Eingebaute Firewall

Wer schon einmal direkt mit "iptables" gearbeitet hat, weiß, dass der im Linux-Kernel integrierte Paketfilter nicht unbedingt ein Musterbeispiel für intuitive Bedienbarkeit ist. Wo selbst gestandene Linux-Admins ins Straucheln kommen, sehen sich die Admins kleiner Umgebungen einer beinahe unlösbaren Aufgabe gegenüber. Nicht zufällig existieren am Markt diverse Werkzeuge, die Anwendern die Konfiguration der Firewall erleichtern oder gleich ganz abnehmen möchten. Auch Vamigru bringt entsprechende Funktionen mit: Über das Webinterface weisen Sie einzelnen Servern Sicherheitsprofile zu, mit denen spezifische Firewall-Regeln automatisch verbunden sind. Es genügt in einem solchen Fall also, im Vamigru-Webinterface auf "Anwenden" zu klicken – wenige Sekunden später zeugt der Aufruf von »iptables-save« auf dem jeweiligen Host davon, dass die gewünschten Firewall-Regeln dort nun tatsächlich aktiv sind. Bei uns funktionierte dieser Ablauf sehr zuverlässig.

Clever: Lassen Sie Vamigru auf ein bereits bestehendes System los, checkt es vor dem Aktivieren von Monitoring-Regeln dort zunächst, welche Dienste schon auf dem System laufen. Für eindeutig identifizierte Dienste fügt Vamigru dann Ausnahmen in das Firewall-Regelwerk ein, um funktionierende Setups nicht mittels IPTables außer Gefecht zu setzen. Den Traffic, der bei diesen Applikationen im Anschluss ankommt oder der von ihnen ausgeht, überwacht Vamigru jedoch. Die Vamigru-Dokumentation ist an dieser Stelle leider etwas unspezifisch und redet von "Überwachung", was auch den Rückschluss zuließe, dass Vamigru die Dienste und ihre Funktionalität aktiv testet – das ist jedoch nicht der Fall und die "Überwachung" bezieht sich nur auf den Netzwerkverkehr der Programme.

Härtungsmaßnahmen

Eine Unterdisziplin der IT-Sicherheit, die sich in den vergangenen Jahren kontinuierlich verbessert hat, ist das Abhärten oder "Hardening" von Systemen: Im Fokus steht dabei die Idee, durch systematische Konfiguration des Systems typische Einfallstore zu schließen, bevor Angreifer sie ausnutzen können. Auch die beschriebenen Firewall-Änderungen sind letztlich ein Beitrag zum Thema Hardening. Doch Vamigru beherrscht deutlich mehr Hardening-Maßnahmen als strenge Firewall-Regeln: Server, die unter der Kontrolle des Programms stehen, erhalten für verschiedene zentrale Systemdateien andere Zugriffsrechte als jene, die der Hersteller der Distribution vorsieht – und die von Vamigru sind deutlich restriktiver.

Zur Sache geht Vamigru auch im Hinblick auf SSH: Dem SSH-Server etwa gewöhnt die Verwaltungssoftware rigoros ab, den Login als Systembenutzer "root" zu erlauben. Apache stattet Vamigru mit einer Verschlüsselungskonfiguration aus, falls noch keine vorhanden ist. Welche Härtungsmaßnahmen ein System abbekommt, legt der Admin per Webinterface fest; verschiedene Härtungsmodule stehen in Vamigru zur Verfügung. Wobei sich nicht alle auf jedem System anwenden lassen: Das Modul für Webserver etwa lässt sich nur dann auswählen, wenn Vamigru auf dem Zielsystem einen Webserver erkennt.

Die verschiedenen technischen Maßnahmen, die Secuvera in den Härtungsmodulen von Vamigru umsetzt, kommen übrigens aus durchaus berufenem Munde: Als Quelle gibt die Firma etwa den Grundschutzkatalog des BSI oder Vorgaben des NIST an.