През последните години виждаме последствията от липсата на мерки за сигурност на нашите компютри и компютърни мрежи. В тази статия Ще видим как да конфигурираме защитната стена в Ubuntu.
Защитната стена, която обикновено се превежда на нашия език като защитна стена, е защитен механизъм, който е предназначен да контролира и филтрира целия трафик на компютърни данни, който циркулира в мрежата. Използването му има за цел да предотврати неоторизиран достъп до мрежови ресурси или индивидуални устройства за достъп от неоторизирани лица. от други мрежи, използващи интернет. Въпреки че защитните стени могат да бъдат хардуерни устройства, софтуерни програми или комбинация от двете, в тази статия ще се съсредоточим върху конкретен софтуерен инструмент.
Може би най-подходящият паралел е този на митниците, разположени на границите между държавите.. Защитната стена анализира входящите и изходящите пакети данни и преценява дали да разреши транзита между вътрешната и външната мрежа. Той прави това според предварително определени правила. Например, той позволява на браузъра да има достъп до интернет, но не и на текстообработващата програма.
Подсистемата Netfilter
На ниво ядро, базирани на Linux дистрибуции Те предлагат компонент, известен като Netfilter, който отговаря за филтрирането на пакети и други начини за обработката им на ниво IP.
Netfilter предлага серия от куки, които, подобно на пунктовете за плащане на изминат участък, са отговорни за предотвратяването на преминаването на неоторизирани пакети. Някои от тях са:
- МАРШРУТИРАНЕ: Той отговаря за прихващането на пакети при пристигане.
- ВХОД: Справя се с пакети, предназначени за локалния хост.
- НАПРЕД: Той е този, който проверява пакетите, които ще бъдат препратени.
- OUTPUT: Това са пакетите, които произхождат локално и ще напуснат хоста.
- РАЗСТРОЙВАНЕ: Работете с пакети, когато те ще напуснат.
Как да конфигурирам защитната стена в Ubuntu
Както казахме по-горе, необходимо е да се установят правилата, които определят какво трябва да правят куките с пакетите. Традиционно за това се използва инструмент, наречен iptables, който с течение на времето беше заменен от nftables. Те са инструменти, с които Можем да зададем правилата, които определят третирането на различните пакети според етапа на предаване и приемане, в който се намират.
Двата инструмента, които споменахме, са малко сложни за използване, така чеe Ubuntu и други Linux дистрибуции включват инструмент, наречен UFW, който улеснява защитата на нашата система.
Можем да инсталираме UFW с командата:
sudo apt install ufw
За да разберете дали е активиран:
sudo ufw status
Това ни показва дали е активиран. Не е задължително да е по програмни правила.
Активираме го с:
sudo ufw enable
Можем да видим правилата, установени с:
sudo ufw show added
За да видим какви са правилата по подразбиране, можем да напишем:
sudo ufw status verbose
Ако това, което искаме, е да променим конкретна политика, въвеждаме:
sudo ufw default deny nombre_de_la_política
За да отмените или разрешите правило:
sudo ufw default allow nombre_de_la_política
За да добавим правила към конкретен порт, ние правим:
sudo ufw allow out número de puerto
Премахваме правилата с:
sudo ufw delete allow out número_de_puerto.
Също така е възможно да присвоите правило на конкретен IP диапазон:
sudo ufw allow from ip_origen to any port número_de_puerto proto tcp
UFW е програмиран по подразбиране да разрешава целия изходящ трафик и да предотвратява целия нежелан външен достъп. По подразбиране работи с протоколите IPv4 и IPv6, буквите са акронимът на Internet Protocol.
Основната разлика между двата протокола е, че IPv6 позволява работа с по-голям брой уникални адреси. поддръжката за този протокол обаче може да бъде деактивирана с:
sudo nano /etc/default/ufw
И промяна от Да на Не в реда, съответстващ на IPv6.
Това е кратко въведение в UFW, можете да научите повече за използването му, като напишете в терминала
man ufw