[linux-l] Erfahrungsbericht: Firewall-Tools

Steffen Dettmer steffen at dett.de
So Jan 6 05:06:44 CET 2008


* Norm at nSteinbach wrote on Sun, Jan 06, 2008 at 02:28 +0100:
> Olaf Radicke wrote:
> > Hier mal ein super kurzer Bericht mit Firewall-Tools.
> Wozu braucht man diese denn eigentlich überhaupt?

zu kMyFirewall:

erstmal geht es hier wohl bloss um PAKETFILTER, ein kleiner Spezialteil
einer Firewall und um mehr nicht. Man muss aufpassen, dass durch die
ganzen Hypetutorials, `Firewall in 24 Sekunden für jeden auch Oma',
nicht das Wissen untergeht :) Paketfilter schützen eigentlich vor gar
nichts ausser Programmbugs und schlechten Passwörtern. Dienste sind oft
an sich schon entsprechend konfigurierbar, Verbindungen nur von
bestimmten IP-Adresskreisen anzunehmen. Über TCP-Wrapper geht das
eigentlich fast immer. Aber wer pflegt heute noch seine /etc/hosts.allow
vernünftig?

Eine richtige Firewall muss vor Viren schützen, bestimmten ausgehenden
Verkehr blockieren können (z.B. `Homecalls'), Überwachung ermöglichen
(IDS) und vieles mehr.

> - Arbeiten auf der Konsole ist nicht mehr möglich, da man mit sinnlosen
>   Fehlermeldungen zugeschüttet wird.

Du wolltest doch logging? :) SCNR.

> - Anmeldung auf KDE ist nicht mehr möglich gewesen (Gnome ging).   

na ja, kmyfirewall blockiert halt KDE. Wenn Du Dich auch in GNOME nicht
mehr anmelden können willst, musst Du halt gmyfirewall installieren

looooooooooooooool

(kMyFirewall! looooooool der Witz könnte von mir sein, aber es gibt
sowas ja wirklich).

Aber mal Spass beiseite, so ein `personal firewall tool' kann angeblich
schützen, gerade bei ausgehenden Verbindungen lokaler Programme. Unter
Windows nutze ich z.B. das kostenlose Outpost. Sowas geht natürlich
nicht für richtige Systeme (so mit Leuten die an Servern arbeiten und
sich an Netzen anmelden, statt an `Computern').

> Okay, nicht selber mit IPtables rumwurschteln müssen ist schon sinnvoll 
> - aber da zumindest die von Dir getesteten Tools das allesamt 
> ebensowenig hinbekommen, wie ein unbedarfter Anwender, führt letztlich, 
> wenn man sowas haben will, sowieso kein Weg daran vorbei.

bash+vim:
 + Alle Regeln möglich
 + Übersichtlich und beliebig kommentierbar
 + Symbole (Variablen) frei definierbar
 +++++++ automatische Regelerzeugung möglich
 + Tut was man sagt.
 + extrem stabil
 + keine incompatiblen Formatänderungen
 + es muss nichts weiter installiert werden
 + schnell remote über SSH nutzbar
 + geht für Server
 + Vorlagen-Skripte können Beispiele (mit Erklärung) haben, die man
   rein- oder rauskommentiert. Find ich besser als SuSEFirewall-Stil,
   aber geht auch nur für sehr einfache Setups.
 - man kann schlecht über probieren `Lösungen' finden
 - Anzeige von (blockiertem, ...) Verkehr ist ganz woanders (man muss im
   log nachsehen, dann die Regel raussuchen etc).
 - kein `Wizard', der Standardregeln macht oder bei neuen
   Verbinungsversuchen nachfragt
   (das ist bei Outpost [Windows Personal Firewall Tool] nett. Wenn
    irgendwas auf einen FTP-Port zugreift, wird z.B. "Download Manager"
    angeboten, der darf dann auch port 80 und so, Browser darf auch port
    443 etc. alles geraten und aus dem Kopf)

> Ich setze das Beispielscript von Volker ein, was er in seinem Wiki 
> veröffentlicht hat: http://wiki.njh.eu/Firewall_zu_Hause
> Das sind 6 Zeilen, die genau das machen, was eine Firewall tun sollte: 
> Alles was reinwill ohne angefordert worden zu sein DROPpen, alles was 
> raus will ACCEPTen. 


`genau das ... was eine Firewall tun sollte'?!

Sorry, aber bei solchen Aussagen sträuben sich mir dermassen die
Nackenhaare, dass ich mich zusammenreissen muss, höflich zu antworten...
mann mann...  

  (Überhaupt schon mal eine Firewall gesehen??? So 19" breit und einen
   Meter hoch oder so?
   Das, was Du da beschreibst, ist keine Firewall, sondern ein
   Paketfilter in Manager-Konfiguration...  SO!
   :-) oki genug gemeckert :-) )

Der Link heisst auch eindeutig `Firewall_zu_Hause' (gut, sollte
vielleicht Paketfilter_zu_Hause heissen). Da hört man schon am Namen,
dass es nichts `richtiges' ist, sondern was einfaches für Normalbürger
zu Hause ohne WLAN oder besonderen Schutzbedarf :-)

Wer einen DSL Router hat, dem nützt sowas ziemlich genau nichts, weil
Masquerading im Prinzip das gleiche macht.

Ich finde das Filtern von ausgehenden Daten wichtig, und gerade das ist
oft ziemlich schwierig. Hier finde ich Personal-Firewalls (wie Outpost)
hilfreich, allerdings muss man das natürlich auf allen PCs haben, geht
nicht wirklich auf Servern etc. Aber für zu Hause find ich das Klasse.

Inzwischen hab ich auf meinem inet Router auch ne ganz schlichte
Firewall (irgendein openwrt Standard mit 28 Regeln). Meine alte hat 243
und war noch ansatzweise sinnvoll... Die `neue' ist eigentlich bloss
noch nicht gemacht...

Na, und alles von aussen zu? Dann kommt man ja selbst mit starker
Kryptographie nicht mehr von aussen auf seinen eigenen Router, wäre doch
auch Schade :)

(und wenn alles rausdraf, kann einer von innen übrigens auch alles
reinlassen, beispielsweise über einen SSH Tunnel)

> Bisher hatte ich noch keine Probleme, dass irgend etwas deshalb nicht
> funktionieren würde.

na ja, ganz ohne Firewall hättest Du die auch nicht, oder? :)

> Ein Portscan meines Rechners zeigt die folgenden 2 offenen Ports an:
> >  PORT    STATE SERVICE              VERSION
> >  111/tcp open  rpcbind (rpcbind V2)  2 (rpc #100000)
> >  113/tcp open  ident                OpenBSD identd
> Allerdings hab ich natürlich keine Ahnung, wieso ;-) vermute jedoch mal, 
> dass das Sachen sind, die "dürfen".

Komisch, gerade diese beiden Dienste stehen bei mir auf der "was
unbedingt zu blocken ist Liste" auf Platz zwei und drei (gleich nach
den ganzen Windows-Ports auf Platz 1)...

Solltest Du die nicht vielleicht doch lieber zu machen? Brauchst Du doch
aussen bestimmt nicht, oder?

oki,

Steffen

-- 
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.




Mehr Informationen über die Mailingliste linux-l