A Debian tűzfal beállításának legjobb gyakorlata a biztonság terén

Korlátozó vs engedélyező tűzfal irányelvek

A tűzfal kezeléséhez szükséges szintaxis mellett meg kell határoznia a tűzfal feladatait annak eldöntésére, hogy milyen házirendet fognak alkalmazni. Két fő házirend határozza meg a tűzfal viselkedését, és különböző módon valósíthatja meg azokat.

Amikor szabályokat ad hozzá bizonyos csomagok, források, célok, portok stb. Elfogadásához vagy elutasításához. a szabályok meghatározzák, hogy mi fog történni azzal a forgalommal vagy csomagokkal, amelyek nincsenek besorolva a tűzfal szabályai között.

Rendkívül egyszerű példa lenne: amikor meghatározza, hogy engedélyez-e vagy feketelistára teszi-e az IP x-et.x.x.x, mi történik a többivel?.

Tegyük fel, hogy engedélyezőlistára teszi az IP x-ből érkező forgalmat.x.x.x.

A megengedő A házirend minden olyan IP-címet jelent, amely nem x.x.x.x csatlakozni tud, ezért y.y.y.y vagy z.z.z.z csatlakozni tud. A korlátozó A házirend megtagadja az összes, nem x címről érkező forgalmat.x.x.x.

Röviden: egy tűzfal, amely szerint az összes olyan forgalom vagy csomag, amelyet nem határoz meg a szabályai között, nem engedhető át korlátozó. Tűzfal, amely szerint megengedett minden olyan forgalom vagy csomag, amelyet a szabályai nem határoznak meg megengedő.

A házirendek eltérőek lehetnek a bejövő és a kimenő forgalom esetében, sok felhasználó inkább korlátozó házirendet alkalmaz a bejövő forgalomra, megengedő házirendet tartva a kimenő forgalom számára, ez a védett eszköz használatától függően változik.

Iptable és UFW

Míg az Iptables egy előtér a felhasználók számára a kernel tűzfalszabályainak konfigurálásához, az UFW egy előtér az Iptables konfigurálásához, ők nem tényleges versenytársak, az a tény, hogy az UFW lehetővé tette a testreszabott tűzfal gyors beállítását a barátságtalan szintaxis megtanulása nélkül, de néhány szabály Az UFW-n keresztül nem alkalmazhatók speciális szabályok a konkrét támadások megelőzésére.

Ez az oktatóanyag olyan szabályokat mutat be, amelyeket úgy gondolok, hogy a legjobb tűzfal-gyakorlatok között főként, de nem csak az UFW-nél alkalmazzák.

Ha még nem telepítette az UFW-t, telepítse a következő futtatással:

# apt install ufw

Az UFW használatának megkezdése:

Első lépésként engedélyezzük a tűzfal indítását a futtatással:

# sudo ufw engedélyezése

Jegyzet: ha szükséges, a tűzfalat ugyanazzal a szintaxissal tilthatja le, az „enable” helyett „disable” (sudo ufw disable).

A tűzfal állapotát bármikor részletesen ellenőrizheti a következő futtatással:

# sudo ufw állapot részletes

Amint azt a kimenetben láthatja, a bejövő forgalom alapértelmezett házirendje korlátozó, míg a kimenő forgalom számára megengedő, a „letiltva (továbbítva)” oszlop azt jelenti, hogy az útválasztás és továbbítás le van tiltva.

Úgy gondolom, hogy a legtöbb eszköz esetében a korlátozó házirend a legjobb tűzfal-gyakorlatok része, ezért kezdjük az összes forgalom megtagadásával, kivéve az általunk elfogadhatóként definiált korlátozó tűzfalat:

# sudo ufw alapértelmezés szerint megtagadja a bejövőt

Amint láthatja, a tűzfal arra figyelmeztet, hogy frissítsük szabályainkat, hogy elkerüljük a hozzánk csatlakozó ügyfelek kiszolgálásakor jelentkező hibákat. Az Iptables használatával ugyanígy lehet:

# iptables -A BEMENET -j DROP

A tagadni UFW-szabály megszakítja a kapcsolatot anélkül, hogy értesítené a másik felet, hogy a kapcsolatot megtagadták, ha azt szeretné, hogy a másik fél tudja, hogy a kapcsolatot megtagadták, akkor használhatja a szabálytelutasít”Helyett.

# sudo ufw alapértelmezés szerint elutasítja a bejövőt

Miután blokkolta az összes bejövő forgalmat, feltételektől függetlenül, megkezdheti a megkülönböztető szabályok megfogalmazását annak elfogadásához, amelyet kifejezetten elfogadni szeretnénk, például ha webszervert állítunk be, és Ön el akarja fogadni az összes webszerverére érkező petíciót, 80-as port, futtassa:

# sudo ufw 80 engedélyezése

Megadhat egy szolgáltatást portszám vagy név alapján, például használhatja a prot 80-t a fentiek szerint, vagy a http nevet:

A szolgáltatás mellett meghatározhat egy forrást is, például megtagadhatja vagy elutasíthatja az összes bejövő kapcsolatot, kivéve a forrás IP-t.

# sudo ufw engedélyezni innen

UFW-re lefordított általános iptables-szabályok:

A rate_limit korlátozása az UFW-vel nagyon egyszerű, ez lehetővé teszi számunkra, hogy megakadályozzuk a visszaéléseket azáltal, hogy korlátozzuk az egyes gazdagépek által létrehozható számot, az UFW pedig korlátozná az ssh sebességét:

# sudo ufw limit bármely 22-es portról
# sudo ufw limit ssh / tcp

Annak megtekintéséhez, hogy az UFW hogyan tette az alábbiakban a feladatot egyszerűvé, rendelkezzen a fenti UFW utasítás fordításával, amely ugyanezt utasítja:

# sudo iptables -A ufw-user-input -p tcp -m tcp --port 22 -m conntrack --ctstate ÚJ
-m legújabb --set --name DEFAULT --maszk 255.255.255.0 - forrás
#sudo iptables -A ufw-user-input -p tcp -m tcp --port 22 -m conntrack --ctstate ÚJ
-m legújabb --frissítés - 30 másodperc - 6-os szám - név DEFAULT - maszk 255.255.255.255
--rsource -j ufw-user-limit
# sudo iptables -A ufw-user-input -p tcp -m tcp --port 22 -j ufw-user-limit-accept

Az UFW-vel fent írt szabályok a következők lennének:

Remélem, hasznosnak találta ezt az oktatóanyagot a Debian tűzfal telepítésével kapcsolatos biztonsági gyakorlatokról.