[Lerran]

So, nachdem ich mich einfach nicht entscheiden kann welche Linux Distri ich nutzen möchte, habe ich jetzt einfach mal mit Linux Mint 20.2 Cinnamon angefangen – irgendwann muss man ja mal was auf meinen Laptop installieren

Beim Durchstöbern bin ich auf die Gufw Firewall gestoßen und habe eine kurze Verständnisfrage dazu.
Ich möchte nur im Internet surfen, sprich ich werde keinen Cloud-Server o. ä. einrichten.
Genügt dann tatsächlich die Einstellung Ankommend = Verweigern und Ausgehend = Erlauben, habe ich das richtig verstanden?

Habt ihr sonst noch Tipps für die Firewall? Bei Windows konnte man ja manche Programme mit der Firewall blockieren – ich denke, dass das unter Linux nicht nötig ist oder habt ihr andere Erfahrungen mit?

Vielen Dank für eure Meinungen

[foobar]

Normalerweise braucht man überhaupt keine Firewall, weil Mint AFAIK erst dann einen Port öffnet, wenn man auch den zugehörigen Dienst installiert. Und dann will man den Dienst ja auch nutzen. Das mit der Firewall am Enduser-Rechner kommt ja primär von Windows, welches aus historischen Gründen im Umgang mit Netzen nicht so gut abgeschottet ist. Da muss dann ein Paketfilter (aka Firewall) nachhelfen.

Wenn du jetzt nach dem Motto: „Lieber Gürtel und Hosenträger!” trotzdem einen Paketfilter haben oder auf dem Laptop z.B. zuhause im LAN irgendwelche Dienste anbieten möchtest, an die unterwegs aber keiner ran soll, kannst du ufw ruhig nutzen. Falls sie erwünschte Dienste blockiert, musst du halt mit entsprechenden Regeln gegensteuern.

[Lerran]

Normalerweise braucht man überhaupt keine Firewall, weil Mint AFAIK erst dann einen Port öffnet, wenn man auch den zugehörigen Dienst installiert.

Alles klar, danke dir. Wie ist das eigentlich mit öffentlichen W-LANs, macht es da trotzdem Sinn vorsichtshalber noch was dazwischen zu schalten oder gilt hier auch „Was zu ist, ist zu“?

Wenn du jetzt nach dem Motto: „Lieber Gürtel und Hosenträger!” trotzdem einen Paketfilter haben oder auf dem Laptop z.B. zuhause im LAN irgendwelche Dienste anbieten möchtest, an die unterwegs aber keiner ran soll, kannst du ufw ruhig nutzen. Falls sie erwünschte Dienste blockiert, musst du halt mit entsprechenden Regeln gegensteuern.

Gutes Sprichwort
Zusammengefasst: Wenn ich keine Dienste nutzen möchte genügt Ankommend = Verweigern und Ausgehend = Erlauben ohne Regeln und sobald ich Dienste anschalte lege ich zusätzlich Regeln fest, die dies und jenes erlauben oder eben nicht – so korrekt?

[Lookbehind]

Alles klar, danke dir. Wie ist das eigentlich mit öffentlichen W-LANs, macht es da trotzdem Sinn vorsichtshalber noch was dazwischen zu schalten oder gilt hier auch „Was zu ist, ist zu“?

Vor allen Dingen: Wo nix is, kann man nix angreifen.

Gutes Sprichwort
Zusammengefasst: Wenn ich keine Dienste nutzen möchte genügt Ankommend = Verweigern und Ausgehend = Erlauben ohne Regeln und sobald ich Dienste anschalte lege ich zusätzlich Regeln fest, die dies und jenes erlauben oder eben nicht – so korrekt?

Das ist dann der Ansatz mit Gürtel UND Hosenträgern. Nicht nur laufen bei dir keine Dienste, die man überhaupt angreifen könnte, du machst auch noch die Ports dicht. Meiner Meinung nach unnötig, aber funktioniert.

[foobar]

Zusammengefasst: Wenn ich keine Dienste nutzen möchte genügt Ankommend = Verweigern und Ausgehend = Erlauben ohne Regeln und sobald ich Dienste anschalte lege ich zusätzlich Regeln fest, die dies und jenes erlauben oder eben nicht – so korrekt?

Vermutlich. Ich benutze die Firewall nicht, deswegen kann ich im Detail nicht viel dazu sagen. Sie ohne entsprechende Dienste einzusetzen, ist halt gleichzusetzen mit dem Rauswerfer des Nachtclubs, den man dann vor einen zugemauerten Eingang stellt. Kann man machen, bringt aber nicht viel. Ist der Eingang wirklich offen, muss man überlegen, ob der Rauswerfer da sinnvoll wäre. Wenn sowieso jeder durch soll, bringt er wieder nix. Nur zum Durchwinken braucht man den Kerl ja nicht.

Eigentlich – und das gilt unabhängig vom Betriebssystem – ist eine Firewall ein Konzept, kein Programm. Man überlegt sich halt, welche Angriffsvektoren es gibt und wie man sie ggf. schließt bzw. kleiner macht. Da kann ein Paketfilter dann die Antwort sein, muss er aber nicht.

Nehmen wir mal ein konkretes Beispiel: Du installierst das Paket openssh-server auf dem Laptop, damit du von anderen Maschinen aus auf die Kiste zugreifen kannst. Damit ist nun Port 22/tcp offen, denn da lauscht der SSH-Daemon im Standardfall. Deinem privaten LAN kannst du vermutlich hinreichend vertrauen, aber was ist, wenn du dich unterwegs in ein fremdes LAN oder WLAN einbuchst? Naja, dann kann zwar jeder auf Port 22/tcp mit dem SSH-Dienst reden, aber das heißt nicht zwangsläufig, dass das ein Sicherheitsproblem ist.

Wenn du einige fundamentale Grundprinzipien berücksichtigst, ist das Risiko des erreichbaren SSH-Dienstes sehr überschaubar:

• Das root-Login via SSH ist im Normalfall abgeschaltet und das solltest du auch so lassen.
• Dein eigenes Benutzerkonto sollte ein gutes Passwort haben, oder noch besser: Du solltest nur Public-Key-Authentifizierung machen und das Login via Passwort abschalten.
• Du installierst regelmäßig alle Updates, insbesondere eben für den SSH-Dienst.
• Du schaust regelmäßig mal ins Log, ob da Auffälligkeiten auftauchen (z.B. ein erfolgreiches Login aus Brasilien, obwohl du nie in Brasilien warst).
• Eventuell legst du den SSH-Dienst auf einen anderen Port. Auf 22/tcp sucht halt jeder nach verwundbaren SSH-Diensten. Aber bspw. 10022/tcp werden viele Angreifer gar nicht erst probieren. Darauf ist natürlich kein Verlass, das darf niemals die einzige Sicherheitsmaßname sein. Aber es kann helfen, den Ansturm auf den Port zu mindern. Macht dann auch die Logs übersichtlicher, weil weniger los ist.

Die Alternative ist, dass du unterwegs entweder den SSH-Dienst beendest oder halt den Paketfilter davor klatschst. Der weist dann alle Anfragen ab. Dann kannst du aber auch (unterwegs) nicht mehr von anderen Geräten aus via SSH auf das Laptop zugreifen. Wird ja alles gelockt.

Aber wenn du dann „nur mal eben schnell” ein Loch in den Paketfilter bohrst, weil du den Fernzugriff doch mal brauchtest, dann ist der SSH-Dienst in dieser Zeit doch wieder angreifbar. Und woran genau erkennt die Firewall eigentlich, in welchem Netz sie gerade ist? An der SSID des WLANs? An der MAC-Adresse des Routers? Alle diese Dinge lassen sich im Prinzip auch fälschen. Ob sich jemand den Aufwand antun wird, darüber kann man streiten. Aber je nach Anforderung sollte man auch das mit bedenken. Und wenn die Firewall nicht automagisch umschaltet, sondern der Benutzer das jedes Mal manuell machen muss: Was ist, wenn der es vergisst? Für alle diese Fälle müsstest du die o.g. Grundprinzipien also eigentlich sowieso beachten. Hast du die aber sowieso umgesetzt, ist wieder die Frage: Brauchst du jetzt wirklich noch den Paketfilters?

Da muss man halt abwägen, was genau man eigentlich machen möchte (brauche ich jetzt SSH-Zugriff? Nur zuhause oder auch unterwegs?) und dann entsprechende Maßnahmen ergreifen. Und das für jeden Dienst, den das Laptop anbieten soll.

Das man einfach so den Hauptschalter einer sogenannte Firewall (aka Paketfilter) umlegt und dann ist man mit einem Schlag sicher, ist ein wenig irreführend. Auch unter Windows, MacOS oder anderen Systemen.

Aber wenn du sowieso keine Dienste anbieten und trotzdem den Türsteher vor dem zugemauerten Eingang haben willst, ja, dann reicht einfach einschalten und alles blocken.

[Lerran]

Vielen Dank euch beiden, besonders an foobar für die tolle Erklärung und das Beispiel

Sie ohne entsprechende Dienste einzusetzen, ist halt gleichzusetzen mit dem Rauswerfer des Nachtclubs, den man dann vor einen zugemauerten Eingang stellt. Kann man machen, bringt aber nicht viel. Ist der Eingang wirklich offen, muss man überlegen, ob der Rauswerfer da sinnvoll wäre. Wenn sowieso jeder durch soll, bringt er wieder nix. Nur zum Durchwinken braucht man den Kerl ja nicht.

Okay, dann belasse ich die Gufw einfach auf aus und gut ist. Hast du recht, wenn man eine geschlossene Mauer hat, muss man sich auch keine Gedanken um den Türsteher machen
Mit SSH habe ich mich noch gar nicht beschäftigt. Das kommt dann irgendwann später vielleicht mal.

Damit ist nun Port 22/tcp offen […]

Kann man eigentlich herausfinden welche Ports gerade offen sind?
Bzw. wie viele Ports gibt es denn überhaupt und wären dann auch alle Ports angreifbar?

Das man einfach so den Hauptschalter einer sogenannte Firewall (aka Paketfilter) umlegt und dann ist man mit einem Schlag sicher, ist ein wenig irreführend. Auch unter Windows, MacOS oder anderen Systemen.

Allgemeine Frage – eigentlich hat doch Android (oder iOS) auch keine Firewall weil alles geschlossen ist, oder?
Darüber habe ich mir ehrlich gesagt noch nie Gedanken drüber gemacht aber wäre mal interessant zu wissen.

[jabu]

Auf die Gefahr hin, die reine Freude ein wenig einzutrüben:

Manche Software (wohl nicht nur für Windows) nimmt einfach auf irgendeinem Port Verbindungen an, für irgendein Feature, von dem der Benutzer gar nicht weiß, wofür das gut sein soll, wobei er dieses Feature in vielen Fällen gar nicht braucht. Oder er braucht es nur lokal, wobei er in vielen Fällen gar nicht weiß, dass das über einen Socket geht.

Manchmal wird durch den Entwickler einfach eine Lib eingebunden, die einen Server(Listening)-Socket anlegt, ohne dass der Entwickler weiß, warum das passiert und ohne dass er den Socket bräuchte (übliche Schlamperei, das nicht zu ergründen und ggf. abzustellen).

Crapware, bei der einem nicht gesagt wird, was das soll, kommt aus den renommiertesten Häusern. Plötzlich will die Anwendung die "Horcherlaubnis" haben, und du weißt weder, warum und wofür und schon gar nicht, ob der Code dieses mitlaufenden Servers ausnutzbare Schwachstellen hat. Also bist du froh, dass du das mitbekommst und es nicht zulassen musst.

Für solche Eigenmacht ist es doch gut, wenigstens eine Schließanlage zu haben, die den bereits eingelassenen Gästen standardmäßig verwehrt, selber von innen die Tür aufzumachen, sodass für sie erst eine Erlaubnis eingeholt werden muss. Denn vielleicht lässt sich ein (noch so netter und an sich harmloser) Gast leicht von Fremden an der Tür überrumpeln.

Man könnte zwar (korrekterweise) einwenden, dass man solche Software, bei der unnötige Listening-Sockets standardmäßig aktiv sind, erst gar nicht benutzen soll, aber dumm daran ist, dass man vorher nicht weiß, was einem nach der Installation blüht und dass es manchmal an Alternativen mangelt und dass man ohne Firewall-Software gar nicht mitbekäme, ob der Gast die Tür selber von innen öffnen will.

Ich weiß nicht, wie oft das unter Linux vorkommt und habe sowieso wenig Ahnung von Linux, aber grundsätzlich kann dort doch auch ein Programm einen Listening-Socket anlegen, oder nicht? Dann hätte ich zwar keine Gefahren durch unnötige Dienste, aber würde mich in falsche Sicherheit wähnen.

Auch unter Windows betrifft das nur einen Bruchteil der Software, aber man kann mit ihr viele Stunden oder sogar Tage am Stück verbringen.

Ich will damit nicht im Grundsatz widersprechen, es ist also vorsichtshalber und ergänzend angemerkt.

[foobar]

Ich weiß nicht, wie oft das unter Linux vorkommt und habe sowieso wenig Ahnung von Linux, aber grundsätzlich kann dort doch auch ein Programm einen Listening-Socket anlegen, oder nicht? Dann hätte ich zwar keine Gefahren durch unnötige Dienste, aber würde mich in falsche Sicherheit wähnen.

Also um privilegierte Ports (also die unter 1024) zu öffnen, braucht man root-Rechte. Normale User dürfen das nicht. Und selbst bei der Software, die so einen Port braucht, ist es Usus, sich den Port zu holen und dann einen Privilege Drop zu machen und mit eingeschränkten Rechten weiter zu laufen. Aber auf den billigen Plätzen (Ports oberhalb 1024) ist es denkbar, ja. Ich wüsste nur gerade keinen Grund, warum eine Software das machen sollte. Für lokale Interprozesskommunikation kann man ein Unix Domain Socket oder eine Pipe verwenden, welche keine Netzwerkkommunikation erlauben und nur auf dem jeweiligen Rechner gültig sind. Braucht man lokales TCP/IP, kann man sich dann an das Loopback-Interface binden, welches auch nicht von außen erreichbar ist. Und erst dann kommt das „normale” Netzwerkdevice zum Zuge.

Traditionell ist Linux/Unix sehr konservativ beim Freigeben vom Ports, weil es eben ein Kind des Internets ist. Selbst Datenbankdienste wie MySQL oder PostgreSQL, wenn du sie frisch installierst, sind erstmal nicht aus dem Netz erreichbar und müssen von Hand an das Interface gebunden werden.

Bei manchen Distris wie Ubuntu gibt es ab Werk geöffnete UDP-Ports, aber das machen die halt, um Dienste anbieten zu können, die sie für essentiell halten. Beispielsweise läuft ein dhcpd auf 68/udp, damit der Rechner Änderungen an der Netzwerkkonfiguration durch den Router mitkriegt, ein CUPS-Browser auf 631/udp, um Netzwerkdrucker zu erkennen und ein Avahi auf 5353/udp und 32768/udp für Zeroconf. Da kann man sicherlich drüber streiten, ob das jetzt nötig ist, aber zumindest ist die Argumentation nachvollziehbar. Wenn ich diese Dienste abschalte bzw. sie mit einem Paketfilter blockiere, gehen halt Dinge nicht, die Laien heutzutage offenbar erwarten (wie z.B. automatische Netzwerkkonfiguration, damit man sich nicht mit Dingen wie IP-Adressen, Netzmasken, Gateways und DNS-Servern herum schlagen muss).

Natürlich kann es theoretisch Ausnahmen geben, mir fällt aber gerade kein praxisnahes Beispiel ein, bei dem eine Software unter Linux grundlos Ports aufgerissen hätte und damit zum Sicherheitsrisiko geworden wäre. Und auch via Google finde jetzt auf die Schnelle keine Gründe. Selbst die Artikel, die letztlich empfehlen, die ufw einzuschalten, kommen nur durch die bereits angesprochene Gürtel-und-Hosenträger-Mentalität zu diesem Schluss. Handfesteres können die auch nicht vorweisen. Also bleibt es zumindest von meiner Seite aus bei der Aussage: „Paketfilter unter Linux kann man, muss man aber nicht.”

[Lookbehind]

...

Kann man eigentlich herausfinden welche Ports gerade offen sind?

Der Klassiker wäre

Code:

netstat -tulpen

Die Ports, bei denen unter State "LISTEN" steht sind für diese Betrachtung schon mal grundsätzlich interessant. Dann muss man aber noch mal bei den Adressen schauen. Die meisten lauschen erstmal nur auf Localhost und/oder nehmen auch nur Verbindungen von dort an.

Wenn man das mit root-Rechten ausführt, bekommt man sogar das Programm dazu genannt.

...
Bzw. wie viele Ports gibt es denn überhaupt und wären dann auch alle Ports angreifbar?

Es gibt 65535, jeweils für TCP und UDP (die anderen Protokolle lassen wir mal raus, die sind in der Regel nicht so relevant). Angreifbar ist davon jeder, an dem eine verwundbare Software lauscht und kein Türsteher davor steht.

...
Allgemeine Frage – eigentlich hat doch Android (oder iOS) auch keine Firewall weil alles geschlossen ist, oder?
Darüber habe ich mir ehrlich gesagt noch nie Gedanken drüber gemacht aber wäre mal interessant zu wissen.

Im Default meines Wissens nicht.

Auf die Gefahr hin, die reine Freude ein wenig einzutrüben:

Manche Software (wohl nicht nur für Windows) nimmt einfach auf irgendeinem Port Verbindungen an, für irgendein Feature, von dem der Benutzer gar nicht weiß, wofür das gut sein soll, wobei er dieses Feature in vielen Fällen gar nicht braucht. Oder er braucht es nur lokal, wobei er in vielen Fällen gar nicht weiß, dass das über einen Socket geht.

Manchmal wird durch den Entwickler einfach eine Lib eingebunden, die einen Server(Listening)-Socket anlegt, ohne dass der Entwickler weiß, warum das passiert und ohne dass er den Socket bräuchte (übliche Schlamperei, das nicht zu ergründen und ggf. abzustellen).

Crapware, bei der einem nicht gesagt wird, was das soll, kommt aus den renommiertesten Häusern. Plötzlich will die Anwendung die "Horcherlaubnis" haben, und du weißt weder, warum und wofür und schon gar nicht, ob der Code dieses mitlaufenden Servers ausnutzbare Schwachstellen hat. Also bist du froh, dass du das mitbekommst und es nicht zulassen musst.

Für solche Eigenmacht ist es doch gut, wenigstens eine Schließanlage zu haben, die den bereits eingelassenen Gästen standardmäßig verwehrt, selber von innen die Tür aufzumachen, sodass für sie erst eine Erlaubnis eingeholt werden muss. Denn vielleicht lässt sich ein (noch so netter und an sich harmloser) Gast leicht von Fremden an der Tür überrumpeln.

Man könnte zwar (korrekterweise) einwenden, dass man solche Software, bei der unnötige Listening-Sockets standardmäßig aktiv sind, erst gar nicht benutzen soll, aber dumm daran ist, dass man vorher nicht weiß, was einem nach der Installation blüht und dass es manchmal an Alternativen mangelt und dass man ohne Firewall-Software gar nicht mitbekäme, ob der Gast die Tür selber von innen öffnen will.

Ich weiß nicht, wie oft das unter Linux vorkommt und habe sowieso wenig Ahnung von Linux, aber grundsätzlich kann dort doch auch ein Programm einen Listening-Socket anlegen, oder nicht? Dann hätte ich zwar keine Gefahren durch unnötige Dienste, aber würde mich in falsche Sicherheit wähnen.

Auch unter Windows betrifft das nur einen Bruchteil der Software, aber man kann mit ihr viele Stunden oder sogar Tage am Stück verbringen.

Ich will damit nicht im Grundsatz widersprechen, es ist also vorsichtshalber und ergänzend angemerkt.

In der Theorie hast du recht. Allerdings ist das im Linux-Umfeld alles andere als üblich und würde von der Comunity mit Sicherheit in der Luft zerrissen werden. Sofern es denn auffällt. Durchrutschen kann natürlich immer was. Aber gerade die Linux-Comunity ist bei sowas sehr allergisch und es gibt da auch genug Leute mit technischem Verständnis um sowas erkennen zu können.

Eine Garantie ist das natürlich nicht. Da hast du vollkommen recht.

[Lerran]

Vielen Dank an auch drei

Ich belasse die Gufw jetzt erst mal so, im Moment benutze ich ja wirklich nur den FF zum surfen und die restlichen Programme sind ja nur für Textverarbeitung oder Grafik.
Aber mal sehen, irgendwann fange ich bestimmt auch mal mit SSH an