Embed Size (px)
Citation preview
wendungen, die bestimmte Ports benöti-gen, entsprechende Regeln im laufenden Betrieb implementieren.Ein weiteres wichtiges Bewertungskri-terium für Firewalls ist das Logging. Protokollanalysen der Pakettransfers helfen dem Admin zum Beispiel, IDS- oder IPS-Systeme (Intrusion Detection and Prevention Systems) einzurichten. Anwendungsfilter und Blacklists erhö-hen – sofern der Admin sie regelmäßig wartet und aktualisiert – ebenfalls die Sicherheit.
E Firewalld
Firewalld [4] ist seit Version 7 die Stan-dard-Firewall von Red Hat Enterprise Linux und löst damit in dieser Distri-bution IPtables ab. Obwohl Firewalld mit dem Netfilter-System arbeitet, ist die Software inkompatibel zum Regelmodell von IPtables. Die als Dienst arbeitende Firewall steckt auch in Fedora und dem RHEL-Derivat Centos und inzwischen auch in den Repositories der meisten gängigen Linux-Derivate.Firewalld kommt mit IPv4 und IPv6 zu-recht, vor allem sein Zonenmodell sticht dabei hervor. Das erlaubt es, die Firewall für unterschiedliche Zonen zu konfigu-rieren, die jeweils eine spezifische An-zahl von Regeln enthalten. Die Regeln orientieren sich dabei an dem jeweils gewünschten oder benötigten Sicher-heitsniveau. Vor allem für mobile Geräte ergeben sich daraus Vorteile: Der Anwen-der kann je nach Arbeitsumgebung die
Firewalls unter Linux basieren in der Regel auf dem bereits im Jahr 2001 ein-geführten Netfilter-System im Kernel [1]. NFtables [2] schickt sich zwar an, das System abzulösen, bis dahin ist die Kon-figurationshilfe für das komplizierte Net-filter-System aber weiterhin der Paket-filter IPtables [3]. Er gilt unter Linux als Standardtool schlechthin.IPtables konfigurieren ist aber wenig in-tuitiv: Wer sie nicht regelmäßig trainiert, vergisst die nötigen Kommandozeilen-parameter recht schnell. Da IPtables also für weniger versierte Admins die Konfi-guration der Firewall kaum erleichtert, bringen mehrere Distributionen eigene Tools mit. Das Bedienen des Paketfilters auf der Kommandozeile richtet durch Be-dienfehler schnell Schaden an. Daher gibt es zu vielen Firewalls inzwi-schen grafische Oberflächen, die diese etwas umständliche Arbeit deutlich über-
sichtlicher gestalten und damit erleich-tern. Die Bitparade widmet sich dies-mal vier solchen Kandidaten, konkret: Firewalld [4], Fwbuilder [5], GUFW [6] und Shorewall [7]. Ein Kasten stellt zu-sätzlich den IP-Blocker Peer Guardian [8] vor, veraltete Firewalls und Firewall-Distributionen berücksichtigt der Test jedoch nicht (siehe Kasten „Nicht be-
rücksichtigt“).
Kriterien
Zu den wichtigsten Dingen, die profes-sionelle Firewalls beherrschen müssen, gehören der Umgang mit IPv4 und IPv6 sowie die Möglichkeit, sich dynamisch anzupassen. Im Vergleich zur statisch arbeitenden Firewall soll nicht jede Mo-difikation die Firewall stoppen und neu starten und zugleich die Internetverbin-dung kappen. Nur so lassen sich für An-
Eine umfassende Firewall mit Netfilter und IPtables einzurichten ist kompliziert. Grafische Oberflächen wollen diese anspruchsvolle Aufgabe erleichtern, das Linux-Magazin besichtigt die Sperranlagen. Erik Bärwaldt
Grafische Tools zur Firewall-Konfiguration
Sperrgebiet
Der Quellcode der im Artikel
vorgestellten Firewalls, auch der für Peer
Guardian, befindet sich auf der DELUG-DVD.
Heft-DVDDELUG-DVD
Sof
tware
44
ww
w.lin
ux-m
agaz
in.d
eB
itpara
de
11/20
17©
Ric
hard
Sem
ik, 1
23RF
griff von außen zugänglich. Dabei ge-währt er je nach Anwendungsszenario den Zugriff von einem Intranet oder dem Internet aus. Der Anwender stößt hier auf eine sehr umfangreiche Auswahl verfügbarer Dienste, die er mit Häkchen freischaltet. Gibt er sich als Systemver-walter zu erkennen, aktiviert Firewalld die entsprechenden Einstellungen sofort ohne Neustart.Im Reiter »Ports« gibt der Admin einzelne Ports oder ganze Portbereiche manuell frei, die dem Zugriff von außen auf das System dienen. Sollen bestimmte Pro-tokolle die Firewall passieren, pickt er diese aus dem Reiter »Protokolle« heraus. Speziell für IPv4 sind die Reiter »Masque-rading« und »Port Weiterleitung« gedacht, mit denen er das betreffende Compu-tersystem als Gateway für ein Intranet einrichtet. Dazu muss er den Rechner, auf dem die Firewall arbeitet, jedoch mit zwei Schnittstellen seiner Wahl aus-statten. Die Portweiterleitung wiederum dient dazu, Ports auf dem lokalen System oder auf einen entfernten Rechner wei-terzuleiten.Für weniger gebräuchliche Dienste oder individuelle Konfigurationen passt der Administrator Firewalld über den Reiter »Dienste« an. Hier darf er über »Ports« wiederum vom Standard abweichende Portadressen für vordefinierte oder ma-nuell einzufügende Dienste vergeben. Auch Quellports und Zieladressen legt er
jeweils relevante Zone auswählen, was ihm ein spezifisches Sicherheitsniveau gewährleistet.Auch in großen IT-Infrastrukturen mit DMZ-Integration spielt Firewalld seine Stärken aus. So kann der Admin die Konfiguration der Firewall passend zur Schnittstelle vornehmen. Im WLAN gel-ten dann andere Einstellungen als im statio när genutzten LAN. Server im Intra-net oder in einer DMZ passt der Admin mit unterschiedlichen Zonen ebenfalls an die Bedürfnisse der Nutzer an.Firewalld liefert bereits mehrere Zonen mit unterschiedlichen voreingestellten Si-cherheitsleveln: Die Palette reicht dabei von der Zone »trusted«, die alle eingehen-den Datenpakete weiterleitet, über wei-tere vordefinierte Regelwerke bis hin zur »drop«-Zone, die alle eingehenden Pakete verwirft, wenn sich diese nicht auf aus-gehende Pakete beziehen. Der Daemon beherrscht dabei eine eigene Syntax, mit der sich die Zonen über die Kommando-zeile verwalten lassen.Weniger versierten Admins, die Firewalld möglichst zügig aufsetzen möchten, bie-tet die Software ein primär für Gnome vorgesehenes grafisches Tool an. Wäh-rend Firewalld aber bei Fedora, Centos oder RHEL automatisch auf der Platte landet, muss der Admin dieses Tool über Gnomes Softwareverwaltung installieren – das Paket heißt »Firewall«. Alternativ integriert er das Tool »firewall-config« über »yum install firewall-config«.
Nach dem Installieren ruft er das GUI über den Button »Starten« aus dem grafi-schen Installer heraus auf. Alternativ gibt er im Terminal »firewall-config« ein. Hat er sich als Systemverwalter angemeldet, landet er auf einer sehr übersichtlichen Oberfläche (Abbildung 1).Links im Programmfenster stößt der Anwender in der vertikal angeordneten Liste »Aktive Zuordnungen« auf alle phy-sisch im System vorhandenen aktiven Verbindungen und die zugehörigen Zo-nen. Rechts daneben finden sich in drei Reitern verschiedene Einstellschrauben, wobei ein kleineres Fenster rechts un-ten diese ergänzt. Es bietet an, weitere gruppenspezifische Optionen zu ändern. Im Auswahlfeld »Konfiguration« oberhalb der Reiter bestimmt der Anwender, ob er die Optionen dauerhaft oder tempo-rär verändert will. Dazu ist wahlweise »Runtime« oder »Permanent« zu wählen.
Zonen
Im zentralen Reiter »Zonen« stellt der Anwender für alle vorhandenen Firewall-zonen die jeweiligen Regeln für den Pa-kettransfer ein. Dabei vereinen die Reiter »Dienste«, »Ports« und »Protokolle« die wichtigsten Gruppen. In den Grundein-stellungen zeigen alle Reiter die gleichen Optionen an.Der erste Reiter »Dienste« macht auf dem Rechner installierte Dienste für den Zu-
Neben den besprochenen grafischen Oberflä-chen für Firewall-Module unter Linux finden sich im Internet gelegentlich noch weitere Konfigurationsumgebungen wie etwa Fire-starter [9], Turtle Firewall [10] oder Fire Flier [11]. Auch das Ncurses-Programm Vuur-muur [12] hat eine gewisse Bekanntheit als Verwaltungsapplikation für Linux-Firewalls erlangt. Gemein ist allen genannten Pake-ten, dass sie teils seit rund zehn Jahren keine Pflege mehr erhalten und daher auch neue Standards wie IPv6 nicht oder nicht vollstän-dig unterstützen. Andere aktive professionelle Systeme wie IPfire [13], die Untangle NG-Firewall [14] oder Alpine Linux [15] spart die Bitparade aus, weil es sich um spezialisierte Linux-Distributionen handelt, die nicht auf ein Standard-Linux-System aufsetzen.
Nicht berücksichtigt
45
ww
w.lin
ux-m
agaz
in.d
e
Sof
tware
Bit
para
de
11/20
17
Abbildung 1: Nimmt IPtables seinen Schrecken: die Firewalld-Oberfläche.
er blockiert alle Verbindungen, sodass Firewalld weder ein- noch ausgehende Pakete weiterleitet.Ein über das Paket »firewall-applet« nach-zuinstallierendes Applet ermöglicht zu-dem die Kontrolle per Mausklick. Das Applet platziert sich nach dem Installie-ren automatisch im Systemtray, zeigt ein rotes Mauersymbol und einen dahinter befindlichen PC. Fährt der Admin mit dem Mauszeiger darüber, blendet es die verwendete Schnittstelle, die Standard-zone und – falls sich diese geändert hat – auch die aktive Zone ein. Bei WLAN-Verbindungen zeigt das Applet die SSID an (Abbildung 3).Ein Klick auf das Applet ermöglicht es, die aktive Zone zu ändern. Der Anwender ruft ein kleines Fenster auf den Desktop, in dem er eine neue Zone auswählt, was jedoch keinen Neustart erfordert. Damit das Applet zusätzliche Nachrichten der Firewall anzeigt, etwa wenn sich Zonen ändern oder die Firewall Einstellungen neu lädt, benötigen manche Distributi-onen zudem Eingriffe in die Konfigurati-onsdatei »/etc/firewall/applet.conf«. Hier gilt es, die Werte der Optionen »notifica-tions« und »show-inactive« jeweils auf »true« zu setzen. Im Panikmodus blendet das Applet ein entsprechendes Symbol ein, sodass der Anwender sieht, dass die Brandmauer sämtliche Pakettransfers blockiert.
Logging
Anders als gewohnt be-herrscht das GUI von Fire-walld kaum Logging-Funktio-nen. Das ermöglicht nur sehr eingeschränkt eine nachträg-liche Paketanalyse. Der An-
wender kann das Mitprotokollieren aller abgelehnten und verworfenen Pakete ak-tivieren, indem er im Menü »Optionen« der Konfigurationsoberfläche den Eintrag »Change Log Denied« aufruft und dann im Auswahlfeld »all« wählt.
E Fwbuilder
Fwbuilder (Akronym für „Firewall Buil-der“, [5]) gehört mit über zehn Jahren kontinuierlicher Entwicklungszeit bereits zu den Dinosauriern unter den grafischen Konfigurationstools für Firewalls. Die Software ist entsprechend gut am Markt platziert und steckt in den Repositories nahezu aller größeren Linux-Distributio-nen. Fwbuilder verwaltet plattformüber-greifend Firewallsysteme und eignet sich daher auch für den Einsatz in hetero-genen Umgebungen, die neben IPtables auch Cisco-Firewalls und BSDs PF [16] beherbergen. Unter Linux konfiguriert Fwbuilder IPtab-les mit einer automatischen Regelvalidie-rung, auch mit IPv6 kommt es zurecht. Die Installation ergänzt Fwbuilder in der Menüstruktur des jeweiligen Desktops, nach dem ersten Aufruf öffnet es zwei Fenster: Neben dem eigentlichen Kon-figurationsfenster ruft die Routine noch einen kleineren Quick-Start-Guide auf, der den frischgebackenen Firewall-Admin mit den wichtigsten Funktionen des Pro-gramms vertraut macht.Das Konfigurationsfenster sieht über-sichtlich aus: Am oberen Bildschirmrand wartet eine Menüleiste, darunter eine Buttonleiste zum Schnellstart wichtiger Funktionen. Links (vertikal) zeigt eine Baum ansicht verschiedene Objekte. Rechts erwarten drei Buttons das Anle-gen eines neuen Regelwerks oder den Im-
auf Wunsch fest, wobei diese jedoch nur in der Konfigurationseinstellung »Perma-nent« zur Verfügung stehen. Zieladres-sen lassen sich dabei für IPv4 und IPv6 freischalten.Der letzte Reiter »IPSets« gestattet das Definieren von IP-Räumen oder einzel-nen IP-Adressen, für die Firewalld den Zugriff von außen erlaubt oder blockiert. Dazu legt der Admin die entsprechen-den Black- und Whitelists an, wobei die Software auch Portnummern und MAC-Adressen berücksichtigt.
Wechselspiel
Ab Werk weist Firewalld den physisch im System vorhandenen Schnittstellen jeweils eine Zone zu. Besonders bei Mo-bilsystemen, die per WLAN oft an ver-schiedensten Orten Zugang zum Internet suchen, ist eine statische Zonendefinition aber unbrauchbar. Daher kann der An-wender jeder Schnittstelle jederzeit eine andere der vorhandenen Zonen zuwei-sen. Dazu wählt er im Menü »Optionen« | »Verbindungszonen ändern« eine Ver-bindung aus und richtet eine neue Ver-bindungszone ein (Abbildung 2).Außerdem wechselt er jederzeit für alle im System vorhandenen Interfaces die voreingestellte Standardzone, indem er im Menü »Optionen« | »Standardzone ändern« aus dem aufklappenden Aus-wahlfenster eine der angebotenen Zonen herauspickt. Nach einem Klick auf »OK« und einer Admin-Authentifizierung stellt die Firewall im laufenden Einsatz die Standardzone um.
Panik und Applet
Firewalld bietet auch ei-nen Panikmodus. Den aktiviert der Admin im Einstellungsdialog über das Menü »Optionen«,
Abbildung 2: Dank unterschiedlicher Zonen passt
der Anwender den Sicherheitslevel der Firewall
jederzeit individuell an.
Abbildung 4: Auch Fwbuilder verfügt über eine eingängige Oberfläche.
Abbildung 3: Einen schnellen
Überblick erhält der Anwen-
der durch ein Applet.
Sof
tware
46
ww
w.lin
ux-m
agaz
in.d
eB
itpara
de
11/20
17
Dienste treten als Objekte auf. Der Admin gibt zunächst einen neuen Objektnamen an und muss der Routine dann mitteilen, welche Firewall sie auf dem Host erwar-tet – bei aktuellen Linux-Distributionen meist IPtables – und welches Betriebs-system. Da die Auswahlliste der Firewalls mit der der Betriebssysteme korreliert, trägt die Software das passende Betriebs-system meist automatisch richtig ein, wenn der Admin eine Firewall auswählt. Auf der Seite des Dialogs gibt der er da-nach an, ob er vorkonfigurierte Regel-sätze nutzen möchte.Ein Klick auf »Next« bringt ihn in den nächsten Dialog. Will er die Objekte manuell anlegen, verrät er hier, welche physischen Schnittstellen das System be-heimatet. Er kann die Interfaces auch per SNMP suchen lassen, sofern das auf dem
port einer vorhandenen Regelsammlung. Der dritte Button ruft den Webbrowser des Systems auf und öffnet ebenfalls den Quick-Start-Guide [17] auf der Projekt-seite (Abbildung 4).
Assistent
Ein Klick auf den Button »Create new firewall« öffnet einen Dialog, der den Anwender mit Hilfe eines Assistenten beim Festlegen neuer Regeln hilft. Der Assistent verfügt bereits über Vorlagen mit sinnvollen Einstellungen für Stan-dardfirewalls, zusätzliche Schutzregeln lassen sich leicht implementieren.Die Objekte links im Programmfenster enthalten auch Regelsätze und lassen sich in Objektbibliotheken organisieren und erweitern. Auch Schnittstellen oder
Abbildung 5: Grafisch schön dargestellte Regeln vereinfachen es, die Firewall zu verwalten.
Abbildung 6: Bei den unterstützten Hostsystemen zeigt sich Fwbuilder sehr flexibel.
Host existiert. Anschließend definiert er im folgenden Dialog die einzelnen In-terfaces inklusive des jeweiligen Modus zur Vergabe der IP-Adresse. Nach einem abschließenden Klick auf »Finish« legt die Software die neue Objektbibliothek an (Abbildung 5).Das Programmfenster teilt sich nun in drei Bereiche auf, wobei sich der rechte in einen für Regellisten und einen für Bearbeitungsschritte splittet. In Letzte-rem lassen sich einzelne Einstellungen beispielsweise zu den Interfaces ändern. Die Regelliste orientiert sich an der Syn-tax von IPtables, der Admin erweitert sie per Klick auf das grüne »+«-Symbol oben links über der Liste. Wie es bei IPtables üblich ist, sehen neue Regeln zunächst das Abweisen aller Pakete vor. Der Admin kann einzelne Objekte aus dem Segment der Objektbibliotheken durch Aufnehmen und Ziehen in den Regellistenbereich übernehmen und dort an gewünschter Stelle fallen lassen. Fwbuilder passt die Regel sodann auto-matisch den Vorgaben an. Fehlen noch Objekte in der Bibliothek, etwa wenn der Besitzer nachträglich zusätzliche Hard-ware in seinen Hostrechner einbaut, er-gänzt der Admin diese auch zu einem späteren Zeitpunkt.Sind alle Regelsätze am Platz, muss der Admin das Regelwerk für die Syntax der jeweiligen Firewall kompilieren. Die unterstützten Hostsysteme reichen von Linux über diverse BSD-Derivate bis hin zu Cisco- und HP-Appliances und be-sitzen ganz unterschiedliche Syntaxen.
Dazu klickt er oben rechts über der Re-gelliste auf den sym-bolisierten Hammer. Im letzten Schritt wird die kompilierte Firewall mit Hilfe von SSH und SCP auf das Hostsystem übertragen (Abbil-
dung 6). Läuft Fw-builder aber bereits auf dem Hostsystem, auf dem es auch Firewall spielen soll, klickt der Admin auf den Button »Com-pile and install this firewall«.Nachträglich modifizierte oder ergänzte Regeln gleicht der Administrator mit den ursprünglichen Regelsätzen ab. So filtert er Inkonsistenzen heraus. Dazu klickt er im Menü »Tools« auf »Find Conflicting Objects in Two Files« und gibt die Dateien mit den Regelsätzen an. Die Software überprüft diese dann automatisch auf in-konsistente Einträge. Das hilft besonders dann, wenn aufgrund sehr komplexer Regelsätze und gegenseitiger Abhängig-keiten die Gefahr besteht, dass der Admin Objekte beim Verändern der Regeln ver-sehentlich falsch konfiguriert.
E GUFW
Das noch recht junge GUFW-Projekt [6] versteht sich als grafisches Frontend für die UFW-Firewall [18], die als Stan-dardabsicherung für Ubuntu und seine Derivate fungiert. GUFW und UFW gibt es inzwischen für die meisten größeren Linux-Distributionen und steckt auch in deren Software-Repositories. Wie auch
Fwbuilder setzt das dynamische Duo UFW und GUFW dabei Netfilter und IPta-bles auf dem System voraus und kommt sowohl mit IPv4 als auch IPv6 zurecht. Anders als Fwbuilder arbeitet GUFW al-lerdings nicht plattformübergreifend. Das GUI lässt sich aber immerhin zum Ver-walten von UFW-Firewalls auf entfernten Rechnern einsetzen.
Simpel
Das Programmfenster von GUFW ist ein-fach aufgebaut und daher selbsterklärend. Per Schieberegler schaltet der Admin die Firewall ein und aus, und ähnlich wie bei Firewalld arbeitet das System mit Profilen, die unterschiedliche Regelsätze beinhalten. Besonders für Anwender, die GUFW auf ihrem Notebook mobil nutzen, erweist sich dieses Konzept als interessant, da das Gerät je nach Art des Internetzugangs verschiedene Profile nutzt (Abbildung 7).Im Programmfenster verwendet der Nutzer zudem in einer Tabelle diverse Funktionen: Der Reiter »Regeln« listet die aktiven Regeln auf, der Reiter »Be-richt« zeigt Details zum Datentransfer. Der Reiter »Protokoll« listet tabellarisch das Funktionsprotokoll der Firewall auf und zeigt den Nutzungsverlauf.
Modifikation
Es gibt bereits einige Profile, die sich anpassen oder ergänzen lassen. Dazu ruft der Anwender im Menü »Bearbei-ten« den Eintrag »Einstellungen« auf. In einem zusätzlichen Dialog legt er Profile neu an und modifiziert die zugehörige Protokollfunktion, um den Umfang der Verlaufsprotokolle individuell zu definie-ren (Abbildung 8). Die Regeln für die je-
Abbildung 9: Peer Guardian blockiert IP-Adressen oder IP-Adressbereiche.
Abbildung 7: Im GUFW-Interface gibt es nun wirklich
nichts mehr zu erklären.
Abbildung 8: In wenigen Schritten lassen sich in
GUFW neue Profile definieren.
Sof
tware
48
ww
w.lin
ux-m
agaz
in.d
eB
itpara
de
11/20
17
ändernde Regel, um dann per Linksklick den Button mit dem symbolisierten Zahn-rad aufzurufen. In einem neuen Fenster nimmt er in wenigen Auswahl- und Ein-
ausgehende Datenpakete auch im regulä-ren Betrieb permanent offen hält.Auch Regeln verändern fällt dem Admin nicht schwer: Dazu markiert er die zu
weiligen Profile legt der Admin im Reiter »Regeln« im primären Programmfenster an. Eine neue Regel ergänzt er unten links über das grüne »+«-Symbol. Klickt er darauf, klappt ein neues Fenster auf. In ihm fällt sofort der Anwen-dungsfilter auf, der vor allem für bestimmte Spiele nützliche Einstellungen vordefiniert, weil diese für einen reibungslosen Einsatz spezielle freigeschaltete Ports benötigen. Diese Ports sind bereits in der Firewall hinterlegt, der Admin kann die entsprechenden Regeln sofort übernehmen.Es empfiehlt sich aber, für solche Anwendungen eigene Profile anzulegen. Sind sie zahlreich in einem Standardprofil vertreten, ist dies ein gewisses Sicherheitsrisiko, weil die Firewall spezifische Ports für ein- wie
Abbildung 10: In einem Fenster zeigt Peer Guardian die blockierten IP-Adressen dann an.
49
ww
w.lin
ux-m
agaz
in.d
e
Sof
tware
Bit
para
de
11/20
17
als auch für Serversysteme. Letztere las-sen sich damit auch als Gateways mit zwei Netzwerkanschlüssen oder in einer DMZ mit drei Netzwerkschnittstellen nut-zen. Shorewall verwendet Webmin [20]
als GUI oder in Mandriva-Derivaten das grafische Frontend Drakfirewall [21]. Das ist ein Modul im Kontrollzentrum und gestattet eine Konfiguration in wenigen Schritten (Abbildung 11).Webmin für Distributionen außerhalb des Mandriva-Universums bietet über die reine Firewall-Konfiguration hinaus viele weitere Optionen zur Systemverwal-tung. Nach der Installation erreicht der Anwender es im Browser über die URL »127.0.0.1:10000«. Alternativ gibt er – so-fern bekannt – die IP-Adresse im lokalen Intranet oder den Hostnamen an. Nach dem Anmelden gelangt er in das Konfigurationsfenster. Im Listenbereich links wählt er die Option »Networking« und dann »Shoreline Firewall«, was rechts die einzelnen Konfigurationsopti-onen einblendet (Abbildung 12).
Gruppendynamik
Die wichtigsten Optionen für die Basisein-stellungen zur vorhandenen Infrastruktur finden sich in den Gruppen »Network
Zwischenablage kopieren«. Dann fügt er das Protokoll in einen Editor ein und speichert so die Datei. Über den dane-benliegenden Button löscht der Admin Protokolle bei Bedarf wieder.
E Shorewall
Ebenfalls auf Netfilter und IPtables setzt Shorewall [7] auf. Die grafische Verwal-tungsoberfläche für das Filtern von Pake-ten ist in Perl geschrieben und steckt in den Paketverwaltungen der meisten gän-gigen Linux-Distributionen. Shorewall eignet sich sowohl für Einzelarbeitsplätze
gabefeldern alle nötigen Anpassungen vor. Ist er fertig, aktiviert er die neuen Einstellungen über »Anwenden« und schließt so auch das Fenster.
Protokollarisches
GUFW zeigt im Reiter »Protokolle« die Verlaufsprotokolle der Firewall an. Zu späteren Dokumentations- und Prüfzwe-cken kann der Admin diese speichern, wenn auch nur über die Zwischenablage. Dazu klickt er bei aktivem »Protokoll«-Reiter auf das unterhalb des Anzeige-bereichs befindliche Symbol »In die
Abbildung 11: Auf Mandriva-basierten Distributionen lässt sich Shorewall mit ein paar Mausklicks einrichten.
Keine herkömmliche Firewall, sondern eine Ap-plikation, die einzelne IP-Adressen oder ganze Adressblöcke blockiert, nennt sich Peer Guar-dian (Abbildung 9, [8]). Ursprünglich war die Software darauf spezialisiert, das Ausspähen von Peer-to-Peer-Verbindungen unter Protokol-len wie Bittorrent oder Fasttrack zu verhindern, inzwischen blockiert sie auch IP-Adressen, die auf Webseiten mit kriminellen Inhalten oder auf Spam- und Phishing-Seiten verweisen. Sie nutzt dabei die auf dem Host vorhandenen Netfilter- und IPtables-Regeln. Adressen und Adressbe-reiche sperrt die Software mit vorgefertigten Blockierlisten, die bekannte IP-Adressen mit Schadsoftware kennen. Der Admin kann diese Listen ergänzen.Peer Guardian gibt es im Quelltext für Selbst-übersetzer, zusätzlich wartet es in den Repositories einiger größerer Linux-Distribu-tionen. Die grafische Oberfläche vereinfacht vor allem den Umgang mit den Blockierlisten enorm. Peer Guardian erlaubt es dem Admin, sehr schnell und ohne aufwändige Proxyser-ver-Konfiguration in Intranets unerwünschte IP-Adressen für den Zugriff zu sperren.
Das unter der GNU GPL vertriebene Programm zeigt im Startfenster im aktiven Reiter »Con-trol« zunächst einen leeren Listenbereich an, der das Sitzungsprotokoll aufführt. Die Buttons darüber steuern die Software. Die vorgefertig-ten Sperrlisten versammelt der Reiter »Confi-gure«. Hier, im Bereich »Whitelist«, trägt der Admin auch freizugebende Adressen ein. Zudem wartet hier eine Option, die Software mit dem System starten zu lassen und Update-Intervalle für die Sperrlisten einzurichten.Letztere aktiviert der Administrator je nach Bedarf, indem er Häkchen vor dem jeweiligen zu sperrenden Adressbereich setzt. Über das grüne »+«-Symbol unterhalb der Sperrliste trägt er weitere Webseiten oder Bereiche in die Liste ein. Beim Ersteinsatz sollte er die Lis-ten auf den aktuellen Stand bringen, indem er im Reiter »Control« auf den Button »Update« klickt. Die Aktualisierung verfolgt er dann in einem kleinen Logfenster, das er über »View« | »View pglcmd‘s log« aufruft. Sind die Updates installiert, aktiviert er die Firewall per Klick auf den »Start«-Button im Reiter »Control«. Nun füllt sich das Protokollfenster nach und nach
mit blockierten IP-Adressen, den zugehörigen Ports und den Angaben zur Art der Verbindung (Abbildung 10).Für Peer Guardian gibt es nicht nur die vorde-finierten Listen und die Sperrlisten des Admin selbst, sondern auch externe, vorgefertigte Adressensammlungen [19]. Die warten im In-ternet, nach Kategorien unterteilt, teilweise lassen sie sich auch kostenpflichtig im Rahmen eines Abonnements erwerben. Die Listen inte-griert der Admin jeweils per Copy und Paste der Listen-URL über den Ergänzungsdialog in Peer Guardian, das die Sperrlisten fortan regelmäßig aktualisiert. Finden sich im Verlaufsprotokoll IP-Adressen, die er nicht sperren möchte, passt der Admin sie per Rechtsklick an: Über das Kontextmenü gibt er sowohl die IP-Adresse als auch den zugehörigen Port jeweils temporär oder dauerhaft frei. Liegen zu wenig Informationen zur gesperr-ten Adresse vor, startet der Admin aus dem Kontextmenü eine Whois-Abfrage. Die Software zeigt dann in einem Fenster Informationen an und erleichtert so die Entscheidung, die Sperre zu verlängern oder aufzuheben.
Peer Guardian
Sof
tware
50
ww
w.lin
ux-m
agaz
in.d
eB
itpara
de
11/20
17
Admin über den aktuellen Betriebszu-stand von Shorewall. Der Button »Check Firewall« ermöglicht einen Konsistenzcheck: Viele umfangrei-che IPtables-basierte Regelwerke enthal-ten wegen ihrer Komplexität Fehler. Die
gen zurücksetzen, klickt der Admin auf »Clear Firewall«. Die Schaltfläche »Stop Firewall« blockiert den Zugriff von allen Hosts – mit Ausnahme der per Whitelist davon ausgenommenen. Mit der Schalt-fläche »Show Status« informiert sich der
Zones« und »Network Interfaces«. Dazu gesellen sich die eigentlichen Firewall-Einstelloptionen in den Gruppen »Default Policies«, »Firewall Rules« und »Blacklist Hosts«. Die für das Routing zuständigen Optionen findet der Anwender in den Gruppen »Routing Rules«, »Additional Routing Providers«, »Masquerading« so-wie »Static NAT«.In allen Konfigurationsgruppen trifft der Admin auf übersichtliche Einstelldialoge, welche die verfügbaren Optionen in Ta-bellenform auflisten. Unterhalb der Grup-penauswahl aktiviert er mehrere Verwal-tungsoptionen per einfachem Mausklick auf einen der dort vorhandenen Buttons: Ein Klick auf »Apply Configuration« star-tet die Firewall mit den eigenen Einstel-lungen neu.Der Button »Refresh Configuration« ak-tualisiert die Blacklist-Tabellen und das Traffic Shaping, das dafür sorgt, dass die Firewall bestimmte Pakete prio-risiert. Will er die Firewall-Einstellun-
Abbildung 12: Webmin bietet sehr umfangreiche Konfigurationsoptionen für Shorewall.
51
ww
w.lin
ux-m
agaz
in.d
e
Sof
tware
Bit
para
de
11/20
17
eigene Infrastruktur, das heißt die ver-wendeten Distributionen und die Anfor-derungen an die Netzwerksicherheit, die entscheidenden Auswahlkriterien dar-stellen dürften. (kki) n
Infos
[1] Netfilter: [http:// www. netfilter. org]
[2] NFtables:
[https:// netfilter. org/ projects/ nftables/]
[3] IPtables:
[https:// netfilter. org/ projects/ iptables/]
[4] Firewalld: [http:// www. firewalld. org]
[5] Fwbuilder: [http:// www. fwbuilder. org]
[6] GUFW: [http:// gufw. org]
[7] Shorewall: [http:// shorewall. org]
[8] Peer Guardian:
[https:// sf. net/ projects/ peerguardian/]
[9] Firestarter:
[https:// sf. net/ projects/ firestarter/]
[10] Turtle Firewall:
[http:// www. turtlefirewall. com]
[11] Fire Flier: [http:// fireflier. sf. net]
[12] Vuurmuur:
[https:// www. vuurmuur. org/ trac/]
[13] IPfire: [http:// www. ipfire. org]
[14] Untangle NG: [https:// www. untangle. com/
untangle-ng-firewall/]
[15] Alpine Linux: [https:// alpinelinux. org]
[16] BSD PF:
[https:// www. openbsd. org/ faq/ pf/]
[17] Quick-Start-Guide: [http:// www. fwbuilder.
org/ 4. 0/ quick_start_guide. shtml]
[18] Wikiseite von UFW: [https:// wiki. ubuntu.
com/ UncomplicatedFirewall]
[19] Sperrlisten für Peer Guardian:
[https:// www. iblocklist. com/ lists]
[20] Webmin: [http:// www. webmin. com]
[21] Drakfirewall: [https:// doc. mageia. org/
mcc/ 6/ de/ content/ drakfirewall. html]
ist keine klassische Firewall-Oberfläche, sondern beschränkt sich auf die Arbeit mit Blacklists. Die Software gestattet es nicht, aufwändige Regelkonstrukte zu implementieren, macht sich aber als Firewall-Ergänzung nützlich.Fwbuilder, Firewalld und Shorewall visie-ren primär Serversysteme an und haben daher auch deutlich mehr Funktionen im Gepäck. Fwbuilder eignet sich zudem auch für den Einsatz in heterogenen Um-gebungen mit diversen Server-Betriebs-systemen und sogar für den Betrieb mit Appliances einiger Hersteller. Die Soft-ware kann je nach Syntax der genutzten Firewall entsprechende Konfigurations-dateien kompilieren. Shorewall lässt sich dagegen mit Webmin konfigurieren und somit auch von entfernten Rechnersyste-men aus verwalten. Der Administrator hat also die Qual der Wahl (Tabelle 1), wobei am Ende die
lassen sich so aufdecken und beheben, bevor böswillige Angreifer sie ausnutzen.
Logging
Shorewall kann den Datenverkehr mit-protokollieren und legt die Protokolle im Verzeichnis »/var/log/« ab. Alternativ betrachtet der Admin die Logdateien in Webmin über die Option »View Module‘s Logs« (Abbildung 13).
Fazit
Die besprochenen grafischen Oberflä-chen für Firewalls eignen sich alle, um IT-Infrastrukturen abzusichern. Doch fokussieren die einzelnen Werkzeuge größtenteils unterschiedliche Anwender-gruppen und Szenarien: GUFW fällt et-was aus der Reihe, denn es zielt primär auf Desktop-Systeme ab. Peer Guardian
Abbildung 13: Shorewall zeigt sich auch in seinen Logdateien auskunftsfreudig.
Sof
tware
52
ww
w.lin
ux-m
agaz
in.d
eB
itpara
de
11/20
17
Feature Firewalld Fwbuilder GUFW Shorewall
Voraussetzungen Netfilter Netfilter und IPtables Netfilter und IPtables Netfilter und IPtables
Plattformübergreifend nein ja nein nein
Entfernter Host nein ja ja ja
IPv4/ IPv6 ja/ ja ja/ ja ja/ ja ja/ ja
Zonenmodell ja nein ja (Profile) ja
Ketten- und Regelmodell nein ja ja ja
Dynamisch ja nein nein nein
Applikationsintegration nein nein ja eingeschränkt
Logging eingeschränkt nein ja ja
Assistent nein ja eingeschränkt nein
Primäres Einsatzgebiet Server Server, Desktop, Cluster, Appliance
Desktop Server, Desktop, Appliance
Tabelle 1: Firewall-GUIs im Überblick
