Private Feuerwände

Eine Firewall kontrolliert, welche Daten Ihren Computer passieren. Sie überwacht ankommende ebenso wie abgehende Pakete. So verhindert sie einerseits den Zugriff fremder Personen auf Ihr System. Gleichzeitig schützt sie vor Fehlern der eigenen Software sowie vor unerwünschten Programmen: Auch der eigene Computer muss sich an die Regeln halten. Der Informationsfluss wird so in beiden Richtungen reglementiert.

Dank der exzessiven Konfigurationsoptionen der Linux-eigenen Firewall-Mechanismen haben Sie alle Möglichkeiten zur beliebig exakten Abdichtung Ihres Systems. Leider heißt das auch, dass eine wirklich sichere Firewall gar nicht so einfach zu bekommen ist.

Wie arbeitet eine Firewall?

Wenn ein Computer Daten mit anderen Rechnern austauscht, verpackt er sie immer in Paketen. Die im Linux-Kernel eingebaute Firewall-Funktionalität sieht sich jedes dieser Pakete an und entscheidet anhand bestimmter Kriterien, was mit ihm geschehen soll. Im überwiegenden Fall wird sie es ganz normal annehmen und an die zuständige Stelle weiterleiten (auf Befehlsseite heißt das ACCEPT), alternativ kommt das Verwerfen eines unerwünschten Paketes (DROP) in Betracht. Eine ganze Reihe zusätzlicher Aktionen sind vor allem für fortgeschrittene Anwender interessant.

Die Firewall selbst besteht aus zahlreichen Regeln, die nacheinander abgearbeitet werden. Jedes Datenpaket wird wie in einer Checkliste mit ihnen verglichen. Die erste passende Regel entscheidet, was mit ihm geschieht.

Für die Entscheidung, ob ein Paket akzeptabel ist oder nicht, können Sie in den Firewall-Regeln verschiedene Parameter abfragen. Die wichtigsten sind das verwendete IP-Protokoll (zum Beispiel TCP, UDP oder ICMP), die IP-Adressen von Absender und Empfänger, die Port-Nummern und das Netzwerk-Interface, über das ein Paket empfangen beziehungsweise verschickt wird.

Exkurs: IP-Protokolle

Jedes der über IP abgewickelten Protokolle hat seine Besonderheiten. In welchem Verhältnis sie zu den Protokollen der Anwendungsebene stehen, zeigt Abbildung 1. Dieses Wissen benötigen wir für die Konstruktion der Firewall.

Abbildung 1: IP-Protokolle

Das "Transmission Control Protocol" (TCP) zählt momentan zu den meistgenutzten Protokollen; fast alle klassischen Internet-Dienste verwenden es. TCP kennt den Begriff der Verbindung, die vor der Übertragung aufgebaut und hinterher wieder abgebaut werden muss. Innerhalb einer bestehenden Verbindung garantiert TCP die Integrität der Daten: Falls einzelne Pakete verloren gehen, werden sie automatisch nochmal übertragen. Auch sortiert TCP die Daten richtig, bevor es sie an die Anwendung übergibt.

Für eine Firewall ist TCP insofern praktisch, als man den Aufbau einer Verbindung anhand spezieller Flags im Kopf eines Paketes sehr leicht erkennen kann. So lassen sich Datenströme beurteilen: Gehören sie zu einer Datenübertragung, die durch ein eigenes Client-Programm initiiert wurde, zum Beispiel durch Netscape? Oder versucht jemand aus dem Internet einen (vermutlich unerwünschten) Zugriff auf unseren Computer?

Mit dem "User Datagram Protocol" (UDP) werden einzelne Datenpakete von einem Computer zum anderen verschickt. Die beteiligten Programme identifizieren sich durch Port-Nummern. Bei UDP gibt es keine langwierige Aushandlung einer Verbindung; Pakete können sofort verschickt werden. Damit eignet sich das Protokoll sehr gut für Anwendungen, bei denen es auf die Performance ankommt, beispielsweise vernetzte Dateisysteme oder Multimedia-Übertragungen.

Der Nachteil: Pakete können bei diesem Protokoll verloren gehen; ebenso ist die Reihenfolge, in der die Pakete beim Empfänger ankommen, undefiniert. Das Anwendungsprogramm darf sich also nicht auf vollständige Datenintegrität verlassen beziehungsweise muss dafür eigene Mechanismen implementieren. Auch für die Firewall hat UDP Nachteile: Bei ankommenden Paketen ist primär unklar, ob sie eine Reaktion auf eine lokale Anfrage darstellen oder ob ein Fremder einen Zugriff versucht.

Das "Internet Control Message Protocol" (ICMP) ähnelt UDP insofern, als immer nur einzelne Pakete übertragen werden. Allerdings dient ICMP praktisch nie dem Versand von Nutzerdaten; stattdessen transportiert es Statusinformationen über das Netzwerk oder Fehlermeldungen. Umso wichtiger ist es, dass eine korrekt arbeitende Firewall auf ICMP-Pakete eingeht.