ubuntuusers.de

Personal Firewalls

Status: Ungelöst | Ubuntu-Version: Nicht spezifiziert
Antworten |
Dieses Thema ist die Diskussion des Artikels Personal_Firewalls.

Beforge Team-Icon

Ehemalige

Anmeldungsdatum:
29. März 2018

Beiträge: 2007

BillMaier schrieb:[...]

Vielleicht ist das Problem die Lösung → Sprich: Der Artikel behandelt die verschiedenen Seiten und erklärt außerdem, was die PersonalFirewall nicht abdeckt. Nur mal so als Idee.

+1 Finde ich sinnvoll, ein Wiki sollt -soweit möglich- halbwegs neutral über Vor und Nachteile informieren. (Natürlich gibt es auch Fälle, in denen es Sinn macht, eine Seite hervorzuheben.)
noisefloor schrieb:[...]

Und, wie oben schon sagt, ist ein Beispiel für eine FW-Konfig für ein öffentliches WLAN (Flughafen, Hotel, was auch immer) sicherlich auch gut. Ob im Artikel selbst oder als eigener Artikel hinge vom Umfang ab.

+1

BillMaier Team-Icon

Supporter

Anmeldungsdatum:
4. Dezember 2008

Beiträge: 6494

Hallo rolands11,

kurze Zwischenfrage (kein Stress): Bist du hier noch dran? Danke für eine kurze Rückmeldung.

Viele Grüße

BillMaier

Beforge Team-Icon

Ehemalige

Anmeldungsdatum:
29. März 2018

Beiträge: 2007

-push-

noisefloor Team-Icon

Anmeldungsdatum:
6. Juni 2006

Beiträge: 29567

Hallo,

hier passiert ja leider auch nichts... IMHO kann der Artikel in der aktuellen Version wieder ins Wiki. Es sind ja ein paar Kleinigkeit korrigiert worden, die Sinn machen.

Gruß, noisefloor

BillMaier Team-Icon

Supporter

Anmeldungsdatum:
4. Dezember 2008

Beiträge: 6494

hiermit erledigt.

Gruß BillMaier

Excelsio

Anmeldungsdatum:
19. April 2009

Beiträge: 37

Wohnort: Niedersachsen/Delmenhorst

Der Link zum CCC Ulm ist veraltet und nicht mehr verfügbar (Fehler 404). Es gibt aber eine Archiv-Version https://web.archive.org/web/20190430181728/https://www.ulm.ccc.de/PersonalFirewalls. Ich wollte die Info überarbeiten, wusste jetzt aber auf die Schnelle nicht wie ich das machen soll, ein Beispiel habe ich auch noch nicht gefunden. Muss mich im Wiki sonst noch genauer umschauen. Ich hoffe jemand weiss wie der Link gestaltet werden muss und übernimmt die Änderung ebend für mich.

mubuntuHH Team-Icon

Projektleitung

Anmeldungsdatum:
28. November 2010

Beiträge: 871

Wohnort: Hamburg, Germany

Hallo Excelsio, danke für den Hinweis. Es gibt tatsächlich eine sog. InterWiki-Link-Vorlage. Für web.archive.org so:

[iawm:Seitenname:]

Bevor wir das machen, frage ich mich aber, ob es nicht einen neueren, vergleichbaren Link zu diesem Thema gibt. Schließlich ist das ja ein sicherheitskritisches Thema, bei dem wir auf den neusten Stand sein sollten. Hat jemand einen Linkvorschlag?

DJKUhpisse Team-Icon

Supporter, Wikiteam
Avatar von DJKUhpisse

Anmeldungsdatum:
18. Oktober 2016

Beiträge: 18192

Wohnort: in deinem Browser, hier auf dem Bildschirm

Hier sollte ggf. ergänzt werden, dass in den Desktop-Versionen von Ubuntu ein mDNS-Server (Avahi) läuft. Seht ihr das auch so?

noisefloor Team-Icon

Anmeldungsdatum:
6. Juni 2006

Beiträge: 29567

Hallo,

in wie fern? Also hol' mal bitte ein bisschen weiter aus, wie wann wo was ergänzt werden sollte.

Gruß, noisefloor

DJKUhpisse Team-Icon

Supporter, Wikiteam
Avatar von DJKUhpisse

Anmeldungsdatum:
18. Oktober 2016

Beiträge: 18192

Wohnort: in deinem Browser, hier auf dem Bildschirm

Eine normale Ubuntu-Desktop-Installation öffnet deswegen keinen einzigen Port nach außen und ist deswegen unangreifbar für alle Angriffsszenarien, vor denen ein Paketfilter Schutz bieten könnte.

So steht es im Artikel. mDNS nutzt aber den Port 5353 über die entsprechende IPv6-link-local-Mutlicast-Adresse. Auf dem Link ist damit eine Kommunikation möglich.

redknight Team-Icon

Moderator & Supporter
Avatar von redknight

Anmeldungsdatum:
30. Oktober 2008

Beiträge: 21822

Wohnort: Lorchhausen im schönen Rheingau

Point taken. Gibts dafür ein Angriffszenario? Und was wäre dein Einsteigergeeigneter Änderungsvorshclag?

kB Team-Icon

Supporter, Wikiteam
Avatar von kB

Anmeldungsdatum:
4. Oktober 2007

Beiträge: 9579

Wohnort: Münster

DJKUhpisse schrieb:

Eine normale Ubuntu-Desktop-Installation öffnet deswegen keinen einzigen Port nach außen und ist deswegen unangreifbar für alle Angriffsszenarien, vor denen ein Paketfilter Schutz bieten könnte.

So steht es im Artikel.

Der Satz im Artikel ist richtig auf Einsteiger-Niveau und wenn man die Begriffe „Port öffnen“ und „nach außen“ richtig interpretiert, bei genauerem Hinsehen allerdings falsch. Auch bei einem Standard-Ubuntu-System laufen immer einige Programme als Server (=„Port Öffnen“), jedoch ist über diese kein Angriff möglich, weil andere Mechanismen davor schützen:

Standard-Server bei Ubuntu sind:

  • Ein DHCP-Client (z.B. der interne des NetworkManagers) auf udp/ip4 Port 68 mit lokaler Adresse der jeweiligen Schnittstelle: DHCP(v4) wird als Layer-2.5-Protokoll vom Router blockiert.

  • Der Avahi-DAEMON auf udp/ip4 Port 5353 und einem weiteren hohen Port mit der universellen IPv4-Adresse 0.0.0.0: Dies ist Multicast und wird vom Router blockiert.

  • Der Browser-Dienst von CUPS auf udp/ip4 Port 631 mit der universellen IPv4-Adresse 0.0.0.0: Dies ist Multicast und wird vom Router blockiert.

  • Der DNS-Cache systemd-resolved auf udp/ip4 Port 53 mit der Host-Adresse 127.0.0.53. Dies ist nur vom Rechner selbst zu erreichen.

  • Der Druckserver CUPS auf tcp/ip4 Port 631 mit der Host-Adresse 127.0.0.1. Dies ist nur vom Rechner selbst zu erreichen. (Dies ist allerdings leicht änderbar.)

  • Der DNS-Cache systemd-resolved auf tdp/ip4 Port 53 mit der Host-Adresse 127.0.0.53. Dies ist nur vom Rechner selbst zu erreichen.

  • Ein DHCPv6-Client auf udp/ip6 Port 546 mit der Local-Link-Adresse der jeweiligen Schnittstelle. Dies wird vom Router blockiert.

  • Der Avahi-DAEMON auf udp/ip6 Port 5353 und einem weiteren hohen Port mit der universellen IPv4-Adresse ::: Dies ist Multicast und wird vom Router blockiert.

  • Der Druckserver CUPS auf tcp/ip Port 631 mit der Host-Adresse ::1. Dies ist nur vom Rechner selbst zu erreichen. (Dies ist allerdings leicht änderbar.)

Einige Standard-Server-Dienste von Ubuntu sind also theoretisch durchaus aus dem lokalen Netzwerk (LAN) angreifbar, jedoch nicht von jenseits des nächstgelegenen Routers. Man muss also im Satz des Artikels „von außen“ interpretieren als „von jenseits des nächstgelegenen Routers“.

Man sollte sich allerdings klar sein, dass man mit einem Standard-Ubuntu-Desktop durchaus wegen standardmäßig laufender Server angreifbar ist, wenn man

  • seinen Rechner in ein fremdes Netzwerk bringt (z.B. UNI),

  • oder sein Netzwerk leichtfertig für andere per WLAN öffnet.

Dagegen hilft aber keine "Personal Firewall", denn man möchte diese grundlegenden Netzwerkdienste ja benutzen. Paranoide könnten allerdings die Angriffsfläche verringern, indem sie noch CUPS-Browser und Avahi abschalten, d.h. die jeweiligen Serverdienste nicht starten, und DHCPv6 nicht benutzen.

Die Formulierung dieser Sachverhalte auf Einsteiger-Niveau überlasse ich dem Leser als Übungsaufgabe.

Newubunti

Anmeldungsdatum:
16. Februar 2008

Beiträge: 5149

kB schrieb:

DJKUhpisse schrieb:

Eine normale Ubuntu-Desktop-Installation öffnet deswegen keinen einzigen Port nach außen und ist deswegen unangreifbar für alle Angriffsszenarien, vor denen ein Paketfilter Schutz bieten könnte.

So steht es im Artikel.

Der Satz im Artikel ist richtig auf Einsteiger-Niveau und wenn man die Begriffe „Port öffnen“ und „nach außen“ richtig interpretiert,

In diesem einen Punkt stimme ich Dir nicht zu! Denn gerade in einem sicherheitsrelevanten Artikel sollte es eben gerade keine Interpretationsspielräume geben oder sagen wir besser, diese sollten so klein wie nur irgendwie möglich gehalten werden. Das hat auch mit Einsteiger-Niveau nichts zu tun.

ABER:

Ansonsten würde ich es im Artikel mehr oder weniger genau so darstellen, wie Du dann weiter schreibst:

Standard-Server bei Ubuntu sind:

  • Ein DHCP-Client (z.B. der interne des NetworkManagers) auf udp/ip4 Port 68 mit lokaler Adresse der jeweiligen Schnittstelle: DHCP(v4) wird als Layer-2.5-Protokoll vom Router blockiert.

  • Der Avahi-DAEMON auf udp/ip4 Port 5353 und einem weiteren hohen Port mit der universellen IPv4-Adresse 0.0.0.0: Dies ist Multicast und wird vom Router blockiert.

  • Der Browser-Dienst von CUPS auf udp/ip4 Port 631 mit der universellen IPv4-Adresse 0.0.0.0: Dies ist Multicast und wird vom Router blockiert.

  • Der DNS-Cache systemd-resolved auf udp/ip4 Port 53 mit der Host-Adresse 127.0.0.53. Dies ist nur vom Rechner selbst zu erreichen.

  • Der Druckserver CUPS auf tcp/ip4 Port 631 mit der Host-Adresse 127.0.0.1. Dies ist nur vom Rechner selbst zu erreichen. (Dies ist allerdings leicht änderbar.)

  • Der DNS-Cache systemd-resolved auf tdp/ip4 Port 53 mit der Host-Adresse 127.0.0.53. Dies ist nur vom Rechner selbst zu erreichen.

  • Ein DHCPv6-Client auf udp/ip6 Port 546 mit der Local-Link-Adresse der jeweiligen Schnittstelle. Dies wird vom Router blockiert.

  • Der Avahi-DAEMON auf udp/ip6 Port 5353 und einem weiteren hohen Port mit der universellen IPv4-Adresse ::: Dies ist Multicast und wird vom Router blockiert.

  • Der Druckserver CUPS auf tcp/ip Port 631 mit der Host-Adresse ::1. Dies ist nur vom Rechner selbst zu erreichen. (Dies ist allerdings leicht änderbar.)

Einige Standard-Server-Dienste von Ubuntu sind also theoretisch durchaus aus dem lokalen Netzwerk (LAN) angreifbar, jedoch nicht von jenseits des nächstgelegenen Routers. Man muss also im Satz des Artikels „von außen“ interpretieren als „von jenseits des nächstgelegenen Routers“.

Man sollte sich allerdings klar sein, dass man mit einem Standard-Ubuntu-Desktop durchaus wegen standardmäßig laufender Server angreifbar ist, wenn man

  • seinen Rechner in ein fremdes Netzwerk bringt (z.B. UNI),

  • oder sein Netzwerk leichtfertig für andere per WLAN öffnet.

  • Angriffs-Einstiegspunkt könnte heute auch immer ein IoT im eigenen Lan sein oder auch das eigene Smartphone.

Das ist eine differenzierte, sachliche Darstellung, die ein "Einsteiger" vielleicht nicht in allen Einzelheiten mag verstehen können, aber er hat dann immerhin einen sachlich richtigen Ausgangspunkt. Man muss und sollte an dieser Stelle natürlich auch nichts dramatisieren, aber die jetzige Formulierung

Eine normale Ubuntu-Desktop-Installation öffnet deswegen keinen einzigen Port nach außen und ist deswegen unangreifbar für alle Angriffsszenarien, vor denen ein Paketfilter Schutz bieten könnte.

sollte man IMO so nicht stehen lassen.

Kann man z.B. im eigenen Heimnetz IoT-Geräte nicht in eigenes Subnetz packen, dann macht es IMO schon Sinn, diesen Geräte gar nicht erst die Zugriffsmöglichkeit auf die Linklokal-Ports zu gewähren. Das würde ich auch nicht als Paranoid abtun wollen sondern eher als vorausschauende Vorsichtsmaßnahme, weil IoT-Geräte in vielerlei Hinsicht ja sehr häufig "black Boxen" sind.

Wichtig wäre dann aber auch immer noch darauf hinzuweisen, dass ein erreichbarer Port auch noch nicht sofortigen Zugriff auf den Rechner bedeuten muss, sondern je nach dort lauschendem Dienst, dann auch noch eine Sicherheitslücke benötigt, die einen tatsächlichen Einfall über den Port eröffnet.

LG, Newubunti

noisefloor Team-Icon

Anmeldungsdatum:
6. Juni 2006

Beiträge: 29567

Hallo,

der Kern des Artikels ist halt: alt. Der stammt aus den Anfängen des Wikis und einer Zeit, wo man unter Windows tunlichst eine Firewall installieren wollte (oder besser: musste), weil Windows selber keine hatte und auch sonstigen Schutzmaßnahmen ootb eher nicht vorhanden waren.

Der Artikel kann gerne auch einen aktuellen, zeitgemäßen Stand gebraucht werden, ohne dabei latent auf Windows zu schielen. Ob man das ganze noch "Personal Firewalls" nennen sollte / muss weiß ich noch nicht.

Abgesehen davon hat Ubuntu ja inzwischen ootb ein Firewall an Bord, ufw.

Gruß, noisefloor

DJKUhpisse Team-Icon

Supporter, Wikiteam
Avatar von DJKUhpisse

Anmeldungsdatum:
18. Oktober 2016

Beiträge: 18192

Wohnort: in deinem Browser, hier auf dem Bildschirm

Unter Personal Firewall wird eine FW bezeichnet, die auf dem eigenen Rechner läuft. Das passt also. Unter Windows muss man auch nur deswegen eine FW betreiben, weil da Serverdienste laufen, die für Angriffe genutzt werden können. Schaltet man diese ab braucht es auch keine Fw mehr.

ufw ist zwar bei Ubuntu dabei, aber ist da SPI-Firewalling nach außen standardmäßig aktiv oder lässt das Teil standardmäßig alles durch?