11/2017

Grafische Tools zur Firewall-Konfiguration Software Sperrgebiet Bitparade

44 Eine umfassende Firewall mit Netfilter und IPtables einzurichten ist kompliziert. Grafische Oberflächen wollen

diese anspruchsvolle Aufgabe erleichtern, das Linux-Magazin besichtigt die Sperranlagen. Erik Bärwaldt www.linux-magazin.de

wendungen, die bestimmte Ports benöti- gen, entsprechende Regeln im laufenden Betrieb implementieren. Ein weiteres wichtiges Bewertungskri- terium für Firewalls ist das Logging. Protokollanalysen der Pakettransfers helfen dem Admin zum Beispiel, IDS- oder IPS-Systeme (Intrusion Detection and Prevention Systems) einzurichten. Anwendungsfilter und Blacklists erhö- hen – sofern der Admin sie regelmäßig wartet und aktualisiert – ebenfalls die Sicherheit.

E Firewalld

Firewalld [4] ist seit Version 7 die Stan- dard-Firewall von Red Hat Enterprise Linux und löst damit in dieser Distri- bution IPtables ab. Obwohl Firewalld © Richard Semik, 123RF Semik, © Richard mit dem Netfilter-System arbeitet, ist die Software inkompatibel zum Regelmodell Firewalls unter Linux basieren in der sichtlicher gestalten und damit erleich- von IPtables. Die als Dienst arbeitende Regel auf dem bereits im Jahr 2001 ein- tern. Die Bitparade widmet sich dies- Firewall steckt auch in Fedora und dem geführten Netfilter-System im Kernel [1]. mal vier solchen Kandidaten, konkret: RHEL-Derivat Centos und inzwischen NFtables [2] schickt sich zwar an, das Firewalld [4], Fwbuilder [5], GUFW [6] auch in den Repositories der meisten System abzulösen, bis dahin ist die Kon- und Shorewall [7]. Ein Kasten stellt zu- gängigen Linux-Derivate. figurationshilfe für das komplizierte Net- sätzlich den IP-Blocker Peer Guardian Firewalld kommt mit IPv4 und IPv6 zu- filter-System aber weiterhin der Paket­ [8] vor, veraltete Firewalls und Firewall- recht, vor allem sein Zonenmodell sticht filter IPtables [3]. Er gilt unter Linux als Distributionen berücksichtigt der Test dabei hervor. Das erlaubt es, die Firewall Standardtool schlechthin. jedoch nicht (siehe Kasten „Nicht be- für unterschiedliche Zonen zu konfigu- IPtables konfigurieren ist aber wenig in- rücksichtigt“). rieren, die jeweils eine spezifische An- tuitiv: Wer sie nicht regelmäßig trainiert, zahl von Regeln enthalten. Die Regeln vergisst die nötigen Kommandozeilen­ Kriterien orientieren sich dabei an dem jeweils parameter recht schnell. Da IPtables also gewünschten oder benötigten Sicher- für weniger versierte Admins die Konfi- Zu den wichtigsten Dingen, die profes- heitsniveau. Vor allem für mobile Geräte guration der Firewall kaum erleichtert, sionelle Firewalls beherrschen müssen, ergeben sich daraus Vorteile: Der Anwen- bringen mehrere Distributionen eigene gehören der Umgang mit IPv4 und IPv6 der kann je nach Arbeitsumgebung die Tools mit. Das Bedienen des Paketfilters sowie die Möglichkeit, sich dynamisch auf der Kommandozeile richtet durch Be- anzupassen. Im Vergleich zur statisch Heft-DVD dienfehler schnell Schaden an. arbeitenden Firewall soll nicht jede Mo- Der Quellcode der im Artikel DELUG-DVD Daher gibt es zu vielen Firewalls inzwi- difikation die Firewall stoppen und neu vorgestellten Firewalls, auch der für Peer schen grafische Oberflächen, die diese starten und zugleich die Internetverbin- Guardian, befindet sich auf der DELUG-DVD. etwas umständliche Arbeit deutlich über- dung kappen. Nur so lassen sich für An- 11/2017 Software jeweils relevante Zone auswählen, was ihm ein spezifisches Sicherheitsniveau gewährleistet. Auch in großen IT-Infrastrukturen mit

DMZ-Integration spielt Firewalld seine Bitparade Stärken aus. So kann der Admin die Konfiguration der Firewall passend zur Schnittstelle vornehmen. Im WLAN gel- 45 ten dann andere Einstellungen als im statio­när genutzten LAN. Server im Intra­ net oder in einer DMZ passt der Admin

mit unterschiedlichen Zonen ebenfalls an www.linux-magazin.de die Bedürfnisse der Nutzer an. Firewalld liefert bereits mehrere Zonen mit unterschiedlichen voreingestellten Si- cherheitsleveln: Die Palette reicht dabei von der Zone »trusted«, die alle eingehen- den Datenpakete weiterleitet, über wei- tere vordefinierte Regelwerke bis hin zur »drop«-Zone, die alle eingehenden Pakete verwirft, wenn sich diese nicht auf aus- Abbildung 1: Nimmt IPtables seinen Schrecken: die Firewalld-Oberfläche. gehende Pakete beziehen. Der Daemon beherrscht dabei eine eigene Syntax, mit Nach dem Installieren ruft er das GUI griff von außen zugänglich. Dabei ge- der sich die Zonen über die Kommando- über den Button »Starten« aus dem grafi- währt er je nach Anwendungsszenario zeile verwalten lassen. schen Installer heraus auf. Alternativ gibt den Zugriff von einem Intranet oder dem Weniger versierten Admins, die Firewalld er im Terminal »firewall‑config« ein. Hat Internet aus. Der Anwender stößt hier möglichst zügig aufsetzen möchten, bie- er sich als Systemverwalter angemeldet, auf eine sehr umfangreiche Auswahl tet die Software ein primär für Gnome landet er auf einer sehr übersichtlichen verfügbarer Dienste, die er mit Häkchen vorgesehenes grafisches Tool an. Wäh- Oberfläche (Abbildung 1). freischaltet. Gibt er sich als Systemver- rend Firewalld aber bei Fedora, Centos Links im Programmfenster stößt der walter zu erkennen, aktiviert Firewalld oder RHEL automatisch auf der Platte Anwender in der vertikal angeordneten die entsprechenden Einstellungen sofort landet, muss der Admin dieses Tool über Liste »Aktive Zuordnungen« auf alle phy- ohne Neustart. Gnomes Softwareverwaltung installieren sisch im System vorhandenen aktiven Im Reiter »Ports« gibt der Admin einzelne – das Paket heißt »Firewall«. Alternativ Verbindungen und die zugehörigen Zo- Ports oder ganze Portbereiche manuell integriert er das Tool »firewall‑config« nen. Rechts daneben finden sich in drei frei, die dem Zugriff von außen auf das über »yum install firewall‑config«. Reitern verschiedene Einstellschrauben, System dienen. Sollen bestimmte Pro- wobei ein kleineres Fenster rechts un- tokolle die Firewall passieren, pickt er Nicht berücksichtigt ten diese ergänzt. Es bietet an, weitere diese aus dem Reiter »Protokolle« heraus. Neben den besprochenen grafischen Oberflä- gruppenspezifische Optionen zu ändern. Speziell für IPv4 sind die Reiter »Masque- chen für Firewall-Module unter Linux finden Im Auswahlfeld »Konfiguration« oberhalb rading« und »Port Weiterleitung« gedacht, sich im Internet gelegentlich noch weitere der Reiter bestimmt der Anwender, ob mit denen er das betreffende Compu- Konfigurationsumgebungen wie etwa Fire- er die Optionen dauerhaft oder tempo- tersystem als Gateway für ein Intranet starter [9], Turtle Firewall [10] oder Fire rär verändert will. Dazu ist wahlweise einrichtet. Dazu muss er den Rechner, Flier [11]. Auch das Ncurses-Programm Vuur- »Runtime« oder »Permanent« zu wählen. auf dem die Firewall arbeitet, jedoch muur [12] hat eine gewisse Bekanntheit als mit zwei Schnittstellen seiner Wahl aus- Verwaltungsapplikation für Linux-Firewalls Zonen statten. Die Portweiterleitung wiederum erlangt. Gemein ist allen genannten Pake- dient dazu, Ports auf dem lokalen System ten, dass sie teils seit rund zehn Jahren keine Im zentralen Reiter »Zonen« stellt der oder auf einen entfernten Rechner wei- Pflege mehr erhalten und daher auch neue Anwender für alle vorhandenen Firewall- terzuleiten. Standards wie IPv6 nicht oder nicht vollstän- zonen die jeweiligen Regeln für den Pa- Für weniger gebräuchliche Dienste oder dig unterstützen. kettransfer ein. Dabei vereinen die Reiter individuelle Konfigurationen passt der Andere aktive professionelle Systeme wie »Dienste«, »Ports« und »Protokolle« die Administrator Firewalld über den Reiter IPfire [13], die Untangle NG-Firewall [14] wichtigsten Gruppen. In den Grundein- »Dienste« an. Hier darf er über »Ports« oder Alpine Linux [15] spart die Bitparade stellungen zeigen alle Reiter die gleichen wiederum vom Standard abweichende aus, weil es sich um spezialisierte Linux- Optionen an. Portadressen für vordefinierte oder ma- Distributionen handelt, die nicht auf ein Der erste Reiter »Dienste« macht auf dem nuell einzufügende Dienste vergeben. Standard-Linux-System aufsetzen. Rechner installierte Dienste für den Zu- Auch Quellports und Zieladressen legt er 11/2017 Software Bitparade

Abbildung 2: Dank unterschiedlicher Zonen passt 46 der Anwender den Sicherheitslevel der Firewall jederzeit individuell an.

auf Wunsch fest, wobei diese jedoch nur

www.linux-magazin.de in der Konfigurationseinstellung »Perma- nent« zur Verfügung stehen. Zieladres- Abbildung 4: Auch Fwbuilder verfügt über eine eingängige Oberfläche. sen lassen sich dabei für IPv4 und IPv6 freischalten. er blockiert alle Verbindungen, sodass wender kann das Mitprotokollieren aller Der letzte Reiter »IPSets« gestattet das Firewalld weder ein- noch ausgehende abgelehnten und verworfenen Pakete ak- Definieren von IP-Räumen oder einzel- Pakete weiterleitet. tivieren, indem er im Menü »Optionen« nen IP-Adressen, für die Firewalld den Ein über das Paket »firewall‑applet« nach- der Konfigurationsoberfläche den Eintrag Zugriff von außen erlaubt oder blockiert. zuinstallierendes Applet ermöglicht zu- »Change Log Denied« aufruft und dann Dazu legt der Admin die entsprechen- dem die Kontrolle per Mausklick. Das im Auswahlfeld »all« wählt. den Black- und Whitelists an, wobei die Applet platziert sich nach dem Installie- Software auch Portnummern und MAC- ren automatisch im Systemtray, zeigt ein E Fwbuilder Adressen berücksichtigt. rotes Mauersymbol und einen dahinter befindlichen PC. Fährt der Admin mit Fwbuilder (Akronym für „Firewall Buil- Wechselspiel dem Mauszeiger darüber, blendet es die der“, [5]) gehört mit über zehn Jahren verwendete Schnittstelle, die Standard- kontinuierlicher Entwicklungszeit bereits Ab Werk weist Firewalld den physisch zone und – falls sich diese geändert hat zu den Dinosauriern unter den grafischen im System vorhandenen Schnittstellen – auch die aktive Zone ein. Bei WLAN- Konfigurationstools für Firewalls. Die jeweils eine Zone zu. Besonders bei Mo- Verbindungen zeigt das Applet die SSID Software ist entsprechend gut am Markt bilsystemen, die per WLAN oft an ver- an (Abbildung 3). platziert und steckt in den Repositories schiedensten Orten Zugang zum Internet Ein Klick auf das Applet ermöglicht es, nahezu aller größeren Linux-Distributio- suchen, ist eine statische Zonendefinition die aktive Zone zu ändern. Der Anwender nen. Fwbuilder verwaltet plattformüber- aber unbrauchbar. Daher kann der An- ruft ein kleines Fenster auf den Desktop, greifend Firewallsysteme und eignet sich wender jeder Schnittstelle jederzeit eine in dem er eine neue Zone auswählt, was daher auch für den Einsatz in hetero- andere der vorhandenen Zonen zuwei- jedoch keinen Neustart erfordert. Damit genen Umgebungen, die neben IPtables sen. Dazu wählt er im Menü »Optionen« das Applet zusätzliche Nachrichten der auch Cisco-Firewalls und BSDs PF [16] | »Verbindungszonen ändern« eine Ver- Firewall anzeigt, etwa wenn sich Zonen beherbergen. bindung aus und richtet eine neue Ver- ändern oder die Firewall Einstellungen Unter Linux konfiguriert Fwbuilder IPtab- bindungszone ein (Abbildung 2). neu lädt, benötigen manche Distributi- les mit einer automatischen Regelvalidie- Außerdem wechselt er jederzeit für alle onen zudem Eingriffe in die Konfigurati- rung, auch mit IPv6 kommt es zurecht. im System vorhandenen Interfaces die onsdatei »/etc/firewall/applet.conf«. Hier Die Installation ergänzt Fwbuilder in der voreingestellte Standardzone, indem er gilt es, die Werte der Optionen »notifica- Menüstruktur des jeweiligen Desktops, im Menü »Optionen« | »Standardzone tions« und »show‑inactive« jeweils auf nach dem ersten Aufruf öffnet es zwei ändern« aus dem aufklappenden Aus- »true« zu setzen. Fenster: Neben dem eigentlichen Kon- wahlfenster eine der angebotenen Zonen Im Panikmodus blendet das Applet ein figurationsfenster ruft die Routine noch herauspickt. Nach einem Klick auf »OK« entsprechendes Symbol ein, sodass der einen kleineren Quick-Start-Guide auf, und einer Admin-Authentifizierung stellt Anwender sieht, dass die Brandmauer der den frischgebackenen Firewall-Admin die Firewall im laufenden Einsatz die sämtliche Pakettransfers blockiert. mit den wichtigsten Funktionen des Pro- Standardzone um. gramms vertraut macht. Logging Das Konfigurationsfenster sieht über- Panik und Applet sichtlich aus: Am oberen Bildschirmrand Anders als gewohnt be- wartet eine Menüleiste, darunter eine Firewalld bietet auch ei- herrscht das GUI von Fire­ Buttonleiste zum Schnellstart wichtiger nen Panikmodus. Den walld kaum Logging-Funktio- Funktionen. Links (vertikal) zeigt eine aktiviert der Admin im Abbildung 3: Einen schnellen nen. Das ermöglicht nur sehr Baum­ansicht verschiedene Objekte. Einstellungsdialog über Überblick erhält der Anwen- eingeschränkt eine nachträg- Rechts erwarten drei Buttons das Anle- das Menü »Optionen«, der durch ein Applet. liche Paketanalyse. Der An- gen eines neuen Regelwerks oder den Im- Abbildung 5: Grafisch schön dargestellte Regeln vereinfachen es, die Firewall zu verwalten. port einer vorhandenen Regelsammlung. Dienste treten als Objekte auf. Der Admin Der dritte Button ruft den Webbrowser gibt zunächst einen neuen Objektnamen des Systems auf und öffnet ebenfalls den an und muss der Routine dann mitteilen, Quick-Start-Guide [17] auf der Projekt- welche Firewall sie auf dem Host erwar- seite (Abbildung 4). tet – bei aktuellen Linux-Distributionen meist IPtables – und welches Betriebs- Assistent system. Da die Auswahlliste der Firewalls mit der der Betriebssysteme korreliert, Ein Klick auf den Button »Create new trägt die Software das passende Betriebs- firewall« öffnet einen Dialog, der den system meist automatisch richtig ein, Anwender mit Hilfe eines Assistenten wenn der Admin eine Firewall auswählt. beim Festlegen neuer Regeln hilft. Der Auf der Seite des Dialogs gibt der er da- Assistent verfügt bereits über Vorlagen nach an, ob er vorkonfigurierte Regel- mit sinnvollen Einstellungen für Stan- sätze nutzen möchte. dardfirewalls, zusätzliche Schutzregeln Ein Klick auf »Next« bringt ihn in den lassen sich leicht implementieren. nächsten Dialog. Will er die Objekte Die Objekte links im Programmfenster manuell anlegen, verrät er hier, welche enthalten auch Regelsätze und lassen physischen Schnittstellen das System be- sich in Objektbibliotheken organisieren heimatet. Er kann die Interfaces auch per und erweitern. Auch Schnittstellen oder SNMP suchen lassen, sofern das auf dem

Abbildung 6: Bei den unterstützten Hostsystemen zeigt sich Fwbuilder sehr flexibel. 11/2017 Software Dazu klickt er oben rechts über der Re- gelliste auf den sym- bolisierten Hammer.

Bitparade Im letzten Schritt wird die kompilierte Firewall mit Hilfe 48 von SSH und SCP auf das Hostsystem übertragen (Abbil- dung 6). Läuft Fw- Abbildung 9: Peer Guardian blockiert IP-Adressen oder IP-Adressbereiche. www.linux-magazin.de builder aber bereits auf dem Hostsystem, auf dem es auch Firewall spielen soll, Fwbuilder setzt das dynamische Duo klickt der Admin auf den Button »Com- UFW und GUFW dabei Netfilter und IPta- pile and install this firewall«. bles auf dem System voraus und kommt Abbildung 7: Im GUFW-Interface gibt es nun wirklich Nachträglich modifizierte oder ergänzte sowohl mit IPv4 als auch IPv6 zurecht. nichts mehr zu erklären. Regeln gleicht der Administrator mit den Anders als Fwbuilder arbeitet GUFW al- ursprünglichen Regelsätzen ab. So filtert lerdings nicht plattformübergreifend. Das Host existiert. Anschließend definiert er er Inkonsistenzen heraus. Dazu klickt er GUI lässt sich aber immerhin zum Ver- im folgenden Dialog die einzelnen In- im Menü »Tools« auf »Find Conflicting walten von UFW-Firewalls auf entfernten terfaces inklusive des jeweiligen Modus Objects in Two Files« und gibt die Dateien Rechnern einsetzen. zur Vergabe der IP-Adresse. Nach einem mit den Regelsätzen an. Die Software abschließenden Klick auf »Finish« legt überprüft diese dann automatisch auf in- Simpel die Software die neue Objektbibliothek konsistente Einträge. Das hilft besonders an (Abbildung 5). dann, wenn aufgrund sehr komplexer Das Programmfenster von GUFW ist ein- Das Programmfenster teilt sich nun in Regelsätze und gegenseitiger Abhängig- fach aufgebaut und daher selbsterklärend. drei Bereiche auf, wobei sich der rechte keiten die Gefahr besteht, dass der Admin Per Schieberegler schaltet der Admin die in einen für Regellisten und einen für Objekte beim Verändern der Regeln ver- Firewall ein und aus, und ähnlich wie Bearbeitungsschritte splittet. In Letzte- sehentlich falsch konfiguriert. bei Firewalld arbeitet das System mit rem lassen sich einzelne Einstellungen Profilen, die unterschiedliche Regelsätze beispielsweise zu den Interfaces ändern. E GUFW beinhalten. Besonders für Anwender, Die Regelliste orientiert sich an der Syn- die GUFW auf ihrem Notebook mobil tax von IPtables, der Admin erweitert sie Das noch recht junge GUFW-Projekt [6] nutzen, erweist sich dieses Konzept als per Klick auf das grüne »+«-Symbol oben versteht sich als grafisches Frontend interessant, da das Gerät je nach Art des links über der Liste. Wie es bei IPtables für die UFW-Firewall [18], die als Stan- Internetzugangs verschiedene Profile üblich ist, sehen neue Regeln zunächst dardabsicherung für Ubuntu und seine nutzt (Abbildung 7). das Abweisen aller Pakete vor. Derivate fungiert. GUFW und UFW gibt Im Programmfenster verwendet der Der Admin kann einzelne Objekte aus es inzwischen für die meisten größeren Nutzer zudem in einer Tabelle diverse dem Segment der Objektbibliotheken Linux-Distributionen und steckt auch in Funktionen: Der Reiter »Regeln« listet durch Aufnehmen und Ziehen in den deren Software-Repositories. Wie auch die aktiven Regeln auf, der Reiter »Be- Regellistenbereich übernehmen und richt« zeigt Details zum Datentransfer. dort an gewünschter Stelle fallen lassen. Der Reiter »Protokoll« listet tabellarisch Fwbuilder passt die Regel sodann auto- das Funktionsprotokoll der Firewall auf matisch den Vorgaben an. Fehlen noch und zeigt den Nutzungsverlauf. Objekte in der Bibliothek, etwa wenn der Besitzer nachträglich zusätzliche Hard- Modifikation ware in seinen Hostrechner einbaut, er- gänzt der Admin diese auch zu einem Es gibt bereits einige Profile, die sich späteren Zeitpunkt. anpassen oder ergänzen lassen. Dazu Sind alle Regelsätze am Platz, muss der ruft der Anwender im Menü »Bearbei- Admin das Regelwerk für die Syntax ten« den Eintrag »Einstellungen« auf. In der jeweiligen Firewall kompilieren. Die einem zusätzlichen Dialog legt er Profile unterstützten Hostsysteme reichen von neu an und modifiziert die zugehörige Linux über diverse BSD-Derivate bis hin Protokollfunktion, um den Umfang der zu Cisco- und HP-Appliances und be- Abbildung 8: In wenigen Schritten lassen sich in Verlaufsprotokolle individuell zu definie- sitzen ganz unterschiedliche Syntaxen. GUFW neue Profile definieren. ren (Abbildung 8). Die Regeln für die je- 11/2017 Software weiligen Profile legt der Admin im Reiter »Regeln« im primären Programmfenster an. Eine neue Regel ergänzt er

unten links über das grüne Bitparade »+«-Symbol. Klickt er darauf, klappt ein neues Fenster auf. In ihm fällt sofort der Anwen- 49 dungsfilter auf, der vor allem für bestimmte Spiele nützliche Einstellungen vordefiniert, weil

diese für einen reibungslosen www.linux-magazin.de Einsatz spezielle freigeschaltete Ports benötigen. Diese Ports sind bereits in der Firewall hinterlegt, der Admin kann die entsprechenden Regeln sofort übernehmen. Es empfiehlt sich aber, für Abbildung 10: In einem Fenster zeigt Peer Guardian die blockierten IP-Adressen dann an. solche Anwendungen eigene Profile anzulegen. Sind sie zahlreich in ausgehende Datenpakete auch im regulä- ändernde Regel, um dann per Linksklick einem Standardprofil vertreten, ist dies ren Betrieb permanent offen hält. den Button mit dem symbolisierten Zahn- ein gewisses Sicherheitsrisiko, weil die Auch Regeln verändern fällt dem Admin rad aufzurufen. In einem neuen Fenster Firewall spezifische Ports für ein- wie nicht schwer: Dazu markiert er die zu nimmt er in wenigen Auswahl- und Ein- 11/2017 Software als auch für Serversysteme. Letztere las- sen sich damit auch als Gateways mit zwei Netzwerkanschlüssen oder in einer DMZ mit drei Netzwerkschnittstellen nut-

Bitparade zen. Shorewall verwendet Webmin [20] als GUI oder in Mandriva-Derivaten das grafische Frontend Drakfirewall [21]. Das 50 ist ein Modul im Kontrollzentrum und gestattet eine Konfiguration in wenigen Schritten (Abbildung 11). Webmin für Distributionen außerhalb

www.linux-magazin.de des Mandriva-Universums bietet über die reine Firewall-Konfiguration hinaus viele weitere Optionen zur Systemverwal­ Abbildung 11: Auf Mandriva-basierten Distributionen lässt sich Shorewall mit ein paar Mausklicks einrichten. tung. Nach der Installation erreicht der Anwender es im Browser über die URL gabefeldern alle nötigen Anpassungen Zwischenablage kopieren«. Dann fügt er »127.0.0.1:10000«. Alternativ gibt er – so- vor. Ist er fertig, aktiviert er die neuen das Protokoll in einen Editor ein und fern bekannt – die IP-Adresse im lokalen Einstellungen über »Anwenden« und speichert so die Datei. Über den dane- Intranet oder den Hostnamen an. schließt so auch das Fenster. benliegenden Button löscht der Admin Nach dem Anmelden gelangt er in das Protokolle bei Bedarf wieder. Konfigurationsfenster. Im Listenbereich Protokollarisches links wählt er die Option »Networking« E Shorewall und dann »Shoreline Firewall«, was GUFW zeigt im Reiter »Protokolle« die rechts die einzelnen Konfigurationsopti- Verlaufsprotokolle der Firewall an. Zu Ebenfalls auf Netfilter und IPtables setzt onen einblendet (Abbildung 12). späteren Dokumentations- und Prüfzwe- Shorewall [7] auf. Die grafische Verwal- cken kann der Admin diese speichern, tungsoberfläche für das Filtern von Pake- Gruppendynamik wenn auch nur über die Zwischenablage. ten ist in Perl geschrieben und steckt in Dazu klickt er bei aktivem »Protokoll«- den Paketverwaltungen der meisten gän- Die wichtigsten Optionen für die Basisein- Reiter auf das unterhalb des Anzeige- gigen Linux-Distributionen. Shorewall stellungen zur vorhandenen Infrastruktur bereichs befindliche Symbol »In die eignet sich sowohl für Einzelarbeitsplätze finden sich in den Gruppen »Network

Peer Guardian

Keine herkömmliche Firewall, sondern eine Ap- Das unter der GNU GPL vertriebene Programm mit blockierten IP-Adressen, den zugehörigen plikation, die einzelne IP-Adressen oder ganze zeigt im Startfenster im aktiven Reiter »Con- Ports und den Angaben zur Art der Verbindung Adressblöcke blockiert, nennt sich Peer Guar- trol« zunächst einen leeren Listenbereich an, (Abbildung 10). dian (Abbildung 9, [8]). Ursprünglich war die der das Sitzungsprotokoll aufführt. Die Buttons Für Peer Guardian gibt es nicht nur die vorde- Software darauf spezialisiert, das Ausspähen darüber steuern die Software. Die vorgefertig- finierten Listen und die Sperrlisten des Admin von Peer-to-Peer-Verbindungen unter Protokol- ten Sperrlisten versammelt der Reiter »Confi- selbst, sondern auch externe, vorgefertigte len wie Bittorrent oder Fasttrack zu verhindern, gure«. Hier, im Bereich »Whitelist«, trägt der Adressensammlungen [19]. Die warten im In- inzwischen blockiert sie auch IP-Adressen, die Admin auch freizugebende Adressen ein. Zudem ternet, nach Kategorien unterteilt, teilweise auf Webseiten mit kriminellen Inhalten oder auf wartet hier eine Option, die Software mit dem lassen sie sich auch kostenpflichtig im Rahmen Spam- und Phishing-Seiten verweisen. Sie nutzt System starten zu lassen und Update-Intervalle eines Abonnements erwerben. Die Listen inte- dabei die auf dem Host vorhandenen Netfilter- für die Sperrlisten einzurichten. griert der Admin jeweils per Copy und Paste der und IPtables-Regeln. Adressen und Adressbe- Letztere aktiviert der Administrator je nach Listen-URL über den Ergänzungsdialog in Peer reiche sperrt die Software mit vorgefertigten Bedarf, indem er Häkchen vor dem jeweiligen Guardian, das die Sperrlisten fortan regelmäßig Blockierlisten, die bekannte IP-Adressen mit zu sperrenden Adressbereich setzt. Über das aktualisiert. Finden sich im Verlaufsprotokoll Schadsoftware kennen. Der Admin kann diese grüne »+«-Symbol unterhalb der Sperrliste IP-Adressen, die er nicht sperren möchte, passt Listen ergänzen. trägt er weitere Webseiten oder Bereiche in der Admin sie per Rechtsklick an: Über das Peer Guardian gibt es im Quelltext für Selbst- die Liste ein. Beim Ersteinsatz sollte er die Lis- Kontextmenü gibt er sowohl die IP-Adresse als übersetzer, zusätzlich wartet es in den ten auf den aktuellen Stand bringen, indem er auch den zugehörigen Port jeweils temporär Repositories einiger größerer Linux-Distribu- im Reiter »Control« auf den Button »Update« oder dauerhaft frei. tionen. Die grafische Oberfläche vereinfacht klickt. Die Aktualisierung verfolgt er dann in Liegen zu wenig Informationen zur gesperr- vor allem den Umgang mit den Blockierlisten einem kleinen Logfenster, das er über »View« | ten Adresse vor, startet der Admin aus dem enorm. Peer Guardian erlaubt es dem Admin, »View pglcmd‘s log« aufruft. Sind die Updates Kontextmenü eine Whois-Abfrage. Die Software sehr schnell und ohne aufwändige Proxyser- installiert, aktiviert er die Firewall per Klick auf zeigt dann in einem Fenster Informationen an ver-Konfiguration in Intranets unerwünschte den »Start«-Button im Reiter »Control«. Nun und erleichtert so die Entscheidung, die Sperre IP-Adressen für den Zugriff zu sperren. füllt sich das Protokollfenster nach und nach zu verlängern oder aufzuheben. 11/2017 Software Zones« und »Network Interfaces«. Dazu gesellen sich die eigentlichen Firewall- Einstelloptionen in den Gruppen »Default Policies«, »Firewall Rules« und »Blacklist

Hosts«. Die für das Routing zuständigen Bitparade Optionen findet der Anwender in den Gruppen »Routing Rules«, »Additional Routing Providers«, »Masquerading« so- 51 wie »Static NAT«. In allen Konfigurationsgruppen trifft der Admin auf übersichtliche Einstelldialoge,

welche die verfügbaren Optionen in Ta- www.linux-magazin.de bellenform auflisten. Unterhalb der Grup- penauswahl aktiviert er mehrere Verwal- tungsoptionen per einfachem Mausklick auf einen der dort vorhandenen Buttons: Ein Klick auf »Apply Configuration« star- Abbildung 12: Webmin bietet sehr umfangreiche Konfigurationsoptionen für Shorewall. tet die Firewall mit den eigenen Einstel- lungen neu. gen zurücksetzen, klickt der Admin auf Admin über den aktuellen Betriebszu- Der Button »Refresh Configuration« ak- »Clear Firewall«. Die Schaltfläche »Stop stand von Shorewall. tualisiert die Blacklist-Tabellen und das Firewall« blockiert den Zugriff von allen Der Button »Check Firewall« ermöglicht Traffic Shaping, das dafür sorgt, dass Hosts – mit Ausnahme der per Whitelist einen Konsistenzcheck: Viele umfangrei- die Firewall bestimmte Pakete prio­ davon ausgenommenen. Mit der Schalt- che IPtables-basierte Regelwerke enthal- risiert. Will er die Firewall-Einstellun- fläche »Show Status« informiert sich der ten wegen ihrer Komplexität Fehler. Die 11/2017 Software eigene Infrastruktur, das heißt die ver- wendeten Distributionen und die Anfor- derungen an die Netzwerksicherheit, die entscheidenden Auswahlkriterien dar-

Bitparade stellen dürften. (kki) n

52 Infos [1] Netfilter: [http://​­www.​­netfilter.​­org] [2] NFtables: [https://​­netfilter.​­org/​­projects/​­nftables/] [3] IPtables: www.linux-magazin.de [https://​­netfilter.​­org/​­projects/​­iptables/] [4] Firewalld: [http://​­www.​­firewalld.​­org] [5] Fwbuilder: [http://​­www.​­fwbuilder.​­org] [6] GUFW: [http://​­gufw.​­org] [7] Shorewall: [http://​­shorewall.​­org] Abbildung 13: Shorewall zeigt sich auch in seinen Logdateien auskunftsfreudig. [8] Peer Guardian: [https://​­sf.​­net/​­projects/​­peerguardian/] lassen sich so aufdecken und beheben, ist keine klassische Firewall-Oberfläche, [9] Firestarter: bevor böswillige Angreifer sie ausnutzen. sondern beschränkt sich auf die Arbeit [https://​­sf.​­net/​­projects/​­firestarter/] mit Blacklists. Die Software gestattet es [10] Turtle Firewall: Logging nicht, aufwändige Regelkonstrukte zu [http://​­www.​­turtlefirewall.​­com] implementieren, macht sich aber als [11] Fire Flier: [http://​­fireflier.sf.​­ ​­net] Shorewall kann den Datenverkehr mit- Firewall-Ergänzung nützlich. [12] Vuurmuur: protokollieren und legt die Protokolle im Fwbuilder, Firewalld und Shorewall visie- [https://​­www.​­vuurmuur.​­org/​­trac/] Verzeichnis »/var/log/« ab. Alternativ ren primär Serversysteme an und haben [13] IPfire: [http://​­www.​­ipfire.​­org] betrachtet der Admin die Logdateien in daher auch deutlich mehr Funktionen [14] Untangle NG: [https://​­www.​­untangle.​­com/​ Webmin über die Option »View Module‘s im Gepäck. Fwbuilder eignet sich zudem ­untangle‑ng‑firewall/] Logs« (Abbildung 13). auch für den Einsatz in heterogenen Um- [15] Alpine Linux: [https://​­alpinelinux.​­org] gebungen mit diversen Server-Betriebs- [16] BSD PF: Fazit systemen und sogar für den Betrieb mit [https://​­www.​­openbsd.​­org/​­faq/​­pf/] Appliances einiger Hersteller. Die Soft- [17] Quick-Start-Guide: [http://​­www.​­fwbuilder.​ Die besprochenen grafischen Oberflä- ware kann je nach Syntax der genutzten ­org/​­4.​­0/​­quick_start_guide.​­shtml] chen für Firewalls eignen sich alle, um Firewall entsprechende Konfigurations- [18] Wikiseite von UFW: [https://​­wiki.​­ubuntu.​ IT-Infrastrukturen abzusichern. Doch dateien kompilieren. Shorewall lässt sich ­com/​­UncomplicatedFirewall] fokussieren die einzelnen Werkzeuge dagegen mit Webmin konfigurieren und [19] Sperrlisten für Peer Guardian: größtenteils unterschiedliche Anwender- somit auch von entfernten Rechnersyste- [https://​­www.​­iblocklist.​­com/​­lists] gruppen und Szenarien: GUFW fällt et- men aus verwalten. [20] Webmin: [http://​­www.​­webmin.​­com] was aus der Reihe, denn es zielt primär Der Administrator hat also die Qual der [21] Drakfirewall: [https://​­doc.​­mageia.​­org/​ auf Desktop-Systeme ab. Peer Guardian Wahl (Tabelle 1), wobei am Ende die ­mcc/​­6/​­de/​­content/​­drakfirewall.html]​­

Tabelle 1: Firewall-GUIs im Überblick Feature Firewalld Fwbuilder GUFW Shorewall Voraussetzungen Netfilter Netfilter und IPtables Netfilter und IPtables Netfilter und IPtables Plattformübergreifend nein ja nein nein Entfernter Host nein ja ja ja IPv4/​IPv6 ja/​ja ja/​ja ja/​ja ja/​ja Zonenmodell ja nein ja (Profile) ja Ketten- und Regelmodell nein ja ja ja Dynamisch ja nein nein nein Applikationsintegration nein nein ja eingeschränkt Logging eingeschränkt nein ja ja Assistent nein ja eingeschränkt nein Primäres Einsatzgebiet Server Server, Desktop, Cluster, Desktop Server, Desktop, Appliance Appliance