6.4 Firewalls
Als unterhaltsame Einführung ins Thema: Ioutub make di good explanation
Lokale Firewalls
Auf den meisten aktuellen Linuxsystemen ist eine lokale Firewall vorinstalliert. Diese sorgt für eine Abtrennung des Systems gegenüber den verbundenen Netzwerken. Beim Debuggen von Verbindungen ist es hilfreich, den Status der Firewall und deren Logs zu prüfen.
Bei systemd-basierten Systemen kommt meistens firewalld als Frontend für iptables zum Einsatz. Einen Einstieg in firewalld liefert dieses Tutorial .
Übung: Spiele ein bisschen mit firewalld rum, erstelle neue Services, Rules, Zones… Ziel: Dich sicher fühlen wenn du eine Anpassung an firewalld machen möchtest.
Infrastrukturfirewalls
Es gibt Firewallprodukte in allen Farben und Formen, welche mehr oder weniger alle den selben Zweck erfüllen: Sie kontrollieren den Netzwerkverkehr für eine oder mehrere Netzwerkzone(n). Meistens sind diese mit einem grafischen UI konfigurierbar, und bieten die Möglichkeit zur Erstellung von einfachen bis sehr aufwändigen Setups. Wir beschäftigen uns nun mit einem der verbreitesten Firewallprodukte aus der OpenSource Welt, OPNSense:
OPNSense
OPNSense ist ein Fork von pfsense, und basiert auf HardenedBSD, welches wiederum auf FreeBSD aufbaut. Wir bewegen uns hier also auf einem Unix System. Lies dich einmal in die OPNSense Doku ein, viel mehr Papier soll dir aber nicht zugemutet werden, get your hands dirty mit der nachstehenden Aufgabe.
OPNSense Intro
OPNSense Installation
OPNSense Firewall
Übung: Installiere dir eine eigene OPNSense VM. Mache einen einfachen Setup, mit dem du via dieser Firewall eine weitere (eventuell schon vorhandene) Linux VM mit dem Internet verbindest. Wie muss somit deine Firewall VM konfiguriert sein? Was bedeutet dies für die Adressierung? Starte erst mit der Installation wenn du diese Fragen beantwortet hast, und hol dir Hilfe wenn du nicht weisst auf was dies hinausläuft! Sobald dein Setup steht, studiere die per default generierten Rules, und erstelle einige eigene. Probiere zum Beispiel einmal, allen HTTP Traffic der VM zu blockieren, alle Requests an google.com zu droppen, ICMP Pakete generell zu deaktivieren, was dein Herz begehrt. Teile deine Erkenntnisse danach mit deinem Ausbildner. P.S: Wirf die OPNSense und deine Test VM nicht gleich wieder weg, du brauchst sie im VPN Kapitel wieder!