Debian Firewall Configuruj najlepsze praktyki bezpieczeństwa

Debian Firewall Configuruj najlepsze praktyki bezpieczeństwa

Restrykcyjne i dopuszczalne zasady zapory

Oprócz składni, którą musisz wiedzieć, aby zarządzać zaporą, musisz zdefiniować zadania zapory, aby zdecydować, jakie zasady zostaną wdrożone. Istnieją 2 główne zasady definiujące zachowanie zapory i różne sposoby ich wdrożenia.

Po dodaniu reguł w celu zaakceptowania lub odrzucenia określonych pakietów, źródeł, miejsc docelowych, portów itp. Zasady określi, co stanie się z ruchem lub pakietami, które nie są sklasyfikowane w ramach zasad zapory.

Niezwykle prostym przykładem byłoby: po zdefiniowaniu, czy białą lub czarną listę IP x.X.X.x, co dzieje się z resztą?.

Powiedzmy, że biały ruch pochodzący z IP x.X.X.X.

A dozwalający Zasady oznaczałyby wszystkie adresy IP, które nie są x.X.X.x może się połączyć, dlatego y.y.y.y lub z.z.z.Z może się połączyć. A ograniczający Polityka odmawia całego ruchu pochodzącego z adresów, które nie są x.X.X.X.

Krótko mówiąc, zapora ogniowa, zgodnie z którą cały ruch lub pakiety, które nie są zdefiniowane wśród jego zasad, nie jest możliwe, że nie można przejść ograniczający. Zapora ogniowa, zgodnie z którym dozwolone są wszystkie ruchy lub pakiety, które nie są zdefiniowane wśród jego zasad dozwalający.

Zasady mogą być różne w przypadku ruchu przychodzącego i wychodzącego, wielu użytkowników trenuje do korzystania z ograniczającej zasady dla przychodzącego ruchu, zachowując dopuszczalną zasadę ruchu wychodzącego.

IPTABLES i UFW

Chociaż IPTables jest frontendą dla użytkowników do konfigurowania reguł zapory jądra, UFW jest frontendą do konfigurowania iptables, nie są faktycznymi konkurentami, faktem jest, że UFW przyniósł możliwość szybkiego skonfigurowania spersonalizowanej zapory bez uczenia się nieprzyjaznej składni „należy zastosować za pośrednictwem UFW, określonych reguł, aby zapobiec określonym atakom.

Ten samouczek pokaże zasady, które rozważam wśród najlepszych praktyk zaporowych stosowanych głównie, ale nie tylko z UFW.

Jeśli nie zainstalowałeś UFW, zainstaluj go, uruchamiając:

# apt Zainstaluj UFW

Pierwsze kroki z UFW:

Aby rozpocząć, włączmy zaporę na starcie, uruchamiając:

# sudo ufw włącz

Notatka: W razie potrzeby możesz wyłączyć zaporę za pomocą tej samej składni zastępującej „Włącz” dla „wyłącz” (wyłącz Sudo UFW).

W dowolnym momencie będziesz mógł sprawdzić status zapory z gęstością, uruchamiając:

# SUDO UFW STATUS

Jak widać na wyjściu, domyślna zasada dla ruchu przychodzącego jest restrykcyjny, podczas gdy w przypadku ruchu wychodzącego zasady jest dozwolone, kolumna „Wyłączona (routed)” oznacza, że ​​routing i przekazywanie są wyłączone.

W przypadku większości urządzeń uważam, że polityka restrykcyjna jest częścią najlepszych praktyk zapory dla bezpieczeństwa, dlatego zacznijmy od odmowy całego ruchu, z wyjątkiem tego, który zdefiniowaliśmy jako dopuszczalną, restrykcyjną zaporę ogniową:

# sudo ufw domyślnie odmówić przychodzącego

Jak widać zapór ostrzega nas, abyśmy aktualizowali nasze zasady, aby uniknąć niepowodzeń, obsługując klientów łączące się z nami. Sposób, aby zrobić to samo z IPTABLES, może być:

# iptables -a wejście -j upuść

zaprzeczyć Zasada UFW upuszczy połączenie bez informowania drugiej strony, połączenie zostało odrzucone, jeśli chcesz, aby druga strona wiedziała, że ​​połączenie zostało odrzucone, możesz użyć reguły „odrzucić" Zamiast.

# sudo ufw domyślnie odrzucają przychodzące

Po zablokowaniu całego ruchu przychodzącego niezależnie od jakiegokolwiek warunku, uruchomić ustawianie reguł dyskryminacyjnych, aby zaakceptować to, co chcemy, na przykład, jeśli konfigurujemy serwer WWW i chcesz zaakceptować wszystkie petycje przychodzące do Twojego serwera WWW, IN Port 80, Uruchom:

# sudo ufw pozwól 80

Możesz określić usługę zarówno według numeru portu, jak i nazwy, na przykład możesz użyć POR PROT 80 jak wyżej lub nazwy http:

Dodatkowo do usługi można również zdefiniować źródło, na przykład możesz zaprzeczyć lub odrzucić wszystkie przychodzące połączenia, z wyjątkiem źródła IP.

# sudo ufw zezwalaj z

Wspólne zasady IPTables przetłumaczone na UFW:

Ograniczenie RADE_LIMIT z UFW jest dość łatwe, co pozwala nam zapobiegać nadużyciom poprzez ograniczenie liczby każdego hosta, przy czym UFW ogranicza stawkę SSH, byłoby:

# Sudo UFW limit z dowolnego portu 22
# sudo ufw limit ssh/tcp

Aby zobaczyć, w jaki sposób UFW ułatwiło zadanie poniżej, masz tłumaczenie powyższego instrukcji UFW, aby poinstruować to samo:

# sudo iptables -a ufw -user -input -p tcp -m tcp -dport 22 -m contrack --ctState nowy
-m Ostatnie -set -Nazwa Domyślna -MASK 255.255.255.0 - -Rsource
#sudo iptables -a ufw -user -input -p tcp -m tcp -dport 22 -m contrack --ctState nowy
-m Ostatnie - -update -sekunda 30 -HitCount 6 -Nazwa domyślna -MASK 255.255.255.255
--rsource -j ufw-user-limit
# sudo iptables -a ufw-user-input -p tcp -m tcp--dport 22 -J UFW-User-limit-accept

Reguły napisane powyżej z UFW byłyby:

Mam nadzieję, że znalazłeś ten samouczek na temat najlepszych praktyk konfiguracji Firewall Debian.