Aufmacher

Kein Durchgang

Firewall-Konfiguration mit KMyFirewall

01.01.2007
Unter KDE bietet KMyFirewall ein komfortables grafische Frontend zur Konfiguration des Iptables-Paketfilters.

In Zeiten des weltumspannenden Internets und der permanent gegebenen Gefahren durch böswillige Angreifer ist es wichtiger denn je, den eigenen PC oder das eigene Netzwerk gegen Angriffe effektiv abzusichern. Hierzu dienen Firewalls. Erfreulicherweise bringt das freie Betriebssystem Linux so ein System gleich mit. Zudem integrieren immer mehr Entwickler eine sinnvolle Firewallkonfiguration bereits in die Minimalinstallation des Linux-Systems, so dass Sie nicht wie bei anderen – interessanterweise besonders löchrigen – Systemen erst die Sicherheit teuer zusätzlich zu bezahlen brauchen.

Die Bandbreite der unter Linux einsatzfähigen Firewallsysteme ist enorm: Sie reicht von auf den eigentlichen Einsatzzweck beschränkten Firewalls wie Firestarter oder FWBuilder, die größtenteils auf die in Linux bereits – ab Werk – implementierten Sicherheitslösungen Iptables/Netfilter aufsetzen, über komplette von CD oder DVD startbare reine Firewall-Distributionen wie IPCop, die zusätzlich auch noch Serverfunktionen integrieren, bis hin zu oftmals teuren kommerziellen Lösungen wie Checkpoint, Injoy oder Gateprotect.

Diese bieten meist zusätzliche Funktionalität wie den Aufbau eines durch VPN-Tunneling gesicherten Netzwerkes oder so genannte QoS-Dienste (Quality of Service), welche nichts anderes bezeichnen als eine Bandbreitenregulierung und Lastverteilung – was insbesondere bei großen LANs mit schwachbrüstigen DSL- oder ISDN-Zugängen von Nutzen ist.

Was die reine Firewallkonfiguration anbetrifft, so bieten diese Lösungen meistens nicht wesentlich mehr Funktionalität als die Open-Source-Programme, da letztere aufgrund der seit Version 2.4 in den Linux-Kernel integrierten Iptables/Netfilter-Firewall ebenfalls über ein sehr leistungsfähiges System als Basis verfügen. Neben der reinen Paketfilterung beherrscht es auch die so genannte Stateful Inspection, es kann also komplette Datenströme analysieren und gegebenenfalls abblocken.

Graue Theorie

Grundsätzlich kommt jeder interessierte Anwender, der die Sicherheitsthematik ernst nimmt, nicht um ein gewisses Basiswissen herum, soll sich die Firewall nicht hinterher löchriger als ein Schweizer Käse erweisen. Die grundlegenden Protokolle, um die es beim Einrichten einer Firewall geht, sind primär das TCP- und das UDP-Protokoll sowie das ICMP-Protokoll.

Das TCP-Protokoll dient hauptsächlich – vereinfacht ausgedrückt – als Kontrollprotokoll der Kommunikation über IP. Zwei Rechner, die Kontakt miteinander über TCP/IP aufnehmen, bauen die Verbindung nicht nur über das recht umständlich wirkende Standardverfahren (in der Fachsprache: "Three-way-handshake") auf und nach dem Senden der Daten wieder ab, sondern es wird auch "ausgehandelt", wann Empfangsbestätigungen gesendet werden müssen. Bleibt die Empfangsbestätigung aus, so werden die seit der letzten Bestätigung versandten Daten nochmals auf die Reise geschickt, um die Integrität der Datenströme zu gewährleisten.

Damit über eine einzige Verbindung gleichzeitig mehrere Datenströme zu verschiedenen Anwendungsprogrammen gelangen können, arbeitet TCP Port-orientiert. Jede Anwendung hat einen standardisierten Port auf der Serverseite, über den die Datenströme zu ihrem Empfänger geleitet werden. Auf der Clientseite sind die Ports frei wählbar.

Das UDP-Protokoll ist zwar ebenso wie TCP ein auf Layer 4 des ISO/OSI-Schichtenmodells angesiedeltes Protokoll zur Datenübertragung, es arbeitet jedoch verbindungslos: Die Datenübertragung wird nicht kontrolliert. Durch diese fehlende Kontrolle ist UDP naturgemäß erheblich schneller als TCP.

Beim ICMP-Protokoll handelt es sich um ein auf Layer 3 des ISO/OSI-Schichtenmodells angesiedeltes Protokoll. Es dient der Übermittlung von Fehler- und Diagnosenachrichten. Die bekannteste Anwendung des ICMP-Protokolls ist der so genannte Ping, mit dem man die Erreichbarkeit eines Rechners im Internet oder auch im lokalen Netz mittels eines Ping-Pong-Verfahrens überprüft.

Iptables/Netfilter

Mit der Kernelversion 2.4 löste Iptables/Netfilter die zuvor verwendeten Firewallsysteme Ipchains und – zu Urzeiten – IPFwAdm abgelöst. Dabei blieb die Befehlssyntax unter Iptables nahezu identisch mit jener von Ipchains, so dass ältere Semester in der Netzwerkadministration unter Linux nicht komplett umdenken mussten. Die Iptables-Firewall wird – wie der Name bereits andeutet – in Form von Tabellen in Textform konfiguriert.

In einer Textdatei definiert man also Regeln und Regelketten für den Umgang mit Datenpaketen. Auf jedes Paket wird der Regelkanon angewendet. Zusätzlich zur reinen Paketfilterung beherrscht Iptables/Netfilter auch noch die Adressumsetzung (NAT). Voraussetzung für den Einsatz der Iptables/Netfilter-Komponente ist ein entsprechend vorkonfigurierter Kernel, bei dessen Kompilierung die Firewall aktiviert wurde.

Dies ist bei allen neueren Distributionen der Fall, so dass eine entsprechende Iptables-Regelkettentabelle lediglich im entsprechenden Runlevel eingetragen werden muss, um bei jedem Hochfahren des Systems aktiviert zu werden.

Doch es gibt stets zwei Seiten einer Medaille: So schön es klingt, Regeln in Tabellenform zu entwerfen, so schnell kann eine solche Regeltabelle auch unübersichtlich werden und dann unter Umständen ihren Zweck durch eine unbrauchbare Konfiguration verfehlen. Viele Anwender, die nur jene Betriebssysteme kennen, die nahezu ausschließlich mit der Maus zu bedienen sind, schreckt zudem die Arbeit auf der Kommandozeile ab.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

  • Frontends für Iptables
    Der Umgang mit iptables leicht gemacht
  • Grafische Firewall-Administration mit FWBuilder 2.0
    Linux bringt eine leistungsfähige Firewall mit. Sie manuell zu konfigurieren, bringt jedoch selbst Profis ins Schwitzen. Mit dem grafischen Firewall Builder dagegen behalten Sie sogar komplexe Regelwerke bequem im Griff.
  • Iptables-GUIs im Vergleich
    Mit dem richtigen Werkzeug ist das Einrichten einer Desktop-Firewall keine Kunst. Wo die distributionseigenen Tools schwächeln, helfen clevere Alternativen weiter.
  • Paketfilter-Firewall
    Eine Firewall sollte heutzutage zum unverzichtbaren Sicherheitsrepertoire jedes vernetzten Computers gehören. Aktuelle Linux-Distributionen liefern die Software dazu mit – man muss sie nur benutzen können.
  • Zugang gesperrt
    Sorgfältige Benutzer setzen Wert auf Sicherheit. Die Firewallwerkzeuge von Ubuntu helfen Ihnen, Eindringlinge von Ihrem System fernzuhalten.
Kommentare

Infos zur Publikation

LU 05/2015: Daten visualisieren

Digitale Ausgabe: Preis € 4,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Grammatikprüfung in LibreOffice nachrüsten
Grammatikprüfung in LibreOffice nachrüsten
Tim Schürmann, 24.04.2015 19:36, 0 Kommentare

LibreOffice kommt zwar mit einer deutschen Rechtschreibprüfung und einem guten Thesaurus, eine Grammatikprüfung fehlt jedoch. In ältere 32-Bit-Versionen ...

Aktuelle Fragen

Admin Probleme mit Q4os
Thomas Weiss, 30.03.2015 20:27, 6 Antworten
Hallo Leute, ich habe zwei Fragen zu Q4os. Die Installation auf meinem Dell Latitude D600 verl...
eeepc 1005HA externer sound Ausgang geht nicht
Dieter Drewanz, 18.03.2015 15:00, 1 Antworten
Hallo LC, nach dem Update () funktioniert unter KDE der externe Soundausgang an der Klinkenbuc...
AceCad DigiMemo A 402
Dr. Ulrich Andree, 15.03.2015 17:38, 2 Antworten
Moin zusammen, ich habe mir den elektronischen Notizblock "AceCad DigiMemo A 402" zugelegt und m...
Start-Job behindert Bootvorgang, Suse 13.2, KDE,
Wimpy *, 20.02.2015 10:32, 4 Antworten
Beim Bootvorgang ist ein Timeout von 1 Min 30 Sec. weil eine Partition sdb1 gesucht und nicht gef...
Konfiguration RAID 1 mit 2 SSDs: Performance?
Markus Mertens, 16.02.2015 10:02, 6 Antworten
Hallo! Ich möchte bei einer Workstation (2x Xeon E5-2687Wv3, 256GB RAM) 2 SATA-SSDs (512GB) al...