ubuntuusers.de

via DuckDuckGo

mal wieder: Server und Firewall

Status: Ungelöst | Ubuntu-Version: Ubuntu
Antworten |

Pintel

Anmeldungsdatum:
10. August 2006

Beiträge: 54
Zitieren
6. September 2006 23:37

Ich weiß, dass Thema wird schon in rauen Mengen behandelt aber irgendwie habe ich trotzdem noch nie eine klare Antwort gefunden bzw. es nicht richtig verstanden.

Mir geht es eigentlich nur um die Frage ob ein mit Ubuntu 6 aufgesetzter Server eine Firewall braucht oder nicht.
Mit Server meine ich dabei nun einen "richtigen" Server mit fester IP und fester Anbindung ans Netz und kein DSL-hinter-dem-Router-geklemmten-Server.

So wie ich bisher Ubuntu verstanden habe sind alle Ports ja standardmäßig zu und wenn man nun Apache, MySQL, ssh und Kollegen installiert, dann werden nur die dafür notwendigen Ports geöffnet. Was also bringt mir eine Firewall in dem Fall? Die geöffneten Ports brauche ich und alle anderen Ports sind eh standardmäßig zu. 😕

Wäre dankbar wenn mir das jemand mal erklären könnte.

Gruß Pintel

otzenpunk Team-Icon

Avatar von otzenpunk

Anmeldungsdatum:
17. Oktober 2005

Beiträge: 8691

Wohnort: Hamburg-Altona
Zitieren
7. September 2006 00:02

Du siehst das schon ganz richtig. In diesem Fall bringt dir eine Firewall genau gar nichts.

Ok, man kann argumentieren, dass dich ein zusätzlich installierter Paketfilter evtl. schützt, wenn du unwissentlich irgendwas mitinstallierst, was doch Ports öffnet. Aber lokal sinnvolle Serverdienste werden bei Ubuntu standardmäßig sowieso nur an Loopback gebunden. Nur die Dienste, die ihrem Wesen nach an Loopback nur wenig Sinn machen (und auch nur schwer "aus Versehen" installiert werden können) binden standardmäßig auch an externe Schnittstellen. Auf der anderen Seite ist ein Paketfilter auch immer gerne eine Fehlerquelle, wo irgendwelche Funktionen dann "auf unerklärliche Weise" nicht richtig funktionieren. Nach jeder Installationsorgie mit sudo netstat -tulpen gegenchecken, ob auch wirklich kein ungewünschter Port offen ist, kann aber sicherlich nicht schaden.

Sinnvoll ist ein Paketfilter auf einem Standalone-Server nur dann, wenn er Beschränkungen umsetzt, die der Serverdienst nicht umsetzen kann, oder wenn es zu kompliziert wäre, dieselben Einstellungen für alle Dienste durchzuführen. Bspw. um den Zugriff nach IP-Adressen zu beschränken - das kann nicht jeder Dienst von Haus aus.

Ansonsten ist der Einsatzort für Firewalls eigentlich an der Grenze zwischen Netzwerken mit unterschiedlichen Stufen an Vertrauenswürdigkeit, z.B. um eine Demilitarized_Zone vom internen Netzwerk mit Datei-, Verzeichnisdiensten,etc. abzuschirmen, oder ein privates Netz ohne NAT (mit öffentlichen IPs) vom Rest des Internet.

gilly Team-Icon

Avatar von gilly

Anmeldungsdatum:
8. Februar 2005

Beiträge: 2569

Wohnort: im gruenen Herzen Deutschlands
Zitieren
7. September 2006 00:02

Lesestoff: Personal_Firewalls
Oberkategorie: Sicherheit

Gruß gilly

Pintel

(Themenstarter)

Anmeldungsdatum:
10. August 2006

Beiträge: 54
Zitieren
7. September 2006 01:15

Vielen Dank für die Antworten. Damit sind meine letzten Zweifel in der Sache gewichen.

Die Links hatte ich bereits gelesen. Meine Unsicherheit rührte daher her, dass die Artikel verstärkt den privaten Desktopnutzer ansprechen und ab und zu solche Sätze einstreuen wie "das gilt nicht für Server", da die ohne offene Ports eben nicht auskommen. Bei dem Rechner von meiner Mutti ist es mir klar, dass ich keine Firewall brauche ☺

Gruß Pintel
Antworten |