AA_mesh_sxc1128879_SachinGhodke.jpg

© Sachin Ghodke, sxc.hu

Feines Sieb

Iptables-Grundlagen für Desktop-Nutzer

10.01.2013
Nicht jeder Linux-Desktop braucht eine Firewall. Mit grafischen Werkzeugen lässt sie sich aber bei Bedarf im Handumdrehen einrichten.

Canonical liefert den Ubuntu-Desktop bekanntlich ohne Firewall aus. Das verunsichert gerade Ein- und Umsteiger, bringen doch OpenSuse und Fedora sehr wohl eine vorkonfigurierte Firewall mit. Dabei handelt es sich um den Paketfilter Iptables, der sogar einen festen Bestandteil des Kernels bildet.

Woher rührt diese Diskrepanz? Warum konfiguriert Ubuntu die Firewall nicht, wenn der Kernel sie doch schon mitbringt? Macht das Fehlen einer Firewall den Ubuntu-Desktop unsicherer als OpenSuse und Fedora? Diesen Fragen gehen wir im Folgenden nach. Außerdem zeigen wir, wie Iptables im Grundsatz funktioniert, und stellen komfortable Frontends zum Konfigurieren der Firewall vor.

Desktop-Firewalls

Bevor Sie Energie in das Installieren einer Desktop-Firewall stecken, sollten Sie erst einmal darüber nachdenken, warum beispielsweise Ubuntu per Default überhaupt keine Firewall installiert – und das, obwohl Canonicals Distribution inzwischen in vielen Unternehmen als Desktop zum Einsatz kommt. Irritationen bei Anwendern, insbesondere bei Windows-Umsteigern, rühren meist daher, dass der im Windows-Umfeld gebrauchte Begriff "Personal Firewall" etwas völlig Anderes meint, als eine auf Iptables basierende Desktop-Firewall unter Linux.

Eine Personal-Firewall unter Windows kümmert sich vor allem um Anwendungen: Sie kontrolliert, welche Programmteile oder Prozesse eine Verbindung ins Netz herstellen dürfen ("Application Level Gateway"), und kann außerdem Pakete auf Basis Ihres Inhalts verwerfen (Content-Filter). Unter Linux dagegen meint der Begriff "Firewall" tatsächlich nur einen Paketfilter. Ob der Sinn macht oder nicht, hängt primär von zwei Kriterien ab: Ob sich der betreffende PC im Rahmen seiner Rolle im lokalen Netz überhaupt aus dem Internet erreichen lässt, und ob er aus dem LAN heraus Dienste nach außen anbietet.

Canonical hat Ubuntu in seiner Produktphilosophie als Desktop-Betriebssystem konzipiert, das als solches hinter einem NAT-Router um Einsatz kommt. Bei einer solchen Position innerhalb der eigenen Netzstruktur ist eine Firewall tatsächlich überflüssig, da ein Host hinter einem NAT-Router keine öffentliche IP-Adresse besitzt und sich daher nicht aus dem Internet erreichen lässt. Verbindungen ins Internet baut ein Desktop-System ausschließlich über den Router auf.

Um Dienste von einem solchen Host aus im Internet zur Verfügung zu stellen, müssen Sie auf dem Router Port-Forwarding für den gewünschten Port und mit dem betroffenen Host als Ziel konfigurieren. In eine solchen Szenario kommt demnach dem NAT-Router die eigentliche Aufgabe des Paketfilters zu: Die Einschätzung Canonicals, bei einem Desktop-Betriebssystem hinter einem NAT-Router sei eine Firewall überflüssig, erweist sich insofern also als richtig.

Das sieht sogar das ansonsten recht pingelige BSI so: In seinem jährlich aktualisierten Sicherheitsleitfaden, den es angesichts der Bedeutung von Ubuntu als Desktop inzwischen auch in einer Linux-Version [1] gibt, sieht es keinerlei Anlass zum Einsatz einer Desktop-Firewall unter Ubuntu.

Das BSI bezieht sich bei seiner Einschätzung explizit auf den Umstand, dass Ubuntu in seiner Standard-Konfiguration "keine Kommunikationsschnittstellen (keine Ports) nach außen anbietet, die für Angriffe genutzt werden könnten". Daher sei das Verwenden einer Firewall unter Ubuntu nicht erforderlich.

Allerdings betont auch das BSI die Notwendigkeit des Absicherns von zusätzlich installierten Programmen, die dennoch Ports nach außen öffnen. Es empfiehlt dazu den Einsatz des Firewall-Werkzeugs Firestarter [2], das sich problemlos über das Ubuntu-Software-Center nachinstallieren lässt.

Sicher ohne Firewall?

Folgt man Canonicals Argumentation, drängt sich die Frage auf, warum dann beispielsweise Fedora und OpenSuse eine eigene, grafisch administrierbare Firewall an Bord haben – bei Fedora ist sie sogar standardmäßig aktiv und sehr restriktiv eingestellt.

Das liegt bei Red Hats Community-Distribution zweifelsohne daran, dass diese sich keineswegs als reines Desktop-System versteht, sondern als Spielwiese der Red-Hat-Entwickler dient: Sie bauen in Fedora aktuelle Server- und Cloud-Funktionen ein, die später in Red Hat Enterprise Linux zum Einsatz komme sollen. Bei OpenSuse liegen die Gründe ähnlich, auch wenn hier die Beziehungen zu Suse Linux Enterprise nicht ganz so direkt ausfallen.

Bei Ubuntu kommt dagegen kommen bei den per Default installierten Software-Paketen keine Serverdienste zum Einsatz. Werden dennoch Client/Server-Anwendungen installiert, konfiguriert Ubuntu diese so, dass sie sich zunächst nur lokal über das Loopback-Interface lo erreichen lassen. Um sie von außen oder im lokalen Netz erreichbar zu machen, müssen Sie die Dienste in den jeweiligen Konfigurationsdateien für andere Schnittstellen, Hosts und Netze explizit freischalten.

Hier liegt tatsächlich ein entscheidender Unterschied zu Fedora oder OpenSuse vor, die Server-Dienst beim Installieren in der Regel so konfigurieren, dass diese sich aus dem lokalen Netz erreichen lassen. Bei einer frischen Desktop-Installation von Ubuntu ist dagegen tatsächlich kein einziger Port nach außen geöffnet und der Rechner damit unangreifbar. Allerdings bezieht sich der Begriff "unangreifbar" ausschließlich auf solche Angriffsszenarien, vor denen ein Paketfilter rein prinzipiell überhaupt schützen kann.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

  • Iptables-GUIs im Vergleich
    Mit dem richtigen Werkzeug ist das Einrichten einer Desktop-Firewall keine Kunst. Wo die distributionseigenen Tools schwächeln, helfen clevere Alternativen weiter.
  • Frontends für Iptables
    Der Umgang mit iptables leicht gemacht
  • Kein Durchgang
    Unter KDE bietet KMyFirewall ein komfortables grafische Frontend zur Konfiguration des Iptables-Paketfilters.
  • Paketfilter-Firewall
    Eine Firewall sollte heutzutage zum unverzichtbaren Sicherheitsrepertoire jedes vernetzten Computers gehören. Aktuelle Linux-Distributionen liefern die Software dazu mit – man muss sie nur benutzen können.
  • Brandmelder
    Mit dem grafischen Iptables-Frontend Firestarter konfigurieren Sie mit wenigen Mausklicks eine funktionierende Desktop-Firewall.
Kommentare

Infos zur Publikation

LU 01/2015: E-Books im Griff

Digitale Ausgabe: Preis € 4,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Ubuntu 14.10 und VirtualBox
Ubuntu 14.10 und VirtualBox
Tim Schürmann, 08.11.2014 18:45, 0 Kommentare

Wer Ubuntu 14.10 in einer virtuellen Maschine unter VirtualBox startet, der landet unter Umständen in einem Fenster mit Grafikmüll. Zu einem korrekt ...

Aktuelle Fragen

ICEauthority
Thomas Mann, 17.12.2014 14:49, 2 Antworten
Fehlermeldung beim Start von Linux Mint: Could not update ICEauthority file / home/user/.ICEauth...
Linux einrichten
Sigrid Bölke, 10.12.2014 10:46, 5 Antworten
Hallo, liebe Community, bin hier ganz neu,also entschuldigt,wenn ich hier falsch bin. Mein Prob...
Externe USB-Festplatte mit Ext4 formatiert, USB-Stick wird nicht mehr eingebunden
Wimpy *, 02.12.2014 16:31, 0 Antworten
Hallo, ich habe die externe USB-FP, die nur für Daten-Backup benutzt wird, mit dem YaST-Partition...
Steuern mit Linux
Siegfried Markner, 01.12.2014 11:56, 2 Antworten
Welches Linux eignet sich am besten für Steuerungen.
Nach Ubdates alles weg ...
Maria Hänel, 15.11.2014 17:23, 5 Antworten
Ich brauche dringen eure Hilfe . Ich habe am wochenende ein paar Ubdates durch mein Notebook von...