AA_mesh_sxc1128879_SachinGhodke.jpg

© Sachin Ghodke, sxc.hu

Iptables-Grundlagen für Desktop-Nutzer

Feines Sieb

Nicht jeder Linux-Desktop braucht eine Firewall. Mit grafischen Werkzeugen lässt sie sich aber bei Bedarf im Handumdrehen einrichten.

Canonical liefert den Ubuntu-Desktop bekanntlich ohne Firewall aus. Das verunsichert gerade Ein- und Umsteiger, bringen doch OpenSuse und Fedora sehr wohl eine vorkonfigurierte Firewall mit. Dabei handelt es sich um den Paketfilter Iptables, der sogar einen festen Bestandteil des Kernels bildet.

Woher rührt diese Diskrepanz? Warum konfiguriert Ubuntu die Firewall nicht, wenn der Kernel sie doch schon mitbringt? Macht das Fehlen einer Firewall den Ubuntu-Desktop unsicherer als OpenSuse und Fedora? Diesen Fragen gehen wir im Folgenden nach. Außerdem zeigen wir, wie Iptables im Grundsatz funktioniert, und stellen komfortable Frontends zum Konfigurieren der Firewall vor.

Desktop-Firewalls

Bevor Sie Energie in das Installieren einer Desktop-Firewall stecken, sollten Sie erst einmal darüber nachdenken, warum beispielsweise Ubuntu per Default überhaupt keine Firewall installiert – und das, obwohl Canonicals Distribution inzwischen in vielen Unternehmen als Desktop zum Einsatz kommt. Irritationen bei Anwendern, insbesondere bei Windows-Umsteigern, rühren meist daher, dass der im Windows-Umfeld gebrauchte Begriff "Personal Firewall" etwas völlig Anderes meint, als eine auf Iptables basierende Desktop-Firewall unter Linux.

Eine Personal-Firewall unter Windows kümmert sich vor allem um Anwendungen: Sie kontrolliert, welche Programmteile oder Prozesse eine Verbindung ins Netz herstellen dürfen ("Application Level Gateway"), und kann außerdem Pakete auf Basis Ihres Inhalts verwerfen (Content-Filter). Unter Linux dagegen meint der Begriff "Firewall" tatsächlich nur einen Paketfilter. Ob der Sinn macht oder nicht, hängt primär von zwei Kriterien ab: Ob sich der betreffende PC im Rahmen seiner Rolle im lokalen Netz überhaupt aus dem Internet erreichen lässt, und ob er aus dem LAN heraus Dienste nach außen anbietet.

Canonical hat Ubuntu in seiner Produktphilosophie als Desktop-Betriebssystem konzipiert, das als solches hinter einem NAT-Router um Einsatz kommt. Bei einer solchen Position innerhalb der eigenen Netzstruktur ist eine Firewall tatsächlich überflüssig, da ein Host hinter einem NAT-Router keine öffentliche IP-Adresse besitzt und sich daher nicht aus dem Internet erreichen lässt. Verbindungen ins Internet baut ein Desktop-System ausschließlich über den Router auf.

Um Dienste von einem solchen Host aus im Internet zur Verfügung zu stellen, müssen Sie auf dem Router Port-Forwarding für den gewünschten Port und mit dem betroffenen Host als Ziel konfigurieren. In eine solchen Szenario kommt demnach dem NAT-Router die eigentliche Aufgabe des Paketfilters zu: Die Einschätzung Canonicals, bei einem Desktop-Betriebssystem hinter einem NAT-Router sei eine Firewall überflüssig, erweist sich insofern also als richtig.

Das sieht sogar das ansonsten recht pingelige BSI so: In seinem jährlich aktualisierten Sicherheitsleitfaden, den es angesichts der Bedeutung von Ubuntu als Desktop inzwischen auch in einer Linux-Version [1] gibt, sieht es keinerlei Anlass zum Einsatz einer Desktop-Firewall unter Ubuntu.

Das BSI bezieht sich bei seiner Einschätzung explizit auf den Umstand, dass Ubuntu in seiner Standard-Konfiguration "keine Kommunikationsschnittstellen (keine Ports) nach außen anbietet, die für Angriffe genutzt werden könnten". Daher sei das Verwenden einer Firewall unter Ubuntu nicht erforderlich.

Allerdings betont auch das BSI die Notwendigkeit des Absicherns von zusätzlich installierten Programmen, die dennoch Ports nach außen öffnen. Es empfiehlt dazu den Einsatz des Firewall-Werkzeugs Firestarter [2], das sich problemlos über das Ubuntu-Software-Center nachinstallieren lässt.

Sicher ohne Firewall?

Folgt man Canonicals Argumentation, drängt sich die Frage auf, warum dann beispielsweise Fedora und OpenSuse eine eigene, grafisch administrierbare Firewall an Bord haben – bei Fedora ist sie sogar standardmäßig aktiv und sehr restriktiv eingestellt.

Das liegt bei Red Hats Community-Distribution zweifelsohne daran, dass diese sich keineswegs als reines Desktop-System versteht, sondern als Spielwiese der Red-Hat-Entwickler dient: Sie bauen in Fedora aktuelle Server- und Cloud-Funktionen ein, die später in Red Hat Enterprise Linux zum Einsatz komme sollen. Bei OpenSuse liegen die Gründe ähnlich, auch wenn hier die Beziehungen zu Suse Linux Enterprise nicht ganz so direkt ausfallen.

Bei Ubuntu kommt dagegen kommen bei den per Default installierten Software-Paketen keine Serverdienste zum Einsatz. Werden dennoch Client/Server-Anwendungen installiert, konfiguriert Ubuntu diese so, dass sie sich zunächst nur lokal über das Loopback-Interface lo erreichen lassen. Um sie von außen oder im lokalen Netz erreichbar zu machen, müssen Sie die Dienste in den jeweiligen Konfigurationsdateien für andere Schnittstellen, Hosts und Netze explizit freischalten.

Hier liegt tatsächlich ein entscheidender Unterschied zu Fedora oder OpenSuse vor, die Server-Dienst beim Installieren in der Regel so konfigurieren, dass diese sich aus dem lokalen Netz erreichen lassen. Bei einer frischen Desktop-Installation von Ubuntu ist dagegen tatsächlich kein einziger Port nach außen geöffnet und der Rechner damit unangreifbar. Allerdings bezieht sich der Begriff "unangreifbar" ausschließlich auf solche Angriffsszenarien, vor denen ein Paketfilter rein prinzipiell überhaupt schützen kann.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Iptables-GUIs im Vergleich
    Mit dem richtigen Werkzeug ist das Einrichten einer Desktop-Firewall keine Kunst. Wo die distributionseigenen Tools schwächeln, helfen clevere Alternativen weiter.
  • Kein Durchgang
    Unter KDE bietet KMyFirewall ein komfortables grafische Frontend zur Konfiguration des Iptables-Paketfilters.
  • Frontends für Iptables
    Der Umgang mit iptables leicht gemacht
  • Grafische Firewall-Administration mit FWBuilder 2.0
    Linux bringt eine leistungsfähige Firewall mit. Sie manuell zu konfigurieren, bringt jedoch selbst Profis ins Schwitzen. Mit dem grafischen Firewall Builder dagegen behalten Sie sogar komplexe Regelwerke bequem im Griff.
  • Paketfilter-Firewall
    Eine Firewall sollte heutzutage zum unverzichtbaren Sicherheitsrepertoire jedes vernetzten Computers gehören. Aktuelle Linux-Distributionen liefern die Software dazu mit – man muss sie nur benutzen können.
Kommentare

Infos zur Publikation

LU 08/2016: Multimedia

Digitale Ausgabe: Preis € 5,99
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Aktuelle Fragen

Wie kann man das berichtigen
Udo Muelle, 17.07.2016 20:39, 1 Antworten
Fehlschlag beim Holen von http://extra.linuxmint.com/dists/rosa/main/binary-i386/Packages Hash-S...
Installation Genimotion
Horst Müller, 15.07.2016 17:00, 1 Antworten
Hallo, ich kann Genimotion nicht installieren. Folgende Fehlermeldung habe ich beim Aufruf erh...
Probleme beim Hochfahren der Terastaion 5400 mit Unix-Distrib
Sheldon Cooper, 10.07.2016 09:32, 0 Antworten
Hallo ihr lieben, habe seit zwei Tagen das Problem, das das NAS (Raid5) nicht mehr sauber hoch...
Mit Firewire Videos improtieren?
Werner Hahn, 09.06.2016 11:06, 5 Antworten
Ich besitze den Camcorder Panasonic NV-GS330, bei dem die Videos in guter Qualität nur über den 4...
lidl internetstick für linux mint
rolf meyer, 04.06.2016 14:17, 3 Antworten
hallo zusammen ich benötige eure hilfe habe einen lidl-internetstick möchte ihn auf linux mint i...