Einrichtung der UFW unter Ubuntu: Effektiver Schutz für deine Server

UFW, oder "Uncomplicated Firewall" (Unkomplizierte Firewall), ist eine Schnittstelle zu iptables, die darauf ausgerichtet ist, den Prozess der Konfiguration einer Firewall zu vereinfachen. Obwohl iptables ein solides und flexibles Werkzeug ist, kann es für Anfänger schwierig sein, den Umgang mit iptables zu erlernen, um eine Firewall richtig zu konfigurieren. Wenn Du mit der Sicherung Deines Servers beginnen möchtest und nicht sicher bist, welches Tool Du verwenden sollst, ist UFW vielleicht die richtige Wahl.

Wenn UFW noch nicht auf Ihrem Server installiert ist, können Sie es mit dem folgenden Befehl installieren:  

Diese Anleitung wurde für IPv4 geschrieben und getestet, funktioniert aber grundsätzlich auch mit IPv6, wenn IPv6 aktiviert ist. Wenn auf Ihrem Ubuntu-Server IPv6 aktiviert ist, müssen Sie sicherstellen, dass UFW für die Unterstützung von IPv6 konfiguriert ist. Öffnen Sie dazu die UFW-Konfiguration in nano oder Ihrem bevorzugten Editor. 

Stellen Sie dann sicher, dass der Wert von IPV6 „yes“ lautet. Es sollte wie folgt aussehen:

Speichern und schließen Sie die Datei. Wenn Sie UFW aktivieren, ist es so konfiguriert, dass es sowohl IPv4- als auch IPv6-Firewallregeln schreibt. Bevor Sie UFW aktivieren, müssen Sie jedoch sicherstellen, dass Ihre Firewall so konfiguriert ist, dass sie Verbindungen über SSH zulässt. Das Konfigurieren der Standardrichtlinie wird im nächsten Schritt beschrieben. 

Wenn Sie gerade erst mit der Konfiguration Ihrer Firewall beginnen, sollten Sie zunächst die Regeln für Ihre Standardrichtlinie definieren. Diese Regeln steuern, wie mit Datenverkehr umgegangen wird, der nicht explizit durch andere Einstellungen gesteuert wird. Standardmäßig ist UFW so konfiguriert, dass alle eingehenden Verbindungen abgelehnt und alle ausgehenden Verbindungen zugelassen werden. Dies bedeutet, dass jeder, der versucht, auf den Server zuzugreifen, keine Verbindung herstellen kann, Anwendungen innerhalb des Servers jedoch auf externe Systeme zugreifen können.

Setzen Sie die UFW-Regeln auf ihre Standardeinstellungen zurück, damit Sie dieser Anleitung folgen können. Verwenden Sie dazu den Befehl: 

Mit diesen Befehlen legen Sie fest, dass eingehende Verbindungen verweigert und ausgehende Verbindungen zugelassen werden. Diese Firewall-Standardeinstellungen mögen für Personalcomputer ausreichend sein, Ihr Server muss jedoch auf eingehende Anfragen von externen Benutzern reagieren. Daher werden wir im nächsten Schritt weitere Regeln definieren. 

Wenn Sie hier die UFW-Firewall aktivieren, werden alle eingehenden Verbindungen abgelehnt. Das bedeutet, dass Sie zunächst eine Regel erstellen müssen, die die erforderlichen eingehenden Verbindungen explizit zulässt. Dies ist besonders wichtig, wenn Sie Cloud- oder Remote-Server verwenden. In diesem Fall benötigen Sie eine eingehende SSH-Verbindung, damit Sie sich mit Ihrem Server verbinden und diesen verwalten können. Andernfalls können Sie keine Remoteverbindung zum Server herstellen. Um Ihren Server so zu konfigurieren, dass er eingehende SSH-Verbindungen zulässt, können Sie den folgenden Befehl verwenden:  

Dieser Befehl erstellt eine Firewall-Regel, die alle Verbindungen auf Port 22 zulässt. Port 22 ist der Port, den der SSH-Daemon standardmäßig überwacht.

Sie können jedoch anstelle des Ports auch den Dienstnamen angeben und die entsprechende Regel schreiben. Dieser Befehl funktioniert beispielsweise genauso wie der obige Befehl. 

UFW weiß, was „allow ssh“ bedeutet, da es als Dienst in der Datei /etc/services aufgeführt ist. Wenn ein anderer Port als der Standard-Port 22 eingestellt ist, wird dieser automatisch für Verbindungen zugelassen.

Die Firewall ist so konfiguriert, dass sie eingehende SSH-Verbindungen zulässt und kann aktiviert werden. 

UFW wird mit folgenden Befehl aktiviert:

Es wird eine Warnung angezeigt, die besagt, dass dieser Befehl möglicherweise bestehende SSH-Verbindungen unterbricht. Sie haben bereits Firewall-Regeln eingerichtet, um SSH-Verbindungen zuzulassen, also können Sie loslegen. Beantworten Sie die Eingabeaufforderung mit y und bestätigen Sie mit ENTER.

Die Firewall ist jetzt aktiv. Führen Sie den Befehl sudo ufw status verbose aus, um die konfigurierten Regeln zu überprüfen. 

An dieser Stelle sollten Sie andere Verbindungen zulassen, auf die der Server antworten soll. Welche Verbindungen Sie zulassen sollten, hängt von Ihren spezifischen Bedürfnissen ab. Glücklicherweise wissen wir bereits, wie man Regeln erstellt, um Verbindungen basierend auf Dienstnamen oder Ports zuzulassen. Dies wurde bereits für SSH auf Port 22 durchgeführt. Sie können dies auch für Sie tun:

HTTP auf Port 80. Wird für unverschlüsselte Webserververbindungen verwendet. 

oder

HTTPS auf Port 443, der für verschlüsselte Webserververbindungen verwendet wird, mit

oder

Neben der Angabe eines Ports oder eines bekannten Dienstes gibt es mehrere andere Möglichkeiten, andere Verbindungen zuzulassen.

Mit UFW können Sie Portbereiche angeben. Einige Anwendungen verwenden mehrere Ports anstelle eines einzelnen Ports.

Um beispielsweise X11-Verbindungen über die Ports 6000–6007 zuzulassen, verwenden Sie den folgenden Befehl: 

Wenn Sie einen Portbereich in UFW angeben, müssen Sie angeben, für welches Protokoll (TCP oder UDP) die Regel gilt. Dies wurde noch nicht erwähnt, da beide Protokolle automatisch zulässig sind, wenn Sie keins angeben, aber in den meisten Fällen ist es in Ordnung. 

Sie können auch eine IP-Adresse angeben, wenn Sie UFW verwenden. Wenn Sie beispielsweise Verbindungen von einer bestimmten IP-Adresse zulassen möchten, z. B. Ihrer Arbeits- oder Server-IP-Adresse 209.5.31.88, müssen Sie zuerst „von“ und dann die IP-Adresse angeben. 

Sie können auch einen bestimmten Port angeben, von dem aus eine IP-Adresse eine Verbindung herstellen darf, indem Sie einen beliebigen Port gefolgt von der Portnummer hinzufügen. Um beispielsweise 209.5.31.88 die Verbindung zu Port 22 (SSH) zu ermöglichen, verwenden Sie den folgenden Befehl:  

Wenn Sie ein Subnetz von IP-Adressen zulassen möchten, können Sie die Netzmaske mithilfe der CIDR-Notation angeben. Um beispielsweise alle IP-Adressen im Bereich 209.5.31.1 bis 203.5.31.254 zuzulassen, könnten Sie den folgenden Befehl verwenden:  

Sie können auch einen Zielport angeben, mit dem das Subnetz 209.5.31.0/24 verbunden ist, z. B. Port 22 (SSH). 

Wenn Sie eine Firewall-Regel erstellen möchten, die nur für eine bestimmte Netzwerkschnittstelle gilt, können Sie dies tun, indem Sie nach „allow in on“ den Namen der Netzwerkschnittstelle angeben.

Bitte überprüfen Sie Ihre Netzwerkschnittstelle, bevor Sie fortfahren. Verwenden Sie dazu den Befehl:  

Die Ausgabe zeigt die Netzwerkschnittstellen. Diese heißen normalerweise eth0, manchmal aber auch enp3s2.

Wenn Ihr Server über eine öffentliche Netzwerkschnittstelle mit dem Namen eth0 verfügt, können Sie HTTP-Verkehr (Port 80) mit dem folgenden Befehl zulassen:  

Wenn Sie möchten, dass Ihr MySQL- oder MariaDB-Datenbankserver (Port 3306) auf Verbindungen auf der privaten Netzwerkschnittstelle eth1 lauscht, können Sie den folgenden Befehl verwenden:  

Dadurch können andere Server im privaten Netzwerk eine Verbindung zu Ihrer MySQL-Datenbank herstellen. Dies erfordert möglicherweise eine Anpassung Ihrer MySQL-Konfiguration. 

Sofern Sie die Standardrichtlinie für eingehende Verbindungen nicht geändert haben, ist UFW so konfiguriert, dass alle eingehenden Verbindungen abgelehnt werden. Im Allgemeinen vereinfacht dies den Prozess des Entwurfs sicherer Firewall-Richtlinien, indem einfach Regeln erstellt werden, die bestimmte Ports und IP-Adressen explizit zulassen.

Da Ihr Server jedoch der Ort ist, an dem Sie angegriffen werden, möchten Sie möglicherweise bestimmte Verbindungen basierend auf der Quell-IP-Adresse oder dem Subnetz ablehnen. Selbst wenn Sie die standardmäßige Eingangsrichtlinie ändern, um alles zuzulassen (wird dringend davon abgeraten), müssen Sie dennoch Ablehnungsregeln für Dienste oder IP-Adressen erstellen, von denen Sie keine Verbindungen zulassen möchten.

Um eine Verweigerungsregel zu erstellen, verwenden Sie einfach den obigen Befehl und ersetzen Sie „allow“ durch „deny“. Um beispielsweise HTTP-Verbindungen zu verweigern, können Sie den folgenden Befehl verwenden:  

Wenn Sie alle Verbindungen von 208.55.131.48 ablehnen möchten, können Sie den folgenden Befehl verwenden:  

Es gibt zwei verschiedene Möglichkeiten, anzugeben, welche Regeln gelöscht werden sollen:

• anhand der Regelnummer oder
• anhand der eigentlichen Regel (ähnlich wie die Regeln bei ihrer Erstellung angegeben wurden).

Wenn Sie Firewall-Regeln nach Regelnummer löschen möchten, müssen Sie zunächst die Liste der Firewall-Regeln abrufen. Der UFW-Statusbefehl bietet die Möglichkeit, neben jeder Regel eine Zahl anzuzeigen. 

Wenn Sie Regel 2 entfernen möchten, die Verbindungen über Port 80 (HTTP) zulässt, können Sie dies mit dem folgenden Befehl tun: 

Nach bestätigen einer Sicherheitsabfrage wird die Regel 2 gelöscht, die die HTTP-Verbindungen erlaubt.

Sie können anstelle der Regelnummer auch die tatsächlich zu löschende Regel angeben. Um beispielsweise die http-Regel zu entfernen, könnten Sie einen Befehl wie diesen schreiben:  

Sie können die Regel auch mit „allow 80“ anstelle des Dienstnamens angeben. 

Mit dem folgenden Befehl kann jederzeit der Status der UFW überprüft werden:

Wenn UFW deaktiviert ist, erscheint folgende Ausgabe:

Wenn UFW aktiv ist, werden alle vorhandenen Regeln aufgelistet. Wenn Ihre Firewall beispielsweise so konfiguriert ist, dass sie SSH-Verbindungen (Port 2222) von überall aus zulässt, wäre die Ausgabe: 

Wenn Sie UFW nicht verwenden möchten, können Sie die Firewall mit dem folgenden Befehl deaktivieren:  

Alle von UFW erstellten Regeln sind nicht mehr aktiv. Sie können den Befehl jedoch jederzeit zurückgeben 

ausführen, wenn Sie UFW und die Regeln reaktivieren möchten.

Wenn Sie bereits UFW-Regeln eingerichtet haben und von vorne beginnen möchten, können Sie den Befehl „reset“ verwenden. 

Durch diesen Befehl wird UFW deaktiviert und alle zuvor definierten Regeln werden gelöscht.