< zurück >

Staatliche Überwachung, Internet-Kriminalität, Computer-Integrität und Schutz der digitalen Privatsphäre

Ein paar persönliche Überlegungen dazu, inwiefern uns das überhaupt betrifft, ob und wodurch wir bei digitalen Attacken möglicherweise selber Ursache sind, wie weit wir selber für die Wahrung unserer eigenen Interessen verantwortlich sind und ein paar technische Anregungen für Maßnahmen gegen virtuelle Einbruchsversuche.

Inhaltsübersicht über die Kapitel dieses Artikels:

> Ich will eine Firewall auf meinem PC einrichten...

> Prolog

> Malen nach Zahlen???

> Wir haben doch längst eine Firewall

> TCP/IP - Datenpakete

> Trotzdem eine lokale Firewall

> Konzept oder kein Konzept…?... das ist die Frage

> Vermeidbare Risiken

> Was ist notwendig, dass eine Firewall nicht nur so heisst, sondern auch eine ist?

> Einrichten des Paketfilters in 4 Varianten

> 1. Paketfilter für ein Mobil-Gerät mit wechselnden Netzwerkverbindungen

> 2. Paketfilter für den als LAN-Server arbeitenden Raspberry PI

> 3. Paketfilter für einen Client-PC im LAN (also hinter dem Router)

> 4. Paketfilter für eine VM ohne Zugriff auf das lokale Netzwerk

> Epilog

Ergänzende Artikel:

> ...noch ein paar technische Infos zum Paketfilter im Kernel

> Datenschutz vs. BigData - privat vs. kommerziell. Wie sicher ist...? Gedanken zur Einrichtung eigener Web-Dienste.

Anhang:

> RFC4890

> Anmerkungen zu den verwendeten Beispiel-IP-Adressen

> Änderungsprotokoll

 

"Ich will eine Firewall auf meinem PC einrichten ... wie geht das? ... hast Du vielleicht 'nen Tip für mich?"

Klar, kein Problem... aber vorher nur mal so aus Neugier 'ne kurze Frage... warum willst Du das eigentlich? "Um meinen PC vor Angriffen aus dem Internet zu schützen." Ah ja, das macht natürlich Sinn. Vor welchen Angriffen? "Na vor Viren und so ... und vor irgendwelchen Hackern, die meinen PC hacken wollen." Ja, die sind echt übel. Welche Programme und Dienste mit zum Internet geöffneten Ports laufen denn bei Dir. "Was meinst Du mit dienste und ports...?... mein PC ist ja am Internet angeschlossen und ich habe den Firefox zum surfen". Jau, alles klar, das ist natürlich brisant und da musst Du Dich wirklich um den Schutz Deines PCs kümmern...

Prolog

Einen Wortlaut, ganz ähnlich wie im ersten Absatz beschrieben, habe ich im Laufe meiner Debian-Zeit nun schon einige Male gelesen, gehört oder war sogar selber daran beteiligt. Sowohl bei privaten Gesprächen, als auch vereinzelt beim Lesen in verschiedenen Online-Foren. Und irgendwann war das dann auf einmal die Inspiration für die Idee, das Thema Firewall einfach mal aus meiner Sicht des privaten Heim-PC-Anwenders zu beschreiben, und das obwohl ich kann ganz sicher nicht behaupten kann, ein Sicherheitsexperte zu sein. Aber egal, man darf ja wohl trotzdem ‘ne Meinung haben, auch wenn man keine Ahnung hat….oder?  ;-)

Ich habe mit diesem Artikel nicht den Anspruch, ein professionelles Handbuch für den Netfilter im Linux-Kernel zu schreiben, oder mich mit Sicherheitsexperten zu messen oder gar zu konkurrieren - das kann ich nicht, das will ich nicht, so vermessen bin ich nicht. Dieser Artikel ist auch kein HowTo, mit dem man einfach eine bestimmte Installation vornehmen kann. Am treffendsten wäre er als persönlichen Bericht über Erlebtes, Erfahrenes und Erlerntes zu umschreiben. Vielleicht kann man ihn auch als „Versuch eines Amateurs zu einem Essay“ zu bezeichnen, in dem ich mich ganz unwissenschaftlich, aber umfassend mit dem Thema PC-Sicherheit befasse - wobei ich aber immer alle Aspekte aus meiner persönlichen Perspektive auf die technischen Belange betrachte. Die Grundlage meiner persönlichen Perspektive ist aber insbesondere Bescheidenheit und eine eher kritische Einschätzung der eigenen Wichtigkeit. Ich glaube nämlich, ich bin in Bezug auf die große und weite digitale Welt schlichtweg zu unwichtig, als das sich irgendwelcheGroßen‘ unmittelbar zielgerichtet für meine kleine IT-Welt interessieren könnten. Wenn überhaupt, finde ich mich vermutlich maximal immer nur in der Kiste „Kollateralschaden“ wieder… und genau darauf fokussieren sich meine präventiven Überlegungen. Ich betreibe kein Banken- oder Versicherungs-Netzwerk, auch nicht das Netzwerk eines Kraftwerks, sondern nur rein privat einen kleinen Raspberry PI als LAN-Server…. somit also wirklich am untersten Ende der Bedeutungsskala angesiedelt. Selbstverständlich kann ich -soweit es die technischen Fakten angeht- auch nicht ausschließen, dass ich nicht selber vielleicht das eine oder andere falsch verstanden habe und infolgedessen dann hier auch falsch wiedergebe, aber genau so etwas ist durch den Charakter eines Essays eben auch nicht ausgeschlossen. In diesem Fall hoffe ich auf gutgemeinte Hinweise, um das korrigieren zu können. Meine Beweggründe für diesen Artikel sind eigentlich ziemlich banal.

Zum einen habe ich bei meiner Suche im Internet nach allem, was es zu diesem Thema an Infos gibt, regelmäßig bei allen Fundstücken immer wieder einem Laien leicht verständliche Erklärungen vermisst. Was dann infolge dessen immer wieder zu der gleichen Frage geführt hat "Wer soll das als Nicht-Fachmann eigentlich noch verstehen?". Und zum anderen gibt's jetzt einen relativ neu hinzugekommenen Aspekt, der mir derzeit tatsächlich noch wichtiger ist. Der muss allerdings wirklich banal sein, weil dieser Aspekt anscheinend den meisten anderen Usern völlig egal ist. Mir gefällt nämlich der aktuell eingeschlagenen Weg überhaupt nicht, wenn sich unsere zum Überwachungsstaat mutierende ‚Fassaden-Demokratie‘ immer mehr zur echten Bedrohung für die eigene digitale Privatsphäre und der allgemeinen Meinungsfreiheit entwickelt, bis hin zur staatlich verordneten Enteignung des Rechts auf diese Privatsphäre (siehe Stichworte z.B. Quellen-TKÜ, Staatstrojaner, Fin-Fisher, Fin-Spy, Evil Twin, "Neues" Polizeigesetz NRW 2018).

Bei dem Hintergrund sollten wir uns schon darüber im Klaren sein, was das für unserer aller Zukunft bedeuten kann und einfach mal drüber nachdenken. Denn wer sich bewusst ist, dass seine digital geäußerte Meinung wegen permanenter Telekommunikations-Überwachung schlimmstenfalls sogar Auswirkungen auf die eigene berufliche Karriere haben kann, wird irgendwann aus Sorge um seine wirtschaftliche Stabilität seine Meinung gar nicht mehr digital veröffentlicht äußern, sondern nur noch heimlich und hinter vorgehaltener Hand darüber sprechen. Die von dieser Regierung beabsichtigte gesetzlich legitimierte permanente und vollständige Überwachung von uns allen wäre z.B. auch der erste Schritt dazu, eine im Entstehen befindliche politische Opposition schon im Keim verhindern zu können…. indem man die sich im Web öffentlich äußernden oder in privater digitaler (abgehörter) Kommunikation politisch motivierte, aber oppositionell denkenden Leute einfach frühzeitig aus ihrer Karriereplanung und schlimmstenfalls sogar auch aus ihrer wirtschaftlichen Stabilität herausnimmt… nach dem Motto „wer nörgelt oder nicht nach ‚unseren' Regeln mitspielt, fliegt… oder darf im Keller Akten sortieren“. Die Chinesen zeigen uns derzeit mit ihrem Social-Credit-System, wie es geht, um eine totale Überwachung und effektive Bevölkerungskontrolle zu erreichen, ohne dabei repressiv gegen die Menschen vorgehen zu müssen…. das ist die Verwirklichung von Orwell‘s 1984. Ein schlechter Social-Credit-Punktestand „beweist“, dass es sich hier wohl um ein unbequemes Mitglied der Gesellschaft handelt, einen Störer…. und die werden wegen ihres Punkte-Defizites schlichtweg vom normalen Leben in der Gesellschaft ausgeschlossen, bei der Job-Suche, bei Beförderungen, Wohnungssuche, Kredite, bis hin bei der medizinischen Versorgung. Mit dem Social-Credit-System ist in der Bevölkerung ein System etabliert, mit dem sich die Bevölkerung selber -quasi autorepressiv- im Sinne des autoritären Regimes lenkt - das ist nicht wie 1984, das ist noch viel effektiver. Das System schützt sich damit auf effektive Weise selber, was selbstverständlich völlig normales Regime-Denken ist, aber genau davor müssen wir uns best-möglich schützen. Mit der Wegnahme des individuellen Rechtes auf digitale Privatsphäre und dem Verlust der persönlichen Hoheit für die eigenen Daten durch die permanente staatliche Überwachung geht also zwangsläufig auch die vollständige Unterdrückung der Meinungsfreiheit einher.

Ich möchte meine aus der Arbeit der letzten Monate gewonnenen Erkenntnisse mit diesem Artikel leicht verständlich, umfassend und in einem vom üblichen Zwang zur fakten-auflistenden Kurzschreibe weitestgehend befreiten Erzählstil weitergeben – als entspannte Lektüre abseits vom PC. Im Artikel vermische ich völlig ungehemmt sachliches, technisches und persönliches und führe irgendwann alles ausführlich erörtert zu einem Gesamtbild zusammen. Ich betrachte das als wichtig, weil es allein aufs technische beschränkt auch nur wieder ein HowTo wäre, welches eh nur die Fachleute verstehen, die eigentlich sowieso kein HowTo benötigen.

Aber auf eines möchte ich gleich zu Beginn deutlich hinweisen, der Artikel wendet sich zwar an Leute ohne tiefe Sachkenntnisse, aber er ist dennoch kein ‚Malen nach Zahlen‘. Ich setze gewisse Grundkenntnisse über Netzwerke voraus, z.B. was IP-Adressen sind, welche Funktion sie haben, was IP-Adressen innerhalb eines lokalen Netzwerkes gemeinsam haben, was ein Router ist, welche Aufgaben er hat, usw. Ein paar ganz allgemeine Basics über Netzwerke habe ich auf den ersten Seiten meines Caravan-Projektes beschrieben, was als Grundlage für diesen Artikel völlig ausreichend ist. Wer jedoch glaubt, er könne sich ohne Verständnis für die großen Zusammenhänge mal eben die am Ende beschriebenen Netfilter-Regeln auf seinen Rechner kopieren und starten und hätte

 
 

damit eine tolle Firewall, der täuscht sich ... allein damit hat er nämlich überhaupt nix, am allerwenigsten echte Sicherheit. Ohne Lesen, Verstehen, Prüfen und Anpassen geht wirklich absolut gar nichts. Wer allerdings mit Prosa und Epik ein Problem hat oder verlernt hat, mit langen Texten umzugehen, den bitte ich jetzt die Tastenkombination Alt-F4 zu drücken, was ihn erfolgreich davor bewahrt, jetzt noch weiter lesen zu müssen ... der benötigt vermutlich auch gar keine Firewall, oder hat schon eine, oder weiß eh alles besser. Für die geduldigen anderen Leser hoffe ich jedoch, ein paar Geheimnisse "lüften" zu können. Ich glaube nämlich, wenn man sich mit einer solchen Aufgabe befasst, sollte der private PC-Administrator -bevor er loslegt- wirklich klare Vorstellungen darüber haben, was er mit welcher sachlichen Begründung überhaupt erreichen will und was uns Laien als erreichbares Ziel überhaupt möglich ist. Auch dieser Artikel wendet sich also wieder an Leute, die eben keine ausgewiesenen Fachleute sind, die eben nur private PC-Anwender ohne Spezialisten-Kenntnisse sind. Ich hab‘s aufgeschrieben, weil ich solche Arbeit gerne tue und natürlich auch, damit meine Erkenntnisse vielleicht dem einen oder anderen dabei helfen, ebenfalls eigene und präventiv geeignete Maßnahmen zu entwickeln, ohne ein IT-Profi sein zu müssen oder einfach nur, um einen Einstieg in dieses schwierige Thema zu finden. Wenn dann beim Lesen der eine oder andere denkt „Ging mir genauso“ oder „So sieht es bei mir auch aus“ oder „Damit kann ich was anfangen“ oder „Aha, so ist das also“, dann war dieser Artikel schon ein Erfolg. Ja, sicher, natürlich ist mir auch bewusst, dass man echte Profis, die unbedingt "rein" wollen, und das auch noch ganz gezielt, vermutlich nicht abhalten kann. Aber wir müssen denen ja nicht selber unsere digitalen Türen bereitwillig weit öffnen und damit quasi Einladungen aussprechen, wir müssen es denen überhaupt nicht einfach machen.... das genaue Gegenteil ist der Fall.

Natürlich habe ich lange und gezielt im Web gesucht und in unzähligen Texten recherchiert, um Informationen zu finden, mit denen ich erst mal selber eigene grundsätzliche Vorstellungen über die Ausgestaltung einer persönlichen Firewall entwickeln konnte und mit denen ich dann am Ende auch wirklich meine Vorstellungen für eine solche Firewall realisieren konnte. Parallel dazu hab ich in zweistelliger Anzahl Programm-Entwürfe entwickelt und getestet, korrigiert oder mangels Zufriedenheit wieder verworfen. Technische Artikel, Man-Pages, die Netfilter-Project-Seiten, viele Beispiel-Regel-Sätze für den Paketfilter, pro- und contra-Ansichten über die Wirksamkeit von Personal Firewalls auf End-User-PCs, alles findet man zuhauf... nur fehlten bei fast allen der gezeigten Modelle und Beispiele die etwas tiefer gehenden Erklärungen über die Rahmenbedingungen, mit welcher genauen Zielsetzung das überhaupt genau so gemacht wurde und welche Wirkung das warum an welcher Stelle hat. Was hilft es mir, wenn ich lese "...sperrt Port 99 für Protokoll XYZ", wenn ich gar nicht weiß, warum und ob überhaupt es notwendig sein könnte, speziell diesen Port auf meinem PC zu sperren? Wie soll ich denn da als Beginner beurteilen, ob das für meine Zwecke und Absichten überhaupt geeignet oder notwendig ist? Wie sinnvoll ist es, wenn ich mir die beste Firewall von allen installiere, mir gleichzeitig aber gar nicht bewusst ist, dass ich sie mit meinem gewohnten (aber doch eher leichtsinnigen) Anwenderverhalten wieder vollständig neutralisiere …?... wobei ich nicht mal im Traum daran gedacht habe, dass mein eigenes Verhalten vielleicht so leichtsinnig sein könnte, dass genau davon die größte Gefahr ausging… denn so etwas würde ich doch nie wollen. Ich konnte das alles zusammen meistens jedenfalls nicht einschätzen, also lief es mal wieder darauf hinaus, sich alles einzeln mühsam erarbeiten zu müssen.

Was ich jetzt hier beschreibe, ist also nur die Essenz dessen, was ich mir in dieser Lehrzeit an Kenntnissen erarbeitet habe. Für die Zwecke meiner privaten Computerei reicht das völlig aus, es wird aber wohl trotzdem nur ein Teil dessen sein, was insgesamt möglich ist. Diese kleine Einleitung zum eigentlichen Thema soll also die Richtung weisen, wie man meinen Artikel einschätzen muss. Es sind Anfangs-Kenntnisse für einfache Basislösungen. Mit diesem limitierten Kenntnisvorrat ist es jedenfalls nicht möglich, die Firewall für einen Linux-Router zu schreiben... aber das war auch nie man Ziel, mir geht's nur um meine PC's. Also werde ich hier in diesem Text auch keinesfalls die sehr anspruchsvolle und technisch tatsächlich mögliche Tiefe erreichen. Wer das braucht oder will muss sich das notwendige Wissen an anderer Stelle aneignen.

"Was waren denn Deine Beweggründe eine Firewall einzurichten?"

Tja, in erster Linie waren es anfangs vermutlich wohl fehlende Sachkenntnisse, also einfach nur Ahnungslosigkeit. Und dann als zweites der das Problem auslösende Umstand, dass ich nach dem Wechsel von DSL auf VDSL auf einmal einen Dual-Stack-Anschluss hatte. Solange mein alter DSL-Anschluss ein reiner IPv4-Anschluss war, hatte ich für unsere Debian-PCs zu keiner Zeit den Gedanken, dass diese eine Personal Firewall brauchen würden. Aber die technische Besonderheit, dass für IPv6 kein NAT notwendig und deshalb auch erst mal nicht mehr vorhanden ist, das jeder PC mit seiner Global-Unicast-IPv6-Adresse selber und direkt im Internet präsent ist, schien mir doch sehr suspekt. Was NAT für IPv4 und die Sicherheit unserer LAN-Clients bedeutet, beschreibe ich ein paar Absätze weiter unten, aber genau das ist für IPv6 zunächst mal nicht vorgesehen. Die Tatsache, dass mit IPv6 jeder PC direkt mit seinem Ziel-Host im Internet kommunizieren kann, ist ganz unzweifelhaft ein Vorteil, wird damit doch viel datenfluss-technischer Overhead mit einem Mal total überflüssig, alles geht schneller, einfacher, besser, direkter.

Aber es hat mich dennoch einigermaßen beunruhigt, so sehr, dass der Gedanke aufkam, eine Firewall könnte jetzt zwingend notwendig sein. Eben weil ich auch glaubte, dass mein PC im Internet jetzt allgemein sichtbar und ansprechbar ist und er allein deswegen unbedingt geschützt werden müsste. Aber wie wir sehen werden, war das einfach nur ein Irrtum. Und genau diesen zumeist fehlenden Sachkenntnissen über die wichtigen und elementaren Hintergründe für den sinnvollen Betrieb einer Firewall widme ich den Großteil meines Artikels, womit es dann anschließend auch möglich sein sollte, die im Internet gefundenen technischen Suchergebnisse mit jetzt besserem eigenem Verständnis zu bewerten und einzuordnen. Und jetzt alles weitere einfach mal überspringend und weit vorgreifend komme ich heute und ganz aktuell wieder zu dem Fazit, dass ich auf meinem eigenen PC -wie schon früher- auch heute immer noch keine Firewall benötige. Ich habe sie zwar, sie ist auch aktiv, aber das ist eindeutig mehr mit der Lust am Tun begründet, als das es hier eine zwingende Notwendigkeit gäbe oder das sie die Sicherheit gravierend verbessert. Aber dieses Fazit ist natürlich nicht allgemein übertragbar, es gilt nicht für meinen Laptop und auch nicht für die Server, sondern nur für meinen eigenen PC. Und das ist allein in der Art und Weise meines persönlichen Umgangs mit unserem IT-Equipment begründet.... mit anderen Worten: andere Gegebenheiten = andere Erfordernisse = andere Lösungen!

Früher unter Windows war das ja alles kein Thema, da war eine Firewall obligatorisch aktiviert und man wurde immer wieder mit deutlichen Hinweisen gewarnt, wenn diese Firewall nicht aktiviert war. Die User waren daran gewöhnt und allein durch den Begriff „Firewall“ und der Erwartungshaltung einen mächtigen Schutz zu haben geradezu beruhigt. Nun ist bei einigen Linux-Distributionen so eine Firewall anscheinend nicht von vornherein installiert und auch nicht generell im Desktop-Environment der Distribution aktiviert..... ‚ganz schön schlampig von den Entwicklern‘ stellt man fest und fällt ein treffendes Urteil. Ja sicher, ich verstehe natürlich, wie man zu diesem Fazit kommt, weil ein solcher Missstand ja eigentlich überhaupt nicht mehr zur Erwartungshaltung eines Anwenders passt, der sich früher von seiner Windows-Firewall gut beschützt gefühlt hat.

Einige der Anwender, mit denen ich gesprochen habe, haben scheinbar die Vorstellung, dass ihr mit dem Internet verbundener PC generell schutzlos ist und allen aus dem Internet kommenden bösen Absichten quasi hilflos ausgeliefert ist, wenn keine Firewall installiert ist. Warum sonst wird die Verwendung der Firewall bei Windows so nachhaltig empfohlen? Da liegt es doch nahe, bei den Linux-Distributionen -wie z.B. bei Debian- ein faules Versäumnis zu vermuten, wenn eine solche Firewall fehlt.

Aber ist es wirklich Schlampigkeit? Oder ein Versäumnis? Nein, natürlicht nicht! Ganz einfach....