Debian

Doporučené postupy pro zabezpečení brány Debian Firewall

Doporučené postupy pro zabezpečení brány Debian Firewall

Restriktivní vs. tolerantní zásady brány firewall

Kromě syntaxe, kterou potřebujete znát pro správu brány firewall, budete muset definovat úkoly brány firewall, abyste mohli rozhodnout, jaké zásady budou implementovány. Existují 2 hlavní zásady definující chování brány firewall a různé způsoby jejich implementace.

Když přidáte pravidla pro přijetí nebo odmítnutí konkrétních paketů, zdrojů, cílů, portů atd. pravidla určí, co se stane s přenosem nebo pakety, které nejsou klasifikovány podle vašich pravidel brány firewall.

Extrémně jednoduchý příklad by byl: když definujete, zda chcete povolit nebo zakázat IP x.X.X.x, co se stane se zbytkem?.

Řekněme, že jste povolili přenosy z IP x.X.X.X.

A tolerantní zásada by znamenala všechny adresy IP, které nejsou x.X.X.x se může připojit, proto y.y.y.y nebo z.z.z.z se může připojit. A restriktivní politika odmítá veškerý provoz přicházející z adres, které nejsou x.X.X.X.

Stručně řečeno, firewall, podle kterého není povoleno předávat veškerý provoz nebo pakety, které nejsou definovány mezi jeho pravidly, je restriktivní. Firewall, podle kterého je povolen veškerý provoz nebo pakety, které nejsou definovány mezi jeho pravidly tolerantní.

Zásady se mohou u příchozích a odchozích přenosů lišit, mnoho uživatelů má tendenci používat omezující zásady pro příchozí provoz a zachovává přípustné zásady pro odchozí provoz, to se liší v závislosti na použití chráněného zařízení.

Iptables a UFW

Zatímco Iptables je frontend pro uživatele ke konfiguraci pravidel brány firewall jádra, UFW je frontend pro konfiguraci Iptables, nejsou skutečnými konkurenty, faktem je, že UFW přinesl schopnost rychle nastavit přizpůsobený firewall bez učení nepřátelské syntaxe, přesto některá pravidla mohou Nelze použít prostřednictvím UFW, konkrétních pravidel, která zabrání konkrétním útokům.

Tento výukový program zobrazí pravidla, která považuji za nejlepší postupy brány firewall používané hlavně, ale nejen u UFW.

Pokud nemáte nainstalovaný UFW, nainstalujte jej spuštěním:

# apt nainstalovat ufw

Začínáme s UFW:

Nejprve povolíme bránu firewall při spuštění spuštěním:

# sudo ufw povolit

Poznámka: v případě potřeby můžete bránu firewall deaktivovat pomocí stejné syntaxe a nahradit „povolit“ za „deaktivovat“ (sudo ufw deaktivovat).

Stav brány firewall můžete kdykoli podrobně zkontrolovat spuštěním:

# sudo ufw stav podrobný

Jak vidíte na výstupu, výchozí politika pro příchozí provoz je omezující, zatímco pro odchozí provoz je zásada přípustná, sloupec „disabled (routed)“ znamená, že směrování a předávání jsou zakázány.

Pro většinu zařízení považuji restriktivní zásadu za součást nejlepších postupů firewallu pro zabezpečení, a proto začneme odmítnutím veškerého provozu kromě toho, který jsme definovali jako přijatelný, restriktivní bránu firewall:

# sudo ufw default odepřít příchozí

Jak vidíte, brána firewall nás varuje, abychom aktualizovali naše pravidla, abychom předešli poruchám při poskytování připojení klientům k nám. Způsob, jak udělat totéž s Iptables, může být:

# iptables -A VSTUP -j DROP

The odmítnout pravidlo na UFW zruší připojení bez informování druhé strany, že připojení bylo odmítnuto, pokud chcete, aby druhá strana věděla, že připojení bylo odmítnuto, můžete použít pravidlo “odmítnout" namísto.

# sudo ufw výchozí odmítnout příchozí

Jakmile zablokujete veškerý příchozí provoz nezávisle na jakékoli podmínce, můžete začít nastavovat diskriminační pravidla pro přijetí toho, co chceme být konkrétně přijati, například pokud nastavujeme webový server a chcete přijímat všechny petice přicházející na váš webový server, v port 80, spustit:

# sudo ufw povolit 80

Službu můžete určit jak podle čísla portu, tak podle názvu, například můžete použít prot 80, jak je uvedeno výše, nebo název http:

Kromě služby můžete také definovat zdroj, například můžete odmítnout nebo odmítnout všechna příchozí připojení kromě zdrojové IP.

# sudo ufw povolit z

Společná pravidla iptables přeložená do UFW:

Omezení rate_limit s UFW je docela snadné, což nám umožňuje zabránit zneužití omezením počtu, které může každý hostitel vytvořit, s UFW omezením rychlosti pro ssh by bylo:

# sudo ufw limit z libovolného portu 22
# sudo ufw limit ssh / tcp

Chcete-li vidět, jak UFW usnadnil úkol níže, máte výše uvedený překlad instrukce UFW, který instruuje totéž:

# sudo iptables -A ufw-user-input -p tcp -m tcp --dport 22 -m conntrack --ctstate NOVINKA
-m recent --set --name DEFAULT --mask 255.255.255.0 - zdroj
#sudo iptables -A ufw-user-input -p tcp -m tcp --dport 22 -m conntrack --ctstate NOVINKA
-m recent --update --seconds 30 --hitcount 6 --name DEFAULT --mask 255.255.255.255
--rsource -j ufw-user-limit
# sudo iptables -A ufw-user-input -p tcp -m tcp --dport 22 -j ufw-user-limit-accept

Pravidla napsaná výše s UFW by byla:

Doufám, že vám tento návod na Osvědčené postupy pro nastavení brány firewall v Debianu připadal užitečný.

Myš Top 5 ergonomických produktů pro počítačové myši pro Linux
Top 5 ergonomických produktů pro počítačové myši pro Linux
Způsobuje dlouhodobé používání počítače bolest zápěstí nebo prstů? Trpíte ztuhlými klouby a neustále si musíte třást ruce? Cítíte pálivou bolest pokaž...
Myš Jak změnit nastavení myši a touchpadu pomocí Xinput v Linuxu
Jak změnit nastavení myši a touchpadu pomocí Xinput v Linuxu
Většina linuxových distribucí je ve výchozím nastavení dodávána s knihovnou „libinput“ pro zpracování vstupních událostí v systému. Může zpracovávat v...
Myš Přemapujte tlačítka myši odlišně pro jiný software pomocí ovládání myší X-Mouse
Přemapujte tlačítka myši odlišně pro jiný software pomocí ovládání myší X-Mouse
Možná potřebujete nástroj, který by mohl změnit ovládání myši u každé aplikace, kterou používáte. V takovém případě můžete vyzkoušet aplikaci s názvem...