Debian

Beste fremgangsmåter for sikkerhet for Debian Firewall Setup

Beste fremgangsmåter for sikkerhet for Debian Firewall Setup

Restriktive vs Permissive Firewall Policy

I tillegg til syntaksen du trenger å vite for å administrere en brannmur, må du definere brannmurens oppgaver for å bestemme hvilken policy som skal implementeres. Det er to hovedretningslinjer som definerer en brannmuratferd, og forskjellige måter å implementere dem på.

Når du legger til regler for å godta eller avvise spesifikke pakker, kilder, destinasjoner, porter osv. reglene vil avgjøre hva som vil skje med trafikken eller pakkene som ikke er klassifisert i brannmurreglene.

Et ekstremt enkelt eksempel ville være: når du definerer om du hviteliste eller svarteliste IP x.x.x.x, hva skjer med resten?.

La oss si at du godkjenner trafikk fra IP x.x.x.x.

EN ettergivende policy vil bety alle IP-adresser som ikke er x.x.x.x kan koble til, derfor y.y.y.y eller z.z.z.z kan koble til. EN begrensende policy nekter all trafikk som kommer fra adresser som ikke er x.x.x.x.

Kort sagt, en brannmur ifølge hvilken all trafikk eller pakker som ikke er definert blant reglene, ikke får passere begrensende. En brannmur ifølge hvilken all trafikk eller pakker som ikke er definert blant reglene er tillatt, er ettergivende.

Retningslinjer kan være forskjellige for innkommende og utgående trafikk, mange brukere har en tendens til å bruke en restriktiv policy for innkommende trafikk, og holder en tillatt policy for utgående trafikk, dette varierer avhengig av bruken av den beskyttede enheten.

Iptables og UFW

Mens Iptables er en frontend for brukere å konfigurere kjernebrannmurreglene, er UFW en frontend for å konfigurere Iptables, de er ikke faktiske konkurrenter, faktum er at UFW brakte muligheten til å raskt sette opp en tilpasset brannmur uten å lære uvennlig syntaks, men noen regler kan kan ikke brukes gjennom UFW, spesifikke regler for å forhindre spesifikke angrep.

Denne opplæringen vil vise regler jeg anser som de beste brannmurpraksisene som brukes hovedsakelig men ikke bare med UFW.

Hvis du ikke har UFW installert, installerer du den ved å kjøre:

# apt install ufw

Komme i gang med UFW:

For å begynne, la oss aktivere brannmuren ved oppstart ved å kjøre:

# sudo ufw aktivere

Merk: om nødvendig kan du deaktivere brannmuren ved å bruke den samme syntaksen og erstatte "aktivere" for "deaktivere" (sudo ufw deaktivere).

Når som helst vil du kunne kontrollere brannmurstatusen med ordethet ved å kjøre:

# sudo ufw status verbose

Som du kan se i utdataene, er standardpolitikken for innkommende trafikk restriktiv, mens for utgående trafikk er policyen tillatende, kolonnen "deaktivert (rutet)" betyr at ruting og videresending er deaktivert.

For de fleste enheter anser jeg en restriktiv policy er en del av de beste brannmurpraksisene for sikkerhet. Derfor kan vi begynne med å nekte all trafikk unntatt den vi definerte som akseptabel, en restriktiv brannmur:

# sudo ufw standard nekte innkommende

Som du ser, advarer brannmuren oss om å oppdatere reglene våre for å unngå feil når vi betjener klienter som kobler til oss. Måten å gjøre det samme med Iptables kan være:

# iptables -A INNGANG -j DROP

De benekte regelen på UFW vil slippe forbindelsen uten å informere den andre siden om at forbindelsen ble nektet. Hvis du vil at den andre siden skal vite at forbindelsen ble nektet, kan du bruke regelen “avvise”I stedet.

# sudo ufw standard avviser innkommende

Når du har blokkert all innkommende trafikk uavhengig av en hvilken som helst tilstand, kan du begynne å sette diskriminerende regler for å akseptere det vi ønsker å bli akseptert spesifikt, for eksempel hvis vi setter opp en webserver og du vil godta alle begjæringer som kommer til webserveren din, i port 80, kjør:

# sudo ufw tillater 80

Du kan spesifisere en tjeneste både etter portnummer eller navn, for eksempel kan du bruke prot 80 som ovenfor eller navnet http:

I tillegg til en tjeneste kan du også definere en kilde, for eksempel kan du nekte eller avvise alle innkommende tilkoblinger bortsett fra en kilde-IP.

# sudo ufw tillate fra

Vanlige iptables-regler oversatt til UFW:

Å begrense rate_limit med UFW er ganske enkelt, dette gjør det mulig for oss å forhindre misbruk ved å begrense antallet hver vert kan etablere, med UFW å begrense hastigheten for ssh ville være:

# sudo ufw limit fra hvilken som helst port 22
# sudo ufw limit ssh / tcp

For å se hvordan UFW gjorde oppgaven enkel nedenfor, har du en oversettelse av UFW-instruksjonen ovenfor for å instruere det samme:

# sudo iptables -A ufw-user-input -p tcp -m tcp --dport 22 -m conntrack --ctstate NY
-m nylig --sett --navn STANDARD - maske 255.255.255.0 - kilde
#sudo iptables -A ufw-user-input -p tcp -m tcp --dport 22 -m conntrack --ctstate NYHET
-m nylig --oppdatering - sekunder 30 - treff 6 - navn STANDARD - maske 255.255.255.255
--rsource -j ufw-user-limit
# sudo iptables -A ufw-user-input -p tcp -m tcp --dport 22 -j ufw-user-limit-accept

Reglene som er skrevet ovenfor med UFW vil være:

Jeg håper du fant denne opplæringen om gode fremgangsmåter for sikkerhet for Debian Firewall Setup.

Spill Beste spillkonsollemulatorer for Linux
Beste spillkonsollemulatorer for Linux
Denne artikkelen vil liste opp populære programvare for spillkonsollemulering tilgjengelig for Linux. Emulation er et programvarekompatibilitetslag so...
Spill Beste Linux Distros for spill i 2021
Beste Linux Distros for spill i 2021
Linux-operativsystemet har kommet langt fra det originale, enkle, serverbaserte utseendet. Dette operativsystemet har forbedret seg enormt de siste år...
Spill Hvordan fange opp og streame spilløkten din på Linux
Hvordan fange opp og streame spilløkten din på Linux
Tidligere ble spill bare ansett som en hobby, men med tiden så spillindustrien en enorm vekst når det gjelder teknologi og antall spillere. Spillpubli...