Home / LinuxUser / 2013 / 02 / Iptables-Grundlagen für Desktop-Nutzer

Newsletter abonnieren

Lies uns auf...

Folge LinuxCommunity auf Twitter

Top-Beiträge

Heftarchiv

LinuxUser Heftarchiv

EasyLinux Heftarchiv

Ubuntu User Heftarchiv

Ubuntu User Heftarchiv

Partner-Links:

Das B2B Portal www.Linx.de informiert über Produkte und Dienstleistungen.

AA_mesh_sxc1128879_SachinGhodke.jpg

© Sachin Ghodke, sxc.hu

Feines Sieb

Iptables-Grundlagen für Desktop-Nutzer

10.01.2013 Nicht jeder Linux-Desktop braucht eine Firewall. Mit grafischen Werkzeugen lässt sie sich aber bei Bedarf im Handumdrehen einrichten.

Canonical liefert den Ubuntu-Desktop bekanntlich ohne Firewall aus. Das verunsichert gerade Ein- und Umsteiger, bringen doch OpenSuse und Fedora sehr wohl eine vorkonfigurierte Firewall mit. Dabei handelt es sich um den Paketfilter Iptables, der sogar einen festen Bestandteil des Kernels bildet.

Woher rührt diese Diskrepanz? Warum konfiguriert Ubuntu die Firewall nicht, wenn der Kernel sie doch schon mitbringt? Macht das Fehlen einer Firewall den Ubuntu-Desktop unsicherer als OpenSuse und Fedora? Diesen Fragen gehen wir im Folgenden nach. Außerdem zeigen wir, wie Iptables im Grundsatz funktioniert, und stellen komfortable Frontends zum Konfigurieren der Firewall vor.

Desktop-Firewalls

Bevor Sie Energie in das Installieren einer Desktop-Firewall stecken, sollten Sie erst einmal darüber nachdenken, warum beispielsweise Ubuntu per Default überhaupt keine Firewall installiert – und das, obwohl Canonicals Distribution inzwischen in vielen Unternehmen als Desktop zum Einsatz kommt. Irritationen bei Anwendern, insbesondere bei Windows-Umsteigern, rühren meist daher, dass der im Windows-Umfeld gebrauchte Begriff "Personal Firewall" etwas völlig Anderes meint, als eine auf Iptables basierende Desktop-Firewall unter Linux.

Eine Personal-Firewall unter Windows kümmert sich vor allem um Anwendungen: Sie kontrolliert, welche Programmteile oder Prozesse eine Verbindung ins Netz herstellen dürfen ("Application Level Gateway"), und kann außerdem Pakete auf Basis Ihres Inhalts verwerfen (Content-Filter). Unter Linux dagegen meint der Begriff "Firewall" tatsächlich nur einen Paketfilter. Ob der Sinn macht oder nicht, hängt primär von zwei Kriterien ab: Ob sich der betreffende PC im Rahmen seiner Rolle im lokalen Netz überhaupt aus dem Internet erreichen lässt, und ob er aus dem LAN heraus Dienste nach außen anbietet.

Canonical hat Ubuntu in seiner Produktphilosophie als Desktop-Betriebssystem konzipiert, das als solches hinter einem NAT-Router um Einsatz kommt. Bei einer solchen Position innerhalb der eigenen Netzstruktur ist eine Firewall tatsächlich überflüssig, da ein Host hinter einem NAT-Router keine öffentliche IP-Adresse besitzt und sich daher nicht aus dem Internet erreichen lässt. Verbindungen ins Internet baut ein Desktop-System ausschließlich über den Router auf.

Um Dienste von einem solchen Host aus im Internet zur Verfügung zu stellen, müssen Sie auf dem Router Port-Forwarding für den gewünschten Port und mit dem betroffenen Host als Ziel konfigurieren. In eine solchen Szenario kommt demnach dem NAT-Router die eigentliche Aufgabe des Paketfilters zu: Die Einschätzung Canonicals, bei einem Desktop-Betriebssystem hinter einem NAT-Router sei eine Firewall überflüssig, erweist sich insofern also als richtig.

Das sieht sogar das ansonsten recht pingelige BSI so: In seinem jährlich aktualisierten Sicherheitsleitfaden, den es angesichts der Bedeutung von Ubuntu als Desktop inzwischen auch in einer Linux-Version [1] gibt, sieht es keinerlei Anlass zum Einsatz einer Desktop-Firewall unter Ubuntu.

Das BSI bezieht sich bei seiner Einschätzung explizit auf den Umstand, dass Ubuntu in seiner Standard-Konfiguration "keine Kommunikationsschnittstellen (keine Ports) nach außen anbietet, die für Angriffe genutzt werden könnten". Daher sei das Verwenden einer Firewall unter Ubuntu nicht erforderlich.

Allerdings betont auch das BSI die Notwendigkeit des Absicherns von zusätzlich installierten Programmen, die dennoch Ports nach außen öffnen. Es empfiehlt dazu den Einsatz des Firewall-Werkzeugs Firestarter [2], das sich problemlos über das Ubuntu-Software-Center nachinstallieren lässt.

Sicher ohne Firewall?

Folgt man Canonicals Argumentation, drängt sich die Frage auf, warum dann beispielsweise Fedora und OpenSuse eine eigene, grafisch administrierbare Firewall an Bord haben – bei Fedora ist sie sogar standardmäßig aktiv und sehr restriktiv eingestellt.

Das liegt bei Red Hats Community-Distribution zweifelsohne daran, dass diese sich keineswegs als reines Desktop-System versteht, sondern als Spielwiese der Red-Hat-Entwickler dient: Sie bauen in Fedora aktuelle Server- und Cloud-Funktionen ein, die später in Red Hat Enterprise Linux zum Einsatz komme sollen. Bei OpenSuse liegen die Gründe ähnlich, auch wenn hier die Beziehungen zu Suse Linux Enterprise nicht ganz so direkt ausfallen.

Bei Ubuntu kommt dagegen kommen bei den per Default installierten Software-Paketen keine Serverdienste zum Einsatz. Werden dennoch Client/Server-Anwendungen installiert, konfiguriert Ubuntu diese so, dass sie sich zunächst nur lokal über das Loopback-Interface lo erreichen lassen. Um sie von außen oder im lokalen Netz erreichbar zu machen, müssen Sie die Dienste in den jeweiligen Konfigurationsdateien für andere Schnittstellen, Hosts und Netze explizit freischalten.

Hier liegt tatsächlich ein entscheidender Unterschied zu Fedora oder OpenSuse vor, die Server-Dienst beim Installieren in der Regel so konfigurieren, dass diese sich aus dem lokalen Netz erreichen lassen. Bei einer frischen Desktop-Installation von Ubuntu ist dagegen tatsächlich kein einziger Port nach außen geöffnet und der Rechner damit unangreifbar. Allerdings bezieht sich der Begriff "unangreifbar" ausschließlich auf solche Angriffsszenarien, vor denen ein Paketfilter rein prinzipiell überhaupt schützen kann.

Tip a friend    Druckansicht Bookmark and Share
Kommentare

1168 Hits
Wertung: 0 Punkte (0 Stimmen)

Schlecht Gut

Infos zur Publikation

Infos zur Publikation

LinuxUser 05/2014

Aktuelle Ausgabe kaufen:

Heft als PDF kaufen

LinuxUser erscheint monatlich und kostet in der Nomedia-Ausgabe EUR 5,95 und mit DVD EUR 8,50. Weitere Informationen zum Heft finden Sie auf der LinuxUser-Homepage.

Im LinuxUser-Probeabo erhalten Sie drei Ausgaben für 3 Euro. Das Jahresabo (ab EUR 60,60) können Sie im Medialinx-Shop bestellen.

Tipp der Woche

Bilder vergleichen mit diffimg
Bilder vergleichen mit diffimg
Tim Schürmann, 01.04.2014 12:40, 1 Kommentare

Das kleine Werkzeug diffimg kann zwei (scheinbar) identische Bilder miteinander vergleichen und die Unterschiede optisch hervorheben. Damit lassen sich nicht nur Rätsel a la „Orignial und Fäls...

Aktuelle Fragen

programm suche
Hans-Joachim Köpke, 13.04.2014 10:43, 8 Antworten
suche noch programme die zu windows gibt, die auch unter linux laufen bzw sich ähneln sozusagen a...
Funknetz (Web-Stick)
Hans-Joachim Köpke, 04.04.2014 07:31, 2 Antworten
Bei Windows7 brauche ich den Stick nur ins USB-Fach schieben dann erkennt Windows7 Automatisch, a...
Ubuntu 13.10 überschreibt immer Windows 8 Bootmanager
Thomas Weiss, 15.03.2014 19:20, 8 Antworten
Hallo Leute, ich hoffe das ich richtig bin. Ich habe einen Dell Insipron 660 Ich möchte gerne Ub...
USB-PTP-Class Kamera wird nicht erkannt (Windows-only)
Wimpy *, 14.03.2014 13:04, 15 Antworten
ich habe meiner Frau eine Digitalkamera, AGFA Optima 103, gekauft und wir sind sehr zufrieden dam...
Treiber
Michael Kristahn, 12.03.2014 08:28, 5 Antworten
Habe mir ein Scanner gebraucht gekauft von Canon CanoScan LiDE 70 kein Treiber wie bekomme ich de...