Brandmelder
Personal Firewall mit Firestarter
Whitelist
Die Strategie, nur erwünschte Verbindungen explizit zu erlauben, macht naturgemäß mehr Aufwand. Dafür verringert sich die Angriffsfläche enorm. Im Falle einer restriktiven Policy gilt es, alle benötigten Dienste und Kommunikationspartner bei der Firewall anzumelden.
Normalerweise stellt man die Policy von Iptables mit der Option -P ein. Firestarter geht jedoch einen eigenen Weg und bildet einen entsprechenden Regelsatz, der den Bedürfnissen eines Normalverbrauchers eher entgegenkommt: Auch unter der restriktiven "Whitelist"-Einstellung bleiben alle "lebensnotwendigen" Verbindungen weiter offen. Dazu zählen alle Dienste auf dem lokalen Host 127.0.0.1, wie der Druckerdienst oder der X-Window-Server. Auch die bereits laufenden Verbindungen werden beim Umschalten nicht sofort gekappt.
Bei der Erstellung eines Basissatzes an Regeln hilft Ihnen die Tabelle "Wichtige TCP- und UDP-Ports". Geben Sie die dort aufgeführten Ports frei, so können Sie im Internet surfen, Mails versenden und empfangen, Dateien per FTP übertragen und die Uhrzeit mit Hilfe des Network Time Protocols (NTP) mit einem Zeitserver im Internet abgleichen.
Für die Einrichtung der Regeln rufen Sie in Firestarter den Reiter Richtlinien auf. Die Auswahlbox für die Richtung des Netzverkehrs stellen Sie auf Richtlinie für ausgehenden Verkehr und aktivieren die Option Einschränkende Voreinstellung; Whitelist Verkehr. Im untersten Eingabefeld (Erlaube Dienst) fügen Sie nun über einen Klick mit der rechten Maustaste eine Regel für ausgehende Dienste hinzu.
Es erscheint ein Dialogfenster, wie in Abbildung 3 dargestellt. Dort geben Sie den Dienst direkt mit seiner Portnummer an oder wählen ihn über seinen Namen aus der entsprechenden Auswahlliste. Den Dienst POP3S für den sicheren Mailversand finden Sie in der Auswahlliste aber nicht. Erst bei Eingabe der entsprechenden Portnummer 995 erscheint er im Namensfeld.
Abbildung 3: Die hier definierte Regel ermöglicht den sicheren E-Mail-Empfang via POP3S.
Wichtige TCP- und UDP-Ports
| Port | Erläuterung | Protokoll |
|---|---|---|
| 80 | Browsen mit HTTP | TCP |
| 443 | Browsen verschlüsselt mit HTTPS | TCP |
| 25 | Mails versenden mit SMTP | TCP |
| 110 | Mails abrufen mit POP3 | TCP |
| 995 | Mails verschlüsselt mit POP3S abrufen | TCP |
| 53 | Namensauflösung (DNS) | TCP, UDP |
| 20,21 | Dateitransfer mit FTP und FTP-DATA | TCP |
| 123 | Zeitdienst NTP | TCP, UDP |
| 22 | Secure Shell SSH | TCP |
| 68 | Dynamische IP-Adresszuordnung (DHCP) | TCP, UDP |
Im gleichen Dialogfeld geben Sie auch die erlaubte Quelle der Verbindung an. Für den PC, auf dem die Firewall läuft, ist das der Firewall-Rechner. Bei Bedarf geben Sie hier stattdessen ein bestimmtes Netzwerk, grundsätzlich jeden Rechner (Jeder) oder alle LAN Clients an. Als LAN Clients gelten alle Rechner im lokalen Netzwerk, die sich über den entsprechenden Netzwerkadapter erreichen lassen. Das dazugehörige Interface definieren Sie bei Bedarf über den Menüpunkt Bearbeiten | Einstellungen | Firewall | Netzwerkeinstellungen.
Abbildung 4 zeigt einen kleinen Regelsatz für die Firewall. Der Eintrag 192.168.50.21 im Feld Verbindungen zulassen zu Rechner erlaubt die uneingeschränkte Kommunikation mit der angegebenen IP-Adresse. Verbindungsaufnahmen von diesem Rechner zum lokalen PC blockiert die Firewall allerdings.
Abbildung 4: Hier sehen Sie eine typische Grundkonfiguration für den ausgehenden Datenverkehr.
Eingehender Verkehr
Die Richtlinien für eingehenden Verkehr erreichen Sie ebenfalls auf dem Reiter Richtlinien über die Auswahlbox für die Richtung des Netzverkehrs (Bearbeiten der). In den beiden Eingabefeldern unterhalb davon geben Sie neue Regeln ein, indem Sie das entsprechende Dialogfeld über einen Rechtsklick mit der Maus aufrufen.
Abbildung 5: Den Zugriff von außen auf den abgesicherten Rechner regeln Sie über die Richtlinie für eingehenden Verkehr.
Im oberen der beiden Fenster räumen Sie je nach Bedarf einzelnen Rechnern oder ganzen Netzwerken unbeschränkten Zugriff auf alle Dienste der lokalen Maschine ein. Dazu identifizieren Sie den zugreifenden Rechner entweder über seine IP-Adresse oder den Hostnamen. Um das komplette lokale Netz anzugeben, ersetzen das letzte Byte der IP-Adresse Ihres Rechner durch "0", im Beispiel aus den Abbildungen also 192.168.50.0.
Sicherer ist es jedoch, den Zugriff auf die Dienste explizit zu regeln. Das erledigen Sie über das untere der zwei Eingabefelder. Bei einem Rechtsklick mit der Maus erscheint eine Dialogbox, die fast genauso aussieht, wie die aus Abbildung 3. Es fehlt lediglich in der Auswahlliste der möglichen Quellen der eigene Rechner – was bei eingehendem Verkehr ja durchaus Sinn macht.
Auch hier wählen Sie über den Namen oder die Portnummer den zu gestattenden Dienst. Als mögliche Quellen für Anfragen kommen bei bei ausgehendem Verkehr grundsätzlich alle Rechner (Jeder), das lokale Netz (LAN Clients) oder einzelne Rechner beziehungsweise Netzwerke in Frage.
Am sichersten fahren Sie hier, wenn Sie nur einzelnen Rechnern Zugriff auf genau definierte Dienste gestatten. Ein typischer Fall: Sie wollen bei Bedarf von einem anderen Rechner im lokalen Netz aus per Secure Shell auf den per Firewall abgesicherten PC zugreifen. Eine entsprechende Konfiguration zeigt Abbildung 6.
Abbildung 6: Diese Regel erlaubt dem Rechner mit der IP-Adresse 192.168.50.21 die Verbindungsaufnahme via SSH.
Einem Freund empfehlen
