Ordnung in der Firewall mit IPset

Aufräumen

Paketfilter sind ein wichtiges Element in Firewallkonzepten. Auf Linux-Systemen bildet iptables trotz moderner Alternativen auch heute noch auf vielen Systemen die Grundlage für Paketfilter. Um die Anzahl und Komplexität der Regeln möglichst gering zu halten, ist es sinnvoll, Sender und Empfänger in Sets zu gruppieren und nur diese Sets in den Regeln zu referenzieren. Der Security-Tipp in diesem Monat zeigt Ihnen die grundlegende Verwendung und erste Schritte mit IPset.
Unternehmen sehen sich permanenten Hackerangriffen ausgesetzt, während die Mitarbeiter remote, teils mit ihren eigenen Devices, auf sensible Daten zugreifen. ... (mehr)

Für das Management von Paketfilter-Regeln verwenden Administratoren unterschiedliche Tools. Grafische Interfaces unterstützen häufig nur das Erstellen oder Anpassen der Regeln mit einer grafischen Eingabemaske für die einzelnen Bestandteile. Da die Regeln am Ende dieselben sind, verzichten viele Administratoren jedoch direkt auf die Nutzung grafischer Tools und verwenden entsprechende Skripte für iptables. Zwar bietet der Linux-Kernel bereits seit vielen Jahren Unterstützung für nftables, allerdings hat es sich bis heute nicht umfassend durchgesetzt. Selbst moderne Software, wie etwa Docker für den Betrieb von Microservices, verwendet weiterhin iptables für die Netzwerkkonfiguration.

Je komplexer Ihre Konfiguration von iptables wird, desto schwieriger ist es, den Überblick zu behalten. Nutzen Sie in Ihrem Unternehmen separate Subnetze für einzelne Abteilungen und benötigen Sie abteilungsübergreifend Zugriff auf bestimmte Dienste für bestimmte Personen, wächst die Menge der Regeln schnell. Um den Überblick zu behalten und Filterregeln einfacher zu gruppieren, können Sie IPset [1] verwenden.

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2022