Für die Konfiguration einer Firewall gibt es verschiedene Methoden. Welche man einsetzt hängt von verschiedenen Faktoren ab. Eine Rolle pielen unter anderem die Größe des Netzwerkes, die Umgebung (privates Netzwerk, Hochschul- umgebung, Firma, Behörde etc.)

Auf den folgenden Seiten soll die differenzierte Konfiguration der ipfw auf Kommandozeilenebene beschrieben und erklärt werden. Wir werden dazu zunächst einige Vorüberlegungen anstellen und einige Begriffe klären.

Vorüberlegungen

Was ist eine Firewall und wann braucht man überhaupt eine Firewall?

Einfach gesagt ist eine Firewall eine Netzwerkkomponente, die den Datenverkehr zwischen IP-Netzwerken kontrolliert. Eine Desktopfirewall (wie unsere ipfw) nimmt hier eine Sonderstellung ein, da sie den Datenverkehr zwischen einem Netzwerk und einem Computer kontrolliert. In einem privaten Netzwerk, das mit anderen Netzen (z. B. dem Internet) nur über Router verbunden ist, ist eine Firewall meist nicht notwendig, wenn man auf dem Router kein Port Forwarding aktiviert hat (es sei denn, mann möchte auch den Datenverkehr aus dem privaten Netz kontrollieren). Unter einem privaten Netzwerk versteht man ein Netzwerk mit sog. privaten IP Adressen, die im Internet nicht geroutet werden. Ist man über ein Modem oder ein DSL-Modem direkt mit dem Internet verbunden, kann der Einsatz einer Firewall sinnvoll sein. Ebenso, wenn man auf einem Router Portweiterleitungen eingerichtet hat, um Zugriffe aus dem Internet zu ermöglichen, diese aber überwachen oder beschränken möchte.

Mac OS X und Darwin werden mit einer Firewall ausgeliefert, die man auf der graphischen Benutzeroberfläche über Systemeinstellungen > Sharing > Firewall figurieren kann. Es handelt sich dabei um ein Frontend für die ipfw, die auf Terminalebene noch genauer eingestellt werden kann. Dieses "Feintuning" soll uns hier beschäftigen. Ich gehe davon aus, dass Ihr Euch mit der Konfiguration der ipfw über die Systemeinstellungen schon vertraut gemacht habt. Diese ist in Apple-typischer Weise einfach nd benutzerfreundlich. Dadurch ist es jedoch andererseits nicht möglich auf alle Funktionen der ipfw zuzugreifen. Solange man auschließlich die graphisch Konfiguration verwendet, können folgende Regeln erstellt werden.

  • Freigeben von Ports für den Zugriff auf vorinstallierte lokale Server (z. www-Server, Mail-Server). Dabei ist es so, dass mit dem Aktivieren der Server im Bereich Sharing die erforderlichen Ports automatisch geöffnet werden.
  • Freigeben von Ports fü den Zugriff auf selbstinstallierte Programme oder Dienste. Hier kann der Benutzer Namen und Portnummer bzw. -bereich selbst definieren..

Grundsätzlich lassen sich Firewalls auf zwei unterschiedliche Arten konfigurieren.

  • Liberal: Es ist alles erlaubt, was nicht verboten ist.
  • Restriktiv: Es ist alles verboten, was nicht erlaubt ist.

Dabei gibt es auch eine Zwischenstufe: liberal von innen nach außen und restriktiv von außen nach innen. Und genau so ist die ipfw (wenn Sie aktiviert wird) von Apple voreingestellt. Dies ist für einen Einzelplatzrechner auch durchaus sinnvoll, in einem Schul- oder Unternehmensnetzwerk wird man aber die User (die dann auch keine admin-Rechte auf dem Rechner mehr haben) u. U. einschränken. Allerdings wird man dies dann effizienter an einer zentralen Firewall einstellen, die z. B. zwischen Router und Internet angeordnet wird.

Es ist übrigens so, dass die Firewall nicht wirklich ausgeschaltet werden kann, da sie enweder in den Kernel einkompiliert ist oder , wie bei Mac OS X, als Kernelmodul geladenen wird. Wenn man den "Stop"-Button auf der graphischen Oberfläche drückt, wird nur jeder Verkehr wieder erlaubt. Dies ist sehr wichtig, denn wenn die Firewall kein Prozess ist, (wie dies bei nachinstallierten Firewalls meist der Fall ist), kann dieser Prozess auch nicht von einem möglichen Angreifer beendet werden.

So, nun wollen wir aber endlich mit der Konfiguration anfangen.

1   2   3   4   5