Sigurnost u bilo kojem operativnom sustavu uvijek bi trebala biti jedna od glavnih premisa za koju se treba svakodnevno boriti budući da o njoj ovisi više elemenata, poput korisničkih datoteka, konfiguracija, usluga i drugih. Neispravna konfiguracija sigurnosnih parametara povezana je s ranjivošću koja ostavlja otvorena vrata tako da napadači mogu imati slobodan pristup za izvršavanje svojih radnji.
Jedan od glavnih sigurnosnih mehanizama povezan je s vatrozidom sustava jer je zahvaljujući njemu moguće filtrirati dolazne i odlazne pakete s mreže te stvarati različita pravila kako bi se poboljšala sigurnost i sustava i aplikacija i objekata pohranjenih u njemu . l.
Zato će danas Solvetic detaljno objasniti kako konfigurirati vatrozid u FreeBSD -u pomoću pf -a.
Što je pfPF (Packet Filter - Packet Filter) razvijen je kao softver vatrozida za FreeBSD sustave s kojim možemo stvoriti stotine pravila koja nam omogućuju upravljanje na mnogo centraliziraniji način pristupom i ponašanjem svih elemenata sustava.
Sada ćemo vidjeti kako omogućiti i konfigurirati pf u FreeBSD -u.
1. Kako omogućiti Linux vatrozid
Iako je pf ugrađen u FreeBSD, moramo dodati sljedeće retke u /etc/rc.conf datoteku s nekim željenim uređivačem:
nano /etc/rc.confRedci za dodavanje su:
echo 'pf_enable = "DA"' >> /etc/rc.confecho 'pf_rules = " / usr / local / etc / pf.conf"' >> /etc/rc.confecho 'pflog_enable = "DA"' >> / etc / rc.confecho 'pflog_logfile = " / var / log / pflog"' >> /etc/rc.conf
Nakon što dodamo ove retke, spremamo promjene pomoću tipki Ctrl + O i izlazimo iz uređivača pomoću Ctrl + X.
Linije koje smo dodali su:
Omogućite PF uslugu
pf_enable = "DA"
Preuzmite PF pravila iz ove datoteke
pf_rules = " / usr / local / etc / pf.conf"
Omogući podršku bilježenja za PF
pflog_enable = "DA"
Odnosi se na datoteku u kojoj bi pflogd trebao pohraniti datoteku dnevnika
pflog_logfile = " / var / log / pflog"Tamo će se zapisnici pohraniti u datoteku / var / log / pflog.
2. Kako stvoriti pravila u datoteci Linux /usr/local/etc/pf.conf
Nakon dodavanja prethodnih redaka pristupit ćemo datoteci /usr/local/etc/pf.conf kako bismo stvorili pravila koja pf mora pročitati i koja će se uzeti u obzir pri zaštiti.
Pristupamo pomoću uređivača:
nano /usr/local/etc/pf.confKako se radi o novoj datoteci, mogućnosti pravila su tisuće, u ovom slučaju možemo otići na sljedeću vezu i kopirati pravilo koje se odnosi na web poslužitelj te ga zalijepiti u našu konfiguracijsku datoteku:
Tu moramo uzeti u obzir izmjenu mrežnog adaptera u polju ext_if za ispravan u svakom slučaju.
U ovu datoteku dodali smo sljedeća pravila:
# vim: set ft = pf # /etc/pf.confext_if="em0"webports = "{http, https}" int_tcp_services = "{domena, ntp, smtp, www, https, ftp}" int_udp_services = "{domena, ntp} "set skip on loset loginterface $ ext_if # Normalizationscrub u svim fragmentima nasumičnog ID-a ponovno sastavitiblock return in log allblock out allantispoof brzo za $ ext_if # Block 'quick-fire brute force probable persistblock quick from # ftp-proxy mora imati sidro "ftp-proxy / *" # SSH sluša na portu 26pass u brzom proto tcp-u do $ ext_if port 26 zadrži stanje (max-src-conn 15, max-src-conn-rate 5/3, preopterećenje ispiranje globalno) # Webserverpass proto tcp s bilo kojeg na $ ext_if port $ webports # Omogući brzi odlazni odlazni promet na $ ext_if proto tcp na bilo koji port $ int_tcp_services brzo prebaci na $ ext_if proto udp na bilo koji port $ int_udp_servicesNešto važno imati na umu je da pf ima definiran redoslijed za uspostavljanje pravila, a to je:
MakronaredbeMakronaredbe moraju biti definirane prije nego što se na njih pozove u pf.conf
TabliceTablice pružaju mehanizam za povećanje performansi i fleksibilnosti pravila
OpcijeOpcije prilagođavaju ponašanje stroja za filtriranje paketa.
Normalizacija prometaOvo pravilo štiti interne strojeve od nedosljednosti u internetskim protokolima i implementacijama.
Čekanje u reduOmogućuje kontrolu propusnosti na temelju definiranih pravila
PrijevodOva opcija određuje kako se adrese trebaju mapirati ili preusmjeravati.
Filtriranje paketaNudi zaključavanje na temelju pravila
Nakon stvaranja pravila spremamo promjene pomoću Ctrl + O i izlazimo iz uređivača pomoću Ctrl + X.
3. Kako omogućiti Linux pf uslugu
Zatim ćemo pokrenuti niz naredbi za provjeru i pokretanje pf usluge na FreeBSD -u.
Korak 1
Za provjeru statusa pf omogućavanja izvršavamo redak:
pfctl -e
Korak 2
Za pokretanje pf usluge izvršavamo sljedeći redak:
usluga pf start
Korak 3
Uslugu provjeravamo izvršavanjem:
usluga provjera pf
Korak 4
U ovom trenutku također možemo izvršiti bilo koju od sljedećih opcija:
/etc/rc.d/pf checkpfctl -n -f /usr/local/etc/pf.confAko želimo zaustaviti pf uslugu, izvršavamo:
usluga pf stopZa ponovno pokretanje pf usluge:
usluga pf restart
Korak 5
Ako želimo vidjeti trenutačni status pf usluge:
status pf status
Korak 6
Vatrozid pf koristi uslugu pflog za spremanje i snimanje svih sigurnosnih događaja koji se događaju u sustavu, mogućnosti korištenja su:
usluga pflog start usluga pflog stop usluga pflog restart
4. Kako koristiti pf u FreeBSD Linuxu
Morat ćete koristiti naredbu pfctl da biste mogli vidjeti skup pravila pf i postavke parametara, uključujući informacije o statusu filtera paketa.
Da bismo vidjeli ove podatke, izvršavamo sljedeće:
pfctl -s pravila
Osim ovoga, imat ćemo još mogućnosti, kao što su:
Dodajte broj pravila
pfctl -vvsr emisija
Prikaži status
pfctl -s stanjepfctl -s stanje | više
Onemogući pf
pfctl -d
Omogući pf
pfctl -e
Obrišite sva pravila
pfctl -F sve
Izbrišite samo upite
pfctl -F red čekanja
Obriši sve države
pfctl -F info
Pogledajte pf događaje
tcpdump -n -e -ttt -r / var / log / pflog
Možemo vidjeti kako je pf praktičan alat pri radu s vatrozidom u FreeBSD -u.
