Firewall (sec-firewall)
Prüft den Firewall-Status, erkennt Regeländerungen gegenüber einer Baseline und überwacht geblockte Verbindungsversuche.
Konfiguration
| Parameter | Typ | Default | Beschreibung |
|---|---|---|---|
enabled | bool | true | Modul aktivieren/deaktivieren |
firewall_type | string/null | null | Firewall-Typ erzwingen (nftables, iptables, firewalld) oder automatisch erkennen |
inactive_firewall_severity | int | 2 | Severity bei inaktiver Firewall |
baseline_path | string | "" | Pfad zur Regelwerk-Baseline (leer = plattformspezifischer Default) |
blocked_connections_window_minutes | int | 60 | Zeitfenster für Zählungen geblockter Verbindungen |
blocked_connections_threshold | int | 100 | Schwellwert für geblockte Verbindungen |
ignore_patterns | list | ["DOCKER", "docker0", "br-"] | Firewall-Regeln mit diesen Mustern ignorieren |
YAML-Beispiel
sec_firewall:
enabled: true
inactive_firewall_severity: 2
blocked_connections_threshold: 50
ignore_patterns:
- "DOCKER"
- "docker0"Diagnose-Codes
| Code | Severity | Bedeutung | Empfehlung |
|---|---|---|---|
| 5000 | 0 | Firewall aktiv, Regeln stimmen mit Baseline überein | — |
| 5001 | 1–2 | Viele geblockte Verbindungen | Quelle prüfen, möglicher Scan/Angriff |
| 5003 | 2 | Firewall nicht aktiv oder Profil deaktiviert | Firewall aktivieren |
| 5090 | 1 | Firewall-Tool nicht verfügbar | Firewall installieren (nftables, ufw, etc.) |
| 6003 | 1 | Firewall-Regeln haben sich seit Baseline geändert | Änderungen prüfen, ggf. Baseline aktualisieren |
Plattform-Unterstützung
- Linux: Unterstützt nftables, iptables und firewalld. Automatische Erkennung.
- Windows: Prüft Windows Firewall Profile (Domain, Private, Public).