claim.gif
Linux Magazin Linux User Easy Linux Ubuntu User International Linux Community
Erschienen in EasyLinux 08/2006   »   Ausgabe bestellen

Firewalls unter Kubuntu, Suse und Mandriva Linux

Äußerer Verteidigungsring

Marcel Hilzinger, Peter Kreußel


Die Sicherheit ist für viele der Grund, auf Linux umzusteigen. Viele Umsteiger stellen zunächst die Frage, ob auf ihrem System eine zuverlässige Firewall läuft. Zu Recht? Nicht unbedingt, denn Linux unterscheidet sich im Punkt Netzwerksicherheit von Windows.

Viel ist die Rede von bösartigen Viren und Würmern, die Ihr System infizieren. Doch auf welchem Weg gelangen die Schädlinge eigentlich auf Ihren Rechner? Von der Gefährdung durch Programme, den Sie selbst aus dem Internet heruntergeladen haben und von Hand auf Ihrem Computer starten, sieht dieser Artikel ab -- unter jedem Betriebssystem gibt es Schadsoftware wie Viren oder Trojaner. Wie steht es aber mit Eindringlingen, die ohne Ihr Zutun auf der Festplatte landen?

Der bildhafte Namen "Virus" steht dem richtigen Verständnis im Wege: Er scheint zu suggerieren, dass die Schädlinge ein System durch bloße Berührung infizieren. Die Realität sieht aber eigentlich ganz anders aus: Kein Schädling kann "einfach so" in den Rechner eindringen. Entweder Sie öffnen eine infizierte Datei oder einen E-Mail-Anhang. Oder, wenn die Schadsoftware wie bei einigen Würmern unter Windows tatsächlich ohne Ihr Zutun auf die Festplatte gelangt, holt ihn sich das System selbst aktiv ins Haus.

Was zunächst widersinnig klingt, wird nachvollziehbar, wenn Sie sich die Prinzipien einer Netzwerkverbindung vor Augen halten: Meistens gehen Netzwerkverbindungen von einem Client (engl., wörtlich Kunde) aus, der wie ein Kunde im Laden eine Anfrage an einen Server (von engl. to serve: bedienen) stellt. Dem virtuellen Kunden stehen dabei 1024 Kanäle zur Verfügung. Der Fachausdruck für diese heißt Port (engl. Öffnung). Jeder Port hat eine bestimmte Funktion: Wenn Ihr Browser bei einem Serverrechner im Internet nach einer Webseite nachfragt, nutzt er dazu stets den Port mit der Nummer 80. Das Herunterladen von Dateien geschieht über Kanal 21. Sichere Verbindungen über SSH finden über Port 22 statt. Ein Cups-Druckerserver, über den Sie einen Drucker im Netzwerk von verschiedenen Computern aus nutzen können, arbeitet mit Port 631.


SSH: (secure Shell = sichere Konsole), überträgt Daten, insbesondere Passwörter, im Netz über eine verschlüsselte, abhörsichere Verbindung. Sie starten eine solche Verbindung durch Eingabe von ssh [Benutzername@IP-Adresse] auf der Konsole. Nun können Sie auf dem entfernten Rechner so arbeiten, als säßen die direkt davor.

Zum Beantworten der Anfragen laufen auf dem Server im Hintergrund so genannte Dienste (engl. Services oder Daemons). Schickt Ihr Webbrowser eine Anfrage auf Port 80 an den Rechner, auf der die von Ihnen gewünschte Webseite liegt, so antwortet auf diesem Rechner der Dienst, der für Port 80 zuständig ist, indem er die Webseite abschickt. Vielleicht fragen Sie sich, inwiefern Sie das interessieren muss, da Sie wahrscheinlich keinen Webserver, sondern einen normalen Arbeitsplatzrechner betreiben. Folgendes sollten Sie jedoch bedenken:

Abb. 1: Anders als Windows ist Linux auch ohne Firewall nicht unbedingt unsicher: Wenn der für den angefragten Port zuständige Serverdienst nicht läuft, geht die Anfrage ins Leere und richtet keinen Schaden an.

Aus den genannten Punkten ergibt sich bei Windows die strikte Notwendigkeit, den Rechner nie auch nur für kurze Zeit ohne Firewall mit dem Internet zu verbinden: Zu viele der Dienste, die unter Windows zwangsweise aktiv sind, wiesen in der Vergangenheit bereits kritische Schwachstellen auf. Hinter der Abschirmung durch eine Firewall sind die Serverdienste vom Internet aus nicht erreichbar, während Windows sie intern weiter nutzen kann.

Unter Linux ist die Situation etwas entspannter: Nach der Installation einer Linux-Distribution laufen nur wenige als nicht kritisch bekannte Dienste, unter Kubuntu und Mandriva sogar gar keine. Kubuntu braucht deshalb keine Firewall, es ist auch keine auf der DVD enthalten.

Zusätzliche Sicherheit

Folgendes spricht auch unter Linux für eine Firewall:

Suse Linux, das standardmäßig Serverdienste aktiviert, beinhaltet deshalb eine Firewall und startet diese nach der Installation ohne Eingriff des Benutzers. Solange Sie die Einstellung nicht verändern, sind alle Ports vor Zugriffen aus dem Internet geschützt. Auch auf Mandriva Linux läuft im Ursprungszustand eine lückenlose Firewall, Kubuntu hingegen verzichtet vollständig auf Serverdienste. Alle EasyLinux Distributionen sind also gegen Angriffe aus dem Internet geschützt. Über einen Online-Portscan können Sie dies überprüfen: Rufen Sie die Internetseite unter [1] auf und klicken Sie auf Scan Now. Unter Trying to find out what services you are running... (versuche herauszufinden, welche Dienste laufen) sollte als Ergebnis Unable to detect any running services! (keine laufenden Dienste erkannt) erscheinen. Andernfalls läuft die Firewall nicht oder ist so konfiguriert, dass sie Anfragen passieren lässt.

Abb. 2: Firewalls blockieren Anfragen aus dem Netz, bevor Sie die Netzwerkdienste erreichen. Sie lassen sich jedoch auch so konfigurieren, dass Sie die Anfragen zu bestimmten Diensten passieren lassen.

Auf der Perspektive Sicherheit ist es das Einfachste, Firewall und Serverdienste im sicheren Zustand, in dem Sie sich nach der Installation befinden, zu belassen. Wollen Sie sich jedoch von einem Ihrer Rechner aus auf einem anderen im Netzwerk anmelden oder Dateien zwischen den Rechnern austauschen, müssen die Rechner wechselseitig über Serverdienste kommunizieren. Dafür gibt es zwei Voraussetzungen:

Der Dienst für Port 22 ist unter Mandriva Linux und Kubuntu im Paket openssh-server enthalten. Unter Suse Linux läuft der Dienst bereits nach einer Standardinstallation. Nach der Installation über das Mandriva-Kontrollzentrum oder Adept ist ein Neustart des Rechners oder die Eingabe von /etc/init.d/sshd start als Root auf der Konsole erforderlich, um den SSH-Dienst zu starten. Damit der Rechner per SSH erreichbar ist, müssen Sie nun noch sicherstellen, dass die Firewall Anfragen auf Port 22 passieren lässt. Andere Port, zum Beispiel für den Druckerserver oder für Filesharing Tools, öffnen Sie auf ähnliche Weise.

Suse Linux

Unter Suse Linux richten Sie die Firewall in YaST ein. Starten Sie dazu YaST über den Eintrag System / YaST (Kontrollzentrum) aus dem Startmenü und wählen Sie dann das Modul Sicherheit und Benutzer / Firewall. Im ersten Dialog von YaST (Abbildung 3) richten Sie ein, ob und wann die Schutzmauer aufgebaut werden soll. Über einen Klick auf Firewall nun stoppen beziehungsweise Firewall nun starten schalten Sie die Firewall ein und aus. Sitzen Sie zu Hause hinter einem Router mit eingebauter Firewall, können Sie die Firewall auf dem Linux-Rechner zu Testzwecken gefahrlos ausschalten. Längerfristig kann der doppelte Schutz allerdings nicht schaden.

Abb. 3: Unter Suse Linux schalten Sie die Firewall bequem in YaST ein und aus.

Unter Schnittstellen zeigt YaST die vorhandenen und eingerichteten Netzwerkgeräte an. Besitzt Ihr Rechner zwei Netzwerkgeräte (zum Beispiel WLAN und Ethernet oder zwei Ethernet-Karten) lässt er sich als Router benutzen. Dann definieren Sie ein Gerät als Externe Zone (direkt mit dem Internet verbunden) und das andere als Interne Zone (internes Netz). Möchten Sie den Netzwerkverkehr auf einem Gerät vollständig unterbinden, markieren Sie den gewünschten Eintrag, klicken auf Ändern und wählen Keine Zone zugewiesen als Schnittstellenzone. In der Grundeinstellung sind sämtliche Netzwerkgeräte der (geschützten) externen Zone zugeteilt und sämtliche Dienste blockiert

Über Erlaubte Dienste (Abbildung 4) öffnen Sie nun die externe Zone für die gewünschten Dienste. Suse Linux bietet dazu die am häufigsten benutzten Dienste in einer Liste zur Auswahl. Wählen Sie über die Dropdown-Liste Zu erlaubender Dienst den entsprechenden aus und klicken Sie dann auf Hinzufügen. Für SSH wählen Sie den gleichnamigen Eintrag, für den Zugriff auf den Drucker-Server wählen Sie IPP-Client. Möchten Sie die Firewall für einen Dienst öffnen, der nicht in der Liste von YaST steht, fügen Sie zunächst einen beliebigen Dienst hinzu, markieren diesen und klicken auf Erweitert. Im neuen Dialog geben Sie die Port-Nummer unter TCP-Ports und UDP-Ports an. Für das Filesharing-Programm Amule geben Sie hier zum Beispiel den TCP-Port 4662 und den UDP-Port 4672 an.

Abb. 4: In diesem Dialog geben Sie einzelne Dienste frei und richten die zugehörigen Ports ein.

Mandriva Linux

Unter Mandriva Linux gehen Sie so vor, um Ports in der Firewall zu öffnen: Starten Sie das Verwaltungsmodul (System / Einstellungen / Den Computer konfigurieren / Sicherheit / Eine persönliche Firewall aufsetzen.... Als Nächstes stellt sich die Frage, wie sie mit dem Internet verbunden sind: Fall Sie über ein Analog- oder DSL-Modem oder eine ISDN-Karte online gehen und mit den Rechnern in Ihrem Netzwerk über eine Netzwerkkarte verbunden sind, sollten Sie Port 22 nicht in Richtung Internet öffnen. Zumindest wenn Sie sich nicht vom Internet aus über SSH auf Ihrem Rechner anmelden möchten, genügt es, ihn über die Netzwerkkarte im internen Netz freizugeben.

Lassen Sie also alle Kontrollkästchen unter Auf welche Dienste aus dem Internet darf zugegriffen werden? deaktiviert und klicken Sie auf OK. Die Einstellungen zur Interaktiven Firewall im folgenden Dialog übernehmen Sie erneut mit OK. Daraufhin fordert Sie das Mandriva Linux Kontrollzentrum auf, die Schnittstelle zu wählen, über die Sie ins Internet gehen. Die Firewall blockiert nach der richtigen Auswahl alle Ports in Richtung Internet, auf allen anderen Netzwerkschnittstellungen lässt sie jedoch den Verkehr über sämtliche Ports passieren. Nutzen Sie ein DSL- oder Analogmodem, wählen Sie hier ppp+. Für eine ISDN-Karte ist ippp+ die richtige Einstellung.

Gehen Sie über einen Router (z. B. eine Fritzbox) online, dann läuft die Verbindung ins Internet und zu anderen Rechnern in Ihrem Heimnetzwerk normalerweise über die gleiche Netzwerkkarte: Wählen Sie dann eth0 (oder eth1 wenn es sich um die zweite Netzwerkkarte im PC handelt). In diesem Fall müssen Sie allerdings das Kontrollkästchen für SSH-Server im ersten Dialog aktivieren. Die Firewall lässt Port 22 dann in alle Richtungen offen. Jedoch übernimmt Ihr Router den Schutz des gesamten Heimnetzwerks, falls er entsprechend konfiguriert ist. Möchten Sie Ihren Rechner per SSH über das Internet erreichen, öffnen Sie ebenfalls Port 22 für alle Netzwerkgeräte.

Für eine Reihe wichtiger Dienste bietet das Mandriva-Kontrollzentrum Kontrollkästchen, über die Sie die entsprechenden Ports mit einem Mausklick freigegeben können. Finden Sie die gewünschten Dienste hier nicht, hilft der Button Fortgeschritten: Für das Filesharing-Programm Amule geben Sie hier zum Beispiel 4662/tcp 4672:udp ein. Welche Dienste ein bestimmtes Filesharing-Programm benötigt und ob es sich dabei um TCP- oder UDP-Ports handelt, finden Sie in der Dokumentation des Programms.

Abb. 5: Auch auf Mandriva Linux läuft nach der Installation eine Firewall. Im Mandriva Kontrollzentrum geben Sie Ports frei und wählen das Netzwerkgerät, über das Sie sich mit dem Internet verbinden.

Kubuntu

Da Kubuntu keine Firewall beinhaltet, ist der Rechner nach dem Start des SSH-Dienstes immer auch aus dem Internet über SSH erreichbar. Auch wenn gegenwärtig keine Sicherheitslücken für diesen Dienst bekannt sind, hält nun nur noch ein Passwort Eindringlinge fern. Möchten Sie SSH nur im internen Netz nutzen, ist es sicherer, Port 22 nach außen hin zu blockieren.

Die Heft-CD enthält die Firewall Firestarter, mit der Sie wie unter Suse und Mandriva Linux zwischen internem Netz und Internet differenzieren können. Installieren Sie Firestarter wie auf der Heft-CD beschrieben. Den Konfigurationsdialog öffnen Sie über den Eintrag Einstellungen / Firestarter aus dem KDE-Startmenü. Klicken Sie dann auf den Button Einstellungen unterhalb der Menüleiste. Im linken Unterfenster aktivieren Sie Netzwerkeinstellungen. Im Listenfeld unter Mit dem Internet verbundenes Netzwerkgerät wählen Sie das Gerät, mit dem Sie mit dem Internet verbunden sind, unter Gerät für das lokale Netzwerk die Karte, die Sie zur Kommunikation mit den lokalen Rechnern nutzen. Wie bei der Suse- und Mandriva-Firewall gilt: Richtung Internet sind zunächst alle Ports blockiert, in Richtung lokales Netz dagegen alle freigegeben.

Nutzen Sie einen Router, mit dem Ihrer Rechner sowohl mit dem Internet als auch mit den anderen Rechnern im lokalen Netz verbunden ist, können Sie die Firestarter-Funktion zur Trennung von internem Netz und Internet nicht nutzen: Normalerweise verbindet dann die gleiche Netzwerkkarte den Rechner mit dem Internet und dem lokalen Netz. Wie bei den anderen Linuxdistribution müssen Sie in diesem Fall den Port 22 generell freigeben und den Router gegebenfalls so konfigurieren, dass dieser den Port in Richtung Internet sperrt. Wählen Sie hierzu Richtlinie / Regel hinzufügen aus dem Menü. Im Dialogfeld Neue Regel für eingehenden Verkehr wählen Sie unter Name SSH, Firestarter trägt für den Port automatisch die richtige Nummer 22 ein. Für andere Port, wie den Cups-Druckerserver (631) oder Amule (4662 und 4672) legen Sie eine oder zwei Regeln an, bei denen Sie die Portnummer per Hand in das Feld Port eintragen. Änderungen werden erst aktiv, wenn Sie diese über Richtlinie / Richtlinie anwenden bestätigt haben.

Abb. 6: Die Kubuntu-DVD enthält keine Firewall. Abhilfe schafft Firestarter von der Heft-CD, das im Leistungsumfang den Firewalls von Suse und Mandriva Linux um nichts nachsteht.

Fazit

Nicht immer ist unter Linux eine Firewall erforderlich. Unter folgenden Bedingungen trägt sie jedoch dazu bei, die Systemsicherheit zu erhöhen:

Eine Firewall schützt das System vor Sicherheitslücken in den laufenden Netzwerkdiensten oder vor Gefahren, die durch eine mangelhafte Konfiguration dieser Dienste ausgeht. Öffnen Sie jedoch per Hand infizierte Dateien, bleibt die Firewall wirkungslos. (pkr)

Infos
[1] Online-Portscan zum Testen der Firewall: http://scan.sygate.com/probe.html

Dieser Online-Artikel kann Links enthalten, die auf nicht mehr vorhandene Seiten verweisen. Wir ändern solche "broken links" nur in wenigen Ausnahmefällen. Der Online-Artikel soll möglichst unverändert der gedruckten Fassung entsprechen.

Druckerfreundliche Version | Feedback zu dieser Seite | Datenschutz | © 2021 COMPUTEC MEDIA GmbH | Last modified: 2008-11-05 17:01

[Linux-Magazin] [LinuxUser] [Linux-Community]