Themabewertung:
  • 0 Bewertung(en) - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
Firewall: ufw vs. iptables ?
#1
Huhu, Ihr Lieben

wie viele ja bereits wissen bin ich gerade dabei mich etwas in die Linux Welt (Server) einzuarbeiten. Momentan in das Thema Server Sicherheit, mir ist natürlich klar das es eine 100% Sicherheit nie geben wird, wenn jemand in ein System will wird er immer einen Weg finden denk ich.

Das Thema Server Sicherheit ist ja auch gewaltig Umfangreich so, dass ich als Privater "Hobby" Admin, denk auch nur einen Bruchteil abdecke was es an Möglichkeiten gibt. Aber zum Thema ich nutze aktuell Debian als OS und für die Firewall ufw statt iptables, wobei laut meinen Recherchen ufw eine Art Template für iptables ist liege ich da richtig ?

Was mich halt interessieren würde da ufw ja weitaus leichter zu konfigurieren ist als iptables ob es da irgendwelche Sicherheitstechnischen Abstriche gibt im Vergleich zum ich sag mal großen Bruder iptables ? Bzw. ob es Leute mit Erfahrungswerten diesbezüglich hier im Forum gibt ?

lg. Angus
Projekte:

| Elbium: Work in progress |



Zitieren
#2
Ich hatte mich bewusst entschieden, direkt iptables zu verwenden, weil dann nur Sachen passieren, die ich verstehe. Dabei nutze ich natürlich nicht alle denkbaren Möglichkeiten, sondern gezielt ein möglichst einfaches Schema, also eine Port-Firewall (Protokoll, Port, Richtung => fertig.)

ufw ist ein Hilfstool, was letztenendes auch "nur" iptables mit Regeln füllt. Das Ergebnis sind Regelketten, die mir zu kompliziert sind. Insbesondere die in Firewall-Tools verbreiteten "Applikationsfilter" sind mir ein Dorn im Auge. Damit gibt man sozusagen einen Dienst wie SSH oder Email frei, und das Tool weiß dann, welche Ports und Protokolle dafür geöffnet werden sollen. Blöd nur, wenn ich es nicht weiß, dann macht mir das Tool "irgendwas" auf. Genau deshalb benutzte ich zum Beispiel unter OpenSUSE die äußerst komfortable dialogbasierte SuseFirewall nicht: Die vom Tool erzeugten Regelwerke in iptables konnte ich selber nicht mehr sicher verstehen.

Unter der Annahme, du arbeitest dich hinreichend in iptables ein, um die durch ufw erzeugten Regeln zu verstehen, sehe ich keine Sicherheitsbedenken. Bequemer ist es eventuell ein paar Kommandos abzusetzen statt eine Textdatei zu editieren. Wobei in meiner Firewall alle benötigten Varianten eh vorkommen, so dass ich bei einem zusätzlichen Port einfach mit copy-paste eine Beispielzeile kopiere und in der Kopie die Portnummer ändere.

EDIT: ufw wurde entwickelt, um Usern, die iptables nicht verstehen,eine Firewall zu ermöglichen. Besser eine nicht verstandene Firewall, als keine Firewall (oder eine wegen Fehlkonfiguration wirkungslose).
Zitieren
#3
Ja eine Firewall ist sehr wichtig auf einen Server mein aktuelles Setup ist ja eigentlich eher als Basis zu betrachten ich versuch es so gut es geht dicht zu machen, denk aber sobald ich etwas tiefer in die Materie einsteige werd ich mich auch mehr mit iptables befassen, momentan such ich eher noch nach einem guten Tutorial weil viele Tutorials geben dir Code vor den man einfach abtippen soll ohne eine Erklärung dazu so ein wirklich cooles iptables für Anfänger Tutorial hab ich leider noch nicht finden können.

Also kann man sagen ich arbeite momentan an einem Basis Setup um den Server zum Laufen zu bringen und beginne dann mich Tiefer in die Materie einzuarbeiten. Jeder hat ja mal klein Angefangen, aber ich mach mir halt auch Gedanken um die Sicherheit also kann ich ufw für den Anfang gut nehmen ?
Projekte:

| Elbium: Work in progress |



Zitieren
#4
Klar, für den Anfang kannst du ufw nehmen, besser als keine oder eine wirkungslos konfigurierte FW ist es allemal. Lies aber die Warnungen gut durch, auch mit ufw kannst du dich aus dem Rechner aussperren!

https://wiki.ubuntuusers.de/ufw

( https://wiki.ubuntuusers.de/iptables2 )
(Bei Ubuntuusers verlinkt, die beste deutschsprachige iptables Anleitung, die ich kenne: http://www.pro-linux.de/artikel/2/761/ip...ls-24.html )

Viele Grüße,
Mareta
Zitieren
#5
Smile ja wobei ich teste aktuelle auf ner VM das war ein Tipp von einem der sich mit Servern schon bissl besser auskennt nie auf einem Live System testen immer auf ner VM oder einer Testumgebung und wenn es da läuft erst auf den Live Server Smile
Projekte:

| Elbium: Work in progress |



Zitieren
#6
Hihi, daran wurde ich gerade vor einer guten Woche auf die harte Art erinnert: Mein Server ist ja normalerweise das Testsystem, ich habe kein "Live System" im eigentlichen Sinne. Nur jetzt mit der öffentlich bekannt gemachten Region "Weihnachtsmarkt" wurde es durch die Hintertür temporär doch Live. Und wie es kommen musste:
-> Versuch unter dem rollenen Rad von Ubuntu 14.04 auf 15.10 hochzurüsten
-> System platt, kein Login mehr möglich
-> Zwei Stunden Downtime, bis ich das Backup wieder aufgespielt, OpenSim (nicht im Backup enthalten) neu installiert und die Datenbanken wieder befüllt hatte.
Zitieren
#7
hihihi ja du ich hab meinen Test Server sicher auch schon 10 mal mindestens abgeschossen bei Virutal Box hab ich halt den Vorteil das ich Sicherheitspunkte machen kann und immer darauf schnell zurück springen ohne ein Backup oder sonst was einladen zu müssen. Das Thema Backup wird dann auch nochmal wichtig wenn alles auf dem Server läuft.
Ich versuch ja so viel wie möglich über die Konsole zu machen Smile als Newbie ist ma da Anfangs bissl überfordert, aber nun läufts langsam muss halt immer noch viel Suchen weil ich noch nicht alles mir gemerkt hab xD
Projekte:

| Elbium: Work in progress |



Zitieren
#8
Ich würde erstmal so anfangen ...

1. Welche Dienste brauche ich für OpenSim? / Unnötige Dienste rauskeulen
2. Standarts-Ports ändern, SSH, FTP usw ...
3. apt-get install iptraf [Bild: smile.gif]

Cheers
www.kamen-fotografie.de | Fotos vom besten Fotografen
Zitieren
#9
Ist schon klar, Freaky

Es geht ja erstmal darum, allgemeinen Traffic auf die Ports von außen zu reduzieren.

Cheers
www.kamen-fotografie.de | Fotos vom besten Fotografen
Zitieren
#10
ja ne, ist klar Freaky ...

aber der Topic-Ersteller, hat nach Linux-Sicherheit gefragt ....


Cheers
www.kamen-fotografie.de | Fotos vom besten Fotografen
Zitieren


Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste