Debian

Meilleures pratiques de configuration du pare-feu Debian pour la sécurité

Meilleures pratiques de configuration du pare-feu Debian pour la sécurité

Politiques de pare-feu restrictives ou permissives

En plus de la syntaxe que vous devez connaître pour gérer un pare-feu, vous devrez définir les tâches du pare-feu pour décider quelle politique sera mise en œuvre. Il existe 2 politiques principales définissant un comportement de pare-feu et différentes manières de les implémenter.

Lorsque vous ajoutez des règles pour accepter ou refuser des paquets, sources, destinations, ports, etc. les règles détermineront ce qui se passera avec le trafic ou les paquets qui ne sont pas classés dans vos règles de pare-feu.

Un exemple extrêmement simple serait : lorsque vous définissez si vous ajoutez une liste blanche ou noire à l'IP x.X.X.x, que se passe-t-il avec le reste?.

Disons que vous mettez en liste blanche le trafic provenant de l'IP x.X.X.X.

UNE permissif politique signifierait toutes les adresses IP qui ne sont pas x.X.X.x peut se connecter, donc y.oui.oui.y ou z.z.z.z peut se connecter. UNE contraignant la politique refuse tout le trafic provenant d'adresses qui ne sont pas x.X.X.X.

En bref, un pare-feu selon lequel tout le trafic ou les paquets qui ne sont pas définis parmi ses règles ne sont pas autorisés à passer est contraignant. Un pare-feu selon lequel tout trafic ou paquet non défini parmi ses règles est autorisé est permissif.

Les politiques peuvent être différentes pour le trafic entrant et sortant, de nombreux utilisateurs ont tendance à utiliser une politique restrictive pour le trafic entrant en gardant une politique permissive pour le trafic sortant, cela varie en fonction de l'utilisation de l'appareil protégé.

Iptables et UFW

Alors qu'Iptables est une interface permettant aux utilisateurs de configurer les règles de pare-feu du noyau, UFW est une interface permettant de configurer Iptables, ce ne sont pas de réels concurrents, le fait est qu'UFW a la capacité de configurer rapidement un pare-feu personnalisé sans apprendre une syntaxe peu conviviale, mais certaines règles peuvent ne pas être appliqué via UFW, des règles spécifiques pour empêcher des attaques spécifiques.

Ce tutoriel montrera les règles que je considère parmi les meilleures pratiques de pare-feu appliquées principalement mais pas seulement avec UFW.

Si vous n'avez pas installé UFW, installez-le en exécutant :

# apt installer ufw

Premiers pas avec UFW :

Pour commencer, activons le pare-feu au démarrage en exécutant :

# sudo ufw activer

Noter: si nécessaire, vous pouvez désactiver le pare-feu en utilisant la même syntaxe en remplaçant « enable » par « désactiver » (sudo ufw disable).

A tout moment, vous pourrez vérifier l'état du pare-feu avec verbosité en exécutant :

# sudo ufw status verbeux

Comme vous pouvez le voir dans la sortie, la politique par défaut pour le trafic entrant est restrictive tandis que pour le trafic sortant, la politique est permissive, la colonne « désactivé (routé) » signifie que le routage et le transfert sont désactivés.

Pour la plupart des appareils, je considère qu'une politique restrictive fait partie des meilleures pratiques de pare-feu pour la sécurité, commençons donc par refuser tout le trafic sauf celui que nous avons défini comme acceptable, un pare-feu restrictif :

# sudo ufw par défaut refuser l'entrée

Comme vous pouvez le voir, le pare-feu nous avertit de mettre à jour nos règles pour éviter les échecs lors du service des clients qui se connectent à nous. La façon de faire la même chose avec Iptables pourrait être :

# iptables -A INPUT -j DROP

le Nier la règle sur UFW abandonnera la connexion sans informer l'autre côté que la connexion a été refusée, si vous voulez que l'autre côté sache que la connexion a été refusée, vous pouvez utiliser la règle "rejeter" plutôt.

# sudo ufw rejet par défaut entrant

Une fois que vous avez bloqué tout le trafic entrant indépendamment de toute condition, commençons à définir des règles discriminantes pour accepter ce que nous voulons être accepté spécifiquement, par exemple, si nous installons un serveur Web et que vous souhaitez accepter toutes les port 80, exécutez :

# sudo ufw autoriser 80

Vous pouvez spécifier un service à la fois par numéro de port ou par nom, par exemple vous pouvez utiliser le prot 80 comme ci-dessus ou le nom http :

En plus d'un service, vous pouvez également définir une source, par exemple, vous pouvez refuser ou rejeter toutes les connexions entrantes à l'exception d'une IP source.

# sudo ufw autoriser de

Règles iptables courantes traduites en UFW :

Limiter rate_limit avec UFW est assez facile, cela nous permet d'éviter les abus en limitant le nombre que chaque hôte peut établir, avec UFW limitant le taux pour ssh serait :

# limite sudo ufw à partir de n'importe quel port 22
# sudo ufw limite ssh/tcp

Pour voir comment UFW a rendu la tâche facile ci-dessous, vous avez une traduction de l'instruction UFW ci-dessus pour indiquer la même chose :

# sudo iptables -A ufw-user-input -p tcp -m tcp --dport 22 -m conntrack --ctstate NOUVEAU
-m recent --set --name DEFAULT --mask 255.255.255.0 --rsource
#sudo iptables -A ufw-user-input -p tcp -m tcp --dport 22 -m conntrack --ctstate NOUVEAU
-m recent --update --seconds 30 --hitcount 6 --name DEFAULT --mask 255.255.255.255
--rsource -j ufw-user-limit
# sudo iptables -A ufw-user-input -p tcp -m tcp --dport 22 -j ufw-user-limit-accept

Les règles écrites ci-dessus avec UFW seraient :

J'espère que vous avez trouvé ce didacticiel sur les meilleures pratiques de sécurité pour la configuration du pare-feu Debian utile.

Meilleurs jeux à jouer avec le suivi des mains
Oculus Quest a récemment introduit l'idée géniale du suivi manuel sans contrôleurs. Avec un nombre toujours croissant de jeux et d'activités qui exécu...
Comment afficher la superposition OSD dans les applications et jeux Linux en plein écran
Jouer à des jeux en plein écran ou utiliser des applications en mode plein écran sans distraction peut vous couper des informations système pertinente...
Top 5 des cartes de capture de jeu
Nous avons tous vu et aimé des gameplays en streaming sur YouTube. PewDiePie, Jakesepticye et Markiplier ne sont que quelques-uns des meilleurs joueur...