Phenquestions
Reštriktívne a prípustné politiky brány firewall
Okrem syntaxe, ktorú potrebujete vedieť na správu brány firewall, budete musieť definovať úlohy brány firewall, aby ste mohli rozhodnúť, ktorá politika sa bude implementovať. Existujú 2 hlavné zásady definujúce správanie brány firewall a rôzne spôsoby ich implementácie.
Keď pridáte pravidlá na prijatie alebo odmietnutie konkrétnych paketov, zdrojov, cieľov, portov atď. pravidlá určia, čo sa stane s prenosom alebo paketmi, ktoré nie sú klasifikované v rámci vašich pravidiel brány firewall.
Extrémne jednoduchý príklad by bol: keď definujete, či chcete povoliť alebo zakázať adresu IP x.X.X.x, čo sa stane so zvyškom?.
Povedzme, že prenos na bielu listinu pochádza z adresy IP x.X.X.X.
A tolerantný politika by znamenala všetky adresy IP, ktoré nie sú x.X.X.x sa môže pripojiť, preto y.r.r.y alebo z.z.z.z sa môže pripojiť. A obmedzujúci politika odmieta všetku komunikáciu prichádzajúcu z adries, ktoré nie sú x.X.X.X.
Stručne povedané, firewall, podľa ktorého nie je povolený prenos všetkých prenosov alebo paketov, ktoré nie sú definované v jeho pravidlách, je obmedzujúci. Firewall, podľa ktorého je povolený všetok prenos alebo pakety, ktoré nie sú definované v jeho pravidlách, je tolerantný.
Pravidlá môžu byť odlišné pre prichádzajúce a odchádzajúce prenosy, mnoho používateľov má tendenciu používať obmedzujúcu politiku pre prichádzajúce prenosy, pričom zachováva tolerantné pravidlá pre odchádzajúce prenosy, čo sa líši v závislosti od použitia chráneného zariadenia.
Iptables a UFW
Zatiaľ čo Iptables je užívateľským rozhraním na konfiguráciu pravidiel firewallu jadra, UFW je klientským rozhraním na konfiguráciu pravidiel Iptables, nie sú skutočnými konkurentmi, skutočnosťou je, že UFW prinieslo schopnosť rýchleho nastavenia prispôsobeného firewallu bez toho, aby sa naučili nepriateľskú syntax, niektoré pravidlá však môžu sa nebudú uplatňovať prostredníctvom UFW, osobitných pravidiel na zabránenie konkrétnym útokom.
Tento tutoriál ukáže pravidlá, ktoré považujem za najlepšie firewall postupy, ktoré sa používajú hlavne, ale nielen pri UFW.
Ak nemáte nainštalované UFW, nainštalujte ho spustením:
# apt nainštalovať ufw
Začíname s UFW:
Na začiatok povolíme bránu firewall pri štarte spustením:
# sudo ufw povoliť
Poznámka: ak je to potrebné, môžete bránu firewall zakázať pomocou rovnakej syntaxe a nahradiť slovo „enable“ výrazom „disable“ (sudo ufw disable).
Stav firewallu budete môcť kedykoľvek skontrolovať s výrečnosťou spustením:
# sudo ufw stav podrobný
Ako vidíte na výstupe, predvolená politika pre prichádzajúcu komunikáciu je obmedzujúca, zatiaľ čo pre odchádzajúcu komunikáciu je politika povolená, stĺpec „disabled (routed)“ znamená, že smerovanie a preposielanie sú zakázané.
Pre väčšinu zariadení považujem reštriktívna politika za súčasť najlepších postupov zabezpečenia brány firewall, a preto začnime odmietnutím všetkého prenosu okrem toho, ktorý sme definovali ako prijateľný, teda obmedzujúci firewall:
# sudo ufw predvolene odmietnuť prichádzajúce
Ako vidíte, brána firewall nás varuje, aby sme aktualizovali naše pravidlá, aby sme predišli zlyhaniam pri obsluhe klientov, ktorí sa k nám pripájajú. Rovnaký spôsob ako s Iptables by mohol byť:
# iptables -A VSTUP -j KAPKAThe poprieť pravidlo na UFW zruší pripojenie bez informovania druhej strany, že pripojenie bolo odmietnuté, ak chcete, aby druhá strana vedela, že pripojenie bolo odmietnuté, môžete použiť pravidlo “odmietnuť”Namiesto toho.
# sudo ufw predvolené odmietnutie prichádzajúcich
Akonáhle zablokujete všetku prichádzajúcu komunikáciu nezávisle od akejkoľvek podmienky, umožníme vám nastaviť diskriminačné pravidlá na prijatie toho, čo konkrétne chceme prijať, napríklad ak nastavujeme webový server a chcete prijať všetky petície prichádzajúce na váš webový server, port 80, spustiť:
# sudo ufw povoliť 80
Službu môžete určiť podľa čísla portu alebo názvu, napríklad môžete použiť prot 80, ako je uvedené vyššie, alebo názov http:
Dodatočne k službe môžete tiež definovať zdroj, napríklad môžete odmietnuť alebo odmietnuť všetky prichádzajúce pripojenia okrem zdrojovej adresy IP.
# sudo ufw povoliť z
Bežné pravidlá tabuľky iptables preložené do UFW:
Obmedzenie rate_limit s UFW je celkom jednoduché, čo nám umožňuje zabrániť zneužitiu obmedzením počtu, ktorý môže každý hostiteľ vytvoriť, pričom UFW by obmedzenie rýchlosti pre ssh bolo:
# sudo ufw limit z ktoréhokoľvek portu 22# sudo ufw limit ssh / tcp
Ak sa chcete presvedčiť, ako UFW uľahčil vykonanie úlohy nižšie, máte vyššie uvedený preklad pokynu UFW, ktorý vám dá rovnaké pokyny:
# sudo iptables -A ufw-user-input -p tcp -m tcp --dport 22 -m conntrack --ctstate NOVINKA-m recent --set --name DEFAULT --mask 255.255.255.0 --zdroj
#sudo iptables -A ufw-user-input -p tcp -m tcp --dport 22 -m conntrack --ctstate NOVINKA
-m recent --update --seconds 30 --hitcount 6 --name DEFAULT --mask 255.255.255.255
--rsource -j ufw-user-limit
# sudo iptables -A ufw-user-input -p tcp -m tcp --dport 22 -j ufw-user-limit-accept
Pravidlá napísané vyššie s UFW by boli:
Dúfam, že vám tento návod o osvedčených postupoch nastavenia brány firewall v systéme Debian pomohol.
