AA_mesh_sxc1128879_SachinGhodke.jpg

© Sachin Ghodke, sxc.hu

Feines Sieb

Iptables-Grundlagen für Desktop-Nutzer

10.01.2013
Nicht jeder Linux-Desktop braucht eine Firewall. Mit grafischen Werkzeugen lässt sie sich aber bei Bedarf im Handumdrehen einrichten.

Canonical liefert den Ubuntu-Desktop bekanntlich ohne Firewall aus. Das verunsichert gerade Ein- und Umsteiger, bringen doch OpenSuse und Fedora sehr wohl eine vorkonfigurierte Firewall mit. Dabei handelt es sich um den Paketfilter Iptables, der sogar einen festen Bestandteil des Kernels bildet.

Woher rührt diese Diskrepanz? Warum konfiguriert Ubuntu die Firewall nicht, wenn der Kernel sie doch schon mitbringt? Macht das Fehlen einer Firewall den Ubuntu-Desktop unsicherer als OpenSuse und Fedora? Diesen Fragen gehen wir im Folgenden nach. Außerdem zeigen wir, wie Iptables im Grundsatz funktioniert, und stellen komfortable Frontends zum Konfigurieren der Firewall vor.

Desktop-Firewalls

Bevor Sie Energie in das Installieren einer Desktop-Firewall stecken, sollten Sie erst einmal darüber nachdenken, warum beispielsweise Ubuntu per Default überhaupt keine Firewall installiert – und das, obwohl Canonicals Distribution inzwischen in vielen Unternehmen als Desktop zum Einsatz kommt. Irritationen bei Anwendern, insbesondere bei Windows-Umsteigern, rühren meist daher, dass der im Windows-Umfeld gebrauchte Begriff "Personal Firewall" etwas völlig Anderes meint, als eine auf Iptables basierende Desktop-Firewall unter Linux.

Eine Personal-Firewall unter Windows kümmert sich vor allem um Anwendungen: Sie kontrolliert, welche Programmteile oder Prozesse eine Verbindung ins Netz herstellen dürfen ("Application Level Gateway"), und kann außerdem Pakete auf Basis Ihres Inhalts verwerfen (Content-Filter). Unter Linux dagegen meint der Begriff "Firewall" tatsächlich nur einen Paketfilter. Ob der Sinn macht oder nicht, hängt primär von zwei Kriterien ab: Ob sich der betreffende PC im Rahmen seiner Rolle im lokalen Netz überhaupt aus dem Internet erreichen lässt, und ob er aus dem LAN heraus Dienste nach außen anbietet.

Canonical hat Ubuntu in seiner Produktphilosophie als Desktop-Betriebssystem konzipiert, das als solches hinter einem NAT-Router um Einsatz kommt. Bei einer solchen Position innerhalb der eigenen Netzstruktur ist eine Firewall tatsächlich überflüssig, da ein Host hinter einem NAT-Router keine öffentliche IP-Adresse besitzt und sich daher nicht aus dem Internet erreichen lässt. Verbindungen ins Internet baut ein Desktop-System ausschließlich über den Router auf.

Um Dienste von einem solchen Host aus im Internet zur Verfügung zu stellen, müssen Sie auf dem Router Port-Forwarding für den gewünschten Port und mit dem betroffenen Host als Ziel konfigurieren. In eine solchen Szenario kommt demnach dem NAT-Router die eigentliche Aufgabe des Paketfilters zu: Die Einschätzung Canonicals, bei einem Desktop-Betriebssystem hinter einem NAT-Router sei eine Firewall überflüssig, erweist sich insofern also als richtig.

Das sieht sogar das ansonsten recht pingelige BSI so: In seinem jährlich aktualisierten Sicherheitsleitfaden, den es angesichts der Bedeutung von Ubuntu als Desktop inzwischen auch in einer Linux-Version [1] gibt, sieht es keinerlei Anlass zum Einsatz einer Desktop-Firewall unter Ubuntu.

Das BSI bezieht sich bei seiner Einschätzung explizit auf den Umstand, dass Ubuntu in seiner Standard-Konfiguration "keine Kommunikationsschnittstellen (keine Ports) nach außen anbietet, die für Angriffe genutzt werden könnten". Daher sei das Verwenden einer Firewall unter Ubuntu nicht erforderlich.

Allerdings betont auch das BSI die Notwendigkeit des Absicherns von zusätzlich installierten Programmen, die dennoch Ports nach außen öffnen. Es empfiehlt dazu den Einsatz des Firewall-Werkzeugs Firestarter [2], das sich problemlos über das Ubuntu-Software-Center nachinstallieren lässt.

Sicher ohne Firewall?

Folgt man Canonicals Argumentation, drängt sich die Frage auf, warum dann beispielsweise Fedora und OpenSuse eine eigene, grafisch administrierbare Firewall an Bord haben – bei Fedora ist sie sogar standardmäßig aktiv und sehr restriktiv eingestellt.

Das liegt bei Red Hats Community-Distribution zweifelsohne daran, dass diese sich keineswegs als reines Desktop-System versteht, sondern als Spielwiese der Red-Hat-Entwickler dient: Sie bauen in Fedora aktuelle Server- und Cloud-Funktionen ein, die später in Red Hat Enterprise Linux zum Einsatz komme sollen. Bei OpenSuse liegen die Gründe ähnlich, auch wenn hier die Beziehungen zu Suse Linux Enterprise nicht ganz so direkt ausfallen.

Bei Ubuntu kommt dagegen kommen bei den per Default installierten Software-Paketen keine Serverdienste zum Einsatz. Werden dennoch Client/Server-Anwendungen installiert, konfiguriert Ubuntu diese so, dass sie sich zunächst nur lokal über das Loopback-Interface lo erreichen lassen. Um sie von außen oder im lokalen Netz erreichbar zu machen, müssen Sie die Dienste in den jeweiligen Konfigurationsdateien für andere Schnittstellen, Hosts und Netze explizit freischalten.

Hier liegt tatsächlich ein entscheidender Unterschied zu Fedora oder OpenSuse vor, die Server-Dienst beim Installieren in der Regel so konfigurieren, dass diese sich aus dem lokalen Netz erreichen lassen. Bei einer frischen Desktop-Installation von Ubuntu ist dagegen tatsächlich kein einziger Port nach außen geöffnet und der Rechner damit unangreifbar. Allerdings bezieht sich der Begriff "unangreifbar" ausschließlich auf solche Angriffsszenarien, vor denen ein Paketfilter rein prinzipiell überhaupt schützen kann.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

  • Iptables-GUIs im Vergleich
    Mit dem richtigen Werkzeug ist das Einrichten einer Desktop-Firewall keine Kunst. Wo die distributionseigenen Tools schwächeln, helfen clevere Alternativen weiter.
  • Frontends für Iptables
    Der Umgang mit iptables leicht gemacht
  • Kein Durchgang
    Unter KDE bietet KMyFirewall ein komfortables grafische Frontend zur Konfiguration des Iptables-Paketfilters.
  • Paketfilter-Firewall
    Eine Firewall sollte heutzutage zum unverzichtbaren Sicherheitsrepertoire jedes vernetzten Computers gehören. Aktuelle Linux-Distributionen liefern die Software dazu mit – man muss sie nur benutzen können.
  • Brandmelder
    Mit dem grafischen Iptables-Frontend Firestarter konfigurieren Sie mit wenigen Mausklicks eine funktionierende Desktop-Firewall.
Kommentare

Infos zur Publikation

title_2015_02

Digitale Ausgabe: Preis € 5,49
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Ubuntu 14.10 und VirtualBox
Ubuntu 14.10 und VirtualBox
Tim Schürmann, 08.11.2014 18:45, 2 Kommentare

Wer Ubuntu 14.10 in einer virtuellen Maschine unter VirtualBox startet, der landet unter Umständen in einem Fenster mit Grafikmüll. Zu einem korrekt ...

Aktuelle Fragen

Rootpasswort
Jutta Naumann, 29.01.2015 09:14, 1 Antworten
Ich habe OpenSuse 13.2 installiert und leider nur das Systempasswort eingerichtet. Um Änderungen,...
Neue SuSE-Literatur
Roland Welcker, 14.01.2015 14:10, 1 Antworten
Verehrte Linux-Freunde, seit Hans-Georg Essers Buch "LINUX" und Stefanie Teufels "Jetzt lerne ich...
DVD abspielen unter openSUSE 13.1
Michael Pfaffe, 12.01.2015 11:48, 6 Antworten
Hallo Linuxer, Bisher habe ich meine DVD´s mit linDVD unter openSUSE abgespielt. Mit der Versi...
Kontrollleiste SuSE 12.3 gestalten
Roland Welcker, 31.12.2014 14:06, 1 Antworten
Wie bekomme ich das Icon eines beliebigen Programms (aktuell DUDEN) in die Kontrollleiste und kan...
flash-player
roland reiner, 27.12.2014 15:24, 7 Antworten
Mein Flashplayer funktioniert nicht mehr-Plug in wird nicht mehr unterstütz,auch über google chro...