Políticas restrictivas vs de firewall permisivas
Además de la sintaxis que necesita saber para administrar un firewall, deberá definir las tareas del firewall para decidir qué política se implementará. Hay 2 políticas principales que definen un comportamiento de firewall y diferentes formas de implementarlas.
Cuando agrega reglas para aceptar o rechazar paquetes específicos, fuentes, destinos, puertos, etc. Las reglas determinarán qué sucederá con el tráfico o los paquetes que no están clasificados dentro de sus reglas de firewall.
Un ejemplo extremadamente simple sería: cuando se define si la lista blanca o la lista negra de la IP x.X.X.x, que pasa con el resto?.
Digamos que el tráfico de la lista blanca proviene de la IP X.X.X.X.
A permisivo La política significaría todas las direcciones IP que no son x.X.X.x puede conectarse, por lo tanto y.Y.Y.y o z.z.z.z puede conectarse. A restrictivo La política rechaza todo el tráfico proveniente de direcciones que no son x.X.X.X.
En resumen, un firewall según el cual no se permite pasar todo el tráfico o paquetes que no se definen entre sus reglas restrictivo. Un firewall según el cual se permite todo el tráfico o paquetes que no están definidos entre sus reglas es permisivo.
Las políticas pueden ser diferentes para el tráfico entrante y saliente, muchos usuarios tienen la tendencia de usar una política restrictiva para el tráfico entrante que mantiene una política permisiva para el tráfico saliente, esto varía dependiendo del uso del dispositivo protegido.
Iptables y ufw
Si bien iptables es un interfaz para que los usuarios configuren las reglas de firewall de kernel, UFW es un interfaz para configurar iptables, no son competidores reales, el hecho es que UFW aportó la capacidad de configurar rápidamente un firewall personalizado sin aprender sintaxis hostil, sin embargo, algunas reglas pueden Se aplicará a través de UFW, reglas específicas para evitar ataques específicos.
Este tutorial mostrará reglas que considero entre las mejores prácticas de firewall aplicadas principalmente, pero no solo con UFW.
Si no ha instalado UFW, instálelo en ejecución:
# APT Instalar UFW
Comenzando con UFW:
Para comenzar, habilitemos el firewall en el inicio ejecutando:
# sudo ufw habilitar
Nota: Si es necesario, puede deshabilitar el firewall utilizando la misma sintaxis reemplazando "habilitar" para "deshabilitar" (sudo ufw deshabilitar).
En cualquier momento, podrá verificar el estado del firewall con verbosidad ejecutando:
# SUDO UFW ESTADO PERBOSE
Como puede ver en la salida, la política predeterminada para el tráfico entrante es restrictiva, mientras que para el tráfico saliente, la política es permisiva, la columna "deshabilitada (enrutada)" significa que el enrutamiento y el reenvío están deshabilitados.
Para la mayoría de los dispositivos, considero que una política restrictiva es parte de las mejores prácticas de firewall para la seguridad, por lo tanto, comencemos rechazando todo el tráfico, excepto la que definimos como aceptable, un firewall restrictivo:
# sudo UFW predeterminado negar entrante
Como puede ver, el firewall nos advierte que actualicemos nuestras reglas para evitar fallas al servir a los clientes que se conectan con nosotros. La forma de hacer lo mismo con iptables podría ser:
# iptables -A input -j Drop
El denegar La regla en UFW dejará caer la conexión sin informar al otro lado que se rechazó la conexión, si desea que el otro lado sepa que se rechazó la conexión, puede usar la regla "rechazar" en cambio.
# SUDO UFW Rechazo predeterminado entrante
Una vez que bloqueó todo el tráfico entrante independientemente de cualquier condición, comience a establecer reglas discriminativas para aceptar lo que queremos ser aceptados específicamente, por ejemplo, si estamos configurando un servidor web y desea aceptar todas las peticiones que llegan a su servidor web, en Puerto 80, Run:
# sudo UFW Permitir 80
Puede especificar un servicio tanto por número de puerto o nombre, por ejemplo, puede usar el Prot 80 como el anterior o el nombre http:
Además de un servicio, también puede definir una fuente, por ejemplo, puede negar o rechazar todas las conexiones entrantes, excepto una fuente de IP de origen.
# sudo UFW Permitir desde
Reglas comunes de iptables traducidas a UFW:
Limitar la tasa_limit con UFW es bastante fácil, esto nos permite evitar el abuso al limitar el número que cada anfitrión puede establecer, con UFW que limita la tasa de SSH sería:
# SUDO UFW Límite de cualquier puerto 22
# SUDO UFW LIMIT SSH/TCP
Para ver cómo UFW facilitó la tarea a continuación, tiene una traducción de la instrucción UFW anterior para instruir lo mismo:
# sudo iptables -a ufw -user -input -p tcp -m tcp --dport 22 -m conntrack - -ctstate nuevo
-m reciente --set - -name predeterminado -Masaje 255.255.255.0 –RSOURCE
#Sudo iptables -a UFW -USER -INPUT -P TCP -M TCP - -DPort 22 -M Conntrack - -CtState New
-m reciente -update --seconds 30 - -hitCount 6 - -nombre predeterminado -Máscara 255.255.255.255
--rsource -j ufw-user-limit
# sudo iptables -a ufw-user-input -p tcp -m tcp --dport 22 -j ufw-user-limit-aceptcept
Las reglas escritas anteriormente con UFW serían:
Espero que hayas encontrado este tutorial sobre las mejores prácticas de configuración de firewall de Debian para la seguridad útil.