Aus LinuxUser 09/2013

Zeroshell-Workshop Teil 3: Firewall-Konfiguration

© Arkosfl, sxc.hu

Zugangskontrolle

Eine Firewall kontrolliert den Fluss der Daten in einem Netzwerk. Dank einfacher Konfiguration und umfangreichen Logging-Funktionen haben Sie mit Zeroshell schnell und einfach einen entsprechenden Dienst aufgesetzt.

Zeroshell-Workshop

Teil 1 – Zeroshell aufsetzen LU 07/2013, S. 22 http://www.linux-community.de/29626
Teil 2 – Routing und WLAN-Bridge LU 08/2013, S. 38 http://www.linux-community.de/29993
Teil 3 — Firewall einrichten LU 08/2013, S.**66 http://www.linux-community.de/30220

Die Inbetriebnahme einer Firewall gehört bei jedem Netzwerk, das mit dem Internet kommuniziert, zu den grundlegenden Arbeiten. Zwar regulieren die meisten Router bereits den Datenverkehr, doch die wenigsten bieten eine Möglichkeit, die Regeln für die Pakete an eigene Bedürfnisse anzupassen. Zeroshell springt mit seinem Firewall-Dienst in die Bresche.

Filter und Tabellen

Der Firewall-Dienst von Zeroshell [1] setzt auf das bewährte Duo Netfilter und Iptables [2] auf, das unter Linux seit Kernel 2.4 als Paketfilter fungiert. Die beiden Techniken im Duett ermöglichen es, anhand von klar definierten Regeln Paketen zu prüfen und über deren weiteren Weg zu entscheiden. Jedes Paket durchläuft unterschiedliche Regelketten, bis eine Regel zutrifft und das System die passende Aktion ausführt.

Die drei Tabellen filter für den eigentlichen Paketfilter, nat für die Network Address Translation sowie mangle zum Markieren einzelner Pakete bilden die grundlegenden Funktionen ab. In ihnen verwalten Sie die Regellisten in die Kategorien INPUT, FORWARD und OUTPUT in der Tabelle filter und PREROUTING, OUTPUT und POSTROUTING in der Tabelle nat.

Die Tabelle mangle differenziert nach PREROUTING, INPUT, FORWARD, OUTPUT und POSTROUTING. Für jede einzelne Regel in diesen Ketten definieren Sie ein sogenanntes target, also ein Ziel, das festlegt, was mit dem betreffenden Datenpaket geschieht. Die häufigsten Targets sind ACCEPT, DROP und REJECT, die dafür sorgen, dass das System ein Paket akzeptiert, verwirft oder zurückweist.

Neben dem reinen Filtern von Paketen beherrscht das Duo Netfilter und Iptables zusätzlich die sogenannte Stateful Packet Inspection (SPI, [3]), die neben der Analyse der einzelnen Pakete den Zustand der Verbindung beim Prüfen mit einbezieht. Die Firewall merkt sich diesen in einer internen Tabelle und wendet auf die einzelnen Pakete nach dem Prüfen die vorgegebenen Regeln an. Den Status definiert das System über die Parameter NEW, ESTABLISHED, RELATED oder INVALID.

Kriterien

Um das Regelwerk sehr fein zu justieren, bietet Netfilter/Iptables außerdem die Möglichkeit, einzelne Kriterien auf die Quell- und Zieladressen der Datenpakete anzuwenden. Neben der Angabe der IP-Adressen besteht hier die Option, physikalisch vorhandene Netzwerkschnittstellen oder MAC-Adressen zu definieren. Zudem können Sie die Regeln auf unterschiedliche Protokolle und Verbindungs-Flags eingrenzen.

Durch die vielen Parameter wächst sich eine manuell angelegte und gepflegte Firewall bei größeren Netzwerken mit unterschiedlichsten Anwendungen sehr schnell zu einer komplexen und wartungsintensiven Angelegenheit für den Administrator aus. Bei zunehmender Komplexität schleichen sich zudem gerne Fehler ein.

Grafisches Management

Zeroshell vereinfacht durch eine grafische Oberfläche die Pflege der Firewall erheblich. Sie öffnen als Administrator die GUI über das Menü Security | Firewall links in der vertikalen Leiste der Oberfläche. Zeroshell wechselt nun in die Kette INPUT und zeigt einen leeren Bildschirm, in dem Sie Ihre individuellen Regeln definieren.

Um die Firewall durch eigene Regeln zu ergänzen, suchen Sie sich zunächst die entsprechenden Kategorie mittig oben im Fenster aus, indem Sie diese in der entsprechenden Schaltfläche Policy aktivieren. Anschließend definieren Sie die Regelkette, wobei es sich empfiehlt, in der Reihenfolge INPUT, FORWARD und OUTPUT vorzugehen.

Danach klicken Sie auf den kleinen Schalter Add oben rechts. In einem neuen Fenster finden Sie nun alle möglichen Optionen inklusive jener für die Stateful Packet Inspection (SPI). Da eine fehlerhaft eingestellte Firewall ein gravierendes Sicherheitsrisiko darstellt, empfiehlt sich ein detailliertes Wissen über die Funktionsweise von Netzwerken. Die beim Übertragen genutzten Protokolle sollten ebenfalls bekannt sein.

Vergegenwärtigen Sie sich zudem, in welcher Richtung Datenpakete die einzelnen Schnittstellen Ihres Zeroshell-Rechners durchlaufen, da die Angabe eines falschen Interface den Effekt des Filters zunichte macht.

DIESEN ARTIKEL ALS PDF KAUFEN
EXPRESS-KAUF ALS PDFUmfang: 5 HeftseitenPreis €0,99
(inkl. 19% MwSt.)
KAUFEN
LinuxUser 09/2013 KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS
Deutschland

Hinterlasse einen Kommentar

  E-Mail Benachrichtigung  
Benachrichtige mich zu: