Firewall
Ein Webserver sollte immer besonders gut abgesichert sein. Hierfür gibt es verschiedene Maßnahmen und Software, die dazu dienen, den Server und die auf ihm laufenden Dienste vor unberechtigten Zugriffen zu schützen. Ein Baustein eines Sicherheitskonzepts ist die Firewall. Auf Linux-basierten Systemen kommt häufig „iptables“ zum Einsatz – eine unter der GPL stehende und damit als Open-Source erhältliche Software zur Konfiguration einer Firewall, die von den meisten Linux-Distributionen bereitgestellt wird. Was ist nun iptables? Und: Sollte es auf Webservern installiert sein?
Was ist eine Firewall?
Ganz allgemein gesprochen, ist eine Firewall ein Sicherungssystem, das einen Computer oder ein anderes netzwerkfähiges Gerät vor unerlaubten Zugriffen beispielsweise aus dem Internet schützt. Im Heimcomputerbereich werden von Privatanwendern meist sogenannte Personal Firewalls installiert, die auf dem heimischen PC oder dem heimischen Notebook Zugriffe auf den Rechner unterbinden und gleichzeitig auch die Möglichkeit anbieten, installierten Programmen den Zugriff auf das Internet zu verbieten, um beispielsweise zu verhindern, das ein Programm „nach Hause telefoniert“, wie es so schön heißt. In professionellen Netzwerkumgebungen und auf Webservern sind die Anforderungen indes andere. Hier werden zum einen ganze Netzwerkumgebungen mit professionellen Hardware-Firewalls abgeschirmt, zum anderen müssen Webserver so gesichert werden, dass Unbefugten der Zugriff auf bestimmte Dienste, die auf dem Server laufen, unmöglich wird. Daher steht mit iptables ein mächtiger aber effizienter Paketfilter bereit. Wie bei allen Serverthemen gilt aber auch hier: Die Einrichtung, Konfiguration und regelmäßige Überwachung sollte von Experten vorgenommen werden. Denn zu schnell passiert es, dass Anfänger sich dank einer Firewall in falscher Sicherheit wiegen und der eigene Server daher leichte Beute von Hackern werden kann. So ist auf einem Webserver, der ja vom Internet aus zu erreichen sein sollte, der Port 80 bzw. Port 443 für HTTPS ohnehin freigeschaltet. Daher richten sich viele Angriffe gegen das verwendete Content Management System, das ja über das Internet konfiguriert wird. Eine Firewall ist also lediglich eine Ergänzung – wenn auch durchaus eine wichtige – zur Absicherung eines Servers sowie der darauf laufenden Programme.
Linux und iptables
Es ist klar, dass Linux, als ein weit verbreitetes und beliebtes Server-Betriebssystem ein entsprechendes Sicherheitskonzept benötigt. Daher ist bei Ubuntu, einer der derzeit bekannteste Linux-Distributionen, iptables gleich in der Standardinstallation enthalten. Sollte dies aus welchen Gründen auch immer nicht der Fall sein, ist es ein leichtes dies über die Paketverwaltung das Programm nachzuinstallieren. Bei anderen Distributionen sollte dies ähnlich sein. Was macht nun iptables? Grundsätzlich wird mit iptables die Paketprüfung des Paketfilters im Linux-Kernel konfiguriert, und zwar mittels sogenannter Tabellen, Chains (Ketten) und Filterregeln. So dienen die Tabellen dazu, die Filterregeln zu gruppieren und die Chains dazu, festzulegen, zu welchem Zeitpunkt ein Paket geprüft wird. Auf diese Weise können ein- und ausgehende Pakete im Netzwerk oder auf dem Server nach vorgegebenen Regeln – wie IP-Adresse – untersucht und zum Ziel weitergeleitet werden. Da – wie im Linux-Bereich üblich – die Konfiguration von iptables über die Kommandozeile erfolgt, gibt es einige Zusatzprogramme, die es erlauben, die Regeln des Paketfilters mittels einer GUI, also einem graphischen User-Interface zu erstellen. Das mag im Alltag des Systemadministrators eine echte Erleichterung sein, vermittelt aber zu oft den Eindruck, dass eine Firewall leicht und unkompliziert einzurichten sei. Denn mit einer falschen Konfiguration von iptables kann im Gegenteil das Sicherheitsniveau sogar gesenkt werden. Es bleibt also trotz aller Hilfssoftware dabei, dass ein Serveradministrator über weitreichende Kenntnisse in der Sicherheitsarchitektur des verwendeten Betriebssystems verfügen sollten. Dann steht aber einer Verwendung von iptables als Firewall bzw. als Bestandteil des Sicherheitskonzepts wohl kaum noch etwas im Wege.
Open-Source und daher kostenlos zu installieren: iptables
Alles in allem ist iptables sicher ein sinnvoller, ja beinahe notwendiger Baustein zur Absicherung eines Webservers. Dass iptables dem Grunde nach kostenlos ist ergibt sich daraus, dass es sich um sogenannte Open-Source-Software handelt, die unter der GPL-Lizenz veröffentlicht ist. Das ermöglicht verschiedenen Programmierern, die Software im Quelltext zu lesen und auf ihre Funktionsfähigkeit zu überprüfen. Dadurch gelten Open-Source-Programme oft als sicher – oder zumindest wird auf die meisten Sicherheitslücken in der Regel entsprechend schnell reagiert. Da iptables ohnehin in den meisten Standard-Linux-Distributionen enthalten ist, ist es ein beliebtes Werkzeug zur Einrichtung einer Firewall auf dem Webserver. Wer sich nicht zutraut, einen Webserver und die darauf laufende Firewall sicher einzurichten und zu konfigurieren, der kann, wenn er die entsprechende Leistung und Flexibilität eines eigenen Servers benötigt, auf sogenannte Managed Server-Pakete zurückgreifen, bei denen die Wartung und der Betrieb des Servers sowie des darauf laufenden Betriebssystems vom Webhoster übernommen wird. Wer indes einen Root-Server sein eigen nennt, ist gut beraten – sofern er es nicht bereits getan hat-, sich die Dokumentationen, Anleitungen und Tutorials zu iptables genau zu studieren. Übrigens: Für das seit Jahren in Linux integrierte iptables steht seit der Kernel-Version 3.13 mit nftables ein Nachfolger in den Startlöchern. Auch darum sollten Serveradministratoren stets bemüht sein, ihr Wissen und ihre Kenntnisse auf dem neuesten Stand zu halten und die neuesten Entwicklungen rund um das verwendete Betriebssystem mit wachem Auge verfolgen.
