit FWBuilder 2.0
    Linux bringt eine leistungsfähige Firewall mit. Sie manuell zu konfigurieren, bringt jedoch selbst Profis ins Schwitzen. Mit dem grafischen Firewall Builder dagegen behalten Sie sogar komplexe Regelwerke bequem im Griff.
  • Iptables-Grundlagen für Desktop-Nutzer
    Nicht jeder Linux-Desktop braucht eine Firewall. Mit grafischen Werkzeugen lässt sie sich aber bei Bedarf im Handumdrehen einrichten.
  • Sicher und zuverlässig
    Funktioniert Ihr Netzwerk wie gewünscht? Ist es sicher? Mit den passenden Werkzeugen überprüfen Sie jeden Aspekt des Netzes und sichern es mit einfachen Maßnahmen gegen den Großteil möglicher Angriffe ab.
  • Feuerfest
    Steht dem PC das Tor zum Internet offen, sollte man einen Wächter engagieren, der unerwünschte Gäste draußen hält. Iptables ist solch ein qualifizierter Türsteher.
Kommentare

Infos zur Publikation

LU 11/2014: VIDEOS BEARBEITEN

Digitale Ausgabe: Preis € 4,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Schnell Multi-Boot-Medien mit MultiCD erstellen
Schnell Multi-Boot-Medien mit MultiCD erstellen
Tim Schürmann, 24.06.2014 12:40, 0 Kommentare

Wer mehrere nützliche Live-Systeme auf eine DVD brennen möchte, kommt mit den Startmedienerstellern der Distributionen nicht besonders weit: Diese ...

Aktuelle Fragen

Artikelsuche
Erwin Ruitenberg, 09.10.2014 07:51, 1 Antworten
Ich habe seit einige Jahre ein Dugisub LinuxUser. Dann weiß ich das irgendwann ein bestimmtes Art...
Windows 8 startet nur mit externer Festplatte
Anne La, 10.09.2014 17:25, 6 Antworten
Hallo Leute, also, ich bin auf folgendes Problem gestoßen: Ich habe Ubuntu 14.04 auf meiner...
Videoüberwachung mit Zoneminder
Heinz Becker, 10.08.2014 17:57, 0 Antworten
Hallo, ich habe den ZONEMINDER erfolgreich installiert. Das Bild erscheint jedoch nicht,...
internes Wlan und USB-Wlan-Srick
Gerhard Blobner, 04.08.2014 15:20, 2 Antworten
Hallo Linux-Forum: ich bin ein neuer Linux-User (ca. 25 Jahre Windows) und bin von WIN 8 auf Mint...
Server antwortet mit falschem Namen
oin notna, 21.07.2014 19:13, 1 Antworten
Hallo liebe Community, Ich habe mit Apache einen Server aufgesetzt. Soweit, so gut. Im Heimnet...