Beste firewall voor Linux-systemen

Inhoudsopgave

Een van de meest effectieve beveiligingsmaatregelen die we in elke organisatie kunnen implementeren, ook op persoonlijk niveau, is het gebruik van een firewall die de functie vervult van het bewaken en controleren van de manier waarop netwerkpakketten het lokale netwerk binnenkomen en verlaten.

Met een firewall kunt u verkeer via bepaalde poorten in- of uitschakelen, nieuwe verkeersregels toevoegen en zo een veel preciezere en directere controle hebben over het hele netwerkprobleem, dat een van de meest delicate is op beveiligingsniveau.

Vandaag zal Solvetic enkele van de beste firewalls voor Linux analyseren en dus een praktisch beveiligingsalternatief hebben om te implementeren.

Iptables

Iptables is een opdrachtregelprogramma dat vaak wordt gebruikt voor het configureren en beheren van de pakketfilterregel die is ingesteld in Linux 2.4.x en latere omgevingen. Het is een van de meest gebruikte firewalltools van vandaag en heeft de mogelijkheid om pakketten op de netwerkstack in de kernel zelf te filteren.

Het iptables-pakket bevat ook ip6tables, bij ip6tables kunnen we het IPv6-pakketfilter configureren.

Enkele van de belangrijkste kenmerken zijn:

  • Geeft een opsomming van de inhoud van de pakketfilterregelset
  • Het inspecteert alleen de pakketheaders, wat het proces veel wendbaarder maakt
  • Hiermee kunt u naar behoefte regels toevoegen, verwijderen of wijzigen in pakketfilterregelsets
  • Ondersteunt back-up en herstel met bestanden.

Iptables op Linux verwerkt de volgende bestanden:

Het is een init-script om regels te starten, stoppen, herstarten en op te slaan

 /etc/init.d/iptables

In dit bestand worden de regelsets opgeslagen

 / etc / sysconfig / iptables

Van toepassing op binaire bestanden van Iptables

 / sbin / iptables

IPCop-firewall

IPCop Firewall is een Linux firewall-distributie die is gericht op thuisgebruikers en SOHO-gebruikers (kleine kantoren).De IPCop-webinterface is zeer gebruiksvriendelijk en gemakkelijk te gebruiken. U kunt een computer configureren als een veilige VPN om een ​​beveiligde omgeving via internet te bieden. Het bevat veelgebruikte informatie om gebruikers een betere surfervaring te bieden.

Een van de belangrijkste kenmerken die we hebben:

  • Het heeft een kleurgecodeerde webinterface waarmee we grafische prestaties voor CPU, geheugen en schijf kunnen controleren, evenals netwerkprestaties.
  • Records automatisch bekijken en roteren
  • Ondersteuning voor meerdere talen
  • Biedt een stabiele en gemakkelijk te implementeren beveiligde update en voegt huidige patches op beveiligingsniveau toe

Daar kunnen we de ISO-image of het type installatie downloaden als USB-medium. Dit verschilt van veel firewall-applicaties, omdat het als een Linux-distributie kan worden geïnstalleerd. In dit geval selecteren we de ISO-image en moeten we de stappen van de installatiewizard voltooien. Zodra we alle parameters hebben toegewezen, hebben we toegang tot IPCop:

De download is beschikbaar via de volgende link:

Kustmuur

Shorewall is een gateway- of firewallconfiguratietool voor GNU / Linux. Met Shorewall hebben we een tool op hoog niveau om netwerkfilters te configureren, omdat het ons in staat stelt om firewallvereisten te definiëren via vermeldingen in een set gedefinieerde configuratiebestanden.

Shorewall kan de configuratiebestanden lezen en met behulp van de hulpprogramma's iptables, iptables-restore, ip en tc kan Shorewall Netfilter en het Linux-netwerksubsysteem configureren om aan de gestelde eisen te voldoen. Shorewall kan worden gebruikt in een speciaal firewallsysteem, een router, een multifunctionele server of een stand-alone GNU / Linux-systeem.

Shorewall gebruikt de ipchains-compatibiliteitsmodus van Netfilter niet en kan profiteren van de mogelijkheden voor het volgen van de verbindingsstatus van Netfilter.

De belangrijkste kenmerken zijn:

  • Gebruik de faciliteiten voor het volgen van verbindingen van Netfilter voor stateful pakketfiltering
  • Ondersteunt een breed scala aan router-, firewall- en gateway-toepassingen
  • Gecentraliseerd firewallbeheer
  • GUI-interface met Webmin-configuratiescherm
  • Ondersteuning voor meerdere ISP's
  • Ondersteunt Masquerading en Port Forwarding
  • Ondersteunt VPN

Voor de installatie zullen we het volgende uitvoeren:

 sudo apt-get install shorewall

UFW - ongecompliceerde firewall

UFW wordt momenteel gepositioneerd als een van de meest bruikbare, dynamische en eenvoudig te gebruiken firewalls in Linux-omgevingen. UFW staat voor Uncomplicated Firewall en is een programma dat is ontwikkeld om een ​​netfilter-firewall te beheren. Het biedt een opdrachtregelinterface en is bedoeld om eenvoudig en gemakkelijk te gebruiken te zijn, vandaar de naam. ufw biedt een eenvoudig raamwerk voor het beheren van netfilter en biedt ons ook een opdrachtregelinterface om de firewall vanaf de terminal te besturen.

Onder zijn kenmerken vinden we:

  • Compatibel met IPV6
  • Uitgebreide logopties met in- en uitloggen
  • Controle van firewallstatus
  • Uitschuifbaar frame
  • Kan worden geïntegreerd met applicaties
  • Het maakt het mogelijk om regels toe te voegen, te verwijderen of te wijzigen naargelang de behoeften.

De commando's voor het gebruik ervan zijn:

 sudo apt-get install ufw (Installeer UFW) sudo ufw status (Controleer UFW-status) sudo ufw enable (Enable UFW) sudo ufw allow 2290: 2300 / tcp (Voeg een nieuwe regel toe)

Vuurmuur

Vuurmuur is een firewallmanager gebouwd bovenop iptables in Linux-omgevingen. Het heeft een eenvoudige en gebruiksvriendelijke configuratie die eenvoudige en complexe configuraties mogelijk maakt. De configuratie kan volledig worden geconfigureerd via een Ncurses GUI, die veilig beheer op afstand mogelijk maakt via SSH of op de console.

Vuurmuur ondersteunt trafficshaping, heeft krachtige monitoringfuncties waarmee de beheerder logs, verbindingen en bandbreedtegebruik in realtime kan bekijken. Vuurmuur is open source software en wordt gedistribueerd onder de voorwaarden van de GNU GPL

Onder zijn kenmerken vinden we:

  • Vereist geen uitgebreide kennis van iptables
  • Heeft een door mensen leesbare syntaxis van regels
  • Ondersteunt IPv6 (experimenteel)
  • Inclusief verkeersvormgeving
  • Ncurses GUI, geen X vereist
  • Het portforwarding-proces is heel eenvoudig gemaakt
  • Eenvoudig te configureren met NAT
  • Inclusief beveiligd standaardbeleid
  • Volledig beheersbaar via ssh en vanaf de console (ook vanuit Windows met PuTTY)
  • Scriptbaar voor integratie met andere tools
  • Bevat anti-spoofing-functies
  • Realtime visualisatie
  • De verbinding in realtime bekijken
  • Het heeft een audit trail: alle wijzigingen worden geregistreerd
  • Logboek van nieuwe verbindingen en slechte pakketten
  • Realtime boekhouding van verkeersvolume

Voor de installatie van Vuurmuur in Ubuntu 17 moeten we de volgende regel toevoegen in het bestand /etc/apt/sources.list:

 deb ftp://ftp.vuurmuur.org/ubuntu/ lucid main
In het geval van het gebruik van Debian zullen we het volgende invoeren:
 deb ftp://ftp.vuurmuur.org/debian/squeeze main
Later zullen we de volgende commando's uitvoeren:
 sudo apt-get update (Update-pakketten) sudo apt-get install libvuurmuur vuurmuur vuurmuur-conf (Firewall installeren)
Eenmaal geïnstalleerd kunnen we deze firewall gebruiken om onze regels te maken.

VERGROTEN

pfSense

pfSense is een open source netwerkrouter/firewall-softwaredistributie die is gebaseerd op het FreeBSD-besturingssysteem. De pfSense-software wordt gebruikt om speciale firewall- / routerregels voor een netwerk te maken en onderscheidt zich door zijn betrouwbaarheid en biedt meerdere functies die voornamelijk te vinden zijn in commerciële firewalls.

Pfsense kan worden gebundeld met veel gratis softwarepakketten van derden voor extra functionaliteit.

Onder zijn kenmerken vinden we:

  • Zeer configureerbaar en bijgewerkt vanuit de webgebaseerde interface
  • Kan worden ingezet als perimeterfirewall, router, DHCP en DNS-server
  • Kan worden geconfigureerd als draadloos toegangspunt en VPN-eindpunt
  • Biedt Verkeersvorming en realtime informatie over de server
  • Inkomende en uitgaande loadbalancing.

Daar kunnen we de optie downloaden volgens de architectuur waarmee we werken. Nadat de ISO-image is gedownload, gaan we verder met het branden op een cd of USB-medium en starten we vanaf daar op. We selecteren optie 1 of 2 en na het instellen van de instellingen begint het installatieproces.

De ISO-image van pfSense is beschikbaar via de volgende link:

IPFire

IPFire is ontworpen met verschillende modulaire parameters en een hoge mate van flexibiliteit waardoor beheerders gemakkelijk vele variaties ervan kunnen implementeren, zoals een firewall, een proxyserver of een VPN-gateway. Het modulaire ontwerp van IPFire zorgt ervoor dat het precies volgens uw configuratie werkt. Door IPFire te gebruiken, hebben we een eenvoudig beheer en kan het worden bijgewerkt via de pakketbeheerder, waardoor het onderhoud veel eenvoudiger wordt.

IPFire-ontwikkelaars richtten zich op beveiliging en ontwikkelden het als een SPI-firewall (Stateful Packet Inspection). De belangrijkste kenmerken van IPFire zijn gebaseerd op verschillende segmenten zoals:

VeiligheidHet hoofddoel van IPFire is beveiliging en heeft daarom de mogelijkheid om netwerken te segmenteren op basis van hun respectieve beveiligingsniveaus en vergemakkelijkt het maken van aangepast beleid dat elk segment beheert.

De veiligheid van de modulaire componenten in IPFire is een van uw prioriteiten. Updates worden digitaal ondertekend en versleuteld zodat ze automatisch kunnen worden geïnstalleerd door Pakfire (het IPFire-pakketbeheersysteem). Omdat IPFire de neiging heeft om rechtstreeks verbinding te maken met internet, vormt dit een veiligheidsrisico omdat het een belangrijk doelwit kan zijn voor hackers en andere bedreigingen. De eenvoudige pakketbeheerder van Pakfire helpt beheerders erop te vertrouwen dat ze de nieuwste beveiligingsupdates en bugfixes gebruiken voor alle componenten die ze gebruiken.

Met IPFire hebben we een applicatie die ons beschermt tegen zero-day exploits door hele klassen van fouten en exploiterende vectoren te elimineren.

FirewallIPFire gebruikt een SPI (Stateful Packet Inspection) firewall, die bovenop netfilter (Linux's pakketfiltering framework) is gebouwd. In het IPFire-installatieproces wordt het netwerk geconfigureerd in verschillende afzonderlijke segmenten en elk segment vertegenwoordigt een groep computers die een gemeenschappelijk beveiligingsniveau delen:

De segmenten zijn:

  • Groen: Groen geeft een "veilig" gebied aan. Hier verblijven alle vaste klanten. Het bestaat over het algemeen uit een bekabeld lokaal netwerk.
  • Rood: Rood geeft "gevaar" aan in de internetverbinding. Niets van het netwerk mag door de firewall, tenzij wij als beheerders het specifiek configureren.
  • Blauw: Blauw vertegenwoordigt het "draadloze" deel van het lokale netwerk (de kleur is gekozen omdat het de kleur van de lucht is). Omdat het draadloze netwerk het potentieel heeft voor gebruik door gebruikers, is het uniek geïdentificeerd en gelden er specifieke regels voor clients. Clients op dit netwerksegment moeten expliciet worden geautoriseerd voordat ze toegang kunnen krijgen tot het netwerk.
  • Oranje: Oranje staat bekend als de "gedemilitariseerde zone" (DMZ). Alle servers die openbaar toegankelijk zijn, zijn hier gescheiden van de rest van het netwerk om inbreuken op de beveiliging te beperken.

Daar kunnen we het ISO-image van IPFire downloaden, omdat het wordt behandeld als een onafhankelijke distributie en zodra het opstarten is geconfigureerd. We moeten de standaardoptie selecteren en we zullen de stappen van de wizard volgen. Na installatie hebben we toegang via internet met de volgende syntaxis:

 http: // IP-adres: 444

VERGROTEN

IPFire kan worden gedownload via de volgende link:

SmoothWall & SmoothWall Express

SmoothWall is een open source Linux-firewall met een zeer configureerbare webinterface. De webgebaseerde interface staat bekend als WAM (Web Access Manager) SmoothWall wordt aangeboden als een Linux-distributie die is ontworpen om te worden gebruikt als een open source firewall en het ontwerp is gericht op het vergemakkelijken van het configuratiegebruik, SmoothWall wordt geconfigureerd via een GUI op basis van wdb , en vereist weinig tot geen kennis van Linux om te installeren en te gebruiken.

Onder de belangrijkste kenmerken vinden we:

  • Ondersteunt LAN, DMZ en draadloze netwerken, naast Extern
  • Realtime inhoudsfiltering
  • HTTPS-filtering
  • Ondersteuningsproxy's
  • Logboeken bekijken en firewall-activiteit controleren
  • Beheer van verkeersstatistieken per IP, interface en query
  • Gemakkelijk back-uppen en herstellen.

Zodra de ISO is gedownload, beginnen we ermee en zien we het volgende:

Daar selecteren we de meest geschikte optie en volgen we de stappen van de installatiewizard. Net als IPFire stelt SmoothWall ons in staat om netwerksegmenten te configureren om de beveiligingsniveaus te verhogen. We zullen de wachtwoorden van de gebruikers configureren. Op deze manier wordt deze applicatie geïnstalleerd en hebben we er toegang toe via de webinterface voor het beheer ervan:

VERGROTEN

SmoothWall biedt ons een gratis versie aan genaamd SmoothWall Express die kan worden gedownload via de volgende link:

ConfigServer-beveiligingsfirewall (CSF)

Het is ontwikkeld als een zeer veelzijdige cross-platform en firewall die is gebaseerd op het concept van Stateful Packet Inspection (SPI) firewall. Het ondersteunt bijna alle virtualisatie-omgevingen zoals Virtuozzo, OpenVZ, VMware, XEN, KVM en Virtualbox.

CSF kan op de volgende besturingssystemen worden geïnstalleerd:

  • RedHat Enterprise v5 tot v7
  • CentOS v5 tot v7
  • CloudLinux v5 tot v7
  • Fedora v20 naar v26
  • OpenSUSE v10, v11, v12
  • Debian v3.1 - v9
  • Ubuntu v6 tot v15
  • Slackware v12

Onder de vele kenmerken vinden we:

  • Direct iptables SPI firewall script
  • Het heeft een Daemon-proces dat controleert op login-authenticatiefouten voor: Courier imap, Dovecot, uw-imap, Kerio, openSSH, cPanel, WHM, Webmail (alleen cPanel-servers), Pure-ftpd, vsftpd, Proftpd, Pages wachtwoord beveiligd web ( htpasswd), mod_security-fouten (v1 en v2) en Exim SMTP AUTH.
  • Overeenkomende reguliere expressies
  • POP3 / IMAP-login-tracking om elk uur inloggen af ​​te dwingen
  • SSH-inlogmelding
  • SU aanmeldingsmelding
  • Overmatige blokkering van de verbinding
  • Gebruikersinterface-integratie voor cPanel, DirectAdmin en Webmin
  • Eenvoudige upgrade tussen versies van cPanel / WHM, DirectAdmin of Webmin
  • Eenvoudige upgrade tussen shell-versies
  • Vooraf geconfigureerd om te werken op een cPanel-server met alle standaard cPanel-poorten open
  • Vooraf geconfigureerd om te werken op een DirectAdmin-server met alle standaard DirectAdmin-poorten open
  • Configureer de SSH-poort automatisch als deze niet standaard in de installatie zit
  • Blokkeert verkeer op ongebruikte server-IP-adressen - Helpt het risico voor de server te verminderen
  • Waarschuwingen wanneer scripts van eindgebruikers buitensporig veel e-mails per uur verzenden om spamscripts te identificeren
  • Verdachte procesrapporten - Rapporten van mogelijke kwetsbaarheden op de server
  • Overmatige rapportage van gebruikersprocessen
  • Blokkeer verkeer op verschillende blokkeerlijsten, waaronder DShield Block List en Spamhaus DROP List
  • BOGON-pakketbescherming
  • Vooraf geconfigureerde instellingen voor lage, gemiddelde of hoge firewallbeveiliging (alleen cPanel-servers)
  • IDS (Intrusion Detection System) waarbij de laatste detectieregel u waarschuwt voor wijzigingen in de binaire bestanden van het systeem en de toepassing
  • SYN Overstromingsbescherming en nog veel meer.

Optie 1 InstallatieDownload het .tgz-bestand via de volgende link:

Optie 2 InstallatieOf voer de volgende regels uit:

 cd / usr / src / wget https://download.configserver.com/csf.tgz tar -xzf csf.tgz cd / usr / src / csf sh install.sh

ClearOS

ClearOS 7, Community Edition is een open source Linux-serverbesturingssysteem dat is ontworpen voor Linux-experts en hobbyisten die gebruik maken van open source en suggesties en nieuwe ideeën bijdragen aan een wereldwijde gebruikersgemeenschap.

Alle updates, bugfixes, patches en beveiligingsfixes worden gratis geleverd door upstream-bronnen. De functies omvatten meer dan 75 IT-functies, van domeinbeheer, netwerk- en bandbreedtebeheer, messaging en nog veel meer.

Omdat het een Linux-distributie is, zullen we de ISO-image downloaden en het opstarten configureren op een USB- of CD / DVD-medium. We kunnen zien dat de installatieomgeving vergelijkbaar is met Ubuntu. We zullen de stappen van de installatiewizard volgen:

We configureren het root-wachtwoord en we gaan verder met de installatie. Nadat we zijn ingelogd, zien we het volgende venster waarin de instructies voor toegang via het web worden gegeven. We kunnen op de optie Exit to Text Console klikken om toegang te krijgen tot de ClearOS-console. Daar kunnen we enkele van de beschikbare acties uitvoeren:

ClearOS biedt verschillende productopties, maar de gratis versie is de Community-editie die beschikbaar is via de volgende link:

OPNsense

OPNsense is een open source, gebruiksvriendelijk en eenvoudig te bouwen FreeBSD-gebaseerd firewall- en routeringsplatform. OPNsense bevat de meeste functies die beschikbaar zijn in dure commerciële firewalls en bevat een uitgebreide reeks functies van commerciële aanbiedingen met de voordelen van open en verifieerbare bronnen.

OPNsense begon in 2014 als een afsplitsing van pfSense® en m0n0wall, met zijn eerste officiële release in januari 2015. OPNsense biedt wekelijkse beveiligingsupdates in kleine stappen om nieuwe opkomende bedreigingen van vandaag een stap voor te blijven. Een vaste releasecyclus van 2 grote releases per jaar biedt bedrijven de mogelijkheid om verbeteringen op beveiligingsniveau te plannen.

Enkele van de belangrijkste kenmerken zijn:

  • Verkeersvormer
  • Systeembrede tweefactorauthenticatie
  • Gevangen portaal
  • Forward Caching Proxy (transparant) met ondersteuning voor zwarte lijsten
  • Virtual Private Network met IPsec, OpenVPN en legacy PPTP-ondersteuning
  • Hoge beschikbaarheid en hardwarefailover (met gesynchroniseerde configuratie en gesynchroniseerde statustabellen)
  • Inbraakdetectie en -preventie
  • Geïntegreerde rapportage- en monitoringtools, waaronder DRR-diagrammen
  • Netflow-exporteur
  • Netwerkstroombewaking
  • Ondersteuning voor plug-ins
  • DNS-server en DNS-router
  • DHCP-server en relais
  • Dynamische DNS
  • Gecodeerde configuratieback-up naar Google Drive
  • Firewall voor gezondheidsinspectie
  • Gedetailleerde controle over de statustabel
  • 802.1Q VLAN-ondersteuning

Nadat de ISO-image is gedownload, gaan we verder met de installatie. Tijdens het installatieproces is het nodig om netwerkparameters, VLAN, enz. te configureren:

Zodra dit proces is voltooid, hebben we toegang via internet en kunnen we de relevante aanpassingen op firewallniveau maken.

VERGROTEN

De download is beschikbaar via de volgende link:

Met deze firewall-opties kunnen we de beste beveiligingsniveaus in onze Linux-distributies handhaven.

wave wave wave wave wave