Firewall

Firewall Einstellungen sind ein Mittel, um das System vor Netzwerkangriffen zu schützen. Eingehende Ports, die Sie nicht benötigen, sollten blockiert werden. Besser ist es jedoch, Dienste, die diese Ports öffnen, nicht zu starten. Die nötigen Einstellungen bedingen eine mit allen Beteiligten abgestimmte Übersicht der genutzten Ports.

Mit einer Firewall können die sie durchlaufenden Netzwerkpakete gefiltert werden. Je nach Firewall‑Technologie lassen sich Filterregeln auf Basis von Adresse, Port, Zustand der Kommunikationsbeziehung, Inhalt des Pakets und vielem mehr formulieren. Firewalls sind damit ein Werkzeug, um die Angriffsoberfläche zu verkleinern.

Eine Firewall kann als zusätzlich installierte Software, als Teil des Betriebssystems oder als eigenständiges Gerät auftreten. Jede dieser Formen hat Vor- und Nachteile. Bei einer Firewall als Teil des Betriebssystems können beispielsweise im Gegensatz zu einer externen Firewall Regeln für Programme konfiguriert werden, aber sie lässt sich auch einfacher durch Malware ändern und de‑/aktivieren.

Firewalls mit Deep-Packet-Inspection, die auch die Nutzdaten der Datenpakete auswerten, können den Inhalt von verschlüsselten Verbindungen prinzipiell nicht einsehen. Um dennoch den Inhalt verarbeiten zu können, wird beispielsweise häufig die Verschlüsselung für Webanwendungen an der Firewall terminiert und die Daten für den Client neu verschlüsselt. Hierdurch sind der Firewall die Inhalte sichtbar, aber die Ende-zu-Ende-Verschlüsselung ist unterbrochen.

Restriktive, explizite Einstellungen für die Kommunikation über eine Firewall sind eine wichtige Maßnahme, um Netzwerkzugriffe nur im notwendigen Umfang zuzulassen.

Unter Wichtige TCP/UDP-Ports befindet sich eine Liste von TCP/UDP-Ports, die typischerweise berücksichtigt werden müssen, um eine Firewall zu konfigurieren.

TwinCAT/BSD nutzt Packet-Filter (PF) als Firewall. Dieser ist Bestandteil des FreeBSD Basissystems und ist ein System zum Filtern des TCP/IP-Netzwerkverkehrs. Darüber hinaus lassen sich weitere netzwerkrelevante Einstellungen wie NAT und Port-Weiterleitung vornehmen.

Standardmäßig ist das System gehärtet vorkonfiguriert und es werden nur wenige verschlüsselte Verbindungen zugelassen. So ist der ADS-Port 48898 ab Werk gesperrt und nur ADS Secure auf Port 8016 erlaubt. Weitere Ports, die von TwinCAT-Funktionen und weiteren Beckhoff Anwendungen benötigt werden, werden dynamisch in der Firewall geöffnet. Des Weiteren werden SSH, HTTPS und Ping durch die Firewall erlaubt.

Mit cat /etc/pf.conf werden die allgemeinen Firewall-Regeln ausgegeben.

Mit cat /etc/pf.conf.d/bhf erfolgt die Ausgabe der Firewall-Regeln, die für Beckhoff-Anwendungen von Bedeutung sind.