Firewall Einstellungen

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
Schwertfisch
Beiträge: 11
Registriert: 26.01.2017 19:51:23

Firewall Einstellungen

Beitrag von Schwertfisch » 14.04.2018 13:10:38

Hallo!

Ich bin absolut kein Debian- Neuling und habe auch schon Arch Linux etc. verwendet, möchte aber gerne ein wenig tiefer in die Materie eintauchen und die Sicherheit und Privatsphäre auf meinem Debian- Rechner so weit wie möglich hochschrauben.

Habe mir also eine Firewall installiert (ufw bzw die GUI gufw). Würde gerne eingehende sowie ausgehende Verbindungen standardmäßig blockieren und dabei für einzelne Programme Ausnahmeregelungen festlegen.

Ersteres, also einfach alles zu blockieren, ist natürlich eine leichte Übung, mit dem Erstellen besagter Ausnahmeregelungen habe ich allerdings so meine Probleme.

Im Speziellen geht es mir darum, meinen Webbrowser (brave), sowie JDownloader2 freizugeben (erhalte in JD beim Versuch, mit meinem premumize-account zu verbinden die Fehlermeldung "Accountüberprüfung nicht möglich- Zeitweise deaktiviert"). Selbiges beim Versuch, mich über den network-manager mit meinem VPN zu verbinden. Letzteres interessanterweise erst, seitdem ich heute von Cinnamon zu Gnome gewechselt habe.

Könntet ihr mir vielleicht dabei helfen, meine Einstellungen entsprechend anzupassen?
Also jetzt speziell im Bezug auf diese beiden Programme, aber im Endeffekt möchte ich auch verstehen, wie das genau funktioniert.
Unter Win oder Mac OS X lassen sich ja sehr einfach ganze Programme an der Kommunikation hindern bzw. zulassen. In gufw lassen sich ja soweit ich das jetzt sehen kann nur ports blockieren/freigeben. Also wie funktioniert das Ganze, wie finde ich heraus, welches Programm über welchen Port kommuniziert und wie kann ich meine Einstellungen dementsprechend anpassen?
Oder könnt ihr mir vielleicht überhaupt eine Firewall empfehlen, mit der sich mein Vorhaben vielleicht einfacher umsetzen lässt?

Sorry für die vielen Fragen, ich weiß der Post ist sehr lang geworden, aber ich würde das eben gerne wissen :P

Vielen Dank an jeden, der sich die Zeit nimmt, mir weiterzuhelfen!

LG Schwertfisch

BenutzerGa4gooPh

Re: Firewall Einstellungen

Beitrag von BenutzerGa4gooPh » 14.04.2018 14:06:41

Ach Schwertfisch, das wird bestimmt schwierig mit dem Thread, mein Versuch:
Schwertfisch hat geschrieben: ↑ zum Beitrag ↑
14.04.2018 13:10:38
Habe mir also eine Firewall installiert (ufw bzw die GUI gufw).
Damit wird kaum einer der hiesigen Foristen arbeiten. Ich habe Debianufw mal stinkendfaul genutzt, um den Managementzugang meines per WLAN angeschlossenen Homeservers hinter einer Hardware-Firewall auf die Schnelle zusätzlich neben SSH noch abzusichern (abgehend alles erlaubt, ankommend nur ssh von bestimmten Host). Rate-Limit ließ sich zwar konfigurieren, aber Doku über Einzelheiten fand ich nicht.
Schwertfisch hat geschrieben: ↑ zum Beitrag ↑
14.04.2018 13:10:38
Würde gerne eingehende sowie ausgehende Verbindungen standardmäßig blockieren und dabei für einzelne Programme Ausnahmeregelungen festlegen.
Gegenüber meiner Geschichte wird das weit komplexer (Suchwort: egress firewall) und du wirst Logging für Fehler (Drops) bei im Vorfeld noch nicht freigegebenen Verbindungen benötigen sowie gute Dokumentation. Findest du eher für iptables. Deshalb rate ich dir, damit zu beginnen. Mehr Hilfe im Forum findest du für iptables. Letzteres hat wohl auch mehr Features, SNAT, DNAT. ufw ist nur ein Frontend für iptables. (Shorewall als iptables-Frontend wäre auch eine Möglichkeit, allerdings eher für Firewalls mit mehreren Ports und Zonen gedacht.)
Schwertfisch hat geschrieben: ↑ zum Beitrag ↑
14.04.2018 13:10:38
Also wie funktioniert das Ganze, wie finde ich heraus, welches Programm über welchen Port kommuniziert und wie kann ich meine Einstellungen dementsprechend anpassen?
Ports findest du hier:
https://de.wikipedia.org/wiki/Liste_der ... rten_Ports
Dann googeln (oder Wiki) nach der ausführlichen Kommunikation einzelner (deiner benötigten) Protokolle, beispielhaft:
67, 68 wichtig für DHCP (Broadcasts): https://de.wikipedia.org/wiki/Dynamic_H ... n_Protocol
https://de.wikipedia.org/wiki/Internet_ ... e_Protocol
http://bittorrent-faq.de/#ss2.2
http, https, DNS, ntp brauchst du mindestens. (Meist sind Zielports wichtig, Quellports oft variabel.)
Dann smtps, pop3s, ipmaps (s für secure/verschluesselt) zu den Servern (IP-Addressen, besser DNS-Namen) deines Mailprovider.
(Ports und Namen siehe Server-Einstellungen im Mail-Client, z. B. Thunderbird)
Eventuell noch ping (wenn ICMP gedropt), traceroute, SSH, ...
Eingehend alles sperren, durch stateful packet inspection (SPI) müssen keine Rückwege abgehender Verbindungen definiert werden.
Dann Firewall-Logs bei Fehlern/Drops im laufenden Betrieb, man/frau denkt nicht an alles. Müsste aber fast alles sein. :wink:

Brauchst du wirklich eine Personal-Firewall (auch Desktop-Firewall genannt)? Hast du mehrere Rechner, Windows-Virenschleudern der Kinder, zu disziplinierende Smart-TVs, -Phones, IoT? Zumindest dann wohl besser oder zusätzlich auf Router angeordnet (PFSense oder OPNSense, testweise mal in VM/VBox). Ansonsten gibt es Vorbehalte bezüglich Personal Firewalls: Wenn der PC kompromittiert ist, kann man davon ausgehen, dass auch die Personal Firewall kompromittiert wurde. Aber als Ergänzung oder "Disziplinarmassnahme" für User, warum nicht? Sicherheit ist meist ein Zwiebelschalenprinzip.

Vorteil Personal Firewall vs. Hardwarefirewall: Erstere kann auf Applikationsebene arbeiten. Ratsam als Ergänzung einer Hardware-Firewall, die nicht so einfach kompromittiert werden kann und für das ganze Netzwerk wirksam ist. Oder hängt dein Rechner direkt und ohne NAT-Router am Internet? Dann wäre die Firewall auf dem Desktop = Gateway ratsam. Wie auf einem Root-Server auch. Zuhause könnte man sich die Beschaffung einer Router-Firewall-Kombination jedoch überlegen.

Persönlicher Rat: Router mit Firewall (eventuell mit GUI wie PFSense, OPNSense) und Einarbeitung in iptables für Personal Firewalls auf PCs, Servern.
Edit: Schlechtschreibung
Edit2:
möglichst Quell- und Zieladressen (-netzwerke) in Regeln definieren
nur wenn unbedingt notwendig: any/all
erst spezielle Regeln dann allgemeine (Reihenfolge meist von oben nach unten, First Match und Rest ignoriert)
wegen Performance und First Match: häufig gebrauchte Regeln oben
Zuletzt geändert von BenutzerGa4gooPh am 14.04.2018 17:47:52, insgesamt 5-mal geändert.

TomL

Re: Firewall Einstellungen

Beitrag von TomL » 14.04.2018 17:07:14

Schwertfisch hat geschrieben: ↑ zum Beitrag ↑
14.04.2018 13:10:38
Ich bin absolut kein Debian- Neuling und habe auch schon Arch Linux etc. verwendet, möchte aber gerne ein wenig tiefer in die Materie eintauchen und die Sicherheit und Privatsphäre auf meinem Debian- Rechner so weit wie möglich hochschrauben.

Habe mir also eine Firewall installiert (ufw bzw die GUI gufw). Würde gerne eingehende sowie ausgehende Verbindungen standardmäßig blockieren und dabei für einzelne Programme Ausnahmeregelungen festlegen.

Ersteres, also einfach alles zu blockieren, ist natürlich eine leichte Übung, mit dem Erstellen besagter Ausnahmeregelungen habe ich allerdings so meine Probleme.
Im Speziellen geht es mir darum, meinen Webbrowser (brave), sowie JDownloader2 freizugeben
Meine bescheidene Meinung dazu ist, vergiss das mit der UFW.... ich denke nicht, dass das auch nur ansatzweise das bringt, was Du Dir vorstellst. Ohne Sachkenntnis ist da nur der Wunsch der Vater des Gedankens an Sicherheit, und mit Sachkenntnis würde man auch drauf verzichten und direkt iptables/nftables verwenden. Wenn ich davon ausgehe, dass Dein PC sich hinter einem handelsüblichen Router befindet, sind sowieso schon keine von außen initiierten Verbindungen möglich... dafür sorgt der Router. Was willst Du also "incomming" blocken....?... da wird eh nie was ankommen... es sei denn, Du hättest dummerweise/leichtsinnigerweise irgendwelche Ports im Router geforwarded.

Und was willst Du ausgehend blocken, wenn Du eh nur den Browser und JDL2 nutzt...?... beide Apps verwenden die Ports 80 und 443.. und ich habe mal gelesen, ggf. der JDL2 auch 81/444. Ich denke, es wäre besser, einfach nur einen Scriptblocker im Browser zu verwenden und den dann sehr scharf einzustellen. Und auf alle Seiten, die damit nicht funktionieren verzichtest Du einfach oder verlegst den Zugriff auf einen Browser in einer Sandbox oder einer VM. Dann würde ich auch auf jeden Fall darauf verzichten, Dritt-PPAs oder Software von Quellen außerhalb des Distri-Repos zu verwenden. Und schon passt es mit der Sicherheit... auch ohne FW.
Die Gefährdung Deines PC kommt imho nur dann von außen, wenn Du vorher von innen heraus die Kompromittierung ermöglicht hast... das heisst, die Gefahr sitzt immer an Deiner Tastatur, vor Deinem Bildschirm. Und die beste Firewall nutzt überhaupt nix, wenn Du sie von innen heraus umgehst. Insofern wird die UFW vermutlich auf Dauer wirklich nur mehr Makulatur und Wunschdenken sein... man glaubt, man sei sicher, ohne zu wissen, ob man wirklich sicher ist.... ganz im Gegenteil, der Glaube "die FW wirds schon richten" verleitet einen selber im Alltag dazu, leichtsinniger zu sein, denn man fühlt sich ja durch die FW geschützt... obwohl das in Wirklichkeit ein Trugschluss ist.

Die beste FW ist man selber, in dem man sein eigenes Verhalten im Web hinterfragt und diszipliniert darauf achtet, was man da so tut.... mit anderen Worten, eben auch mal auf Clicks im Web zu verzichten. Und da, wo man das nicht kann oder nicht möchte, gibts eben die Alternative VM. Nur mal so als Tip, wie ich das handhabe... dem Browser mit meinem eigenen originären Homedir-Profil ist mit Ublock Origin quasi fast alles verboten, der ist zum Surfen im Internet eigentlich völlig untauglich. Ich verwende mein eigenes Browser-Profil faktisch nur fürs Customizing lokaler Web-Interfaces (cups, radicale, webcams, etc.) oder zum Anzeigen meiner eigenen lokalen HTML-Seiten während der Entwicklung. Für sämtliche Zugriffe ins Internet verwende ich ein Browser-Profil eines völlig unberechtigten virtuellen Users ohne Zugriff auf irgendwas am Rechner, mit immer noch ziemlich restriktiv eingestelltem Ublock Origin. Und für kritische Aktivitäten, wie Banking und "unseriöses Surfen" gibts jeweils eigene VMs. Mein JDL2 läuft quasi unter Quarantäne auf einem ziemlich isolierten Raspberry Pi. Meinem Server ist faktisch bis auf wenige einzelne Ports via Iptables jeglicher Zugang zum Internet verboten.... auf dem geht tatsächlich gar nix nach oder von draußen.

Eine Firewall allein ist keine Sicherheit... Sicherheit erhält man imho nur durch sicheres (eigenes) Verhalten... oder besser gesagt, in dem man sich nicht unsicher, leichtsinning, fahrlässig verhält, denn genau davor kann Dich die FW nicht schützen.

j.m.2.c.

Antworten