Labākais ugunsmūris Linux sistēmām

Viens no efektīvākajiem drošības pasākumiem, ko varam īstenot jebkurā organizācijā, tostarp personīgā līmenī, ir ugunsmūra izmantošana, kas pilda tīkla pakešu ievadīšanas un iziešanas no vietējā tīkla uzraudzības un kontroles funkciju.

Ugunsmūris ļauj iespējot vai atspējot datplūsmu caur noteiktām ostām, pievienot jaunus satiksmes noteikumus un tādējādi daudz precīzāk un tiešāk kontrolēt visu tīkla problēmu, kas ir viena no delikātākajām drošības līmenī.

Šodien Solvetic analizēs dažus no labākajiem Linux ugunsmūriem un tādējādi piedāvās praktisku drošības alternatīvu.

Iptables

Iptables ir komandrindas rīks, ko bieži izmanto, lai konfigurētu un pārvaldītu pakešu filtrēšanas noteikumu kopu Linux 2.4.x un jaunākās vidēs. Tas ir viens no mūsdienās visbiežāk izmantotajiem ugunsmūra rīkiem, un tam ir iespēja filtrēt paketes tīkla kaudzē pašā kodolā.

Iptables pakotnē ietilpst arī ip6tables, ar ip6tables mēs varam konfigurēt IPv6 pakešu filtru.

Dažas no tās galvenajām iezīmēm ir

• Tiek uzskaitīts pakešu filtra noteikumu kopas saturs

• Tas pārbauda tikai pakešu galvenes, kas padara procesu daudz elastīgāku

• Ļauj pievienot, noņemt vai modificēt kārtulas, ja nepieciešams pakešu filtru noteikumu kopās

• Atbalsta dublēšanu un atjaunošanu ar failiem.

Iptables operētājsistēmā Linux apstrādā šādus failus:

Tas ir init skripts, lai sāktu, apturētu, restartētu un saglabātu noteikumus

 /etc/init.d/iptables

Šajā failā tiek saglabātas noteikumu kopas

 / etc / sysconfig / iptables

Attiecas uz Iptables binārajiem failiem

 / sbin / iptables

IPCop ugunsmūris

IPCop ugunsmūris ir Linux ugunsmūra izplatīšana, kas paredzēta mājas un SOHO (maza biroja) lietotājiem. IPCop tīmekļa saskarne ir ļoti lietotājam draudzīga un viegli lietojama. Jūs varat konfigurēt datoru kā drošu VPN, lai nodrošinātu drošu vidi internetā. Tā ietver bieži lietotu informāciju, lai lietotājiem nodrošinātu labāku tīmekļa pārlūkošanas pieredzi.

Starp tās galvenajām iezīmēm mums ir

• Tam ir krāsu kodēts tīmekļa interfeiss, kas ļauj mums kontrolēt CPU, atmiņas un diska veiktspējas grafiku, kā arī tīkla veiktspēju.

• Automātiski skatīt un pagriezt ierakstus

• Vairāku valodu atbalsts

• Nodrošina stabilu un viegli izvietojamu drošu atjauninājumu un pievieno pašreizējos drošības līmeņa ielāpus

Tur mēs varam lejupielādēt ISO attēlu vai instalācijas veidu kā USB datu nesēju. Tas atšķiras no daudzām ugunsmūra lietojumprogrammām, jo ​​to var instalēt kā Linux izplatīšanu. Šajā gadījumā mēs izvēlamies ISO attēlu un mums ir jāizpilda instalēšanas vedņa darbības. Kad būsim piešķīruši visus parametrus, mums būs piekļuve IPCop:

Tās lejupielāde ir pieejama šajā saitē:

Shorewall

Shorewall ir vārtejas vai ugunsmūra konfigurācijas rīks GNU / Linux. Izmantojot Shorewall, mums ir augsta līmeņa rīks tīkla filtru konfigurēšanai, jo tas ļauj mums definēt ugunsmūra prasības, izmantojot ierakstus noteiktu konfigurācijas failu komplektā.

Shorewall var nolasīt konfigurācijas failus un ar utilītu iptables, iptables-restore, ip un tc palīdzību Shorewall var konfigurēt Netfilter un Linux tīkla apakšsistēmu atbilstoši prasībām. Shorewall var izmantot speciālā ugunsmūra sistēmā, maršrutētājā, daudzfunkcionālā serverī vai atsevišķā GNU / Linux sistēmā.

Shorewall neizmanto Netfilter ipchains saderības režīmu un var izmantot Netfilter savienojuma statusa izsekošanas iespējas.

Tās galvenās iezīmes ir

• Izmantojiet Netfilter savienojumu izsekošanas iespējas statisku pakešu filtrēšanai

• Atbalsta plašu maršrutētāju, ugunsmūra un vārtejas lietojumprogrammu klāstu

• Centralizēta ugunsmūra pārvaldība

• GUI saskarne ar Webmin vadības paneli

• Vairāku ISP atbalsts

• Atbalsta maskēšanu un ostu pārsūtīšanu

• Atbalsta VPN

Lai to instalētu, mēs veiksim šādas darbības:

 sudo apt-get install shorewall

UFW - nesarežģīts ugunsmūris

Pašlaik UFW ir pozicionēts kā viens no visnoderīgākajiem, dinamiskākajiem un vienkāršāk lietojamiem ugunsmūriem Linux vidē. UFW apzīmē vienkāršu ugunsmūri, un tā ir programma, kas izstrādāta tīkla filtra ugunsmūra pārvaldīšanai. Tas nodrošina komandrindas saskarni, un tam ir jābūt vienkāršam un viegli lietojamam, līdz ar to arī tā nosaukums. ufw nodrošina vienkāršu sistēmu tīkla filtra pārvaldībai, kā arī komandrindas interfeisu, lai kontrolētu ugunsmūri no termināļa.

Starp tās īpašībām mēs atrodam

• Savietojams ar IPV6

• Paplašinātas reģistrēšanas iespējas ar pieteikšanos un izrakstīšanos

• Ugunsmūra veselības uzraudzība

• Izvelkams rāmis

• Var integrēt ar lietojumprogrammām

• Tas ļauj pievienot, dzēst vai mainīt noteikumus atbilstoši vajadzībām.

Tās izmantošanas komandas ir šādas:

 sudo apt-get install ufw (instalēt UFW) sudo ufw statuss (pārbaudīt UFW statusu) sudo ufw iespējot (iespējot UFW) sudo ufw atļaut 2290: 2300 / tcp (Pievienot jaunu noteikumu)

Vuurmuur

Vuurmuur ir ugunsmūra pārvaldnieks, kas veidots virs iptables Linux vidē. Tam ir vienkārša un viegli lietojama konfigurācija, kas ļauj veikt vienkāršas un sarežģītas konfigurācijas. Konfigurāciju var pilnībā konfigurēt, izmantojot Ncurses GUI, kas nodrošina drošu attālinātu administrēšanu, izmantojot SSH vai konsolē.

Vuurmuur atbalsta datplūsmas veidošanu, tam ir jaudīgas uzraudzības funkcijas, kas administratoram ļauj reāllaikā apskatīt žurnālus, savienojumus un joslas platuma izmantošanu. Vuurmuur ir atvērtā pirmkoda programmatūra un tiek izplatīta saskaņā ar GNU GPL noteikumiem

Starp tās īpašībām mēs atrodam

• Nav nepieciešamas plašas zināšanas par iptables

• Ir cilvēkam lasāma noteikumu sintakse

• Atbalsta IPv6 (eksperimentāls)

• Ietver satiksmes veidošanu

• Ncurses GUI, X nav nepieciešams

• Pārsūtīšanas process ir padarīts ļoti vienkāršs

• Viegli konfigurēt, izmantojot NAT

• Ietver drošu noklusējuma politiku

• Pilnībā pārvaldāms, izmantojot ssh un no konsoles (ieskaitot Windows, izmantojot PuTTY)

• Skriptējams integrācijai ar citiem rīkiem

• Ietver anti-spoofing funkcijas

• Vizualizācija reāllaikā

• Savienojuma skatīšana reālā laikā

• Tam ir revīzijas taka: visas izmaiņas tiek reģistrētas

• Jaunu savienojumu un slikto pakešu žurnāls

• Reāllaika satiksmes apjoma uzskaite

Lai instalētu Vuurmuur Ubuntu 17, failā /etc/apt/sources.list jāpievieno šāda rinda:

 deb ftp://ftp.vuurmuur.org/ubuntu/ lucid main

Ja izmantojat Debian, mēs ievadīsim šādu informāciju:

 deb ftp://ftp.vuurmuur.org/debian/ squeeze main

Vēlāk mēs izpildīsim šādas komandas:

 sudo apt-get update (Atjaunināt paketes) sudo apt-get install libvuurmuur vuurmuur vuurmuur-conf (Instalēt ugunsmūri)

Pēc instalēšanas mēs varam izmantot šo ugunsmūri, lai izveidotu mūsu noteikumus.

PALIELINĀT

pfSense

pfSense ir atvērtā pirmkoda tīkla maršrutētāja / ugunsmūra programmatūras izplatīšana, kuras pamatā ir FreeBSD operētājsistēma. Programmatūra pfSense tiek izmantota, lai tīklam izveidotu īpašus ugunsmūra / maršrutētāja noteikumus, un tā izceļas ar uzticamību un piedāvā vairākas funkcijas, kas galvenokārt atrodamas komerciālos ugunsmūros.

Pfsense var tikt komplektēts ar daudzām trešo pušu bezmaksas programmatūras pakotnēm, lai iegūtu papildu funkcionalitāti.

Starp tās īpašībām mēs atrodam

• Ļoti konfigurējams un atjaunināts no tīmekļa saskarnes

• Var izvietot kā perimetra ugunsmūri, maršrutētāju, DHCP un DNS serveri

• Var konfigurēt kā bezvadu piekļuves punktu un VPN galapunktu

• Piedāvā datplūsmas formēšanu un reāllaika informāciju par serveri

• Ienākošās un izejošās slodzes līdzsvarošana.

Tur mēs varam lejupielādēt opciju atbilstoši arhitektūrai, ar kuru mēs strādājam. Kad ISO attēls ir lejupielādēts, mēs turpinām to ierakstīt kompaktdiskā vai USB datu nesējā un sākt no turienes. Mēs izvēlamies 1. vai 2. opciju un pēc iestatījumu iestatīšanas sāksies instalēšanas process.

PfSense ISO attēls ir pieejams šajā saitē:

IPFire

IPFire ir izstrādāts ar dažādiem modularitātes parametriem un augstu elastības līmeni, ļaujot administratoriem viegli ieviest daudzas tā variācijas, piemēram, ugunsmūri, starpniekserveri vai VPN vārteju. IPFire modulārais dizains nodrošina, ka tā darbojas tieši atbilstoši jūsu konfigurācijai. Izmantojot IPFire, mums būs vienkārša pārvaldība, un to var atjaunināt, izmantojot pakotņu pārvaldnieku, padarot tās uzturēšanu daudz vienkāršāku.

IPFire izstrādātāji koncentrējās uz drošību un izstrādāja to kā SPI (Stateful Packet Inspection) ugunsmūri. IPFire galvenās īpašības ir balstītas uz dažādiem segmentiem, piemēram:

DrošībaIPFire galvenais mērķis ir drošība, un tāpēc tai ir iespēja segmentēt tīklus, pamatojoties uz to attiecīgajiem drošības līmeņiem, un tas palīdz izveidot pielāgotas politikas, kas pārvalda katru segmentu.

IPFire modulāro komponentu drošība ir viena no jūsu prioritātēm. Atjauninājumi ir digitāli parakstīti un šifrēti, lai tos varētu automātiski instalēt Pakfire (IPFire pakešu pārvaldības sistēma). Tā kā IPFire mēdz izveidot tiešu savienojumu ar internetu, tas ir drošības risks, jo tas var būt galvenais hakeru un citu draudu mērķis. Pakfire vienkāršais pakotņu pārvaldnieks palīdz administratoriem uzticēties, ka viņi izmanto jaunākos drošības atjauninājumus un kļūdu labojumus visām izmantotajām sastāvdaļām.

Izmantojot IPFire, mums būs lietojumprogramma, kas pasargā mūs no nulles dienas izmantošanas, novēršot visas kļūdu klases un izmantojot vektorus.

UgunsmūrisIPFire izmanto SPI (Stateful Packet Inspection) ugunsmūri, kas ir veidots virs netfilter (Linux pakešu filtrēšanas ietvars). IPFire instalēšanas procesā tīkls ir konfigurēts dažādos atsevišķos segmentos, un katrs segments apzīmē datoru grupu, kam ir kopīgs drošības līmenis:

Segmenti ir:

• Zaļš: zaļš norāda uz "drošu" zonu. Šeit uzturas visi pastāvīgie klienti. To parasti veido vadu lokālais tīkls.

• Sarkans: sarkans norāda uz "briesmām" interneta savienojumā. Nekam no tīkla nav atļauts iet caur ugunsmūri, ja vien mēs kā administratori to īpaši neesam konfigurējuši.

• Zils: zils attēlo vietējā tīkla "bezvadu" daļu (tā krāsa tika izvēlēta, jo tā ir debesu krāsa). Tā kā bezvadu tīklu var izmantot lietotāji, tas ir unikāli identificēts, un klienti par to nosaka īpašus noteikumus. Klientiem šajā tīkla segmentā jābūt nepārprotami pilnvarotiem, pirms tie var piekļūt tīklam.

• Oranžs: Oranžs ir pazīstams kā "demilitarizētā zona" (DMZ). Visi serveri, kas ir publiski pieejami, šeit ir atdalīti no pārējā tīkla, lai ierobežotu drošības pārkāpumus.

Tur mēs varam lejupielādēt IPFire ISO attēlu, jo tas tiek apstrādāts kā neatkarīga izplatīšana un pēc sāknēšanas konfigurēšanas. Mums jāizvēlas noklusējuma opcija, un mēs izpildīsim vedņa darbības. Pēc instalēšanas mēs varam piekļūt, izmantojot tīmekli, izmantojot šādu sintaksi:

 http: // IP_adrese: 444

PALIELINĀT

IPFire var lejupielādēt, izmantojot šo saiti:

SmoothWall un SmoothWall Express

SmoothWall ir atvērtā koda Linux ugunsmūris ar ļoti konfigurējamu tīmekļa saskarni. Tā tīmekļa saskarne ir pazīstama kā WAM (Web Access Manager). SmoothWall tiek piedāvāts kā Linux izplatīšana, kas paredzēta izmantošanai kā atvērtā pirmkoda ugunsmūris, un tā dizains ir vērsts uz konfigurācijas izmantošanas atvieglošanu, SmoothWall ir konfigurēts, izmantojot GUI, pamatojoties uz wdb , un instalēšanai un lietošanai nav vajadzīgas nekādas Linux zināšanas.

Starp tās galvenajām iezīmēm mēs atrodam

• Atbalsta LAN, DMZ un bezvadu tīklus papildus ārējiem

• Reālā laika satura filtrēšana

• HTTPS filtrēšana

• Atbalsta starpniekserveri

• Žurnālu apskate un ugunsmūra darbību uzraudzība

• Datplūsmas statistikas pārvaldība pēc IP, saskarnes un vaicājuma

• Vienkārša dublēšana un atjaunošana.

Kad ISO ir lejupielādēts, mēs sākam no tā, un mēs redzēsim sekojošo:

Tur mēs izvēlamies vispiemērotāko opciju un izpildīsim instalēšanas vedņa darbības. Tāpat kā IPFire, arī SmoothWall ļauj mums konfigurēt tīkla segmentus, lai paaugstinātu drošības līmeni. Mēs konfigurēsim lietotāju paroles. Tādā veidā šī lietojumprogramma tiks instalēta, un mēs varēsim tai piekļūt, izmantojot tīmekļa saskarni tās pārvaldībai:

PALIELINĀT

SmoothWall piedāvā mums bezmaksas versiju ar nosaukumu SmoothWall Express, kuru var lejupielādēt, izmantojot šo saiti:

ConfigServer drošības ugunsmūris (CSF)

Tā ir izstrādāta kā ļoti daudzpusīga starpplatforma un ugunsmūris, kuras pamatā ir Stateful Packet Inspection (SPI) ugunsmūra koncepcija. Tas atbalsta gandrīz visas virtualizācijas vides, piemēram, Virtuozzo, OpenVZ, VMware, XEN, KVM un Virtualbox.

CSF var instalēt šādās operētājsistēmās

• RedHat Enterprise v5 līdz v7

• CentOS v5 līdz v7

• CloudLinux v5 līdz v7

• Fedora no 20. līdz 26. versijai

• OpenSUSE v10, v11, v12

• Debian v3.1 - v9

• No Ubuntu v6 līdz v15

• Slackware v12

Starp daudzajām tā īpašībām mēs atrodam

• Tiešais iptables SPI ugunsmūra skripts

• Tam ir dēmonu process, kas pārbauda pieteikšanās autentifikācijas kļūdas: Courier imap, Dovecot, uw-imap, Kerio, openSSH, cPanel, WHM, Webmail (tikai cPanel serveri), Pure-ftpd, vsftpd, Proftpd, Pages ar paroli aizsargāts tīmeklis ( htpasswd), mod_security kļūmes (v1 un v2) un Exim SMTP AUTH.

• Regulārās izteiksmes atbilstība

• POP3 / IMAP pieteikšanās izsekošana, lai nodrošinātu stundu pieteikšanos

• SSH pieteikšanās paziņojums

• SU pieteikšanās paziņojums

• Pārmērīga savienojuma bloķēšana

• Lietotāja saskarnes integrācija cPanel, DirectAdmin un Webmin

• Vienkārša jaunināšana starp cPanel / WHM, DirectAdmin vai Webmin versijām

• Vienkārša jaunināšana starp čaulas versijām

• Iepriekš konfigurēts darbam cPanel serverī ar visiem standarta cPanel portiem

• Iepriekš konfigurēts darbam ar DirectAdmin serveri, kurā ir atvērti visi standarta DirectAdmin porti

• Automātiski konfigurējiet SSH portu, ja tas nav standarta instalācijā

• Bloķē trafiku neizmantotajās servera IP adresēs - palīdz samazināt risku serverim

• Brīdina, kad galalietotāja skripti stundā sūta pārāk daudz e-pasta ziņojumu, lai identificētu surogātpasta skriptus

• Ziņojumi par aizdomīgiem procesiem - ziņojumi par iespējamām ievainojamībām, kas darbojas serverī

• Pārmērīga ziņošana par lietotāju procesiem

• Bloķējiet trafiku dažādos bloķēšanas sarakstos, ieskaitot DShield bloķēšanas sarakstu un Spamhaus DROP sarakstu

• BOGON iepakojuma aizsardzība

• Iepriekš konfigurēti zemas, vidējas vai augstas ugunsmūra drošības iestatījumi (tikai cPanel serveri)

• IDS (ielaušanās noteikšanas sistēma), kur pēdējā noteikšanas līnija brīdina par izmaiņām sistēmā un lietojumprogrammu binārajos failos

• SYN aizsardzība pret plūdiem un daudz kas cits.

1. variants UzstādīšanaLejupielādējiet .tgz failu, izmantojot šo saiti:

2. variants UzstādīšanaVai arī palaidiet šādas rindas:

 cd / usr / src / wget https://download.configserver.com/csf.tgz tar -xzf csf.tgz cd / usr / src / csf sh install.sh

ClearOS

ClearOS 7, Community Edition ir atvērtā pirmkoda Linux serveru operētājsistēma, kas paredzēta Linux ekspertiem un hobijiem, kuri izmanto atvērtā pirmkoda saturu un sniedz ieteikumus un jaunas idejas globālai lietotāju kopienai.

Visi atjauninājumi, kļūdu labojumi, ielāpi un drošības labojumi tiek nodrošināti bez avotiem. Funkcijas aptver vairāk nekā 75 IT funkcijas, sākot no domēna vadības, tīkla un joslas platuma kontroles, ziņojumapmaiņas un daudz ko citu.

Tā kā tas ir Linux izplatījums, mēs lejupielādēsim ISO attēlu un konfigurēsim sāknēšanu USB vai CD / DVD datu nesējā. Mēs redzam, ka tā instalācijas vide ir līdzīga Ubuntu. Mēs izpildīsim instalēšanas vedņa darbības:

Mēs konfigurējam saknes paroli un turpināsim instalēšanu. Kad būsim pieteikušies, mēs redzēsim šādu logu, kurā tiks sniegti norādījumi par piekļuvi, izmantojot tīmekli. Mēs varam noklikšķināt uz opcijas Iziet uz teksta konsoli, lai piekļūtu ClearOS konsolei. Tur mēs varam veikt dažas no pieejamajām darbībām:

ClearOS piedāvā vairākas produktu iespējas, taču bezmaksas versija ir Kopienas izdevums, kas pieejams šajā saitē:

OPNsense

OPNsense ir atvērtā pirmkoda, viegli lietojama un viegli veidojama uz FreeBSD balstīta ugunsmūra un maršrutēšanas platforma. OPNsense ietver lielāko daļu funkciju, kas ir pieejamas dārgos komerciālos ugunsmūros, un ietver bagātīgu funkciju komplektu no komerciāliem piedāvājumiem ar atvērtu un pārbaudāmu avotu priekšrocībām.

OPNsense sāka darboties kā 2014. gada pfSense® un m0n0wall dakša, un tā pirmā oficiālā izlaišana notika 2015. gada janvārī. Fiksēts izlaišanas cikls, kurā katru gadu ir 2 galvenie laidieni, uzņēmumiem piedāvā iespēju plānot drošības līmeņa uzlabojumus.

Dažas tās galvenās iezīmes ir šādas:

• Satiksmes veidotājs

• Sistēmas mēroga divu faktoru autentifikācija

• Notveršanas portāls

• Pārsūtīt kešatmiņas starpniekserveri (caurspīdīgs) ar melnā saraksta atbalstu

• Virtuālais privātais tīkls ar IPsec, OpenVPN un mantoto PPTP atbalstu

• Augsta pieejamība un aparatūras kļūmjpārlēce (ar sinhronizētu konfigurāciju un sinhronizētām statusa tabulām)

• Ielaušanās atklāšana un novēršana

• Integrēti ziņošanas un uzraudzības rīki, ieskaitot DRR diagrammas

• Netflow eksportētājs

• Tīkla plūsmas uzraudzība

• Spraudņa atbalsts

• DNS serveris un DNS maršrutētājs

• DHCP serveris un relejs

• Dinamiskais DNS

• Šifrēta konfigurācijas dublēšana Google diskā

• Veselības pārbaudes ugunsmūris

• Detalizēta stāvokļa tabulas kontrole

• 802.1Q VLAN atbalsts

Kad ISO attēls ir lejupielādēts, mēs turpinām instalēšanu. Instalēšanas laikā būs jākonfigurē tīkla parametri, VLAN utt.

Kad šis process būs pabeigts, mēs varēsim piekļūt, izmantojot tīmekli, un veikt atbilstošos pielāgojumus ugunsmūra līmenī.

PALIELINĀT

Tās lejupielāde ir pieejama šajā saitē:

Izmantojot šīs ugunsmūra iespējas, mēs varam saglabāt vislabāko drošības līmeni mūsu Linux izplatījumos.