Τα τελευταία χρόνια βλέπουμε τις συνέπειες της έλλειψης μέτρων ασφαλείας στους υπολογιστές και τα δίκτυα υπολογιστών μας. Σε αυτό το άρθρο Θα δούμε πώς να ρυθμίσετε το τείχος προστασίας στο Ubuntu.
Ένα τείχος προστασίας, το οποίο συνήθως μεταφράζεται στη γλώσσα μας ως τείχος προστασίας, είναι ένας μηχανισμός ασφαλείας που έχει σχεδιαστεί για να ελέγχει και να φιλτράρει όλη την κίνηση δεδομένων υπολογιστή που κυκλοφορεί μέσα σε ένα δίκτυο. Η χρήση του αποσκοπεί στην αποτροπή μη εξουσιοδοτημένης πρόσβασης σε πόρους δικτύου ή μεμονωμένες συσκευές πρόσβασης από μη εξουσιοδοτημένα άτομα. από άλλα δίκτυα που χρησιμοποιούν το Διαδίκτυο. Ενώ τα τείχη προστασίας μπορεί να είναι συσκευές υλικού, προγράμματα λογισμικού ή συνδυασμός και των δύο, σε αυτό το άρθρο θα επικεντρωθούμε σε ένα συγκεκριμένο εργαλείο λογισμικού.
Ίσως ο πιο κατάλληλος παραλληλισμός είναι αυτός των τελωνείων που βρίσκονται στα σύνορα μεταξύ χωρών.. Το τείχος προστασίας αναλύει τα εισερχόμενα και εξερχόμενα πακέτα δεδομένων και αξιολογεί εάν θα επιτρέπεται η διέλευση μεταξύ του εσωτερικού και του εξωτερικού δικτύου. Αυτό το κάνει σύμφωνα με προκαθορισμένους κανόνες. Για παράδειγμα, επιτρέπει στο πρόγραμμα περιήγησης να έχει πρόσβαση στο Διαδίκτυο αλλά όχι στον επεξεργαστή κειμένου.
Το υποσύστημα Netfilter
Σε επίπεδο πυρήνα, διανομές που βασίζονται σε Linux Προσφέρουν ένα στοιχείο γνωστό ως Netfilter που είναι υπεύθυνο για το φιλτράρισμα πακέτων και άλλους τρόπους επεξεργασίας τους σε επίπεδο IP.
Το Netfilter προσφέρει μια σειρά από αγκίστρια που, όπως τα διόδια, είναι υπεύθυνα για την αποτροπή της διέλευσης μη εξουσιοδοτημένων πακέτων. Κάποιοι από αυτούς είναι:
- ΔΡΟΜΟΛΟΓΗΣΗ: Είναι υπεύθυνο για την υποκλοπή πακέτων κατά την άφιξη.
- ΕΙΣΑΓΩΓΗ: Ασχολείται με πακέτα που προορίζονται για τον τοπικό κεντρικό υπολογιστή.
- ΠΡΟΣ ΤΑ ΕΜΠΡΟΣ: Είναι αυτός που εξετάζει τα πακέτα που πρόκειται να προωθηθούν.
- ΠΑΡΑΓΩΓΉ: Αυτά είναι τα πακέτα που προέρχονται τοπικά και θα φύγουν από τον κεντρικό υπολογιστή.
- ΜΕΤΑ ΣΤΡΟΟΥΤΙΣΤΙΚΟ: Εργαστείτε με πακέτα όταν πρόκειται να φύγουν.
Πώς να ρυθμίσετε το τείχος προστασίας στο Ubuntu
Όπως είπαμε παραπάνω, είναι απαραίτητο να θεσπιστούν οι κανόνες που καθορίζουν τι πρέπει να κάνουν τα hook με τα πακέτα. Παραδοσιακά, για αυτό χρησιμοποιήθηκε ένα εργαλείο που ονομάζεται iptables, το οποίο με την πάροδο του χρόνου αντικαταστάθηκε από τα nftables. Είναι εργαλεία με τα οποία Μπορούμε να ορίσουμε τους κανόνες που καθορίζουν την επεξεργασία των διαφορετικών πακέτων ανάλογα με το στάδιο μετάδοσης και λήψης στο οποίο βρίσκονται.
Τα δύο εργαλεία που αναφέραμε είναι λίγο πολύπλοκα στη χρήση τουςΤο e Ubuntu και άλλες διανομές Linux περιλαμβάνουν ένα εργαλείο που ονομάζεται UFW που διευκολύνει την προστασία του συστήματός μας.
Μπορούμε να εγκαταστήσουμε το UFW με την εντολή:
sudo apt install ufw
Για να μάθετε αν είναι ενεργοποιημένο:
sudo ufw status
Αυτό μας δείχνει αν είναι ενεργοποιημένο. Δεν χρειάζεται να είναι κανόνες προγραμματισμού.
Το ενεργοποιούμε με:
sudo ufw enable
Μπορούμε να δούμε τους κανόνες που καθορίζονται με:
sudo ufw show added
Για να δούμε ποιοι είναι οι προεπιλεγμένοι κανόνες μπορούμε να γράψουμε:
sudo ufw status verbose
Εάν αυτό που θέλουμε είναι να αλλάξουμε μια συγκεκριμένη πολιτική, πληκτρολογούμε:
sudo ufw default deny nombre_de_la_política
Για να παρακάμψετε ή να επιτρέψετε μια πολιτική:
sudo ufw default allow nombre_de_la_política
Για να προσθέσουμε κανόνες σε μια συγκεκριμένη θύρα κάνουμε:
sudo ufw allow out número de puerto
Καταργούμε τους κανόνες με:
sudo ufw delete allow out número_de_puerto.
Είναι επίσης δυνατό να εκχωρήσετε έναν κανόνα σε μια συγκεκριμένη περιοχή IP:
sudo ufw allow from ip_origen to any port número_de_puerto proto tcp
Το UFW είναι προγραμματισμένο από προεπιλογή για να επιτρέπει όλη την εξερχόμενη κίνηση και να αποτρέπει κάθε ανεπιθύμητη εξωτερική πρόσβαση. Από προεπιλογή λειτουργεί με τα πρωτόκολλα IPv4 και IPv6, τα γράμματα είναι το ακρωνύμιο του Πρωτοκόλλου Διαδικτύου.
Η θεμελιώδης διαφορά μεταξύ των δύο πρωτοκόλλων είναι ότι το IPv6 επιτρέπει την εργασία με μεγαλύτερο αριθμό μοναδικών διευθύνσεων. Ωστόσο, η υποστήριξη για αυτό το πρωτόκολλο μπορεί να απενεργοποιηθεί με:
sudo nano /etc/default/ufw
Και αλλάζοντας από Ναι σε Όχι στη γραμμή που αντιστοιχεί στο IPv6.
Αυτή είναι μια σύντομη εισαγωγή στο UFW, μπορείτε να μάθετε περισσότερα για τη χρήση του πληκτρολογώντας στο τερματικό
man ufw