Uma das medidas de segurança mais eficazes que podemos implementar em qualquer organização, incluindo a nível pessoal, é a utilização de uma firewall que cumpre a função de monitorizar e controlar a forma como os pacotes de rede entram e saem da rede local.
Um firewall permite habilitar ou desabilitar o tráfego por determinadas portas, adicionar novas regras de tráfego e assim ter um controle muito mais preciso e direto sobre todo o problema da rede, que é um dos mais delicados no nível de segurança.
Hoje, a Solvetic analisará alguns dos melhores firewalls para Linux e, portanto, terá uma alternativa prática de segurança para implementar.
Iptables
Iptables é uma ferramenta de linha de comando freqüentemente usada para configurar e gerenciar o conjunto de regras de filtragem de pacotes no Linux 2.4.x e em ambientes posteriores. É uma das ferramentas de firewall mais usadas atualmente e tem a capacidade de filtrar pacotes na pilha de rede dentro do próprio kernel.
O pacote iptables também inclui ip6tables, com ip6tables podemos configurar o filtro de pacotes IPv6.
Algumas de suas principais características são
- Enumera o conteúdo do conjunto de regras de filtragem de pacotes
- Ele inspeciona apenas os cabeçalhos dos pacotes, o que torna o processo muito mais ágil
- Permite adicionar, remover ou modificar regras conforme necessário em conjuntos de regras de filtro de pacotes
- Suporta backup e restauração com arquivos.
Iptables no Linux lidam com os seguintes arquivos:
É um script de inicialização para iniciar, parar, reiniciar e salvar regras
/etc/init.d/iptables
Este arquivo é onde os conjuntos de regras são salvos
/ etc / sysconfig / iptables
Aplica-se a binários Iptables
/ sbin / iptables
Firewall IPCop
IPCop Firewall é uma distribuição de firewall Linux voltada para usuários domésticos e SOHO (pequenos escritórios) .A interface da web do IPCop é muito amigável e fácil de usar. Você pode configurar um computador como uma VPN segura para fornecer um ambiente seguro na Internet. Inclui informações usadas com frequência para fornecer aos usuários uma melhor experiência de navegação na web.
Entre suas principais características temos
- Possui uma interface da Web codificada por cores que nos permite monitorar gráficos de desempenho para CPU, memória e disco, bem como o desempenho da rede.
- Ver e girar registros automaticamente
- Suporte a vários idiomas
- Fornece uma atualização segura estável e facilmente implementável e adiciona patches de nível de segurança atuais
Lá podemos baixar a imagem ISO ou o tipo de instalação como meio USB. Isso é diferente de muitos aplicativos de firewall, pois pode ser instalado como uma distribuição Linux. Neste caso, selecionamos a imagem ISO e devemos completar os passos do assistente de instalação. Depois de atribuir todos os parâmetros, teremos acesso ao IPCop:
Seu download está disponível no seguinte link:
Shorewall
Shorewall é uma ferramenta de configuração de gateway ou firewall para GNU / Linux. Com o Shorewall, temos uma ferramenta de alto nível para configurar filtros de rede, pois nos permite definir os requisitos do firewall por meio de entradas em um conjunto de arquivos de configuração definidos.
Shorewall pode ler os arquivos de configuração e com a ajuda dos utilitários iptables, iptables-restore, ip e tc, Shorewall pode configurar o Netfilter e o subsistema de rede Linux para atender aos requisitos declarados. O Shorewall pode ser usado em um sistema de firewall dedicado, um roteador, um servidor multifuncional ou um sistema GNU / Linux independente.
O Shorewall não usa o modo de compatibilidade com ipchains do Netfilter e pode aproveitar as vantagens dos recursos de rastreamento de status de conexão do Netfilter.
Suas principais características são
- Use as facilidades de rastreamento de conexão do Netfilter para filtragem de pacotes stateful
- Suporta uma ampla variedade de aplicativos de roteador, firewall e gateway
- Gerenciamento centralizado de firewall
- Interface GUI com painel de controle Webmin
- Suporte a vários ISP
- Suporta Mascaramento e Encaminhamento de Porta
- Suporta VPN
Para a sua instalação iremos executar o seguinte:
sudo apt-get install shorewall
UFW - Firewall Descomplicado
O UFW está atualmente posicionado como um dos firewalls mais úteis, dinâmicos e simples de usar em ambientes Linux. UFW significa Uncomplicated Firewall, e é um programa desenvolvido para gerenciar um firewall netfilter. Ele fornece uma interface de linha de comando e tem o objetivo de ser simples e fácil de usar, daí seu nome. ufw fornece uma estrutura simples para gerenciar o netfilter, bem como nos fornece uma interface de linha de comando para controlar o firewall do terminal.
Entre suas características encontramos
- Compatível com IPV6
- Opções de registro estendidas com login e logout
- Monitoramento de integridade de firewall
- Quadro extensível
- Pode ser integrado com aplicativos
- Permite adicionar, apagar ou modificar regras de acordo com as necessidades.
Os comandos para seu uso são:
sudo apt-get install ufw (Instalar UFW) sudo ufw status (Verificar o status do UFW) sudo ufw enable (Habilitar UFW) sudo ufw allow 2290: 2300 / tcp (Adicionar uma nova regra)
Vuurmuur
Vuurmuur é um gerenciador de firewall construído sobre iptables em ambientes Linux. Possui uma configuração simples e fácil de usar que permite configurações simples e complexas. A configuração pode ser totalmente configurada por meio de uma GUI do Ncurses, que permite administração remota segura via SSH ou no console.
O Vuurmuur suporta modelagem de tráfego, possui funções de monitoramento poderosas que permitem ao administrador visualizar logs, conexões e uso de largura de banda em tempo real. Vuurmuur é um software de código aberto distribuído sob os termos da GNU GPL
Entre suas características encontramos
- Não requer amplo conhecimento de iptables
- Possui sintaxe de regra legível
- Suporta IPv6 (experimental)
- Inclui modelagem de tráfego
- Ncurses GUI, nenhum X necessário
- O processo de encaminhamento de porta é muito simples
- Fácil de configurar com NAT
- Inclui política padrão de segurança
- Totalmente gerenciável por meio de ssh e do console (incluindo do Windows usando PuTTY)
- Scriptable para integração com outras ferramentas
- Inclui recursos anti-spoofing
- Visualização em tempo real
- Visualizando a conexão em tempo real
- Possui trilha de auditoria: todas as mudanças são registradas
- Log de novas conexões e pacotes ruins
- Contabilização do volume de tráfego em tempo real
Para a instalação do Vuurmuur no Ubuntu 17, devemos adicionar a seguinte linha no arquivo /etc/apt/sources.list:
deb ftp://ftp.vuurmuur.org/ubuntu/ lucid mainNo caso de usar o Debian, inseriremos o seguinte:
deb ftp://ftp.vuurmuur.org/debian/ squeeze mainPosteriormente, executaremos os seguintes comandos:
sudo apt-get update (pacotes de atualização) sudo apt-get install libvuurmuur vuurmuur vuurmuur-conf (Instalar firewall)Uma vez instalado, podemos usar este firewall para criar nossas regras.
PROLONGAR
PfSense
pfSense é uma distribuição de software de roteador / firewall de rede de código aberto que é baseada no sistema operacional FreeBSD. O software pfSense é usado para criar regras de firewall / roteador dedicadas para uma rede e se destaca por sua confiabilidade e oferece vários recursos encontrados principalmente em firewalls comerciais.
Pfsense pode ser empacotado com muitos pacotes de software livre de terceiros para funcionalidade adicional.
Entre suas características encontramos
- Altamente configurável e atualizado a partir de sua interface baseada na web
- Pode ser implantado como firewall de perímetro, roteador, servidor DHCP e DNS
- Pode ser configurado como um ponto de acesso sem fio e ponto final VPN
- Oferece modelagem de tráfego e informações em tempo real sobre o servidor
- Balanceamento de carga de entrada e saída.
Lá podemos baixar a opção de acordo com a arquitetura com a qual trabalhamos. Uma vez que a imagem ISO foi baixada, procedemos a gravá-la em um CD ou meio USB e inicializar a partir daí. Selecionamos a opção 1 ou 2 e após definir as configurações o processo de instalação será iniciado.
A imagem ISO do pfSense está disponível no seguinte link:
IPFire
O IPFire foi projetado com vários parâmetros de modularidade e um alto nível de flexibilidade, permitindo que os administradores implementem facilmente muitas variações dele, como um firewall, um servidor proxy ou um gateway VPN. O design modular do IPFire garante que ele funcione exatamente de acordo com sua configuração. Ao utilizar o IPFire teremos um gerenciamento simples e poderá ser atualizado através do gerenciador de pacotes, tornando sua manutenção muito mais simples.
Os desenvolvedores do IPFire se concentraram na segurança e a desenvolveram como um firewall SPI (Stateful Packet Inspection). As principais características do IPFire são baseadas em vários segmentos, tais como:
SegurançaO principal objetivo do IPFire é a segurança e, portanto, tem a capacidade de segmentar redes com base em seus respectivos níveis de segurança e facilita a criação de políticas personalizadas que gerenciam cada segmento.
A segurança dos componentes modulares do IPFire é uma de suas prioridades. As atualizações são assinadas digitalmente e criptografadas para que possam ser instaladas automaticamente pelo Pakfire (o sistema de gerenciamento de pacotes IPFire). Como o IPFire tende a se conectar diretamente à Internet, isso é um risco à segurança, pois pode ser um alvo principal para hackers e outras ameaças. O gerenciador de pacotes simples do Pakfire ajuda os administradores a confiar que estão executando as últimas atualizações de segurança e correções de bugs para todos os componentes que usam.
Com o IPFire, teremos um aplicativo que nos protege de exploits de dia zero, eliminando classes inteiras de erros e explorando vetores.
FirewallO IPFire emprega um firewall SPI (Stateful Packet Inspection), que é construído sobre o netfilter (estrutura de filtragem de pacotes do Linux). No processo de instalação do IPFire, a rede é configurada em diferentes segmentos separados e cada segmento representa um grupo de computadores que compartilham um nível de segurança comum:
Os segmentos são:
- Verde: Verde indica uma área "segura". É aqui que ficam todos os clientes regulares. Geralmente é composta por uma rede local com fio.
- Vermelho: Vermelho indica "perigo" na conexão com a Internet. Nada da rede pode passar pelo firewall, a menos que nós, como administradores, o configuremos especificamente.
- Azul: Azul representa a parte "sem fio" da rede local (sua cor foi escolhida porque é a cor do céu). Como a rede sem fio tem potencial para ser usada pelos usuários, ela é identificada de maneira única e regras específicas regem os clientes nela. Os clientes neste segmento de rede devem ser explicitamente autorizados antes de poderem acessar a rede.
- Laranja: a laranja é conhecida como "zona desmilitarizada" (DMZ). Todos os servidores de acesso público são separados do resto da rede aqui para limitar as violações de segurança.
Lá podemos baixar a imagem ISO do IPFire, uma vez que é tratada como uma distribuição independente e uma vez que o boot é configurado. Temos que selecionar a opção padrão e seguiremos os passos do assistente. Uma vez instalado, podemos acessar via web com a seguinte sintaxe:
http: // endereço_IP: 444
PROLONGAR
O IPFire pode ser baixado no seguinte link:
SmoothWall e SmoothWall Express
SmoothWall é um firewall Linux de código aberto com uma interface da web altamente configurável. Sua interface baseada na Web é conhecida como WAM (Web Access Manager). SmoothWall é oferecida como uma distribuição Linux projetada para ser usada como um firewall de código aberto e seu design é focado em facilitar seu uso de configuração, SmoothWall é configurado através de uma GUI baseada em wdb , e requer pouco ou nenhum conhecimento de Linux para instalar e usar.
Entre suas principais características encontramos
- Suporta LAN, DMZ e redes sem fio, além de externas
- Filtragem de conteúdo em tempo real
- Filtragem HTTPS
- Proxies de suporte
- Ver registros e monitorar a atividade do firewall
- Gestão de estatísticas de tráfego por IP, interface e consulta
- Facilidade de backup e restauração.
Uma vez que o ISO é baixado, nós começamos a partir dele e veremos o seguinte:
Lá selecionamos a opção mais adequada e seguiremos os passos do assistente de instalação. Como o IPFire, o SmoothWall nos permite configurar segmentos de rede para aumentar os níveis de segurança. Vamos configurar as senhas dos usuários. Desta forma, este aplicativo será instalado e poderemos acessá-lo através da interface web para seu gerenciamento:
PROLONGAR
SmoothWall nos oferece uma versão gratuita chamada SmoothWall Express que pode ser baixada no seguinte link:
ConfigServer Security Firewall (CSF)
Ele foi desenvolvido como uma plataforma cruzada e firewall muito versátil, baseado no conceito de firewall Stateful Packet Inspection (SPI). Ele suporta quase todos os ambientes de virtualização como Virtuozzo, OpenVZ, VMware, XEN, KVM e Virtualbox.
O CSF pode ser instalado nos seguintes sistemas operacionais
- RedHat Enterprise v5 a v7
- CentOS v5 a v7
- CloudLinux v5 a v7
- Fedora v20 a v26
- OpenSUSE v10, v11, v12
- Debian v3.1 - v9
- Ubuntu v6 a v15
- Slackware v12
Entre suas muitas características encontramos
- Script de firewall SPI de iptables direto
- Tem um processo Daemon que verifica se há erros de autenticação de login para: Courier imap, Dovecot, uw-imap, Kerio, openSSH, cPanel, WHM, Webmail (somente servidores cPanel), Pure-ftpd, vsftpd, Proftpd, Páginas da web protegidas por senha ( htpasswd), falhas de mod_security (v1 e v2) e Exim SMTP AUTH.
- Correspondência de expressão regular
- Rastreamento de login POP3 / IMAP para aplicar logins de hora em hora
- Notificação de login SSH
- Notificação de login SU
- Bloqueio excessivo da conexão
- Integração da interface do usuário para cPanel, DirectAdmin e Webmin
- Fácil atualização entre as versões de cPanel / WHM, DirectAdmin ou Webmin
- Atualização fácil entre versões de shell
- Pré-configurado para funcionar em um servidor cPanel com todas as portas cPanel padrão abertas
- Pré-configurado para funcionar em um servidor DirectAdmin com todas as portas DirectAdmin padrão abertas
- Configure automaticamente a porta SSH se não for padrão na instalação
- Bloqueia o tráfego em endereços IP de servidor não utilizados - Ajuda a reduzir o risco para o servidor
- Alertas quando scripts de usuário final enviam e-mails excessivos por hora para identificar scripts de spam
- Relatórios de processos suspeitos - Relatórios de vulnerabilidades potenciais em execução no servidor
- Relatórios excessivos de processos do usuário
- Bloqueie o tráfego em uma variedade de listas de bloqueio, incluindo DShield Block List e Spamhaus DROP List
- Proteção de pacote BOGON
- Configurações pré-configuradas para segurança de firewall baixa, média ou alta (somente servidores cPanel)
- IDS (Sistema de Detecção de Intrusão), onde a última linha de detecção alerta sobre mudanças no sistema e nos binários do aplicativo
- Proteção contra inundações SYN e muito mais.
Opção 1 InstalaçãoBaixe o arquivo .tgz no seguinte link:
Opção 2 InstalaçãoOu execute as seguintes linhas:
cd / usr / src / wget https://download.configserver.com/csf.tgz tar -xzf csf.tgz cd / usr / src / csf sh install.sh
ClearOS
ClearOS 7, Community Edition é um sistema operacional de servidor Linux de código aberto projetado para especialistas e amadores em Linux que fazem uso do código aberto e contribuem com sugestões e novas idéias para uma comunidade global de usuários.
Todas as atualizações, correções de bugs, patches e correções de segurança são fornecidas gratuitamente a partir de fontes upstream. As funções abrangem mais de 75 funções de TI, desde controle de domínio, controle de rede e largura de banda, mensagens e muito mais.
Por se tratar de uma distribuição Linux, faremos o download da imagem ISO e configuraremos o boot em um meio USB ou CD / DVD. Podemos ver que seu ambiente de instalação é semelhante ao do Ubuntu. Seguiremos as etapas do assistente de instalação:
Configuramos a senha do root e continuaremos com a instalação. Assim que fizermos o login, veremos a seguinte janela onde serão fornecidas as instruções para o acesso via web. Podemos clicar na opção Exit to Text Console para acessar o console ClearOS. Lá podemos realizar algumas das ações disponíveis:
ClearOS oferece várias opções de produtos, mas a versão gratuita é a Community Edition que está disponível no seguinte link:
OPNsense
O OPNsense é uma plataforma de roteamento e firewall baseada em FreeBSD de código aberto, fácil de usar e fácil de construir. O OPNsense inclui a maioria dos recursos disponíveis em firewalls comerciais caros e inclui um rico conjunto de recursos de ofertas comerciais com os benefícios de fontes abertas e verificáveis.
O OPNsense começou como uma bifurcação do pfSense® e m0n0wall em 2014, com seu primeiro lançamento oficial em janeiro de 2015. O OPNsense oferece atualizações de segurança semanais em pequenos incrementos para ficar um passo à frente das novas ameaças emergentes hoje. Um ciclo de lançamento fixo de 2 lançamentos principais a cada ano oferece às empresas a oportunidade de planejar melhorias no nível de segurança.
Algumas de suas principais características são:
- Modelador de tráfego
- Autenticação de dois fatores em todo o sistema
- Portal cativo
- Encaminhar Caching Proxy (transparente) com suporte a lista negra
- Rede privada virtual com IPsec, OpenVPN e suporte PPTP legado
- Alta disponibilidade e failover de hardware (com configuração sincronizada e tabelas de status sincronizadas)
- Detecção e prevenção de intrusão
- Relatórios integrados e ferramentas de monitoramento, incluindo gráficos DRR
- Exportador Netflow
- Monitoramento de fluxo de rede
- Suporte a plugins
- Servidor DNS e roteador DNS
- Servidor DHCP e retransmissão
- DNS dinâmico
- Backup de configuração criptografada para o Google Drive
- Firewall de inspeção de saúde
- Controle granular sobre a tabela de estado
- Suporte VLAN 802.1Q
Assim que a imagem ISO for baixada, prosseguimos com a instalação. Durante o processo de instalação será necessário configurar os parâmetros de rede, VLAN, etc:
Uma vez concluído este processo, poderemos acessar via web e fazer os ajustes pertinentes no nível do firewall.
PROLONGAR
Seu download está disponível no seguinte link:
Com essas opções de firewall, podemos manter os melhores níveis de segurança em nossas distros Linux.