Linux sistemleri için en iyi güvenlik duvarı

İçindekiler

Kişisel düzeyde de dahil olmak üzere herhangi bir kuruluşta uygulayabileceğimiz en etkili güvenlik önlemlerinden biri, ağ paketlerinin yerel ağa giriş ve çıkış şeklini izleme ve kontrol etme işlevini yerine getiren bir güvenlik duvarının kullanılmasıdır.

Güvenlik duvarı, belirli bağlantı noktalarından trafiği etkinleştirmenize veya devre dışı bırakmanıza, yeni trafik kuralları eklemenize ve böylece güvenlik düzeyinde en hassas olanlardan biri olan tüm ağ sorunu üzerinde çok daha kesin ve doğrudan kontrol sahibi olmanıza olanak tanır.

Bugün Solvetic, Linux için en iyi güvenlik duvarlarından bazılarını analiz edecek ve böylece uygulamak için pratik bir güvenlik alternatifine sahip olacak.

iptables

Iptables, Linux 2.4.x ve sonraki ortamlarda paket filtreleme kural kümesini yapılandırmak ve yönetmek için sıklıkla kullanılan bir komut satırı aracıdır. Günümüzde en çok kullanılan güvenlik duvarı araçlarından biridir ve çekirdek içindeki ağ yığınındaki paketleri filtreleme özelliğine sahiptir.

iptables paketi ayrıca ip6tables içerir, ip6tables ile IPv6 paket filtresini yapılandırabiliriz.

Başlıca özelliklerinden bazıları şunlardır:

  • Paket filtre kural kümesinin içeriğini numaralandırır
  • Yalnızca süreci çok daha çevik hale getiren paket başlıklarını inceler.
  • Paket filtre kural kümelerinde gerektiği gibi kuralları eklemenize, kaldırmanıza veya değiştirmenize olanak tanır
  • Dosyalarla yedekleme ve geri yüklemeyi destekler.

Linux'taki Iptables aşağıdaki dosyaları işler:

Kuralları başlatmak, durdurmak, yeniden başlatmak ve kaydetmek için bir başlatma betiğidir.

 /etc/init.d/iptables

Bu dosya, kural kümelerinin kaydedildiği yerdir.

 / etc / sysconfig / iptables

Iptables ikili dosyaları için geçerlidir

 / sbin / iptables

IPCop Güvenlik Duvarı

IPCop Firewall, ev ve SOHO (küçük ofis) kullanıcılarına yönelik bir Linux güvenlik duvarı dağıtımıdır.IPCop web arayüzü çok kullanıcı dostu ve kullanımı kolaydır. İnternet üzerinden güvenli bir ortam sağlamak için bir bilgisayarı güvenli bir VPN olarak yapılandırabilirsiniz. Kullanıcılara daha iyi bir web tarama deneyimi sağlamak için sık kullanılan bilgileri içerir.

Sahip olduğumuz temel özellikleri arasında

  • CPU, bellek ve disk için performans grafiklerinin yanı sıra ağ performansını izlememizi sağlayan renk kodlu bir Web arayüzüne sahiptir.
  • Kayıtları otomatik olarak görüntüleyin ve döndürün
  • Çoklu dil desteği
  • İstikrarlı ve kolayca dağıtılabilir bir güvenli güncelleme sağlar ve mevcut güvenlik düzeyi yamaları ekler

Oradan ISO görüntüsünü veya kurulum türünü USB ortamı olarak indirebiliriz. Bu, bir Linux dağıtımı olarak yüklenebildiği için birçok güvenlik duvarı uygulamasından farklıdır. Bu durumda ISO imajını seçiyoruz ve kurulum sihirbazının adımlarını tamamlamamız gerekiyor. Tüm parametreleri atadıktan sonra IPCop'a erişimimiz olacak:

İndirmesi aşağıdaki bağlantıda mevcuttur:

Sahil duvarı

Shorewall, GNU / Linux için bir ağ geçidi veya güvenlik duvarı yapılandırma aracıdır. Shorewall ile, bir dizi tanımlanmış yapılandırma dosyasındaki girişler aracılığıyla güvenlik duvarı gereksinimlerini tanımlamamıza izin verdiği için ağ filtrelerini yapılandırmak için üst düzey bir aracımız var.

Shorewall, yapılandırma dosyalarını okuyabilir ve iptables, iptables-restore, ip ve tc yardımcı programlarının yardımıyla, Shorewall Netfilter ve Linux ağ alt sistemini belirtilen gereksinimlere uyacak şekilde yapılandırabilir. Shorewall, özel bir güvenlik duvarı sisteminde, yönlendiricide, çok işlevli bir sunucuda veya bağımsız bir GNU / Linux sisteminde kullanılabilir.

Shorewall, Netfilter'ın ipchains uyumluluk modunu kullanmaz ve Netfilter'ın bağlantı durumu izleme özelliklerinden yararlanabilir.

Başlıca özellikleri

  • Durum bilgisi olan paket filtreleme için Netfilter'ın bağlantı izleme olanaklarını kullanın
  • Çok çeşitli yönlendirici, güvenlik duvarı ve ağ geçidi uygulamalarını destekler
  • Merkezi güvenlik duvarı yönetimi
  • Webmin kontrol panelli GUI arayüzü
  • Çoklu ISP desteği
  • Maskeleme ve Bağlantı Noktası Yönlendirmeyi Destekler
  • VPN'i destekler

Kurulumu için aşağıdakileri uygulayacağız:

 sudo apt-get yükleme kıyı duvarı

UFW - Karmaşık Olmayan Güvenlik Duvarı

UFW şu anda Linux ortamlarında en kullanışlı, dinamik ve kullanımı basit güvenlik duvarlarından biri olarak konumlandırılmıştır. UFW, Komplike Olmayan Güvenlik Duvarı anlamına gelir ve netfilter güvenlik duvarını yönetmek için geliştirilmiş bir programdır. Bir komut satırı arayüzü sağlar ve basit ve kullanımı kolay olması amaçlanmıştır, dolayısıyla adı. ufw, netfilter'ı yönetmek için basit bir çerçeve sağlar ve ayrıca güvenlik duvarını terminalden kontrol etmek için bize bir komut satırı arabirimi sağlar.

Bulduğumuz özellikleri arasında

  • IPV6 ile uyumlu
  • Oturum açma ve oturum kapatma ile genişletilmiş günlük kaydı seçenekleri
  • Güvenlik duvarı sağlığı izleme
  • Uzatılabilir Çerçeve
  • Uygulamalarla entegre edilebilir
  • İhtiyaçlara göre kuralların eklenmesine, silinmesine veya değiştirilmesine izin verir.

Kullanımı için komutlar şunlardır:

 sudo apt-get install ufw (UFW'yi yükle) sudo ufw durumu (UFW durumunu kontrol et) sudo ufw etkinleştir (UFW'yi etkinleştir) sudo ufw allow 2290: 2300 / tcp (Yeni bir kural ekle)

Vuurmuur

Vuurmuur, Linux ortamlarında iptables üzerine kurulmuş bir güvenlik duvarı yöneticisidir. Basit ve karmaşık konfigürasyonlara izin veren basit ve kullanımı kolay bir konfigürasyona sahiptir. Yapılandırma, SSH aracılığıyla veya konsolda güvenli uzaktan yönetime izin veren bir Ncurses GUI aracılığıyla tamamen yapılandırılabilir.

Vuurmuur trafik şekillendirmeyi destekler, yöneticinin günlükleri, bağlantıları ve bant genişliği kullanımını gerçek zamanlı olarak görüntülemesine olanak tanıyan güçlü izleme işlevlerine sahiptir. Vuurmuur açık kaynaklı bir yazılımdır ve GNU GPL koşulları altında dağıtılmaktadır.

Bulduğumuz özellikleri arasında

  • Kapsamlı iptables bilgisi gerektirmez
  • İnsan tarafından okunabilir kural sözdizimine sahiptir
  • IPv6'yı destekler (deneysel)
  • Trafik şekillendirmeyi içerir
  • Ncurses GUI, X gerekmez
  • Portforwarding işlemi çok basitleştirilmiştir
  • NAT ile yapılandırması kolay
  • Güvenli varsayılan politika içerir
  • Ssh üzerinden ve konsoldan tamamen yönetilebilir (PuTTY kullanan Windows dahil)
  • Diğer araçlarla entegrasyon için yazılabilir
  • Sahteciliğe karşı koruma özellikleri içerir
  • Gerçek zamanlı görselleştirme
  • Bağlantıyı gerçek zamanlı olarak görüntüleme
  • Bir denetim izi vardır: tüm değişiklikler kaydedilir
  • Yeni bağlantıların ve bozuk paketlerin günlüğü
  • Gerçek zamanlı trafik hacmi muhasebesi

Vuurmuur'un Ubuntu 17'ye kurulumu için /etc/apt/sources.list dosyasına aşağıdaki satırı eklemeliyiz:

 deb ftp://ftp.vuurmuur.org/ubuntu/ lucid ana
Debian kullanılması durumunda aşağıdakileri gireceğiz:
 deb ftp://ftp.vuurmuur.org/debian/ ana sıkmak
Daha sonra aşağıdaki komutları uygulayacağız:
 sudo apt-get update (Paketleri güncelleme) sudo apt-get install libvuurmuur vuurmuur vuurmuur-conf (Güvenlik duvarı kurun)
Kurulduktan sonra kurallarımızı oluşturmak için bu güvenlik duvarını kullanabiliriz.

BÜYÜT

pfSense

pfSense, FreeBSD işletim sistemini temel alan açık kaynaklı bir ağ yönlendiricisi / güvenlik duvarı yazılımı dağıtımıdır. pfSense yazılımı, bir ağ için özel güvenlik duvarı / yönlendirici kuralları oluşturmak için kullanılır ve güvenilirliği ile öne çıkar ve özellikle ticari güvenlik duvarlarında bulunan birden fazla özellik sunar.

Pfsense, ek işlevsellik için birçok üçüncü taraf ücretsiz yazılım paketiyle birlikte paketlenebilir.

Bulduğumuz özellikleri arasında

  • Web tabanlı arayüzünden son derece yapılandırılabilir ve güncellenebilir
  • Çevre güvenlik duvarı, yönlendirici, DHCP ve DNS sunucusu olarak dağıtılabilir
  • Kablosuz erişim noktası ve VPN uç noktası olarak yapılandırılabilir
  • Sunucu hakkında Trafik şekillendirme ve gerçek zamanlı bilgi sunar
  • Gelen ve giden yük dengeleme.

Orada çalıştığımız mimariye göre seçeneği indirebiliriz. ISO görüntüsü indirildikten sonra, onu bir CD veya USB ortamına yazmaya ve oradan önyüklemeye devam ediyoruz. Seçenek 1 veya 2'yi seçiyoruz ve ayarları yaptıktan sonra kurulum işlemi başlayacak.

pfSense'in ISO görüntüsü aşağıdaki bağlantıda mevcuttur:

IPFire

IPFire, çeşitli modülerlik parametreleri ve yöneticilerin güvenlik duvarı, proxy sunucusu veya VPN ağ geçidi gibi birçok varyasyonunu kolayca uygulamasına olanak tanıyan yüksek düzeyde esneklik ile tasarlanmıştır. IPFire'ın modüler tasarımı, tam olarak konfigürasyonunuza göre çalışmasını sağlar. IPFire kullanarak basit bir yönetimimiz olacak ve paket yöneticisi aracılığıyla güncellenebilir, bu da bakımını çok daha basit hale getirir.

IPFire geliştiricileri güvenliğe odaklandı ve bunu bir SPI (Stateful Packet Inspection) güvenlik duvarı olarak geliştirdi. IPFire'ın temel özellikleri, aşağıdakiler gibi çeşitli segmentlere dayanmaktadır:

GüvenlikIPFire'ın temel amacı güvenliktir ve bu nedenle ağları ilgili güvenlik seviyelerine göre bölümlere ayırma yeteneğine sahiptir ve her bölümü yöneten özel politikaların oluşturulmasını kolaylaştırır.

IPFire'daki modüler bileşenlerin güvenliği önceliklerinizden biridir. Güncellemeler, Pakfire (IPFire paket yönetim sistemi) tarafından otomatik olarak kurulabilmeleri için dijital olarak imzalanır ve şifrelenir. IPFire doğrudan İnternete bağlanma eğiliminde olduğundan, bilgisayar korsanları ve diğer tehditler için ana hedef olabileceğinden bu bir güvenlik riskidir. Pakfire'ın basit paket yöneticisi, yöneticilerin kullandıkları tüm bileşenler için en son güvenlik güncellemelerini ve hata düzeltmelerini çalıştırdıklarına güvenmelerine yardımcı olur.

IPFire ile, tüm hata sınıflarını ortadan kaldırarak ve vektörleri istismar ederek bizi sıfırıncı gün istismarlarından koruyan bir uygulamaya sahip olacağız.

güvenlik duvarıIPFire, netfilter (Linux'un paket filtreleme çerçevesi) üzerine inşa edilmiş bir SPI (Stateful Packet Inspection) güvenlik duvarı kullanır. IPFire kurulum sürecinde, ağ farklı ayrı segmentler halinde yapılandırılır ve her segment ortak bir güvenlik seviyesini paylaşan bir grup bilgisayarı temsil eder:

Segmentler:

  • Yeşil: Yeşil, "güvenli" bir alanı belirtir. Tüm düzenli müşterilerin kaldığı yer burasıdır. Genellikle kablolu bir yerel ağdan oluşur.
  • Kırmızı: Kırmızı, İnternet bağlantısında "tehlike" olduğunu gösterir. Yöneticiler olarak özellikle yapılandırmadıkça, ağdan hiçbir şeyin güvenlik duvarından geçmesine izin verilmez.
  • Mavi: Mavi, yerel ağın "kablosuz" kısmını temsil eder (gökyüzünün rengi olduğu için rengi seçilmiştir). Kablosuz ağ, kullanıcılar tarafından kullanım potansiyeline sahip olduğundan, benzersiz bir şekilde tanımlanır ve üzerindeki istemcileri belirli kurallar yönetir. Bu ağ kesimindeki istemciler, ağa erişmeden önce açıkça yetkilendirilmelidir.
  • Turuncu: Turuncu, "askerden arındırılmış bölge" (DMZ) olarak bilinir. Genel olarak erişilebilen tüm sunucular, güvenlik ihlallerini sınırlamak için buradaki ağın geri kalanından ayrılmıştır.

Bağımsız bir dağıtım olarak ele alındığından ve önyükleme yapılandırıldıktan sonra IPFire'ın ISO görüntüsünü buradan indirebiliriz. Varsayılan seçeneği seçmeliyiz ve sihirbazın adımlarını takip edeceğiz. Kurulduktan sonra aşağıdaki sözdizimi ile web üzerinden erişebiliriz:

 http://IP_adresi: 444

BÜYÜT

IPFire aşağıdaki bağlantıdan indirilebilir:

SmoothWall ve SmoothWall Express

SmoothWall, son derece yapılandırılabilir bir web arayüzüne sahip açık kaynaklı bir Linux güvenlik duvarıdır. Web tabanlı arayüzü WAM (Web Erişim Yöneticisi) olarak bilinir SmoothWall, açık kaynaklı bir güvenlik duvarı olarak kullanılmak üzere tasarlanmış bir Linux dağıtımı olarak sunulur ve tasarımı konfigürasyon kullanımını kolaylaştırmaya odaklanır, SmoothWall wdb tabanlı bir GUI aracılığıyla yapılandırılır , ve yüklemek ve kullanmak için çok az Linux bilgisi gerektirir veya hiç gerektirmez.

Bulduğumuz ana özellikleri arasında

  • Harici'ye ek olarak LAN, DMZ ve kablosuz ağları destekler
  • Gerçek zamanlı içerik filtreleme
  • HTTPS filtreleme
  • Destek proxy'leri
  • Günlükleri görüntüleme ve güvenlik duvarı etkinliğini izleme
  • IP, arayüz ve sorgu ile trafik istatistiklerinin yönetimi
  • Yedekleme ve geri yükleme kolaylığı.

ISO indirildikten sonra ondan başlıyoruz ve aşağıdakileri göreceğiz:

Orada en uygun seçeneği seçiyoruz ve kurulum sihirbazının adımlarını takip edeceğiz. IPFire gibi SmoothWall da güvenlik seviyelerini artırmak için ağ segmentlerini yapılandırmamıza izin verir. Kullanıcıların şifrelerini yapılandıracağız. Bu şekilde, bu uygulama yüklenecek ve yönetimi için web arayüzü üzerinden ona erişebileceğiz:

BÜYÜT

SmoothWall bize aşağıdaki bağlantıdan indirilebilen SmoothWall Express adlı ücretsiz bir sürüm sunuyor:

ConfigServer Güvenlik Güvenlik Duvarı (CSF)

Stateful Packet Inspection (SPI) güvenlik duvarı konseptine dayanan çok yönlü bir çapraz platform ve güvenlik duvarı olarak geliştirilmiştir. Virtuozzo, OpenVZ, VMware, XEN, KVM ve Virtualbox gibi neredeyse tüm sanallaştırma ortamlarını destekler.

CSF aşağıdaki işletim sistemlerine kurulabilir

  • RedHat Enterprise v5'ten v7'ye
  • CentOS v5'ten v7'ye
  • CloudLinux v5'ten v7'ye
  • Fedora v20'den v26'ya
  • OpenSUSE v10, v11, v12
  • Debian v3.1 - v9
  • Ubuntu v6'dan v15'e
  • Slackware v12

Bulduğumuz birçok özelliği arasında

  • Doğrudan iptables SPI güvenlik duvarı komut dosyası
  • Courier imap, Dovecot, uw-imap, Kerio, openSSH, cPanel, WHM, Webmail (yalnızca cPanel sunucuları), Pure-ftpd, vsftpd, Proftpd, Pages parola korumalı web ( htpasswd), mod_security hataları (v1 ve v2) ve Exim SMTP AUTH.
  • Normal ifade eşleştirme
  • Saatlik girişleri zorunlu kılmak için POP3 / IMAP giriş takibi
  • SSH giriş bildirimi
  • SU giriş bildirimi
  • Bağlantının aşırı engellenmesi
  • cPanel, DirectAdmin ve Webmin için kullanıcı arayüzü entegrasyonu
  • cPanel / WHM, DirectAdmin veya Webmin'den sürümler arasında kolay yükseltme
  • Kabuk sürümleri arasında kolay yükseltme
  • Tüm standart cPanel bağlantı noktaları açıkken bir cPanel sunucusunda çalışmak üzere önceden yapılandırılmıştır
  • Tüm standart DirectAdmin bağlantı noktaları açıkken bir DirectAdmin sunucusunda çalışmak üzere önceden yapılandırılmıştır
  • Kurulumda standart değilse SSH bağlantı noktasını otomatik olarak yapılandırın
  • Kullanılmayan sunucu IP adreslerindeki trafiği engeller - Sunucuya yönelik riski azaltmaya yardımcı olur
  • Son kullanıcı komut dosyaları, spam komut dosyalarını belirlemek için saatte aşırı e-posta gönderdiğinde uyarılar
  • Şüpheli İşlem Raporları - Sunucuda çalışan olası güvenlik açıklarının raporları
  • Kullanıcı süreçlerinin aşırı raporlanması
  • DShield Block List ve Spamhaus DROP List dahil olmak üzere çeşitli blok listelerinde trafiği engelleyin
  • BOGON paket koruması
  • Düşük, orta veya yüksek güvenlik duvarı güvenliği için önceden yapılandırılmış ayarlar (yalnızca cPanel sunucuları)
  • Son algılama hattının sizi sistem ve uygulama ikili dosyalarındaki değişiklikler konusunda uyardığı IDS (İzinsiz Giriş Tespit Sistemi)
  • SYN Taşkın Koruması ve daha fazlası.

Seçenek 1 Kurulum.tgz dosyasını aşağıdaki bağlantıdan indirin:

Seçenek 2 KurulumVeya aşağıdaki satırları çalıştırın:

 cd / usr / src / wget https://download.configserver.com/csf.tgz tar -xzf csf.tgz cd / usr / src / csf sh install.sh

ClearOS

ClearOS 7, Community Edition, açık kaynaktan yararlanan ve küresel bir kullanıcı topluluğuna öneriler ve yeni fikirler sunan Linux uzmanları ve meraklıları için tasarlanmış açık kaynaklı bir Linux sunucu işletim sistemidir.

Tüm güncellemeler, hata düzeltmeleri, yamalar ve güvenlik düzeltmeleri, yukarı akış kaynaklarından ücretsiz olarak sağlanır. İşlevler, etki alanı kontrolü, ağ ve bant genişliği kontrolü, mesajlaşma ve çok daha fazlasına kadar 75'ten fazla BT işlevini kapsar.

Linux dağıtımı olduğu için ISO imajını indireceğiz ve önyüklemeyi bir USB veya CD/DVD ortamında yapılandıracağız. Kurulum ortamının Ubuntu'ya benzediğini görebiliriz. Kurulum sihirbazının adımlarını takip edeceğiz:

Root şifresini yapılandırıyoruz ve kuruluma devam edeceğiz. Giriş yaptıktan sonra, web üzerinden erişim talimatlarının verileceği aşağıdaki pencereyi göreceğiz. ClearOS konsoluna erişmek için Exit to Text Console seçeneğine tıklayabiliriz. Orada mevcut eylemlerden bazılarını gerçekleştirebiliriz:

ClearOS çeşitli ürün seçenekleri sunar, ancak ücretsiz sürüm aşağıdaki bağlantıda bulunan Community Edition'dır:

OPNsense

OPNsense, açık kaynaklı, kullanımı kolay ve kurulumu kolay FreeBSD tabanlı bir güvenlik duvarı ve yönlendirme platformudur. OPNsense, pahalı ticari güvenlik duvarlarında bulunan özelliklerin çoğunu içerir ve açık ve doğrulanabilir kaynakların avantajlarıyla ticari tekliflerden zengin bir özellik seti içerir.

OPNsense, Ocak 2015'teki ilk resmi sürümüyle 2014'te pfSense® ve m0n0wall'un bir çatalı olarak başladı. OPNsense, bugün ortaya çıkan yeni tehditlerden bir adım önde olmak için küçük artışlarla haftalık güvenlik güncellemeleri sunuyor. Her yıl 2 ana sürümden oluşan sabit bir sürüm döngüsü, şirketlere güvenlik düzeyinde iyileştirmeler planlama fırsatı sunar.

Başlıca özelliklerinden bazıları şunlardır:

  • Trafik şekillendirici
  • Sistem çapında iki faktörlü kimlik doğrulama
  • esir portalı
  • Kara liste destekli Forward Caching Proxy (şeffaf)
  • IPsec, OpenVPN ve eski PPTP desteği ile Sanal Özel Ağ
  • Yüksek Kullanılabilirlik ve Donanım Yük Devretme (Senkronize Konfigürasyon ve Senkronize Durum Tabloları ile)
  • İzinsiz giriş algılama ve önleme
  • DRR çizelgeleri dahil entegre raporlama ve izleme araçları
  • Netflow Dışa Aktarıcı
  • Ağ akışı izleme
  • Eklenti desteği
  • DNS Sunucusu ve DNS Yönlendiricisi
  • DHCP sunucusu ve geçişi
  • Dinamik DNS
  • Google Drive'a şifreli yapılandırma yedeklemesi
  • Sağlık Denetimi Güvenlik Duvarı
  • Durum tablosu üzerinde ayrıntılı kontrol
  • 802.1Q VLAN desteği

ISO imajı indirildikten sonra kuruluma devam ediyoruz. Kurulum işlemi sırasında ağ parametrelerini, VLAN'ı vb. yapılandırmanız gerekecektir:

Bu işlem bittiğinde, web üzerinden erişebileceğiz ve güvenlik duvarı seviyesinde ilgili ayarlamaları yapabileceğiz.

BÜYÜT

İndirmesi aşağıdaki bağlantıda mevcuttur:

Bu güvenlik duvarı seçenekleriyle, Linux dağıtımlarımızda en iyi güvenlik seviyelerini sağlayabiliriz.

wave wave wave wave wave