Debian Firewall Configurar as melhores práticas de segurança

Políticas restritivas de firewall restritivas versus

Além da sintaxe que você precisa saber para gerenciar um firewall, você precisará definir as tarefas do firewall para decidir que política será implementada. Existem 2 políticas principais definindo um comportamento de firewall e diferentes maneiras de implementá -las.

Quando você adiciona regras para aceitar ou recusar pacotes, fontes, destinos, portos, etc. As regras determinarão o que acontecerá com o tráfego ou pacotes que não são classificados em suas regras de firewall.

Um exemplo extremamente simples seria: quando você definir se você permite a lista de permissões ou a lista negra do ip x.x.x.x, o que acontece com o resto?.

Digamos que você permita tráfego da lista de permissões provenientes do ip x.x.x.x.

A permissivo Política significaria todos os endereços IP que não são x.x.x.x pode se conectar, portanto y.y.y.y ou z.z.z.z pode conectar. A restritivo A política recusa todo o tráfego proveniente de endereços que não são x.x.x.x.

Em resumo, um firewall segundo o qual todo o tráfego ou pacotes que não são definidos entre suas regras não podem passar restritivo. Um firewall segundo o qual todo o tráfego ou pacotes que não são definidos entre suas regras é permitido é permissivo.

As políticas podem ser diferentes para o tráfego de entrada e saída, muitos usuários tendem a usar uma política restritiva para o tráfego de entrada, mantendo uma política permissiva para o tráfego de saída, isso varia dependendo do uso do dispositivo protegido.

Iptables e ufw

Embora o iptables seja um front -end para os usuários configurarem as regras do firewall do kernel, o UFW é um front -end para configurar iptables, eles não são concorrentes reais, o fato é que o UFW trouxe a capacidade de configurar rapidamente um firewall personalizado sem aprender sintaxe não amigável, mas algumas regras podem não foi aplicado através de UFW, regras específicas para evitar ataques específicos.

Este tutorial mostrará as regras que considero entre as melhores práticas de firewall aplicadas principalmente, mas não apenas com UFW.

Se você não instalou o UFW, instale -o em execução:

# apt install ufw

Introdução ao UFW:

Para começar, vamos ativar o firewall na startup executando:

# sudo ufw habilitar

Observação: Se necessário, você pode desativar o firewall usando a mesma sintaxe que substitui “Ativar” por “desativar” (Sudo UFW Desativar).

A qualquer momento, você poderá verificar o status do firewall com verbosidade executando:

# sudo ufw status detalhado

Como você pode ver na saída, a política padrão para o tráfego de entrada é restritiva, enquanto para o tráfego extrovertido a política é permissiva, a coluna “desativada (roteada)” significa que o roteamento e o encaminhamento estão desativados.

Para a maioria dos dispositivos, considero uma política restritiva faz parte das melhores práticas de segurança de segurança, portanto, vamos começar recusando todo o tráfego, exceto o que definimos como aceitável, um firewall restritivo:

# sudo ufw padrão negar

Como você pode ver, o firewall nos avisa a atualizar nossas regras para evitar falhas ao servir os clientes que se conectam a nós. A maneira de fazer o mesmo com iptables pode ser:

# iptables -a input -j gota

O negar Regra na UFW soltará a conexão sem informar o outro lado em que a conexão foi recusada, se você deseja que o outro lado saiba que a conexão foi recusada, você pode usar a regra “rejeitar" em vez de.

# sudo ufw rejeição padrão

Depois de bloquear todo o tráfego recebido independentemente de qualquer condição, vamos começar a definir regras discriminativas para aceitar o que queremos ser aceitas especificamente, por exemplo, se estivermos configurando um servidor da web e você deseja aceitar todas as petições que chegam ao seu servidor da web, em Porta 80, Run:

# sudo ufw permitir 80

Você pode especificar um serviço por número ou nome da porta, por exemplo, você pode usar o prot 80 como acima ou o nome http:

Além de um serviço, você também pode definir uma fonte, por exemplo, você pode negar ou rejeitar todas as conexões recebidas, exceto por um IP de origem.

# sudo ufw permitir de

Regras comuns de iptables traduzidas para UFW:

Limitar o rate_limit com a UFW é bem fácil, isso nos permite evitar abusos, limitando o número que cada host pode estabelecer, com a UFW limitando a taxa de SSH seria:

# sudo ufw limite de qualquer porta 22
# sudo ufw limite ssh/tcp

Para ver como o UFW facilitou a tarefa abaixo, você tem uma tradução da instrução da UFW acima para instruir o mesmo:

# sudo iptables -a ufw -user -input -p tcp -m tcp - -dport 22 -m Conntrack -CTSTATE NOVO
-M Recente - -SET -Nome Padrão - -mask 255.255.255.0 - -rsource
#sudo iptables -a ufw -user -input -p tcp -m tcp - -dport 22 -m Conntrack -CTSTATE NOVO
-m Recente -Update -Segundo 30 -Hitcount 6 -Nome padrão - -maslasse 255.255.255.255
--rsource -j ufw-user-limite
# sudo iptables -a ufw-user-input -p tcp -m tcp--dport 22 -j ufw-user-limit-acept

As regras escritas acima com UFW seriam:

Espero que você tenha encontrado este tutorial sobre as melhores práticas do Debian Firewall Setup para segurança.