Lokales Netzwerk 2

Firewall[Bearbeiten | Quelltext bearbeiten]

Siehe auch Lokales Netzwerk Teil 1.

Zone INT oder EXT?[Bearbeiten | Quelltext bearbeiten]

Eine Personal Firewall wird dann empfohlen, wenn der Rechner mit dem Internet verbunden ist. Es gibt allerdings verschiedene Szenarien, in denen es in Ordnung ist, die persönliche Firewall zu deaktivieren, da das Netzwerk durch andere Firewalls bereits geschützt ist.

Persönliche Firewall empfohlen (Zone EXT):
---------------------------------------------------------------
|  Eigenes Gebäude                                            |
|                                                             |
|                                                             |
|   --------------------            --------------------      |
|   |                  |            |                  |      |
|   | Eigener Rechner  |------------| Internet-Modem   |      |
|   |                  |            | ohne Firewall    |      |
|   --------------------            |                  |      |
|                                   --------------------      |
|                                           |                 |
|                                           |                 |
---------------------------------------------------------------
                                            |
                                            | Kabel
                                            |
           ----------------------------------------------------
           |  Andere Gebäude / Andere Rechner                 |
           |                                                  |
           |                   Internet Service Provider      |
           |                                                  |
           |             Das Internet                         |
           |                                                  |
           ----------------------------------------------------
Persönliche Firewall kann auch abgeschaltet werden (Zone INT):
---------------------------------------------------------------
|  Eigenes Gebäude                                            |
|                                                             |
|                                                             |
|   --------------------            --------------------      |
|   |                  |            |                  |      |
|   | Eigener Rechner  |------------| Internet-Router  |      |
|   |                  |            | mit Firewall     |      |
|   --------------------            |                  |      |
|                                   --------------------      |
|                                           |                 |
|                                           |                 |
---------------------------------------------------------------
                                            |
                                            | Kabel
                                            |
           ----------------------------------------------------
           |  Andere Gebäude / Andere Rechner                 |
           |                                                  |
           |                   Internet Service Provider      |
           |                                                  |
           |             Das Internet                         |
           |                                                  |
           ----------------------------------------------------
Persönliche Firewall kann auch abgeschaltet werden (Zone INT):
----------------------------------------------------------------------------------
|  Eigenes Gebäude                                                               |
|                                                                                |
|                                                                                |
|   --------------------        --------------------      ---------------------  |
|   |                  |        |                  |      |                   |  |
|   | Eigener Rechner  |--------| Lokales Netzwerk |------| Netzwerk-Firewall |  |
|   |                  |        |                  |      |                   |  |
|   --------------------        --------------------      ---------------------  |
|                                                                   |            |
|                                                                   |            |
----------------------------------------------------------------------------------
                                                                    |
                                                        .-----------'
                                                        |
           ----------------------------------------------------
           |  Andere Gebäude / Andere Rechner                 |
           |                                                  |
           |                   Internet Service Provider      |
           |                                                  |
           |             Das Internet                         |
           |                                                  |
           ----------------------------------------------------

Zone, Netzwerkschnittstelle, Dienst[Bearbeiten | Quelltext bearbeiten]

Erklärung, was eine Firewall ist, am Beispiel von SuSEfirewall2.

Eine Firewall schützt vor Netzwerk-Angriffen, indem bestimmte ungewollte Pakete, die an der Netzwerkschnittstelle (Netzwerkkabel oder Wireless) angekommen, abgelehnt oder verworfen werden.

Folgende Begriffe sind hier von Relevanz:

  • die Firewall-Zone
  • die Netzwerkschnittstelle
  • der Dienst

Die SuSEfirewall2 definiert standardmäßig drei Zonen:

  • EXT - External Zone - unvertrauenswürdig, an das Internet angeschlossen
  • INT - Internal Zone - voll vertrauenswürdig, keine Filterung, LAN (= lokales Netzwerk)
  • DMZ - Demilitarized Zone - für Server, die vom Internet erreichbar sein sollen, siehe auch Demilitarized_Zone

Folgende Netzwerkschnittstellen gibt es:

  • lo: LOOPBACK: diese Schnittstelle ist virtuell und existiert immer, auch wenn keine Netzwerkhardware installiert ist. Sie verbindet den Rechner mit sich selbst. Die IP-Adresse ist 127.0.0.1 (oder localhost). Im Zusammenhang mit der Firewall-Erklärung wird sie nicht weite betrachtet.
  • eth0: das erste installierte LAN-Netzwerkgerät (da, wo man das LAN-Kabel reinsteckt). Falls mehrere Geräte installiert sind, gibt es noch eth1, eth2 usw.
  • wlan0: das erste installierte Netzwerk-Gerät für WLAN-Verbindungen
  • siehe $ ip address

Was ist ein Dienst?

  • Der Begriff Dienst wird in unterschiedlichen Zusammenhängen verwendet. Hier eine verkürzte Erklärung.
  • Ein Dienst ist ein Programm, das im Hintergrund auf deinem Rechner läuft, das auf einen TCP-Port registriert ist, z. B. ein HTTP-Server, mit dem im Internet Webseiten bereitgestellt werden.
  • Ein Port ist eine Zahl von 0 bis 65535, siehe Wikipedia-Eintrag. Diese ist prinzipiell beliebig, es gibt aber eine Liste von standardisierten Ports. Das http-Protokoll hat den Standard-Port 80, https hat 443.
  • Ein Port kann nur von genau einem Programm verwendet werden. Wenn ein zweites Programm denselben Port öffnen möchte, liefert das Betriebssystem einen Fehler.
  • Auf dem eigenen Rechner sind für die normale Verwendung im Internet keine Dienste und offenen Ports notwendig. Daher sollte ein Portscan auf die eigene IP auch nichts liefern, siehe z. B. Server Port Test, Application Port Test.

Wie hängen Firewall-Zone, Netzwerkschnittstelle und Dienst zusammen?

------------------------
| Jede Firewall-Zone   |
| (EXT, INT, DMZ)      |
------------------------
    |                                 -----------------------------
    `-------> hat eine Liste von  ----| Erlaubten Diensten        |
    |                                 | (z. B. HTTP, TCP-Port 80) |
    |                                 | (oder nichts)             |
    |                                 -----------------------------
    |
    |                                            --------------------------
    `-------> gilt für für eine oder mehrere ----| Netzwerkschnittstellen |
                                                 | (z. B. eth0, wlan0)    |
                                                 --------------------------
    (Wenn eine Netzwerkschnittstelle keiner
    Zone zugeordnet ist, dann gilt EXT.)

Details[Bearbeiten | Quelltext bearbeiten]

Ein- und ausgehende Verbindungen[Bearbeiten | Quelltext bearbeiten]

Siehe z. B. PC-Welt-Artikel.

Beispiel SMPT-Port[Bearbeiten | Quelltext bearbeiten]

(im Aufbau) Desktop-Freigabe im Netzwerk[Bearbeiten | Quelltext bearbeiten]

Einleitung[Bearbeiten | Quelltext bearbeiten]

Es ist möglich den eigenen Computer freizugeben, um anderen die Möglichkeit zu geben

  • zu sehen wie der eigene Bildschirminhalt aussieht oder
  • zwecks Hilfe den eigenen Rechner zusätzlich mit Maus- und Tastatureingaben fernzusteuern.

Wir arbeiten mit dem Plasma-Desktop und verwenden daher das Programm Krfb, um die Freigabe durchzuführen.

ACHTUNG Bug:

Eigenen Rechner freigeben[Bearbeiten | Quelltext bearbeiten]

Teil 1 - Einrichten:

  • Stelle sicher, dass das Programm krfb installiert ist und starte es.
  • Aktiviere den Haken "Enable Desktop Sharing"
  • Notiere dir den Wert für die IP-Adresse und den Port, z. B. 192.168.178.30:5900
  • Vergebe ein Passwort, dass derjenige benötigt, der sich auf deinen Rechner verbinden will.

Teil 2 - Selbsttest:

  • Stelle sicher, dass das Programm krdc installiert ist und starte es.
  • Unter "Connect to" wähle das Protokoll vnc aus.
  • In die Textbox dahinter gebe die notierte IP-Adresse mit Port ein, z. B. 192.168.178.30:5900
  • Bestätige den erscheinenden Dialog "Host Configuration" "mit OK.
  • Es erscheint ein Hinweis, dass jemand auf deinen Desktop zugreifen will.
  • Deaktiviere den Haken, der Maus- und Tastatur-Zugriff erlaubt.
  • Es sollte der eigene Bildschirminhalt erscheinen und keine Fehlermeldung.

Teil 3 - Firewall:

  • Stelle sicher, dass deine Firewall den Port 5900 nicht blockiert, siehe voriger Abschnitt.


Siehe auch:

Auf freigegebenen Rechner zugreifen[Bearbeiten | Quelltext bearbeiten]

Rechner BETA möchte auf Rechner ALPHA zugreifen:

  ------------------------               ----------------------------
  |                      |               |                          |
  |  Rechner BETA        | ------------> | Rechner ALPHA            |
  |                      |               | (Freigabe eingerichtet,  |
  ------------------------               | siehe voriger Abschnitt) |
  Möchte auf                             |                          |
  Rechner ALPHA zugreifen.               ----------------------------


  • Rechner BETA: Stelle sicher, dass das Programm krdc installiert ist und starte es.
  • Rechner BETA: Unter "Connect to" wähle das Protokoll vnc aus.
  • Rechner BETA: In die Textbox dahinter gebe die von Rechner A notierte IP-Adresse mit Port ein, z. B. 192.168.178.30:5900
  • Rechner BETA: Bestätige den erscheinenden Dialog "Host Configuration" "mit OK.
  • Rechner ALPHA: Es erscheint ein Hinweis, dass jemand auf deinen Desktop zugreifen will.
  • Rechner ALPHA: Deaktiviere den Haken, der Maus- und Tastatur-Zugriff erlaubt.
  • Rechner BETA: Es sollte der Bildschirminhalt Rechner A erscheinen.

(im Aufbau) Heimnetzwerk[Bearbeiten | Quelltext bearbeiten]

mit Samba[Bearbeiten | Quelltext bearbeiten]

mit Extra-Hardware[Bearbeiten | Quelltext bearbeiten]

  • https://www.piratebox.cc/faq (Schweden)
    • "PirateBox ist ein System zum Selberbauen, um ohne Internet Dateien auszutauschen und mittels Computern zu kommunizieren. Es baut auf freier Software auf und verwendet billige Hardware."

Nützliche Netzwerk-Tools[Bearbeiten | Quelltext bearbeiten]

 Zurück