Najbolji vatrozid za Linux sustave

Jedna od najučinkovitijih sigurnosnih mjera koje možemo provesti u bilo kojoj organizaciji, uključujući i na osobnoj razini, je korištenje vatrozida koji ispunjava funkciju praćenja i kontrole načina na koji mrežni paketi ulaze i izlaze iz lokalne mreže.

Vatrozid vam omogućuje da omogućite ili onemogućite promet kroz određene portove, dodate nova prometna pravila i na taj način imate mnogo precizniju i izravnu kontrolu nad cijelim problemom mreže, što je jedno od najosjetljivijih na sigurnosnoj razini.

Danas će Solvetic analizirati neke od najboljih vatrozida za Linux i tako imati praktičnu sigurnosnu alternativu za implementaciju.

Iptables

Iptables je alat naredbenog retka koji se često koristi za konfiguriranje i upravljanje pravilom filtriranja paketa postavljenim u Linux 2.4.x i novijim okruženjima. Jedan je od najčešće korištenih vatrozidnih alata današnjice i ima mogućnost filtriranja paketa na mrežnom stogu unutar same jezgre.

Paket iptables također uključuje ip6tables, s ip6tables možemo konfigurirati filter paketa IPv6.

Neke od njegovih glavnih značajki su

• Popisuje sadržaj skupa pravila filtriranja paketa

• Provjerava samo zaglavlja paketa što čini proces mnogo agilnijim

• Omogućuje vam dodavanje, uklanjanje ili mijenjanje pravila prema potrebi u skupovima pravila filtriranja paketa

• Podržava sigurnosno kopiranje i vraćanje s datotekama.

Iptables u Linuxu obrađuje sljedeće datoteke:

To je početna skripta za pokretanje, zaustavljanje, ponovno pokretanje i spremanje pravila

 /etc/init.d/iptables

Ova datoteka je mjesto gdje se spremaju skupovi pravila

 / etc / sysconfig / iptables

Odnosi se na binarne datoteke Iptables

 / sbin / iptables

IPCop vatrozid

IPCop Firewall distribucija je vatrozida za Linux namijenjena kućnim korisnicima i korisnicima SOHO -a (mali ured). IPCop web sučelje vrlo je prilagođeno korisniku i jednostavno za korištenje. Računalo možete konfigurirati kao siguran VPN za pružanje sigurnog okruženja putem Interneta. Uključuje često korištene podatke za pružanje boljeg pregledavanja weba korisnicima.

Među njegovim glavnim karakteristikama imamo

• Ima web sučelje kodirano bojama koje nam omogućuje praćenje grafike performansi za CPU, memoriju i disk, kao i mrežne performanse.

• Automatski pregledajte i rotirajte zapise

• Podrška za više jezika

• Omogućuje stabilno i jednostavno postavljanje sigurnog ažuriranja i dodaje trenutne zakrpe na razini sigurnosti

Tamo možemo preuzeti ISO sliku ili vrstu instalacije kao USB medij. To se razlikuje od mnogih aplikacija vatrozida jer se može instalirati kao Linux distribucija. U ovom slučaju odabiremo ISO sliku i moramo dovršiti korake čarobnjaka za instalaciju. Nakon što dodijelimo sve parametre, imat ćemo pristup IPCop -u:

Njegovo preuzimanje dostupno je na sljedećoj poveznici:

Shorewall

Shorewall je alat za konfiguraciju pristupnika ili vatrozida za GNU / Linux. Sa Shorewall-om imamo alat na visokoj razini za konfiguriranje mrežnih filtera jer nam omogućuje definiranje zahtjeva vatrozida kroz unose u skupu definiranih konfiguracijskih datoteka.

Shorewall može čitati konfiguracijske datoteke i uz pomoć alata iptables, iptables-restore, ip i tc, Shorewall može konfigurirati Netfilter i mrežni podsustav Linuxa tako da odgovaraju navedenim zahtjevima. Shorewall se može koristiti u namjenskom sustavu vatrozida, usmjerivaču, višenamjenskom poslužitelju ili samostalnom GNU / Linux sustavu.

Shorewall ne koristi Netfilter -ov način kompatibilnosti ipchaina i može iskoristiti mogućnosti praćenja statusa veze Netfiltera.

Njegove glavne značajke su

• Za filtriranje paketa sa stanjem koristite Netfilter -ove mogućnosti praćenja veze

• Podržava širok raspon aplikacija usmjerivača, vatrozida i pristupnika

• Centralizirano upravljanje vatrozidom

• GUI sučelje s Webmin upravljačkom pločom

• Podrška za više ISP -ova

• Podržava maskiranje i prosljeđivanje luka

• Podržava VPN

Za njegovu instalaciju izvršit ćemo sljedeće:

 sudo apt-get install shorewall

UFW - Jednostavan vatrozid

UFW je trenutno pozicioniran kao jedan od najkorisnijih, najdinamičnijih i najjednostavnijih vatrozida u Linux okruženjima. UFW znači Nekomplicirani vatrozid, a to je program razvijen za upravljanje vatrozidom za netfilter. Pruža sučelje naredbenog retka i namjerava se biti jednostavan i lagan za upotrebu, pa otuda i njegovo ime. ufw pruža jednostavan okvir za upravljanje netfilterom, kao i sučelje naredbenog retka za kontrolu vatrozida s terminala.

Među njegovim karakteristikama nalazimo

• Kompatibilan s IPV6

• Proširene mogućnosti prijavljivanja s prijavom i odjavom

• Praćenje zdravlja vatrozida

• Produžni okvir

• Može se integrirati s aplikacijama

• Omogućuje dodavanje, brisanje ili mijenjanje pravila prema potrebama.

Naredbe za njegovu upotrebu su:

 sudo apt-get install ufw (Install UFW) sudo ufw status (Check UFW status) sudo ufw enable (Enable UFW) sudo ufw allow 2290: 2300 / tcp (Dodaj novo pravilo)

Vuurmuur

Vuurmuur je upravitelj vatrozida izgrađen na vrhu iptablesa u Linux okruženjima. Ima jednostavnu i laku konfiguraciju koja omogućuje jednostavne i složene konfiguracije. Konfiguracija se može u potpunosti konfigurirati putem Ncurses GUI -ja, koji omogućuje sigurnu daljinsku administraciju putem SSH -a ili na konzoli.

Vuurmuur podržava oblikovanje prometa, ima moćne funkcije praćenja koje administratoru omogućuju pregled dnevnika, veza i korištenje propusnosti u stvarnom vremenu. Vuurmuur je softver otvorenog koda i distribuira se pod uvjetima GNU GPL -a

Među njegovim karakteristikama nalazimo

• Ne zahtijeva opsežno poznavanje iptablesa

• Ima sintaksu pravila čitljivu od strane ljudi

• Podržava IPv6 (eksperimentalno)

• Uključuje oblikovanje prometa

• Ncurses GUI, nije potreban X

• Postupak prosljeđivanja je vrlo jednostavan

• Jednostavno konfiguriranje s NAT -om

• Uključuje sigurna zadana pravila

• Potpuno upravljano putem ssh -a i s konzole (uključujući iz sustava Windows pomoću PuTTY)

• Napisan za integraciju s drugim alatima

• Uključuje značajke zaštite od lažiranja

• Vizualizacija u stvarnom vremenu

• Pregled veze u stvarnom vremenu

• Ima revizijski trag: bilježe se sve promjene

• Dnevnik novih veza i loših paketa

• Računovodstvo obima prometa u stvarnom vremenu

Za instalaciju Vuurmuura u Ubuntu 17 moramo dodati sljedeći redak u datoteku /etc/apt/sources.list:

 deb ftp://ftp.vuurmuur.org/ubuntu/ lucid main

U slučaju korištenja Debiana unijet ćemo sljedeće:

 deb ftp://ftp.vuurmuur.org/debian/ stisnuti main

Kasnije ćemo izvršiti sljedeće naredbe:

 sudo apt-get update (Paketi ažuriranja) sudo apt-get install libvuurmuur vuurmuur vuurmuur-conf (Instaliraj vatrozid)

Nakon instalacije možemo koristiti ovaj vatrozid za stvaranje naših pravila.

POVEĆAJTE

pfSense

pfSense je otvoreni izvor mrežnog usmjerivača / softvera vatrozida koji se temelji na operativnom sustavu FreeBSD. Softver pfSense koristi se za stvaranje namjenskih pravila vatrozida / usmjerivača za mrežu, a ističe se pouzdanošću i nudi više značajki koje se uglavnom nalaze u komercijalnim vatrozidima.

Pfsense se može isporučiti s mnogim besplatnim softverskim paketima trećih strana za dodatnu funkcionalnost.

Među njegovim karakteristikama nalazimo

• Vrlo konfigurirano i ažurirano putem web sučelja

• Može se primijeniti kao vanjski vatrozid, usmjerivač, DHCP i DNS poslužitelj

• Može se konfigurirati kao bežična pristupna točka i VPN krajnja točka

• Nudi oblikovanje prometa i informacije o poslužitelju u stvarnom vremenu

• Uravnoteženje ulaznog i izlaznog opterećenja.

Tamo možemo preuzeti opciju prema arhitekturi s kojom radimo. Nakon što se ISO slika preuzme, nastavljamo je snimati na CD ili USB medij i s nje se podižemo. Odabiremo opciju 1 ili 2 i nakon postavljanja postavki započet će postupak instalacije.

ISO slika pfSense -a dostupna je na sljedećoj poveznici:

IPFire

IPFire je dizajniran s različitim parametrima modularnosti i visokom razinom fleksibilnosti dopuštajući administratorima da lako implementiraju mnoge njegove varijacije, poput vatrozida, proxy poslužitelja ili VPN pristupnika. Modularni dizajn IPFire -a osigurava da radi točno prema vašoj konfiguraciji. Korištenjem IPFire -a imat ćemo jednostavno upravljanje koje se može ažurirati putem upravitelja paketa, što znatno pojednostavljuje njegovo održavanje.

IPFire programeri usredotočili su se na sigurnost i razvili je kao SPI (Stateful Packet Inspection) vatrozid. Glavne karakteristike IPFire temelje se na različitim segmentima kao što su:

SigurnostGlavni cilj IPFire -a je sigurnost, pa stoga ima mogućnost segmentiranja mreža na temelju njihovih razina sigurnosti i olakšava stvaranje prilagođenih politika koje upravljaju svakim segmentom.

Sigurnost modularnih komponenti u IPFire -u jedan je od vaših prioriteta. Ažuriranja su digitalno potpisana i šifrirana tako da ih Pakfire (sustav za upravljanje paketima IPFire) može automatski instalirati. Budući da se IPFire nastoji povezati izravno s internetom, to predstavlja sigurnosni rizik jer može biti glavna meta hakerima i drugim prijetnjama. Pakfireov jednostavan upravitelj paketa pruža administratorima pomoć da vjeruju da izvode najnovija sigurnosna ažuriranja i ispravke grešaka za sve komponente koje koriste.

S IPFire-om imat ćemo aplikaciju koja nas štiti od iskorištavanja nula dana uklanjanjem čitavih klasa grešaka i iskorištavanjem vektora.

VatrozidIPFire koristi SPI (Stateful Packet Inspection) vatrozid, koji je izgrađen na vrhu netfiltera (Linuxov okvir za filtriranje paketa). U procesu instalacije IPFire mreža je konfigurirana u različite zasebne segmente, a svaki segment predstavlja skupinu računala koja dijele zajedničku razinu sigurnosti:

Segmenti su:

• Zelena: Zelena označava "sigurno" područje. Ovdje borave svi stalni kupci. Općenito se sastoji od ožičene lokalne mreže.

• Crvena: Crvena označava "opasnost" u internetskoj vezi. Ništa s mreže ne smije proći kroz vatrozid osim ako to mi kao administratori nismo posebno konfigurirali.

• Plava: Plava predstavlja "bežični" dio lokalne mreže (njezina je boja odabrana jer je boja neba). Budući da bežična mreža ima potencijal za korištenje od strane korisnika, jedinstveno je identificirana i klijenti na njoj upravljaju posebnim pravilima. Klijenti u ovom segmentu mreže moraju biti izričito ovlašteni prije nego što mogu pristupiti mreži.

• Narančasta: Narančasta je poznata kao "demilitarizirana zona" (DMZ). Ovdje su svi poslužitelji koji su javno dostupni odvojeni od ostatka mreže radi ograničavanja sigurnosnih povreda.

Tamo možemo preuzeti ISO sliku IPFirea budući da se njime rukuje kao neovisnom distribucijom i nakon što je pokretanje konfigurirano. Moramo odabrati zadanu opciju i slijedit ćemo korake čarobnjaka. Nakon instalacije možemo pristupiti putem weba sa sljedećom sintaksom:

 http: // IP_adresa: 444

POVEĆAJTE

IPFire se može preuzeti na sljedećoj poveznici:

SmoothWall & SmoothWall Express

SmoothWall je Linux firewall otvorenog koda s visoko konfigurabilnim web sučeljem. Njegovo web sučelje poznato je kao WAM (Web Access Manager) SmoothWall se nudi kao distribucija Linuxa dizajnirana za korištenje kao vatrozid otvorenog koda, a njegov dizajn usmjeren je na olakšavanje njegove konfiguracije, SmoothWall je konfiguriran putem grafičkog sučelja temeljenog na wdb-u , a za instaliranje i korištenje zahtijeva malo ili nimalo znanja o Linuxu.

Među njegovim glavnim karakteristikama nalazimo

• Podržava LAN, DMZ i bežične mreže, osim vanjskih

• Filtriranje sadržaja u stvarnom vremenu

• HTTPS filtriranje

• Podrška za proxy

• Pregled dnevnika i praćenje aktivnosti vatrozida

• Upravljanje statistikom prometa putem IP -a, sučelja i upita

• Jednostavno sigurnosno kopiranje i vraćanje.

Nakon preuzimanja ISO -a krećemo od njega i vidjet ćemo sljedeće:

Tamo odabiremo najprikladniju opciju i slijedit ćemo korake čarobnjaka za instalaciju. Kao i IPFire, SmoothWall nam omogućuje konfiguriranje mrežnih segmenata za povećanje razine sigurnosti. Konfigurirat ćemo lozinke korisnika. Na ovaj će način ova aplikacija biti instalirana i moći ćemo joj pristupiti putem web sučelja za njeno upravljanje:

POVEĆAJTE

SmoothWall nudi besplatnu verziju pod nazivom SmoothWall Express koju možete preuzeti na sljedećoj poveznici:

Sigurnosni vatrozid ConfigServer (CSF)

Razvijen je kao vrlo svestrana cross platforma i vatrozid koji se temelji na konceptu vatrozida SPI (Stateful Packet Inspection). Podržava gotovo sva okruženja za virtualizaciju poput Virtuozza, OpenVZ, VMware, XEN, KVM i Virtualbox.

CSF se može instalirati na sljedeće operacijske sustave

• RedHat Enterprise v5 do v7

• CentOS v5 do v7

• CloudLinux v5 do v7

• Fedora v20 do v26

• OpenSUSE v10, v11, v12

• Debian v3.1 - v9

• Ubuntu v6 do v15

• Slackware v12

Među brojnim karakteristikama koje nalazimo

• Skripta vatrozida SPI za izravne iptables

• Ima Daemon proces koji provjerava ima li pogrešaka u autentifikaciji prijave za: Courier imap, Dovecot, uw-imap, Kerio, openSSH, cPanel, WHM, Webmail (samo poslužitelji cPanel), Pure-ftpd, vsftpd, Proftpd, Stranice zaštićene lozinkom web ( htpasswd), greške mod_security (v1 i v2) i Exim SMTP AUTH.

• Podudaranje regularnog izraza

• POP3 / IMAP praćenje prijave za primjenu prijava po satu

• Obavijest o prijavi na SSH

• Obavijest o prijavi na SU

• Pretjerano blokiranje veze

• Integracija korisničkog sučelja za cPanel, DirectAdmin i Webmin

• Jednostavna nadogradnja između verzija s cPanela / WHM -a, DirectAdmina ili Webmina

• Jednostavna nadogradnja između verzija ljuske

• Unaprijed konfigurirano za rad na cPanel poslužitelju sa otvorenim svim standardnim cPanel priključcima

• Unaprijed konfigurirano za rad na DirectAdmin poslužitelju sa otvorenim svim standardnim DirectAdmin portovima

• Automatski konfigurirajte SSH port ako nije standardni u instalaciji

• Blokira promet na neiskorištenim IP adresama poslužitelja - pomaže u smanjenju rizika za poslužitelj

• Upozorenja kada skripte krajnjeg korisnika šalju pretjeranu e-poštu po satu radi identifikacije neželjenih skripti

• Izvješća o sumnjivim procesima - Izvješća o potencijalnim ranjivostima na poslužitelju

• Pretjerano izvještavanje o korisničkim procesima

• Blokirajte promet na raznim popisima blokiranja, uključujući DShield Block List i Spamhaus DROP List

• Zaštita paketa BOGON

• Unaprijed konfigurirane postavke za nisku, srednju ili visoku sigurnost vatrozida (samo cPanel poslužitelji)

• IDS (Sustav za otkrivanje upada) gdje vas posljednja linija detekcije upozorava na promjene u sustavu i binarnim datotekama aplikacije

• SYN Zaštita od poplava i mnoge druge.

Opcija 1 InstalacijaPreuzmite .tgz datoteku na sljedećoj poveznici:

Opcija 2 InstalacijaIli pokrenite sljedeće retke:

 cd / usr / src / wget https://download.configserver.com/csf.tgz tar -xzf csf.tgz cd / usr / src / csf sh install.sh

ClearOS

ClearOS 7, Community Edition je operacijski sustav Linux poslužitelja otvorenog koda koji je dizajniran za Linux stručnjake i ljubitelje koji koriste open source i doprinose prijedlozima i novim idejama globalnoj korisničkoj zajednici.

Sva ažuriranja, ispravci programskih pogrešaka, zakrpe i sigurnosni popravci dostupni su besplatno iz uzvodnih izvora. Funkcije obuhvaćaju više od 75 IT funkcija od kontrole domene, kontrole mreže i propusnosti, slanja poruka i još mnogo toga.

Budući da se radi o distribuciji Linuxa, preuzeti ćemo ISO sliku i konfigurirati podizanje sustava na USB ili CD / DVD mediju. Možemo vidjeti da je njegovo okruženje za instalaciju slično Ubuntuu. Slijedit ćemo korake čarobnjaka za instalaciju:

Konfiguriramo root lozinku i nastavit ćemo s instalacijom. Nakon što se prijavimo, vidjet ćemo sljedeći prozor u kojem će se dati upute za pristup putem weba. Možemo kliknuti na opciju Exit to Text Console za pristup ClearOS konzoli. Tamo možemo izvršiti neke od dostupnih radnji:

ClearOS nudi nekoliko opcija proizvoda, ali besplatna verzija je Community Edition koja je dostupna na sljedećoj poveznici:

OPN besmislica

OPNsense je vatrozid i platforma za usmjeravanje zasnovana na FreeBSD-u otvorenog koda, laka za korištenje i izgradnju. OPNsense uključuje većinu značajki koje su dostupne u skupim komercijalnim vatrozidima i uključuje bogat skup značajki iz komercijalne ponude s prednostima otvorenih i provjerljivih izvora.

OPNsense je započeo kao račva pfSense® i m0n0wall 2014. godine, s prvim službenim izdanjem u siječnju 2015. OPNsense nudi tjedna sigurnosna ažuriranja u malim koracima kako bi danas bili korak ispred novih prijetnji u nastajanju. Fiksni ciklus od 2 velika izdanja svake godine nudi tvrtkama mogućnost planiranja poboljšanja na sigurnosnoj razini.

Neke od njegovih glavnih karakteristika su:

• Oblikovač prometa

• Dvofaktorska autentifikacija u cijelom sustavu

• Zarobljeni portal

• Proslijedi spremanje posrednika (transparentno) s podrškom za crnu listu

• Virtualna privatna mreža s IPsec, OpenVPN i naslijeđenom PPTP podrškom

• Visoka dostupnost i prebacivanje hardvera (sa sinkroniziranom konfiguracijom i sinkroniziranim tablicama statusa)

• Otkrivanje i sprečavanje upada

• Integrirani alati za izvješćivanje i praćenje uključujući grafikone DRR -a

• Izvoznik Netflow

• Nadzor protoka mreže

• Podrška za dodatke

• DNS poslužitelj i DNS usmjerivač

• DHCP poslužitelj i relej

• Dinamički DNS

• Sigurnosno kopiranje kriptirane konfiguracije na Google disk

• Vatrozid zdravstvene inspekcije

• Granularna kontrola tablice stanja

• 802.1Q VLAN podrška

Nakon preuzimanja ISO slike nastavljamo s instalacijom. Tijekom instalacijskog procesa bit će potrebno konfigurirati mrežne parametre, VLAN itd.:

Nakon što ovaj proces završi, moći ćemo pristupiti putem weba i izvršiti odgovarajuće prilagodbe na razini vatrozida.

POVEĆAJTE

Njegovo preuzimanje dostupno je na sljedećoj poveznici:

S ovim opcijama vatrozida možemo održati najbolju razinu sigurnosti u našim Linux distribucijama.