Netzwerksicherheit Grundkurs

Personal Firewall in Linux-Systemen

LinkedIn Learning kostenlos und unverbindlich testen!

Jetzt testen Alle Abonnements anzeigen
Dieses Video bietet einen Überblick über die Personal Firewall in Linux-Systemen am Beispiel von Ubuntu. Die Einrichtung lässt sich über ein spezielles Tool durchführen.

Transkript

Schauen wir uns doch mal an, welche Möglichkeiten wir unter Linux haben. Ich habe in diesem Fall Ubuntu im Einsatz und in Ubuntu gibt es die Möglichkeit mit Hilfe einer Firewall bzw. mit Hilfe einer Firewalldefinition das Ganze relativ einfach zu gestalten. Normalerweise haben wir unter den Linux Firewalls oder im Grunde unter den Linux Systemen haben wir IB Tables. IB Tables ist jetzt nicht unbedingt eine leichte Variante, was die Syntax angeht. Aus dem Grund heraus gibt es eine weitere Variante, die nennt sich UFW: "Uncomplicated Firewall" oder "unkomplizierte Firewall" und das ist sie tatsächlich auch. Die macht das Ganze dann doch wesentlich einfacher. Man kann zwar mit der UFW nicht wirklich alles machen, aber im Normalfall reicht sie völlig aus. Denn die Einstellungen, die in der Regel gerade bei einer "personal firewall" gemacht werden, die sind ja nicht so komplex. Dann kann man das mit der UFW wunderbar machen. Die UFW gibt es in zwei Formen: Einmal als Textvariante und einmal in der Möglichkeit mit einer grafischen Benutzeroberfläche draufgreifen zu können. Die Textvariante haben wir hier. Also hier haben wir schon mal eingegeben: ufw status Dann sehen wir: Die ist momentan aktiv. Das kann man natürlich über die Textvariante ein- und ausschalten. Man kann aber auch sich die Grafik als erstes holen. Um grafisch auf die Sache zuzugreifen, geht man her, und lädt sich eine kleine Software herunter. Die ist ja kostenlos in dem Fall. Ufw geben wir einfach ein, dann haben wir hier die Firewall-Konfiguration, kurze Installationsphase haben Sie jetzt, Passwort brauchen wir noch, dann wird es ein paar Sekunden dauern, dann haben wir die grafische Benutzeroberfläche zur Verfügung. Da unten wackelt es schon: Sie ist da. Jetzt können wir die auch aufrufen. So. Momentan habe ich keinerlei Statusinformation, das liegt daran, dass ich solche Firewall-Mechanismen nur dann durchführen kann, wenn ich tatsächlich der Administrator bin. So. Status ist an, so wie wir das ja schon gesehen haben. Jetzt kann ich hergehen und kann erst einmal die Firewall dicht machen. Denn momentan macht sie eigentlich nichts anderes als laufen. Filtern und sperren tut sie nichts. Ich gehe jetzt also her und sage in dem Fall hier "deny eingehend". Dann ändert sich auch die Farbe gleich. Und "deny eingehend": Dann haben wir eine dichte Firewall. Im Prinzp sind wir jetzt mit allen Informationen vom Netzwerk abgehängt und jetzt gehe ich her und kann so sukzessive die Informationen nachpflegen. Schauen wir uns mal an, welche Information ich hier bekomme? Da kriegen wir nur: aktiv. Wenn man da aber ein bisschen mehr haben will, dann gehen wir hier mit "verbose" rein. Dann sehen Sie tatsächlich auch die Vorgaben, das ist auch insofern ganz interessant: deny eingehend, deny ausgehend. Das heißt also: genau diese Information, die wir auch in der Grafik gesehen haben. Dieses "verbose" gibt Ihnen dann immer noch ein paar Informationen mehr als nur der Status in dem Fall. Wenn wir jetzt Regeln erstellen wollen, müssen wir uns natürlich darüber im Klaren sein: Was wollen wir sperren, bzw. was wollen wir freigeben? Wir haben jetzt erst mal alles gesperrt. Das ist eigentlich die normale Vorgehensweise. Ich sperre sämtliche Informationen und lasse jetzt sukzessive irgendwelche Ports frei. Ist natürlich auch eine ganze Menge Arbeit, weil jetzt auf einmal Dinge freigegeben werden, von denen man gar nicht wusste, dass man sie braucht, hat aber natürlich auch seine Vorteile. So, schauen wir uns mal an, wie das funktioniert: Um eine Regel zu erstellen, gehe ich hier auf das Plus-Zeichen und habe jetzt die Möglichkeit hier "Vordefiniert" oder "Vorkonfiguiert", "Einfach" oder "Erweitert" auszuwählen. Ich nehme "Einfach". Ich möchte ja jetzt etwas zulassen, also gebe ich ein: Allow. Ich möchte einen Web-Server erreichen. Das ist draußen, also "Out", und jetzt muss man wissen, welches Protokoll http unterstützt, das ist in diesem Fall TCP. Http setzt auf TCP auf, also muss ich da TCP auswählen und als nächstes "Port" oder "Dienst". Port 80 wäre in dem Fall der richtige. Hinzufügen. Man sieht im Hintergrund wurden zwei Regeln gesetzt. Die eine Regel ist für ipv4 und die andere Regel ist für ipv6. Das haben wir geschafft. Jetzt bringt uns der Port 80 nun wirklich nicht viel. Denn wenn ich davon ausgehe, dass ich mit dem Port 80 mir Webseiten anschauen möchte, dann muss ich auch den Namen der Webseite in dem Fall finden. Ich muss ihn also auflösen, Das kriege ich nur dann gebacken, wenn ich auf einen DNS Server zugreifen kann. Das wiederum kriege ich nur hin, wenn ich den Port für den DNS Server freischalte. Das ist der nächste Punkt, den wir hier mal durchführen. Auf wieder: Allow, Out. Diesmal aber nicht TCP sondern "Both", weil DNS unterstützt sowohl UDP als auch TCP. Dementsprechend gebe ich Both ein und jetzt den passenden Port. Dieser Port wäre der Port 53. Das füge ich wieder hinzu. Schließe. Jetzt können wir mal schauen, ob das Ganze so funktioniert, wie man sich das vorstellt. So. Dann wählen wir mal "video2brain" aus. Da haben wir auch schon die Informationen. Das heißt: Wir haben jetzt hier die Komponenten bekommen. Die http Seite und DNS hat funktioniert. Als Gegenbeweis versuchen wir jetzt mal Google aufzurufen. Google.de. Das darf nicht funktionieren. Genau. Weil uns fehlt ja noch ein Punkt, nämlich 443. Google arbeitet über https inzwischen, also brauchen wir auch den Port 443. Auch der muss freigeschaltet sein. Das versuchen wir jetzt mal zu realisieren. Hier also wieder drauf: plus, Einfach, Allow, Out. Both brauchen wir in dem Fall nicht, sondern TCP, und 443, hinzufügen. Sie sehen auch: Das Ganze wirkt sofort. In dem Fall haben wir jetzt Google aufgerufen. Das heißt also: Unsere Regeln ziehen. Wir haben einmal http in der Freigabe. Wir haben einmal https in der Freigabe. Und wir haben den DNS in der Freigabe. Damit hätten wir unsere Aufgabe hier erledigt. Jetzt können wir uns das Ganze noch mal auf der Textvariante anschauen. Das heißt, wenn ich mir das mal anschaue: unter "status verbose". Dann sehe ich hier exakt diese Informationen, die wir eingegeben haben. Und hier steht also in dem Fall auch drin: 80, Protokoll TCP, Allow Out Anywhere. 53 hätten wir dementsprechend, da ist kein Protokoll-Typ dabei, weil Both. 443: Ist wieder der Protokoll-Typ dabei, und unten haben wir das Gleiche noch mal alles für ipv6. Nun sehen wir hier den Status. Und jetzt könnten wir mal hergehen und könnten eine Regel z.B. entfernen. Ich habe das schon eingegeben. Das wäre z.B.: ufw delete allow out 80/tcp. Das hat soweit geklappt. Das heißt also: Die Regel ist entfernt. Jetzt können wir uns den Status noch mal anschauen. Hier haben wir den. Jetzt können wir die Regel wieder hinzufügen. Die würde dann so geschrieben werden: Da haben wir sie: sudo - also wenn Sie nicht als Systemverwalter eingeloggt sind, können Sie sich das sparen, aber in meinem Fall gebe ich es nochmal an sudo ufw allow out. Also "erlauben", "nach draußen", 80 und tcp. Und die Regeln sind hinzugefügt. Jetzt können wir noch mal nachschauen: ufw und status und verbose. Und jetzt haben wir alle Informationen wieder da. Das heißt mit relativ einfachen Mitteln, mit relativ einfacher Syntax kann man also jetzt hier die ganzen Ports freischalten, löschen, sich den Status anschauen. Ist also um ein Vielfaches einfacher als das IP Tables ermöglicht. Deswegen wäre das, ob das jetzt textorientiert ist oder die Grafikvariante, in diesem Fall die erste Wahl. Nur wenn es dann wirklich hochkomplex wird, also mit allen möglichen Rootings und demilitarisierten Zonen, was auch immer, das ist ja auch nicht der Standard, dann kann man IP Tables nehmen. Ansonsten würde ich zu ufw, zur unkomplizierten Firewall greifen. Wir haben gesehen, dass Linux inzwischen auch grafisch aufgerüstet hat und auch die Möglichkeit hat, alle möglichen Programme mit einer grafischen Benutzeroberfläche auszustatten, und dass man auch die Firewall hier mit relativ einfachen Mitteln gestalten kann. Aber auch, wie es bei Linux so üblich ist, dass das Ganze über die Textvariante durchführbar ist.

Netzwerksicherheit Grundkurs

Machen Sie sich mit den grundlegenden Konzepten der Netzwerksicherheit vertraut und erfahren Sie, wie Sie Ihre Kenntnisse unter Windows, OS X und Linux praktisch umsetzen können.

11 Std. 47 min (142 Videos)
Derzeit sind keine Feedbacks vorhanden...

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!