Application Firewall für Linux

Gibt es mittlerweile eine einfach zu bedienende Application Firewall für Linux?
Ich möchte kontrollieren können welche Programme aufs Netzwerk zugreifen dürfen.

Um Missverständnisse zu vermeiden: Ich möchte mit dieser Firewall NICHT Angreifer abwehren!

Unter Windows erfüllen diese Aufgabe z.B. ZoneAlarm oder Comodo, unter MacOs kann man hierfür Little Snitch verwenden.

ESET gibts auch für Linux. Die Firewall Einstellungen hab ich immer gemocht, da Sie richtige Regeln bietet. (Inbound/Outbound, Protokollbasiert)



1 mal bearbeitet, zuletzt am 02.10.09 13:39 durch RaiseLee.

firestarter

Darf man fragen, warum sowas unter Linux so wichtig ist?

Telefonieren nach Hause ist bei nativen Linuxanwendungen nicht ungefragt drin. Viren-/Wurmgefahr? Aus verschiedenen Gruenden extrem gering (deutlich weniger Viren, sehr gute Firewall, keine Normaluser als Admins unterwegs, SELinux/AppArmor, etc.). 100% sicher kriegt man eh kein OS.

firestarter ist ein sehr feines interface zu iptables, kann das aber wirklich einzelne applikationen blockieren?

Habe ich mich auch gefragt. Bei verwendung von kommerzieller Software unter Linux würde ich es allerdings verstehen. Aber für OSS?

Mir ist derzeit keine "Application Layer Level" Firewall bekannt. Da bestand bisher einfach viel zu wenig Bedarf. Was für einen Sinn bringt es auch, eine Firewall für eine Gruppe von Usern anzulegen, die ohnehin nicht sauber damit arbeiten dürfte?

Die genannten Ansätze oben entsprechen eher einer sinnvollen Konfiguration. Die Firewall macht dicht und erlaubt nur bestimmten Ports, darüber Daten aus- bzw. eingehend zu transportieren. Hängst du dann noch über Port 80 nen Proxy dran, der wesentlich feinkörniger einstellen, wohin drauf zugegriffen werden darf (was web-Zugriffe angeht) ist auch dort alles dicht.

Witzigerweise telefoniert normale Open Source Software eben nicht "nach Hause", ohne den Benutzer zu fragen. Henne-Ei-Problem also.
Aber ich stimme dir zu. Da es immer mehr proprietäre Software gibt, würde so eine Firewall durchaus Sinn machen. Interessant würde es nur werden, wie diese Firewall Dinge blocken soll, die nicht im jeweiligen Kontext des Benutzers laufen. Immerhin ist Linux ein ECHTES Multi-User-Betriebssystem. Da kann man eben nicht davon ausgehen, dass ein einzelner User über Dinge anderer User entscheiden darf. Installiert es der Root für alle, wirds noch viel schwieriger. Wer darf jetzt was? Wer darf was bei wem? Wie ist also die Berechtigungsmatrix? Wie autorisiert sich der Benutzer gegenüber der Firewall? Welche Programme sollen überhaupt überwach- und steuerbar sein? Will man das alles integrieren, wird es ein Konfigurationsmonster, wie Systeme wie SElinux beweisen, die ja nur die Zugriffsrechte je User feinkörniger verteilen.

Btw: Du glaubst doch wohl nicht im Ernst, dass die Windows-Firewalls wirklich Zugriff auf alles haben? :-)

Gruß.

Vielen Dank für eure Antworten.

Wenn BigFoot29 recht hat und derzeit keine "Application Layer Level" Firewall für Linux existiert kann der Thread geschlossen werden.

@Alle die den Sinn in Frage stellen argumentieren in meinen Augen ein Stück weit wie AppleFanboys die ja auch den Sinn von matten Displays und wechselbaren Akkus in Frage stellen nur weil sie für ihr System nicht verfügbar sind/waren.
Für mich bietet eine Application Firewall Schutz vor Anwendungssoftware die nach Hause telefonieren will, sowie vor Trojanern und sonstigen Viren die private Daten stehlen wollen.

WindowsUser schrieb:
--------------------------------------------------------------------------------
> Vielen Dank für eure Antworten.
>
> Wenn BigFoot29 recht hat und derzeit keine "Application Layer Level"
> Firewall für Linux existiert kann der Thread geschlossen werden.
>
> @Alle die den Sinn in Frage stellen argumentieren in meinen Augen ein Stück
> weit wie AppleFanboys die ja auch den Sinn von matten Displays und
> wechselbaren Akkus in Frage stellen nur weil sie für ihr System nicht
> verfügbar sind/waren.
> Für mich bietet eine Application Firewall Schutz vor Anwendungssoftware die
> nach Hause telefonieren will, sowie vor Trojanern und sonstigen Viren die
> private Daten stehlen wollen.


Es ist oft sinnvoll nach dem Sinn zu fragen. Schließlich kann man nur so herausfinden, was der fragende eigentlich erreichen möchte.

Du möchtest also im Prinzip verhindern, dass ein Nutzer sich ein Programm einfängt, dass Daten stehlen kann und diese ins Netz überträgt.

Folgendes würde dieses Risiko ausschließen:

Verlagere "/home" und "/tmp" auf je eine eigene Partition. Verpasse jeder dieser Partitionen in der "/etc/fstab" die Option "noexec" (siehe "man mount").
Damit verhinderst Du, dass die Benutzer selbst beschaffte binäre Programme ausführen können.
Verwende AppAmor um für die Interpreter von Skriptsprachen den Zugriff auf die gleichen Verzeichnisse zu sperren.

In dem Fall kann nur noch eine Sicherheitslücke im Browser oder sonnst einer Netzwerkapplikation dafür sorgen, dass dem Benutzer Daten gestohlen werden können.

---

Du kannst Übrigens auch mal nachlesen, was AppAmor und SELinux so können. Vielleicht lassen sich ja Profile anlegen, bei denen Programme aus bestimmten Pfaden keinen Netzwerkzugriff erhalten bzw. nur zuvor definierte Programme aufs Netz zugreifen dürfen.

Der Kommunist schrieb:
--------------------------------------------------------------------------------
> Darf man fragen, warum sowas unter Linux so wichtig ist?

Weil ungefragtes Nach Hause telefonieren auch bei Linux Anwendungen gang und gäbe ist.

> Telefonieren nach Hause ist bei nativen Linuxanwendungen nicht ungefragt
> drin.

Mozilla Firefox ist keine native Linuxanwendung?

Vielen Dank das Du uns die Welt erklärt hast.

Tom Riddle schrieb:
--------------------------------------------------------------------------------
>> Darf man fragen, warum sowas unter Linux so wichtig ist?
> Weil ungefragtes Nach Hause telefonieren auch bei Linux Anwendungen gang
> und gäbe ist.

Bei OSS Anwendungen? Nein

>> Telefonieren nach Hause ist bei nativen Linuxanwendungen nicht ungefragt
>> drin.
> Mozilla Firefox ist keine native Linuxanwendung?

Doch, nur macht Firefox das nicht. Und alles was diskutabel ist (aber sinnvolle Funktionen erfüllt) kann man doch in Firefox deaktivieren. Warum willst du dir ein Bein abschneiden nur weil du zu faul bist ein Pflaster auf die Wunde zu tun?

WindowsUser schrieb:
--------------------------------------------------------------------------------
> Vielen Dank für eure Antworten.
>
> Wenn BigFoot29 recht hat und derzeit keine "Application Layer Level"
> Firewall für Linux existiert kann der Thread geschlossen werden.

Meines Wissens gibt es so etwas auch nicht. Die Gruende dafuer, sehe ich nur woanders.

> Für mich bietet eine Application Firewall Schutz vor Anwendungssoftware die
> nach Hause telefonieren will, sowie vor Trojanern und sonstigen Viren die
> private Daten stehlen wollen.

Es gibt meines Wissens kein Programm (und kann keines geben), was das verhindern kann, was du da angibst. Jede Software-Firewall kann zum "raustelefonieren" relativ easy umgangen werden. Wie das geht unterscheidet sich i.A. von Software zu Software. Die meisten bots tun es. Da kommt also keine Meldung, dass da jmd. raustelefonieren will. Hin und wieder schliessen Anbieter wie Zonealarm Luecken, die das ermoeglichen, aber es gibt immer andere Wege.

Vor Malware ist so etwas also kein Schutz. Das einzige, wovor du dich schuetzt, ist dass deine serioese gecrackte Software nach Hause telefoniert, weil diese die Firewalls eher nicht umgeht.

Was man gegen Malware machen kann ist oben schon beschrieben worden (noexec). Ausserdem kannst du dir bei der normalen Software die du benutzt ja anzeigen lassen, was sie so fuer Verbindungen aufbaut und ueber diese sendet. Die Muehe machen sich meist schon andere, so dass schnell bekannt wird, wenn Linux-Software "zufaellige" Daten nach Hause uebertraegt.

dakira

hei.#
wenn es dir um eine überwachung geht dann sind netstat und/oder lsof dein freund.
damit kann mensch schön sehen, wer aufs netz zugreift.

ansonsten finde ich das thema application firewall zurecht kein thema.

man kann schließlich alle daten durch http und damit durch was unauffälliges wie wget oder so schmuggeln...

LH schrieb:

>>> Darf man fragen, warum sowas unter Linux so wichtig ist?

>> Weil ungefragtes Nach Hause telefonieren auch bei Linux Anwendungen gang und gäbe ist.

> Bei OSS Anwendungen?

Nicht das Thema wechseln. Es ging um native Linux Anwendungen.

>Nein

Doch, auch bei OSS. Zitat ct 21/2009 S. 103: "Alle Browser schauen selbsttätig auf den Servern ihrer Hersteller nach ob sie veraltet sind"

Zitat aus http://www.heise.de/newsticker/meldung/Firefox-eBay-Suche-mit-Umleitung-115745.html :
"Statt die eBay-Suchseite unter http://search.ebay.de/search/search.dll zu öffnen, leitet Firefox Anfragen zunächst an eine Adresse auf dem Server www.webtip.ch."

OSS heißt das ich jederzeit die Möglichkeit habe mich nach einem wenige Jahre Langen Studium der Informatik durch einige wenige Tausend Zeilen Sourcecode zu wühlen um solche Schweinereien zu finden und vor dem Programmstart zu entschärfen. Eine Desktopfirewall heißt das ich die Möglichkeit habe jede Kommunikation ohne kriminellen Hintergrund die ein Programm, ob OSS oder CSS oder was auch immer, durchführen will zu bemerken, zu bewerten und ggf. auch zu unterbinden.

> Und alles was diskutabel ist (aber
> sinnvolle Funktionen erfüllt) kann man doch in Firefox deaktivieren.

Nachdem man ihn gestartet hat. Und teilweise indem man per About:config über eine kaputte Treppe in einen unbeleuchteten Keller steigt in dem in einem Wandschrank mit der Aufschrift "Vorsicht, bissiger Löwe" der entsprechende Schalter zu finden ist.

> Warum willst du dir ein Bein abschneiden nur weil du zu faul bist ein Pflaster auf die Wunde zu tun?

weil ich ein fauler aber kluger Mensch bin. Ich verwende keine Zeit auf ein Informatikstudium wenn ich nicht muß.

dakira schrieb:
--------------------------------------------------------------------------------
> > Für mich bietet eine Application Firewall Schutz vor Anwendungssoftware
> die
> > nach Hause telefonieren will, sowie vor Trojanern und sonstigen Viren
> die
> > private Daten stehlen wollen.
>
> Es gibt meines Wissens kein Programm (und kann keines geben), was das
> verhindern kann,

Trenne einfach "das". Schutz vor Viren und Trojanern - nein, natürlich nicht. Schutz vor Programmen die Daten stehlen - nein, natürlich nicht.

Schutz vor Programmen die nach Hause telefonieren - ja, das geht sehr wohl. Denn der Ersteller dieser Programme tut immer so süß unschuldig als würde er das nur zum Besten der Menschheit machen. Wenn er aktiv eine Firewall umgeht dann kann man seinen Arsch in der Hölle über kleiner Flamme rösten.


> Jede Software-Firewall kann zum
> "raustelefonieren" relativ easy umgangen werden.

Nö, so einfach ist das nicht. Fängt schon damit an das keine Software "so einfach" rausfindet das mein Standard-Browser Internet Explorer ebenso wie der Standard-Mail-Client Outlook nur als Teergrube fungiert.













Wie das geht unterscheidet
> sich i.A. von Software zu Software. Die meisten bots tun es. Da kommt also
> keine Meldung, dass da jmd. raustelefonieren will. Hin und wieder
> schliessen Anbieter wie Zonealarm Luecken, die das ermoeglichen, aber es
> gibt immer andere Wege.
>
> Vor Malware ist so etwas also kein Schutz. Das einzige, wovor du dich
> schuetzt, ist dass deine serioese gecrackte Software nach Hause
> telefoniert, weil diese die Firewalls eher nicht umgeht.
>
> Was man gegen Malware machen kann ist oben schon beschrieben worden
> (noexec). Ausserdem kannst du dir bei der normalen Software die du benutzt
> ja anzeigen lassen, was sie so fuer Verbindungen aufbaut und ueber diese
> sendet. Die Muehe machen sich meist schon andere, so dass schnell bekannt
> wird, wenn Linux-Software "zufaellige" Daten nach Hause uebertraegt.
>
> dakira

Nie mit Leuten über den Anwendungsfall diskutieren :-)

Wenn du sagst du willst outbound traffic abklemmen dann willst du das basta. "Wieso solltest du das wollen" is nicht.

Wie wärs mit AppAmor?

Wenn du es schon schaffst, dir einen Trojaner zu installieren, woher willst du dann wissen, dass der deine Firewall nicht eh außer Gefecht setzt? Clevere Schadsoftware macht das.

Totaler Schwachsinn, was hier wieder gefordert wird.

Kein schlechter Artikel ist auch: http://wiki.ubuntuusers.de/Personal_Firewalls ; nicht die Bibel ^^ aber lesenswert