firewall

Linux-Tagebuch #12 – Sicherheit, Firewall und Virenscanner

In dieser mehrteiligen Beitragsreihe versuche ich mich aus Sicht eines Windows PC-Nutzers dem Linux-Desktop als Betriebssystem zu nähern. Dabei möchte ich dieses als Linux-Anfänger selbst besser kennen lernen und zu verstehen versuchen.  Zu Teil 1…

In diesem Beitrag möchte ich meine Gedanken festhalten, die ich mir zum Thema „Sicherheit“ bei der Benutzung von Ubuntu 20.04 LTS als Betriebssystem gemacht habe. Ich bin sicherlich kein Experte auf dem Fachgebiet, aber der ein oder andere Kniff lässt sich als Normal-Nutzer meiner Meinung nach dennoch leicht umsetzen.

Das Sicherheits-ABC

Wie auch bei Windows gelten unter Ubuntu die gleichen Grundregeln für die Sicherheit im Umgang mit dem Computer. Man sollte stehts…

  • das System aktuell halten,
  • sichere und unterschiedliche Passwörter wählen,
  • möglichst auf ungeprüfte Fremdquellen (wie PPAs) verzichten,
  • vorsichtig mit Mail-Anhängen sein,
  • Programme nicht mit mehr Rechten starten, als für en Anwendungszweck notwendig,
  • Downloads und Skripte nicht gedankenlos ausführen,
  • Sensible Daten getrennt speichern oder verschlüsseln

Die Liste ließe sich bestimmt beliebig ergänzen, das soll auch gar nicht der Schwerpunkt dieses Beitrags sein. Hier findet ihr übrigens eine interessante Sammlung aus dem ubuntuusers Wiki dazu. Ich möchte an dieser Stelle noch einmal anmerken, dass ihr während der Installation von Ubuntu die Möglichkeit habt, euren Datenträger zu verschlüsseln, dies kann insbesondere bei Notebooks, die häufig unterwegs sind, sinnvoll sein. An einfachsten ist es, diese Entscheidung bereits bei der Installation von Ubuntu / bei der Partitionierung der Festplatte zu treffen.

Ein für mich besonderes Risiko stellen die Programme dar, die eine Schnittstelle zum Internet sind, wie zum Beispiel der Browser. Da bietet es sich doch an, gleich ein paar sicherheitsrelevante Add-Ons zu installieren. Ich nutze dafür gerne uBlock Origin, Privacy Badger und HTTPS Everywhere. Die gibt es sowohl für Firefox als auch für Chrome(ium). Für Mails benutze ich unter Ubuntu Mozilla Thunderbird, hier habe ich den Junk-Filter entsprechend eingerichtet. Dieser kann auch „trainiert“ werden, in dem man selber Spam markiert. [2] Außerdem ist es empfehlenswert, HTML für Mails zu deaktivieren, wenn man nicht darauf angewiesen ist. Das erhöht den Datenschutz und die Sicherheit. [3]

Firewall einrichten

Euer Rechner befindet sich höchstwahrscheinlich hinter einem Router, der eingehende Verbindungen nicht ohne weiteres an euren PC durchlässt. Ihr habt also schon eine einfache Hardware-Firewall. [4] Welche Programme wie mit dem Internet kommunizieren dürfen und welche Ausnahmen gelten, lässt sich noch besser mit einer Software-Firewall regeln. Die kann außerdem von Vorteil sein, wenn man mal in einem fremden Netzwerk (wie einem öffentlichen Hotspot) unterwegs ist.

Unter Ubuntu 20.04 ist bereits die Software-Firewall ufw (uncomplicated firewall) vorinstalliert, aber standardmäßig nicht aktiv. Diese könnt ihr mit wenigen Schritten starten und einrichten.

sudo ufw enable (oder ... disable, um wieder auszuschalten!)
sudo ufw default deny incoming
sudo ufw default allow outgoing

Damit startet ihr ufw und die Vorgabe für unbekannte Verbindungen soll sein, diese nach außen (ins Internet) zuzulassen, aber eingehende Verbindungen erst einmal zu blockieren. Ufw startet damit auch automatisch beim nächsten Systemstart. Danach könnt ihr den Status der Firewall mit

sudo ufw status

überprüfen, bereits angelegte Ausnahmen (z.B. für P2P oder ssh) werden hier angezeigt. Wenn man keine besonderen Anforderungen hat, war’s das eigentlich schon. Ufw lässt sich über das Terminal umfangreich konfigurieren. Wie das geht und wie ihr anwendungs- oder portspezifische Ausnahmen hinzufügt, lest ihr hier bei heise.

Etwas praktischer und – naja – hübscher ist die grafische Frontend gufw für ufw. Damit lassen sich der Status und die Regeln wesentlich komfortabler verwalten. Der Funktionsumfang entspricht ungefähr dem, wie man es von der Windows-Firewall kennt.

Insofern ufw bereits installiert ist, holt ihr euch gufw einfach dazu

sudo apt install gufw

Virenscanner einrichten

Wenn man sich mit dem Thema auseinandersetzt, liest man früher oder später, das „Computerviren“ unter Linux keine große Rolle spielen. Das liegt unter anderem an der geringen Verbreitung [auf dem Desktop], aber bestimmt auch an der strengeren Benutzerrechte-Architektur. [1] Wahrscheinlich ist es eher meiner jahrelangen Windows-Nutzung geschuldet (Luke Filewalker hat mich damals unter Windows ME vor dem ein oder anderen Schädlich bewahrt), aber auch unter Linux wollte ich gerne einen Virenschutz parat haben, mit dem ich zumindest on demand die wichtigsten Daten (Home-Verzeichnis, Downloads etc.) scannen kann. Das populärste Beispiel dafür ist das quelloffene ClamAV. Vielleicht habt ihr schon einmal davon gehört, auch unter Windows ist der Virenscanner zu haben, wie ich 2014 schon einmal berichtete.

ClamAV lässt sich recht einfach installieren

sudo apt-get install clamav clamav-freshclam

und auch umfangreich konfigurieren, was beispielsweise das Updateverhalten, die Aktion bei Erkennung und das Logging angeht. Darauf möchte ich aber in diesem Beitrag nicht eingehen. Das könnt ihr z.B. hier nachlesen. Scans auf eine Datei oder ein Verzeichnis können im Terminal mit dem Befehl clamscan ausgeführt werden. Auch eine grafische Benutzeroberfläche gibt es (clamtk), die man sich dazuinstallieren kann, aber ich konnte damit nicht viel anfangen.

inoffizielle Signaturen

Ich möchte euch an dieser Stelle gerne noch etwas anderes zeigen: ClamAV kann um „inoffizielle“ Malware-Signaturen ergänzt werden, um die Erkennungsrate zu verbessern. Hier am Beispiel der SaneSecurity Signatures. [5] Das erhöht zwar potentiell die Chance für Falschmeldungen (false positives), das war bei mir aber bisher nur unter Windows der Fall.

Die Einrichtung dieser Signaturen besteht aus mehreren Installationsschritten, die ich hier aufgrund des Beitragsumfangs nicht einzeln durchgehen werden, aber auf der offiziellen github Seite ist eine ausführliche Schritt-für-Schritt Installationsanleitung für Ubuntu (auch für andere Distributionen).

Skript für manuelle Überprüfung

In meinem Anwendungsszenario, also einer Dual-Boot Installation mit Ubuntu als Produktivsystem und Windows 10 als Backup, wollte ich in unregelmäßigen Abständen Dateien überprüfen, die ich mit Windows-Rechnern gemeinsam bearbeite oder versende. Es ist bei mir also nicht notwendig, dass sich die Virensignaturen mehrmals am Tag selbstständig aktualisieren, das erhöht nur unnötig die Serverlast des Anbieters und verursacht Betriebskosten.

Um das Aktualisierungsintervall der Signaturen zu ändern, könnte ich die Konfigurationsdatei unter

/etc/clamav/freshclam.conf

anpassen (z.B. mit nano im Terminal!). Ich habe mich aber einfach dazu entschieden, den Dienst freshclam nicht beim Systemstart zu laden, weil er sowieso bei einem manuellen Aufruf zuerst beendet werden müsste. [6]

sudo update-rc.d clamav-freshclam disable

Die SaneSecurity Signaturen werden nicht automisch aktualisiert, sondern nur über den Aufruf des gerade installierten Skripts clamav-unofficial-sigs.sh.

Dann habe ich mir folgendes bash-Skript zusammenbastelt, das ich bei Bedarf ausführe. Ich möchte es hier mit euch teilen! 🙂 Es aktualisiert zunächst manuell und „still“ die Virendatenbank, führt dann einen Scan des Benutzerverzeichnisses durch und gibt ggf. Funde aus (es wird nichts unternommen!). Ihr könnt es euch als *.sh Skript speichern. Nach dem Anpassen eurer Dateipfade müsst ihr die Datei dann noch mit chmod als ausführbar markieren und ihr könnt die Datei wie eine Anwendung per Mausklick starten. Allerdings als root, da sonst das Aktualisieren der Signaturen nicht funktioniert.

#!/bin/bash
echo "Cedric's ClamAV Scanner-Skript 1.0"
if (( $EUID != 0 )); then
    echo "Bitte mit erhöhten Rechten starten!"
    exit
fi
echo -n "Aktualisiere ofizielle Signaturen... "
#sudo killall freshclam
freshclam --quiet --no-warnings
echo "OK"
echo -n "Aktualisiere inoffizielle SaneSec Signaturen... "
/usr/local/sbin/clamav-unofficial-sigs.sh -s
echo "OK"
#echo "EINGABE, um Scan zu starten"
#read
echo -n "Startzeit: "; date +"%T"
echo "Überprüfe /home ... "
clamscan --infected --recursive ~

Praktische System-Tools für mehr Kontrolle

– 18 Software-Tipps –

… welche das Arbeiten mit Windows erleichtern, nützliche Funktionen einführen und mehr Kontrolle über das Betriebssystem und die laufenden Prozesse geben. Sie können größtenteils ohne Installation ausgeführt werden.

button_vi button_7 button_8 ProcessExplorer (SI)

tools_taskmanEine verbesserte Version des klassischen Task-Managers. Zeigt zusätzliche Informationen zu Prozessen und geladenen DLLs an (was steckt hinter svchost?) und gibt detailiert Auskunft über Systemressourcen.  Ersetzt auf Nachfrage den normalen Taskmanager. (Läuft auch unter Windows 10, da ist der mitgelieferte Task-Manager allerdings schon stark verbessert worden und ebenbürtig.)  >> Zur Webseite

button_vi button_7 button_8 button_10 RamMap (SI)

Zeigt übersichtlich und in Echtzeit die Belegung des Arbeitsspeichers (RAM) durch Anwendungen, Prozesse, Treiber und durch das Windows-System an. >> Zur Webseite

button_xp button_vi button_7 button_8 button_10 DiskView (SI)

Zeigt ausführlich in einem graphischen Fenster die Speicherbelegung der gewählten Festplatte an, wie man es von manchen Defragmentierungsprogrammen kennt. Zur Analyse von einzelnen Datenblöcken können per Klick Infos angezeigt werden. >> Zur Webseite

button_xp button_vi button_7 button_8 button_10 TCPView (SI)

tools_tcp

Listet prozessbezogen alle ein- und ausgehenden TCP-Internetverbindungen auf. Ermittelt den Port und die Zieladresse. >> Zur Webseite

button_xp button_vi button_7 button_8 button_10 PendMoves MoveFile (SI)

Windows verfügt über einer „MoveFileEx-API“, um gerade genutzte oder gesperrte Dateien beim nächsten Systemstart zu modifizieren bzw. zu löschen. Am ehesten kennt man das von der typischen Meldung „Starten Sie das System neu, um die Deinstallation abzuschließen.“ Mit dieser einfachen Kommandozeilen-Anwendung kann man solche Operationen selber planen, zum Beispiel bei einer gerade nicht löschbaren Datei. Dazu wird die Exe über die Konsole (cmd) geöffnet und mit dem Befehl movefile gesteuert. Genau Benutzung siehe Beschreibung. >> Zur Webseite

 

button_vi button_7 button_8 button_10 Disk2vhd (SI)

disk2vhdErlaubt das einfache Speichern einer Windows-Systempartition bzw. -Festplatte als virtueller Datenträger im laufenden Betrieb. Kann anschließend in VirtualBox (nach Umkonvertierung) oder Virtual PC (max. 127Gb) eingebunden werden. Mehr Details: Davon habe ich bereits in einem gesonderten Beitrag berichtet… >> Zum Beitrag & Download

SI: Die folgenden Programme stammen aus den Windows Sysinternals, eine Sammlung von Anwendungen des Microsoft-Entwicklers Mark Russinovich.

button_xp button_vi button_7 button_8 button_10 regshot

Vorher-Nachher Schnappschuss der Windows-Registry machen und automatisch vergleichen lassen. Das Ergebnis wird in einer txt oder html Datei gespeichert. So kann z.B. bei einer Systemänderung oder Installation nachvollzogen werden, welche Registrierungsschlüssel eingetragen wurden. >> Zur Webseite

button_xp button_vi button_7 button_8 button_10 Networx

tools_networxÜberwacht und erstellt Statistiken von gesamten Netzwerkverkehr, ähnlich wie auf dem Smartphone. Seit Windows 10 gibt wird dieses Feature zwar schon mitgeliefert, das Programm bietet aber wesentlich mehr Informationen, lässt sich ausgiebig konfigurieren und zeigt den Datenverbrauch in übersichtlichen Balkendiagrammen an. Leider Shareware, das Programm muss installiert werden. >> Zur Webseite

button_xp button_vi button_7 button_8 button_10 WifiGuard

Überwacht das WLAN/Heimnetzwerk, zeigt verbundene Geräte an. Verschiedene Optionen zum anpingen und testen der Firewall. Gibt Alarm bei unbekannten Geräten. Kostenlose Version zeigt max. 5 Geräte an. >> Zur Webseite

button_allos RJL Product Key Viewer

Zeigt den benutzten Windows Product Key / Lizenzschlüssel an. >> Zur Webseite

button_xp button_vi button_7 button_8 button_10 Teracopy

tools_teracopy

Ersetzt den Windows Kopierprozess. Kopiert vor allem größere Dateizahlen und -mengen insgesamt schneller, Kopiervorgänge lassen sich pausieren/später fortsetzen, validieren und mehrere Kopiervorgänge in einer Warteschlange einreihen. Ich empfehle die Version 2.3, sie ist übersichtlicher und zudem mit Windows XP kompatibel. >> Zur Webseite

button_xp button_vi button_7 button_8 button_10 Windows-Firewall Tools

Mit den zwei kleinen Programmen TinyWall und WFN kann man unkompliziert die Windows Firewall erweitern, ein- und ausgehende Verbindungen kontrollieren und sein System so sicherer machen. Wie das geht, habe ich bereits in einem anderen Beitrag beschrieben >> Zum Beitrag

button_7 button_8 button_10 Zugriff auf alle Einstellungen – GodMode

Mit dem berüchtigten „Godmode“ kann man auf viele zusätzliche Systemeinstellungen zugreifen, die so nicht in den Einstellungen zu finden sind. Alle Optionen werden übersichtlich in einem Ordnerfenster aufgelistet. Dazu an einem belieben Ort einen neuen Ordner (Rechtsklick) erstellen und beim Umbenennen folgendes eingeben:

GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}

 

button_xp button_vi button_7 button_8 button_10 5 Virenscanner to Go

malwareportable6Virenscanner ohne Installation auf dem USB-Stick oder einfach als Zweitmeinung: Ein paar extra Anti-Malware-Tools sind immer praktisch. >> Dazu habe ich einen eigenen Artikel veröffentlicht

Außerdem: Mit dem kostenlosen Virustotal Uploader für Windows können über das Kontextmenü (Rechtsklick) einzelne Dateien auf virustotal.com hochgeladen und in der Cloud von allen gängigen Virenscannern geprüft werden. Praktisch, um letzte Zweifel auszuräumen. >> Zur Webseite

tools_tcpoptibutton_allos TCP Optimizer

Ein Klassiker. Optimiert die Browser- und Windows Netzwerkeinstellungen optimal für den vorhanden Internetanschluss/die verfügbare Bandbreite (Mbps). Gerade bei langsameren Verbindungen oder älteren Systemen kann so eine Beschleunigung der Datenübertragung erreicht werden. >> Zur Webseite

button_xp button_vi button_7 button_8 button_10 CPU-Z

Klein aber nützlich: Zeigt wichtige Informationen wie ID, Spannung, Taktrate und Temperatur zum Prozessor, aber auch allgemeine Systeminfos zu Mainboard, Arbeitsspeicher (RAM) und Grafikkarte an. Verfügt über integrierte Benchmarks. >> Zur Webseite

button_7 button_8 button_10 XMedia Recode

tools_xmediarecode

Praktisches All-In-One Konvertierungsprogramm für Audio- und Videomedien. Rippt auch CDs, DVDs und BluRays. Kostenlos und werbefrei, von einem deutschen Entwickler. >> Zur Webseite

button_xp button_vi button_7 button_8 button_10 Explorer++

Kostenloser Ersatz für den Windows Explorer. Schlank gehalten, bietet viele praktische Funktionen wie das Arbeiten mit Tabs, Lesezeichen, Konsole öffnen, eine Vielzahl von Hotkeys, Datei- und Attributevorschau. Optimal, wenn man viel mit Dateien arbeitet. Eine Installation ist nicht notwendig. >> Zur Webseite

 

Tipp: Die portablen Anwendungen auf einen USB-Stick oder CD kopieren und immer parat haben!

Die Windows-Firewall unkompliziert erweitern, verbessern und kontrollieren

In diesem Beitrag beschäftigen wir uns damit, wie man die Windows-eigene Firewall mit praktischen Funktionen erweitert und so mehr Kontrolle über die Netzwerkkommunikation erhält. Dies gelingt im Beispiel mit einem von zwei schlanken Programmen, die sich der Windows-Firewall bedienen, anstatt sie zu ersetzen.

Vereinfacht gesagt unterscheidet die Firewall über ausgehende und eingehende Verbindungen. Während die meisten Programme zu den ausgehenden Verbindungen zählen (Browser), benötigen spezielle Anwendungen wie zum Beispiel Server, Torrent-Anwendungen auch die „eingehenden Verbindungen“. Die eingehenden Verbindungen stellen eine mögliche Gefahr für die Computer-Sicherheit dar, da dadurch Schädlinge auf den Computer geladen werden und fremde Zugriffe über das Internet zugelassen werden können. Deshalb blockiert die Windows-Firewall diese Verbindungen standardmäßig. Beim Ausführen einer solchen Anwendung wird die bekannte Firewall-Meldung angezeigt, bei der man die Verbindung erlauben kann. Dies erhöht die Sicherheit und die Privatsphäre. Im Gegensatz zu den eingehenden Verbindungen erlaubt die Windows-Firewall von Haus aus allerdings keine Kontrolle über die ausgehenden Verbindungen. Das ist insofern von großem Nachteil, da man erstens nichts bemerkt, wenn ein Programm versucht eine Verbindung zu Internet aufzubauen, als auch, dass man es nicht unterbinden kann. Viele Programme (oder Apps) funken also unbewusst großzügig Daten nach Hause. Außerdem zeigt die Windows-Firewall nicht die momentan aktiven Verbindungen und die genutzte Bandbreite an.

Warum die Windows-Firewall?

firewall_win

Die Windows-Firewall bietet einen grundlegenden Schutz vor Attacken aus dem Internet. Der ist in den meisten fällig völlig ausreichend, zumal bei vielen zwischen PC und Internet noch ein Router zwischengeschaltet ist, der als Hardware-Firewall fungiert.

Vorgestellt: TinyWall

firewall_tinywall

Mein persönlicher Favorit, da einfach und unkompliziert. Einmal installiert, findet sich das TinyWall Icon in der Taskleiste. Eine eigene Anwendungsoberfläche gibt es nicht. Ein Nachteil besteht darin, dass es nicht darüber informiert, wenn ein Zugriff auf das Internet oder eine eingehende Verbindung blockiert wurde. Im „Lernmodus“ lässt TW erst einmal alle Verbindungen zu, später kann man dann in der Konfiguration nachverfolgen, was alles mit dem Internet kommuniziert hat, und aussortieren. Laut Hersteller verfügt das Programm neben den Filterregeln auch über zusätzliche Schutzmechanismen.

Zum Download: https://tinywall.pados.hu/

Vorgestellt: Windows Firewall Notifier

firewall_wfn

Das ebenfalls bekannte WFN kommt da schon etwas eleganter daher. So wird man nach der Installation künftig bei jedem Zugriff mit einem Dialogfeld konfrontiert, dass an die bekannten namenhaften Firewalls wie Comodo oder ZoneAlarm erinnert. Das ist praktisch, aber vielleicht auch nicht jedermanns Sache. Ein Nachteil besteht bei diesem Programm, dass die Menüführung und Konfiguration etwas unübersichtlich und die Übersetzung unvollständig ist.

Zum Download: https://wfn.codeplex.com/

Aus meiner Erfahrung heraus kann ich bestätigen, dass die aktuelle Windows Firewall neben einem guten Virenschutz vollkommen ausreichend ist. Wenn ihr andere Erfahrungen gemacht habt, schreibt doch etwas in die Kommentare 🙂

Übrigens: Besitzt ihr über keinen (aktuelleren) Router und verbindet euch möglicherweise sogar direkt über ein Modem mit dem Internet, seit ihr nicht zusätzlich durch eine „Hardware-Firewall“ geschützt. In diesem Falle würde es sich tatsächlich lohnen, mal einen Blick auf kommerzielle Firewall-Lösungen zu werfen.