Una delle misure di sicurezza più efficaci che possiamo implementare in qualsiasi organizzazione, anche a livello personale, è l'uso di un firewall che svolge la funzione di monitorare e controllare il modo in cui i pacchetti di rete entrano ed escono dalla rete locale.
Un firewall permette di abilitare o disabilitare il traffico attraverso determinate porte, aggiungere nuove regole di traffico e avere così un controllo molto più preciso e diretto su tutta la questione della rete, che è una delle più delicate a livello di sicurezza.
Oggi Solvetic analizzerà alcuni dei migliori firewall per Linux e avrà così una pratica alternativa di sicurezza da implementare.
iptables
Iptables è uno strumento da riga di comando che viene spesso utilizzato per configurare e gestire il set di regole di filtraggio dei pacchetti in ambienti Linux 2.4.x e successivi. È uno degli strumenti firewall più utilizzati oggi e ha la capacità di filtrare i pacchetti sullo stack di rete all'interno del kernel stesso.
Il pacchetto iptables include anche ip6tables, con ip6tables possiamo configurare il filtro dei pacchetti IPv6.
Alcune delle sue caratteristiche principali sono
- Enumera il contenuto del set di regole del filtro dei pacchetti
- Ispeziona solo le intestazioni dei pacchetti, il che rende il processo molto più agile
- Consente di aggiungere, rimuovere o modificare le regole secondo necessità nei set di regole del filtro dei pacchetti
- Supporta backup e ripristino con file.
Iptables su Linux gestisce i seguenti file:
È uno script di inizializzazione per avviare, interrompere, riavviare e salvare le regole
/etc/init.d/iptables
Questo file è dove vengono salvati i set di regole
/etc/sysconfig/iptables
Si applica ai binari di Iptables
/ sbin / iptables
Firewall IPCop
IPCop Firewall è una distribuzione di firewall Linux che si rivolge a utenti domestici e SOHO (piccoli uffici).L'interfaccia web di IPCop è molto user friendly e facile da usare. È possibile configurare un computer come VPN sicura per fornire un ambiente protetto su Internet. Include informazioni utilizzate di frequente per fornire una migliore esperienza di navigazione web per gli utenti.
Tra le sue caratteristiche principali abbiamo
- Ha un'interfaccia Web codificata a colori che ci consente di monitorare la grafica delle prestazioni per CPU, memoria e disco, nonché le prestazioni della rete.
- Visualizza e ruota automaticamente i record
- Supporto per più lingue
- Fornisce un aggiornamento sicuro stabile e facilmente distribuibile e aggiunge le attuali patch a livello di sicurezza
Lì possiamo scaricare l'immagine ISO o il tipo di installazione come supporto USB. Questo è diverso da molte applicazioni firewall poiché può essere installato come una distribuzione Linux. In questo caso selezioniamo l'immagine ISO e dobbiamo completare i passaggi della procedura guidata di installazione. Una volta assegnati tutti i parametri avremo accesso a IPCop:
Il suo download è disponibile al seguente link:
Shorewall
Shorewall è uno strumento di configurazione del gateway o del firewall per GNU/Linux. Con Shorewall disponiamo di uno strumento di alto livello per configurare i filtri di rete poiché ci consente di definire i requisiti del firewall tramite voci in una serie di file di configurazione definiti.
Shorewall può leggere i file di configurazione e con l'aiuto delle utility iptables, iptables-restore, ip e tc, Shorewall può configurare Netfilter e il sottosistema di rete Linux per soddisfare i requisiti indicati. Shorewall può essere utilizzato in un sistema firewall dedicato, un router, un server multifunzione o un sistema GNU/Linux autonomo.
Shorewall non utilizza la modalità di compatibilità ipchains di Netfilter e può sfruttare le capacità di monitoraggio dello stato della connessione di Netfilter.
Le sue caratteristiche principali sono
- Utilizza le funzionalità di monitoraggio della connessione di Netfilter per il filtraggio dei pacchetti con stato
- Supporta un'ampia gamma di applicazioni router, firewall e gateway
- Gestione centralizzata del firewall
- Interfaccia GUI con pannello di controllo Webmin
- Supporto per più ISP
- Supporta Masquerading e Port Forwarding
- Supporta VPN
Per la sua installazione eseguiremo quanto segue:
sudo apt-get install shorewall
UFW - Firewall semplice
UFW è attualmente posizionato come uno dei firewall più utili, dinamici e semplici da usare negli ambienti Linux. UFW sta per Uncomplicated Firewall ed è un programma sviluppato per gestire un firewall netfilter. Fornisce un'interfaccia a riga di comando ed è pensato per essere semplice e facile da usare, da cui il nome. ufw fornisce un semplice framework per la gestione di netfilter, oltre a fornirci un'interfaccia a riga di comando per controllare il firewall dal terminale.
Tra le sue caratteristiche troviamo
- Compatibile con IPV6
- Opzioni di registrazione estese con login e logout
- Monitoraggio dello stato del firewall
- Telaio allungabile
- Può essere integrato con le applicazioni
- Consente di aggiungere, eliminare o modificare le regole in base alle esigenze.
I comandi per il suo utilizzo sono:
sudo apt-get install ufw (Installa UFW) sudo ufw status (Verifica stato UFW) sudo ufw enable (Abilita UFW) sudo ufw allow 2290: 2300 / tcp (Aggiungi una nuova regola)
Vuurmuur
Vuurmuur è un gestore di firewall basato su iptables in ambienti Linux. Ha una configurazione semplice e facile da usare che consente configurazioni semplici e complesse. La configurazione può essere completamente configurata tramite una GUI di Ncurses, che consente un'amministrazione remota sicura tramite SSH o dalla console.
Vuurmuur supporta la modellazione del traffico, ha potenti funzioni di monitoraggio che consentono all'amministratore di visualizzare i registri, le connessioni e l'utilizzo della larghezza di banda in tempo reale. Vuurmuur è un software open source ed è distribuito secondo i termini della GNU GPL
Tra le sue caratteristiche troviamo
- Non richiede una conoscenza approfondita di iptables
- Ha una sintassi delle regole leggibile dall'uomo
- Supporta IPv6 (sperimentale)
- Include la modellazione del traffico
- Ncurses GUI, nessuna X richiesta
- Il processo di port forwarding è molto semplice
- Facile da configurare con NAT
- Include la politica di sicurezza predefinita
- Completamente gestibile tramite ssh e dalla console (anche da Windows tramite PuTTY)
- Scriptabile per l'integrazione con altri strumenti
- Include funzionalità anti-spoofing
- Visualizzazione in tempo reale
- Visualizzazione della connessione in tempo reale
- Ha un audit trail: tutte le modifiche vengono registrate
- Registro di nuove connessioni e pacchetti danneggiati
- Contabilità del volume di traffico in tempo reale
Per l'installazione di Vuurmuur in Ubuntu 17 dobbiamo aggiungere la seguente riga nel file /etc/apt/sources.list:
deb ftp://ftp.vuurmuur.org/ubuntu/ lucid mainNel caso di utilizzo di Debian inseriremo quanto segue:
deb ftp://ftp.vuurmuur.org/debian/ squeeze mainSuccessivamente eseguiremo i seguenti comandi:
sudo apt-get update (Aggiorna pacchetti) sudo apt-get install libvuurmuur vuurmuur vuurmuur-conf (Installa firewall)Una volta installato, possiamo utilizzare questo firewall per creare le nostre regole.
INGRANDIRE
pfSense
pfSense è una distribuzione di software router / firewall di rete open source basata sul sistema operativo FreeBSD. Il software pfSense viene utilizzato per creare regole firewall/router dedicate per una rete e si distingue per la sua affidabilità e offre molteplici funzionalità che si trovano principalmente nei firewall commerciali.
Pfsense può essere fornito in bundle con molti pacchetti software gratuiti di terze parti per funzionalità aggiuntive.
Tra le sue caratteristiche troviamo
- Altamente configurabile e aggiornato dalla sua interfaccia basata sul web
- Può essere implementato come firewall perimetrale, router, DHCP e server DNS
- Può essere configurato come punto di accesso wireless ed endpoint VPN
- Offre modellazione del traffico e informazioni in tempo reale sul server
- Bilanciamento del carico in entrata e in uscita.
Lì possiamo scaricare l'opzione in base all'architettura con cui lavoriamo. Una volta scaricata l'immagine ISO, procediamo a masterizzarla su un CD o su un supporto USB e avviare da lì. Selezioniamo l'opzione 1 o 2 e dopo aver impostato le impostazioni inizierà il processo di installazione.
L'immagine ISO di pfSense è disponibile al seguente link:
IPFire
IPFire è stato progettato con vari parametri di modularità e un alto livello di flessibilità consentendo agli amministratori di implementarne facilmente molte varianti, come un firewall, un server proxy o un gateway VPN. Il design modulare di IPFire garantisce che funzioni esattamente in base alla configurazione. Utilizzando IPFire avremo una gestione semplice e potrà essere aggiornato tramite il gestore di pacchetti, rendendo la sua manutenzione molto più semplice.
Gli sviluppatori di IPFire si sono concentrati sulla sicurezza e lo hanno sviluppato come firewall SPI (Stateful Packet Inspection). Le principali caratteristiche di IPFire si basano su vari segmenti quali:
SicurezzaL'obiettivo principale di IPFire è la sicurezza, e quindi ha la capacità di segmentare le reti in base ai rispettivi livelli di sicurezza e facilita la creazione di policy personalizzate che gestiscono ogni segmento.
La sicurezza dei componenti modulari in IPFire è una delle tue priorità. Gli aggiornamenti sono firmati digitalmente e crittografati in modo che possano essere installati automaticamente da Pakfire (il sistema di gestione dei pacchetti IPFire). Poiché IPFire tende a connettersi direttamente a Internet, questo rappresenta un rischio per la sicurezza in quanto può essere un obiettivo primario per hacker e altre minacce. Il semplice gestore di pacchetti di Pakfire aiuta gli amministratori a fidarsi del fatto che stanno eseguendo gli ultimi aggiornamenti di sicurezza e correzioni di bug per tutti i componenti che utilizzano.
Con IPFire avremo un'applicazione che ci protegge dagli exploit zero-day eliminando intere classi di errori e sfruttando i vettori.
FirewallIPFire utilizza un firewall SPI (Stateful Packet Inspection), che si basa su netfilter (il framework di filtraggio dei pacchetti di Linux). Nel processo di installazione di IPFire, la rete viene configurata in diversi segmenti separati e ogni segmento rappresenta un gruppo di computer che condividono un livello di sicurezza comune:
I segmenti sono:
- Verde: il verde indica un'area "sicura". Qui è dove soggiornano tutti i clienti abituali. Generalmente è costituito da una rete locale cablata.
- Rosso: il rosso indica "pericolo" nella connessione Internet. Nulla dalla rete può passare attraverso il firewall a meno che noi amministratori non lo configuriamo in modo specifico.
- Blu: Il blu rappresenta la parte "wireless" della rete locale (il suo colore è stato scelto perché è il colore del cielo). Poiché la rete wireless può essere utilizzata dagli utenti, è identificata in modo univoco e regole specifiche governano i client su di essa. I client su questo segmento di rete devono essere esplicitamente autorizzati prima di poter accedere alla rete.
- Arancione: L'arancione è conosciuto come la "zona smilitarizzata" (DMZ). Tutti i server accessibili pubblicamente sono separati dal resto della rete qui per limitare le violazioni della sicurezza.
Lì possiamo scaricare l'immagine ISO di IPFire poiché viene gestita come una distribuzione indipendente e una volta configurato l'avvio. Dobbiamo selezionare l'opzione predefinita e seguiremo i passaggi della procedura guidata. Una volta installato possiamo accedere via web con la seguente sintassi:
http: // indirizzo_IP: 444
INGRANDIRE
IPFire può essere scaricato al seguente link:
SmoothWall e SmoothWall Express
SmoothWall è un firewall Linux open source con un'interfaccia web altamente configurabile. La sua interfaccia basata sul Web è nota come WAM (Web Access Manager) SmoothWall è offerto come una distribuzione Linux progettata per essere utilizzata come firewall open source e il suo design è focalizzato sulla facilitazione dell'utilizzo della configurazione, SmoothWall è configurato tramite una GUI basata su wdb e richiede poca o nessuna conoscenza di Linux per l'installazione e l'uso.
Tra le sue caratteristiche principali troviamo
- Supporta reti LAN, DMZ e wireless, oltre a External
- Filtraggio dei contenuti in tempo reale
- Filtraggio HTTPS
- Supporto proxy
- Visualizzazione dei registri e monitoraggio dell'attività del firewall
- Gestione delle statistiche di traffico per IP, interfaccia e query
- Facilità di backup e ripristino.
Una volta scaricata la ISO, partiamo da essa e vedremo quanto segue:
Lì selezioniamo l'opzione più appropriata e seguiremo i passaggi della procedura guidata di installazione. Come IPFire, SmoothWall ci consente di configurare i segmenti di rete per aumentare i livelli di sicurezza. Configurare le password degli utenti. In questo modo verrà installata questa applicazione e potremo accedervi tramite l'interfaccia web per la sua gestione:
INGRANDIRE
SmoothWall ci offre una versione gratuita chiamata SmoothWall Express che può essere scaricata al seguente link:
Firewall di sicurezza di ConfigServer (CSF)
È stato sviluppato come una piattaforma multipiattaforma e un firewall molto versatile che si basa sul concetto di firewall Stateful Packet Inspection (SPI). Supporta quasi tutti gli ambienti di virtualizzazione come Virtuozzo, OpenVZ, VMware, XEN, KVM e Virtualbox.
CSF può essere installato sui seguenti sistemi operativi
- RedHat Enterprise da v5 a v7
- CentOS v5 a v7
- CloudLinux da v5 a v7
- Fedora v20 a v26
- OpenSUSE v10, v11, v12
- Debian v3.1 - v9
- Ubuntu v6 a v15
- Slackware v12
Tra le sue tante caratteristiche troviamo
- Script diretto del firewall SPI di iptables
- Ha un processo Daemon che controlla gli errori di autenticazione del login per: Courier imap, Dovecot, uw-imap, Kerio, openSSH, cPanel, WHM, Webmail (solo server cPanel), Pure-ftpd, vsftpd, Proftpd, pagine web protette da password ( htpasswd), errori mod_security (v1 e v2) e Exim SMTP AUTH.
- Corrispondenza delle espressioni regolari
- Tracciamento degli accessi POP3 / IMAP per imporre accessi orari
- Notifica di accesso SSH
- Notifica di accesso SU
- Blocco eccessivo della connessione
- Integrazione dell'interfaccia utente per cPanel, DirectAdmin e Webmin
- Facile aggiornamento tra le versioni da cPanel / WHM, DirectAdmin o Webmin
- Facile aggiornamento tra le versioni della shell
- Preconfigurato per funzionare su un server cPanel con tutte le porte cPanel standard aperte
- Preconfigurato per funzionare su un server DirectAdmin con tutte le porte DirectAdmin standard aperte
- Configura automaticamente la porta SSH se non è standard nell'installazione
- Blocca il traffico sugli indirizzi IP del server inutilizzati: aiuta a ridurre i rischi per il server
- Avvisi quando gli script dell'utente finale inviano un numero eccessivo di e-mail all'ora per identificare gli script di spam
- Rapporti di processi sospetti - Rapporti di potenziali vulnerabilità in esecuzione sul server
- Segnalazione eccessiva dei processi degli utenti
- Blocca il traffico su una varietà di elenchi di blocchi tra cui DShield Block List e Spamhaus DROP List
- Protezione pacchetto BOGON
- Impostazioni preconfigurate per la sicurezza firewall bassa, media o alta (solo server cPanel)
- IDS (Intrusion Detection System) in cui l'ultima linea di rilevamento avvisa dei cambiamenti nel sistema e nei file binari dell'applicazione
- SYN Flood Protection e molti altri.
Opzione 1 InstallazioneScarica il file .tgz al seguente link:
Opzione 2 InstallazioneOppure, esegui le seguenti righe:
cd / usr / src / wget https://download.configserver.com/csf.tgz tar -xzf csf.tgz cd / usr / src / csf sh install.sh
ClearOS
ClearOS 7, Community Edition è un sistema operativo per server Linux open source progettato per esperti e appassionati di Linux che utilizzano l'open source e contribuiscono con suggerimenti e nuove idee a una comunità di utenti globale.
Tutti gli aggiornamenti, le correzioni di bug, le patch e le correzioni di sicurezza sono forniti gratuitamente da fonti upstream. Le funzioni abbracciano più di 75 funzioni IT dal controllo del dominio, controllo della rete e della larghezza di banda, messaggistica e molto altro.
Trattandosi di una distribuzione Linux, scaricheremo l'immagine ISO e configureremo l'avvio su un supporto USB o CD/DVD. Possiamo vedere che il suo ambiente di installazione è simile a Ubuntu. Seguiremo i passaggi della procedura guidata di installazione:
Configuriamo la password di root e continueremo con l'installazione. Una volta effettuato il login, vedremo la seguente finestra dove verranno fornite le istruzioni per l'accesso via web. Possiamo fare clic sull'opzione Exit to Text Console per accedere alla console ClearOS. Lì possiamo eseguire alcune delle azioni disponibili:
ClearOS offre diverse opzioni di prodotto, ma la versione gratuita è la Community Edition, disponibile al seguente link:
OPNsense
OPNsense è una piattaforma di routing e firewall basata su FreeBSD open source, facile da usare e facile da costruire. OPNsense include la maggior parte delle funzionalità disponibili in costosi firewall commerciali e include un ricco set di funzionalità da offerte commerciali con i vantaggi di fonti aperte e verificabili.
OPNsense è nato come fork di pfSense® e m0n0wall nel 2014, con la sua prima versione ufficiale nel gennaio 2015. OPNsense offre aggiornamenti di sicurezza settimanali in piccoli incrementi per stare un passo avanti rispetto alle nuove minacce emergenti di oggi. Un ciclo di rilascio fisso di 2 rilasci principali ogni anno offre alle aziende l'opportunità di pianificare miglioramenti a livello di sicurezza.
Alcune delle sue caratteristiche principali sono:
- Modellatore del traffico
- Autenticazione a due fattori a livello di sistema
- Portale prigioniero
- Forward Caching Proxy (trasparente) con supporto per blacklist
- Rete privata virtuale con supporto IPsec, OpenVPN e legacy PPTP
- Elevata disponibilità e failover hardware (con configurazione sincronizzata e tabelle di stato sincronizzate)
- Rilevamento e prevenzione delle intrusioni
- Strumenti integrati di reporting e monitoraggio, inclusi grafici DRR
- Esportatore Netflow
- Monitoraggio del flusso di rete
- Supporto plugin
- Server DNS e router DNS
- Server DHCP e relè
- DNS dinamico
- Backup della configurazione crittografato su Google Drive
- Firewall per ispezione sanitaria
- Controllo granulare sulla tabella di stato
- Supporto VLAN 802.1Q
Una volta scaricata l'immagine ISO, procediamo con l'installazione. Durante il processo di installazione sarà necessario configurare i parametri di rete, VLAN, ecc:
Una volta terminato questo processo potremo accedere via web ed effettuare le opportune regolazioni a livello di firewall.
INGRANDIRE
Il suo download è disponibile al seguente link:
Con queste opzioni firewall possiamo mantenere i migliori livelli di sicurezza nelle nostre distribuzioni Linux.