Rechner dicht machen: IPChains unter Linux

Probleme
Bestimmte Dienste sollte man besser nicht sperren - so ist der Zugriff auf Nameserver beispielsweise elementar. Die Kommunikation erfolgt dabei über das Protokoll UDP und den Port 53. Allerdings können Antworten des Nameservers - sobald diese größer als 512 Byte sind - auch über TCP erfolgen: Der entsprechende Port sollte also ebenfalls offen bleiben.

Ebenfalls wichtig für einen reibungslosen Betrieb sind ICMP Pakete, die beispielsweise von Ping oder Traceroute verwendet werden. Fürchtet man sich vor Denial of Service Attacks (Ping of Death) so kann man ICMP Pakete sperren natürlich trotzdem sperren - allerdings sollte man auf keinen Fall ICMP Typ 3 Pakete filtern, da diese beim Aufbau von TCP und UDP Verbindungen benötigt werden.

Geschwindigkeit
Das Durchlaufen von Filterregeln kostet Zeit. Je Aufwendiger die Filterregeln werden, desto größer wird der Zeitverlust. Werden nur Pakete gefiltert, die letztendlich ich einer Modem oder ISDN Leitung landen, so ist dieser Verlust aber kaum zu bemerken. Bei schnelleren Schnittstellen kann man allerdings mit bis zu 70% Geschwindigkeitsverlust rechnen: Hier sollte ein schneller Rechner mit entsprechender Rechenleitung einkalkuliert werden. Werden neben reinen Filterregeln auch noch Masquerading Regeln verwendet, erhöht sich der Aufwand entsprechend.

Tools
Das Verwalten und Erstellen von Filterregeln ist aufwendig. Aus diesem Grund existieren mitlerweile eine Vielzahl von Tools die dem Systemadministrator die Arbeit erleichtern. Hier gibt es verschiedene Ansätze mit unterschiedlich hoher Komfort: Werkzeuge wie gfcc (GTK+ Firewall Control Center) erleichtern lediglich die Eingabe durch das Bereitstellen einer graphischen Oberfläche - die Regeln selbst werden weiterhin gemäß der ipchains Syntax erstellt und verwaltet. Hübscher ist da schon das Programm 'Fwctl': Dieses Tool liefert eine Konfigurationsprache mit höherer Abstraktionsstufe: Viele Regeln lassen sich so zusammenfassen, die Syntax ist klarer und für den Anfänger leichter verständlich.

Dieser Beitrag lieferte ale Grundlagen, die für die Einrichtung einer Fireall mit IPChains unter Linux notwendig sind: Doch auch nach der Einrichtung der Firewall sollte man immer daran denken - auch die Einbrecher bleiben auf ihrem Stand der Technik nicht stehen; sich auf einer eingerichteten Firewall auszuruhen, ist auf Dauer keine gute Idee.

Jürgen Bernau / Thomas Wölfer