Debian

„Debian“ užkardos sąrankos geriausia saugumo praktika

„Debian“ užkardos sąrankos geriausia saugumo praktika

Ribojanti ir leidžianti užkarda politika

Be sintaksės, kurią turite žinoti, kad tvarkytumėte užkardą, turėsite apibrėžti užkardos užduotis, kad nuspręstumėte, kokia politika bus įgyvendinta. Yra 2 pagrindinės strategijos, apibrėžiančios užkardos veikimą, ir įvairūs jų įgyvendinimo būdai.

Kai pridedate taisykles priimti ar atmesti konkrečius paketus, šaltinius, paskirties vietas, prievadus ir kt. taisyklės nustatys, kas nutiks srautui ar paketams, kurie nėra klasifikuojami jūsų užkardos taisyklėse.

Itin paprastas pavyzdys būtų: kai apibrėžiate, ar įtraukiate į baltąjį sąrašą, ar įtraukiate į juodąjį sąrašą „IP x“.x.x.x, kas atsitiks su likusiais?.

Tarkime, kad įtraukiate baltąjį sąrašą srauto, gaunamo iš „IP x“.x.x.x.

A leidžiantis politika reikštų visus IP adresus, kurie nėra x.x.x.x gali prisijungti, todėl y.y.y.y arba z.z.z.z gali prisijungti. A ribojantis politika atmeta visą srautą iš adresų, kurie nėra x.x.x.x.

Trumpai tariant, užkarda, pagal kurią neleidžiama praeiti visam srautui ar paketams, kurie nėra apibrėžti jos taisyklėse, yra ribojantis. Ugniasienė, pagal kurią leidžiamas visas srautas ar paketai, kurie nėra apibrėžti jos taisyklėse, yra leidžiantis.

Gaunamo ir išeinančio srauto politika gali būti skirtinga, daugelis vartotojų linkę naudoti ribojančią įeinančio srauto politiką, laikydamiesi leistinos išeinančio srauto politikos. Tai skiriasi priklausomai nuo saugomo įrenginio naudojimo.

„Iptables“ ir UFW

Nors „Iptables“ yra vartotojo sąsaja, skirta konfigūruoti branduolio užkardos taisykles, „UFW“ yra „Iptables“ konfigūravimo sąsaja, jie nėra tikri konkurentai. Faktas yra tai, kad UFW suteikė galimybę greitai nustatyti pritaikytą užkardą nemokant nedraugiškos sintaksės, tačiau kai kurios taisyklės gali nebus taikomos per UFW, konkrečias taisykles, kad būtų išvengta konkrečių atakų.

Šioje pamokoje bus parodytos taisyklės, kurias laikau geriausia užkardos praktika, taikoma daugiausia, bet ne tik naudojant UFW.

Jei neįdiegėte UFW, įdiekite jį vykdydami:

# apt įdiegti ufw

Darbo su UFW pradžia:

Norėdami pradėti, paleiskite užkardą paleisdami:

# sudo ufw įgalinti

Pastaba: jei reikia, galite išjungti ugniasienę naudodami tą pačią sintaksę, pakeisdami „įjungti“ už „išjungti“ (sudo ufw išjungti).

Bet kuriuo metu galėsite patikrinti užkardos būseną daugybiškai, vykdydami:

# sudo ufw būsenos aprašymas

Kaip matote išvestyje, numatytoji gaunamo srauto politika yra ribojanti, o išeinančio srauto politika yra leistina, stulpelis „išjungtas (nukreiptas)“ reiškia, kad nukreipimas ir persiuntimas yra išjungti.

Manau, kad daugumoje įrenginių ribojanti politika yra geriausios užkardos saugos dalies dalis, todėl pirmiausia galime atsisakyti viso srauto, išskyrus tą, kurį mes apibūdinome kaip priimtiną, ribojančią užkardą:

# sudo ufw numatytoji atmesti gaunamus

Kaip matote, ugniasienė perspėja mus atnaujinti taisykles, kad išvengtume gedimų aptarnaujant klientus, kurie prisijungia prie mūsų. Tą patį galima padaryti naudojant „Iptables“:

# iptables -A ĮVADAS -j DROP

The neigti UFW taisyklė nutrauks ryšį nepranešdama kitai pusei, kad ryšys buvo atmestas, jei norite, kad kita pusė žinotų, jog ryšys buvo atmestas, galite naudoti taisyklę “atmestiVietoj to.

# sudo ufw numatytasis atmesti gaunamus

Užblokavę visą gaunamą srautą, neatsižvelgdami į jokias sąlygas, galite pradėti nustatyti diskriminacines taisykles, kad priimtų tai, ko mes norime priimti, pavyzdžiui, jei mes kuriame žiniatinklio serverį ir jūs norite priimti visas peticijas, pateiktas jūsų žiniatinklio serveryje. 80 prievadas, paleiskite:

# sudo ufw leisti 80

Paslaugą galite nurodyti tiek pagal prievado numerį, tiek pagal pavadinimą, pavyzdžiui, galite naudoti „prot 80“, kaip nurodyta aukščiau, arba pavadinimą „http“:

Be paslaugos, taip pat galite apibrėžti šaltinį, pavyzdžiui, galite atmesti arba atmesti visus gaunamus ryšius, išskyrus šaltinio IP.

# sudo ufw leisti iš

Į „UFW“ išverstos bendrosios „iptables“ taisyklės:

„Rate_limit“ apribojimas naudojant UFW yra gana lengvas, tai leidžia mums užkirsti kelią piktnaudžiavimui, apribojant skaičių, kurį kiekvienas pagrindinis kompiuteris gali nustatyti, o „UFW“ ribotų ssh normą:

# sudo ufw limitas iš bet kurio 22 prievado
# sudo ufw apriboti ssh / tcp

Norėdami pamatyti, kaip UFW žemiau palengvino užduotį, turite aukščiau nurodytos UFW instrukcijos vertimą, kad nurodytumėte tą patį:

# sudo iptables -A ufw-user-input -p tcp -m tcp --dport 22 -m conntrack --ctstate NAUJAS
-m neseniai --set --name DEFAULT --mask 255.255.255.0 - šaltinis
#sudo iptables -A ufw-user-input -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW
-m naujausias --atnaujinimas --sekundės 30 --hitcount 6 --name DEFAULT --mask 255.255.255.255
--rsource -j ufw-user-limit
# sudo iptables -A ufw-user-input -p tcp -m tcp --port 22 - j ufw-user-limit-accept

Aukščiau su UFW parašytos taisyklės būtų:

Tikiuosi, kad ši „Debian“ užkardos sąrankos geriausios saugos praktikos pamoka jums pasirodė naudinga.

Peržiūrėkite pelės mygtukus skirtingai programinei įrangai naudodami „X-Mouse Button Control“
Galbūt jums reikia įrankio, kuris galėtų pakeisti jūsų pelės valdymą kiekvienoje jūsų naudojamoje programoje. Tokiu atveju galite išbandyti programą, ...
„Microsoft Sculpt Touch“ belaidžio pelės apžvalga
Neseniai skaičiau apie „Microsoft Sculpt Touch“ belaidę pelę ir nusprendė ją nusipirkti. Kurį laiką naudojęs, nusprendžiau pasidalinti savo patirtimi....
„AppyMouse“ ekrano „Trackpad“ ir pelės žymeklis, skirtas „Windows“ tabletėms
Planšetinių kompiuterių vartotojai dažnai praleidžia pelės žymeklį, ypač kai įprasta naudoti nešiojamus kompiuterius. Jutiklinio ekrano išmanieji tele...