Firewall

[WindowsProfi30Jahre]

Hallo,

mal eine ganz blöde Frage: Wo finde ich unter Debian 8.1 Jessie oder 8.0 amd64 die Firewalleinstellungen ?

Oder ganz es sein, dass es hier überhaupt keine Firewall gibt ?

Falls es keine Firewall unter Debian geben sollte, welche wäre zu empfehlen und einzurichten ?

Desweiteren welchen Virenscanner sollte man unter Debian Jessie installieren ?


Tschüss WindowsProfi30Jahre

[DeletedUserReAsG]

Firewallfunktionalität wird über iptables im Zusammenspiel mit entsprechenden Kernelmodulen bereitgestellt, man findet es in /sbin/, die Bedienungsanleitung öffnet man mit »man iptables«. Grafische Frontends existieren auch, zu finden über die Paketverwaltung. Die Firewall auf der Maschine laufen zu haben, die geschützt werden soll, ist weitgehend sinnfrei. Wenn du dich damit aber wohler fühlst, weil du’s von Windows so kennst, spricht auch nichts dagegen, die sowieso geschlossenen Ports nochmal zuzumachen.

Solange du keine Dateien für Windowsrechner über die Debianmaschine transportierst, ist auch ein Virenscanner ohne Sinn. Aber auch hier gilt: wenn du dich damit wohler fühlst, weil du’s von Windows so kennst, kannst du natürlich auch gerne etwa clamav installieren. Man könnte dann sogar noch ein Script basteln, das dir in unregelmäßigen Abständen mitteilt, wie sehr es deinen Rechner vor imaginären Bedrohungen geschützt hat – dann ist’s genau, wie bei Windows.

[debiator]

sinnvoller wäre es eine Hardware-Firewall zwischen den Router und den PC zu hängen, dort alles in beide Richtungen auf reject (Verbindungen blocken) zu stellen und dann einzelne Regeln für http/s, dns, ftp und so weiter zu erstellen.

[WindowsProfi30Jahre]

Hallo,

also um es einfach zu sagen, Debian hat von Haus aus keine Firewall wie OpenSuse 13.2 KDE oder eben Windows 7 64 ?

Ich selbst gehe über eine FritzBox 3370 ins WWW und hier ist eine Hardwarefirewall eingebaut, die nicht meines Wissens abschaltbar ist.

Reicht das wirklich aus ?

Ich finde nichts unter dem Thema Sicherheit und Firewall in Debian, vielleicht bin ja wirklich zu blöd ?

seahorse unter Security und wenn ich im Anwendungsfinder itables als Suchbegriff eingebe, kommt nichts raus. ?

Wenn ich irgendwelche Programme und Anwendungen suche, fand ich bisher unter gnome alles einfach und schnell mit der Suchfunktion, der Anwendungsfinder unter Debian 8.1 Jessie KDE findet so gut wie nichts, gibts eine bessere Suchfunktion wie unter Debian gnome ?

So jetzt habe ich clam-av und fwbuilder installiert, richtige graphische Anwendungen für das Thema Firewall finde ich gar nicht oder ?

Hier habe einen älteren Thread dazu ausgegraben, gibt es vielleicht etwas aktuelleres dazu ,da dieser aus 2002 ist ?

viewtopic.php?f=18&t=1470
Alle dort angegebenen Infos und Links sind nur in Englisch, dass bringt mir leider gar nichts.


Tschüss WindowsProfi30Jahre

[38858

[owl102]

nano /etc/apt/sources.list

Eine gute Idee!

Eine weitere gute Idee wäre es, NoPaste zu verwenden.

[debiator]

ufw wäre eine GUI also eine grafische Oberfläche für iptables so viel ich weiß.
Dort kannst Du dann entsprechende Regeln grafisch erstellen.

iptables nicht itables, wie sind ja hier nicht bei Apple

Du sollst es auch nicht über die Suchfunktion machen, sondern über die Paketinstallation.

Linux ist nicht Windows (und das ist gut so!), also müsstest Du Dich da deutlich reinarbeiten wollen.
Aber großartig kompliziert auf der Userebene ist es lang nicht mehr.

Die Firewall von Deiner Fritzbox ist sicher nicht so fein einstellbar wie eine "richtige" Hardware-Firewall.
Es geht nicht darum, ein Knöpchen on/off zu drücken, sondern auch noch etwas komplexere Regeln für den Datenverkehr zu erstellen. Der Firewal zu sagen, was darf rein und raus bzw. über welche Türen (Ports).

Der Code unten war nicht nötig

[gehrke]

http://linux-club.de/forum/viewtopic.ph ... 02#p768802

[Radfahrer]

Ich benutze seit zehn Jahren Linux.
Und seit zehn Jahren freue ich mich darüber, dass ich weder "Firewall" noch Virenscanner brauche.

[MSfree]

Ich benutze seit zehn Jahren Linux.
Und seit zehn Jahren freue ich mich darüber, dass ich weder "Firewall" noch Virenscanner brauche.

Mir schaudert es immer wieder, wie der Begriff Firewall falsch benutzt wird.

Eine Firewall ist kein Stück Software, das man installiert und vergißt. Eine Firewall ist ein Sicherheitkonzept und Konzepte kann man nicht installieren.

Zu deinem Sicherheitskonzept gehört offensichtlich, daß du Linux verwendest, um dich vor Schäden zu Schützen, deine Firewall besteht also aus einem Betriebssyste, das hoffentlich weniger problemaitsch ist.

Zu einem Sicherheitskonzept können aber auch Paketfilter gehören, die wie iptables bestimmten Netzwerkverkehr blockieren. Ferner kann ein Webproxy dazu gehören, der unerwünschte Inhalte von Werbung bis Schadsoftware blockiert oder eben auch ein Virenscanner, der Windowsgeräte im Netz schützt. Spamfilter können ebenfalls Bestandteil einer Firewall sein.

[niesommer]

schau doch mal mit zum beispiel Synaptic-paketverwaltung (grafisch) nach ob es dort etwas gibt was deiner Aufgabe entspricht:
arno-iptables-firewall wie gesagt es gibt noch mehr frontends
PS: https://de.wikipedia.org/wiki/Intrusion ... ion_System
Was du also vielleicht suchst sind programme zur Host-basierten-Angriffserkennung. tiger rkhunter
http://www.selflinux.org/selflinux/html/ids.html

[Radfahrer]

Mir schaudert es immer wieder, wie der Begriff Firewall falsch benutzt wird.

Genau deswegen habe ich das Wort "Firewall" in Anführungszeichen gesetzt.

Aber die Benutzung eines bestimmten Betriebssystems ist ganz sicher noch keine Firewall.

[Lord_Carlos]

Ich bin in diesem Thema kein Experte, wer fehler findet bitte berichtigen. Ich gehe in diesen Beitrag von Heimanwendern aus, und nicht von Servern.

Ganz ganz grob gesagt benutzt man eine "Software Firewall" unter Windows fuer Heimanwender fuer zwei sachen.

Einmal kommt es bei der Zielgruppe oefters mal vor das sie unbedacht irgendwelche Programme installieren. Von toolbar, bis Virus. Die windows Firewall fragt dann den Benutzter ob dieses Programm wirklich ins Netz verbinden darf.
Brauchst du so etwas unter linux? Wenn ich via Paketmanagedment z.B. ein Browser installiere, dann weis ich das der ins Netz verbindet und normal habe ich nichts wo ich das verbieten will. Wenn du oft Programme oder Scripts aus dritten Quellen laeufen laest koennte es sich lohnen den Rechner mit Firewall regeln abzuschotten.

Eine andere Aufgabe von vielen Windows firewalls sind die rein kommenden Verbindungen. Also z.B. du hast eine Netzwerkfreigabe. Sollen andere rechner in dem Netz darauf zugreifen? Wenn nein, warum dann ueberhaupt eine Freigabe haben?

Das ganze wird interessant wenn man nur ein Teil seines Netzwerks vertraust. So das man bestimmte IPs freigeben kann. Z.B. in einer WG mit vielen Menschen oder in der Schule.

Ich habe bis jetzt noch nicht das grosse beduefnis gehabt bei meinen Heimcomputer die voreingestellten Firewallregeln zu veraendern. Auf dem gemieteten vServer schon. Wenn da jemand durch eine Luecke was uebernimmt, kann es nicht so einfach ein eigenes Programm starten was nach Hause telefoniert.

Ich hoffe ich habe mich verstaendlich ausgedrueck. Nicht jedes detail ist 100% korrekt, aber dies hier sollte mehr ein grober Richtungsanzeiger sein.

[MSfree]

Eine andere Aufgabe von vielen Windows firewalls sind die rein kommenden Verbindungen. Also z.B. du hast eine Netzwerkfreigabe. Sollen andere rechner in dem Netz darauf zugreifen? Wenn nein, warum dann ueberhaupt eine Freigabe haben?

Viele "Freigaben" sind unbeabsichtigt oder per Voreinstellung vorhanden. Wenn ich mir heutige Geräte ansehe, die ständig in die Welt hinaus brüllen, daß sie anwesend sind, dann sind Blockaden schon ziemlich hilfreich. Heute blökt doch jedes dumme Smartphone schon per uPnP durch die Gegend und will Daten in die Cloud schieben.

Ich habe bis jetzt noch nicht das grosse beduefnis gehabt bei meinen Heimcomputer die voreingestellten Firewallregeln zu veraendern. Auf dem gemieteten vServer schon. Wenn da jemand durch eine Luecke was uebernimmt, kann es nicht so einfach ein eigenes Programm starten was nach Hause telefoniert.

Server werden von Angreifern mit dem Ziel übernommen, sich root-Rechte zu verschaffen. Sind die erstmal vorhanden, kann der Angreifer auch deinen Paketfilter ausser Betrieb nehmen und ganz bequem nach hause telefonieren.

Bei Servern sollte man sich mit Intrusion-Detection beschäftigen. Das schützt zwar auch nicht vollständig vor einer Übernahme, kann aber den Besitzer noch während eines Angriffs darüber informieren, daß da etwas unvorhergesehenes stattfindet. Schlimstenfalls kann man dann den Provider bitten, das Ding vom Netz zu nehmen, bevor weiterer Schaden entsteht.

[uname]

Die beste "Firewall" als Schutz von außen ist der (WLAN-)DSL-Router, der eine Adressumsetzung (NAT) durchführt, so dass man interne IP-Adressen verwenden muss (z.B. 192.168.178.0/24). Hierdurch ist von außen nur der WLAN-Router erreichbar (http://www.wieistmeineip.de). Natürlich sollte der immer aktuell gepatcht sein und möglichst wenig zulassen. In der Regel nur die Rückpakete und keinesfalls irgenwelche Webinterfaces zur Administration. Kann man mal mit nmap über einen anderen Internetzugang testen.
Von innen nach außen bringt eine Firewall auch recht wenig. Standardanwendungen wie Browser müssen sowieso nach außen kommunzieren. Malware nutzt das aus. Da kann man besser auf recht Malware-sichere Betriebssysteme wie Linux setzen. Das ersetzt dann Virenscanner, Firewalls und weitere Sicherheitsfunktionen, die bei einem ernsthaften Angriff (Zero-Day-Exploit) sowieso allesamt versagen. Siehe deutscher Bundestag.

Ich installiere weder Firewalls noch Virenscanner auf Linux-Rechnern. Selbst auf Linux-Servern halte ich es für sinnvoller die Dienste ordentlich zu konfigurieren als eine Firewall wie iptables zu installieren.

[DeletedUserReAsG]

Etwas angestaubt, aber im Großen und Ganzen immer noch lesenswert: https://www.debian.org/doc/manuals/secu ... ian-howto/

[MSfree]

Die beste "Firewall" als Schutz von außen ist der (WLAN-)DSL-Router...
Von innen nach außen bringt eine Firewall auch recht wenig.

Ich hoffe, du setzt so ein "Sicherheitskonzept" nicht auch bei deinem Arbeitgeber ein.

[Lord_Carlos]

Vielleicht spricht er ja von einfachen Heimanwender

[TRex]

Vielleicht versteht der TE auch kein einziges Wort mehr

[debiator]

Warum soll eine HW-FW nicht gegen das Telefonieren vom Rechner aus schützen? Alles nach außen blocken und einzelne Regeln erstellen. Funktioniert wunderbar.

Genau DANN wird auch eine Firewall sinnvoll, ein NAT-Router reicht da nicht. Der ist für Standardangriffe ok, aber nicht für das Funken aus dem Netzwerk nach außen.

[Lord_Carlos]

Warum soll eine HW-FW nicht gegen das Telefonieren vom Rechner aus schützen?

Behauptet das jemand?
Mir waere das persoehnlich fuer den Heimbedarf zu aufwendig. Kosten/Nutzen Faktor.

[debiator]

habs gerade nochmal gelesen... nein, hab da einen Beitrag vorhin falsch verstanden.
Es war gemeint, dass der Browser dennoch rausfunkt. Also das Problem der normalen Paketfilter-FW und das Durchschleusen von Daten via 80/443.
Deswegen hab ich irgendwo hier nen Thread über die Application Layer Firewall bzw. Proxy-FW erstellt.
Da ist mir aber, mangels Erfahrung, der Aufwand und die dazugehörige Software nicht ganz klar.
Dass es mehr als Paketfilter ist, ist selbstverständlich, aber vielleicht doch sinnvoll.

kosten sind bei einer gebrauchten FW von eBay nicht wirklich hoch. Nutzen... naja... etwas Hygiene hat man damit durchaus.

[MSfree]

Mir waere das persoehnlich fuer den Heimbedarf zu aufwendig. Kosten/Nutzen Faktor.

Sind dir deine privaten Daten so wenig wert, daß du sie nicht schützen möchtest? Na ja, dir fehlt wahrscheinlich die nötige Phantasie, was man mit dem, was auf deinen Platten gespeichert ist, für Schindluder treiben kann. Und selbst, wenn dich potentieller wirtschaftlicher Schaden und Rufschädigung nicht weiter jucken, dazu mußt du wohl erst selber betroffen sein, um das zu verstehen, mit deiner Hardware kann man allerhand illegale Sachen machen, die dann auf dich zurück fallen würden, wenn man deinen Anschluß als Ursache ausmacht.

Das Netz zuhause gehört besser geschützt als eine Bank, für die bei Verlust eine Versicherung eintritt. Der Nutzen ist überhaupt nicht in irgendeinem Wert ausdrückbar. Die Kosten sind minimal, wenn man sich selbst darum kümmert.

[WindowsProfi30Jahre]

Ja vielen Dank für die vielen Infos zum Thema firewall, da ich bei mir etliche Rechner im privaten Netzwerk nutze, Windows, Linux, Laptops, und WLAN in beiden Fällen gehe ich über eine 3370 FritzBox nach außen über eine sogenannte CPE/DRG Glasfasernetzabschlussgerät von meinem Glasfaseranbieter bekomme ich das Glasfasersignal her, Signal wird über LAN1 durchgeschleift, Telefonie geht über Voice over IP wie heutzutage üblich und über Patton Box des Anbieters. Das WLAN Funknetz ist bereits in den Werkseinstellungen über den WPA2 Standard gesichert, brauch man mehr bzw. benötige ich als Heimanwender mehr ?

Die NAS Laufwerke und auch FritzBox haben jeweils sehr schwierige Passwörter, was sollten man hier in meinem Fall zum Thema Sicherheit noch ändern oder verbessern ?

Mich würde mal interessieren warum eigentlich Debian von Haus aus keine Firewall mitbringt, OpenSuse 13.2 KDE als Gegenbeispiel ja,
leicht abschaltbar bei Suse, dass kann wirklich jeder. In Windows nutze ich immer GDATA IES 2015 schon seit über 10 Jahren und hier in diesem Virenscanner made in Germany ist doch auch eine eigene Firewall integriert, ist die denn nun total überflüssig oder schwachsinnig oder wie darf hier die Diskussion verstehen ?

Grundsätzlich, ich will nicht grossartig in das Thema Firewall Einstellungen, Verwalten und und einarbeiten, sondern mich nur einfach und unkompliziert gegen unerlaubte Zugriffe von aussen schützen. Deshalb war ich immer der Meinung, mit der Hardwarefirewall von AVM FritzBox und einer zusätzliche Firewall von innen wie über GDATA IES üblich reicht der Schutz vollkommen aus oder doch nicht ?

Die Zielrichtung wäre ja dann, wenn möglich es grundsätzlich vermeiden mit Windows ins Internet zu gehen, hier am besten eine gute Linux Distro verwenden wie Debian oder OpenSuse, vielleicht noch PCLinuxOS und dann kann ich ruhig schlafen ?



In der FritzBox sind natürlich auch etliche Ports freigegeben, für die NAS Laufwerke DLink DNS 327L und Synology ( entweder 1512 oder 1513 mal sehen, welche ich mir demnächst zulegen werde) Die Dlink habe ich über eine dyn DNS in der FritzBox freigegeben, entstehen mir z.B. dadurch erhöhte Risiken ?

Tschüss WindowsProfi30Jahre

[Lord_Carlos]

Mir waere das persoehnlich fuer den Heimbedarf zu aufwendig. Kosten/Nutzen Faktor.

Sind dir deine privaten Daten so wenig wert, daß du sie nicht schützen möchtest? Na ja, dir fehlt wahrscheinlich die nötige Phantasie, was man mit dem, was auf deinen Platten gespeichert ist, für Schindluder treiben kann. Und selbst, wenn dich potentieller wirtschaftlicher Schaden und Rufschädigung nicht weiter jucken, dazu mußt du wohl erst selber betroffen sein, um das zu verstehen, mit deiner Hardware kann man allerhand illegale Sachen machen, die dann auf dich zurück fallen würden, wenn man deinen Anschluß als Ursache ausmacht.

Das Netz zuhause gehört besser geschützt als eine Bank, für die bei Verlust eine Versicherung eintritt. Der Nutzen ist überhaupt nicht in irgendeinem Wert ausdrückbar. Die Kosten sind minimal, wenn man sich selbst darum kümmert.

Welche daten gehen denn jetzt (Edit: Hinter NAT) bei mir nach drausen die nicht raus gehen wenn ich erst alle ports dicht mache dann nach bedarf oeffne?

[DeletedUserReAsG]

Mich würde mal interessieren warum eigentlich Debian von Haus aus keine Firewall mitbringt […]

Wie, bringt nicht mit? iptables – ist nur nicht per default installiert, weil’s per default keinen Grund dafür gibt.
Edit: gerade nachgeschaut, netscript-2.4 hängt von iptables ab und wird von netbase empfohlen, welches wiederum von lsb-base abhängt, das seinerseits »Priority: required« in der Paketbeschreibung stehen hat. Mit anderen Worten: bei einem normal installierten Jessie ist iptables installiert.

In Windows nutze ich immer GDATA IES 2015 schon seit über 10 Jahren und hier in diesem Virenscanner made in Germany ist doch auch eine eigene Firewall integriert, ist die denn nun total überflüssig oder schwachsinnig oder wie darf hier die Diskussion verstehen ?

Ich denke nicht, dass man aus dieser Diskussion Schlüsse für Windows ziehen sollte.

[…] sondern mich nur einfach und unkompliziert gegen unerlaubte Zugriffe von aussen schützen. Deshalb war ich immer der Meinung, mit der Hardwarefirewall von AVM FritzBox und einer zusätzliche Firewall von innen wie über GDATA IES üblich reicht der Schutz vollkommen aus oder doch nicht ?

Selbst ohne die Hardwarefirewall (die ich nicht einschätzen kann, kenne das Teil nicht) würde ein entsprechend konfiguriertes Debian völlig ohne „Firewall“ (was auch immer man nun darunter verstehen mag, angesichts des Diskussionszweigs weiter oben) gegen Zugriffe von außen geschützt sein. Entsprechend konfiguriert heißt hier: keine Ports nach außen hin geöffnet, nachschauen kann man z.B. via »netstat -pltun«. Wo nichts offen ist, kann auch nicht auf etwas zugegriffen werden. Und muss auch nicht gesondert geschützt werden.