Ruprecht Helms IT-Service & Softwareentwicklung

  

Pressebeitrag Resoom-Magazin Jan. 08

"Können Sie uns die Linuxfirewall konfigurieren. Unserer Buchhaltung sollte es möglich sein die Elsterschnittstelle des Buchhaltungsprogramms nutzen zu k?nnen." wendete sich ein Kunde aus einem Nachbarort an uns.
Firewall
Die wörtliche Übersetzung des Begriffs Firewall lautet Brandmauer und erlaubt einen guten Rückschluss auf ihre Funktion als Kontrollmechanismus. Bei einer Firewall wird zwischen zwei Netzen eine Verbindung zur Kontrolle hergestellt. Die Firewall dient als Wachposten für den ein- und ausgehenden Datenverkehr. Vorher festgelegte Regeln werden von der Firewall erkannt und angewandt. So können beispielsweise Netzwerkpakete identifiziert und abgelehnt oder durchgelassen werden. Dadurch entsteht ein Schutz vor unerlaubten Zugriffen. Die eigentliche Aufgabe der Firewall besteht jedoch darin, Kommunikationsverkehr zwischen Empfänger- und Zieladresse nach den festgelegten Regeln zu genehmigen oder abzublocken. Zur wirklichen Sicherung wären zusätzliche Module notwendig, die auf eine Firewall aufgesetzt werden können. Sowohl Hardwarekomponenten wie Router als auch Softwarekomponenten (Betriebssysteme) gehören zu einer Firewall.

Elster
ELSTER steht als Abkürzung für die ELektronische STeuerERklärung. Das System dient zur Steuererklärung auf elektronischem Weg, zur Lohnsteueranmeldung und Umsatzsteuer-Voranmeldung für Arbeitgeber. Seit 2005 sind alle Arbeitnehmer gesetzlich zur elektronischen Steuererklärung verpflichtet, sofern kein Härtefall vorliegt. ELSTER bietet die Möglichkeit der verschlüsselten Datenübertragung. Zunächst gibt der Anwender seine Steuerdaten in ein beliebiges Steuerprogramm ein. Das darin integrierte Elster-Programm prüft und verschlüsselt die Daten und leitet es an eine so genannte Clearingstellen weiter. Dabei handelt es sich um eine Einrichtung zur Koordination und Schlichtung zweier Institutionen, in diesem Fall dem Anwender und der Steuerbehörde. Innerhalb weniger Minuten kann die Clearingstelle die Daten entschlüsseln, überprüfen und an die zuständige Behörde des jeweiligen Landes weiterleiten. Die Daten werden in die gängigen Formate der jeweiligen Behörde umgewandelt und in den Datenbänken hinterlegt, die zuständigen Finanzbeamten haben nun Zugriff darauf. Das Programm ELSTER erfreut sich sowohl bei privaten Nutzern zur Übermittlung ihrer Steuererklärung als auch bei geschäftlicher Nutzung zur Umsatzsteuer-Voranmeldung etc. immer größerer Akzeptanz. Die Zahl der elektronisch übermittelte Daten steigt kontinuierlich.

Verbindung von Elster mit einer Firewall mittels iptables
Die Einrichtung einer Firewall mit entsprechenden Regeln für die Clearingserver auf einem Linuxrechner war notwendig, um die Elster-Software auf Arbeitsplatzrechnern anzuwenden. Dazu wurde iptables als Nachfolger des Programms ipchains entwickelt und genutzt. Das neue System ist in Aufbau und Struktur wesentlich logischer und verständlicher aufgebaut als seine Vorgänger ipfwadm und ipchains. Verbesserungen und Strukturänderungen gab es in mehreren Bereichen. Die Architektur ist flexibler, das Routing besser steuerbar. Das Verhalten ist im neuen System einstellbar, es gibt eine Filterung der Adressen. Das Datenpaket legt bei der Prüfung einen vorgegebene Weg durch die iptables zurück. Dabei sind bestimmte Regeln und Schutzvorrichtungen eingebaut, die in den so genannten chains bzw. tables hinterlegt sind. Im INPUT werden Datenpakete für einen lokalen Prozess bearbeitet, Zugriffe lassen sich somit regulieren. Beispielsweise kann auf einen lokalen Server nur von einem bestimmten Netz aus zugegriffen werden. Das OUTPUT reguliert Datenpakete, die von einem lokalen Prozess erzeugt wurden und nach außen geschützt werden sollen. Dadurch wird Datenklau durch ausgehende Verbindungen vom Server verhindert oder ungültige Verbindungen nach außen blockiert. Im PREROUTING werden Datenpakete geroutet, also die Richtung des Datenverkehrs wird koordiniert. Dabei sind Adressänderungen der Ziel-IP-Adresse oder des IP-Ports möglich.

Beim POSTROUTING laufen die Pakete auf, die auf dem Weg nach außen geroutet, also verändert werden müssen. Dabei wird beispielsweise die Quell-IP verändert. Durch das Routing werden die Daten geschützt, da keine öffnenden Verbindungen nach außen oder innen möglich sind und Pakete ohne Verbindung herausgefiltert werden. Weiterhin werden in allen Streckenabschnitten Stateless-Funktionen zum Schutz des lokalen Rechners im Input und zum Auslöschen falsch konfigurierter Programme im Output durchgeführt. Im so genannten Status wird das Paket auf den Verbindungszustand überp rüft, also ob es zu einer bestehenden oder bevorstehenden Verbindung gehört oder ob es eine neue Verbindung öffnet. Durch die Prüfung aller Datenpakete in den iptables ist die verschlüsselte Datenübertragung sicherer und zuverlässiger.