Firewall auf Laptop sinnvoll?

Warum Debian und/oder eine seiner Spielarten? Was muss ich vorher wissen? Wo geht es nach der Installation weiter?
Antworten
BenutzerGa4gooPh

Re: Firewall auf Laptop sinnvoll?

Beitrag von BenutzerGa4gooPh » 29.11.2016 18:04:19

Da sieht ja kein Schwein durch. Vorschlag: Man könnte über dieses übersichtliche, dokumentierte und kurze Ruleset diskutieren: https://wiki.archlinux.org/index.php/si ... l_firewall
Ist vielleicht sinnvoller und durch Dogge ebenso leicht realisierbar. Vielleicht findet jemand auch noch eine bessere Grundlage.
(Dogge nutzt ein Frontend und andere sollen sich mit den Ergebnissen rumschlagen. TomL hat diesbezüglich wohl Recht. :THX: )

geier22

Re: Firewall auf Laptop sinnvoll?

Beitrag von geier22 » 29.11.2016 20:06:20

Mal abgesehen von dem Schließen von Ports und und Firewall Regeln. Was will man eigentlich erreichen?
Schadsoftware soll sich nicht auf dem Rechner in Fremden Netzen verbreiten können und der Rechner soll nicht durch offene Port eventuell kompromittiert werden.
Das ist jedenfalls mein Verständnis.
Was spricht also gegen die Verwendung von Debianfirejail? Damit kann man für die meisten gebräuchlichen Programme eine - je nach Konfiguration - eine ziemlich perfekte
"Sandbox" einrichten, die ziemlich schwer zu knacken ist.
Ich hänge mal zu Anschauung den vorkonfigurierten Profile- Ordner von Firejail an: NoPaste-Eintrag39610
ein "Profile" für Firefox z.B. sieht so aus: NoPaste-Eintrag39611 , wobei sich die Restriktionen durch Blacklisten beliebig erweitern lassen.
Man kann praktisch jedes Programm in so einer Sandbox ohne großen Aufwand laufen lassen, was die Gefahren einer schlecht konfigurierten Firewall minimiert.
Hier nochmal zu Erinnerung einen Thread in dem ich und TomL über die Möglichkeiten von firejail etwas gesagt haben:
viewtopic.php?f=29&t=160928&hilit=firej ... 0#p1092710
Erfahrungsbericht:
https://www.thunderbird-mail.de/thread/ ... BCr-linux/
Grundlegendes:
https://firejail.wordpress.com/

Benutzeravatar
Dogge
Beiträge: 1895
Registriert: 13.09.2010 11:07:33
Lizenz eigener Beiträge: MIT Lizenz

Re: Firewall auf Laptop sinnvoll?

Beitrag von Dogge » 29.11.2016 20:28:22

Ja, mit firejail hatte ich auch schon mal gespielt. Das mal ordentlich einzurichten steht auch auf der ToDo-Liste.
Was ich erreichen will? Eigentlich nur, dass nicht unbewusst über Paketabhängigkeiten ein Serverdienst installiert wird der evtl. in fremden Hotspots im Netz erreichbar ist. Das scheint mit ufw auch gut zu funktionieren. Bei der schwierigen Konfiguration von iptables würde ich wohl eher Murks bauen. :lol:
Debian Testing + Gnome | Linux-Anfänger seit 04/2003
http://files.mdosch.de/2014-07/0xE13D657D.asc

TomL

Re: Firewall auf Laptop sinnvoll?

Beitrag von TomL » 29.11.2016 20:56:00

geier22 hat geschrieben:Das ist jedenfalls mein Verständnis.
Damit triffst Du es aber leider nicht so richtig. Dein Ansatz betrifft Deine "Handlungen" an Deinem Laptop nach der etablierten Verbindung.... das heisst, würdest Du in fremder Umgebung aufs Surfen verzichten bzw. sogar gar ganz auf einen WLAN-Zugang bei einem fremden offenen AccesPoint, brauchst Du auch kein Firejail für den Browser.

Das wahre Problem fängt dabei imho viel früher an, vor Firejail, und zwar auf Ebene des Net-Sockets. Denn Dein Laptop wird mit der Gast-IP reguläres Mitglied eines fremden (und möglicherweise dubiosen) Netzwerkes. Wenn dann beim WISP das Häkchen bei "Clienten dürfen untereinander kommunizieren" nicht entfernt wurde, sieht Dich natürlich der Host, aber auch jeder andere Client.... wenn das nicht sowieso immer möglich ist... das weiss ich aber nicht. Und wenn so ein WISP von einem Gastronom mit Hobby-IT-Kenntnissen in seiner Lokalität eingerichtet wurde.... tja.... :roll:

geier22

Re: Firewall auf Laptop sinnvoll?

Beitrag von geier22 » 29.11.2016 21:32:28

geier22 hat geschrieben:Man kann praktisch jedes Programm in so einer Sandbox ohne großen Aufwand laufen lassen, was die Gefahren einer schlecht konfigurierten Firewall minimiert.
Und:
TomL hat geschrieben:Das wahre Problem fängt dabei imho viel früher an, vor Firejail, und zwar auf Ebene des Net-Sockets.
Da stimmt natürlich.
Dann wäre aber nur ein Router wie der von uname vorgeschlagene TP-Link TL-WR802N wirklich sinnvoll, wenn man sich nicht in die "Profi - Abteilung" der iptables durcharbeiten will.
Der TP-Link TL-WR802N ist wirliche eine "Eierlegende Wollmilchsau" , den ich übrigens auch besitze und für WLAN (wo auch immer) mit meinem Lappie einsetze :mrgreen:
Router + firejail wären - und sind - dann für mich die Lösung.

BenutzerGa4gooPh

Re: Firewall auf Laptop sinnvoll?

Beitrag von BenutzerGa4gooPh » 29.11.2016 21:39:33

Oder die NAT-Regel tut (nahezu) dasselbe?!
Nun stelle doch mal einer der Ahnung hat, Dogge die Regeln zusammen. Ich kann es nicht, könnte nur unreflektiert aus https://wiki.archlinux.org/index.php/si ... l_firewall "abschreiben". Da kommt doch nur Dogges "ssh-Loch" dazu. (Oder Portweiterleitung bei NAT.)

TomL

Re: Firewall auf Laptop sinnvoll?

Beitrag von TomL » 29.11.2016 22:28:18

Jana66 hat geschrieben:Oder die NAT-Regel tut (nahezu) dasselbe?!
Dann muss er allerdings IPv6 abschalten (wenn er schon IPv6-Kunde ist), denn unter IPv6 gibts wohl kein NAT mehr. Allerdings bin ich auch noch zu frisch mit IPv6 verbandelt. Ich weiss im Moment nicht, ob man bei offenen WISP mit IPv6 auch nur den ISP-Prefix des AccessPoint-Anbieters via RA geliefert bekommt und der Client generiert sich seine eigene ULA via SLAAC, oder ob es da doch so ne Krücke wie ein NAT6 gibt. Also ich will IPv6 nicht abschalten, und NAT6 will ich am liebsten auch nicht.

Antworten