web analytics

Firewall op Linux desktop. Ja? Nee?

Print Friendly, PDF & Email

firewall-protection-softwareEr blijkt nogal wat verwarring te bestaan over het al dan niet gebruik van een firewall op je desktop onder Linux.

Alvorens we het over het eventueel gebruik van een firewall zullen hebben, eerst wat korte uitleg over wat een firewall feitelijk doet.

Wat is een firewall

Algemeen kun je stellen dat:

Een firewall is een systeem dat de middelen van een netwerk of computer kan beschermen tegen misbruik van buitenaf.

Het beschermde netwerk is vaak een intranet of intern netwerk en dit wordt beschermd tegen het internet. Het ongewenste verkeer bestaat bijvoorbeeld uit aanvallen van hackers en crackers (krakers), inbraken en/of uitbraken van computervirussen, spyware, spam en denial of service attacks.

Soorten firewalls

Firewalls zijn er in twee soorten, als programma en als apparaat (software of hardware firewall). Beide hebben de taak om binnenkomende en uitgaande communicatie (vanaf het internet) te controleren.

Rules

Afhankelijk van de instellingen, de zogeheten “rules“, wordt gekeken of een pakketje door gelaten mag worden. Hierdoor wordt voorkomen dat iets vanaf het internet zomaar verbinding met een computer kan maken.
Het instellen van die rules is een heel complexe zaak en gebeurt via het programma iptables. dat standaard bij de meeste distro’s geïnstalleerd is.
Om te zien welke rules er actief zijn op je systeem maak je gebruik van de opdracht:

$ sudo iptables -l

2014-08-19-Terminal_007

Als je net je systeem hebt opgezet en niks veranderd hebt aan je iptables, krijg je bovenstaande output te zien.

Het werken met iptables valt hier buiten de scope van dit artikel, omdat enkel gebruikers die een server draaien eventueel de iptables zullen moeten aanpassen.

Poorten

Verkeer van en naar de PC gaat via zogenaamde ‘poorten‘. Er zijn twee soorten poorten: ‘bekende‘ poorten en ‘geregistreerde‘ poorten.

Bekende poorten

Van de ‘bekende’ poorten (de poorten 0 tot 1023) is altijd bekend wat voor programma hier gebruik van kan maken. Zo verwacht een ftp server dat er op poort 21 verbinding gemaakt wordt en een webserver (http) dat er op poort 80 verbinding gemaakt wordt. Een firewall weet welke bekende diensten op deze ‘bekende’ poorten aankloppen en dus wat wel en niet doorgelaten mag worden.

Geregistreerde poorten

De ‘geregistreerde’ poorten daarentegen kunnen door elk willekeurig programma gebruikt worden. Van deze poorten maken de meeste inbrekers gebruik. De meeste firewalls zullen al het binnenkomend verkeer op deze geregistreerde poorten blokkeren, tenzij er specifiek opdracht wordt gegeven om de verbinding toe te staan.

Router

De meesten onder ons zitten met hun desktop of LAN achter een router (Telenet/Belgacom/Base/…). Al deze routers zijn een NAT-router en hebben zelf een firewall ingebouwd. De standaard instellingen van deze routers zijn normaal correct ingesteld, maar toch is het goed om te wten of er toch niks open staat in de firewall. You never know…

Controle op open poorten

Om te zien of de ingebouwde firewall van je router goed werkt, ga je naar de volgende website: https://www.grc.com/x/ne.dll?bh0bkyd2 klik op [Proceed] en dan [Common Ports]

Als alle veldjes naast je poorten groen oplichten (stealth=verborgen), dan zit je veilig achter je router. Je bestaat in feite niet voor een cracker.

2014-08-19-Selectie_005Bij mijn telenet modem blijk ik echter niet 100% ‘onzichtbaar’ te zijn daar een Ping request beantwoord wordt. Via een Ping request kan een cracker te weten komen dat er iets leeft aan de andere kant omdat je systeem een reply stuurt en dus eventueel zijn aanvallen op dat IP adres richten. In feite moet je je ping request het zwijgen opleggen, zodat ook via dat kanaal de cracker niets te weten komt over jouw systeem.

Ping Reply: RECEIVED (FAILED) — Your system REPLIED to our Ping (ICMP Echo) requests, making it visible on the Internet. Most personal firewalls can be configured to block, drop, and ignore such ping requests in order to better hide systems from hackers. This is highly recommended since “Ping” is among the oldest and most common methods used to locate systems prior to further exploitation.

Ik heb nog niet gevonden hoe ik dat moet instellen via MijnTelenet.
Ik zoek iets in de aard van ‘Block Anonymous WAN Requests (ping)’ maar vind dat nergens…

Welke poorten staan toch open bij mij?

Bepaalde software zal een poort openen om zijn ‘ding’ te kunnen doen. Deze poorten zijn altijd terug te vinden in met poortnummer > 1024. Om te zien welke applicaties die specifieke poorten gebruiken geef je de volgende opdracht in:

$ netstat -anltp | grep "LISTEN"

Bij mij geeft dat als resultaat

2014-08-19-Terminal_006

en daar kan ik perfect mee leven want ik draai inderdaad Dropbox (PID 2165) en CopyAgent (PID 2035) en mijn printer wordt via CUPS over mijn netwerk aangestuurd via poort 631 (< 1023, dus een vertrouwde poort) op mijn localhost (127.0.0.1)

Moet ik dan wel een firewall installeren?

Wel, als je enkel met je desktop werkt die achter een Telenet/Belgacom/Base/… router zit en alle poortjes zijn groen in de grc-test, dan is er geen extra beveiliging nodig.

Wil je wel een firewall draaien en de iptables bewerken, dan raad ik de grafische front-end gUFW aan, die via Synaptic of softwarebeheer geïnstalleerd kan worden.

Beoordeling

Geef een reactie

%d bloggers liken dit: