Geriausia „Linux“ sistemų užkarda

Viena iš efektyviausių saugumo priemonių, kurią galime įgyvendinti bet kurioje organizacijoje, įskaitant asmeninį lygmenį, yra ugniasienės, kuri atlieka tinklo paketų patekimo į vietinį tinklą ir išėjimo iš jo funkciją, stebėjimo ir kontrolės funkcija.

Ugniasienė leidžia įjungti arba išjungti srautą per tam tikrus uostus, pridėti naujų eismo taisyklių ir taip daug tiksliau ir tiesiogiai valdyti visą tinklo problemą, kuri yra viena iš subtiliausių saugumo lygiu.

Šiandien „Solvetic“ išanalizuos kai kurias geriausias „Linux“ užkardas ir turės praktinę alternatyvą saugumui įgyvendinti.

„Iptables“

„Iptables“ yra komandų eilutės įrankis, dažnai naudojamas konfigūruoti ir valdyti paketų filtravimo taisyklių rinkinį „Linux 2.4.x“ ir naujesnėse aplinkose. Tai vienas iš labiausiai naudojamų užkardos įrankių šiandien ir turi galimybę filtruoti paketus tinklo kaminoje pačiame branduolyje.

Į „iptables“ paketą taip pat įeina „ip6tables“, su „ip6tables“ galime sukonfigūruoti IPv6 paketų filtrą.

Kai kurios pagrindinės jo savybės yra

• Išvardijamas paketų filtrų taisyklių rinkinio turinys

• Jis tikrina tik paketų antraštes, todėl procesas tampa daug judresnis

• Leidžia prireikus pridėti, pašalinti arba keisti taisykles paketų filtrų taisyklių rinkiniuose

• Palaiko atsarginių kopijų kūrimą ir atkūrimą failais.

„Iptables“ sistemoje „Linux“ tvarko šiuos failus:

Tai yra inicijavimo scenarijus, skirtas paleisti, sustabdyti, paleisti iš naujo ir išsaugoti taisykles

 /etc/init.d/iptables

Šiame faile išsaugomi taisyklių rinkiniai

 / etc / sysconfig / iptables

Taikoma „Iptables“ dvejetainiams failams

 / sbin / iptables

„IPCop“ užkarda

„IPCop Firewall“ yra „Linux“ užkardos platinimas, skirtas namų ir SOHO (mažo biuro) vartotojams. IPCop žiniatinklio sąsaja yra labai patogi ir paprasta naudoti. Galite sukonfigūruoti kompiuterį kaip saugų VPN, kad užtikrintumėte saugią aplinką internete. Jame yra dažnai naudojama informacija, skirta vartotojams geriau naršyti internete.

Tarp pagrindinių jo savybių mes turime

• Jis turi spalvomis koduotą žiniatinklio sąsają, leidžiančią stebėti procesoriaus, atminties ir disko našumo grafiką bei tinklo našumą.

• Automatiškai peržiūrėti ir pasukti įrašus

• Kelių kalbų palaikymas

• Teikia stabilų ir lengvai diegiamą saugų naujinį ir prideda dabartinius saugumo lygio pataisas

Ten galime atsisiųsti ISO atvaizdą arba diegimo tipą kaip USB laikmeną. Tai skiriasi nuo daugelio užkardos programų, nes ją galima įdiegti kaip „Linux“ platinimą. Tokiu atveju pasirenkame ISO atvaizdą ir turime atlikti diegimo vedlio veiksmus. Kai priskirsime visus parametrus, turėsime prieigą prie IPCop:

Jos atsisiuntimą galima rasti šioje nuorodoje:

Shorewall

„Shorewall“ yra „GNU / Linux“ vartų arba užkardos konfigūravimo įrankis. Naudodami „Shorewall“ turime aukšto lygio įrankį tinklo filtrams sukonfigūruoti, nes tai leidžia apibrėžti ugniasienės reikalavimus per įrašus apibrėžtų konfigūracijos failų rinkinyje.

„Shorewall“ gali skaityti konfigūracijos failus ir naudodamas „iptables“, „iptables-restore“, „ip“ ir „tc“ įrankius, „Shorewall“ gali sukonfigūruoti „Netfilter“ ir „Linux“ tinklo posistemį, kad jie atitiktų nurodytus reikalavimus. „Shorewall“ galima naudoti specialioje užkardos sistemoje, maršrutizatoriuje, daugiafunkciniame serveryje arba atskiroje GNU / Linux sistemoje.

„Shorewall“ nenaudoja „Netfilter“ „ipchains“ suderinamumo režimo ir gali pasinaudoti „Netfilter“ ryšio būsenos stebėjimo galimybėmis.

Pagrindinės jo savybės yra

• Naudokite „Netfilter“ ryšio stebėjimo priemones būsenų paketų filtravimui

• Palaiko platų maršrutizatorių, užkardos ir šliuzo programų spektrą

• Centralizuotas užkardos valdymas

• GUI sąsaja su „Webmin“ valdymo skydeliu

• Kelių IPT palaikymas

• Palaiko maskavimą ir uosto persiuntimą

• Palaiko VPN

Norėdami jį įdiegti, atliksime šiuos veiksmus:

 sudo apt-get install shorewall

UFW - nesudėtinga užkarda

Šiuo metu UFW yra viena iš naudingiausių, dinamiškiausių ir paprasčiausiai naudojamų ugniasienių „Linux“ aplinkoje. UFW reiškia nesudėtingą užkardą ir yra programa, sukurta valdyti tinklo filtro užkardą. Ji suteikia komandų eilutės sąsają ir yra paprasta ir lengvai naudojama, taigi ir jos pavadinimas. „ufw“ siūlo paprastą tinklo filtro valdymo sistemą, taip pat komandų eilutės sąsają, kad galėtume valdyti ugniasienę iš terminalo.

Tarp jo savybių randame

• Suderinamas su IPV6

• Išplėstinės prisijungimo galimybės prisijungiant ir atsijungiant

• Ugniasienės sveikatos stebėjimas

• Ištraukiamas rėmas

• Galima integruoti į programas

• Tai leidžia pridėti, ištrinti ar keisti taisykles pagal poreikius.

Jo naudojimo komandos yra šios:

 sudo apt-get install ufw (Įdiegti UFW) sudo ufw būsena (Patikrinkite UFW būseną) sudo ufw įgalinti (Įgalinti UFW)

Vuurmuur

„Vuurmuur“ yra užkardos tvarkyklė, sukurta ant „iptables“ Linux aplinkoje. Jis turi paprastą ir lengvai naudojamą konfigūraciją, leidžiančią paprastas ir sudėtingas konfigūracijas. Konfigūraciją galima visiškai sukonfigūruoti naudojant „Ncurses“ GUI, kuri leidžia saugiai valdyti nuotoliniu būdu per SSH arba konsolėje.

„Vuurmuur“ palaiko srauto formavimą, turi galingas stebėjimo funkcijas, leidžiančias administratoriui realiu laiku peržiūrėti žurnalus, ryšius ir pralaidumo naudojimą. „Vuurmuur“ yra atviro kodo programinė įranga ir platinama pagal GNU GPL sąlygas

Tarp jo savybių randame

• Nereikalauja išsamių žinių apie „iptables“

• Turi žmogaus skaitomą taisyklių sintaksę

• Palaiko IPv6 (eksperimentinis)

• Apima eismo formavimą

• Ncurses GUI, X nereikia

• Perkėlimo procesas yra labai paprastas

• Lengva konfigūruoti naudojant NAT

• Apima saugią numatytąją politiką

• Visiškai valdomas per ssh ir konsolę (įskaitant „Windows“ naudojant „PuTTY“)

• Skirta integruoti su kitais įrankiais

• Apima apsaugos nuo sukčiavimo funkcijas

• Vizualizacija realiuoju laiku

• Ryšio peržiūra realiuoju laiku

• Ji turi audito seką: visi pakeitimai registruojami

• Naujų ryšių ir blogų paketų žurnalas

• Srauto srauto apskaita realiu laiku

Norėdami įdiegti „Vuurmuur“ į „Ubuntu 17“, /etc/apt/sources.list faile turime pridėti šią eilutę:

 deb ftp://ftp.vuurmuur.org/ubuntu/ lucid main

Jei naudosime „Debian“, įvesime šiuos duomenis:

 deb ftp://ftp.vuurmuur.org/debian/ squeeze main

Vėliau vykdysime šias komandas:

 sudo apt-get update (Atnaujinti paketus) sudo apt-get install libvuurmuur vuurmuur vuurmuur-conf (Įdiegti užkardą)

Įdiegę galime naudoti šią užkardą savo taisyklėms kurti.

DIDELIS

pfSense

„pfSense“ yra atviro kodo tinklo maršrutizatoriaus / ugniasienės programinės įrangos platinimas, pagrįstas „FreeBSD“ operacine sistema. „PfSense“ programinė įranga naudojama kuriant tinklui skirtas užkardos / maršrutizatoriaus taisykles, išsiskiria patikimumu ir siūlo daugybę funkcijų, dažniausiai randamų komercinėse užkardose.

„Pfsense“ gali būti komplektuojamas su daugeliu trečiųjų šalių nemokamų programinės įrangos paketų, kad būtų galima papildomai naudotis.

Tarp jo savybių randame

• Labai konfigūruojamas ir atnaujinamas iš žiniatinklio sąsajos

• Galima diegti kaip perimetro užkardą, maršrutizatorių, DHCP ir DNS serverį

• Galima sukonfigūruoti kaip belaidį prieigos tašką ir VPN galinį tašką

• Siūlo srauto formavimą ir realaus laiko informaciją apie serverį

• Įeinančių ir išeinančių apkrovų balansavimas.

Ten galime atsisiųsti parinktį pagal architektūrą, su kuria dirbame. Atsisiuntę ISO atvaizdą, įrašome jį į kompaktinį diską arba USB laikmeną ir paleidžiame iš ten. Mes pasirenkame 1 arba 2 parinktį ir, nustačius nustatymus, prasidės diegimo procesas.

ISO pfSense atvaizdą galite rasti šioje nuorodoje:

IPFire

„IPFire“ buvo sukurtas naudojant įvairius moduliarumo parametrus ir didelį lankstumą, leidžiantį administratoriams lengvai įdiegti daugybę jo variantų, pvz., Ugniasienę, tarpinį serverį ar VPN šliuzą. Modulinė IPFire konstrukcija užtikrina, kad ji veikia tiksliai pagal jūsų konfigūraciją. Naudodami IPFire turėsime paprastą valdymą ir jį bus galima atnaujinti per paketų tvarkyklę, todėl jo priežiūra bus daug paprastesnė.

„IPFire“ kūrėjai sutelkė dėmesį į saugumą ir sukūrė ją kaip SPI (Stateful Packet Inspection) užkardą. Pagrindinės „IPFire“ charakteristikos yra pagrįstos įvairiais segmentais, tokiais kaip:

SaugumasPagrindinis „IPFire“ tikslas yra saugumas, todėl jis turi galimybę segmentuoti tinklus pagal jų atitinkamus saugumo lygius ir palengvina kiekvieno pasirinkimo strategijos kūrimą.

„IPFire“ modulinių komponentų saugumas yra vienas iš jūsų prioritetų. Atnaujinimai yra pasirašyti skaitmeniniu būdu ir užšifruoti, kad juos galėtų automatiškai įdiegti „Pakfire“ (IPFire paketų valdymo sistema). Kadangi „IPFire“ linkęs tiesiogiai prisijungti prie interneto, tai kelia pavojų saugumui, nes tai gali būti pagrindinis įsilaužėlių ir kitų grėsmių taikinys. Paprasta „Pakfire“ paketų tvarkyklė padeda administratoriams patikėti, kad jie naudoja naujausius visų naudojamų komponentų saugos naujinimus ir klaidų pataisymus.

Naudodami „IPFire“ turėsime programą, kuri apsaugo mus nuo nulinės dienos išnaudojimo, pašalindama visas klaidų klases ir išnaudodama vektorius.

Ugniasienė„IPFire“ naudoja SPI (Stateful Packet Inspection) užkardą, kuri yra sukurta ant netfilter („Linux“ paketų filtravimo sistema). „IPFire“ diegimo metu tinklas yra sukonfigūruotas į skirtingus atskirus segmentus ir kiekvienas segmentas reiškia kompiuterių grupę, turinčią bendrą saugumo lygį:

Segmentai yra šie:

• Žalia: žalia spalva rodo „saugią“ zoną. Čia apsistoja visi nuolatiniai klientai. Paprastai jį sudaro laidinis vietinis tinklas.

• Raudona: raudona reiškia „pavojų“ interneto ryšyje. Niekam iš tinklo neleidžiama praeiti per ugniasienę, nebent mes, kaip administratoriai, konkrečiai ją sukonfigūravome.

• Mėlyna: mėlyna reiškia „belaidę“ vietinio tinklo dalį (jos spalva buvo pasirinkta, nes ji yra dangaus spalva). Kadangi belaidį tinklą gali naudoti vartotojai, jis yra unikaliai identifikuotas ir jame taikomos specialios taisyklės. Prieš prisijungdami prie tinklo, šio tinklo segmento klientai turi būti aiškiai įgalioti.

• Oranžinė: Oranžinė yra žinoma kaip „demilitarizuota zona“ (DMZ). Visi viešai prieinami serveriai yra atskirti nuo likusio tinklo, kad būtų apriboti saugumo pažeidimai.

Ten galime atsisiųsti „IPFire“ ISO atvaizdą, nes jis tvarkomas kaip nepriklausomas platinimas ir sukonfigūravus įkrovą. Turime pasirinkti numatytąją parinktį ir atliksime vedlio veiksmus. Įdiegę galime pasiekti žiniatinklį naudodami šią sintaksę:

 444

DIDELIS

„IPFire“ galima atsisiųsti iš šios nuorodos:

„SmoothWall“ ir „SmoothWall Express“

„SmoothWall“ yra atviro kodo „Linux“ užkarda su labai konfigūruojama žiniatinklio sąsaja. Jo žiniatinklio sąsaja yra žinoma kaip WAM (žiniatinklio prieigos tvarkyklė). „SmoothWall“ siūloma kaip „Linux“ platinimas, skirtas naudoti kaip atvirojo kodo užkarda, o jo dizainas yra skirtas palengvinti konfigūracijos naudojimą, „SmoothWall“ sukonfigūruota naudojant GUI, pagrįstą „wdb“ , o įdiegti ir naudoti nereikia beveik jokių Linux žinių.

Tarp pagrindinių jo savybių matome

• Be išorinio, palaiko LAN, DMZ ir belaidžius tinklus

• Turinio filtravimas realiuoju laiku

• HTTPS filtravimas

• Palaikykite tarpinius serverius

• Žiūrėti žurnalus ir stebėti ugniasienės veiklą

• Eismo statistikos valdymas pagal IP, sąsają ir užklausą

• Lengvas atsarginių kopijų kūrimas ir atkūrimas.

Atsisiuntę ISO, mes pradedame nuo jo ir pamatysime šiuos dalykus:

Ten mes pasirenkame tinkamiausią variantą ir atliksime diegimo vedlio veiksmus. Kaip ir „IPFire“, „SmoothWall“ leidžia mums sukonfigūruoti tinklo segmentus, kad padidintume saugumo lygį. Mes sukonfigūruosime vartotojų slaptažodžius. Tokiu būdu ši programa bus įdiegta ir galėsime ją pasiekti per žiniatinklio sąsają, skirtą jos valdymui:

DIDELIS

„SmoothWall“ siūlo mums nemokamą versiją „SmoothWall Express“, kurią galima atsisiųsti iš šios nuorodos:

„ConfigServer“ saugos užkarda (CSF)

Jis buvo sukurtas kaip labai universali kryžminė platforma ir užkarda, pagrįsta valstybinės paketų tikrinimo (SPI) užkardos koncepcija. Jis palaiko beveik visas virtualizacijos aplinkas, tokias kaip „Virtuozzo“, „OpenVZ“, „VMware“, XEN, KVM ir „Virtualbox“.

CSF galima įdiegti šiose operacinėse sistemose

• „RedHat Enterprise“ nuo 5 iki v7

• „CentOS“ nuo v5 iki v7

• „CloudLinux“ nuo 5 iki v7

• „Fedora“ nuo 20 iki v26

• „OpenSUSE“ v10, v11, v12

• „Debian“ v3.1 - v9

• Nuo Ubuntu v6 iki v15

• Slackware v12

Tarp daugelio jo bruožų randame

• Tiesioginis „iptables SPI“ užkardos scenarijus

• Jame yra „Daemon“ procesas, kuris tikrina, ar nėra prisijungimo autentifikavimo klaidų: „Courier imap“, „Dovecot“, „uw-imap“, „Kerio“, „openSSH“, „cPanel“, WHM, „Webmail“ (tik „cPanel“ serveriai), „Pure-ftpd“, „vsftpd“, „Proftpd“, „Pages“ slaptažodžiu apsaugotas žiniatinklis ( htpasswd), mod_security gedimai (v1 ir v2) ir Exim SMTP AUTH.

• Reguliarios išraiškos atitikimas

• POP3 / IMAP prisijungimo stebėjimas, siekiant užtikrinti valandinį prisijungimą

• SSH prisijungimo pranešimas

• SU prisijungimo pranešimas

• Per didelis ryšio blokavimas

• Vartotojo sąsajos integravimas „cPanel“, „DirectAdmin“ ir „Webmin“

• Lengvas atnaujinimas tarp „cPanel“ / WHM, „DirectAdmin“ ar „Webmin“ versijų

• Lengvas atnaujinimas tarp apvalkalo versijų

• Iš anksto sukonfigūruotas dirbti „cPanel“ serveryje, kai visi standartiniai „cPanel“ prievadai yra atidaryti

• Iš anksto sukonfigūruotas dirbti „DirectAdmin“ serveryje, kai visi standartiniai „DirectAdmin“ prievadai yra atidaryti

• Automatiškai sukonfigūruokite SSH prievadą, jei jis nėra standartinis diegimo metu

• Blokuoja srautą iš nepanaudotų serverio IP adresų - padeda sumažinti riziką serveriui

• Įspėja, kai galutinio vartotojo scenarijai per valandą siunčia per daug el. Laiškų, kad nustatytų šlamšto scenarijus

• Įtartinų procesų ataskaitos - pranešimai apie galimas pažeidžiamybes, veikiančias serveryje

• Pernelyg daug pranešimų apie vartotojų procesus

• Blokuoti srautą įvairiuose blokų sąrašuose, įskaitant „DShield“ blokų sąrašą ir „Spamhaus“ DROP sąrašą

• BOGON paketo apsauga

• Iš anksto sukonfigūruoti žemos, vidutinės ar didelės ugniasienės saugos nustatymai (tik „cPanel“ serveriai)

• IDS (įsilaužimo aptikimo sistema), kurioje paskutinė aptikimo eilutė įspėja apie sistemos ir programų dvejetainių failų pakeitimus

• SYN apsauga nuo potvynių ir daug daugiau.

1 variantas DiegimasAtsisiųskite .tgz failą iš šios nuorodos:

2 variantas DiegimasArba paleiskite šias eilutes:

 cd / usr / src / wget https://download.configserver.com/csf.tgz tar -xzf csf.tgz cd / usr / src / csf sh install.sh

„ClearOS“

„ClearOS 7“, „Community Edition“, yra atviro kodo „Linux“ serverių operacinė sistema, skirta „Linux“ ekspertams ir mėgėjams, kurie naudojasi atvirojo kodo paslaugomis ir teikia pasiūlymus bei naujas idėjas pasaulinei vartotojų bendruomenei.

Visi naujinimai, klaidų taisymai, pataisos ir saugos pataisos teikiamos nemokamai iš ankstesnių šaltinių. Šios funkcijos apima daugiau nei 75 IT funkcijas, pradedant domeno valdymu, tinklo ir pralaidumo valdymu, pranešimų siuntimu ir dar daugiau.

Kadangi tai yra „Linux“ platinimas, atsisiųsime ISO atvaizdą ir sukonfigūruosime įkėlimą USB arba CD / DVD laikmenoje. Matome, kad jo diegimo aplinka yra panaši į „Ubuntu“. Mes atliksime diegimo vedlio veiksmus:

Mes sukonfigūruosime pagrindinį slaptažodį ir tęsime diegimą. Kai prisijungsime, pamatysime šį langą, kuriame bus pateiktos prieigos per internetą instrukcijos. Norėdami pasiekti „ClearOS“ konsolę, galime spustelėti parinktį Išeiti į teksto konsolę. Ten galime atlikti kai kuriuos galimus veiksmus:

„ClearOS“ siūlo keletą produktų variantų, tačiau nemokama versija yra „Community Edition“, kurią galite rasti šioje nuorodoje:

OPNsense

„OPNsense“ yra atviro kodo, paprasta naudoti ir lengvai kuriama „FreeBSD“ užkarda ir maršruto platforma. „OPNsense“ apima daugumą funkcijų, kurios yra prieinamos brangiose komercinėse užkardose, ir turtingą funkcijų rinkinį iš komercinių pasiūlymų su atvirų ir patikrinamų šaltinių pranašumais.

„OPNsense“ pradėjo veikti kaip „pfSense®“ ir „m0n0wall“ šakutė 2014 m., O pirmasis oficialus leidimas įvyko 2015 m. Sausio mėn. Fiksuotas 2 pagrindinių leidimų ciklas kasmet suteikia įmonėms galimybę planuoti saugumo lygio patobulinimus.

Kai kurios pagrindinės jo savybės yra šios:

• Eismo formuotojas

• Sistemos dviejų veiksnių autentifikavimas

• Nelaisvės portalas

• Persiųsti talpyklos tarpinį serverį (skaidrus) su juodojo sąrašo palaikymu

• Virtualus privatus tinklas su „IPsec“, „OpenVPN“ ir senu PPTP palaikymu

• Didelis prieinamumas ir aparatinės įrangos gedimas (su sinchronizuota konfigūracija ir sinchronizuotos būsenos lentelėmis)

• Įsilaužimo aptikimas ir prevencija

• Integruotos ataskaitų teikimo ir stebėjimo priemonės, įskaitant DRR diagramas

• „Netflow“ eksportuotojas

• Tinklo srauto stebėjimas

• Papildinių palaikymas

• DNS serveris ir DNS maršrutizatorius

• DHCP serveris ir relė

• Dinaminis DNS

• Šifruotos konfigūracijos atsarginė kopija „Google“ diske

• Sveikatos tikrinimo užkarda

• Detali būsenos lentelės kontrolė

• 802.1Q VLAN palaikymas

Atsisiuntę ISO atvaizdą, tęsiame diegimą. Diegimo metu turėsite konfigūruoti tinklo parametrus, VLAN ir kt.

Kai šis procesas bus baigtas, galėsime pasiekti žiniatinklį ir atlikti reikiamus pakeitimus ugniasienės lygiu.

DIDELIS

Jos atsisiuntimą galima rasti šioje nuorodoje:

Naudodami šias užkardos parinktis mes galime išlaikyti geriausią saugumo lygį savo „Linux“ distribucijose.