Дебиан

Најбоље праксе за безбедност постављања Дебиан заштитног зида

Најбоље праксе за безбедност постављања Дебиан заштитног зида

Ограничавајуће и допуштене политике заштитног зида

Поред синтаксе коју требате знати за управљање заштитним зидом, мораћете да дефинишете и задатке заштитног зида да бисте одлучили која ће се политика примењивати. Постоје 2 главне политике које дефинишу понашање заштитног зида и различите начине њихове примене.

Када додате правила за прихватање или одбијање одређених пакета, извора, одредишта, портова итд. правила ће одредити шта ће се десити са саобраћајем или пакетима који нису класификовани у оквиру ваших правила заштитног зида.

Изузетно једноставан пример би био: када дефинишете да ли ИП адресу стављате на белу или црну листу.Икс.Икс.х, шта се дешава са осталим?.

Рецимо да сте ставили на белу листу саобраћај који долази са ИП к.Икс.Икс.Икс.

А допуштајући политика би значила све ИП адресе које нису к.Икс.Икс.к може да се повеже, дакле и.г.г.и или з.з.з.з може да се повеже. А рестриктивна полиса одбија сав саобраћај који долази са адреса које нису к.Икс.Икс.Икс.

Укратко, заштитни зид према којем није дозвољен пролазак сав саобраћај или пакети који нису дефинисани међу његовим правилима рестриктивна. Заштитни зид према којем је дозвољен сав саобраћај или пакети који нису дефинисани међу његовим правилима допуштајући.

Смернице се могу разликовати за долазни и одлазни саобраћај, многи корисници имају тенденцију да користе рестриктивну политику за долазни саобраћај, задржавајући дозволу за одлазни саобраћај, што се разликује у зависности од употребе заштићеног уређаја.

Иптаблес и УФВ

Иако је Иптаблес интерфејс за кориснике да конфигуришу правила заштитног зида језгра, УФВ је интерфејс за конфигурисање Иптаблес-а, они нису стварни конкуренти, чињеница је да је УФВ донео могућност брзог подешавања прилагођеног заштитног зида без учења непријатељске синтаксе, али нека правила могу не примењују се кроз УФВ, посебна правила за спречавање одређених напада.

Овај водич ће показати правила која сматрам најбољим праксама заштитног зида које се углавном примењују, али не само са УФВ-ом.

Ако нисте инсталирали УФВ, инсталирајте га покретањем:

# апт инсталирати уфв

Први кораци са УФВ:

За почетак, омогућимо заштитни зид приликом покретања покретањем:

# судо уфв омогући

Белешка: ако је потребно, можете онемогућити заштитни зид користећи исту синтаксу замењујући „енабле“ за „дисабле“ (судо уфв дисабле).

У било ком тренутку ћете моћи детаљно да проверите статус заштитног зида покретањем:

# судо уфв статус вербосе

Као што видите у излазу, подразумевана политика за долазни саобраћај је рестриктивна, док је за одлазни саобраћај политика дозвољена, колона „онемогућено (преусмерено)“ значи да су рутирање и прослеђивање онемогућени.

За већину уређаја које сматрам да су рестриктивне смернице део најбољих пракси заштитног зида за безбедност, зато почињемо одбијањем целог саобраћаја, осим оног који смо дефинисали као прихватљив, рестриктивног заштитног зида:

# судо уфв подразумевано одбија долазне

Као што видите, заштитни зид нас упозорава да ажурирамо наша правила како бисмо избегли кварове приликом пружања услуга клијентима који се повезују са нама. Начин да се исто уради са Иптаблес-ом може бити:

# иптаблес -А ИНПУТ -ј ДРОП

Тхе негирати правило о УФВ-у ће прекинути везу без обавештавања друге стране да је веза одбијена, ако желите да друга страна зна да је веза одбијена, можете користити правило “одбити" уместо тога.

# судо уфв подразумевано одбаци долазни

Једном када блокирате сав долазни саобраћај независно од било ког услова, почните да постављате дискриминаторна правила да прихватимо оно што посебно желимо да прихватимо, на пример, ако постављамо веб сервер и желите да прихватите све представке које долазе на ваш веб сервер, у порт 80, покрените:

# судо уфв допусти 80

Услугу можете одредити према броју порта или имену, на пример можете користити прот 80 као горе или име хттп:

Уз услугу можете дефинисати и извор, на пример, можете одбити или одбити све долазне везе осим изворне ИП адресе.

# судо уфв дозволи од

Уобичајена правила иптаблес преведена на УФВ:

Ограничавање рате_лимит са УФВ је прилично лако, ово нам омогућава да спречимо злоупотребу ограничавањем броја који сваки домаћин може да успостави, с тим да би УФВ ограничење брзине за ссх било:

# судо уфв лимит са било ког порта 22
# судо уфв лимит ссх / тцп

Да бисте видели како је УФВ олакшао задатак у наставку, имате превод горњег упутства за УФВ да бисте упутили исто:

# судо иптаблес -А уфв-усер-инпут -п тцп -м тцп --дпорт 22 -м цоннтрацк --цтстате НОВО
-м недавно --сет --наме ДЕФАУЛТ --маска 255.255.255.0 - извор
#судо иптаблес -А уфв-усер-инпут -п тцп -м тцп --дпорт 22 -м цоннтрацк --цтстате НОВО
-м недавно --ажурирано --секунде 30 --хитцоунт 6 --наме ДЕФАУЛТ --маска 255.255.255.255
--рсоурце -ј уфв-усер-лимит
# судо иптаблес -А уфв-усер-инпут -п тцп -м тцп --дпорт 22 -ј уфв-усер-лимит-аццепт

Горња правила написана са УФВ би била:

Надам се да вам је корисно ово упутство о Дебиан Фиревалл Сетуп Бест Працтицес фор Сецурити.

Миш Преглед бежичног миша Мицрософт Сцулпт Тоуцх
Преглед бежичног миша Мицрософт Сцулпт Тоуцх
Недавно сам читао о Мицрософт Сцулпт Тоуцх бежични миш и одлучио да га купи. Након што сам га неко време користио, одлучио сам да са њим поделим своје...
Миш Екран Трацкпад и показивач миша АппиМоусе за Виндовс таблете
Екран Трацкпад и показивач миша АппиМоусе за Виндовс таблете
Корисницима таблета често недостаје показивач миша, посебно када су уобичајени за коришћење преносних рачунара. Паметни телефони и таблети на додир ос...
Миш Средњи тастер миша не ради у оперативном систему Виндовс 10
Средњи тастер миша не ради у оперативном систему Виндовс 10
Тхе средње дугме миша помаже вам да се крећете кроз дугачке веб странице и екране са пуно података. Ако се то заустави, на крају ћете користити тастат...