Ubuntu macht die Einrichtung eines Packetfilters alias "Firewall" überflüssig. Bereits bei der Wahl der eingesetzten Serversoftware wird darauf Wert gelegt, dass möglichst wenige Server-Dienste eingerichtet werden. Alle anderen sind konsistent so eingebaut, dass sie standardmäßig nur von Ihrem eigenen Computer aus erreichbar sind.
Ein normaler Ubuntu-Desktop lässt daher keinen einzelnen Anschluss nach draußen offen und ist daher für alle Angriffs-Szenarien unanfechtbar, gegen die ein Paket-Filter schützen könnte. Wenn jemand in den Ubuntu Quellen Programme findet, die Ports nach aussen öffnen, ohne gefragt zu werden, sollte dies dem Paketbetreuer als Fehler mitgeteilt werden (kritisch, Sicherheit).
Ist das Ubuntu Prinzip "keine offene Schnittstelle nach außen", dann müssen sich auch die "Maintainer" daran orientieren. Wenn Sie Samba, ssh, ash, aspache, etc. auf Ihrem Computer installieren, wollen Sie in der Regel den Zugang von außerhalb zulassen. Wenn Sie dies nicht wünschen (und z.B. den Webserver als Test-Umgebung für das Web-Design verwenden wollen), sollten Sie die entsprechenden Konfigurationsoptionen verwenden, um die Datenserver nur an das Loopback-Interface (127.0.0.0.1) zu bindet.
Dies ist nicht schwerer als die Installation einer "Firewall". Übrigens ist es nicht wahr, dass Ubuntu keinen Paket-Filter anbietet. Die Linux-Firewall netfilter/iptables ist zwar vorhanden, aber es gibt keine restriktiven Vorschriften. Einige Menschen denken, eine "Firewall" würde sie beim Surfen im Internet oder beim E-Mails schreiben beschützen. So eine TCP/IP-Verbindung zu entführen und als Außenseiter zu verwenden ist zwar möglich, aber offensichtlich nicht trivial und würde wahrscheinlich von keiner Firewall erkannt werden.
Firewallsysteme, die auch vor solchen Dingen Schutz bieten können, sind nicht die Packetfilter, die so oft als " Firewalls " bezeichnet werden, sondern inhaltliche Proxy- und vergleichbare Lösungen (z.B. SquidGuard, Mailserver mit Virenscannern, Einbruchsverhinderungssysteme), deren Installation für unerfahrene Anwender nicht empfohlen wird. Der Vorwurf, dass ein Paket-Filter "defekte Pakete" zurückweist und damit das gesamte Netzwerk schützt, ist ebenfalls nicht zutreffend.
"Gebrochene Pakete" werden auch ohne Filtern vom Netzwerkstapel entfernt und gelangen nicht in die Applikation (den Server). In der Theorie kann es natürlich zu Fehlern im Netzwerk-Stack kommen, die durch solche Packages ausgelöst werden. Es ist auch nicht hilfreich, das ganze Paket "unsichtbar" zu machen, indem man es nicht nach den Regeln ablehnt, sondern es ohne Kommentar verwirft (DROP).
Eine Anlage, die keine offenen Schnittstellen hat, wie ein Standard Ubuntu-Desktop, hat keinen Anlass, "unsichtbar" zu sein. Ganz im Gegenteil: Schickt ein Rechner eine Verbindungsanforderung (z.B. weil er kürzlich mit einem anderen Rechner mit dieser IP-Adresse getauscht hat), erkennt er unmittelbar, dass es dort keinen Service gibt und beendet sich (wenn er richtig eingestellt ist).
Aber wenn ein Computer trotzdem einen Service offen hat, z.B. ssh, dann kann keine "Firewall" der Erde diesen Anschluss "unsichtbar" machen. Zum Beispiel einige FTP- und IRC-Server bemühen sich bei jeder Anmeldung um eine identische Abfrage (Port 113). Ist dieser Anschluss nun auf dem Klienten "unsichtbar", wird die Anmeldung bis zum Auftreten des Timeouts hinausgezögert.
In Wirklichkeit aber macht eine persönliche Firewall auf dem heimischen Computer die Sache nicht leichter, sondern macht sie schwieriger zu verwalten, da für jede Server-Installation neue Vorschriften geschaffen werden müssen. Dies kann zu schwierig zu verstehenden Fehlerquellen werden, wenn Sie z.B. bei Samba vergessen, einen der vielen Anschlüsse frei zu geben. Wenn Sie nur Server-Dienste in Ihrem eigenen Netz erlauben wollen, benötigen Sie in den meisten FÃ?llen keinen Paket-Filter, da Sie normalerweise einen Routers (Hardware oder PC) haben, der Network Address Translation (NAT) durchfÃ?hrt (siehe unten).
Dann hat der Rechner eine örtliche Anschrift wie 192.168.0. 5, die aus dem Web überhaupt nicht erreichbar ist, es sei denn, der Rechner leitet weiter, aber das kann durchaus sein. Eine Firewall wird nur dann von Bedeutung, wenn Sie entweder eigene Dienste aus einer DMZ im Netzwerk anbieten oder wenn ein interner Netzwerk sogar über offene IP-Adressen verfügt.
Ein Paket-Filter ist auf einem einzelnen Arbeitsplatzrechner nur dann Sinn, wenn Sie nicht die Anschlüsse, sondern die Quelle der Datenpakete beschränken wollen. Allerdings sollte dies, da Adress-Spoofing möglich ist, keinesfalls die starken Authentisierungsmechanismen des jeweiligen Services ablösen. Wenn Sie gelegentlich zu einem Test-Webserver oder ähnlichem zu Haus zugreifen, können Sie auch den ssh-Tunnel verwenden.
Es kann in Ausnahmefällen passieren, dass ein Service nicht die Möglichkeiten hat, ihn auf gewisse Netzschnittstellen zu beschränken. Dies wird problematisch, wenn Sie den Zugriff für mehrere Computer zur gleichen Zeit verwenden wollen, da nur ein Computer diese Anschrift kann. Weil diese Anschriften im Unterschied zu konventionellen Internetadressen weltweit nicht eindeutig sind, gibt es im allgemeinen keinen Weg, Daten an diese Anschriften weiterzuleiten - auch nicht, um auf Anforderungen zu reagieren.
Ein NAT-Gerät, ein router, empfängt Datenpakete an einer Nahtstelle zum örtlichen Netz und gibt sie über die "Dial-up"-Verbindung an das Netz weiter, wodurch die persönliche Absender-Adresse mit der amtlichen IP-Adresse des NAT-Routers übersteuert wird. Zugleich erinnert sich der Routers, an welchen Computer er die Antwortpaket für diese besondere Leitung zurücksenden muss.
Infolgedessen hat der Fräser keine Weise, Datenpakete zu liefern, die keine Antwort auf Verbindungsanforderungen sind. Diese Datenpakete gelangen dann unmittelbar auf den Rechner, der in der Regel (haarsträubende Fehler in der Konfiguration manchmal ausgeschlossen) keine externen Services bietet und diese daher ablehnt oder abweist. Auch andere Arten von NAT gibt es, z.B. Portforwarding.
Dies bedeutet, dass Computer hinter einem NAT-Gerät von außerhalb erreicht werden können, z.B. Servers. Dazu muss der NAT-Router so eingestellt werden, dass Anforderungen an gewisse Ports an das Netzwerk weitergeleitet werden, auch wenn sie keine "Antworten" sind. Allerdings muss der Computer, an den diese Packages gesendet werden sollen, vom Verwalter ausdrücklich angegeben werden.
Zum Beispiel können alle an Port 80 oder 443 adressierten Datenpakete an einen Web-Server weitergeleitet werden. In den meisten FÃ?llen öffnen sich diese auch nach auÃ?en, wie die Bedeutung des Wortbedeutung "Teilen" vermuten lÃ?sst. Daß die meisten von ihnen jetzt hinter einer Firewall arbeiten, ist auf einen Kunstgriff zurückzuführen.
Bei Systemen hinter einer Firewall fragt man in bestimmten Zeitabständen nach, ob jemand etwas von ihnen will, und "pusht" diese Dateien, indem man sich selbst mit dem Austauschpartner verbindet. Steht es jedoch hinter einer Firewall, geht es nicht, so dass man als Dateischärfer hinter einer Firewall heute recht begrenzt ist.
Viele " Dateifreigaben " eröffnen daher bewusst und ausdrücklich die Anschlüsse oder setzen Portweiterleitung auf ihren Routern. Wenn Sie solche Programme auf einem einzelnen Arbeitsplatzsystem verwenden, aber der Güte der Programme nicht so sehr vertrauen, dass sie nur die freigeschalteten Dateien liefern, können Sie einen Paket-Filter verwenden, der diese Schnittstellen für den externen Zugang absichert.
Verwenden Sie dazu den Befehl -etstat -tulipen| grep -v x'127.0.0. 1'. x'sudo -tulipen x'grep -v x'127.0.0. 1', dann werden auch die für die Schnittstellen verantwortlichen Vorgänge angezeigt. Sie sind für andere Computer nicht zugänglich und daher keine Bedrohung.
Zur Sicherheit können Sie ein Gerät auch von außerhalb mit einem Port-Scanner prüfen, wenn Sie ein eigenes Netz haben, oder über das Netz. Der Port-Scan von ein und demselben Computer ist dagegen wenig aussagefähig.