"Können Sie uns die Linuxfirewall konfigurieren. Unserer Buchhaltung sollte es möglich sein die Elterschnittstelle des Buchhaltungsprogramms nutzen zu k?nnen." wendete sich ein Kunde aus einem Nachbarort an uns.
Firewall
Elster
ELSTER steht als Abkürzung für die ELektronische STeuerERklärung. Das System dient zur Steuererklärung auf elektronischem Weg, zur Lohnsteueranmeldung und Umsatzsteuer-Voranmeldung für Arbeitgeber. Seit 2005 sind alle Arbeitnehmer gesetzlich zur elektronischen Steuererklärung verpflichtet, sofern kein Härtefall vorliegt. ELSTER bietet die Möglichkeit der verschlüsselten Datenübertragung. Zunächst gibt der Anwender seine Steuerdaten in ein beliebiges Steuerprogramm ein. Das darin integrierte Elster-Programm prüft und verschlüsselt die Daten und leitet es an eine so genannte Clearingstellen weiter. Dabei handelt es sich um eine Einrichtung zur Koordination und Schlichtung zweier Institutionen, in diesem Fall dem Anwender und der Steuerbehörde. Innerhalb weniger Minuten kann die Clearingstelle die Daten entschlüsseln, überprüfen und an die zuständige Behörde des jeweiligen Landes weiterleiten. Die Daten werden in die gängigen Formate der jeweiligen Behörde umgewandelt und in den
Datenbänken hinterlegt, die zuständigen Finanzbeamten haben nun Zugriff darauf. Das Programm ELSTER erfreut sich sowohl bei privaten Nutzern zur Übermittlung ihrer Steuererklärung als auch bei geschäftlicher Nutzung zur Umsatzsteuer-Voranmeldung etc. immer größerer Akzeptanz. Die Zahl der elektronisch übermittelte Daten steigt kontinuierlich.
Verbindung von Elster mit einer Firewall mittels iptables
Die Einrichtung einer Firewall mit entsprechenden Regeln für die Clearingserver auf einem Linuxrechner war notwendig, um die Elster-Software auf Arbeitsplatzrechnern anzuwenden. Dazu wurde iptables als Nachfolger des Programms ipchains entwickelt und genutzt. Das neue System ist in Aufbau und Struktur wesentlich logischer und verständlicher aufgebaut als seine Vorgänger ipfwadm und ipchains. Verbesserungen und Strukturänderungen gab es in mehreren Bereichen. Die Architektur ist flexibler, das Routing besser steuerbar. Das Verhalten ist im neuen System einstellbar, es gibt eine Filterung der Adressen. Das Datenpaket legt bei der Prüfung einen vorgegebene Weg durch die iptables zurück. Dabei sind bestimmte Regeln und Schutzvorrichtungen eingebaut, die in den so genannten chains bzw. tables hinterlegt sind.
Im INPUT werden Datenpakete für einen lokalen Prozess bearbeitet, Zugriffe lassen sich somit regulieren. Beispielsweise kann auf einen lokalen Server nur von einem bestimmten Netz aus zugegriffen werden.
Das OUTPUT reguliert Datenpakete, die von einem lokalen Prozess erzeugt wurden und nach außen geschützt werden sollen. Dadurch wird Datenklau durch ausgehende Verbindungen vom Server verhindert oder ungültige Verbindungen nach außen blockiert. Im PREROUTING werden Datenpakete geroutet, also die Richtung des Datenverkehrs wird koordiniert. Dabei sind Adressänderungen der Ziel-IP-Adresse oder des IP-Ports möglich.
Beim POSTROUTING laufen die Pakete auf, die auf dem Weg nach außen geroutet, also verändert werden müssen. Dabei wird beispielsweise die Quell-IP verändert. Durch das Routing werden die Daten geschützt, da keine öffnenden Verbindungen nach außen oder innen möglich sind und Pakete ohne Verbindung herausgefiltert werden. Weiterhin werden in allen Streckenabschnitten Stateless-Funktionen zum Schutz des lokalen Rechners im Input und zum Auslöschen falsch konfigurierter Programme im Output durchgeführt. Im so genannten Status wird das Paket auf den Verbindungszustand überp rüft, also ob es zu einer bestehenden oder bevorstehenden Verbindung gehört oder ob es eine neue Verbindung öffnet. Durch die Prüfung aller Datenpakete in den iptables ist die verschlüsselte Datenübertragung sicherer und zuverlässiger.
Kontaktinformationen