 "aufgestaut.jpg")
Das Internet birgt Gefahren, denen die meisten Windows-Anwender mit einer Firewall begegnen. Die kontrolliert, welche Anwendungen von außen auf den Rechner zugreifen dürfen und welche Ports der Anwender geschlossen hält. Der Sinn einer Firewall liegt unter Linux nicht unbedingt auf der Hand: Spielen Sie unter Ubuntu stets zeitnah Sicherheitsupdates ein und bieten keine Dienste im Internet an, dann brauchen Sie keine Firewall. Zudem steckt heute schon in jedem DSL-Router eine Firewall, die ungewollte Verbindungen aus dem Internet auf den Rechner blockieren.
Wer allerdings keine Router-Firewall benutzt, oft unterwegs ist oder sich "mit" einfach sicherer fühlt, kann durchaus eine Firewall benutzen. Seit Version 8.04 liefert Ubuntu mit der Ufw ("Uncomplicated Firewall") einen Paketfilter für die Kommandozeile aus. er kontrolliert und protokolliert auf Basis von Regeln den ein- und ausgehenden Datenverkehr. Ufw stützt sich wiederum auf das im Linux-Kernel steckende Netfilter-Framework, das mit Hilfe der Iptables-Kommandos Pakete filtert, NAT betreibt und Pakete manipuliert (mehr dazu im Kasten "Netfilter/Iptables").
Netfilter/Iptables
Im Netzwerkstack des Kernels stecken die als Netfilter bekannten Hooks, auf die andere Programme zugreifen dürfen. Kernel-Module benutzen diese Hooks, um die von ihnen bearbeiteten Pakete zu untersuchen. Auch die Iptables-Befehle nutzen die Hooks, um Pakete im oben genannten Sinn zu manipulieren und zu filtern.
Diese Iptables-Kommandos empfanden die Ubuntu-Entwickler als zu kompliziert und vereinfachten sie mithilfe von Ufw. Deren kurze Befehle prägen sich wesentlich besser ein, Sie müssen sie allerdings über die Kommandozeile aufrufen. Über sudo ufw enable aktivieren Sie die Firewall, über sudo ufw disable schalten Sie sie wieder ab. Der Befehl sudo ufw status zeigt den aktuellen Betriebszustand an.
Zum Steuern der Firewall gibt es mit Gufw aber mittlerweile auch eine grafische GTK-Oberfläche, die sich nahtlos in den Gnome-Desktop von Ubuntu einfügt. Die neueste Version 0.20.7 finden Sie im Paketmanager von Ubuntu. Alternativ laden Sie aktuelle Versionen von Gufw von der Webseite des Projekts herunter [1]. Die Software nistet sich bei der Installation unter System | Systemverwaltung | Firewall configuration ein.
Tapeten aussuchen
Nach dem Start der Firewall ist diese zunächst inaktiv (Abbildung 1). Setzen Sie ein Häkchen bei Firewall aktiviert, ruft Gufw im Hintergrund Ufw auf und stoppt in der Standardeinstellung über die Funktion Blockiere eingehenden Traffic erst einmal sämtlichen ankommenden Datenverkehr. Nun schaffen Sie Ausnahmen: Entweder lassen Sie sämtlichen Verkehr passieren (über Erlaube eingehenden Traffic) oder setzen etwas feinere Regeln auf, die Sie über die drei Reiter Einfach, Vorkonfiguriert und Erweitert einrichten.
Abbildung 1: Nach dem Start zeigt Ubuntus Firewall, das sie inaktiv ist. Ein Häkchen am rechten Fleck bringt sie auf Trab.
Im ersten Reiter geben Sie dabei lediglich den Namen eines Dienstes oder eine Portnummer in das leere Feld ein. Im Dropdownmenü links daneben wählen Sie Zulassen; rechts daneben bestimmen Sie, ob Gufw nur TCP- respektive UDP-Pakete blockieren soll oder beide.
Während Sie hier explizit wissen müssen, welchen Dienst Sie konfigurieren wollen, schlägt Gufw im Register Vorkonfiguriert einige Dienste und Anwendungen vor, die Sie erlauben können. Im zweiten Ausklappmenü entscheiden Sie sich zwischen Dienst oder Anwendung, im dritten wählen Sie einen konkreten Dienst aus, etwa ipp (für Drucksysteme), nfs (für den Dateientausch in unixoiden Netzwerken) oder imap (für das E-Mail-Protokoll).
Im dritten Reiter Erweitert lassen sich ganze Port-Bereiche sperren oder erlauben. Die Notation für IP-Adressbereiche folgt der CIDR-Notation. Alternativ sorgen Sie dafür, dass nur ein bestimmter Rechner auf einen bestimmten Dienste zugreifen darf. Dazu wählen Sie Zulassen sowie beides und geben dann in die Zeile Von die IP-Adresse des Quellrechners ein. In die Zeile Bis gehört die IP-Adresse des Rechners, auf dem die Firewall läuft, in das Feld rechts daneben die Portnummer des zu erlaubenden Dienstes. Im Beispiel wäre das die 22 für SSH (Abbildung 2). Klicken Sie auf Hinzufügen, um die Konfiguration festzuklopfen. Nun können Sie per SSH von einem über die IP-Adresse definierten Rechner auf den Rechner mit der Firewall zugreifen. FTP- oder Telnet-Zugriffe funktionieren hingegen nicht: Dazu ergänzen Sie die eben erwähnten Daten und machen aus der 22 eine 21 beziehungsweise 23.
Abbildung 2: Sie legen über den Reiter Erweitert gezielt fest, welche Rechner auf welche Dienste zugreifen dürfen. Jeder Dienst erfordert einen eigenen Eintrag.
Eine Übersicht über die Dienste und ihre gewöhnlich verwendeten Portnummern bietet übrigens die Datei /etc/services an. Das Kommando in Listing 1 durchforstet die Datei beispielsweise nach dem Dienst ssh und gibt unter anderem die zugehörige Portnummer aus.
$ cat /etc/services | grep ssh ssh 22/tcp # SSH Remote Login Protocol ssh 22/udp
Natürlich können Sie auch umgekehrt vorgehen: Wählen Sie im Hauptfenster die Option Erlaube eingehenden Traffic, konfigurieren Sie in den drei Reitern lediglich die Dienste und IP-Adressen, die nicht auf den Rechner zugreifen dürfen.
Ferner liefen
Damit erschöpft sich die momentane Funktionalität der Firewall fast schon. Sie warnt nicht, sobald eine bestimmte Anwendung eine Verbindung ins Internet aufbauen will, und gibt auch keinen Laut, wenn ein externer Anwender versucht, sich bei einem blockierten Dienst auf dem System anzumelden. Sie führt allerdings unter /var/log/gufw_log.txt eine eigene Log-Datei, die Änderungen an der Konfiguration protokolliert. Via Datei | Protokoll für den Firewall werfen Sie einen Blick auf diese Daten. Über Datei | Blockierte IP Adressen importieren Sie eine Liste mit IP-Adressen, die den Rechner von außen nicht kontaktieren dürfen. Sie können die Liste natürlich auch selbst anlegen.
Über Bearbeiten | Einstellungen gelangen Sie zu den Voreinstellungen. Dort aktivieren Sie nicht nur die Protokollfunktionen, sondern sorgen mit zwei Häkchen auch dafür, dass beim Start von Gufw ein Symbol in der Systemleiste erscheint und dort auch bleibt, wenn Sie das Programmfenster schließen. Um Gufw komplett zu beenden, klicken Sie mit der rechten Maustaste auf das Icon und wählen Beenden.
Soll die Firewall bei jedem Start automatisch hochfahren, geben Sie das unter System | Einstellungen | Startprogramme | Hinzufügen an. Als Befehl tragen Sie gufw ein. Allerdings müssen Sie zurzeit noch bei jedem Start der grafischen Oberfläche Ihr Passwort eingeben.
Glossar
NAT
steht für Network Address Translation. Fordert ein Rechner mit lokaler IP-Adresse eine Webseite an, ersetzt NAT die private durch eine öffentliche IP-Adresse und leitet die Anfrage weiter. Kehrt die Antwort zurück, dreht NAT den Prozess wieder um und leitet sie an den lokalen Rechner weiter.
CIDR-Notation
Die CIDR-Notation legt in einem relativ komplizierten Verfahren IP-Adressbereiche fest, indem Sie eine IP-Adresse auf Bitbasis mit einer Subnetzmaske verknüpfen. Interessierte Leser finden unter [2] mehr Informationen zum Thema inklusive des Rechenweges.
[1] Gufw: http://gufw.tuxfamily.org/index.html
[2] Mehr zur CIDR-Notation: http://de.wikipedia.org/wiki/Classless_Inter-Domain_Routing
Einem Freund empfehlen
|
