Jedním z nejúčinnějších bezpečnostních opatření, která můžeme implementovat v jakékoli organizaci, a to i na osobní úrovni, je použití brány firewall, která plní funkci monitorování a řízení způsobu, jakým síťové pakety vstupují a opouštějí místní síť.
Brána firewall vám umožňuje povolit nebo zakázat provoz přes určité porty, přidávat nová pravidla provozu a mít tak mnohem přesnější a přímější kontrolu nad celým problémem se sítí, který je jedním z nejcitlivějších na úrovni zabezpečení.
Dnes bude Solvetic analyzovat některé z nejlepších firewallů pro Linux, a tak bude mít k implementaci praktickou alternativu zabezpečení.
Iptables
Iptables je nástroj příkazového řádku, který se často používá ke konfiguraci a správě pravidla filtrování paketů nastaveného v prostředí Linux 2.4.xa novějších. Je to dnes jeden z nejpoužívanějších nástrojů brány firewall a má schopnost filtrovat pakety v síťovém zásobníku v samotném jádře.
Balíček iptables také obsahuje ip6tables, u ip6tables můžeme nakonfigurovat filtr paketů IPv6.
Některé z jeho hlavních funkcí jsou
- Vytvoří výčet obsahu sady pravidel filtrování paketů
- Kontroluje pouze záhlaví paketů, což činí proces mnohem svižnějším
- Umožňuje přidat, odebrat nebo upravit pravidla podle potřeby v sadách pravidel filtrování paketů
- Podporuje zálohování a obnovu pomocí souborů.
Iptables v systému Linux zpracovávají následující soubory:
Je to skript pro spuštění, zastavení, restart a uložení pravidel
/etc/init.d/iptables
V tomto souboru jsou uloženy sady pravidel
/ etc / sysconfig / iptables
Platí pro binární soubory Iptables
/ sbin / iptables
IPCop Firewall
IPCop Firewall je distribuce firewallu pro Linux, která je zaměřena na domácí uživatele a uživatele malých kanceláří SOHO. Webové rozhraní IPCop je velmi uživatelsky přívětivé a snadno se používá. Počítač můžete nakonfigurovat jako zabezpečenou VPN, která zajistí zabezpečené prostředí přes internet. Obsahuje často používané informace, které uživatelům poskytují lepší zážitek z procházení webu.
Mezi jeho hlavní vlastnosti máme
- Má barevně rozlišené webové rozhraní, které nám umožňuje sledovat grafiku výkonu CPU, paměti a disku a také síťového výkonu.
- Automaticky zobrazovat a otáčet záznamy
- Podpora více jazyků
- Poskytuje stabilní a snadno nasaditelnou zabezpečenou aktualizaci a přidává aktuální opravy na úrovni zabezpečení
Tam si můžeme stáhnout ISO obraz nebo typ instalace jako USB médium. To se liší od mnoha aplikací brány firewall, protože je lze nainstalovat jako distribuci Linuxu. V tomto případě vybereme obraz ISO a musíme dokončit kroky průvodce instalací. Jakmile přiřadíme všechny parametry, budeme mít přístup k IPCop:
Jeho stažení je k dispozici na následujícím odkazu:
Shorewall
Shorewall je konfigurační nástroj brány nebo brány firewall pro GNU / Linux. S Shorewall máme nástroj na vysoké úrovni ke konfiguraci síťových filtrů, protože nám umožňuje definovat požadavky na bránu firewall prostřednictvím položek v sadě definovaných konfiguračních souborů.
Shorewall dokáže číst konfigurační soubory a pomocí nástrojů iptables, iptables-restore, ip a tc dokáže Shorewall nakonfigurovat Netfilter a síťový subsystém Linux tak, aby odpovídaly uvedeným požadavkům. Shorewall lze použít ve vyhrazeném systému brány firewall, routeru, multifunkčním serveru nebo samostatném systému GNU / Linux.
Shorewall nepoužívá režim kompatibility ipchains Netfilteru a může využívat výhod možností sledování stavu připojení Netfilteru.
Jeho hlavní vlastnosti jsou
- K filtrování stavových paketů použijte zařízení pro sledování připojení Netfilteru
- Podporuje širokou škálu aplikací pro směrovače, brány firewall a brány
- Centralizovaná správa brány firewall
- Rozhraní GUI s ovládacím panelem Webmin
- Podpora více ISP
- Podporuje maškarádu a přesměrování portů
- Podporuje VPN
Pro jeho instalaci provedeme následující:
sudo apt-get install shorewall
UFW - nekomplikovaný firewall
UFW je v současné době umístěn jako jeden z nejužitečnějších, dynamických a snadno použitelných firewallů v prostředích Linux. UFW je zkratka pro Uncomplicated Firewall a je to program vyvinutý pro správu brány firewall netfilter. Poskytuje rozhraní příkazového řádku a jeho použití je zamýšleno jako jednoduché a snadno použitelné. ufw poskytuje jednoduchý rámec pro správu netfilteru a také nám poskytuje rozhraní příkazového řádku pro ovládání brány firewall z terminálu.
Mezi jeho charakteristikami najdeme
- Kompatibilní s IPV6
- Rozšířené možnosti protokolování s přihlášením a odhlášením
- Monitorování stavu brány firewall
- Rozšiřitelný rám
- Lze integrovat s aplikacemi
- Umožňuje přidávat, mazat nebo upravovat pravidla podle potřeb.
Příkazy pro jeho použití jsou:
sudo apt-get install ufw (Install UFW) sudo ufw status (Check UFW status) sudo ufw enable (Enable UFW) sudo ufw allow 2290: 2300 / tcp (Add a new rule)
Vuurmuur
Vuurmuur je správce brány firewall postavený na platformě iptables v prostředích Linux. Má jednoduchou a snadno použitelnou konfiguraci, která umožňuje jednoduché a složité konfigurace. Konfiguraci lze plně nakonfigurovat pomocí grafického uživatelského rozhraní Ncurses, které umožňuje bezpečnou vzdálenou správu pomocí SSH nebo na konzole.
Vuurmuur podporuje tvarování provozu, má výkonné monitorovací funkce, které umožňují správci prohlížet protokoly, připojení a využití šířky pásma v reálném čase. Vuurmuur je open source software a je distribuován podle podmínek GNU GPL
Mezi jeho charakteristikami najdeme
- Nevyžaduje rozsáhlé znalosti iptables
- Má syntaxi pravidel čitelnou člověkem
- Podporuje IPv6 (experimentální)
- Zahrnuje tvarování provozu
- Ncurses GUI, není vyžadováno X
- Proces předávání portů je velmi jednoduchý
- Snadná konfigurace pomocí NAT
- Zahrnuje zabezpečené výchozí zásady
- Plně ovladatelné prostřednictvím ssh a z konzoly (včetně systému Windows pomocí PuTTY)
- Skriptovatelný pro integraci s jinými nástroji
- Obsahuje funkce proti spoofingu
- Vizualizace v reálném čase
- Zobrazení připojení v reálném čase
- Má záznam auditu: všechny změny jsou zaznamenány
- Protokol nových připojení a špatných paketů
- Účtování objemu provozu v reálném čase
Pro instalaci Vuurmuur v Ubuntu 17 musíme do souboru /etc/apt/sources.list přidat následující řádek:
deb ftp://ftp.vuurmuur.org/ubuntu/ lucid mainV případě použití Debianu zadáme následující:
deb ftp://ftp.vuurmuur.org/debian/ squeeze mainPozději spustíme následující příkazy:
sudo apt-get update (aktualizační balíčky) sudo apt-get install libvuurmuur vuurmuur vuurmuur-conf (instalace brány firewall)Po instalaci můžeme tento firewall použít k vytvoření našich pravidel.
ZVĚTŠIT
pfSense
pfSense je distribuce softwaru routeru / brány firewall s otevřeným zdrojovým kódem, která je založena na operačním systému FreeBSD. Software pfSense se používá k vytváření vyhrazených pravidel brány firewall / routeru pro síť a vyniká svou spolehlivostí a nabízí mnoho funkcí, které najdete hlavně v komerčních branách firewall.
Pfsense může být dodáván s mnoha bezplatnými softwarovými balíčky třetích stran pro další funkce.
Mezi jeho charakteristikami najdeme
- Vysoce konfigurovatelné a aktualizované z webového rozhraní
- Lze nasadit jako obvodový firewall, router, DHCP a DNS server
- Lze nakonfigurovat jako bezdrátový přístupový bod a koncový bod VPN
- Nabízí tvarování provozu a informace o serveru v reálném čase
- Vyrovnávání příchozího a odchozího zatížení.
Tam si můžeme stáhnout možnost podle architektury, se kterou pracujeme. Jakmile je obraz ISO stažen, pokračujeme v jeho vypalování na disk CD nebo USB a odtud spustíme. Vybereme možnost 1 nebo 2 a po nastavení nastavení se spustí instalační proces.
ISO obraz pfSense je k dispozici na následujícím odkazu:
IPFire
IPFire byl navržen s různými parametry modularity a vysokou úrovní flexibility, což umožňuje správcům snadno implementovat mnoho jeho variací, jako je firewall, proxy server nebo VPN brána. Modulární konstrukce IPFire zajišťuje, že funguje přesně podle vaší konfigurace. Použitím IPFire budeme mít jednoduchou správu a lze ji aktualizovat pomocí správce balíčků, což výrazně zjednoduší její údržbu.
Vývojáři IPFire se zaměřili na zabezpečení a vyvinuli jej jako firewall SPI (Stateful Packet Inspection). Hlavní charakteristiky IPFire jsou založeny na různých segmentech, jako jsou:
BezpečnostníHlavním cílem IPFire je zabezpečení, a proto má schopnost segmentovat sítě na základě příslušných úrovní zabezpečení a usnadňuje vytváření vlastních zásad, které spravují každý segment.
Bezpečnost modulárních komponent v IPFire je jednou z vašich priorit. Aktualizace jsou digitálně podepsané a šifrované, aby je mohla automaticky nainstalovat společnost Pakfire (systém pro správu paketů IPFire). Protože se IPFire obvykle připojuje přímo k internetu, je to bezpečnostní riziko, protože může být hlavním cílem hackerů a dalších hrozeb. Jednoduchý správce balíčků Pakfire poskytuje správcům pomoc, aby věřili, že pro všechny komponenty, které používají, spouští nejnovější aktualizace zabezpečení a opravy chyb.
S IPFire budeme mít aplikaci, která nás chrání před exploity nultého dne odstraněním celých tříd chyb a zneužíváním vektorů.
FirewallIPFire využívá bránu firewall SPI (Stateful Packet Inspection), která je postavena na netfilteru (rámec filtrování paketů Linuxu). V procesu instalace IPFire je síť nakonfigurována do různých samostatných segmentů a každý segment představuje skupinu počítačů, které sdílejí společnou úroveň zabezpečení:
Segmenty jsou:
- Zelená: Zelená označuje „bezpečnou“ oblast. Zde zůstávají všichni stálí zákazníci. Obvykle se skládá z kabelové místní sítě.
- Červená: Červená označuje „nebezpečí“ v připojení k internetu. Bránou firewall nesmí procházet nic ze sítě, pokud ji jako administrátoři konkrétně nenakonfigurujeme.
- Modrá: Modrá představuje „bezdrátovou“ část místní sítě (její barva byla vybrána, protože je barvou oblohy). Vzhledem k tomu, že bezdrátová síť má potenciál pro použití uživateli, je jednoznačně identifikována a klienti v ní upravují konkrétní pravidla. Klienti v tomto segmentu sítě musí mít před přístupem k síti výslovnou autorizaci.
- Oranžová: Oranžová je známá jako „demilitarizovaná zóna“ (DMZ). Všechny servery, které jsou veřejně přístupné, jsou zde odděleny od zbytku sítě, aby se omezilo narušení zabezpečení.
Zde si můžeme stáhnout obraz ISO IPFire, protože je zpracováván jako nezávislá distribuce a po konfiguraci bootování. Musíme vybrat výchozí možnost a budeme postupovat podle kroků průvodce. Po instalaci můžeme přistupovat přes web s následující syntaxí:
http: // IP_adresa: 444
ZVĚTŠIT
IPFire lze stáhnout na následujícím odkazu:
SmoothWall & SmoothWall Express
SmoothWall je open source linuxový firewall s vysoce konfigurovatelným webovým rozhraním. Jeho webové rozhraní je známé jako WAM (Web Access Manager). , a k instalaci a používání vyžaduje malé až žádné znalosti Linuxu.
Mezi jeho hlavními charakteristikami najdeme
- Kromě externí podporuje LAN, DMZ a bezdrátové sítě
- Filtrování obsahu v reálném čase
- Filtrování HTTPS
- Podpora proxy
- Prohlížení protokolů a sledování aktivity brány firewall
- Správa statistik provozu podle IP, rozhraní a dotazu
- Snadné zálohování a obnovení.
Jakmile je ISO staženo, začneme od něj a uvidíme následující:
Tam vybereme nejvhodnější možnost a budeme postupovat podle kroků průvodce instalací. Stejně jako IPFire nám SmoothWall umožňuje konfigurovat síťové segmenty pro zvýšení úrovně zabezpečení. Konfigurujeme hesla uživatelů. Tímto způsobem bude tato aplikace nainstalována a budeme k ní mít přístup prostřednictvím webového rozhraní pro její správu:
ZVĚTŠIT
SmoothWall nám nabízí bezplatnou verzi s názvem SmoothWall Express, kterou lze stáhnout na následujícím odkazu:
Firewall zabezpečení ConfigServer (CSF)
Byl vyvinut jako velmi univerzální multiplatformní a firewall, který je založen na konceptu firewallu Stateful Packet Inspection (SPI). Podporuje téměř všechna virtualizační prostředí jako Virtuozzo, OpenVZ, VMware, XEN, KVM a Virtualbox.
CSF lze nainstalovat na následující operační systémy
- RedHat Enterprise v5 až v7
- CentOS v5 až v7
- CloudLinux v5 až v7
- Fedora v20 až v26
- OpenSUSE v10, v11, v12
- Debian v3.1 - v9
- Ubuntu v6 až v15
- Slackware v12
Mezi jeho mnoha charakteristikami najdeme
- Přímý skript brány firewall iptables SPI
- Má proces Daemon, který kontroluje chyby autentizace přihlášení pro: Courier imap, Dovecot, uw-imap, Kerio, openSSH, cPanel, WHM, Webmail (pouze servery cPanel), Pure-ftpd, vsftpd, Proftpd, Pages web chráněný heslem ( htpasswd), selhání mod_security (v1 a v2) a Exim SMTP AUTH.
- Shoda regulárních výrazů
- Sledování přihlášení POP3 / IMAP k vynucení hodinového přihlášení
- Oznámení o přihlášení SSH
- Oznámení o přihlášení SU
- Nadměrné blokování připojení
- Integrace uživatelského rozhraní pro cPanel, DirectAdmin a Webmin
- Snadný upgrade mezi verzemi cPanel / WHM, DirectAdmin nebo Webmin
- Snadný upgrade mezi verzemi shellu
- Předkonfigurováno pro práci na serveru cPanel se všemi standardními porty cPanel otevřenými
- Předkonfigurováno pro práci na serveru DirectAdmin se všemi otevřenými standardními porty DirectAdmin
- Automaticky konfigurujte port SSH, pokud není v instalaci standardní
- Blokuje provoz na nepoužívaných IP adresách serverů - pomáhá snížit riziko pro server
- Upozorňuje, když skripty koncových uživatelů odesílají nadměrné množství e-mailů za hodinu, aby bylo možné identifikovat spamové skripty
- Zprávy o podezřelých procesech - zprávy o potenciálních zranitelnostech spuštěných na serveru
- Nadměrné vykazování uživatelských procesů
- Blokujte provoz na různých blokových seznamech včetně DShield Block List a Spamhaus DROP List
- Ochrana balíčku BOGON
- Předkonfigurovaná nastavení pro nízké, střední nebo vysoké zabezpečení brány firewall (pouze servery cPanel)
- IDS (Intrusion Detection System), kde vás poslední detekční řádek upozorní na změny v binárních systémech a aplikacích
- SYN Flood Protection a mnoho dalších.
Možnost 1 InstalaceStáhněte si soubor .tgz na následujícím odkazu:
Možnost 2 InstalaceNebo spusťte následující řádky:
cd / usr / src / wget https://download.configserver.com/csf.tgz tar -xzf csf.tgz cd / usr / src / csf sh install.sh
ClearOS
ClearOS 7, Community Edition je open source operační systém Linux pro servery, který je navržen pro Linux odborníky a fandy, kteří využívají open source a přispívají návrhy a novými nápady do globální uživatelské komunity.
Všechny aktualizace, opravy chyb, opravy a opravy zabezpečení jsou poskytovány zdarma z původních zdrojů. Funkce pokrývají více než 75 IT funkcí od řízení domény, řízení sítě a šířky pásma, zasílání zpráv a mnoho dalšího.
Jelikož se jedná o distribuci Linuxu, stáhneme bitovou kopii ISO a nakonfigurujeme zavádění na médium USB nebo CD / DVD. Vidíme, že jeho instalační prostředí je podobné Ubuntu. Budeme postupovat podle kroků průvodce instalací:
Konfigurujeme heslo uživatele root a budeme pokračovat v instalaci. Jakmile se přihlásíme, zobrazí se nám následující okno, kde budou uvedeny pokyny pro přístup přes web. Můžeme kliknout na možnost Exit to Text Console pro přístup ke konzole ClearOS. Zde můžeme provést některé z dostupných akcí:
ClearOS nabízí několik možností produktu, ale bezplatná verze je Community Edition, která je k dispozici na následujícím odkazu:
OPNsense
OPNsense je open source, snadno použitelný a snadno sestavitelný firewall a směrovací platforma založená na FreeBSD. OPNsense obsahuje většinu funkcí, které jsou k dispozici v drahých komerčních branách firewall, a obsahuje bohatou sadu funkcí z komerčních nabídek s výhodami otevřených a ověřitelných zdrojů.
OPNsense začal jako vidlice pfSense® a m0n0wall v roce 2014, s jeho prvním oficiálním vydáním v lednu 2015. OPNsense nabízí týdenní aktualizace zabezpečení v malých přírůstcích, aby byl dnes o krok napřed před nově vznikajícími hrozbami. Cyklus pevného vydání 2 hlavních vydání každý rok nabízí společnostem příležitost plánovat vylepšení na úrovni zabezpečení.
Některé z jeho hlavních charakteristik jsou:
- Dopravní tvarovač
- Celosystémová dvoufaktorová autentizace
- Zajatý portál
- Forward Caching Proxy (transparentní) s podporou černé listiny
- Virtuální privátní síť s podporou IPsec, OpenVPN a starší PPTP
- Vysoká dostupnost a převzetí služeb při selhání hardwaru (se synchronizovanou konfigurací a synchronizovanými stavovými tabulkami)
- Detekce a prevence narušení
- Integrované nástroje pro hlášení a monitorování včetně grafů DRR
- Exportér Netflow
- Monitorování toku sítě
- Podpora pluginu
- Server DNS a směrovač DNS
- DHCP server a relé
- Dynamický DNS
- Šifrovaná záloha konfigurace na Disk Google
- Firewall pro inspekci zdraví
- Granulární kontrola nad stavovou tabulkou
- Podpora VLAN 802.1Q
Jakmile je obraz ISO stažen, pokračujeme v instalaci. Během procesu instalace bude nutné konfigurovat parametry sítě, VLAN atd.:
Jakmile bude tento proces dokončen, budeme moci přistupovat přes web a provádět příslušná nastavení na úrovni brány firewall.
ZVĚTŠIT
Jeho stažení je k dispozici na následujícím odkazu:
Díky těmto možnostem brány firewall můžeme udržovat nejlepší úrovně zabezpečení v našich distribucích Linuxu.