Една от най -ефективните мерки за сигурност, които можем да приложим във всяка организация, включително на лично ниво, е използването на защитна стена, която изпълнява функцията за наблюдение и контрол на начина, по който мрежовите пакети влизат и излизат от локалната мрежа.
Защитната стена ви позволява да активирате или деактивирате трафика през определени портове, да добавите нови правила за движение и по този начин да имате много по -прецизен и директен контрол върху целия проблем с мрежата, който е един от най -деликатните на ниво сигурност.
Днес Solvetic ще анализира някои от най -добрите защитни стени за Linux и по този начин ще има практическа алтернатива за сигурност, която да внедри.
Iptables
Iptables е инструмент от командния ред, който често се използва за конфигуриране и управление на правилото за филтриране на пакети, зададено в Linux 2.4.x и по -нови среди. Това е един от най -използваните инструменти за защитна стена днес и има способността да филтрира пакети в мрежовия стек в рамките на самото ядро.
Пакетът iptables включва също ip6tables, с ip6tables можем да конфигурираме филтър за пакети IPv6.
Някои от основните му характеристики са
- Изброява съдържанието на набора правила за филтър за пакети
- Той проверява само заглавките на пакети, което прави процеса много по -гъвкав
- Позволява ви да добавяте, премахвате или променяте правила според нуждите в наборите от правила за филтриране на пакети
- Поддържа архивиране и възстановяване с файлове.
Iptables в Linux обработват следните файлове:
Това е init скрипт за стартиране, спиране, рестартиране и запазване на правила
/etc/init.d/iptables
Този файл е мястото, където се запазват наборите от правила
/ etc / sysconfig / iptables
Прилага се за двоични файлове на Iptables
/ sbin / iptables
IPCop защитна стена
IPCop Firewall е дистрибуция на защитна стена на Linux, която е предназначена за домашни и SOHO (малки офиси) потребители. Уеб интерфейсът на IPCop е много лесен за използване и лесен за използване. Можете да конфигурирате компютър като защитена VPN, за да осигурите защитена среда през Интернет. Тя включва често използвана информация за осигуряване на по -добро сърфиране в мрежата за потребителите.
Сред основните му характеристики имаме
- Той има цветен кодиран уеб интерфейс, който ни позволява да следим графиките за производителност за процесора, паметта и диска, както и производителността на мрежата.
- Автоматично преглеждайте и завъртайте записи
- Поддръжка на няколко езика
- Осигурява стабилна и лесно разгръщаща се защитена актуализация и добавя текущи кръпки на ниво сигурност
Там можем да изтеглим ISO образа или типа инсталация като USB носител. Това е различно от много приложения за защитна стена, тъй като може да се инсталира като дистрибуция на Linux. В този случай избираме ISO образа и трябва да изпълним стъпките на съветника за инсталиране. След като зададем всички параметри, ще имаме достъп до IPCop:
Изтеглянето му е достъпно на следния линк:
Shorewall
Shorewall е инструмент за конфигуриране на шлюз или защитна стена за GNU / Linux. С Shorewall имаме инструмент на високо ниво за конфигуриране на мрежови филтри, тъй като ни позволява да дефинираме изискванията на защитната стена чрез записи в набор от дефинирани конфигурационни файлове.
Shorewall може да чете конфигурационните файлове и с помощта на помощните програми iptables, iptables-restore, ip и tc, Shorewall може да конфигурира Netfilter и мрежовата подсистема на Linux, така че да отговарят на заявените изисквания. Shorewall може да се използва в специална защитна стена, рутер, многофункционален сървър или самостоятелна GNU / Linux система.
Shorewall не използва режима на съвместимост на ipchains на Netfilter и може да се възползва от възможностите за проследяване на състоянието на връзката на Netfilter.
Основните му характеристики са
- Използвайте средствата за проследяване на връзки на Netfilter за филтриране на пакети в състояние
- Поддържа широк спектър от приложения за рутер, защитна стена и шлюз
- Централизирано управление на защитната стена
- GUI интерфейс с Webmin контролен панел
- Поддръжка на множество ISP
- Поддържа маскиране и пренасочване на портове
- Поддържа VPN
За неговото инсталиране ще изпълним следното:
sudo apt-get install shorewall
UFW - неусложнена защитна стена
Понастоящем UFW е позициониран като един от най -полезните, динамични и лесни за използване защитни стени в Linux среди. UFW означава Неусложнена защитна стена и е програма, разработена за управление на защитна стена с мрежов филтър. Той осигурява интерфейс на командния ред и е предназначен да бъде прост и лесен за използване, откъдето идва и името му. ufw предоставя проста рамка за управление на netfilter, както и ни предоставя интерфейс от командния ред за управление на защитната стена от терминала.
Сред неговите характеристики откриваме
- Съвместим с IPV6
- Разширени опции за влизане с влизане и излизане
- Мониторинг на здравето на защитната стена
- Разтегателна рамка
- Може да се интегрира с приложения
- Позволява добавяне, изтриване или промяна на правилата според нуждите.
Командите за неговото използване са:
sudo apt-get install ufw (Install UFW) sudo ufw status (Check UFW status) sudo ufw enable (Enable UFW) sudo ufw allow 2290: 2300 / tcp (Добавяне на ново правило)
Вуурмуур
Vuurmuur е мениджър на защитна стена, изграден върху iptables в Linux среди. Той има проста и лесна за използване конфигурация, която позволява прости и сложни конфигурации. Конфигурацията може да бъде напълно конфигурирана чрез Ncurses GUI, който позволява сигурно отдалечено администриране чрез SSH или на конзолата.
Vuurmuur поддържа оформянето на трафика, има мощни функции за наблюдение, които позволяват на администратора да преглежда регистрационни файлове, връзки и използване на честотната лента в реално време. Vuurmuur е софтуер с отворен код и се разпространява при условията на GNU GPL
Сред неговите характеристики откриваме
- Не изисква задълбочени познания по iptables
- Има синтаксис на четими от човека правила
- Поддържа IPv6 (експериментално)
- Включва оформяне на трафика
- Ncurses GUI, не се изисква X
- Процесът на пренасочване е много прост
- Лесен за конфигуриране с NAT
- Включва политика за защита по подразбиране
- Напълно управляем чрез ssh и от конзолата (включително от Windows с помощта на PuTTY)
- Скриптира се за интеграция с други инструменти
- Включва функции за предотвратяване на фалшифициране
- Визуализация в реално време
- Преглед на връзката в реално време
- Той има одитна следа: всички промени се записват
- Дневник на нови връзки и лоши пакети
- Отчитане на обема на трафика в реално време
За инсталирането на Vuurmuur в Ubuntu 17 трябва да добавим следния ред във файла /etc/apt/sources.list:
deb ftp://ftp.vuurmuur.org/ubuntu/ lucid mainВ случай на използване на Debian ще въведем следното:
deb ftp://ftp.vuurmuur.org/debian/ стиснете mainПо -късно ще изпълним следните команди:
sudo apt-get update (Актуализиране на пакети) sudo apt-get install libvuurmuur vuurmuur vuurmuur-conf (Инсталиране на защитна стена)След като сме инсталирани, можем да използваме тази защитна стена, за да създадем нашите правила.
Увеличете
pfSense
pfSense е мрежов маршрутизатор / защитна стена с отворен код, базиран на операционната система FreeBSD. Софтуерът pfSense се използва за създаване на специални правила за защитна стена / рутер за мрежа и се откроява със своята надеждност и предлага множество функции, намиращи се главно в търговските защитни стени.
Pfsense може да бъде снабден с много безплатни софтуерни пакети на трети страни за допълнителна функционалност.
Сред неговите характеристики откриваме
- Силно конфигурируем и актуализиран от своя уеб-базиран интерфейс
- Може да се използва като периметрова защитна стена, рутер, DHCP и DNS сървър
- Може да се конфигурира като безжична точка за достъп и VPN крайна точка
- Предлага трафик оформяне и информация в реално време за сървъра
- Балансиране на входящо и изходящо натоварване.
Там можем да изтеглим опцията според архитектурата, с която работим. След като ISO образът бъде изтеглен, продължаваме да го записваме на CD или USB носител и да стартираме от там. Избираме опция 1 или 2 и след задаване на настройките инсталационният процес ще започне.
ISO образът на pfSense е достъпен на следната връзка:
IPFire
IPFire е проектиран с различни параметри на модулност и високо ниво на гъвкавост, позволяващи на администраторите лесно да внедряват много негови варианти, като например защитна стена, прокси сървър или VPN шлюз. Модулният дизайн на IPFire гарантира, че той работи точно според вашата конфигурация. С помощта на IPFire ще имаме просто управление и то може да бъде актуализирано чрез мениджъра на пакети, което улеснява поддръжката му.
Разработчиците на IPFire се фокусираха върху сигурността и я разработиха като SPI (Stateful Packet Inspection) защитна стена. Основните характеристики на IPFire се основават на различни сегменти като:
СигурностОсновната цел на IPFire е сигурността и следователно има възможност да сегментира мрежи въз основа на съответните им нива на сигурност и улеснява създаването на персонализирани политики, които управляват всеки сегмент.
Безопасността на модулните компоненти в IPFire е един от вашите приоритети. Актуализациите са цифрово подписани и криптирани, така че да могат да бъдат инсталирани автоматично от Pakfire (системата за управление на пакети IPFire). Тъй като IPFire има тенденция да се свързва директно с интернет, това представлява риск за сигурността, тъй като може да бъде основна цел за хакери и други заплахи. Простият мениджър на пакети на Pakfire предоставя помощ на администраторите да се доверят, че изпълняват най -новите актуализации на защитата и корекции на грешки за всички компоненти, които използват.
С IPFire ще имаме приложение, което ни предпазва от експлоатации на нулев ден, като елиминира цели класове грешки и използва вектори.
Защитна стенаIPFire използва защитна стена SPI (Stateful Packet Inspection), която е изградена върху netfilter (рамката за филтриране на пакети на Linux). В процеса на инсталиране на IPFire мрежата се конфигурира в различни отделни сегменти и всеки сегмент представлява група компютри, които споделят общо ниво на защита:
Сегментите са:
- Зелено: Зеленото показва "безопасна" зона. Тук отсядат всички редовни клиенти. Обикновено се състои от кабелна локална мрежа.
- Червено: Червеното показва „опасност“ в интернет връзката. Нищо от мрежата не може да преминава през защитната стена, освен ако ние като администратори не я конфигурираме специално.
- Синьо: Синьото представлява "безжичната" част от локалната мрежа (цветът му е избран, защото е цветът на небето). Тъй като безжичната мрежа има потенциал за използване от потребителите, тя е уникално идентифицирана и специфичните правила управляват клиентите в нея. Клиентите в този мрежов сегмент трябва да бъдат изрично упълномощени, преди да имат достъп до мрежата.
- Оранжево: Оранжевото е известно като „демилитаризираната зона“ (DMZ). Всички сървъри, които са публично достъпни, са отделени от останалата част от мрежата тук, за да се ограничат нарушенията на сигурността.
Там можем да изтеглим ISO образа на IPFire, тъй като той се обработва като независима дистрибуция и след като зареждането е конфигурирано. Трябва да изберем опцията по подразбиране и ще следваме стъпките на съветника. След като сме инсталирани, можем да осъществим достъп през мрежата със следния синтаксис:
http: // IP_адрес: 444
Увеличете
IPFire може да бъде изтеглен на следната връзка:
SmoothWall & SmoothWall Express
SmoothWall е Linux защитна стена с отворен код с високо конфигуриран уеб интерфейс. Неговият уеб-базиран интерфейс е известен като WAM (Web Access Manager) SmoothWall се предлага като дистрибуция на Linux, предназначена да се използва като защитна стена с отворен код и дизайнът му е фокусиран върху улесняване на използването на конфигурацията му, SmoothWall се конфигурира чрез графичен интерфейс, базиран на wdb , и изисква малко или никакви познания за Linux за инсталиране и използване.
Сред основните му характеристики, които откриваме
- Поддържа LAN, DMZ и безжични мрежи, в допълнение към Външните
- Филтриране на съдържание в реално време
- HTTPS филтриране
- Поддръжка на прокси сървъри
- Преглед на дневници и наблюдение на активността на защитната стена
- Управление на статистиката на трафика чрез IP, интерфейс и заявка
- Лесно архивиране и възстановяване.
След като ISO бъде изтеглен, ние започваме от него и ще видим следното:
Там избираме най -подходящата опция и ще следваме стъпките на съветника за инсталиране. Подобно на IPFire, SmoothWall ни позволява да конфигурираме мрежови сегменти, за да повишим нивата на защита. Ще конфигурираме паролите на потребителите. По този начин това приложение ще бъде инсталирано и ние ще имаме достъп до него чрез уеб интерфейса за неговото управление:
Увеличете
SmoothWall ни предлага безплатна версия, наречена SmoothWall Express, която може да бъде изтеглена на следната връзка:
Защитна стена за защита на ConfigServer (CSF)
Той е разработен като много гъвкава крос платформа и защитна стена, която се основава на концепцията за защитна стена за проверка на състоянието (SPI). Той поддържа почти всички среди за виртуализация като Virtuozzo, OpenVZ, VMware, XEN, KVM и Virtualbox.
CSF може да бъде инсталиран на следните операционни системи
- RedHat Enterprise v5 до v7
- CentOS v5 до v7
- CloudLinux v5 до v7
- Fedora v20 до v26
- OpenSUSE v10, v11, v12
- Debian v3.1 - v9
- Ubuntu v6 до v15
- Slackware v12
Сред многото му характеристики, които откриваме
- Директен iptables скрипт на защитната стена на SPI
- Той има процес на Daemon, който проверява за грешки при удостоверяване при влизане за: Courier imap, Dovecot, uw-imap, Kerio, openSSH, cPanel, WHM, Webmail (само за cPanel сървъри), Pure-ftpd, vsftpd, Proftpd, Страници, защитени с парола ( htpasswd), грешки в mod_security (v1 и v2) и Exim SMTP AUTH.
- Съвпадение на регулярен израз
- POP3 / IMAP проследяване на вход за налагане на почасови влизания
- Известие за влизане в SSH
- Известие за вход за SU
- Прекомерно блокиране на връзката
- Интеграция на потребителски интерфейс за cPanel, DirectAdmin и Webmin
- Лесно надграждане между версии от cPanel / WHM, DirectAdmin или Webmin
- Лесно надграждане между версии на обвивката
- Предварително конфигуриран да работи на cPanel сървър с отворени всички стандартни cPanel портове
- Предварително конфигуриран да работи на DirectAdmin сървър с отворени всички стандартни DirectAdmin портове
- Автоматично конфигурирайте SSH порта, ако той не е стандартен в инсталацията
- Блокира трафика на неизползвани IP адреси на сървъра - Помага за намаляване на риска за сървъра
- Предупреждения, когато скриптове за крайни потребители изпращат прекомерни имейли на час, за да идентифицират спам скриптове
- Отчети за подозрителни процеси - Доклади за потенциални уязвимости, работещи на сървъра
- Прекомерно отчитане на потребителските процеси
- Блокирайте трафика към различни списъци с блокировки, включително DShield Block List и Spamhaus DROP List
- Защита на пакета BOGON
- Предварително конфигурирани настройки за ниска, средна или висока защита на защитната стена (само за cPanel сървъри)
- IDS (Система за откриване на проникване), където последната линия за откриване ви предупреждава за промени в системата и двоичните файлове на приложението
- SYN защита от наводнения и много други.
Вариант 1 ИнсталацияИзтеглете .tgz файла на следната връзка:
Вариант 2 ИнсталацияИли изпълнете следните редове:
cd / usr / src / wget https://download.configserver.com/csf.tgz tar -xzf csf.tgz cd / usr / src / csf sh install.sh
ClearOS
ClearOS 7, Community Edition е Linux сървърна операционна система с отворен код, предназначена за Linux експерти и любители, които използват отворен код и допринасят с предложения и нови идеи към глобална потребителска общност.
Всички актуализации, корекции на грешки, корекции и поправки за сигурност се предоставят безплатно от източници нагоре по веригата. Функциите обхващат повече от 75 ИТ функции от контрол на домейна, контрол на мрежата и честотната лента, съобщения и много други.
Тъй като това е дистрибуция за Linux, ще изтеглим ISO образа и ще конфигурираме зареждането на USB или CD / DVD носител. Можем да видим, че инсталационната му среда е подобна на Ubuntu. Ще следваме стъпките на съветника за инсталиране:
Конфигурираме основната парола и ще продължим с инсталацията. След като влезем, ще видим следния прозорец, където ще бъдат дадени инструкциите за достъп през мрежата. Можем да кликнете върху опцията Изход към текстова конзола за достъп до конзолата ClearOS. Там можем да извършим някои от наличните действия:
ClearOS предлага няколко опции на продукта, но безплатната версия е Community Edition, която е достъпна на следната връзка:
OPNсенс
OPNsense е платформа с отворен код, лесна за използване и лесна за изграждане, базирана на FreeBSD защитна стена и маршрутизираща платформа. OPNsense включва повечето функции, които се предлагат в скъпи търговски защитни стени, и включва богат набор от функции от търговски предложения с предимствата на отворени и проверими източници.
OPNsense стартира като вилица на pfSense® и m0n0wall през 2014 г., с първото си официално издание през януари 2015 г. OPNsense предлага седмични актуализации на защитата на малки стъпки, за да остане една крачка пред новите нововъзникващи заплахи днес. Фиксиран цикъл от 2 големи издания всяка година предлага на компаниите възможност да планират подобрения на ниво сигурност.
Някои от основните му характеристики са:
- Оформящ трафик
- Двуфакторно удостоверяване в цялата система
- Портал за задържане
- Пренасочване на прокси за кеширане (прозрачно) с поддръжка на черен списък
- Виртуална частна мрежа с поддръжка на IPsec, OpenVPN и наследена PPTP
- Висока наличност и хардуерен срив (със синхронизирана конфигурация и синхронизирани таблици на състоянието)
- Откриване и предотвратяване на проникване
- Интегрирани инструменти за отчитане и наблюдение, включително диаграми за DRR
- Netflow износител
- Мониторинг на потока в мрежата
- Поддръжка на плъгини
- DNS сървър и DNS рутер
- DHCP сървър и реле
- Динамичен DNS
- Архивиране на криптирана конфигурация в Google Диск
- Защитна стена за здравна инспекция
- Гранулиран контрол върху таблицата на състоянието
- 802.1Q VLAN поддръжка
След като ISO образът бъде изтеглен, продължаваме с инсталацията. По време на инсталационния процес ще е необходимо да конфигурирате мрежови параметри, VLAN и т.н.
След като този процес приключи, ще имаме достъп до мрежата и ще направим съответните корекции на ниво защитна стена.
Увеличете
Изтеглянето му е достъпно на следния линк:
С тези опции за защитна стена можем да поддържаме най -добрите нива на сигурност в нашите дистрибуции на Linux.