ubuntuusers.de

TomLu schrieb:

Deswegen halte ich eine Desktop Firewall für wirkungsloses Schlangenöl....

https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Schutzprogramme/schutzprogramme_node.html

https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Schutzprogramme/Firewall/firewall_node.html

noisefloor schrieb:

@rolands11: warum hast du den Satz eigentlich entfernt?

Bitte den alten Stand vor meinen Änderungen wiederherstellen, und dann in eine Baustelle kopieren. Ich würde erstmal nur dort Änderungen machen.

Viele Grüße, Roland

Änderungen zurückgesetzt, Baustelle ist eingerichtet. Bitte das Fertigstellungsdatum ggf. noch anpassen.

Vielen Dank fürs Kopieren in die Baustelle.

Ich würde trotzdem gerne eine Änderung direkt im Live-Artikel machen:

" ... Ebenso gibt es zur Konfiguration einer Ubuntu-Firewall kein grafisches Werkzeug in den main-Quellen, wohl aber in universe, z.B. das Programm firestarter."

Den Hinweis auf firestarter würde ich ersetzen durch einen Link auf ufw, zusammen mit einem Verweis auf die grafische Oberfläche gufw. Firestarter ist offenbar schon länger nicht mehr in universe enthalten.

Viele Grüße, Roland

rolands11 schrieb:

Ich würde trotzdem gerne eine Änderung direkt im Live-Artikel machen:

Hallo, das ist nicht ohne weiteres möglich und deshalb gesperrt, da u.a. die Historie dabei kaputt geht. Pack das doch erstmal in die Baustelle, das kann dann zusammen mit dem Rest ins Wiki.

Gruß BillMaier

rolands11 schrieb:

TomLu schrieb:

Deswegen halte ich eine Desktop Firewall für wirkungsloses Schlangenöl....

https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Schutzprogramme/Firewall/firewall_node.html

Dabei ist der letzte Satz des Links der relevante, der darüber entscheidet, obs Schlangenöl ist oder nicht: "Generell gilt: IT-Sicherheit kann nicht durch eine einzelne Software erreicht werden, sondern ist immer nur durch ein Zusammenspiel von verschiedenen Faktoren möglich."

Und genau diesen Faktoren wird üblicherweise keine Bedeutung beigemessen... aber wird schon gut gehen... also, dann mal guts nächtle....

Hallo rolands11,

da der aktuelle "Live-Artikel" nur eine Kopie ist, die nachher wieder durch das Original aus der Baustelle ersetzt wird, wäre eine reine Änderung im "Live-Artikel" nachher wieder weg. Da müsste man die Änderung schon sowohl in der Baustelle als auch in der Kopie einfügen.

Ich denke, es reicht vollkommen aus, wenn diese Änderung zusammen mit dem Rest online geht.

Habe den Link in der Baustelle von firestarter auf gufw geändert.

Für die Überarbeitung der Baustelle das Wichtigste gleich vorneweg:

Offenbar gibt es zum Thema "Personal Firewall" zwei unterschiedliche Positionen:

1. Die Grundaussage des Artikels hat sich in den letzten Jahren nicht geändert und sollte beibehalten werden: Personal Firewalls sind unter Ubuntu unnötig. Da in der Voreinstellung keine Ports nach außen geöffnet werden, benötigt man auch keine Personal Firewall. Der Zugriff auf einzelne Dienste in einem LAN sollte über eine Firewall auf einem zentralen Router geregelt werden. In öffentlichen oder fremden WLAN-Netzen werden alle von außen erreichbaren Dienste einfach abgeschaltet. Der Einsatz einer Personal Firewall würde nur ein falsches Gefühl von Sicherheit vermitteln.

2. Mittlerweile werden doch einige Ports bei einer Standardinstallation geöffnet (zumindest für das lokale Netzwerk). Außerdem ist nicht auszuschließen, dass man auf seinem Rechner auch nachträglich Dienste installiert. Eine Personal Firewall hilft den Zugriff auf diese Dienste zu begrenzen, ohne diese abschalten zu müssen. Auch beim Einsatz im Büro- oder Heimnetzwerk hinter einer zentralen Firewall auf einem Router dient die Personal Firewall als zusätzliche Barriere.

Sollte es keine Zustimmung für eine Änderung geben, würde ich die ablehnende Haltung (Punkt 1) gegenüber Personal Firewalls erstmal so beibehalten und nicht ändern.

Viele Grüße, Roland

Meinungen dazu (s. vorheriges Posting)?

Wer hat auf seinem Ubuntu-Rechner eine Personal Firewall laufen? Wer hätte gerne eine einfache Anleitung zur Installation einer Personal Firewall unter Ubuntu (mit grafischer Oberfläche)?

Canonical bewirbt die eingebaute Firewall von Ubuntu-Desktop übrigens direkt auf der Hauptseite: https://www.ubuntu.com/desktop

... With a built-in firewall and virus protection software, Ubuntu is one of the most secure operating systems around. ...

Hier noch ein weiterer (semi-offizieller) Link:

https://help.ubuntu.com/community/DoINeedAFirewall

Die Seite bezieht sich inhaltlich ebenfalls auf den Sinn und Zweck von Personal Firewalls auf dem Desktop, nicht zentrale Firewalls auf Routern. Kurze Zusammenfassung:

• Obwohl viele Maßnahmen einer Personal Firewall umgangen werden können, ist der Einsatz sinnvoll

• Kompromittierte Anwendungen können ungewollt einen neuen Port öffnen, der von außen erreichbar ist und ausgenutzt werden kann

• Ausgehende Verbindung sollte ebenfalls kontrolliert werden

• Sinnvoll ist die zusätzliche Unterstützung durch AppArmor

• NAT bietet Schutz gegen eingehende Internetverbindungen, aber keinen Schutz gegen Angriffe aus dem LAN

• Personal Firewalls sind zwar keine geeignete Gegenmaßnahme gegen z.B. Reverse Shells, NAT und zentrale Router aber auch nicht

Viele Grüße, Roland

rolands11 schrieb:

Kurze Zusammenfassung:

• Obwohl viele Maßnahmen einer Personal Firewall umgangen werden können, ist der Einsatz sinnvoll

Nein, das stimmt nicht... sie kann auf einfachste Weise vollständig umgangen werden.

• Kompromittierte Anwendungen können ungewollt einen neuen Port öffnen, der von außen erreichbar ist und ausgenutzt werden kann

Nein, das stimmt nicht... Anwendungen können nur einen lokalen Port öffnen, der ist aber nicht über das Internet erreichbar, weil Anwendungen keine Berechtigung haben, Ports und Weiterleitungen auf dem Router einzurichten. Und damit solch ein Port widerrechtlich innerhalb des LANs genutzt werden kann, müssten bereits mindestens 2 Systeme im LAN korrespondierend kompromittiert sein. In solchen Fällen braucht es aber keine Firewall, sondern einen kompetenten Admin, der von vornherein die Kompromittierung der PCs über restriktive Userberechtigungen ausschließt.

• Ausgehende Verbindung sollte ebenfalls kontrolliert werden

Äh... Du willst wirklich den Browser und Port 80 + 443 kontrollieren? Sorry, aber das ist doch totaler Quatsch... nicht die technische Verwendung von Port 80 + 443 ist das Problem, sondern die sachlich-fehleranfällige Bedienung des Browsers durch den User ... und da hilft eine Firewall absolut gar nix. Und andere lokale Ports zu sperren bedeutet entweder eine Anwendung zu kastrieren oder allenfalls zu verhindern, dass ein Programm nachhause telefoniert. Aber wenn Du den Diensten aus dem Ubuntu-Repo so misstraust, dann würde ich besser über eine andere Distribution nachdenken und nicht über einen Paketfilter. Und wenn Du Programmen aus dubiosen Fremdquellen misstraust... äh... wieso installiert man sich denn Programme aus dubiosen Quellen...?... sorry, aber das ist doch ein Totalversagen des Admins.

• Sinnvoll ist die zusätzliche Unterstützung durch AppArmor

Wer sagt das? Wir reden doch hier von Desktop-Systemen...oder? Wieso müssen denn auf einem Ubuntu-Desktop-PC kritische Anwendungen besondere Rechte bekommen? Wo gibts denn da überhaupt kritische Dienste... das ist doch kein Server, sondern nur ein Desktop-System mit vorübergehenden unvorhersehbaren Betriebsszeiten. Schränke einfach die User-Rechte ein, so das er nur in seinem Home-Dir ändern kann und lass den User keine Anwendungen mit Root-Rechten starten oder mit Root-Rechten dubiose Anwendungen installieren... dann brauchts auch auf einem Desktop-PC (ohne kritische Dienste) kein Appamor.

• NAT bietet Schutz gegen eingehende Internetverbindungen, aber keinen Schutz gegen Angriffe aus dem LAN

NAT findet auf dem Router statt, nicht auf dem PC. Ich halte es für besser, gewisse Fakten auch gewissenhaft zu trennen. Soweit es irgendwelche Schutzmechanismen angeht, so sind die immer binär und beziehen sich auf einen konkreten Sachverhalt... und zwar Schutz und Wogegen. Sowas wie einen Breitband-Schutzmechanmismus für LAN und WAN und Client und Server und Router gibts nicht. Wie ich schon sagte... der berechtigte User ist sowieso der Ursprung der Probleme, und gegen den kann die Firewall gar nix ausrichten.

• Personal Firewalls sind zwar keine geeignete Gegenmaßnahme gegen z.B. Reverse Shells, NAT und zentrale Router aber auch nicht

Desktop-Firewalls sind generell völlig wirkungslose Programme, wenn der User das Recht hat, sich darüber hinwegzusetzen. Und wenn der User dieses Recht nicht hat, kann er das System auch nicht kompromittieren... womit die Firewall dann wieder überflüssig ist.

Ich habe das Gefühl, dass Du eine etwas romantische Vorstellung von Desktop-Firewalls hast... nur leider hat das nicht wirklich viel mit der Realität zu tun. Fang einfach mit einer Änderung der Vorstellung an, dass ein Paketfilter KEINE Firewall ist und das ein Paketfilter relativ einfach manipuliert werden kann. Mir scheint, dass Du beabsichtigst, Deine "Firewall" gegen bereits im LAN kompromittierte Systeme zu positionieren. Dir sollte klar sein, dass das A. der falsche Ansatz ist und B. wirkungslos bleibt.

Hallo,

Canonical bewirbt die eingebaute Firewall von Ubuntu-Desktop übrigens direkt auf der Hauptseite: https://www.ubuntu.com/desktop

"Build-in" stimmt - nur ist ufw per default deaktiviert. Und was Canonical mit "virus protection software" meint ist wohl auch deren Geheimnis...

AFAIK wird im Support-Forum für Desktop-Rechner so gut wie nie empfohlen, eine Firewall zu installieren bzw. ufw zu aktivieren. Und damit sollte das Wiki auch synchron sein. Des weiteren darf man IMHO davon ausgehen, dass ein Großteil der Desktop-Installation _nicht_ direkt im Internet exponiert sind, sondern hinter eine wie auch immer gearteten Router sitzen, und damit nicht direkten Angriffen aus dem Internet ausgesetzt sind.

Wenn dir total dringend danach ist, eine FW-Konfig zu beschreiben → fühl' dich frei ein Howto zu schreiben.

Gruß, noisefloor

Hallo,

Ich habe mal den Link zur grafischen Oberfläche von nmap angepasst.

noisefloor schrieb:

"Build-in" stimmt - nur ist ufw per default deaktiviert. Und was Canonical mit "virus protection software" meint ist wohl auch deren Geheimnis...

Das ärgert mich echt, dass Canonical hier mit bla um sich wirft, zumal wir als community versuchen, Klarheit zu schaffen und aufzuklären. Das macht es uns nicht einfacher.

Insofern ist die Frage, wie wir uns da positionieren:

Eine normale Ubuntu-Desktop-Installation öffnet deswegen keinen einzigen Port nach außen und ist deswegen unangreifbar für alle Angriffsszenarien, vor denen ein Paketfilter Schutz bieten könnte.

Sollte jemand doch mal Software in den Ubuntu-Quellen entdecken, die ungefragt Ports nach außen öffnet, so sollte das sofort dem Paketmaintainer als Bug (critical, security) gemeldet werden. Wenn der Ubuntu-Grundsatz lautet, "keine offenen Ports nach außen", dann müssen sich die "Maintainer" auch daran halten.

Ist das ernst gemeint? Dann sollten wir da als community auch reagieren und genau das tun. Den Artikel anpassen wäre auch wichtig, allerdings eben nicht unbedingt stillschweigend. Auf keinen Fall würde ich die Falschaussage stehen lassen, denn

$ netstat -tulpen | grep -v '127.0.0' 
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       User       Inode      PID/Program name    
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      0          3045       568/rpcbind                
tcp6       0      0 :::6600                 :::*                    LISTEN      0          21545      1/init              
tcp6       0      0 :::111                  :::*                    LISTEN      0          3048       568/rpcbind         
tcp6       0      0 :::1716                 :::*                    LISTEN      1000       1136859    28185/kdeconnectd           
tcp6       0      0 ::1:631                 :::*                    LISTEN      0          881617     21453/cupsd         
udp     7168      0 0.0.0.0:5353            0.0.0.0:*                           114        21403      681/avahi-daemon: r 
udp        0      0 0.0.0.0:46856           0.0.0.0:*                           114        21405      681/avahi-daemon: r 
udp        0      0 0.0.0.0:68              0.0.0.0:*                           0          1143381    28845/dhclient      
udp        0      0 0.0.0.0:111             0.0.0.0:*                           0          3043       568/rpcbind         
udp        0      0 0.0.0.0:631             0.0.0.0:*                           0          881624     21454/cups-browsed  
udp        0      0 0.0.0.0:744             0.0.0.0:*                           0          3044       568/rpcbind         
udp6       0      0 :::36291                :::*                                114        21406      681/avahi-daemon: r 
udp6   45056      0 :::5353                 :::*                                114        21404      681/avahi-daemon: r 
udp6       0      0 :::111                  :::*                                0          3046       568/rpcbind         
udp6       0      0 :::744                  :::*                                0          3047       568/rpcbind         
udp6    6912      0 :::1716                 :::*                                1000       1136858    28185/kdeconnectd

ist definitiv nicht "kein einziger Port"

(Port 6600 kommt wohl von einer Installation des MPD hab ich gerade entfernt. Ist das standardmäßig bei Kubuntu installiert?)

Der Punkt ist doch: Man kann überhaupt keine Aussage treffen, wie kritisch ist, einen Port durch eine Applikation geöffnet zu haben oder nicht, wenn man die Umgebung nicht kennt: Wenn ich nur zu Hause und im Firmennetz hinter NAT und Router (und "richtiger" Firewall) unterwegs bin, dann ist das ggf. wurst.

Im öffentlichen WLAN oder per Modem (nutzt das noch jemand?) sieht die Welt anders aus. Wie ist das bei GradeCarrierNAT? Hab ich da mit meinem Nachbarn zusammen ein Netz?

Grundsätzlich gilt für mich aber: Dienste sollten nur dann Ports nach außen öffnen, wenns unbedingt gebraucht wird (Ubuntu hält sich wohl nicht mehr dran?)

Wenn der Port mal offen ist, ist die Applikation dahinter der Angriffspunkt. Da hilft dann auch kein Paketfilter - nach welchen Regeln sollte der arbeiten?

(gehört eigentlich alles nach "offene Ports" → und dort sollte man ggf. erklären wie man die 2-3 nicht benötigten Dienste abschalten kann)

Bei Bedarf würde ich aber für IP-Filter-Regeln einen Paketfilter den Applikations-Einschränkungen vorziehen. Dafür sind sie schließlich da.

Gruß BillMaier

Indizienbeweiskette: Der Satz, dass keine FW nötig ist, steht seit dem 20.2.2006 wörtlich im Artikel - also seit ziemlich genau 12 Jahren. Seitdem hat sich kein Nutzer oder Supporter hier beschwert, dass das alles Quatsch ist, weil #gründehiereinfügen. Von daher darf man IMHO stark davon ausgehen, dass das alles grundsätzlich für den Ubuntu Desktop im August 2018 noch so gilt

Mir ist persönlich auch nicht aus dem Medien oder so seit Mitte 2005 bekannt (also seitdem ich Ubuntu nutze), dass ein Angriff auf Desktop-Installationen erfolgt, der mittels vorkonfigurierter Firewall verhindert worden wäre. Wenn dies so wäre bzw. eine Problem wäre, dann würde Canonical IMHO auch ufw standardmäßig aktivieren und konfigurieren (also z.B. so, wie MS das mit der Windows-FW macht).

Ich lasse mich aber gerne vom Gegenteil überzeugen, wenn einer ein paar Real-Life Usecases hat, warum der Ubuntu Desktop in der Standardinstallation mit einer Firewall geschützt werden soll.

Gruß, noisefloor

Hallo,

ich habe mal Canonical über das Kontaktformular angeschrieben, was sie da eigentlich schreiben - und bei der Gelegenheit nach der closed-port-policy gefragt.

Gruß BillMaier