UFW (Uncomplicated Firewall)

☰ Menü

 

Vertrauen ist gut, Kontrolle ist besser!

 

Sicher möchten Sie wissen, ob die Firewall richtig konfiguriert ist. Ufw kann so eingerichtet werden, dass sämtliche Netzwerkzugriffe protokolliert wird. Sie finden außerdem heraus, ob versucht wurde auf gesperrte Netzwerkienste (= blockierte Ports) zuzugreifen.

 

Logging aktivieren

Ob Logging aktiviert ist zeigt der Befehl [sudo] ufw status verbose.

root@raspberrypi:~# ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)

Box 1: Logging ist eingeschaltet

[sudo] ufw logging off		# ausschalten
[sudo] ufw logging on		# einschalten
[sudo] ufw logging low		# Loglevel low
[sudo] ufw logging medium	# Loglevel medium
[sudo] ufw logging high		# Loglevel high

Box 2: Logging verwalten:

Standardmäßig ist die Logstufe low eingeschaltet. Der Unterschied zwischen den Logstufen besteht in der Art und Detailfülle der protokollierten Ereignisse. In der Logstufe low werden nur blockierte Ereignisse aufgelistet. Wollen Sie mehr sehen, nutzen Sie den Loglevel medium: [sudo] ufw logging medium

 

Logdateien auswerten

Ufw protokolliert Ereignisse in der Datei /var/log/ufw.log. Betrachten Sie die zwei protokollierte Ereignisse! Die eingestellte Logstufe ist medium.

Jan  3 17:23:44 debian kernel: [ 7359.816114] [UFW BLOCK] IN=ens33 OUT= MAC=00:0c:29:84:30:db:00:50:56:c0:00:08:08:00 SRC=192.168.52.1 DST=192.168.52.134 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=5263 DF PROTO=TCP SPT=58862 DPT=80 WINDOW=64240 RES=0x00 SYN URGP=0 
Jan  5 10:28:54 debian kernel: [  159.549404] [UFW AUDIT] IN=ens33 OUT= MAC=00:0c:29:84:30:db:00:50:56:c0:00:08:08:00 SRC=192.168.52.1 DST=192.168.52.134 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=19412 DF PROTO=TCP SPT=55176 DPT=80 WINDOW=64240 RES=0x00 SYN URGP=0

Box 3: Logdatei auswerten

 

Aufgaben

  1. Schreiben Sie die Syntax der Log-Datei heraus.
    Nähere Informationen finden Sie in der Ubuntu-Dokumentation zu UFW.
  2. Entnehmen Sie dem Auszug der Logdatei (Box 3) folgende Informationen:
    Zeitstempel, Status, Bezeichnung der Netzwerkkarte, Quell- und Ziel-Ip-Adresse, Protokollvariante, Quell- und Ziel-Port!
  3. Erlauben Sie Zugriffe auf den Webserver und verbieten Sie Zugriffe über SSH! Stellen Sie den Loglevel medium ein und testen Sie mit dem Webbrowser des Wirtsrechners und Putty Zugriffsversuche. Analysieren Sie anschließend die betreffenden Zeilen der Log-Datei!

 

 Zu guter Letzt:
Diesen Apache-Minikurs zum Mitnehmen gibt's im Fundus zum Download .

W. Hermanns, © 2018