Jednym z najskuteczniejszych zabezpieczeń, jakie możemy wdrożyć w każdej organizacji, także na poziomie osobistym, jest użycie firewalla, który pełni funkcję monitorowania i kontrolowania sposobu, w jaki pakiety sieciowe wchodzą i opuszczają sieć lokalną.
Zapora umożliwia włączanie lub wyłączanie ruchu przez określone porty, dodawanie nowych reguł ruchu, a tym samym znacznie bardziej precyzyjną i bezpośrednią kontrolę nad całą kwestią sieci, która jest jedną z najdelikatniejszych na poziomie bezpieczeństwa.
Dzisiaj Solvetic przeanalizuje niektóre z najlepszych zapór ogniowych dla Linuksa, dzięki czemu będzie miał praktyczną alternatywę bezpieczeństwa do wdrożenia.
Iptables
Iptables to narzędzie wiersza poleceń, które jest często używane do konfigurowania i zarządzania zestawem reguł filtrowania pakietów w środowiskach Linux 2.4.xi nowszych. Jest to jedno z najczęściej używanych obecnie narzędzi zapory ogniowej i ma możliwość filtrowania pakietów na stosie sieciowym w samym jądrze.
Pakiet iptables zawiera również ip6tables, za pomocą ip6tables możemy skonfigurować filtr pakietów IPv6.
Niektóre z jego głównych cech to
- Wylicza zawartość zestawu reguł filtrowania pakietów
- Sprawdza tylko nagłówki pakietów, dzięki czemu proces jest znacznie bardziej zwinny
- Pozwala dodawać, usuwać lub modyfikować reguły zgodnie z potrzebami w zestawach reguł filtrowania pakietów
- Obsługuje tworzenie kopii zapasowych i przywracanie z plikami.
Iptables w systemie Linux obsługują następujące pliki:
Jest to skrypt startowy do uruchamiania, zatrzymywania, restartowania i zapisywania reguł
/etc/init.d/iptables
W tym pliku zapisywane są zestawy reguł
/ etc / sysconfig / iptables
Dotyczy plików binarnych Iptables
/ sbin / iptables
Zapora IPCop
IPCop Firewall to dystrybucja firewall dla Linuksa przeznaczona dla użytkowników domowych i SOHO (małe biuro) Interfejs sieciowy IPCop jest bardzo przyjazny dla użytkownika i łatwy w użyciu. Komputer można skonfigurować jako bezpieczną sieć VPN, aby zapewnić bezpieczne środowisko przez Internet. Zawiera często używane informacje, aby zapewnić użytkownikom lepsze wrażenia z przeglądania sieci.
Wśród jego głównych cech mamy
- Posiada kodowany kolorami interfejs sieciowy, który pozwala nam monitorować grafikę wydajności procesora, pamięci i dysku, a także wydajność sieci.
- Automatycznie przeglądaj i obracaj rekordy
- Obsługa wielu języków
- Zapewnia stabilną i łatwą do wdrożenia bezpieczną aktualizację oraz dodaje aktualne poprawki poziomu bezpieczeństwa
Tam możemy pobrać obraz ISO lub typ instalacji jako nośnik USB. Różni się to od wielu aplikacji zapory, ponieważ może być zainstalowany jako dystrybucja Linuksa. W tym przypadku wybieramy obraz ISO i musimy wykonać kroki kreatora instalacji. Po przypisaniu wszystkich parametrów będziemy mieli dostęp do IPCop:
Jego pobieranie jest dostępne pod następującym linkiem:
Brzeg
Shorewall to narzędzie do konfiguracji bramy lub zapory sieciowej dla GNU / Linux. Dzięki Shorewall mamy wysokopoziomowe narzędzie do konfigurowania filtrów sieciowych, ponieważ pozwala nam ono definiować wymagania dotyczące zapory sieciowej poprzez wpisy w zestawie zdefiniowanych plików konfiguracyjnych.
Shorewall może odczytywać pliki konfiguracyjne i za pomocą narzędzi iptables, iptables-restore, ip i tc, Shorewall może skonfigurować Netfilter i podsystem sieciowy Linux, aby spełnić określone wymagania. Shorewall może być używany w dedykowanym systemie firewall, routerze, serwerze wielofunkcyjnym lub samodzielnym systemie GNU/Linux.
Shorewall nie używa trybu kompatybilności ipchains Netfilter i może korzystać z możliwości śledzenia statusu połączenia Netfilter.
Jego główne cechy to
- Użyj funkcji śledzenia połączeń Netfilter do stanowego filtrowania pakietów
- Obsługuje szeroką gamę aplikacji routerów, firewalli i bram
- Scentralizowane zarządzanie zaporą sieciową
- Interfejs GUI z panelem sterowania Webmin
- Obsługa wielu dostawców usług internetowych
- Obsługuje maskaradę i przekierowanie portów
- Obsługuje VPN
Do jego instalacji wykonamy:
sudo apt-get zainstaluj shorewall
UFW - nieskomplikowana zapora sieciowa
UFW jest obecnie pozycjonowany jako jeden z najbardziej użytecznych, dynamicznych i prostych w użyciu zapór ogniowych w środowiskach Linux. UFW to skrót od Uncomplicated Firewall i jest to program opracowany do zarządzania zaporą sieciową netfilter. Zapewnia interfejs wiersza poleceń i ma być prosty i łatwy w użyciu, stąd jego nazwa. ufw zapewnia prosty framework do zarządzania netfilterem, a także zapewnia nam interfejs wiersza poleceń do sterowania zaporą ogniową z terminala.
Wśród jego cech znajdujemy
- Kompatybilny z IPV6
- Rozszerzone opcje logowania z logowaniem i wylogowaniem
- Monitorowanie stanu zapory
- Wysuwana rama
- Możliwość integracji z aplikacjami
- Pozwala dodawać, usuwać lub modyfikować reguły w zależności od potrzeb.
Polecenia do jego użycia to:
sudo apt-get install ufw (Zainstaluj UFW) sudo ufw status (Sprawdź stan UFW) sudo ufw enable (Włącz UFW) sudo ufw allow 2290: 2300 / tcp (Dodaj nową regułę)
Vuurmuur
Vuurmuur to menedżer firewalla zbudowany na bazie iptables w środowiskach Linux. Ma prostą i łatwą w użyciu konfigurację, która pozwala na proste i złożone konfiguracje. Konfigurację można w pełni skonfigurować za pomocą graficznego interfejsu użytkownika Ncurses, który umożliwia bezpieczną zdalną administrację za pośrednictwem SSH lub konsoli.
Vuurmuur wspiera kształtowanie ruchu, posiada rozbudowane funkcje monitorowania, które pozwalają administratorowi przeglądać logi, połączenia i wykorzystanie przepustowości w czasie rzeczywistym. Vuurmuur jest oprogramowaniem typu open source i jest rozpowszechniane na warunkach GNU GPL
Wśród jego cech znajdujemy
- Nie wymaga dużej znajomości iptables
- Ma czytelną dla człowieka składnię reguł
- Obsługuje IPv6 (eksperymentalnie)
- Obejmuje kształtowanie ruchu
- GUI Ncurses, nie wymaga X
- Proces przekierowania portów jest bardzo prosty
- Łatwa konfiguracja z NAT
- Zawiera bezpieczną domyślną politykę
- W pełni zarządzalny przez ssh i z konsoli (w tym z Windows przy użyciu PuTTY)
- Skryptowalny do integracji z innymi narzędziami
- Zawiera funkcje zapobiegające fałszowaniu
- Wizualizacja w czasie rzeczywistym
- Przeglądanie połączenia w czasie rzeczywistym
- Posiada ścieżkę audytu: wszystkie zmiany są rejestrowane
- Dziennik nowych połączeń i złych pakietów
- Rozliczanie natężenia ruchu w czasie rzeczywistym
Aby zainstalować Vuurmuur w Ubuntu 17 musimy dodać następujący wiersz w pliku /etc/apt/sources.list:
deb ftp://ftp.vuurmuur.org/ubuntu/ lucid mainW przypadku korzystania z Debiana wpiszemy:
deb ftp://ftp.vuurmuur.org/debian/ squeeze mainPóźniej wykonamy następujące polecenia:
sudo apt-get update (Aktualizacja pakietów) sudo apt-get install libvuurmuur vuurmuur vuurmuur-conf (Zainstaluj zaporę)Po zainstalowaniu możemy użyć tej zapory do tworzenia naszych reguł.
POWIĘKSZAĆ
pfSense
pfSense to dystrybucja oprogramowania routera / zapory sieciowej typu open source, oparta na systemie operacyjnym FreeBSD. Oprogramowanie pfSense służy do tworzenia dedykowanych reguł firewalla/routera dla sieci i wyróżnia się niezawodnością oraz oferuje wiele funkcji, które można znaleźć głównie w komercyjnych firewallach.
Pfsense można dołączyć do wielu bezpłatnych pakietów oprogramowania innych firm, aby uzyskać dodatkowe funkcje.
Wśród jego cech znajdujemy
- Wysoce konfigurowalny i aktualizowany z interfejsu internetowego
- Może być wdrożony jako firewall obwodowy, router, serwer DHCP i DNS
- Może być skonfigurowany jako bezprzewodowy punkt dostępowy i punkt końcowy VPN
- Oferuje kształtowanie ruchu i informacje o serwerze w czasie rzeczywistym
- Równoważenie obciążenia przychodzącego i wychodzącego.
Tam możemy pobrać opcję zgodnie z architekturą, z którą pracujemy. Po pobraniu obrazu ISO przystępujemy do wypalania go na płycie CD lub nośniku USB i stamtąd startujemy. Wybieramy opcję 1 lub 2 i po ustawieniu ustawień rozpocznie się proces instalacji.
Obraz ISO pfSense jest dostępny pod następującym łączem:
IPFire
IPFire został zaprojektowany z różnymi parametrami modułowości i wysokim poziomem elastyczności, pozwalającym administratorom na łatwe wdrożenie wielu jego odmian, takich jak firewall, serwer proxy czy brama VPN. Modułowa konstrukcja IPFire zapewnia, że działa dokładnie zgodnie z twoją konfiguracją. Korzystając z IPFire, będziemy mieli proste zarządzanie i będzie można je aktualizować za pomocą menedżera pakietów, co znacznie uprości jego utrzymanie.
Twórcy IPFire skupili się na bezpieczeństwie i opracowali go jako zaporę sieciową SPI (Stateful Packet Inspection). Główne cechy IPFire opierają się na różnych segmentach, takich jak:
BezpieczeństwoGłównym celem IPFire jest bezpieczeństwo, dlatego ma możliwość segmentowania sieci w oparciu o ich odpowiednie poziomy bezpieczeństwa i ułatwia tworzenie niestandardowych polityk, które zarządzają każdym segmentem.
Bezpieczeństwo elementów modułowych w IPFire jest jednym z Twoich priorytetów. Aktualizacje są podpisywane cyfrowo i szyfrowane, dzięki czemu mogą być automatycznie instalowane przez Pakfire (system zarządzania pakietami IPFire). Ponieważ IPFire ma tendencję do bezpośredniego łączenia się z Internetem, stanowi to zagrożenie bezpieczeństwa, ponieważ może być głównym celem hakerów i innych zagrożeń. Prosty menedżer pakietów Pakfire zapewnia administratorom pewność, że korzystają z najnowszych aktualizacji zabezpieczeń i poprawek błędów dla wszystkich używanych przez nich komponentów.
Dzięki IPFire będziemy mieli aplikację, która chroni nas przed exploitami zero-day, eliminując całe klasy błędów i wykorzystując wektory.
ZaporaIPFire wykorzystuje zaporę sieciową SPI (Stateful Packet Inspection), która jest zbudowana na bazie netfilter (struktura filtrowania pakietów Linuksa). W procesie instalacji IPFire sieć jest konfigurowana na różne oddzielne segmenty, a każdy segment reprezentuje grupę komputerów o wspólnym poziomie zabezpieczeń:
Segmenty to:
- Zielony: Zielony oznacza „bezpieczny” obszar. Tu przebywają wszyscy stali klienci. Na ogół składa się z przewodowej sieci lokalnej.
- Czerwony: Czerwony oznacza „niebezpieczeństwo” w połączeniu internetowym. Nic z sieci nie może przejść przez zaporę ogniową, chyba że jako administratorzy specjalnie to skonfigurujemy.
- Niebieski: Niebieski reprezentuje „bezprzewodową” część sieci lokalnej (jego kolor został wybrany, ponieważ jest to kolor nieba). Ponieważ sieć bezprzewodowa może być wykorzystywana przez użytkowników, jest identyfikowana w unikalny sposób, a jej klientami rządzą określone reguły. Klienci w tym segmencie sieci muszą być wyraźnie autoryzowani, zanim będą mogli uzyskać dostęp do sieci.
- Pomarańczowy: Pomarańczowy jest znany jako „strefa zdemilitaryzowana” (DMZ). Wszystkie serwery, które są publicznie dostępne, są tutaj oddzielone od reszty sieci, aby ograniczyć naruszenia bezpieczeństwa.
Tam możemy pobrać obraz ISO IPFire, ponieważ jest on obsługiwany jako niezależna dystrybucja i po skonfigurowaniu rozruchu. Musimy wybrać opcję domyślną i będziemy postępować zgodnie z krokami kreatora. Po zainstalowaniu możemy uzyskać dostęp przez Internet za pomocą następującej składni:
http://adres_IP: 444
POWIĘKSZAĆ
IPFire można pobrać pod następującym linkiem:
SmoothWall i SmoothWall Express
SmoothWall to firewall Linux typu open source z wysoce konfigurowalnym interfejsem internetowym. Jego interfejs oparty na sieci Web jest znany jako WAM (Web Access Manager) SmoothWall jest oferowany jako dystrybucja Linuksa zaprojektowana do użytku jako zapora typu open source, a jej projekt koncentruje się na ułatwieniu korzystania z konfiguracji, SmoothWall jest konfigurowany za pomocą GUI opartego na wdb , a instalacja i używanie nie wymaga żadnej wiedzy o Linuksie.
Wśród jego głównych cech znajdujemy
- Obsługuje sieci LAN, DMZ i bezprzewodowe, oprócz zewnętrznych
- Filtrowanie treści w czasie rzeczywistym
- Filtrowanie HTTPS
- Wsparcie proxy
- Przeglądanie logów i monitorowanie aktywności zapory
- Zarządzanie statystykami ruchu po IP, interfejsie i zapytaniu
- Łatwość tworzenia kopii zapasowych i przywracania.
Po pobraniu ISO zaczynamy od niego i zobaczymy:
Tam wybieramy najbardziej odpowiednią opcję i postępujemy zgodnie z krokami kreatora instalacji. Podobnie jak IPFire, SmoothWall pozwala nam konfigurować segmenty sieci w celu zwiększenia poziomu bezpieczeństwa. Skonfigurujemy hasła użytkowników. W ten sposób ta aplikacja zostanie zainstalowana i będziemy mogli uzyskać do niej dostęp przez interfejs sieciowy w celu zarządzania nią:
POWIĘKSZAĆ
SmoothWall oferuje nam darmową wersję o nazwie SmoothWall Express, którą można pobrać pod następującym linkiem:
Zapora bezpieczeństwa ConfigServer (CSF)
Został opracowany jako bardzo wszechstronna międzyplatformowa i zapora ogniowa, oparta na koncepcji zapory sieciowej Stateful Packet Inspection (SPI). Obsługuje prawie wszystkie środowiska wirtualizacji, takie jak Virtuozzo, OpenVZ, VMware, XEN, KVM i Virtualbox.
CSF można zainstalować w następujących systemach operacyjnych
- RedHat Enterprise v5 do v7
- CentOS v5 do v7
- CloudLinux v5 do v7
- Fedora v20 do v26
- OpenSUSE v10, v11, v12
- Debian v3.1 - v9
- Ubuntu v6 do v15
- Slackware v12
Wśród wielu jego cech znajdujemy
- Bezpośredni skrypt zapory sieciowej iptables SPI
- Posiada proces Daemon, który sprawdza błędy uwierzytelniania logowania dla: Courier imap, Dovecot, uw-imap, Kerio, openSSH, cPanel, WHM, Webmail (tylko serwery cPanel), Pure-ftpd, vsftpd, Proftpd, strony chronione hasłem ( htpasswd), awarie mod_security (v1 i v2) oraz Exim SMTP AUTH.
- Dopasowywanie wyrażeń regularnych
- Śledzenie logowania POP3 / IMAP w celu wymuszenia godzinowych logowań
- Powiadomienie o logowaniu SSH
- SU powiadomienie o logowaniu
- Nadmierne blokowanie połączenia
- Integracja interfejsu użytkownika dla cPanel, DirectAdmin i Webmin
- Łatwa aktualizacja między wersjami z cPanel / WHM, DirectAdmin lub Webmin
- Łatwa aktualizacja między wersjami powłoki
- Wstępnie skonfigurowany do pracy na serwerze cPanel z otwartymi wszystkimi standardowymi portami cPanel
- Wstępnie skonfigurowany do pracy na serwerze DirectAdmin z otwartymi wszystkimi standardowymi portami DirectAdmin
- Automatycznie skonfiguruj port SSH, jeśli nie jest on standardem w instalacji
- Blokuje ruch na nieużywanych adresach IP serwera - Pomaga zmniejszyć ryzyko dla serwera
- Alerty, gdy skrypty użytkowników końcowych wysyłają nadmierną liczbę wiadomości e-mail na godzinę w celu identyfikacji skryptów spamowych
- Raporty o podejrzanych procesach - raporty o potencjalnych lukach w zabezpieczeniach działających na serwerze
- Nadmierne raportowanie procesów użytkownika
- Blokuj ruch na różnych listach blokowania, w tym DShield Block List i Spamhaus DROP List
- Ochrona opakowania BOGON
- Wstępnie skonfigurowane ustawienia dla niskich, średnich lub wysokich zabezpieczeń zapory (tylko serwery cPanel)
- IDS (Intrusion Detection System), w którym ostatnia linia detekcji ostrzega o zmianach w systemie i plikach binarnych aplikacji
- Ochrona przeciwpowodziowa SYN i wiele innych.
Opcja 1 InstalacjaPobierz plik .tgz pod następującym linkiem:
Opcja 2 InstalacjaLub uruchom następujące wiersze:
cd / usr / src / wget https://download.configserver.com/csf.tgz tar -xzf csf.tgz cd / usr / src / csf sh install.sh
ClearOS
ClearOS 7, Community Edition to system operacyjny Linux dla serwerów typu open source, który jest przeznaczony dla ekspertów Linuksa i hobbystów, którzy korzystają z open source i wnoszą sugestie i nowe pomysły do globalnej społeczności użytkowników.
Wszystkie aktualizacje, poprawki błędów, łatki i poprawki bezpieczeństwa są dostarczane bezpłatnie z zewnętrznych źródeł. Funkcje obejmują ponad 75 funkcji IT, od kontroli domeny, kontroli sieci i przepustowości, przesyłania wiadomości i wielu innych.
Ponieważ jest to dystrybucja Linuksa, pobierzemy obraz ISO i skonfigurujemy rozruch na nośniku USB lub CD / DVD. Widzimy, że jego środowisko instalacyjne jest podobne do Ubuntu. Postępujemy zgodnie z krokami kreatora instalacji:
Skonfigurujemy hasło roota i będziemy kontynuować instalację. Po zalogowaniu zobaczymy następujące okno, w którym zostaną podane instrukcje dostępu przez Internet. Możemy kliknąć opcję Exit to Text Console, aby uzyskać dostęp do konsoli ClearOS. Tam możemy wykonać niektóre z dostępnych akcji:
ClearOS oferuje kilka opcji produktu, ale darmowa wersja to Community Edition, która jest dostępna pod następującym linkiem:
OPNsense
OPNsense jest otwartą, łatwą w użyciu i łatwą do zbudowania zaporą ogniową i platformą routingu opartą na FreeBSD. OPNsense zawiera większość funkcji dostępnych w drogich komercyjnych zaporach ogniowych i zawiera bogaty zestaw funkcji z ofert komercyjnych z korzyściami wynikającymi z otwartych i weryfikowalnych źródeł.
OPNsense rozpoczął swoją działalność jako rozwidlenie pfSense® i m0n0wall w 2014 r., a jego pierwsza oficjalna wersja została wydana w styczniu 2015 r. OPNsense oferuje cotygodniowe aktualizacje zabezpieczeń w małych przyrostach, aby być o krok przed nowymi pojawiającymi się zagrożeniami. Stały cykl wydań 2 głównych wydań każdego roku daje firmom możliwość zaplanowania ulepszeń na poziomie bezpieczeństwa.
Niektóre z jego głównych cech to:
- Kształtowanie ruchu
- Uwierzytelnianie dwuskładnikowe w całym systemie
- Portal przechwytujący
- Przekaż serwer proxy buforowania (przezroczysty) z obsługą czarnej listy
- Wirtualna sieć prywatna z obsługą IPsec, OpenVPN i starszego PPTP
- Wysoka dostępność i przełączanie awaryjne sprzętu (z zsynchronizowaną konfiguracją i zsynchronizowanymi tabelami stanu)
- Wykrywanie i zapobieganie włamaniom
- Zintegrowane narzędzia do raportowania i monitorowania, w tym wykresy DRR
- Eksporter Netflow
- Monitorowanie przepływu sieci
- Obsługa wtyczek
- Serwer DNS i router DNS
- Serwer DHCP i przekaźnik
- Dynamiczny DNS
- Zaszyfrowana kopia zapasowa konfiguracji na Dysku Google
- Zapora Kontroli Zdrowia
- Szczegółowa kontrola nad tabelą stanów
- Obsługa 802.1Q VLAN
Po pobraniu obrazu ISO przystępujemy do instalacji. Podczas procesu instalacji konieczne będzie skonfigurowanie parametrów sieci, VLAN itp.:
Po zakończeniu tego procesu będziemy mogli uzyskać dostęp przez Internet i wprowadzić odpowiednie zmiany na poziomie zapory.
POWIĘKSZAĆ
Jego pobieranie jest dostępne pod następującym linkiem:
Dzięki tym opcjom zapory możemy utrzymać najwyższy poziom bezpieczeństwa w naszych dystrybucjach Linuksa.