Dedies-Board | Druckvorschau: Braucht der Heimanwender unter Linux eine Firewall?

Geschrieben von MobyDuck am 01.11.2006 um 14:31:

Braucht der Heimanwender unter Linux eine Firewall?

Die Experten hier werden die Stirn runzeln und "doofe Frage" murmeln. Andererseits fallen mir immer wieder anderswo Threads auf, in denen exakt diese Frage gestellt wird. Außerdem bemängelten der Linux-Autor Michael Kofler und die Zeitschrift "Linux-User", dass unter Ubuntu per default keine Firewall installiert ist. Also soll mir die Frage ein paar Worte wert sein.

Zum Einstieg empfehle ich die Beiträge von Vimes zu den Themen "Personal Firewall", "TCP/IP" und "Heimnetzwerk" in diesem Forum. In Kurzform (Vimes mag es mir nachsehen):

In jedem Netzwerk sind Server und Clients zu unterscheiden. Die Clients stellen ihre Anfragen an die Server und erhalten, falls die Anfrage legitim ist, die gewünschte Antwort. Für diese Unterhaltung benutzen Client und Server durchnummerierte Schnittstellen, die sogenannten Ports. Die Computer, vor denen die Heimanwender sitzen, sind normalerweise Clients. So fragt zum Beispiel der Browser bei einem Webserver nach einer bestimmten Webseite und erhält über Port 80 die gewünschte Antwort.

Doch können auch auf Heim-PC's Serverdienste laufen. Unter Windows XP sind dies sogar ziemlich viele. Diese Dienste "lauschen" an ihren Ports auf Anfragen. Auch dieses "Lauschen" ist zumindest theoretisch unproblematisch. Ein richtig konfigurierter Dienst antwortet auf "Angriffe" einfach nicht.

Kritisch wird es nur, wenn das Programm Fehler hat oder falsch konfiguriert ist. Dann antwortet der Dienst auch auf Anfragen, die er eigentlich über den Harz kicken sollte.

Diese kritische Situation sollen "Firewalls" vermeiden, indem sie Zugriffe aus dem Internet abblocken sollen. Ob sie das auch in der Realität können, ist eine andere Frage und Futter für ein beliebtes Flame-Thema.

Uns soll hier mehr interessieren, dass die verbreitetste Linux-Firewall IPTables anders arbeitet als die meisten handelsüblichen Windows-"Firewalls". Während letztere für jedes Programm Regeln erstellen, ob und wie diese mit dem Internet kommunizieren dürfen, arbeitet IPTables auf Kernel-Ebene. Dazu müssen Regeln erstellt werden, damit der Kernel weiß, welchen Traffic er zulassen oder verwerfen soll. Welches Programm hinter dem Datenverkehr steckt, ist dem Kernel schnuppe. Da hiermit viele Heimanwender überfordert sind, gibt es grafische Frontends wie z.b. "Firestarter", die das Einstellen erleichtern.

Und damit nähern wir uns der Ausgangsfrage. Unter Ubuntu macht es für den Heimanwender keinen Sinn, IPTables oder andere Firewalls zu installieren. Ubuntu bietet per Default überhaupt keine Dienste nach außen an. Und was nicht vorhanden ist, muss auch nicht geschützt werden. Heimnetzwerke sind hinter einem richtig konfigurierten Router gut aufgehoben. Werden weitere Serverprogramme installiert, dann sollte der User wissen, was er tut und diese Programme richtig einrichten. Kann er dies nicht, dann sollte er die Finger davon lassen und dann nutzt ihm wohl IPTables auch nichts mehr. Denn eine erlaubte Kommunikation erkennt keine Firewall, auch IPTables nicht.

Um die zweite verbreitete Home-Distri aufzugreifen, unter Suse ist per default eine Firewall aktiviert. Dies hängt wohl damit zusammen, dass Suse schon bei der Installation SSH einrichtet. Dieser Dienst wäre theoretisch aus dem Internet erreichbar. Der Suse-User sollte sich daher fragen, ob er SSH überhaupt braucht und gegebenenfalls abstellen. Dann braucht er auch die Firewall nicht mehr.

Als Ergebnis können wir somit festhalten, dass eine "Firewall" in den allermeisten Fällen des Heimgebrauchs von Ubuntu oder Suse überflüssig ist. Nicht nur das. Wie jede Software kann auch eine Linux-Firewall fehlerhaft sein, dann hat der User mit etwas Pech den Teufel mit dem Beelzebub ausgetrieben.

Geschrieben von Vimes am 01.11.2006 um 18:19:

Sehr schön.

Bleibt mir nur, zu präzisieren, daß bei Susi der SSH-Dämon aktiviert wird [1], den der Normalanwender so nötig braucht, wie ein drittes Nasenloch, und daß bei Susi iptables (über ein geiles, graphisches Frontend) wohl eher deshalb aktiviert wird, weil das schlicht als Verkaufsargument zieht. Daß man ohne Dienst keinen Schutz braucht, ist nicht allgemein bekannt, auch bei Linux-Benutzern leider nicht.

MfG
Vimes

[1] Ich sage das so explizit, weil mir damals mal einer damit kam, daß man SSH ja dringend bräuchte, weil man sonst nicht mehr sicher surfen könnte. Nein, dafür ist der SSH-Dämon nicht zuständig. Der bietet einen Server an, damit man sich aus der Ferne auf dem Rechner einloggen kann. Das will der Privatanwender in der Regel eher nicht.