Whitelist

Die Strategie, nur erwünschte Verbindungen explizit zu erlauben, macht naturgemäß mehr Aufwand. Dafür verringert sich die Angriffsfläche enorm. Im Falle einer restriktiven Policy gilt es, alle benötigten Dienste und Kommunikationspartner bei der Firewall anzumelden.

Normalerweise stellt man die Policy von Iptables mit der Option -P ein. Firestarter geht jedoch einen eigenen Weg und bildet einen entsprechenden Regelsatz, der den Bedürfnissen eines Normalverbrauchers eher entgegenkommt: Auch unter der restriktiven "Whitelist"-Einstellung bleiben alle "lebensnotwendigen" Verbindungen weiter offen. Dazu zählen alle Dienste auf dem lokalen Host 127.0.0.1, wie der Druckerdienst oder der X-Window-Server. Auch die bereits laufenden Verbindungen werden beim Umschalten nicht sofort gekappt.

Bei der Erstellung eines Basissatzes an Regeln hilft Ihnen die Tabelle "Wichtige TCP- und UDP-Ports". Geben Sie die dort aufgeführten Ports frei, so können Sie im Internet surfen, Mails versenden und empfangen, Dateien per FTP übertragen und die Uhrzeit mit Hilfe des Network Time Protocols (NTP) mit einem Zeitserver im Internet abgleichen.

Für die Einrichtung der Regeln rufen Sie in Firestarter den Reiter Richtlinien auf. Die Auswahlbox für die Richtung des Netzverkehrs stellen Sie auf Richtlinie für ausgehenden Verkehr und aktivieren die Option Einschränkende Voreinstellung; Whitelist Verkehr. Im untersten Eingabefeld (Erlaube Dienst) fügen Sie nun über einen Klick mit der rechten Maustaste eine Regel für ausgehende Dienste hinzu.

Es erscheint ein Dialogfenster, wie in Abbildung 3 dargestellt. Dort geben Sie den Dienst direkt mit seiner Portnummer an oder wählen ihn über seinen Namen aus der entsprechenden Auswahlliste. Den Dienst POP3S für den sicheren Mailversand finden Sie in der Auswahlliste aber nicht. Erst bei Eingabe der entsprechenden Portnummer 995 erscheint er im Namensfeld.

Abbildung 3: Die hier definierte Regel ermöglicht den sicheren E-Mail-Empfang via POP3S.

Wichtige TCP- und UDP-Ports

Port Erläuterung Protokoll
80 Browsen mit HTTP TCP
443 Browsen verschlüsselt mit HTTPS TCP
25 Mails versenden mit SMTP TCP
110 Mails abrufen mit POP3 TCP
995 Mails verschlüsselt mit POP3S abrufen TCP
53 Namensauflösung (DNS) TCP, UDP
20,21 Dateitransfer mit FTP und FTP-DATA TCP
123 Zeitdienst NTP TCP, UDP
22 Secure Shell SSH TCP
68 Dynamische IP-Adresszuordnung (DHCP) TCP, UDP

Im gleichen Dialogfeld geben Sie auch die erlaubte Quelle der Verbindung an. Für den PC, auf dem die Firewall läuft, ist das der Firewall-Rechner. Bei Bedarf geben Sie hier stattdessen ein bestimmtes Netzwerk, grundsätzlich jeden Rechner (Jeder) oder alle LAN Clients an. Als LAN Clients gelten alle Rechner im lokalen Netzwerk, die sich über den entsprechenden Netzwerkadapter erreichen lassen. Das dazugehörige Interface definieren Sie bei Bedarf über den Menüpunkt Bearbeiten | Einstellungen | Firewall | Netzwerkeinstellungen.

Abbildung 4 zeigt einen kleinen Regelsatz für die Firewall. Der Eintrag 192.168.50.21 im Feld Verbindungen zulassen zu Rechner erlaubt die uneingeschränkte Kommunikation mit der angegebenen IP-Adresse. Verbindungsaufnahmen von diesem Rechner zum lokalen PC blockiert die Firewall allerdings.

Abbildung 4: Hier sehen Sie eine typische Grundkonfiguration für den ausgehenden Datenverkehr.

Eingehender Verkehr

Die Richtlinien für eingehenden Verkehr erreichen Sie ebenfalls auf dem Reiter Richtlinien über die Auswahlbox für die Richtung des Netzverkehrs (Bearbeiten der). In den beiden Eingabefeldern unterhalb davon geben Sie neue Regeln ein, indem Sie das entsprechende Dialogfeld über einen Rechtsklick mit der Maus aufrufen.

Abbildung 5: Den Zugriff von außen auf den abgesicherten Rechner regeln Sie über die Richtlinie für eingehenden Verkehr.

Im oberen der beiden Fenster räumen Sie je nach Bedarf einzelnen Rechnern oder ganzen Netzwerken unbeschränkten Zugriff auf alle Dienste der lokalen Maschine ein. Dazu identifizieren Sie den zugreifenden Rechner entweder über seine IP-Adresse oder den Hostnamen. Um das komplette lokale Netz anzugeben, ersetzen das letzte Byte der IP-Adresse Ihres Rechner durch "0", im Beispiel aus den Abbildungen also 192.168.50.0.

Sicherer ist es jedoch, den Zugriff auf die Dienste explizit zu regeln. Das erledigen Sie über das untere der zwei Eingabefelder. Bei einem Rechtsklick mit der Maus erscheint eine Dialogbox, die fast genauso aussieht, wie die aus Abbildung 3. Es fehlt lediglich in der Auswahlliste der möglichen Quellen der eigene Rechner – was bei eingehendem Verkehr ja durchaus Sinn macht.

Auch hier wählen Sie über den Namen oder die Portnummer den zu gestattenden Dienst. Als mögliche Quellen für Anfragen kommen bei bei ausgehendem Verkehr grundsätzlich alle Rechner (Jeder), das lokale Netz (LAN Clients) oder einzelne Rechner beziehungsweise Netzwerke in Frage.

Am sichersten fahren Sie hier, wenn Sie nur einzelnen Rechnern Zugriff auf genau definierte Dienste gestatten. Ein typischer Fall: Sie wollen bei Bedarf von einem anderen Rechner im lokalen Netz aus per Secure Shell auf den per Firewall abgesicherten PC zugreifen. Eine entsprechende Konfiguration zeigt Abbildung 6.

Abbildung 6: Diese Regel erlaubt dem Rechner mit der IP-Adresse 192.168.50.21 die Verbindungsaufnahme via SSH.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

  • Knoppix und Ubuntu
    Ubuntu und Knoppix basieren auf Debian – wir verraten Tricks und Kniffe, welche die Arbeit auf diesen Distributionen angenehmer machen.
  • Iptables-GUIs im Vergleich
    Mit dem richtigen Werkzeug ist das Einrichten einer Desktop-Firewall keine Kunst. Wo die distributionseigenen Tools schwächeln, helfen clevere Alternativen weiter.
  • Frontends für Iptables
    Der Umgang mit iptables leicht gemacht
  • Iptables-Grundlagen für Desktop-Nutzer
    Nicht jeder Linux-Desktop braucht eine Firewall. Mit grafischen Werkzeugen lässt sie sich aber bei Bedarf im Handumdrehen einrichten.
  • Den Rechner gegen Angriffe absichern
    In der Zeit der Windows-Würmer fühlen sich Linux-Anwender recht sicher. Jedoch fanden und finden Hacker auch im Linux-Betriebssystem und seinen Anwendungen immer wieder Sicherheitslücken. Wie minimiert man die Chance eines Einbruchs ins eigene System?
Kommentare

Infos zur Publikation

LU 01/2015: E-Books im Griff

Digitale Ausgabe: Preis € 4,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Ubuntu 14.10 und VirtualBox
Ubuntu 14.10 und VirtualBox
Tim Schürmann, 08.11.2014 18:45, 0 Kommentare

Wer Ubuntu 14.10 in einer virtuellen Maschine unter VirtualBox startet, der landet unter Umständen in einem Fenster mit Grafikmüll. Zu einem korrekt ...

Aktuelle Fragen

PCLinuxOS Version 2014.08 "FullMonty" Umstellung auf deutsch
Karl-Heinz Welz, 19.12.2014 09:55, 3 Antworten
Hallo, liebe Community, ich bin 63 Jahre alt und möchte jetzt nach Jahrzehnten Windows zu Linux...
ICEauthority
Thomas Mann, 17.12.2014 14:49, 2 Antworten
Fehlermeldung beim Start von Linux Mint: Could not update ICEauthority file / home/user/.ICEauth...
Linux einrichten
Sigrid Bölke, 10.12.2014 10:46, 5 Antworten
Hallo, liebe Community, bin hier ganz neu,also entschuldigt,wenn ich hier falsch bin. Mein Prob...
Externe USB-Festplatte mit Ext4 formatiert, USB-Stick wird nicht mehr eingebunden
Wimpy *, 02.12.2014 16:31, 0 Antworten
Hallo, ich habe die externe USB-FP, die nur für Daten-Backup benutzt wird, mit dem YaST-Partition...
Steuern mit Linux
Siegfried Markner, 01.12.2014 11:56, 2 Antworten
Welches Linux eignet sich am besten für Steuerungen.