Firewall konfigurieren
Linux – Sicherheit
Thema Sicherheit
Firewall konfigurieren
Sobald zwischen dem Firmennetz und dem Internet eine Verbindung besteht, lebt ein Administrator mit der Gefahr, dass Angreifer versuchen können, in das Unternehmensnetz einzudringen. Folgen eines solchen Einbruchs können unter anderem Datenklau oder ein lahm gelegtes Netzwerk sein. Das Thema Sicherheit sollte daher in jedem Netzwerk an erster Stelle stehen und entsprechende Maßnahmen zur Absicherung sollten in jedem IT-Konzept vorhanden sein. Mit einer Firewall lässt sich das Unternehmensnetz gegen unautorisierte Zugriffe von außen absichern. Sie überwacht den Übergang zwischen dem nicht-öffentlichen Firmennetz sowie dem Internet und kontrolliert den gesamten Netzwerkverkehr. Der Begriff Firewall beschreibt ein Konzept beziehungsweise eine logische Komponente, die ein privates Netz vor einem öffentlichen Netz schützt. Die verfügbaren Firewall-Lösungen reichen von Zusatzsoftware bis hin zu dedizierten Geräten, welche ausschließlich für diese Aufgabe bestimmt sind. In ihrer Arbeitsweise unterscheiden sich die Systeme allerdings kaum.
Oft ist jedoch für die Einrichtung einer Firewall keine Neuanschaffung erforderlich. Das frei erhältliche Linux-System bringt bereits von sich aus die notwendigen Komponenten mit, um damit ohne großen Aufwand eine Firewall aufzusetzen. In vielen Firmen stehen in so mancher dunklen Ecke noch Rechner, deren Performance für den regulären Büroalltag nicht mehr ausreichen – für eine Firewall unter Linux ist ein älterer Rechner jedoch durchaus noch ausreichend.
Die Firewall als Pförtner
Firewall konfigurieren
Der Begriff Firewall lässt sich am ehesten mit Brandschutzmauer übersetzen, wenngleich der deutsche Begriff nicht ganz passend ist. Eine Brandschutzmauer besitzt in der Regel eine Menge Türen, die ständig offen stehen. Nur bei Ausbruch eines Feuers schließen sich diese Türen, um ein weiteres Ausbreiten der Flammen zu verhindern. Eine Firewall sollte jedoch genau andersherum arbeiten: Standardmäßig sind alle Türen verschlossen und es werden nur temporär einige Türen für bestimmte explizit erlaubte Netzwerkverbindungen geöffnet. Daher ist eine Firewall eher mit einer Pforte zu vergleichen. Der Pförtner sorgt dafür, dass das Tor stets geschlossen bleibt. Nur nach einer Zugangskontrolle öffnet der Pförtner das Tor für einzelne Passanten. Damit eine Firewall das private Netzwerk auch so gut wie möglich schützen kann, ist es unerlässlich, dass diese selbst immun gegen Eindringlinge ist. Sobald ein Hacker die Möglichkeit der Manipulation der Firewall hat, ist diese nutzlos. Dabei gibt es aber auch mit einer sorgfältig konfigurierten Firewall keinen hundertprozentigen Schutz vor den Gefahren aus dem Internet. Diesen würden Sie nur erreichen, wenn Sie der Netzwerkverbindung zwischen dem Firmennetz und dem Internet mit einer Schere zur Leibe rückten. Nur wenn keine physikalische Verbindung besteht, ist ein vollkommener Schutz von außen gegeben.
Funktionen einer Firewall
Auch wenn nun eine Firewall keinen hundertprozentigen Schutz vor Angriffen bieten kann, besteht mit einer sorgfältig konfigurierten Brandschutzmauer bereits ein guter Schutz Ihres Netzwerks. Die Firewall sorgt für die Einhaltung von Sicherheitsrichtlinien zwischen dem Firmennetz und dem Internet. Die Brandschutzmauer entscheidet, welche Dienste im Internet für die Nutzer des Firmennetzes nutzbar sind. Aber auch die Nutzung von Diensten innerhalb des Firmennetzes von außen lässt sich damit steuern. Damit eine Firewall effektiv arbeiten kann, darf kein Datenverkehr zwischen den Netzwerken an der dieser vorbeigehen ? sämtlicher Datenverkehr muss also die Firewall passieren. Diese untersucht alle Pakete und lässt nur die unverdächtigen hindurch. Eine weitere wichtige Eigenschaft von Firewalls ist das Protokollieren sämtlicher Vorgänge. So lassen sich später Vorgänge nachvollziehen wie das etwaige Manipulieren von Daten.
Lücken schließen
Firewall konfigurieren
Wie bereits erwähnt, muss sämtlicher Datenverkehr zwischen den Netzen über Ihre Firewall laufen. Besteht zum Beispiel auf nur einem Rechner in Ihrem Firmennetz die Möglichkeit, über ISDN eine Verbindung ins Internet aufzubauen, kann diese Verbindung für Angriffe von außen missbraucht werden. Ebenfalls wirkungslos ist eine Firewall bei Angriffen aus den eigenen Reihen. So kann ein Mitarbeiter weiterhin sensible Daten auf einen USB-Stick kopieren und so aus der Firma schaffen. Auch Viren und Trojaner können eine Firewall passieren, da diese nicht jedes Datenpaket nach digitalen Schädlingen durchsuchen kann.
Paketfilter & Co.
Ein Großteil der eingesetzten Firewalls sind Paketfilter-Router. Der Paketfilter sitzt zwischen zwei Netzen, wie zum Beispiel Ihrem Unternehmensnetz und dem Internet, und kontrolliert den Netzwerkverkehr. Der Paketfilter entscheidet bei jedem Datenpaket anhand vom Administrator festgelegter Regeln, ob er das Paket weiterleitet oder nicht. Hierfür gibt es drei Möglichkeiten:
– ACCEPT: Ein Paket kann passieren.
– DROP: Das Paket wird nicht durchgelassen und verworfen.
– REJECT: Das Paket wird mit einer Meldung zurückgewiesen.
Bei der Entscheidung darüber, ob die Firewall ein Paket durchlässt oder nicht, spielen mehrere Faktoren eine Rolle. So werden die Header-Informationen wie
– IP-Quell- und Zieladresse
– das verwendete Protokoll (etwa TCP)
– Quell- und Zielport
– ICMP-Nachrichtentyp
– sowie die verwendeten Netzwerkinterfaces
analysiert. Allerdings hat eine Paketfilterung einen großen Nachteil: Neben intimen Kenntnissen der im Internet verwendeten Protokolle ist für die Filterung auch ein komplexes Regelwerk erforderlich. Entsprechende Filterregeln sind für den Verantwortlichen aufwendig zu verwalten. Zudem senken zu viele dieser Regeln die Performance des Firewall-Rechners. Anhand der Filterregeln können Sie nicht nur Angriffe verhindern, sondern auch festlegen, welche Dienste Ihre Mitarbeiter nutzen dürfen. Zahlreiche Dienste wie Beispiel Mailserver stehen auf festgelegten Ports zur Verfügung, den so genannten Wellknown- Ports. Bei einem SMTP-Server ist dies der TCP-Port 25. Sollen Ihre Mitarbeiter keine Mails über fremde Server im Internet versenden, sperren Sie mit einer entsprechenden Regel den entsprechenden Port nach außen.
Firewall und NAT
Firewall konfigurieren
In den letzten Jahren wurden die derzeit im Internet verwendeten IPv4-Adressen langsam knapp, so dass man nach einer Lösung suchte, um in einem Unternehmensnetz nur eine offizielle IP-Adresse zu benötigen, aber dennoch allen Rechnern Zugang zum Internet zu ermöglichen. Abhilfe schafft hier das Network Address Translation, kurz NAT. Im Linux-Kernel sind NAT und die Paketfilterung nahe beieinander implementiert und werden auch mit denselben Werkzeugen konfiguriert. Eine Internet-Firewall ist daher auch gleich die geeignete Stelle, um das Network Address Translation für das lokale Firmennetz zu übernehmen. Die Paketfilterung erfolgt unter Linux bereits im Kernel selbst. Sie benötigen daher einen entsprechend vorbereiteten Kernel sowie Werkzeuge, mit denen Sie die Regeln für die Paketfilterung auf Kernelebene setzen und bearbeiten können. Aufgrund der Kernelnähe kommt je nach Kernelversion ein eigenes Tool zu Einsatz. Für den Kernel 2.0 war dies das Tool »ipfwadm« und beim Kernel 2.2 »ipchains«. Seit der 2.4er- Version kommt »iptables« zum Einsatz, auf welches wir im Folgenden anhand eines Suse-Linux-Systems näher eingehen.
Kernel vorbereiten
Bei aktuellen Linux-Distributionen ist der Kernel bereits entsprechend vorbereitet und die für eine Firewall notwendigen Komponenten sind bereits einkompiliert. Der Vollständigkeit halber gehen wir an dieser Stelle jedoch kurz auf die entsprechenden Schritte ein, wie Sie einen Kernel entsprechend vorberei
ten.
Mit »make menuconfig« können Sie als User »root« auf der Kommandozeile die Konfiguration des Kernels anpassen. Neben der generellen Netzwerkunterstützung unter General setup benötigen Sie noch einige Optionen aus dem Menü Network options sowie dem Untermenü Netfilter Configuration. Die wesentlichen benötigen Einstellungen für die Firewall sind die folgenden:
– Network packet filtering: Ermöglicht dem Rechner als Paketfilter zu arbeiten und Network-Adress-Translation.
– IP/TCP-Syncookie-Support: Diese Option sollten Sie in jedem Fall verwenden, da diese eine Abwehrmaßnahme gegen SYN-Flooding ist, eine Denialof- Service-Attacke.
– IP tables support. Der eigentliche Kern für das Network Address Translation.
– Connection-Tracking: In einer Tabelle werden für das NAT die ausgehenden Pakete und Verbindungen gelistet, um eingehende Paket richtig zuordnen zu können.
iptables nutzen
Firewall konfigurieren
Wie oben erwähnt arbeitet ein Paketfilter mit einer Liste von Regeln. Diese Liste bezeichnet man auch als Firewall- Chain. Eine solche Chain ist ein zusammengehöriger Satz von Regeln, welche nacheinander abgearbeitet werden. Standardmäßig sind auf einem Linux- System bereits drei Chains vorhanden: »INPUT«, »FORWARD« sowie »OUTPUT«, auf die wir im weiteren Verlauf noch genauer eingehen werden. Eigene Regellisten lassen sich mit dem Tool »iptables« anlegen und bearbeiten.
In jeder Chain werden die einzelnen Regeln der Reihe nach abgearbeitet und geprüft, ob eine Regel auf das aktuelle Datenpaket zutrifft. Ist dies der Fall, wird das Paket entsprechend durchgelassen oder abgelehnt. Nachdem eine Regel zugetroffen hat, wird die Chain verlassen. Lediglich bei Regeln zur Protokollierung wird die Liste weiter abgearbeitet. Die Reihenfolge der einzelnen Regeln spielt daher bei der Administration einer Firewall eine entscheidende Rolle: Trifft eine sehr allgemeine gehaltene Regel bereits relativ weit oben in der Chain zu, bleibt eine eventuell speziell für den jeweiligen Fall gedachte Regel weiter unten in einer Chain meist unbeachtet.
Arbeitsweise des Paketfilters
Trifft ein Datenpaket bei der Firewall ein, überprüft der Kernel im ersten Schritt die Zieladresse aus dem Header des Pakets, um zu entscheiden, wohin das Paket ausgeliefert werden soll. Ist es für den lokalen Rechner bestimmt, leitet der Kernel das Paket an die INPUT-Chain weiter. Wird das Paket aufgrund der Regeln in der Chain durchgelassen, landet es bei einem lokalen Prozess. Ist das Paket für einen anderen Host bestimmt, leitet es der Kernel an die FORWARD-Chain weiter. Hierbei müssen zwei Voraussetzungen erfüllt sein: Der Kernel muss wissen, wohin er das Paket schicken soll, daher ist für den Zielrechner ein entsprechender Eintrag in der Routing-Tabelle nötig. Als zweite Voraussetzung muss das Forwarding im Kernel aktiviert sein. Der Firewall- Rechner kann auch selbst Datenpakete verschicken. Hierfür ist die OUTPUTChain maßgebend.
Filterregeln bearbeiten
Firewall konfigurieren
Grob lassen sich Filterregeln in drei Bestandteile aufteilen: Grundoperationen zum Einfügen, Löschen und Bearbeiten von Regeln, Matching-Operationen zur Entscheidung, ob eine Regel auf ein Paket zutrifft, sowie Targets, welche beschreiben, was bei zutreffender Regel passieren soll. Eine Übersicht über die wichtigsten Grundoperationen finden Sie im Kasten »Grundoperationen«. Mit den Matching-Operationen legen Sie fest, wann eine Regel auf ein Datenpaket zutrifft. Im ersten Schritt sollten Sie das Protokoll festlegen:
iptables -A chain -p protocol
Mögliche Protokolle sind die im Internet üblichen TCP, UDP sowie ICMP. Alternativ lassen sich auch Protokollnummern verwenden?- welche man in der Regel meist nicht im Kopf hat und der Übersicht halber nicht zu empfehlen sind. Im nächsten Schritt gibt man die Quell- und Zieladresse an, auf welche sich eine Regel beschränken soll:
iptables -A chain -s source_address -d destination_address
Für die Angabe der Adressen stehen mehrere Möglichkeiten zur Verfügung. Zum einen können Sie einen Domainnamen im Klartext angeben, wie zum Beispiel »www.example.com«. IP-Adressen lassen sich einzeln angeben, etwa »192.168.1.56« oder als Gruppe: »192.168.1.0/24« beziehungsweise »192.168.1.0/255.255.255.0«. Die Angabe 0/0 steht für beliebige IP-Adressen. Zur Angabe der Netzwerkinterfaces dient der Parameter »iface«:
iptables -A chain -i in-iface -o out-iface
Eingehende Datenpakete besitzen ein Input-, ausgehende ein Output-Interface. Wenn Sie sich über die Bezeichnungen nicht sicher sind, können Sie auf der Konsole die aktuellen Interfaces mit dem Kommando »ifconfig« ausgeben.
Weitere Regeldefinitionen
Firewall konfigurieren
Das TCP/IP-Protokoll fragmentiert Datenpakete mit dem Nachteil, dass sämtliche Informationen wie IP-Header sowie die Header der verschachtelten Protokolle wie UDP oder TCP nur im ersten Datenpaket zu finden sind. Auf die weiteren Pakete würde folglich keine Filterregel zutreffen, da nur der IP-Header vorhanden ist, aber keine Protokoll- und Port- Informationen. Folgende Anweisung legt fest, ob eine Regel nur auf das erste Paket zutreffen soll: iptables -A chain -f Server stellen Dienste im Internet unter bestimmten TCP- und UDP-Ports zur Verfügung. Daher lassen sich entsprechende auf Ports basierte Regeln anlegen: iptables -p protocol –source-port port –destination-port port Wahlweise können Sie den Namen eines Dienstes angeben, etwa »www« für den Port 80 sowie den numerischen Wert. Details zu den Bezeichnungen finden Sie unter »/etc/services«. Auch Portbereiche lassen sich angeben, wie
‘1000:2000’
Was soll pasieren?
Was noch fehlt, ist die Angabe, was mit einem Datenpaket passieren soll, wenn eine Regel zutrifft ? Target genannt. Die allgemeine Syntax hierfür lautet iptables -A chain -j target Das »-j« steht hierbei für »jump-to« ? es soll also etwas passieren. Dabei wird zwischen drei verschiedenen Targets unterschieden: Built-in-Targets, benutzerdefinierte Regeln sowie Erweiterungen. Es stehen vier Built-in-Targets zur Verfügung: »ACCEPT«, »DROP«, »RETURN« sowie »QUEUE«. Bei ACCEPT wird das Datenpaket durchgelassen:
iptables -A OUTPUT -p udp -j ACCEPT
Mit DROP wird das Paket verworfen,. Der Absender erhält allerdings keine Informationen, warum das Paket nicht durchgelassen wurde:
iptables -A OUTPUT -p udp -j DROP
Was auf den ersten Blick unpraktisch erscheint, hat einen einfachen Zweck: Je weniger Informationen man einem Angreifer gibt, desto weniger Angriffsfläche wird diesem geboten. Daher sollten Sie in der Regel stets DROP verwenden. Das Target RETURN sorgt dafür, dass alle weiteren Regeln einer Chain übersprungen werden. Die Chain wird verlassen und die Default-Policy ausgeführt: iptables -A OUTPUT -p udp -j RETURN Das Target QUEUE werden Sie voraussichtlich erst einmal weniger verwenden. Es ermöglicht das Abfangen von Datenpaketen, um es an eine Applikation weiterzuleiten. Dies benötigt man etwa beim Schreiben von Applikationen, welche Pakete behandeln sollen, die nur der Kernel bearbeitet. Vor dem Einsatz benutzerdefinierter Regeln als Target müssen diese angelegt werden:
iptables -N chain
Löschen können Sie benutzerdefinierte Regeln mit dem nachgestellten Parameter »-X«. Beachten Sie jedoch, dass sich eine Chain nur löschen lässt, wenn diese keine Regeln mehr enthält und wenn es keine Regeln gibt, welche als Target auf diese Chain zeigt.
Target-Erweiterungen
Firewall konfigurieren
Targets lassen ab dem Kernel 2.4 auch als Erweiterungen nutzen, was besonders bei aufwendigeren Targets praktisch ist. Standardmäßig enthält das System zwei Erweiterungen: »REJECT« sowie »LOG«. Mit dem Target LOG lassen sich die Aktivitäten der Firewall protokollieren. Das Besondere an diese
r Filterregel: Bei Ausführen wird die Chain nicht verlassen, es geht mit der Prüfung der nächsten Regel weiter. Das Target LOG kennt viele Optionen zur Anpassung der Protokollierung gemäß Ihren Anforderungen. Der Log-Level legt eine Art Warnstufe fest, mit der der Syslog protokolliert. Informationen finden Sie auch in der Mainpage.
iptables ?-j LOG –log-level syslog-priority
Mit »–log-prefix« geben Sie einen Text an, welcher auch im Logfile wieder erscheint. Damit lassen sich Einträge mit Zusatzinformationen versehen, was den Überblick erleichtert. Hierfür stehen Ihnen bis zu 29 Zeichen zur Verfügung. iptables ? -j LOG –log-prefix text Die Option »–log-tcp-sequence« protokolliert die TCP-Squence-Number mit. Da diese aber aus Sicherheitsgründen nicht unbedingt im Klartext im Logfile stehen sollte, raten wir von der Nutzung dieser Option ab. Header-Optionen von TCP und IP lassen sich mit den beiden Parametern »–log-tcp-options« sowie »–logip- options« im Logfile ausgeben:
iptables ? -j LOG –log-tcp-options
iptables ? -j LOG –log-ip-options
Die zweite verfügbare Erweiterung ist REJECT, als Alternative zu DROP. Während DROP ein Paket ohne weitere Informationen verwirft, informiert REJECT den Sender mit einer entsprechenden ICMP-Nachricht. Ansonsten verhalten sich beide Targets gleich. Informationen darüber, wann ein bestimmter ICMP-Code zurückgegeben wird oder nicht, finden Sie im RFC 112 unter ftp.rfc-editor.org/innotes/rfc 1122.txt. Die Syntax von RECET lautet
iptables ? -j REJECT –reject-with
Default-Policy
Firewall konfigurieren
Selbst wenn Sie umfangreiche Regelwerke erstellt haben, kann es vorkommen, dass keine der Regeln auf ein Datenpaket zutrifft. In diesem Fall kommt eine allgemeine Voreinstellung zum Einsatz ? die Default-Policy, welche oben bereits einige Male erwähnt wurde. In der Regel sperrt eine Firewall alle Verbindungen und lässt nur einige wenige erlaubte durch. Daher sollte man die Default- Policy so einrichten, dass sie alle Verbindungen unterbindet. Die Default-Policy wird immer zuletzt nach allen anderen Chains ausgeführt. Um als Voreinstellungen alle Pakete abzulehnen, auf die kein Regelwerk zutrifft, dienen folgende drei Zeilen. Die Default- Policy legt somit der Parameter »-P« fest:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
Network Address Translation
Da die Paketfilterung und das Network Address Translation (NAT) im Kernel des Linux-Systems sehr nahe implementiert sind, ist es durchaus sinnvoll, dass Ihr Firewall-Rechner auch gleich das Internet- Routing für Ihr lokales Netzwerk übernimmt. Dennoch sind beide völlig unabhängig, auch wenn diese meist in einen engen Zusammenhang gebracht werden. Dabei handelt es sich um zwei unterschiedliche Tabellen: »filter« für die Paketfilterung sowie »nat« für die Network Address Translation, auf das wir im Folgenden kurz eingehen.
Man unterscheidet zwischen zwei Arten von NAT: »Source Network Address Translation« (SNAT) ändert die Quelladresse eines Datenpakets, die Herkunft des Pakets bleibt verborgen. Die Filterregeln des Paketfilters kümmern sich nicht um das NAT, da für die Regeln es so aussieht, als würde die Verbindung ohne Adressübersetzung zustande kommen. Ein Spezialfall von SNAT ist Masquerading. »Destination Network Address Translation«, kurz DNAT, verändert dagegen die Zieladresse eines Datenpakets, das Ziel wird verändert, also am eingehenden Datenpaket vorgenommen.
NAT nutzen
Firewall konfigurieren
Auch das Network Address Translation wird über das Tool »iptables« konfiguriert. Damit das Werkzeug weiß, dass es sich bei diesen Einstellung um die nat- Tabelle handelt, muss dies stets durch den Parameter »-t nat« angegeben werden. Die restliche Syntax ist ähnlich der für den Paketfilter:
iptables -t nat -A chain ? -j
Ob SNAT oder DNAT zum Einsatz kommt, legen Sie mit der Target fest. Beide besitzen eigene Chains. Die meisten Matching-Operationen für die Paketfilterung stehen auch bei NAT zur Verfügung. Die nat-Tabelle kennt bereits drei vordefinierte Regelketten: »PREROUTING«, »POSTROUTING« sowie »OUTPUT«. PREROUTING kommt bei Destination Address Translation zum Einsatz, sobald ein Datenpaket eintrifft. POSTROUTING ist das Pendant für SNAT. Einen Spezialfall stellt hingegen OUTPUT dar: auch ein lokaler Prozess kann ein Paket erzeugen, dessen Adresse verändert werden soll.
SNAT und DNAT im Detail
Das Target SNAT ist nur in der Chain POSTROUTING möglich, dementsprechend ist das Target DNAT nur in der Chain PREROUTING möglich. SNAT kennt nur eine Option:
-j SNAT –to-source
Die erste IP-Adresse ist diejenige, die als Source-Adresse eingesetzt werden soll. Neben einer einzelnen IP-Adresse können Sie auch einen Bereich und bei TCP und UDP Ports angeben. Analog dazu lautet die Syntax bei DNAT: -j DNAT –to-destination
echo 1> /proc/sys/net/ipv4/ ip_dynaddr
Das Masquerading selbst schalten Sie bei aktivem Forwarding mit folgender Regel ein ? in diesem Beispiel mit dem externen Interface »ippp0«:
iptables -t nat -A POSTROUTING -o ippp0 -j MASQUERADE
Nach der Einrichtung
Der Betrieb einer Firewall ist aber weit mehr als nur deren einmalige Einrichtung, in der Sie entsprechend Ihren Anforderungen Regelwerke erstellen. Das System muss zudem ständig überwacht und gewartet werden. Nur wenn Sie sich regelmäßig um die Firewall kümmern, erfüllt diese ihren Zweck. So sollte ein Blick in die Logfiles die Regel sein. Nur so erkennen Sie auffällige IP-Adressen oder verdächtige Aktivitäten, die auf einen Einbruchsversuch hinweisen. Auch das Einspielen aktueller Sicherheitspatches sollten Sie in keinem Fall vergessen.
Wichtige Grundoperationen für Regeln
Einfügen einer neuen Regel am Ende einer Chain (Append): iptables -A chain rule
Löschen einer Regel (Delete): iptables -D chain rule
Löschen einer Regel an einer bestimmten Position: iptables -D chain position
Ersetzen einer Regel an einer bestimmten Position (Replace): iptables -R chain position rule
Einfügen einer Regel an einer bestimmten Position (Insert): iptables -I chain position rule
Löschen aller Regeln einer Chain (Flush): iptables -F chain
Anzeigen aller Regeln einer Chain (List): iptables -L chain
Umbennen einer Chain (Exchange): iptables -E chain new-name