Lokales Netzwerk 2
Inhaltsverzeichnis
Firewall[Bearbeiten | Quelltext bearbeiten]
Siehe auch Lokales Netzwerk Teil 1.
Zone INT oder EXT?[Bearbeiten | Quelltext bearbeiten]
Eine Personal Firewall wird dann empfohlen, wenn der Rechner mit dem Internet verbunden ist. Es gibt allerdings verschiedene Szenarien, in denen es in Ordnung ist, die persönliche Firewall zu deaktivieren, da das Netzwerk durch andere Firewalls bereits geschützt ist.
Persönliche Firewall empfohlen (Zone EXT):
---------------------------------------------------------------
| Eigenes Gebäude |
| |
| |
| -------------------- -------------------- |
| | | | | |
| | Eigener Rechner |------------| Internet-Modem | |
| | | | ohne Firewall | |
| -------------------- | | |
| -------------------- |
| | |
| | |
---------------------------------------------------------------
|
| Kabel
|
----------------------------------------------------
| Andere Gebäude / Andere Rechner |
| |
| Internet Service Provider |
| |
| Das Internet |
| |
----------------------------------------------------
Persönliche Firewall kann auch abgeschaltet werden (Zone INT):
---------------------------------------------------------------
| Eigenes Gebäude |
| |
| |
| -------------------- -------------------- |
| | | | | |
| | Eigener Rechner |------------| Internet-Router | |
| | | | mit Firewall | |
| -------------------- | | |
| -------------------- |
| | |
| | |
---------------------------------------------------------------
|
| Kabel
|
----------------------------------------------------
| Andere Gebäude / Andere Rechner |
| |
| Internet Service Provider |
| |
| Das Internet |
| |
----------------------------------------------------
Persönliche Firewall kann auch abgeschaltet werden (Zone INT):
----------------------------------------------------------------------------------
| Eigenes Gebäude |
| |
| |
| -------------------- -------------------- --------------------- |
| | | | | | | |
| | Eigener Rechner |--------| Lokales Netzwerk |------| Netzwerk-Firewall | |
| | | | | | | |
| -------------------- -------------------- --------------------- |
| | |
| | |
----------------------------------------------------------------------------------
|
.-----------'
|
----------------------------------------------------
| Andere Gebäude / Andere Rechner |
| |
| Internet Service Provider |
| |
| Das Internet |
| |
----------------------------------------------------
Zone, Netzwerkschnittstelle, Dienst[Bearbeiten | Quelltext bearbeiten]
Erklärung, was eine Firewall ist, am Beispiel von SuSEfirewall2.
Eine Firewall schützt vor Netzwerk-Angriffen, indem bestimmte ungewollte Pakete, die an der Netzwerkschnittstelle (Netzwerkkabel oder Wireless) angekommen, abgelehnt oder verworfen werden.
Folgende Begriffe sind hier von Relevanz:
- die Firewall-Zone
- die Netzwerkschnittstelle
- der Dienst
Die SuSEfirewall2 definiert standardmäßig drei Zonen:
- EXT - External Zone - unvertrauenswürdig, an das Internet angeschlossen
- INT - Internal Zone - voll vertrauenswürdig, keine Filterung, LAN (= lokales Netzwerk)
- DMZ - Demilitarized Zone - für Server, die vom Internet erreichbar sein sollen, siehe auch Demilitarized_Zone
Folgende Netzwerkschnittstellen gibt es:
- lo: LOOPBACK: diese Schnittstelle ist virtuell und existiert immer, auch wenn keine Netzwerkhardware installiert ist. Sie verbindet den Rechner mit sich selbst. Die IP-Adresse ist 127.0.0.1 (oder localhost). Im Zusammenhang mit der Firewall-Erklärung wird sie nicht weite betrachtet.
- eth0: das erste installierte LAN-Netzwerkgerät (da, wo man das LAN-Kabel reinsteckt). Falls mehrere Geräte installiert sind, gibt es noch eth1, eth2 usw.
- wlan0: das erste installierte Netzwerk-Gerät für WLAN-Verbindungen
- siehe $ ip address
Was ist ein Dienst?
- Der Begriff Dienst wird in unterschiedlichen Zusammenhängen verwendet. Hier eine verkürzte Erklärung.
- Ein Dienst ist ein Programm, das im Hintergrund auf deinem Rechner läuft, das auf einen TCP-Port registriert ist, z. B. ein HTTP-Server, mit dem im Internet Webseiten bereitgestellt werden.
- Ein Port ist eine Zahl von 0 bis 65535, siehe Wikipedia-Eintrag. Diese ist prinzipiell beliebig, es gibt aber eine Liste von standardisierten Ports. Das http-Protokoll hat den Standard-Port 80, https hat 443.
- Ein Port kann nur von genau einem Programm verwendet werden. Wenn ein zweites Programm denselben Port öffnen möchte, liefert das Betriebssystem einen Fehler.
- Auf dem eigenen Rechner sind für die normale Verwendung im Internet keine Dienste und offenen Ports notwendig. Daher sollte ein Portscan auf die eigene IP auch nichts liefern, siehe z. B. Server Port Test, Application Port Test.
Wie hängen Firewall-Zone, Netzwerkschnittstelle und Dienst zusammen?
------------------------
| Jede Firewall-Zone |
| (EXT, INT, DMZ) |
------------------------
| -----------------------------
`-------> hat eine Liste von ----| Erlaubten Diensten |
| | (z. B. HTTP, TCP-Port 80) |
| | (oder nichts) |
| -----------------------------
|
| --------------------------
`-------> gilt für für eine oder mehrere ----| Netzwerkschnittstellen |
| (z. B. eth0, wlan0) |
--------------------------
(Wenn eine Netzwerkschnittstelle keiner
Zone zugeordnet ist, dann gilt EXT.)
Details[Bearbeiten | Quelltext bearbeiten]
- siehe https://en.opensuse.org/SuSEfirewall2
- "SuSEfirewall2 is basically a script that generates iptables rules from configuration stored in the /etc/sysconfig/SuSEfirewall2 file"
- "By default all unassigned interfaces are automatically assigned to the external zone."
- "The variable FW_ZONES can be used to define additional zones. For example, if you don't want the restrictive filtering of the external zone in your WLAN, but also don't fully trust the WLAN so you can't use the internal zone, you could define a new zone."
- Mehr zur Loopback-Schnittstelle
- Mehr zu Ports
- Dienstnamen, siehe /etc/services
- Portfilter
- Portscanner
- IP-Protokolle außer TCP und UDP
Ein- und ausgehende Verbindungen[Bearbeiten | Quelltext bearbeiten]
Siehe z. B. PC-Welt-Artikel.
Beispiel SMPT-Port[Bearbeiten | Quelltext bearbeiten]
- SMTP-Sperre?
- https://www.luis.uni-hannover.de/fwgw-smtp.html
- Hier wird erklärt, warum früher eine SMTP-Sperre (Port 25 und 465) eingeführt wurde, wodurch man als Nutzer keine Mails mehr senden konnte, weil darüber auch Spam versendet wurde.
- Nun gibt es aber den TCP-Port 587 ("submission"), der nicht blockiert werden muss, weil kein Spam versendet werden kann, aber der normale Nutzer seine E-Mails.
- https://www.luis.uni-hannover.de/fwgw-smtp.html
- Weiteres:
- Sonstiges:
- http://www.gesetze-bayern.de/Content/Document/BayVwV270218-43?AspxAutoDetectCookieSupport=1
- https://www.uni-due.de/zim/services/sicherheit/port_25.shtml
- Hier werden z. B. nur Verbindungen zu einer vorgegeben Liste von bekannten SMTP-Servern zugelassen (gute Idee)
(im Aufbau) Desktop-Freigabe im Netzwerk[Bearbeiten | Quelltext bearbeiten]
Einleitung[Bearbeiten | Quelltext bearbeiten]
Es ist möglich den eigenen Computer freizugeben, um anderen die Möglichkeit zu geben
- zu sehen wie der eigene Bildschirminhalt aussieht oder
- zwecks Hilfe den eigenen Rechner zusätzlich mit Maus- und Tastatureingaben fernzusteuern.
Wir arbeiten mit dem Plasma-Desktop und verwenden daher das Programm Krfb, um die Freigabe durchzuführen.
ACHTUNG Bug:
- Derzeit funktioniert die Desktop-Freigabe möglicherweise nicht, siehe Bug 356782 - krfb stops sending updates after the first frame
Eigenen Rechner freigeben[Bearbeiten | Quelltext bearbeiten]
Teil 1 - Einrichten:
- Stelle sicher, dass das Programm krfb installiert ist und starte es.
- Aktiviere den Haken "Enable Desktop Sharing"
- Notiere dir den Wert für die IP-Adresse und den Port, z. B. 192.168.178.30:5900
- Vergebe ein Passwort, dass derjenige benötigt, der sich auf deinen Rechner verbinden will.
Teil 2 - Selbsttest:
- Stelle sicher, dass das Programm krdc installiert ist und starte es.
- Unter "Connect to" wähle das Protokoll vnc aus.
- In die Textbox dahinter gebe die notierte IP-Adresse mit Port ein, z. B. 192.168.178.30:5900
- Bestätige den erscheinenden Dialog "Host Configuration" "mit OK.
- Es erscheint ein Hinweis, dass jemand auf deinen Desktop zugreifen will.
- Deaktiviere den Haken, der Maus- und Tastatur-Zugriff erlaubt.
- Es sollte der eigene Bildschirminhalt erscheinen und keine Fehlermeldung.
Teil 3 - Firewall:
- Stelle sicher, dass deine Firewall den Port 5900 nicht blockiert, siehe voriger Abschnitt.
Siehe auch:
- http://www.binarytides.com/remote-share-kde-desktop/
- ACHTUNG: Warum sehe ich das "Send Personal invitation"-Dialog nicht? --> Wurde abgeschafft, siehe Bug 365018 - Can't send invitations
Auf freigegebenen Rechner zugreifen[Bearbeiten | Quelltext bearbeiten]
Rechner BETA möchte auf Rechner ALPHA zugreifen:
------------------------ ----------------------------
| | | |
| Rechner BETA | ------------> | Rechner ALPHA |
| | | (Freigabe eingerichtet, |
------------------------ | siehe voriger Abschnitt) |
Möchte auf | |
Rechner ALPHA zugreifen. ----------------------------
- Rechner BETA: Stelle sicher, dass das Programm krdc installiert ist und starte es.
- Rechner BETA: Unter "Connect to" wähle das Protokoll vnc aus.
- Rechner BETA: In die Textbox dahinter gebe die von Rechner A notierte IP-Adresse mit Port ein, z. B. 192.168.178.30:5900
- Rechner BETA: Bestätige den erscheinenden Dialog "Host Configuration" "mit OK.
- Rechner ALPHA: Es erscheint ein Hinweis, dass jemand auf deinen Desktop zugreifen will.
- Rechner ALPHA: Deaktiviere den Haken, der Maus- und Tastatur-Zugriff erlaubt.
- Rechner BETA: Es sollte der Bildschirminhalt Rechner A erscheinen.
(im Aufbau) Heimnetzwerk[Bearbeiten | Quelltext bearbeiten]
mit Samba[Bearbeiten | Quelltext bearbeiten]
mit Extra-Hardware[Bearbeiten | Quelltext bearbeiten]
- https://www.piratebox.cc/faq (Schweden)
- "PirateBox ist ein System zum Selberbauen, um ohne Internet Dateien auszutauschen und mittels Computern zu kommunizieren. Es baut auf freier Software auf und verwendet billige Hardware."
Nützliche Netzwerk-Tools[Bearbeiten | Quelltext bearbeiten]
- gnome-nettool, siehe https://projects.gnome.org/gnome-network/screenshots.shtml, Screenshot für Lookup