Die Sicherheit eines Computers oder Servers ist von entscheidender Bedeutung, insbesondere wenn er mit dem Internet verbunden ist. Eine Firewall ist ein wichtiger Bestandteil des Sicherheitssystems und schützt vor unautorisiertem Zugriff und potenziellen Angriffen. In diesem Blogbeitrag werden wir uns die Firewall UFW unter Ubuntu und Linux genauer ansehen und erfahren, wie sie eingerichtet und konfiguriert wird.
Grundlagen der Firewall
UFW (Uncomplicated Firewall) ist eine benutzerfreundliche Firewall-Lösung, die standardmäßig auf Ubuntu-Systemen installiert ist. Sollte dies nicht der Fall sein, kann sie einfach mit dem folgenden Befehl nachinstalliert werden:
sudo apt-get install ufw
Bevor wir mit der Konfiguration beginnen, müssen wir die Standardrichtlinien festlegen. Diese Regeln steuern den Datenverkehr, der nicht explizit mit anderen Regeln übereinstimmt. Standardmäßig ist UFW so eingestellt, dass alle eingehenden Verbindungen blockiert und alle ausgehenden Verbindungen erlaubt werden. Dies bedeutet, dass niemand von außen auf den Server zugreifen kann, während Anwendungen innerhalb des Servers nach außen kommunizieren können. Um die UFW-Regeln auf die Standardeinstellungen zurückzusetzen, werden folgende Befehle verwendet:
sudo ufw default deny incoming
sudo ufw default allow outgoing
Mit diesen Befehlen werden die Standardeinstellungen so konfiguriert, dass eingehende Verbindungen blockiert und ausgehende Verbindungen erlaubt werden. Für einen persönlichen Computer könnten diese Firewall-Einstellungen ausreichen, aber Server müssen normalerweise auf eingehende Anfragen von externen Benutzern reagieren. Hierdurch würden alle Anfragen, z.B. die an einen Docker Container mit freigegebenen Port, geblockt werden.
Aktivierung der Firewall ufw und Konfiguration
Wenn wir die UFW-Firewall jetzt aktivieren würden, würden alle eingehenden Verbindungen blockiert. Daher müssen wir Regeln erstellen, die explizit legitime eingehende Verbindungen erlauben, z. B. SSH- oder HTTP-Verbindungen. Wenn ein Server per SSH verwalten möchte, müssen eingehende SSH-Verbindungen zugelassen werden. Um dies zu konfigurieren, kann folgender Befehl verwendet werden:
sudo ufw allow ssh
Damit werden Firewall-Regeln erstellt, die alle Verbindungen auf Port 22 zulassen, auf dem der SSH-Daemon standardmäßig lauscht. UFW erkennt den Dienst „ssh“ automatisch, da er in der Datei „/etc/services“ aufgeführt ist. Alternativ können Sie die Regel auch mit der Angabe des Ports erstellen:
sudo ufw allow 22
Um UFW zu aktivieren, wird nachfolgender Befehl genutzt:
sudo ufw enable
Es wird eine Warnung angezeigt, dass der Befehl bestehende SSH-Verbindungen unterbrechen kann. Da wir bereits eine Firewall-Regel für SSH-Verbindungen erstellt haben, können wir die Warnung mit „y“ bestätigen und die Eingabetaste drücken.
Spezifische Konfigurationen
Port Ranges
Einige Anwendungen verwenden mehrere Ports statt eines einzelnen Ports. Mit UFW können Portbereiche angeben werden, um diese Verbindungen zu ermöglichen. Nehmen wir zum Beispiel X11-Verbindungen, die die Ports 6000-6007 verwenden. Hier sind die entsprechenden Befehle, um diese in der Firewall freizuschalten:
sudo ufw allow 6000:6007/tcp
sudo ufw allow 6000:6007/udp
IP-Adressen
Wenn spezifische IP-Adressen zugelassen werden möchten, kann dies ebenfalls in einer Firewall-Regeln abgebildet werden. Wenn beispielsweise Verbindungen von einer bestimmten IP-Adresse wie 203.0.113.4 erlaubt werden sollen, wird der folgende Befehl genutzt:
sudo ufw allow from 203.0.113.4
Es ist ebenfalls möglich, einen bestimmten Port angeben, zu dem die IP-Adresse eine Verbindung herstellen darf. Hier ist ein Beispiel, um Verbindungen von 203.0.113.4 zum Port 22 (SSH) zuzulassen:
sudo ufw allow from 203.0.113.4 to any port 22
Subnetze
Die sogenannte CIDR-Notation ermöglicht es, ein Subnetz von IP-Adressen in den Firewall-Regeln zuzulassen. Wenn beispielsweise alle IP-Adressen im Bereich von 203.0.113.1 bis 203.0.113.254 zugelassen werden möchten, kann der nachstehende Befehl verwendet werden:
sudo ufw allow from 203.0.113.0/24
Auch hier kann der Ziel-Port angeben werden. Nehmen wir an, es soll das Subnetz 203.0.113.0/24 nur mit dem Port 22 (SSH) verbinden lassen:
sudo ufw allow from 203.0.113.0/24 to any port 22
Verbindungen ablehnen
Manchmal möchte man bestimmte Verbindungen aufgrund der Quell-IP-Adresse oder des Subnetzes ablehnen. Standardmäßig werden alle eingehenden Verbindungen von UFW verweigert, es sei denn, Sie erstellen explizite Regeln, um bestimmte Ports und IP-Adressen zuzulassen. Wenn jedoch bestimmte Verbindungen aufgrund von Sicherheitsbedenken abgelehnt werden sollen, können Verbotsregeln erstellt werden. Die oben genannten Befehle können analog verwendet werden, indem „allow“ durch „deny“ ersetzt wird.
Beispiel für das Verweigern von HTTP-Verbindungen:
sudo ufw allow from 203.0.113.0/24
Oder um alle Verbindungen von 203.0.113.4 abzulehnen:
sudo ufw deny from 203.0.113.4
Regeln löschen
Das Löschen von Firewall-Regeln ist genauso wichtig wie das Erstellen. Es gibt zwei Möglichkeiten, Regeln zu löschen: nach Regelnummer oder nach der eigentlichen Regel. Wenn Regeln anhand der Nummer gelöscht werden sollen, verwenden Sie den Befehl
sudo ufw delete
gefolgt von der Regelnummer. Die Regelnummer kann mit dem nachstehenden Befehl herausgefunden werden:
sudo ufw status numbered
Aber Achtung, denn nach dem löschen einer Regel können die Nummern sich zur ersten Ausgabe unterscheiden.
Wenn Regeln anhand der tatsächlichen Regel gelöscht werden sollen, verwendet man den nachstehenden Befehl gefolgt von der Regel selbst.
sudo ufw delete
Beispiel für das Löschen einer Regel anhand der Regelnummer:
sudo ufw delete 2Beispiel für das Löschen einer Regel anhand der tatsächlichen Regel:
sudo ufw delete allow httpDie Firewall UFW bietet eine einfache und effektive Möglichkeit, den Datenverkehr zu steuern und Ihren Ubuntu- oder Linux-Server vor unerwünschten Zugriffen zu schützen. Durch die Konfiguration der Firewall nach den spezifischen Nutzeranforderungen kann die Sicherheit erhöht und potenzielle Angriffe abwehrt werden. Wir haben in diesem Blogbeitrag nur einen Überblick über die Grundlagen gegeben, aber UFW bietet viele weitere Möglichkeiten zur Feinabstimmung der Firewall-Regeln. In der Dokumentation sind zusätzliche Funktionen beschrieben.
