Linux

Konfigurowanie UFW na Ubuntu

Konfigurowanie UFW na Ubuntu

Prawie każdy zaawansowany użytkownik Ubuntu jest zainteresowany bezpieczeństwem swojej sieci. Ponadto wiele osób korzysta z pewnych narzędzi sieciowych, które będą działać poprawnie dopiero po wprowadzeniu określonych reguł do zapory. Dzisiaj chcemy porozmawiać o konfigurowaniu zapory na przykładzie UFW (Uncomplicated Firewall). Jest to najprostsze narzędzie do implementacji reguł zapory ogniowej, dlatego polecane jest początkującym użytkownikom i tym, którzy nie są zadowoleni z nadmiernie złożonej funkcjonalności iptables. Przejdźmy przez całą procedurę konfiguracji krok po kroku, badając każdy krok tak szczegółowo, jak to tylko możliwe.

Konfigurowanie UFW w Ubuntu

Nie ma potrzeby instalowania UFW w systemie operacyjnym, ponieważ jest tam domyślnie obecny. Jednak w swojej standardowej formie jest nieaktywny i nie ma żadnych reguł. Zacznijmy od aktywacji, a następnie przyjrzymy się podstawowym krokom. Jednak najpierw należy przestudiować składnię, a jest to szczególnie ważne dla tych użytkowników, którzy planują korzystać z tej zapory na bieżąco.

Krok 1: Nauka składni

Jak wiesz, UFW jest narzędziem konsoli, co oznacza, że ​​jest zarządzany w standardzie "Terminal" lub jakikolwiek inny niestandardowy. Tego rodzaju interakcja jest możliwa za pomocą specjalnie ustawionych poleceń. Wszystkie są zawsze w dokumentacji, ale nie ma sensu czytać ogromnego stosu materiałów, zwłaszcza w przypadku dzisiejszego narzędzia. Zasada wprowadzania wygląda następująco: opcje akcji sudo ufw. sudo odpowiedzialny za bieganie jako superużytkownik, ufw - standardowy argument oznaczający wywoływany program, a pozostałe wyrażenia określają reguły, które należy ustawić. To nad nimi chcemy bardziej szczegółowo omówić.

  • włączyć To standardowy parametr odpowiedzialny za włączenie zapory. W tym samym czasie zostanie automatycznie dodany do uruchomienia.
  • wyłączyć - wyłącza UFW i usuwa go z uruchamiania.
  • przeładować - używany do ponownego uruchamiania zapory. Szczególnie istotne po ustaleniu nowych zasad.
  • domyślna - oznacza, że ​​następna opcja zostanie zainstalowana domyślnie.
  • Logowanie - aktywuje tworzenie plików dziennika, w których będą przechowywane wszystkie podstawowe informacje o działaniu zapory.
  • Resetowanie - resetuje wszystkie ustawienia do wartości domyślnych.
  • status - służy do przeglądania aktualnego stanu.
  • pokazać - szybki podgląd raportów z pracy zapory. Dodatkowe opcje dotyczą tego parametru, ale omówimy je w osobnym kroku.
  • dopuszczać - zaangażowany w dodawanie liberalnych zasad.
  • zaprzeczać - to samo, ale zastosowano zakaz.
  • odrzucać - dodaje regułę upuszczania.
  • limit - ustalanie reguł ograniczających.
  • usunąć - usuwa określoną regułę.
  • wstawić - wstawia regułę.

Jak widać, drużyn jest niewiele. Jest ich zdecydowanie mniej niż w innych dostępnych zaporach ogniowych, a składnię można zapamiętać po kilku próbach interakcji z UFW. Pozostaje tylko wymyślić przykładową konfigurację, która zostanie poświęcona kolejnym etapom dzisiejszego materiału.

Krok 2: Włącz / Wyłącz / Resetuj ustawienia

Postanowiliśmy wyróżnić kilka punktów konfiguracyjnych na jednym etapie, ponieważ są one częściowo ze sobą powiązane i są podobne w realizacji. Jak już wiesz, UFW jest początkowo wyłączony, więc włączmy go jednym poleceniem.

  1. Otwórz panel aplikacji i uruchom "Terminal"... Możesz otworzyć konsolę w inny wygodny dla siebie sposób.

    2. Przejdź do terminala, aby dalej skonfigurować zaporę UFW w systemie Ubuntu

  2. Przed aktywacją sprawdź, czy Ty lub inna aplikacja aktywowaliście już wcześniej zaporę. Odbywa się to poprzez wprowadzenie polecenia stan sudo ufw.

    3. Polecenie do sprawdzenia aktualnego stanu zapory UFW w Ubuntu

  3. Wprowadź hasło, aby uzyskać uprawnienia administratora i kliknij Wchodzić... Zwróć uwagę, że ta metoda wprowadzania nie wyświetla znaków w ciągu ze względów bezpieczeństwa.

    4. Wprowadzenie hasła superużytkownika podczas interakcji z UFW w Ubuntu

  4. W nowej linii otrzymasz informację o aktualnym stanie UFW.

    5. Przeglądanie informacji o aktualnym stanie zapory UFW w Ubuntu

  5. Firewall aktywowany jest przez parametr już wspomniany powyżej, a całe polecenie wygląda tak: sudo ufw włącz.

    6. Wprowadzenie polecenia aktywacji zapory UFW w systemie Ubuntu

  6. Zostaniesz powiadomiony, że zapora jest włączona i zostanie uruchomiona wraz z systemem operacyjnym.

    7. Informacje o pomyślnej aktywacji zapory UFW w Ubuntu

  7. Aby wyłączyć użyj sudo ufw wyłącz.

    8. Polecenie wyłączenia funkcji zapory UFW w systemie Ubuntu

  8. Prawie ta sama wiadomość poinformuje Cię o dezaktywacji.

    9. Pomyślnie wyłącz zaporę UFW w Ubuntu

  9. W przyszłości, jeśli chcesz zresetować reguły lub musisz to zrobić teraz, wstaw polecenie sudo ufw reset i naciśnij klawisz Wchodzić.

    10. Polecenie resetowania bieżących ustawień zapory UFW w systemie Ubuntu

  10. Potwierdź reset, wybierając odpowiednią odpowiedź.

    11. Potwierdzenie resetowania reguł podczas przywracania domyślnych ustawień UFW w Ubuntu

  11. Zobaczysz sześć różnych wierszy z adresami zapasowymi. W dowolnym momencie możesz przenieść się do tej lokalizacji, aby przywrócić ustawienia.

    12. Informacje o tworzeniu kopii zapasowych UFW w systemie Ubuntu

Teraz wiesz, które polecenia są odpowiedzialne za kontrolowanie ogólnego zachowania zapory ogniowej, którą dzisiaj recenzujemy. Wszystkie pozostałe kroki będą skupiać się wyłącznie na konfiguracji, a same parametry są podane jako przykład, to znaczy należy je zmieniać w zależności od potrzeb.

Krok 3: Ustaw reguły domyślne

Konieczne jest zastosowanie domyślnych reguł, które będą miały zastosowanie do wszystkich połączeń przychodzących i wychodzących, które nie zostały wymienione osobno. Oznacza to, że wszystkie połączenia przychodzące, które nie zostały wyznaczone ręcznie, zostaną zablokowane, podczas gdy połączenia wychodzące zakończą się powodzeniem. Cały schemat jest realizowany w następujący sposób:

  1. Uruchom nową sesję konsoli i wprowadź polecenie sudo ufw domyślnie odrzuca przychodzące... Aktywuj go naciskając klawisz Wchodzić... Jeśli zapoznałeś się już z powyższymi regułami składni, wiesz, że oznacza to blokowanie wszystkich połączeń przychodzących.

    2. Wprowadzenie polecenia ustawiania standardowych domyślnych reguł dla przychodzących połączeń UFW w systemie Ubuntu

  2. Będziesz musiał wprowadzić hasło superużytkownika. Będziesz go określać przy każdym uruchomieniu nowej sesji konsoli.

    3. Wprowadzanie hasła superużytkownika podczas wprowadzania zmian UFW w Ubuntu

  3. Po zastosowaniu polecenia zostaniesz powiadomiony, że domyślna reguła została zastosowana.

    4. Ubuntu Incoming UFW Inbound Defaults Changes Pomyślnie

  4. W związku z tym musisz ustawić drugie polecenie, które pozwoli na połączenia wychodzące. To wygląda tak: sudo ufw domyślnie zezwalaj na wychodzące.

    5. Wprowadzenie polecenia ustawiania domyślnych reguł połączeń wychodzących w UFW w Ubuntu

  5. Po raz kolejny pojawia się komunikat, że reguła została zastosowana

    6. Informacje na temat stosowania domyślnych reguł ruchu wychodzącego w UFW w systemie Ubuntu

Teraz nie musisz się martwić, że jakiekolwiek nieznane próby połączenia przychodzącego zakończą się sukcesem i ktoś będzie mógł uzyskać dostęp do Twojej sieci. Jeśli nie zamierzasz blokować absolutnie wszystkich prób połączenia przychodzącego, pomiń powyższą regułę i przejdź do tworzenia własnej, po szczegółowym przestudiowaniu następnego kroku.

Krok 4: Dodaj własne reguły zapory

Reguły zapory to główna konfigurowalna opcja, w przypadku której użytkownicy używają UFW. Posługując się narzędziem OpenSSH jako przykładem, rozważymy teraz przykład uprawnień dostępu, a także nie zapomnimy o blokowaniu przez porty. Najpierw należy pamiętać o dodatkowych komendach składni odpowiedzialnych za dodawanie reguł:

  • ufw zezwalaj nazwa_usługi
  • ufw zezwala na port
  • ufw zezwala na port / protokół

Następnie możesz bezpiecznie rozpocząć tworzenie reguł zezwalających lub odmawiających. Przyjrzyjmy się kolejno każdemu typowi polisy.

  1. Posługiwać się sudo ufw zezwalaj na OpenSSH aby otworzyć dostęp do portów usługi.

    2. Ustawienie reguły połączenia dla usługi poprzez jej nazwę w UFW w Ubuntu

  2. Zostaniesz powiadomiony, że zasady zostały zaktualizowane.

    3. Informacje o stosowaniu zmian w UFW w Ubuntu

  3. Możesz także otworzyć dostęp, określając port, a nie nazwę usługi, która wygląda następująco: sudo ufw zezwalaj na 22.

    4. Wpisanie polecenia tworzenia reguł numerów portów w UFW w Ubuntu

  4. To samo dzieje się również w przypadku portu / protokołu - sudo ufw zezwalaj na 22 / tcp.

    5. Wprowadzenie polecenia dodania numeru portu i reguł protokołu do UFW w Ubuntu

  5. Po dodaniu reguł sprawdź listę dostępnych aplikacji wpisując Lista aplikacji sudo ufw... Jeśli wszystko zostało pomyślnie zastosowane, wymagana usługa zostanie wyświetlona w jednym z poniższych wierszy.

    6. Przeglądanie listy usług dodanych do zapory UFW w systemie Ubuntu

  6. Jeśli chodzi o zezwalanie i zabranianie przesyłania ruchu na portach, odbywa się to poprzez wprowadzenie składni ufw zezwala na port kierunkowy... Na poniższym zrzucie ekranu widać przykład zezwalania na ruch wychodzący według portu (sudo ufw zezwalają na 80 / tcp), a także zakazująca polityka w tym samym kierunku w nadchodzącym kierunku (sudo ufw deny w 80 / tcp).

    7. Ustalanie reguł kierowania ruchu do UFW w Ubuntu

  7. Jeśli interesuje Cię przykład dodawania polityki poprzez wprowadzenie szerszej notacji składniowej, skorzystaj z przykładu ufw zezwala na protokół protokołu z source_ip do portu docelowego_ip port_docelowy.

    8. Ustawianie rozszerzonych reguł składni w UFW na Ubuntu

Krok 5: ustalanie reguł limitów

Przenieśliśmy temat ustalania reguł limitów na osobny etap, ponieważ musimy omówić to bardziej szczegółowo. Ta reguła ogranicza liczbę połączonych adresów IP do jednego portu. Najbardziej oczywistym zastosowaniem tej opcji jest ochrona przed atakami siłowymi. Standardowa polityka jest instalowana w następujący sposób:

  1. W konsoli napisz sudo ufw limit ssh / tcp i kliknij Wchodzić.

    2. Ustawianie limitów portów podczas konfigurowania zapory UFW w systemie Ubuntu

  2. Wprowadź hasło do swojego konta superużytkownika.

    3. Wprowadzenie hasła w celu ustawienia limitów łączenia się z portem UFW w Ubuntu

  3. Zostaniesz powiadomiony, że aktualizacja reguł powiodła się.

    4. Informacje o aktualizacji reguł limitu UFW na Ubuntu

W ten sam sposób zasady ograniczeń są ustawiane dla innych aplikacji. Użyj do tego nazwy usługi, portu lub portu / protokołu.

Krok 6: Wyświetl stan UFW

Czasami użytkownik musi zobaczyć aktualny stan firewalla, nie tylko pod względem aktywności, ale także ustalonych reguł. Jest do tego osobne polecenie, o którym mówiliśmy wcześniej, a teraz rozważymy to bardziej szczegółowo.

  1. Zarejestrować stan sudo ufwaby uzyskać standardowe informacje.

    2. Polecenie do sprawdzenia aktualnego stanu działania ekranu UFW w Ubuntu

  2. Wszystkie zainstalowane polityki według adresów, protokołów i nazw usług zostaną wyświetlone w nowych wierszach. Działania i wskazówki są wyświetlane po prawej stronie.

    3. Pokazywanie podstawowych reguł podczas przeglądania stanu ekranu UFW w systemie Ubuntu

  3. Bardziej szczegółowe informacje są wyświetlane w przypadku użycia dodatkowego argumentu, a polecenie staje się sudo ufw status verbose.

    4. Wyświetl szczegółowe informacje o istniejących regułach UFW w Ubuntu

  4. Wyświetlana jest lista wszystkich reguł w niezrozumiałej dla początkujących użytkowników formie sudo ufw show raw.

    5. Wyświetlanie wszystkich reguł rozwiniętych w UFW w Ubuntu

Istnieją inne opcje, które wyświetlają określone informacje o istniejących regułach i stanie zapory. Rzućmy okiem na wszystkie z nich:

  • surowy - pokazuje wszystkie aktywne reguły w formacie prezentacji iptables.
  • wbudowane - obejmuje tylko reguły dodane jako domyślne.
  • zasady wstępne - Wyświetla zasady, które są wykonywane przed zaakceptowaniem pakietu z zewnętrznego źródła.
  • zasady użytkownika - odpowiednio pokazuje polityki dodane przez użytkownika.
  • reguły końcowe - to samo, co przed regułami, ale obejmuje tylko te reguły, które są aktywowane po zaakceptowaniu pakietów.
  • zasady logowania - wyświetla informacje o zdarzeniach zapisywanych w logu.
  • słuchający - służy do przeglądania aktywnych (nasłuchujących) portów.
  • dodany - jest używany podczas przeglądania nowo dodanych reguł.

W razie potrzeby możesz skorzystać z dowolnej z tych opcji, aby uzyskać żądane informacje i wykorzystać je do własnych celów.

Krok 7: Usuwanie istniejących reguł

Niektórzy użytkownicy po otrzymaniu niezbędnych informacji o istniejących regułach chcą usunąć część z nich w celu nawiązania połączenia lub ustawienia nowych polityk. Rozważana zapora ogniowa pozwala to zrobić w dowolnym dostępnym momencie, co odbywa się w następujący sposób:

  1. Wstaw polecenie sudo ufw delete allow out 80 / tcp... Automatycznie usunie regułę zezwalającą na połączenia wychodzące na porcie / protokole 80 / TCP.

    2. Usuwanie reguły wychodzącej w UFW na Ubuntu

  2. Zostaniesz powiadomiony, że polityka została pomyślnie usunięta zarówno dla IPv4, jak i IPv6.

    3. Informacje o pomyślnym usunięciu reguły wychodzącej UFW w systemie Ubuntu

  3. To samo dotyczy blokowania połączeń, na przykład sudo ufw delete deny in 80 / tcp.

    4. Usunięcie reguły blokującej przychodzące połączenia portów w UFW w Ubuntu

Użyj opcji widoku stanu, aby skopiować wymagane reguły i usunąć je, tak jak pokazano w przykładzie.

Krok 8: Włącz rejestrowanie

Ostatnim krokiem dzisiejszego artykułu jest aktywacja opcji, która będzie automatycznie zapisywać informacje o zachowaniu UFW od czasu do czasu do osobnego pliku. Nie jest to konieczne dla wszystkich użytkowników, ale jest używane w następujący sposób:

  1. pisać sudo ufw loguje się i naciśnij Wchodzić.

    2. Polecenie aktywacji zapisywania dziennika zdarzeń UFW w Ubuntu

  2. Poczekaj na powiadomienie, że dziennik zostanie teraz zapisany.

    3. Powiadomienie o pomyślnej aktywacji zapisywania dziennika zdarzeń UFW w Ubuntu

  3. Możesz na przykład skorzystać z innej opcji nośnik logowania sudo ufw... Jest wciąż Niska (przechowuje tylko informacje o zablokowanych pakietach) i wysoki (zapisuje wszystkie informacje). Środkowa opcja rejestruje zablokowane i dozwolone pakiety.

    4. Wybór opcji włączenia logowania w zaporze UFW w systemie Ubuntu

Powyżej nauczyłeś się wszystkich ośmiu kroków, które są używane do konfiguracji zapory UFW w systemie operacyjnym Ubuntu. Jak widać, jest to bardzo prosta zapora ogniowa, która będzie odpowiednia nawet dla początkujących użytkowników ze względu na łatwość opanowania składni. UFW nadal można nazwać dobrym zamiennikiem standardowego iptables, jeśli nie jesteś z niego zadowolony.