Im letzten Abschnitt 🔐 Anmeldung sichern haben wir bereits darüber gesprochen, dass unsere in der Cloud gemieteten Systeme stets Gefahren aus dem Internet ausgesetzt sind. Eine Firewall soll unsere Systeme und die darauf betriebenen Dienste zusätzlich schützen.
Im Abschnitt zum 🔎 Packet Tracer haben wir ebenfalls bereits über die Funktionsweise und den Nutzen von Firewalls gesprochen. Hier hat die physikalische Firewall verschiedene Subnetze voneinander abgegrenzt, um ungewollte Zugriffe zu unterbinden.
Software Firewall
Eine Software Firewall ist ein Programm, welches auf einem Serversystem installiert werden kann. Die Uncomplicated Firewall kurz ufw ist unter Ubuntu bereits vorinstalliert, somit also auch auf unseren gemieteten Serversystemen aus der Cloud.
Die Uncomplicated Firewall kann mit Hilfe des ufw Befehls aus der Kommandozeile heraus konfiguriert werden. Per default ist diese erst einmal deaktiviert und muss erstmal eingerichtet werden.
Erste Einrichtung
Bearbeiten Sie die nächsten Schritte möglichst selbstständig und nutzen Sie wenn nötig die Hinweise. Anleitungen finden Sie auch im Internet!
Schritt 1 - Standardrichtlinien
Eine Firewall arbeitet stets nach dem dem Prinzip: block per default. Das bedeutet man blockiert alles und lässt dann gezielt bestimmte Dienste zu.
Zunächst müssen alle eingehenden Verbindungen verboten werden.
Schritt 2 - SSH Dienst zulassen
Damit wir uns aus unserem System nicht ausschließen, sollten wir bevor wir die Firewall aktivieren, zunächst den OpenSSH Dienst zulassen. Andernfalls würde der Zugriff per SSH blockiert werden und wir könnten uns nicht mehr mit dem System verbinden, da die Firewall den Zugriff nicht zulässt.
Schritt 3 - Firewall aktivieren
Nachdem der SSH Dienst zugelassen wurde, kann nun die ufw aktiviert werden. Jetzt sind alle eingehenden Verbindungen (außer SSH) blockiert, wodurch die Angriffsfläche für Hacker kleiner wird.
Nur bestimmte IP-Adressen zulassen
Wir können nicht nur bestimmte Dienste erlauben oder verbieten, wir können auch gezielt nur bestimmte IP-Adressen für gewisse Dienste freigeben. Das kann auch in der Praxis gewollt sein, um ein hohes Maß an Sicherheit zu ermöglichen.
Ein Beispiel wäre eine Webanwendung, welche in der Cloud betrieben wird und nur aufgerufen werden darf, wenn der User im Büro des Unternehmens sitzt. Außerhalb des Büros soll es sonst niemanden möglich sein, auf diese Anwendung zuzugreifen. Hierfür kann die Firewall so konfiguriert werden, dass nur die öffentliche IP-Adresse des Internetanschlusses des Bürogebäudes auf den Webserver zugreifen darf, auf welchen die besagte Webanwendung betrieben wird.