Aus LinuxUser 03/2006

Iptables-GUIs im Vergleich

© sxc.hu

Feurige Künste

Mit dem richtigen Werkzeug ist das Einrichten einer Desktop-Firewall keine Kunst. Wo die distributionseigenen Tools schwächeln, helfen clevere Alternativen weiter.

Mit dem Gespann Netfilter/Iptables [1] bringt der Linux-Kernel bereit out of the box eine mächtige Firewall-Architektur mit. Für das Abfagen und Manipulieren von Netzwerkpaketen zeichnet Netfilter verantwortlich, das Dienstprogramm Iptables erlaubt dessen Konfiguration. Dazu verwendet es allerdings eine recht komplizierte Syntax, zudem erfolgt die Einrichtung der Firewall-Parameter auf der Kommandozeile oder via Skript.

So gilt das direkte Konfigurieren einer Firewall zu Recht als typische Domäne von Netzwerk- und Systemadministratoren: Welcher normale Anwender möchte sich schon gerne in die komplizierte Iptables-Syntax einarbeiten – von dem Erwerb des dazu notwendigen Wissens über Protokolle, Adressen und Ports einmal ganz abgesehen? Diesem Umstand tragen grafische Frontends Rechnung, welche die Arbeit mit Iptables vereinfachen und den Anwender davon entheben, sich profundes Grundlagenwissen zu Paketen und Protokollen anzueignen.

Dieser Artikel klopft ab, inwieweit vier bekannte Distributionen (Suse 10.0, Mandriva 2006, Fedora Core 4 und Ubuntu 5.10) von Haus aus ihre Anwender absichern und welche grafischen Werkzeuge zur Firewall-Konfiguration bereitstellen.

Suse 10.0

Die Suse-Distribution aktiviert die Firewall bei der Installation automatisch, wie Abbildung 1 zeigt. Nach der Einrichtung konfigurieren Sie die Firewall mittels Yast2 unter Sicherheit und BenutzerFirewall. In Abbildung 2 sehen Sie die entsprechende Maske.

Abbildung 1: In diesem Bildschirm entscheiden Sie über die automatische Aktivierung der Suse-Firewall.
Abbildung 1: In diesem Bildschirm entscheiden Sie über die automatische Aktivierung der Suse-Firewall.
Abbildung 2: Die Konfigurationsoberfläche der Suse-Firewall wirkt aufgeräumt und übersichtlich.
Abbildung 2: Die Konfigurationsoberfläche der Suse-Firewall wirkt aufgeräumt und übersichtlich.

Die Oberfläche wirkt aufgeräumt und übersichtlich, einige Besonderheiten sind aber zu beachten. So findet sich unter Schnittstellen das Device any. Es bildet quasi einen Sammeltopf für alle Netzwerkschnittstellen, die nicht einer Zone zugeordnet sind. Daher behandelt die Konfiguration das Device als externe und damit besonders gefährdete Schnittstelle.

Falls der PC nur über eine einzelne Netzwerkschnittstelle verfügt, deaktiviert die Suse Firewall das Masquerading. Das macht Sinn, da das dahinter stehende NAT nur auf einem Router in Frage kommt, der ohnehin zwei Interfaces benötigt.

Die IPsec-Unterstützung ist ebenfalls standardmäßig deaktiviert, was meist keine Probleme bereitet: Sie wird nur für den Betrieb in einem VPN benötigt. Die Einstellungen unter Protokollierungs-Level fallen in der Voreinstellung moderat aus: Die Firewall schneidet nur kritische Pakete mit. Allerdings fließen sonderbarerweise standardmäßig auch nicht akzeptierte Broadcast-Pakete in der internen Zone und der DMZ mit ins Protokoll ein. Gerade in Windows-Umgebungen führt diese Einstellung dazu, dass sich die Log-Files stark aufblähen.

Das Generieren eigener Firewall-Regeln hinterlässt zwiespältige Gefühle. Zwar lassen sich Standard-Dienste bequem über ihren Namen aus einer Drop-Down-Box auswählen und freischalten. Komplizierteres – etwa Freigaben für Bittorrent – erfordern hingegen die explizite Angabe der entsprechenden Portnummer(n).

Da wundert es dann doch, dass Suse seinem Firewall-Frontend keinen Hilfe-Button spendiert hat. Die gesuchte Anleitung findet sich nach einigem Suchen in der SuSE-Hilfe, bedauerlicherweise allerdings nur in englischer Sprache. Wer sich mit Firewall-Begriffen bereits auskennt, hat mit der Dokumentation kein Problem – allen anderen bringt die Hilfe-Funktion nicht wirklich weiter.

Mandriva 2006

Mandriva bietet bereits bei der Installation gleich zwei Dialoge zur Konfiguration der Firewall an. Zunächst konfigurieren Sie hier die generelle Sicherheitsstufe des Rechners. Als Voreinstellung gibt die Distribution hier Hoch vor (Abbildung 3), was für Privatanwender völlig ausreicht.

Abbildung 3: Mandriva erläutert das Einstellen der generellen Sicherheitsstufe gut nachvollziehbar.
Abbildung 3: Mandriva erläutert das Einstellen der generellen Sicherheitsstufe gut nachvollziehbar.

Kurz vor Ende der Installation im Schritt Zusammenfassung haben Sie Gelegenheit, die Firewall vor dem ersten Systemstart genauer einzustellen. Dies tut jedoch nur dann Not, wenn Sie Dienste im Internet anbieten wollen. Anderenfalls genügen die von der Distribution getroffenen Vorgaben völlig.

Auch nach der Installation des Rechners erreichen Sie die Firewall-Settings jederzeit über das K-Menü unter dem Punkt SystemEinstellungenDen Computer konfigurierenSicherheit. Alternativ geben Sie in einer Shell drakfirewall ein, um den entsprechenden Wizard zu starten.

Dieser besticht durch seine Einfachheit und Übersichtlichkeit (Abbildung 4). Sie können Dienste für den Zugriff aus dem Internet freigeben, die Internetschnittstelle definieren und die Interaktive Firewall aktivieren. Letztere warnt Sie, wenn ein Angreifer versucht in Ihren Rechner einzudringen oder die Firewall einen Portscan registriert. Um gezielt einzelne Ports freizugeben, klicken Sie auf der ersten Seite des Wizards auf den Schalter Fortgeschritten.

LinuxUser 03/2006 KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS
Deutschland

Hinterlasse einen Kommentar

  E-Mail Benachrichtigung  
Benachrichtige mich zu: