Home / LinuxUser / 2007 / 01 / Brandmelder

Top-Beiträge

GIMP - Auswahl: Vordergrundauswahl
(292 Punkte bei 26 Stimmen)
Ein erstes Resümee
(285 Punkte bei 34 Stimmen)
GIMP lässt mich alt aussehen
(236 Punkte bei 16 Stimmen)
Pen und Touch
(236 Punkte bei 9 Stimmen)
Fotomontage auch ohne Obst und Kekse!
(223 Punkte bei 13 Stimmen)

Heftarchiv

LinuxUser Heftarchiv

EasyLinux Heftarchiv

Ubuntu User Heftarchiv

Partner-Links:

Shopping
Topsuche
 
Yatego Deutschlands größte Shoppingmall. 8500 Shops,
3.1 Mio Artikel. Alle Bestseller, Gutscheine und Themenwelten.

Notebooks und Netzwerkhardware bei Mercateo günstig kaufen.
Internet Telefonie mit VoIP Telefonen von Gigaset
Das B2B Portal www.Linx.de informiert über Produkte und Dienstleistungen.
Bei Freeware bietet Ihnen kostenlose Software Downloads von Programmen.
Günstige Digitalkameras finden Sie im Preisvergleich.

Brandmelder

Personal Firewall mit Firestarter

Whitelist

Die Strategie, nur erwünschte Verbindungen explizit zu erlauben, macht naturgemäß mehr Aufwand. Dafür verringert sich die Angriffsfläche enorm. Im Falle einer restriktiven Policy gilt es, alle benötigten Dienste und Kommunikationspartner bei der Firewall anzumelden.

Normalerweise stellt man die Policy von Iptables mit der Option -P ein. Firestarter geht jedoch einen eigenen Weg und bildet einen entsprechenden Regelsatz, der den Bedürfnissen eines Normalverbrauchers eher entgegenkommt: Auch unter der restriktiven "Whitelist"-Einstellung bleiben alle "lebensnotwendigen" Verbindungen weiter offen. Dazu zählen alle Dienste auf dem lokalen Host 127.0.0.1, wie der Druckerdienst oder der X-Window-Server. Auch die bereits laufenden Verbindungen werden beim Umschalten nicht sofort gekappt.

Bei der Erstellung eines Basissatzes an Regeln hilft Ihnen die Tabelle "Wichtige TCP- und UDP-Ports". Geben Sie die dort aufgeführten Ports frei, so können Sie im Internet surfen, Mails versenden und empfangen, Dateien per FTP übertragen und die Uhrzeit mit Hilfe des Network Time Protocols (NTP) mit einem Zeitserver im Internet abgleichen.

Für die Einrichtung der Regeln rufen Sie in Firestarter den Reiter Richtlinien auf. Die Auswahlbox für die Richtung des Netzverkehrs stellen Sie auf Richtlinie für ausgehenden Verkehr und aktivieren die Option Einschränkende Voreinstellung; Whitelist Verkehr. Im untersten Eingabefeld (Erlaube Dienst) fügen Sie nun über einen Klick mit der rechten Maustaste eine Regel für ausgehende Dienste hinzu.

Es erscheint ein Dialogfenster, wie in Abbildung 3 dargestellt. Dort geben Sie den Dienst direkt mit seiner Portnummer an oder wählen ihn über seinen Namen aus der entsprechenden Auswahlliste. Den Dienst POP3S für den sicheren Mailversand finden Sie in der Auswahlliste aber nicht. Erst bei Eingabe der entsprechenden Portnummer 995 erscheint er im Namensfeld.

Abbildung 3: Die hier definierte Regel ermöglicht den sicheren E-Mail-Empfang via POP3S.

Wichtige TCP- und UDP-Ports

Port

Erläuterung

Protokoll

80 Browsen mit HTTP TCP
443 Browsen verschlüsselt mit HTTPS TCP
25 Mails versenden mit SMTP TCP
110 Mails abrufen mit POP3 TCP
995 Mails verschlüsselt mit POP3S abrufen TCP
53 Namensauflösung (DNS) TCP, UDP
20,21 Dateitransfer mit FTP und FTP-DATA TCP
123 Zeitdienst NTP TCP, UDP
22 Secure Shell SSH TCP
68 Dynamische IP-Adresszuordnung (DHCP) TCP, UDP

Im gleichen Dialogfeld geben Sie auch die erlaubte Quelle der Verbindung an. Für den PC, auf dem die Firewall läuft, ist das der Firewall-Rechner. Bei Bedarf geben Sie hier stattdessen ein bestimmtes Netzwerk, grundsätzlich jeden Rechner (Jeder) oder alle LAN Clients an. Als LAN Clients gelten alle Rechner im lokalen Netzwerk, die sich über den entsprechenden Netzwerkadapter erreichen lassen. Das dazugehörige Interface definieren Sie bei Bedarf über den Menüpunkt Bearbeiten | Einstellungen | Firewall | Netzwerkeinstellungen.

Abbildung 4 zeigt einen kleinen Regelsatz für die Firewall. Der Eintrag 192.168.50.21 im Feld Verbindungen zulassen zu Rechner erlaubt die uneingeschränkte Kommunikation mit der angegebenen IP-Adresse. Verbindungsaufnahmen von diesem Rechner zum lokalen PC blockiert die Firewall allerdings.

Abbildung 4: Hier sehen Sie eine typische Grundkonfiguration für den ausgehenden Datenverkehr.

Eingehender Verkehr

Die Richtlinien für eingehenden Verkehr erreichen Sie ebenfalls auf dem Reiter Richtlinien über die Auswahlbox für die Richtung des Netzverkehrs (Bearbeiten der). In den beiden Eingabefeldern unterhalb davon geben Sie neue Regeln ein, indem Sie das entsprechende Dialogfeld über einen Rechtsklick mit der Maus aufrufen.

Abbildung 5: Den Zugriff von außen auf den abgesicherten Rechner regeln Sie über die Richtlinie für eingehenden Verkehr.

Im oberen der beiden Fenster räumen Sie je nach Bedarf einzelnen Rechnern oder ganzen Netzwerken unbeschränkten Zugriff auf alle Dienste der lokalen Maschine ein. Dazu identifizieren Sie den zugreifenden Rechner entweder über seine IP-Adresse oder den Hostnamen. Um das komplette lokale Netz anzugeben, ersetzen das letzte Byte der IP-Adresse Ihres Rechner durch "0", im Beispiel aus den Abbildungen also 192.168.50.0.

Sicherer ist es jedoch, den Zugriff auf die Dienste explizit zu regeln. Das erledigen Sie über das untere der zwei Eingabefelder. Bei einem Rechtsklick mit der Maus erscheint eine Dialogbox, die fast genauso aussieht, wie die aus Abbildung 3. Es fehlt lediglich in der Auswahlliste der möglichen Quellen der eigene Rechner – was bei eingehendem Verkehr ja durchaus Sinn macht.

Auch hier wählen Sie über den Namen oder die Portnummer den zu gestattenden Dienst. Als mögliche Quellen für Anfragen kommen bei bei ausgehendem Verkehr grundsätzlich alle Rechner (Jeder), das lokale Netz (LAN Clients) oder einzelne Rechner beziehungsweise Netzwerke in Frage.

Am sichersten fahren Sie hier, wenn Sie nur einzelnen Rechnern Zugriff auf genau definierte Dienste gestatten. Ein typischer Fall: Sie wollen bei Bedarf von einem anderen Rechner im lokalen Netz aus per Secure Shell auf den per Firewall abgesicherten PC zugreifen. Eine entsprechende Konfiguration zeigt Abbildung 6.

Abbildung 6: Diese Regel erlaubt dem Rechner mit der IP-Adresse 192.168.50.21 die Verbindungsaufnahme via SSH.

Aktuelles Heft bestellen
Kommentare
Einem Freund empfehlen    Druckansicht

Hits
Wertung: 89 Punkte (26 Stimmen)

Infos zum Autor

Marcus

Marcus Nasarek

Marcus Nasarek ist Security Professional und auf der Suche nach der Frage, die zur Antwort "42" passt. Und er glaubt, dass das nur mit einer Konsole auf einem vernüftigen Betriebssystem gelingen kann.

Zum Blog von Marcus Nasarek →


Infos zur Publikation

LinuxUser erscheint monatlich und kostet in der Nomedia-Ausgabe EUR 5,50 und mit DVD EUR 8,50. Weitere Informationen zum Heft finden Sie auf der LinuxUser-Homepage.

Im LinuxUser-Probeabo erhalten Sie drei Ausgaben für 3 Euro. Das Jahresabo (ab EUR 56,10) können Sie im LNM-Shop bestellen.

Tipp der Woche

Grafische Oberfläche sofort beenden
Grafische Oberfläche sofort beenden
Marcel Hilzinger, 05.09.2010 22:11, 2 Kommentare

Wer schon länger mit Linux arbeitet, kennt die Tastenkombination [Strg]+[Alt]+[Rücktaste] vermutlich bestens. Damit lässt sich der X-Server sofort beenden, was hilfreich sein kann, wenn die gr...

Aktuelle Fragen

Standard-Arbeitsflächen-Behälter
Reinhard Ahl, 06.09.2010 18:51, 0 Antworten
In openSUSE 11.3 lässt sich bei den Arbeitsflächen-Einstellungen der Standard-Arbeitsflächen-Behä...
Komme nicht auf die Gnome Benutzeroberfläche
Daniel A., 04.09.2010 12:59, 2 Antworten
Hallo, für meinen alten F Siemens Amilo Pro habe ich mir etwas ganz besonderes überlegt. Linu...
procmail hilfe
Nikos G, 03.09.2010 17:08, 2 Antworten
Hallo, ich habe folgendes Problem: Wenn jemand z.B von mail1@gmx.de uns eine mail an mehrere E...
Auf Linux umsteigen zu kompliziert? Bitte um Rat!
Sandra Wagner, 03.09.2010 15:48, 9 Antworten
Hallo zusammen, bin ganz neu hier und bisher kein Linux-Nutzer. Ein neues Notebook steht an. D...
SUSE und Windows parallel betreiben, reparieren des BOOTMANAGERS
oli m., 31.08.2010 10:17, 6 Antworten
ich betreibe XP, VISTA, W7 und SUSE parallel auf einer Festplatte. wenn ich SUSE als letztes ins...