Linux-Server sicher im Netzwerk betreiben

Mehr Schutz mit einer richtig konfigurierten Firewall

Eine Firewall dient dazu, den Zugriff auf das lokale System abzusichern oder sogar einzuschränken. Der aktuelle Linux-Kernel hat diese Fähigkeiten bereits eingebaut, als Firewall wird iptables beziehungsweise netfilter (http://www.netfilter.org) benutzt. Generell gilt: Man sollte sich nicht allein auf die Firewall-Regeln verlassen. Ebenso wichtig ist das korrekte Konfigurieren aller Dienste, die Verbindung zur Außenwelt haben. Denn ein System, das nur von einer Firewall geschützt wird, wäre nach Entfernen der Regeln geöffnet für Angriffe.

Am sinnvollsten ist eine Firewall, die standardmäßig zunächst alles ablehnt, was nicht erlaubt ist. Mit einer strengen Konfiguration kann man selbst Trojaner am Funktionieren hindern, die Meldungen aus dem System heraus verschicken wollen. Das ist insbesondere deshalb interessant, weil Eindringlinge keine Super-User-Rechte benötigen, um etwa ferngesteuerte Trojaner zu installieren. Im Idealfall sorgt eine Firewall dafür, dass eingehende Verbindungen zu lokalen Diensten nur den in der Konfiguration eingetragen erlaubten Maschinen gestattet ist. Verbindungen nach draußen werden von einer derartigen Firewall nur den Diensten gestattet, die auf dem eigenen System benutzt werden - egal, ob das der Webserver oder der Bittorrent-Client ist.

Wird der Zugang zum Netzwerk von einem gesonderten Firewall-Rechner abgeschirmt, wird anhand von Forward-Regeln alles weitere verboten, sei denn, andere Rechner sind entsprechend geschützt. Dazu kann man eine sogenannte Bridge-Firewall aufsetzen. Diese filternde Firewall hat keine IP-Adresse und kann nicht direkt attackiert werden. Je nach Linux-Kernel müssen Sie dazu eventuell den Bridge-Firewall-Patch installieren. Wie das zum Beispiel in Debian funktioniert, wird im Sicherheitshandbuch in Anhang D beschrieben.

Während unter Opensuse die Firewall einfach über Yast konfiguriert werden kann, hat der Debian-Administrator noch die Qual der Wahl zwischen verschiedenen Firewall-Konfigurationspaketen:

• Die Gnome-Anwendung firestarter richtet sich an Endanwender, die mithilfe eines Assistenten schnell Firewall-Regeln aufstellen wollen.

• Das KDE-Programm Knetfilter verwaltet Firewall- und NAT-Regeln für iptables und richtet sich an fortgeschrittenere Benutzer.

• Das Paket bastille härtet Debian von der Kommandozeile aus. Hier kann der Administrator unter anderem den erlaubten und verbotenen Netzwerkverkehr definieren und Firewall-Regeln generieren, die das System am Start ausführt.

Ob nun mit Yast oder einem der Pakete für Debian: Mit allen ist es möglich, sich komplett vom System auszusperren - nicht nur auf dem Remote-System, sondern - so iptables-Debian-Maintainer Laurence J. Lane - sogar "von dem Computer, dessen Tastatur einem unter den Fingern liegt". Gehen Sie daher beim Konfigurieren der Firewall äußerst vorsichtig vor und machen Sie nur das, wovon Sie genau wissen, was Sie tun.