:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/c7/9ac7c7e8a3b32a83049dfc945e67b476/0113571100.jpeg "Der Angriff auf Wale mit einer solchen eisernen Harpune ist brutal und sehr blutig; ein Phishing-Angriff mithilfe von Ki ist hinterhältig und gnadenlos - nur nicht so blutig. (Bild: frei lizenziert: FotoArt-Treu)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/93/4a/934ad835e86c1eea66869d7d9a59f1f1/0113980249.jpeg ""Integrierte Sicherheit gegen wachsende Cyberbedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Frank Kuypers von Intel Corporation. (Bild: Vogel IT-Medien / Intel / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/13/56/1356472468aa93a42551824e15bc86d1/0114006798.jpeg "Mit dem richtigen Löschkonzept schaffen es auch KMU, personenbezogene Daten strukturiert und sicher zu löschen. (Bild: Mego-studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/e4/67e44f84835d9f919003ad8dbf03d436/0114086650.jpeg "Mitarbeitende und Unternehmen in Deutschland nehmen ihre Verantwortung bei der IT-Sicherheit nicht im geforderten Ausmaß ernst. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Linux-Firewall verstehen IPTables für die Paketfilterung nutzen
Geht es um die Einrichtung von Firewalls für Linux-Server, spielt der im Kernel enthaltene Netfilter, der mit „iptables“ gesteuert wird eine wichtige Rolle. Mit Regeln lassen sich komplexe Firewall-Umgebungen erstellen. Wir geben einen Überblick.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/5e/4d/5e4d4b19a3c54/moxa-logo.jpg "Moxa_Logo.jpg (Moxa Europe GmbH)"){kind=logo}
Netfilter stellt unter anderem Paketfilter, Network Address Translation und weitere für Firewalls relevante Werkzeuge für den Linux-Kernel bereit. Netfilter ist keine einfach zu bedienende Firewall für Linux. Jedem Administrator muss klar sein, dass Firewall-Regeln, die mit iptables in der Netfilter-Firewall erstellt werden, in vielen Fällen komplex sind. Einfach ausgedrückt, werden mit IPTables Tabellen erstellt, die der Netfilter-Firewall in Linux vorgeben, welche Pakete zum Server durchgelassen werden. Die Tabellen enthalten Ketten (Chains) und Regeln (Rules). Diese werden mit IPTables gesteuert.
:quality(80)/images.vogel.de/vogelonline/bdb/1644800/1644894/original.jpg "Hilfe abrufen für iptables.")
:quality(80)/images.vogel.de/vogelonline/bdb/1644800/1644895/original.jpg "Anzeigen der aktuellen Regeln und des Forwarding.")
:quality(80)/images.vogel.de/vogelonline/bdb/1644800/1644896/original.jpg "Anzeigen der Standard-Einstellungen für Regeln.")
:quality(80)/images.vogel.de/vogelonline/bdb/1644800/1644897/original.jpg "Genaues Auslesen der Standard-Regeln.")
Netfilter-Firewall mit IPTables steuern
Die Netfilter-Firewall des Linux-Kernels kann durch das Kommandozeilen-Programm „iptables“ gesteuert werden. Dieses ist meistens bereits Bestandteil der Installation. Die Hilfe wird mit „iptables --help“ aufgerufen. Ist iptables noch nicht installiert, kann die Installation mit dem folgenden Befehl erfolgen:
sudo apt-get install iptablesZwar erfolgt normalerweise die Verwaltung der Netfilter-Firewall in Linux mit iptables über die Kommandozeile, es gibt aber auch Tools, mit denen iptables über die grafische Oberfläche genutzt werden kann. Ein Beispiel dafür ist Firestarter.
Chains - Input, Forward, Output
Der Befehl iptables steuert drei verschiedene Chains. Mit „Input“ werden eingehende Verbindungen gesteuert, die auf den lokalen Server eingehen. „Forward“ steuert Verbindungen, die nicht lokal verarbeitet werden, sondern die der Server weiterleiten muss, zum Beispiel wenn er als Router arbeitet. Um die erstellten Forward-Chains anzuzeigen, kann der folgende Befehl verwendet werden:
iptables -L -vHier muss gegebenenfalls aber mit „sudo“ gearbeitet werden. Die Informationen des Befehls geben Aufschluss darüber, ob das lokale System als Router genutzt wird. Mit „Output“ wird schließlich der Datenverkehr gesteuert, der vom lokalen Server in das Netzwerk geschickt wird. Damit eine Firewall-Regel funktioniert, muss darauf geachtet werden, dass eingehender Datenverkehr, oft auch in ausgehenden Datenverkehr resultiert. Wird ein Server angepingt, muss er auf die Anfrage antworten. Hier sind also eingehende und ausgehende Pakete zu steuern. Die Chains müssen also korrekt konfiguriert werden.
:quality(80)/images.vogel.de/vogelonline/bdb/1613800/1613808/original.jpg "Mit der Integration von kali Linux in das Windows-Subsystem für Linux (WSL) können Admins einfacher die Sicherheit in modernen Microsoft-Netzwerken testen. (Offensive Security)")
Video-Tipp: Kali Linux und das WSL
Kali Linux direkt in Windows 10 einbinden
Standardverhalten der Firewall steuern
Mit iptables lässt sich auch das Standard-Verhalten definieren. Dieses gibt vor, wie sich die Firewall verhalten soll, wenn es für Datenverkehr keine Regel gibt. Es lassen sich für alle drei Chains Standards definieren, also für Input, Output und Forward. Mit dem folgenden Befehl kann angezeigt werden, wie das Standard-Verhalten der Firewall ist:
iptables -L Der Wert bei „policy“ zeigt an, wie sich der Linux-Server verhält. In den meisten Fällen ist der Wert „Accept“. Dieser zeigt an, dass der Datenverkehr für alle drei Ketten akzeptiert wird, wenn es keine Regel gibt, die den Verkehr blockiert. Der folgende Befehl filtert die Option für „Policy“ aus:
iptables -L | grep policyWerden Verbindungen nicht automatisch akzeptiert, kann das mit den folgenden Befehlen gesteuert werden:
iptables --policy INPUT ACCEPTiptables --policy OUTPUT ACCEPTiptables --policy FORWARD ACCEPTSollen alle Verbindungen automatisch blockiert werden, sind folgende Befehle dafür zuständig:
iptables --policy INPUT DROPiptables --policy OUTPUT DROPiptables --policy FORWARD DROPAnschließend werden Regeln erstellt, die festlegen welcher Datenverkehr erlaubt wird. Alle anderen Pakete, für die es keine Regel gibt, werden entweder durchgelassen (Accept) oder blockiert (Drop).
Ergebnisse speichern
Wichtig ist, dass Änderungen, die mit iptables vorgenommen werden auch gespeichert werden müssen. Ansonsten werden die Anpassungen gelöscht. Die Speicherung erfolgt auf Linux-Systemen auf Basis von Ubuntu mit dem folgenden Befehl:
sudo /sbin/iptables-saveBeim Einsatz von CentOS oder Red Hat erfolgt die Speicherung mit:
/sbin/service iptables saveAlternativ wird der folgende Befehl verwendet:
/etc/init.d/iptables saveWer alle Regeln löschen will, verwendet den folgenden Befehl:
iptables -FDamit die Regeln produktiv umgesetzt werden, müssen die IPTables mit folgendem Weg gespeichert werden:
Debian/Ubuntu: iptables-save > /etc/iptables/rules.v4RHEL/CentOS: iptables-save > /etc/sysconfig/iptablesZiele und IP-Adressen in Regeln implementieren
Um Regeln mit iptables zu erstellen, ist es wichtig zu definieren, wie die Netfilter-Firewall in Linux auf Anfragen von spezifischen IP-Adressen reagieren soll. Hier gibt es generell drei verschiedene Antworten:
- Accept: Erlaubt die Verbindung
- Drop: Löscht die Verbindung. Das entfernte System erkennt nicht, dass eine Verbindung überprüft wurde
- Reject: Die Verbindung wird aufgebaut, das entfernte System erhält die Meldung, dass der Verbindungsaufbau verweigert wurde.
Sollen zum Beispiel alle Verbindungen von einer IP-Adresse gelöscht werden, wird der folgende Befehl genutzt:
iptables -A INPUT -s 192.168.178.1 -j DROPSollen alle Verbindungen von einem Subnetz gelöscht werden, wird der folgende Befehl genutzt:
iptables -A INPUT -s 192.168.178.0/24 -j DROPAlternativ kann auch der folgende Befehl verwendet werden:
iptables -A INPUT -s 192.168.178.0/255.255.255.0 -j DROPDie Regeln lassen sich auch genauer spezifizieren, um zum Beispiel SSH-Verbindungen von einer Quelle zu löschen:
iptables -A INPUT -p tcp --dport ssh -s 192.168.178.1 -j DROPSollen generell alle Verbindungen blockiert werden, wird der folgende Befehl verwendet:
iptables -A INPUT -p tcp --dport ssh -j DROPDamit eine Regel funktioniert, müssen bei den meisten Kommunikationsvorgängen der Eingang und der Ausgang des Paketes gesteuert werden. Um zum Beispiel eingehende Verbindungen zu steuern, und nur für das anfragende System eine Verbindung zuzulassen, werden folgende Befehle verwendet:
iptables -A INPUT -p tcp --dport ssh -s 192.168.178.1 -m state --state NEW,ESTABLISHED -j ACCEPTiptables -A OUTPUT -p tcp --sport 22 -d 192.168.178.1 -m state --state ESTABLISHED -j ACCEPT(ID:46248371)
:quality(80)/images.vogel.de/vogelonline/bdb/1945900/1945969/original.jpg "Eine DDoS-Schutzlösung sollte hybrid konzipiert sein (kentoh - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1962600/1962619/original.jpg "Der Azure AD-Anwendungsproxy kann Anfragen aus dem Internet annehmen und an interne Server weiterleiten. Dadurch werden Zugriffe sicherer und unkomplizierter, ohne dass Firewalls im Unternehmen angepasst werden müssen. (ra2 studio - stock.adobe.com)")