Debian brannmuroppsett Beste praksis for sikkerhet

Mathias Halvorsen
Debian brannmuroppsett Beste praksis for sikkerhet

Restriktiv vs tillatt brannmurpolitikk

I tillegg til syntaks du trenger å kjenne for å administrere en brannmur, må du definere brannmurens oppgaver for å bestemme hvilken policy som skal implementeres. Det er to hovedpolitikker som definerer en brannmuratferd, og forskjellige måter å implementere dem.

Når du legger til regler for å godta eller nekte spesifikke pakker, kilder, destinasjoner, porter osv. Reglene vil avgjøre hva som vil skje med trafikken eller pakkene som ikke er klassifisert innenfor brannmurreglene dine.

Et ekstremt enkelt eksempel vil være: når du definerer om du hvitelisten eller svartelisten IP X.x.x.x, hva skjer med resten?.

La oss si at du hvitelistens trafikk kommer fra IP X.x.x.x.

EN tillatt policy vil bety alle IP -adresser som ikke er x.x.x.x kan koble til, derfor y.y.y.y eller z.z.z.Z kan koble til. EN restriktiv Policy nekter all trafikk fra adresser som ikke er x.x.x.x.

Kort sagt, en brannmur som all trafikk eller pakker som ikke er definert blant reglene, ikke har lov til å bestå restriktiv. En brannmur som all trafikk eller pakker som ikke er definert blant reglene er tillatt er tillatt.

Retningslinjer kan være forskjellig for innkommende og utgående trafikk, mange brukere trenden for å bruke en restriktiv policy for innkommende trafikk som holder en tillatt policy for utgående trafikk, dette varierer avhengig av bruken av den beskyttede enheten.

Iptables og UFW

Selv om iptables er en frontend for brukere for å konfigurere reglene for kjernebrannmuren, er UFW en frontend for å konfigurere iptables, de er ikke faktiske konkurrenter, faktum er at UFW brakte muligheten til å raskt sette opp en tilpasset brannmur uten å lære uvennlig syntaks, men noen regler kan kan ikke brukes gjennom UFW, spesifikke regler for å forhindre spesifikke angrep.

Denne opplæringen vil vise regler jeg vurderer blant de beste brannmurpraksisene som er brukt hovedsakelig, men ikke bare med UFW.

Hvis du ikke har installert UFW, installerer du den ved å kjøre:

# Apt Installer UFW

Komme i gang med UFW:

For å begynne, la oss aktivere brannmuren ved oppstarten ved å løpe:

# sudo ufw aktiver

Merk: Om nødvendig kan du deaktivere brannmuren ved å bruke den samme syntaksen som erstatter “Aktiver” for “Deaktiver” (SUDO UFW deaktiverer).

Når som helst vil du kunne sjekke brannmurstatusen med verbositet ved å løpe:

# sudo ufw status verbose

Som du kan se i utdata.

For de fleste av enheter anser jeg at en restriktiv policy er en del av den beste brannmurpraksisen for sikkerhet, og lar oss derfor begynne med å nekte all trafikk bortsett fra den vi definerte som akseptabel, en restriktiv brannmur:

# sudo ufw standard nekt innkommende

Som du kan se brannmuren advarer oss om å oppdatere våre regler for å unngå feil når du betjener klienter som kobler til oss. Måten å gjøre det samme med iptables kan være:

# iptables -a inngang -j dråpe

De benekte Regel om UFW vil slippe forbindelsen uten å informere den andre siden tilkoblingen ble nektet, hvis du vil at den andre siden skal vite at forbindelsen ble nektet, kan du bruke regelen "avvise”I stedet.

# sudo ufw standard avvise innkommende

Når du blokkerte all innkommende trafikk uavhengig av enhver betingelse, kan vi starte diskriminerende regler for å godta det vi ønsker å bli akseptert spesifikt, for eksempel hvis vi setter opp en webserver og du vil godta alle begjæringer som kommer til webserveren din, i Port 80, løp:

# sudo ufw tillater 80

Du kan spesifisere en tjeneste både etter portnummer eller navn, for eksempel kan du bruke PROT 80 som ovenfor eller navnet HTTP:

I tillegg til en tjeneste kan du også definere en kilde, for eksempel kan du benekte eller avvise alle innkommende tilkoblinger bortsett fra en kilde -IP.

# sudo ufw tillater fra

Vanlige Iptables -regler oversatt til UFW:

Å begrense rate_limit med UFW er ganske enkelt, dette lar oss forhindre misbruk ved å begrense antallet hver vert kan etablere, med UFW som begrenser hastigheten for SSH ville være:

# Sudo UFW -grense fra hvilken som helst port 22
# sudo ufw grense ssh/tcp

For å se hvordan UFW gjorde oppgaven enkel under har du en oversettelse av UFW -instruksjonen ovenfor for å instruere det samme:

# sudo iptables -a ufw -bruker -input -p tcp -m tcp - -dport 22 -m conntrack - -ctstate ny
-m Nylig -Sett -Navn Standard -Mask 255.255.255.0 -RSource
#sudo iptables -a UFW -bruker -input -P TCP -M TCP - -DPORT 22 -M ConnTrack - -Ctstate Ny
-m Nylig -Update -sekunder 30 -HitCount 6 -Navn Standard -Mask 255.255.255.255
--rsource -j ufw-bruker-begrensning
# sudo iptables -a ufw-bruker-input -p tcp -m tcp--dport 22 -j ufw-bruker-limit-accept

Reglene skrevet over med UFW ville være:

Jeg håper du fant denne opplæringen om Debian Firewall Setup Best Practices for Security Nyttig.

Aws
Hva er en forekomst og hvordan du bruker den i EC2?
En forekomst er en virtuell maskin som ligger på skyen som kan koste for bruken. EC2 -tjenesten bruk...
Tobias Andresen
Oracle Database
Hvordan slette sekvens i Oracle?
Sekvensen kan slettes i Oracle -databasen ved å bruke “Drop” -kommandoen, “PL/SQL” -kodeblokken, ell...
Lars Solberg
C skarp
Hvordan bruke matematikk.Rundfunksjon i C#
Matte.Runde () i C# runder et tall til nærmeste heltall eller et bestemt antall desimaler. Det tar e...
Elias Aalerud Aasen
Python
Pandas til latex
Daniel Berntsen
Python
Python -liste til komma -adskilt streng
Daniel Johnsen
Python
Seaborn horisontalt bar plot
Martin Berge
Python
Python Ikke alle argumenter som er konvertert under strengformatering
Simen Ødegård
Docker
Hva er formålet med en Docker-komponering.YML -fil i Docker?
Elias Krogh Svendsen
Python
Matplotlib 2D -histogram
Elias Krogh Svendsen
Oracle Database
Hvordan koble til Oracle Database Top 10c ved hjelp av SQL Developer?
Alexander Sørlie
Golang
Hva er datatyper i Golang
Jørgen Christiansen
Java
Hva er typekonvertering i Java?
Simen Stensrud
Kraftskall
Hvordan bruke sorteringsobjektet Cmdlet i PowerShell
Lars Solberg