Et av de mest effektive sikkerhetstiltakene vi kan implementere i enhver organisasjon, inkludert på personlig nivå, er bruken av en brannmur som oppfyller funksjonen til å overvåke og kontrollere måten nettverkspakker kommer inn og forlater det lokale nettverket.
En brannmur lar deg aktivere eller deaktivere trafikk gjennom visse porter, legge til nye trafikkregler og dermed ha en mye mer presis og direkte kontroll over hele nettverksproblemet, som er et av de mest delikate på sikkerhetsnivå.
I dag vil Solvetic analysere noen av de beste brannmurene for Linux og dermed ha et praktisk sikkerhetsalternativ å implementere.
Iptables
Iptables er et kommandolinjeverktøy som ofte brukes til å konfigurere og administrere pakkefiltreringsregelen som er satt i Linux 2.4.x og senere miljøer. Det er et av de mest brukte brannmurverktøyene i dag og har muligheten til å filtrere pakker på nettverksstakken i selve kjernen.
Iptables -pakken inneholder også ip6tables, med ip6tables kan vi konfigurere IPv6 -pakkefilteret.
Noen av hovedtrekkene er
- Teller innholdet i pakkefilterregelsettet
- Den inspiserer bare pakkeoverskriftene, noe som gjør prosessen mye mer smidig
- Lar deg legge til, fjerne eller endre regler etter behov i regelsett for pakkefilter
- Støtter sikkerhetskopiering og gjenoppretting med filer.
Iptables på Linux håndterer følgende filer:
Det er et init -skript for å starte, stoppe, starte på nytt og lagre regler
/etc/init.d/iptables
Denne filen er der regelsettet lagres
/ etc / sysconfig / iptables
Gjelder binære filer i Iptables
/ sbin / iptables
IPCop -brannmur
IPCop Firewall er en Linux -brannmurdistribusjon som er rettet mot hjemmebrukere og SOHO -brukere (små kontorer). IPCop -nettgrensesnittet er veldig brukervennlig og lett å bruke. Du kan konfigurere en datamaskin som en sikker VPN for å tilby et sikkert miljø over Internett. Den inneholder ofte brukt informasjon for å gi brukerne en bedre nettleseropplevelse.
Blant de viktigste egenskapene vi har
- Den har et fargekodet webgrensesnitt som lar oss overvåke ytelsesgrafikk for CPU, minne og disk, samt nettverksytelse.
- Se og roter poster automatisk
- Støtte for flere språk
- Tilbyr en stabil og lett distribuerbar sikker oppdatering og legger til gjeldende oppdateringer på sikkerhetsnivå
Der kan vi laste ned ISO -bildet eller installasjonstypen som USB -medium. Dette er forskjellig fra mange brannmurprogrammer siden det kan installeres som en Linux -distribusjon. I dette tilfellet velger vi ISO -bildet, og vi må fullføre trinnene i installasjonsveiviseren. Når vi har tilordnet alle parameterne får vi tilgang til IPCop:
Nedlastingen er tilgjengelig på følgende lenke:
Shorewall
Shorewall er et gateway- eller brannmurskonfigurasjonsverktøy for GNU / Linux. Med Shorewall har vi et verktøy på høyt nivå for å konfigurere nettverksfiltre, siden det lar oss definere brannmurkrav gjennom oppføringer i et sett med definerte konfigurasjonsfiler.
Shorewall kan lese konfigurasjonsfilene, og ved hjelp av iptables, iptables-restore, ip og tc-verktøy kan Shorewall konfigurere Netfilter og Linux-nettverksundersystemet for å matche de angitte kravene. Shorewall kan brukes i et dedikert brannmursystem, en ruter, en multifunksjonsserver eller et frittstående GNU / Linux-system.
Shorewall bruker ikke Netfilters ipchains -kompatibilitetsmodus og kan dra fordel av Netfilters muligheter for sporing av tilkoblingsstatus.
Hovedtrekkene er
- Bruk Netfilters tilkoblingssporingsfasiliteter for stateful pakkefiltrering
- Støtter et bredt spekter av programmer for ruter, brannmur og gateway
- Sentralisert brannmuradministrasjon
- GUI -grensesnitt med Webmin kontrollpanel
- Flere ISP -støtte
- Støtter maskering og portvideresending
- Støtter VPN
For installasjonen utfører vi følgende:
sudo apt-get installere shorewall
UFW - Ukomplisert brannmur
UFW er for tiden posisjonert som en av de mest nyttige, dynamiske og enkle å bruke brannmurer i Linux -miljøer. UFW står for Uncomplicated Firewall, og det er et program utviklet for å administrere en nettfilterbrannmur. Det gir et kommandolinjegrensesnitt og er ment å være enkelt og enkelt å bruke, derav navnet. ufw gir et enkelt rammeverk for å administrere netfilter, i tillegg til å gi oss et kommandolinjegrensesnitt for å kontrollere brannmuren fra terminalen.
Blant dens egenskaper finner vi
- Kompatibel med IPV6
- Utvidede loggingsalternativer med inn- og utlogging
- Overvåking av brannmurens helse
- Utvidbar ramme
- Kan integreres med applikasjoner
- Den lar deg legge til, slette eller endre regler i henhold til behovene.
Kommandoene for bruk er:
sudo apt-get install ufw (Install UFW) sudo ufw status (Kontroller UFW-status) sudo ufw aktiver (Aktiver UFW) sudo ufw tillat 2290: 2300 / tcp (Legg til en ny regel)
Vuurmuur
Vuurmuur er en brannmurbehandling bygget på toppen av iptables i Linux -miljøer. Den har en enkel og brukervennlig konfigurasjon som tillater enkle og komplekse konfigurasjoner. Konfigurasjonen kan konfigureres fullt ut gjennom en Ncurses GUI, som tillater sikker fjernadministrasjon via SSH eller på konsollen.
Vuurmuur støtter trafikkforming, har kraftige overvåkingsfunksjoner som lar administratoren se logger, tilkoblinger og båndbreddebruk i sanntid. Vuurmuur er programvare med åpen kildekode og distribueres under vilkårene i GNU GPL
Blant dens egenskaper finner vi
- Krever ikke omfattende kunnskap om iptables
- Har lesbar regelsyntaks for mennesker
- Støtter IPv6 (eksperimentell)
- Inkluderer trafikkforming
- Ncurses GUI, ingen X nødvendig
- Videresendingsprosessen er veldig enkel
- Enkel å konfigurere med NAT
- Inkluderer sikker standardpolicy
- Fullt håndterbar via ssh og fra konsollen (inkludert fra Windows ved bruk av PuTTY)
- Skriftlig for integrering med andre verktøy
- Inkluderer antispoofing-funksjoner
- Sanntids visualisering
- Viser tilkoblingen i sanntid
- Den har en revisjonsspor: alle endringer registreres
- Logg over nye tilkoblinger og dårlige pakker
- Sanntids trafikkvolumregnskap
For installasjon av Vuurmuur i Ubuntu 17 må vi legge til følgende linje i filen /etc/apt/sources.list:
deb ftp://ftp.vuurmuur.org/ubuntu/ lucid mainVed bruk av Debian angir vi følgende:
deb ftp://ftp.vuurmuur.org/debian/ squeeze mainSenere vil vi utføre følgende kommandoer:
sudo apt-get update (oppdater pakker) sudo apt-get install libvuurmuur vuurmuur vuurmuur-conf (installer brannmur)Når den er installert, kan vi bruke denne brannmuren til å lage våre regler.
FORSTØRRE
pfSense
pfSense er en åpen kildekode -nettverksrouter / brannmurprogramvare som er basert på FreeBSD -operativsystemet. PfSense -programvaren brukes til å lage dedikerte brannmur- / ruteregler for et nettverk og skiller seg ut med påliteligheten og tilbyr flere funksjoner som hovedsakelig finnes i kommersielle brannmurer.
Pfsense kan leveres med mange tredjeparts gratis programvarepakker for ekstra funksjonalitet.
Blant dens egenskaper finner vi
- Meget konfigurerbar og oppdatert fra sitt nettbaserte grensesnitt
- Kan distribueres som omkretsbrannmur, ruter, DHCP og DNS -server
- Kan konfigureres som et trådløst tilgangspunkt og VPN -endepunkt
- Tilbyr trafikkutforming og sanntidsinformasjon om serveren
- Inngående og utgående lastbalansering.
Der kan vi laste ned alternativet i henhold til arkitekturen vi jobber med. Når ISO -bildet er lastet ned, fortsetter vi å brenne det til en CD eller USB -medium og starter derfra. Vi velger alternativ 1 eller 2, og etter at du har angitt innstillingene, starter installasjonsprosessen.
ISO -bildet til pfSense er tilgjengelig på følgende lenke:
IPFire
IPFire er designet med forskjellige parametere for modularitet og høy fleksibilitet, slik at administratorer enkelt kan implementere mange varianter av den, for eksempel en brannmur, en proxy -server eller en VPN -gateway. Den modulære designen til IPFire sikrer at den fungerer nøyaktig i henhold til konfigurasjonen din. Ved å bruke IPFire får vi en enkel administrasjon, og den kan oppdateres gjennom pakkelederen, noe som gjør vedlikeholdet mye enklere.
IPFire -utviklere fokuserte på sikkerhet og utviklet den som en SPI (Stateful Packet Inspection) brannmur. De viktigste egenskapene til IPFire er basert på forskjellige segmenter som:
SikkerhetHovedmålet med IPFire er sikkerhet, og har derfor muligheten til å segmentere nettverk basert på sine respektive sikkerhetsnivåer og letter opprettelsen av tilpassede retningslinjer som administrerer hvert segment.
Sikkerheten til modulkomponentene i IPFire er en av dine prioriteringer. Oppdateringer er digitalt signert og kryptert slik at de kan installeres automatisk av Pakfire (IPFire -pakkehåndteringssystemet). Fordi IPFire har en tendens til å koble seg direkte til Internett, er dette en sikkerhetsrisiko, ettersom det kan være et hovedmål for hackere og andre trusler. Pakfires enkle pakkebehandler gir administratorer hjelp til å stole på at de kjører de siste sikkerhetsoppdateringene og feilrettinger for alle komponentene de bruker.
Med IPFire vil vi ha et program som beskytter oss mot null-dagers utnyttelser ved å eliminere hele klasser av feil og utnytte vektorer.
BrannmurIPFire bruker en SPI (Stateful Packet Inspection) brannmur, som er bygget på toppen av netfilter (Linuxs pakkefiltreringsramme). I installasjonsprosessen for IPFire er nettverket konfigurert i forskjellige separate segmenter, og hvert segment representerer en gruppe datamaskiner som har et felles sikkerhetsnivå:
Segmentene er:
- Grønt: Grønt indikerer et "trygt" område. Det er her alle vanlige kunder bor. Det består vanligvis av et kablet lokalt nettverk.
- Rød: Rød indikerer "fare" i Internett -tilkoblingen. Ingenting fra nettverket får passere brannmuren med mindre vi som administratorer spesifikt konfigurerer den.
- Blå: Blå representerer den "trådløse" delen av det lokale nettverket (fargen ble valgt fordi det er fargen på himmelen). Fordi det trådløse nettverket har potensial for bruk av brukere, er det unikt identifisert og spesifikke regler styrer klienter på det. Klienter på dette nettverkssegmentet må være eksplisitt autorisert før de kan få tilgang til nettverket.
- Oransje: Oransje er kjent som den "demilitariserte sonen" (DMZ). Alle servere som er offentlig tilgjengelige er atskilt fra resten av nettverket her for å begrense sikkerhetsbrudd.
Der kan vi laste ned ISO -bildet til IPFire siden det håndteres som en uavhengig distribusjon og når oppstarten er konfigurert. Vi må velge standardalternativet, og vi vil følge trinnene i veiviseren. Når den er installert, kan vi få tilgang via nettet med følgende syntaks:
http: // IP -adresse: 444
FORSTØRRE
IPFire kan lastes ned på følgende lenke:
SmoothWall & SmoothWall Express
SmoothWall er en åpen kildekode Linux -brannmur med et svært konfigurerbart webgrensesnitt. Det nettbaserte grensesnittet er kjent som WAM (Web Access Manager) SmoothWall tilbys som en Linux-distribusjon designet for å brukes som en åpen kildekode-brannmur, og designet er fokusert på å lette konfigurasjonsbruken, SmoothWall er konfigurert gjennom en GUI basert på wdb , og krever liten eller ingen Linux -kunnskap for å installere og bruke.
Blant de viktigste egenskapene finner vi
- Støtter LAN, DMZ og trådløse nettverk, i tillegg til eksternt
- Filtrering av innhold i sanntid
- HTTPS -filtrering
- Støtte fullmakter
- Visning av logger og overvåking av brannmuraktivitet
- Håndtering av trafikkstatistikk etter IP, grensesnitt og spørring
- Enkel sikkerhetskopiering og gjenoppretting.
Når ISO er lastet ned, starter vi fra den, og vi vil se følgende:
Der velger vi det mest passende alternativet, og vi vil følge trinnene i installasjonsveiviseren. Som IPFire lar SmoothWall oss konfigurere nettverkssegmenter for å øke sikkerhetsnivået. Vi vil konfigurere passordene til brukerne. På denne måten vil denne applikasjonen bli installert, og vi vil ha tilgang til den via webgrensesnittet for administrasjon:
FORSTØRRE
SmoothWall tilbyr oss en gratis versjon kalt SmoothWall Express som kan lastes ned på følgende lenke:
ConfigServer Security Firewall (CSF)
Den er utviklet som en veldig allsidig kryssplattform og brannmur som er basert på konseptet Stateful Packet Inspection (SPI) brannmur. Den støtter nesten alle virtualiseringsmiljøer som Virtuozzo, OpenVZ, VMware, XEN, KVM og Virtualbox.
CSF kan installeres på følgende operativsystemer
- RedHat Enterprise v5 til v7
- CentOS v5 til v7
- CloudLinux v5 til v7
- Fedora v20 til v26
- OpenSUSE v10, v11, v12
- Debian v3.1 - v9
- Ubuntu v6 til v15
- Slackware v12
Blant de mange egenskapene finner vi
- Direkte iptables SPI -brannmurskript
- Den har en Daemon-prosess som ser etter feil ved påloggingsautentisering for: Courier imap, Dovecot, uw-imap, Kerio, openSSH, cPanel, WHM, Webmail (bare cPanel-servere), Pure-ftpd, vsftpd, Proftpd, Pages passordbeskyttet web ( htpasswd), mod_security -feil (v1 og v2) og Exim SMTP AUTH.
- Regelmessig uttrykkstilpasning
- POP3 / IMAP påloggingssporing for å håndheve timepålogging
- SSH påloggingsvarsel
- SU -påloggingsvarsel
- Overdreven blokkering av tilkoblingen
- Brukergrensesnittintegrasjon for cPanel, DirectAdmin og Webmin
- Enkel oppgradering mellom versjoner fra cPanel / WHM, DirectAdmin eller Webmin
- Enkel oppgradering mellom skallversjoner
- Forhåndskonfigurert til å fungere på en cPanel -server med alle standard cPanel -porter åpne
- Forhåndskonfigurert til å fungere på en DirectAdmin -server med alle standard DirectAdmin -porter åpne
- Autokonfigurer SSH -porten hvis den ikke er standard i installasjonen
- Blokkerer trafikk på ubrukte server -IP -adresser - Hjelper med å redusere risikoen for serveren
- Varsler når sluttbrukerskript sender for mange e-poster per time for å identifisere spam-skript
- Mistenkelige prosessrapporter - Rapporter om potensielle sårbarheter som kjører på serveren
- Overdreven rapportering av brukerprosesser
- Blokker trafikk på en rekke blokkeringslister, inkludert DShield Block List og Spamhaus DROP List
- BOGON pakkebeskyttelse
- Forhåndskonfigurerte innstillinger for lav, middels eller høy brannmur -sikkerhet (bare cPanel -servere)
- IDS (Intrusion Detection System) der den siste deteksjonslinjen varsler deg om endringer i systemet og applikasjonsfiler
- SYN Flood Protection, og mange flere.
Alternativ 1 InstallasjonLast ned .tgz -filen på følgende lenke:
Alternativ 2 InstallasjonEller kjør følgende linjer:
cd / usr / src / wget https://download.configserver.com/csf.tgz tar -xzf csf.tgz cd / usr / src / csf sh install.sh
ClearOS
ClearOS 7, Community Edition er et åpen kildekode Linux -serveroperativsystem som er designet for Linux -eksperter og amatører som bruker åpen kildekode og bidrar med forslag og nye ideer til et globalt brukersamfunn.
Alle oppdateringer, feilrettinger, oppdateringer og sikkerhetsrettelser tilbys gratis fra oppstrøms kilder. Funksjonene spenner over mer enn 75 IT -funksjoner fra domenekontroll, nettverks- og båndbreddekontroll, meldinger og mye mer.
Siden det er en Linux -distribusjon, vil vi laste ned ISO -bildet og konfigurere oppstarten på et USB- eller CD / DVD -medium. Vi kan se at installasjonsmiljøet ligner på Ubuntu. Vi vil følge trinnene i installasjonsveiviseren:
Vi konfigurerer rotpassordet, og vi fortsetter med installasjonen. Når vi logger inn, vil vi se følgende vindu der instruksjonene for tilgang via nettet vil bli gitt. Vi kan klikke på alternativet Avslutt til tekstkonsoll for å få tilgang til ClearOS -konsollen. Der kan vi utføre noen av de tilgjengelige handlingene:
ClearOS tilbyr flere produktalternativer, men gratisversjonen er Community Edition som er tilgjengelig på følgende lenke:
OPNsense
OPNsense er en åpen kildekode, enkel å bruke og lett å bygge FreeBSD-basert brannmur og rutingplattform. OPNsense inkluderer de fleste funksjonene som er tilgjengelige i dyre kommersielle brannmurer, og inneholder et rikt funksjonssett fra kommersielle tilbud med fordelene med åpne og kontrollerbare kilder.
OPNsense startet som en gaffel av pfSense® og m0n0wall i 2014, med sin første offisielle utgivelse i januar 2015. OPNsense tilbyr ukentlige sikkerhetsoppdateringer i små trinn for å holde et skritt foran nye trusler som dukker opp i dag. En fast utgivelsessyklus på 2 store utgivelser hvert år gir selskaper muligheten til å planlegge forbedringer på sikkerhetsnivå.
Noen av hovedtrekkene er:
- Trafikkformere
- Systemomfattende tofaktorautentisering
- Captive portal
- Forward Caching Proxy (gjennomsiktig) med støtte for svarteliste
- Virtuelt privat nettverk med IPsec, OpenVPN og eldre PPTP -støtte
- Høy tilgjengelighet og maskinvarefeiloverføring (med synkronisert konfigurasjon og synkroniserte statustabeller)
- Intrusjonsdeteksjon og forebygging
- Integrerte rapporterings- og overvåkingsverktøy inkludert DRR -diagrammer
- Netflow eksportør
- Overvåking av nettverksstrøm
- Plugin -støtte
- DNS -server og DNS -ruter
- DHCP -server og relé
- Dynamisk DNS
- Kryptert konfigurasjonssikkerhetskopi til Google Disk
- Helseinspeksjon brannmur
- Granulær kontroll over statstabellen
- 802.1Q VLAN -støtte
Når ISO -bildet er lastet ned, fortsetter vi med installasjonen. Under installasjonsprosessen vil det være nødvendig å konfigurere nettverksparametere, VLAN, etc:
Når denne prosessen er fullført, vil vi kunne få tilgang til via nettet og gjøre de aktuelle justeringene på brannmurnivå.
FORSTØRRE
Nedlastingen er tilgjengelig på følgende lenke:
Med disse brannmuralternativene kan vi opprettholde de beste sikkerhetsnivåene i våre Linux -distroer.