Ordnung in der Firewall mit IPset

Aufräumen

von Dr. Matthias Wübbeling

Paketfilter sind ein wichtiges Element in Firewallkonzepten. Auf Linux-Systemen bildet iptables trotz moderner Alternativen auch heute noch auf vielen Systemen die Grundlage für Paketfilter. Um die Anzahl und Komplexität der Regeln möglichst gering zu halten, ist es sinnvoll, Sender und Empfänger in Sets zu gruppieren und nur diese Sets in den Regeln zu referenzieren. Der Security-Tipp in diesem Monat zeigt Ihnen die grundlegende Verwendung und erste Schritte mit IPset.

Aus IT-Administrator 03/2022

Unternehmen sehen sich permanenten Hackerangriffen ausgesetzt, während die Mitarbeiter remote, teils mit ihren eigenen Devices, auf sensible Daten zugreifen. ... (mehr)

Für das Management von Paketfilter-Regeln verwenden Administratoren unterschiedliche Tools. Grafische Interfaces unterstützen häufig nur das Erstellen oder Anpassen der Regeln mit einer grafischen Eingabemaske für die einzelnen Bestandteile. Da die Regeln am Ende dieselben sind, verzichten viele Administratoren jedoch direkt auf die Nutzung grafischer Tools und verwenden entsprechende Skripte für iptables. Zwar bietet der Linux-Kernel bereits seit vielen Jahren Unterstützung für nftables, allerdings hat es sich bis heute nicht umfassend durchgesetzt. Selbst moderne Software, wie etwa Docker für den Betrieb von Microservices, verwendet weiterhin iptables für die Netzwerkkonfiguration.

Je komplexer Ihre Konfiguration von iptables wird, desto schwieriger ist es, den Überblick zu behalten. Nutzen Sie in Ihrem Unternehmen separate Subnetze für einzelne Abteilungen und benötigen Sie abteilungsübergreifend Zugriff auf bestimmte Dienste für bestimmte Personen, wächst die Menge der Regeln schnell. Um den Überblick zu behalten und Filterregeln einfacher zu gruppieren, können Sie IPset [1] verwenden.

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.