Mit GUI-Unterstützung wird das Zusammenstellen eines Firewall-Regelwerks übersichtlicher, einfacher und damit weniger fehleranfällig. Mit Hilfe des freien Firewall Builders zeigen wir hier beispielhaft die Konfiguration einer kleinen Firmen-Firewall.
Eine Firewall muss nicht nur den Datenverkehr filtern, sie muss sich auch selbst vor Angriffen schützen. Das geht umso besser, je weniger unnötige Software auf ihr installiert ist. Eine grafische Oberfläche direkt auf der Firewall fällt also aus, "back to the roots" ist angesagt: die Firewall wird an der Kommandozeile oder per Datei konfiguriert. Das hindert uns aber nicht daran, das Regelwerk mit einem GUI zu erstellen - solange das GUI nicht auf der Firewall selbst läuft. Es müssen dann nur noch die erzeugten Regeln auf die eigentliche Firewall übertragen werden.
Linux bringt mit den Iptables bereits eine mächtige Firewall mit, genauer gesagt einen "stateful packet filter". Dieser Filter wird zunächst an der Kommandozeile konfiguriert. Die folgende Regel sorgt zum Beispiel dafür, dass ICMP-Pakete vom Loopback-Interface 127.0.0.1 verworfen werden ( DROP). Der Absender wird keine Antwort erhalten, auch keine negative. Versucht man mit ping 127.0.0.1 eine Antwort vom Loopback-Interface zu erhalten, wird die Antwort (ein ICMP-Typ-0-Paket, also echo reply) verworfen:
iptables -A INPUT -s 127.0.0.1 -p icmp -j DROP
Deutlich komplizierter fiele das Beispiel bereits aus, wenn nur jene ICMP-Pakete verworfen werden, die durch die Firewall laufen und von bestimmten Sendern kommend an bestimmte Empfänger gerichtet sind. Produktive Firewalls bestehen aber aus einer Vielzahl noch komplexerer Anforderungen.
So praktisch die Kommandozeile in vielen Fällen ist, manchmal wünscht man sich doch die Unterstützung eines grafischen Werkzeugs. Die Konfiguration einer Firewall ähnelt ja fast schon der Software-Entwicklung: Warum sollte der geplagte Admin dann nicht auch über ähnliche Hilfsmittel verfügen? Nicht als Ersatz für die Kommandozeile, sondern als Hilfe beim Schreiben der Regeln.
Abbildung 1: Aufbau des Beispiel-Netzwerks mit einem Mailserver im inneren Netz und einem reinen Mailrelay in der DMZ.
Praktisch alle kommerziellen Firewalls arbeiten in irgendeiner Form mit GUIs zur Konfiguration des Regelwerks (Rulebase). Das GUI der Checkpoint-Firewall-1 etwa ist dem hier verwendeten Firewall Builder ähnlich. Seit einiger Zeit sind die Filter der Checkpoint-Firewall-1 zwar auch unter Red Hat Linux 6.1 erhältlich, aber die Oberfläche ist vorerst nur für Windows und einige kommerzielle Unix-Systeme verfügbar.
Ähnlich dem Firewall-1-GUI ist der Firewall Builder unabhängig von der eigentlichen Firewall. Er besteht aus dem GUI und einem austauschbaren Compiler, der das grafisch erstellte Regelwerk in Textform übersetzt (kompiliert). Welche Firewall damit konfiguriert wird, hängt vom eingesetzten Compiler ab: Aktuell stehen Compiler für Iptables, Ipchains und Ipfilter zur Verfügung. Es werden direkt die Konfigurationsanweisungen für die Ziel-Firewall erzeugt, die nur noch dorthin übertragen werden müssen (etwa mit ssh).
Durch den objektorientierten Ansatz des Firewall Builders kann eine Regel im GUI viele einzelne Iptables-Regeln erzeugen. Darum braucht man sich aber nicht zu kümmern, denn der Compiler erzeugt das entsprechende Material. Die Ausgaben des Compilers sind direkt Iptables-Befehle, die man durchaus noch verstehen und auch überprüfen kann.
Alle Rezensionen aus dem Linux-Magazin
Im Insecurity Bulletin widmet sich Mark Vogelsberger aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. mehr...
