user32847
Anmeldungsdatum: 29. Januar 2014
Beiträge: 332
|
Hallo Ubuntuusers, im Internet und auch hier im Wiki habe ich schon relativ viel darüber gelesen. Trotzdem gibt es immer wieder Diskussionen mit guten und schlechten Argumenten sowie viel Halbwissen. Mich würden deshalb mal begründete Meinungen von unseren aktiven Experten in diesem Gebiet interessieren.
Finde das eine interessante Sache und bin gespannt, wie ihr die Sache seht und wie eure Sicherheitsphilosophien aussehen. Grundsätzlich ist natürlich ein möglichst hoher Sicherheitsgrad anzustreben. Let's go! Sollte man bei Ubuntu die Firewall (zu Hause hinter einem DSL-Router) aktivieren? Wenn ja, warum? Wenn nein, warum nicht? Wie seht ihr die Sache, wenn ihr in öffentlichen Netzen (z. B. Freifunk, Free WiFi) unterwegs seid? Ändert sich hier was und warum? Wie seht ihr das bei den anderen beiden großen Betriebssystemen Windows & MacOS? Gibt es hierbei Unterschiede?
Ein paar Links mit teilweise unterschiedlichen Meinungen & Begründungen: http://www.fefe.de/pffaq/ http://altlasten.lutz.donnerhacke.de/mitarb/lutz/usenet/Firewall.html https://help.ubuntu.com/community/DoINeedAFirewall https://wiki.ubuntuusers.de/personal_firewalls https://www.reddit.com/r/Ubuntu/comments/1umvh5/whats_the_best_way_to_browse_securely_on/cejo338 http://www.rawcomputing.co.uk/linux/linux-firewall-part1.html Bereits im Voraus ein Dankeschön an alle, die sich an der Diskussion beteiligen. ☺
|
Linuxkumpel
Anmeldungsdatum: 15. Juli 2011
Beiträge: 1605
|
Hallo! Das hier schon gelesen? "JA" Deshalb, System aktuell halten und wachsam sein! Zitat aus "Sichere Nutzung von PCs unter Ubuntu" vom BSI "Personal Firewall Ubuntu bietet in seiner normalen Konfiguration keine Kommunikationsschnittstellen (genauer: keine Ports) nach außen an, die für Angriffe genutzt werden könnten. Daher ist der Einsatz einer Personal Firewall unter Ubuntu nicht erforderlich...."
Quelle
|
hoerianer
Anmeldungsdatum: 14. August 2012
Beiträge: 3146
Wohnort: Bodensee badische Seite ;-)
|
Also ich meine wenn man mal verstaden hat was denn eine Firewall überhaupt ist - nämlich weder Hard- noch Software, sondern eher ein Konzept, dann kann man sich die Frage schon auch selbst beantworten.
|
user32847
(Themenstarter)
Anmeldungsdatum: 29. Januar 2014
Beiträge: 332
|
hoerianer schrieb: Also ich meine wenn man mal verstaden hat was denn eine Firewall überhaupt ist - nämlich weder Hard- noch Software, sondern eher ein Konzept, dann kann man sich die Frage schon auch selbst beantworten.
Schön, und wie würdest du das beantworten? Sowohl das Ubuntuusers-Wiki als auch help.ubuntu.com begründen ihre Meinungen gut. Die eine Seite steht einer Firewall bei einer Standard-Installation eher negativ gegenüber, die andere Seite eher positiv. Mir gings hier eigentlich um interessante Meinungen und Begründungen von Usern.
|
trollsportverein
Anmeldungsdatum: 21. Oktober 2010
Beiträge: 3350
|
user32847 schrieb:
Sollte man bei Ubuntu die Firewall (zu Hause hinter einem DSL-Router) aktivieren? Wenn ja, warum? Wenn nein, warum nicht?
Im Grunde genommen ist der Laienbegriff "Firewall" viel zu schwammig. Möglicherweise geprägt vom genauso legendären wie widerlichen "ZoneAlarm". Unter den unixodien Systemen gibt es hingegen den Paketfilter. Hier werden mal Unterschiede etwas erläutert: https://books.google.de/books?id=vXb-U8lbUI0C&pg=PA258&lpg=PA258&dq=IT+Paketfilter+ja+oder+nein?&source=bl&ots=xyAmCYL3Jt&sig=OXB2t8TVbtMBHhFMqJEFKump_MI&hl=de&sa=X&ved=0CFMQ6AEwCGoVChMIubv-_o6KxgIVgYRyCh3Rjg2L#v=onepage&q=IT%20Paketfilter%20ja%20oder%20nein%3F&f=false. So sehe ich einen Paketfilter als durchaus nützlich an, einerseits bremst der Scanner wie Nmap etwas aus, anderseits kann so ein Paketfilter durchaus auch Attacken blockieren. Wie etwa die Syn-flood, oder auch mal unerwünschte IGMP Päckchen (IGMP wird zum normalen Webseiten benutzen nicht benötigt, es ist auch nicht das erste Mal, dass IGMP auffällig geworden ist). Ubuntu lässt sich sicherlich auch ohne "Firewall" schön als Desktop benutzen. Aber wer mag, kann auch iptables benutzen im einfachsten Fall durch einschalten der UFW. Allerdings kann es immer leicht passieren, dass man sich dabei schon mal in den Fuß schießt: https://forum.ubuntuusers.de/topic/ubuntu-touch-plauder-thread/99/#post-7605783, dann möchte nochmal etwas nachgearbeitet werden. 😉
|
jug
Ehemalige
Anmeldungsdatum: 19. März 2007
Beiträge: 12335
Wohnort: Berlin
|
user32847 schrieb: hoerianer schrieb: Also ich meine wenn man mal verstaden hat was denn eine Firewall überhaupt ist - nämlich weder Hard- noch Software, sondern eher ein Konzept, dann kann man sich die Frage schon auch selbst beantworten.
Schön, und wie würdest du das beantworten?
Wie gesagt, wenn man versteht, was eine Firewall ist, dann erübrigt sich die Frage.
Sowohl das Ubuntuusers-Wiki als auch help.ubuntu.com begründen ihre Meinungen gut. Die eine Seite steht einer Firewall bei einer Standard-Installation eher negativ gegenüber, die andere Seite eher positiv.
Natürlich gibt es immer unterschiedliche Meinungen, deshalb sind es ja Meinungen. Aber hier hast du eine Seite die von der Community regelmäßig gepflegt wird und eine Seite, die von einer Einzelperson einmalig verfasst wurde. Nebenbei bemerkt gibt es einen großen Unterschied zwischen einer Firewall (einem eigenständigen Gerät zwischen zwei Netzwerken) und einer Personal Firewall (einer Software auf einem Desktop/Endgerät). Letztere sind sinnlos. Erstere haben ihre Anwendungsfälle, für Heimnutzer reicht aber meistens ein NAT im Router aus. Ein vernünftiges Sicherheitskonzept (Sicherheits 1x1) sind wesentlich sinnvoller und wichtiger. ~jug
|
encbladexp
Ehemaliger
Anmeldungsdatum: 16. Februar 2007
Beiträge: 17442
|
Korrektur: Nicht NAT ist der Feature was der User will, sondern Connection Tracking am Router. Also das nur Pakete von außen nach innen kommen die zu einer bestehenden Verbindung gehören. Das ist heute Standard, die Dinge wo man am Client heute Probleme bekommt lassen sich durch eine weitere Firewall nicht verhindern. mfg Stefan Betz
|
user32847
(Themenstarter)
Anmeldungsdatum: 29. Januar 2014
Beiträge: 332
|
jug schrieb: Nebenbei bemerkt gibt es einen großen Unterschied zwischen einer Firewall (einem eigenständigen Gerät zwischen zwei Netzwerken) und einer Personal Firewall (einer Software auf einem Desktop/Endgerät). Letztere sind sinnlos. Erstere haben ihre Anwendungsfälle, für Heimnutzer reicht aber meistens ein NAT im Router aus.
Mit meinem Eröffnungspost meinte ich natürlich Personal Firewalls (z. B. via netfilter/iptables). Aus Interesse: Bei welchen Punkten stimmst du dem Beitrag von help.ubuntu.com eigentlich nicht zu? Wenn man jetzt nicht zu Hause, sondern in öffentlichen Netzen unterwegs ist, fällt ja eine vertrauenswürdige Hardware-Firewall weg (z. B. FRITZ!Box). Ändert das was? Standardmäßig gibt es ja immer noch keine offenen Ports, aber z. B. das von encbladexp angesprochene »Connection Tracking« entfällt, bzw. ist nicht mehr vertrauenswürdig. Gibt es hier eine gute Lösung?
|
encbladexp
Ehemaliger
Anmeldungsdatum: 16. Februar 2007
Beiträge: 17442
|
Wenn du unterwegs bist, und berechtigterweise keine Dienste laufen die an LAN/WLAN Schnittstellen lauschen. Was hat dann eine Firewall (Paketfilter) noch für Arbeit? Dann bleiben nur noch Kernel Exploits als Angriffsvektor, und das ist ein Zeichen das man keine Sicherheitsupdates gemacht hat. mfg Stefan Betz
|
user32847
(Themenstarter)
Anmeldungsdatum: 29. Januar 2014
Beiträge: 332
|
Wenn man beispielsweise im Internet surft, wird ja eine TCP-Verbindung aufgebaut. Und damit das Surfen klappt, bin ich natürlich darauf angewiesen, dass auch Pakete an mich geschickt werden können. Also ist doch sozusagen ein Port offen, für diese Verbindung. Denke das ist das »Connection Tracking«, das du meinst, oder? Aber wer filtert da? Wenn es der Router des WiFi-Anbieters ist, darf ich nicht davon ausgehen, dass es vertrauenswürdig ist. Also könnte man mir dadurch doch gefälschte Pakete zukommen lassen, oder nicht?
|
encbladexp
Ehemaliger
Anmeldungsdatum: 16. Februar 2007
Beiträge: 17442
|
user32847 schrieb: Also ist doch sozusagen ein Port offen, für diese Verbindung.
Nein, du musst unterschieden zwischen den Protokollen. Das ist ein Problem das viele Leute die derartige Diskussionen starten haben. Wenn du mit TCP eine Verbindung nach Port 80 (HTTP) öffnest hast du einen Source Port, einen Ziel Port, eine Source Adresse und eine Ziel Adresse. Nur diese 4 Punkte ergeben insgesamt eine Verbindung, bei dir ist also nichts offen 😉
Aber wer filtert da?
Niemand, weil du Port 80, 443 und 53 meist überall nutzen kannst. Und darüber ein Client Side Exploit verteilt juckt keine deiner Firewalls 😉
Wenn es der Router des WiFi-Anbieters ist, darf ich nicht davon ausgehen, dass es vertrauenswürdig ist.
Richtig.
Also könnte man mir dadurch doch gefälschte Pakete zukommen lassen, oder nicht?
Richtig, aber genau dieses Problem löst eben HTTPS, und nicht eine komische Firewall. Unverschlüsselte Verbindungen sind per Definition manipulierbar, ganz egal wie viel Firewall oder Virenscanner man auf das Problem wirft. mfg Stefan Betz
|
user32847
(Themenstarter)
Anmeldungsdatum: 29. Januar 2014
Beiträge: 332
|
encbladexp schrieb: Wenn du mit TCP eine Verbindung nach Port 80 (HTTP) öffnest hast du einen Source Port, einen Ziel Port, eine Source Adresse und eine Ziel Adresse. Nur diese 4 Punkte ergeben insgesamt eine Verbindung, bei dir ist also nichts offen 😉
In öffentlichen Netzen ist es aber doch für andere Teilnehmer möglich, den Source-Port, den Ziel-Port, die Source-IP-Adresse und die Ziel-IP-Adresse zu ermitteln, oder? Könnte mit diesen Informationen nicht jeder versuchen, ein Paket an mich zu schicken (mit diesen Ports und Adressen)? Woher soll der Rechner wissen, dass das von wem ganz anderen ist?
|
encbladexp
Ehemaliger
Anmeldungsdatum: 16. Februar 2007
Beiträge: 17442
|
Ich sagte doch, dein Problem löst Verschlüsselung, nicht eine Firewall. Die zu ermittelnden Daten kann jeder ermitteln, entweder mit etwas mehr (Switch) oder etwas weniger (Hub, Public WLAN) Aufwand. Deine Firewall kann die gefälschten Daten nicht von echten Daten unterschieden, also bringt es auch nichts im Kontext Firewalls darüber zu diskutieren. mfg Stefan Betz
|
jug
Ehemalige
Anmeldungsdatum: 19. März 2007
Beiträge: 12335
Wohnort: Berlin
|
user32847 schrieb: Könnte mit diesen Informationen nicht jeder versuchen, ein Paket an mich zu schicken (mit diesen Ports und Adressen)?
Jain. Also klar, bestimmt. Wenn du außerdem das Routing der Pakete kontrollieren kannst, dann kannst du Pakete auf einen anderen Rechner umleiten und so tun als wärst du der Zielrechner und so praktisch eine fremde IP übernehmen. Geht theoretisch, aber halt nur, wenn du das Routing der Pakete beeinflussen kannst. Das ist aufwendig. Und eine einfache Gegenmaßnahme wie HTTPS kann dem schon einen Riegel vorschieben, da merkt der Browser wenn das Zertifikat nicht zur Adresse passt …
Woher soll der Rechner wissen, dass das von wem ganz anderen ist?
Kann er nicht. Kann niemand. Deshalb kann dich auch keine Firewall der Welt vor so einem Angriffsszenario schützen! Geht nicht. Ein Paketfilter kann höchstens beeinflussen welche Verbindungen erlaubt werden und welche nicht, auf welchen IPs, mit welchen Protokollen und auf welchen Ports. Ob sich da jemand ins Routing einklinkt hat, merkt ein Paketfilter gar nicht. Und du wirst die Verbindung sowieso erlauben und dafür sorgen, dass die Firewall die Verbindung durch lässt, weil du willst ja im Netz surfen. Verbindungsversuche von „außen“, wo bei dir keine Software auf eine Verbindung wartet laufen sowieso ins Leere und da ist kein Angriff möglich, auch daran ändert eine personal Firewall nichts. Aber wir wiederholen hier nur, was ohnehin schon in unserem Wiki steht. ~jug
|
user32847
(Themenstarter)
Anmeldungsdatum: 29. Januar 2014
Beiträge: 332
|
Stimmt, das hat jetzt nicht direkt was mit der Firewall zu tun. ☺ Aber in diesem Kontext erscheint es (zumindest für mich) doch sinnvoll - insbesondere in öffentlichen Netzwerken - via iptables nur verschlüsselte Verbindungen zuzulassen?
|