 "Aufmacher Artikel")
Im Zug, im Büro oder im Wohnzimmer: Das Internet ist überall – und damit sein Nutzen, aber auch seine Gefahren. In der Firma schotten Fachkräfte mit Hilfe von Firewalls die Arbeitscomputer vor Attacken aus dem globalen Netz ab. Am Rechner daheim mutiert jeder User zum Admin, der für die Sicherheit des Systems verantwortlich zeichnet. Linux bringt die dafür nötige Firewall-Technologie bereits auf Kernel-Ebene mit: den Paketfilter IPtables.
Der direkte Umgang mit dem Paketfilter und seinen Kommandozeilenwerkzeugen bleibt jedoch eher Profis vorbehalten, die hauptamtlich Firewalls administrieren (Kasten 1). Der Rest der Linux-Welt greift lieber auf eingängigere Konfigurationshilfen zurück. Eine hervorragende Wahl stellt hier der Firewall Builder von Vadim Kurland dar.
Kasten 1: Manuell geregelt
Alle Daten, die über ein Netzwerk von Computer A zu Computer B gelangen sollen, teilt A in Pakete auf, verschnürt sie und schickt sie einzeln auf die Reise. Jedes Paket muss mindestens seine Absenderadresse, eine Angabe über den Pakettyp und die Empfängeradresse plus einige administrative Details vorweisen, damit es ans Ziel gelangt. Diese Daten finden sich als so genannter Header am Anfang des Pakets [4]. Die tatsächlichen zu übermittelnden Nutzdaten liegen im "Body".
Ein Paketfilter entscheidet anhand des Headers, was mit dem Paket auf seinem Weg zum Ziel geschehen soll. Dabei stehen ihm drei Möglichkeiten zur Auswahl: Accept, Deny und Reject. Während Deny ("verweigern") das Paket kommentarlos entsorgt, verhält sich Reject ("zurückweisen") höflich und teilt dem Absender mit, dass das Paket nicht zugestellt wurde. Bei Accept ("annehmen") leitet der Paketfilter das Paket an die Zieladresse weiter.
Der Linux-Paketfilter IPtables verwendet Filterregel-Listen für ein- und ausgehende sowie weiterzuleitende Pakete. Sie tragen den Namen INPUT-, OUTPUT- und FORWARD-Kette. Das Programm iptables nimmt, vereinfacht dargestellt, entsprechende Regelanweisungen des Benutzers root entgegen und reicht sie an die zugehörigen Ketten (Chains) der Filtertabellen des Kernel weiter. Ein Beispiel:
iptables -A INPUT -s 192.168.1.1 ↩ -p icmp -j DROP
Diese Zeile fügt eine Regel an (Option -A), die alle eingehenden Pakete (INPUT-Kette) des Absenders mit der IP-Adresse 192.168.1.1 (-s Quelladresse) kommentarlos verwirft (-j DROP) – vorausgesetzt, es handelt sich um ICMP-Pakete (Option -p icmp). Dazu zählen beispielsweise Ping-Pakete.
Auf diese Weise erstellt der Firewall-Administrator für jede Steuerungsanweisung je eine spezifische Regel [5]. Um das nicht nach jedem Reboot neu zu erledigen zu müssen und um sich Tipparbeit zu sparen, schreibt er ein Shell-Skript, das er in den Boot-Prozess einbindet. Beim Systemstart fügt das Skript dann alle Regeln in den Kernel ein.
Das Gespann aus IPtables und Firewall Builder benötigt als Grundlage mindestens Kernel 2.3.15, übersetzt mit der Option CONFIG_NETFILTER. Alle gängigen Distributionen weisen diese Voraussetzungen seit längerem bereits auf. Suse-Benutzer müssen aber aufpassen: Die Nürnberger konfigurieren standardmäßig eine eigene Personal Firewall vor, die ebenfalls IPtables verwendet. Um Konfigurationskonflikte zu vermeiden, empfiehlt es sich, vor jeglichen Gehversuchen mit FWBuilder die Suse-Firewall abzuschalten. Dazu starten Sie YaST, öffnen Sicherheit | Firewall und wählen Firewall stoppen und aus dem Bootprozess entfernen aus. Aber auch auf anderen Distributionen gilt analog: Erst eine vorhandene Firewall deaktivieren, bevor FWBuilder neue Regeln scharf schaltet.
Die Basis
Ob der Kernel IPtables tatsächlich unterstützt, lässt sich recht leicht nachprüfen. Dazu sind aber Root-Rechte nötig – tippen Sie also su und danach das Root-Passwort ein. Das folgende Kommando iptables -L listet die vorhandene Regelketten.
Bei einer inaktiven Firewall ohne Regelsatz sollten lediglich die drei Standardketten sowie die Überschriften der zukünftigen Regeln (target, prot, opt, source, destination) zum Vorschein kommen. Erscheinen diese nicht, scheitert die Ausgabe entweder an der Kernel-Version, oder das Userspace-Werkzeug iptables fehlt bzw. liegt nicht im Pfad.
Mit dem Studium entsprechender Dokumentation – etwa Webseiten, Man-Pages und Howtos – sowie einer gehörigen Portion Ausdauer schaffen es auch Firewall-Novizen, ihren Schutzwall Regel für Regel selbst aufzusetzen. Einen einzelnen Heim-PC ausreichend abzuschotten, erfordert allerdings bereits ein paar Dutzend kryptischer iptables-Kommandos. Ein kleines Heimnetz mit wenigen Clients macht bereits Regelskripte mit über hundert Einträgen notwendig, bei komplexeren Setups steigt der Aufwand weiter. Außerdem fallen lange Regelskripte unübersichtlich und damit fehleranfällig und potenziell unsicher aus.
Gebt mir ein GUI
Für mehr Übersicht im Regelwald sorgt der Firewall Builder. Das GPL-lizenzierte Programm arbeitet als Managementapplikation, die Filterregeln für eine Firewall erstellt. Beim FWBuilder arbeitet der Benutzer mit grafischen Objektbeziehungen. Als Ziel-Firewall kommen neben Linux auch BSD-Paketfilter oder kommerzielle Firewalls in Frage.
Managementkonsole und Firewall werden in professionellen Umgebungen üblicherweise getrennt installiert, auch FWBuilder macht das problemlos möglich. Das Programm läuft auf Linux, auf BSD-Systemen, Mac OS X sowie Windows 2000 und XP. Im Fall von Linux und BSD ist es auch möglich, Firewall und Firewall Builder für kleine Heimnetze oder Notebooks auf derselben Maschine zu betreiben.
Die Linux-Installation des Firewall Builder 2.0.6 verläuft dank fertiger RPMs für Suse, Fedora und Mandrake recht einfach. Auf Sourceforge liegen die Pakete zum Download [2], zusätzlich befinden sie sich auf der Heft-CD. Die FWBuilder-Pakete für Suse 9.1 funktionieren auch unter Suse Linux 9.2. Achtung: Vadim Kurland hat seine Software in mehrere Einzelkomponenten zerlegt, die er auch als Einzel-RPM anbietet. Mindestens drei davon müssen installiert sein, damit FWBuilder funktioniert: Zuerst die Bibliothek libfwbuilder-2.0.6-1.Distribution.rpm., danach FWBuilder selbst (fwbuilder-2.0.6-1.Distribution.rpm) sowie der so genannte Policy-Compiler für die IPtables-Regeln (fwbuilder-ipt-2.0.6-1.Distribution.rpm).
Einem Freund empfehlen
