Введение
Настройка защищенной сети с использованием современных межсетевых экранов и таблиц IP-адресов может быть сопряжена с определенными трудностями. Вот несколько трудностей, с которыми вы можете столкнуться:
- Сложность: настройка и управление современными межсетевыми экранами и IP-таблицами может быть сложной, особенно для пользователей, не знакомых с концепциями сетевой безопасности. Понимание синтаксиса, правил и политик, связанных с этими инструментами, требует технических знаний и хорошего понимания сетевых протоколов;
- Управление правилами: создание и управление правилами межсетевого экрана и таблицами IP-адресов может быть сложной задачей, особенно если речь идет о большом количестве правил или сложных сетевых конфигурациях. Очень важно тщательно разрабатывать и поддерживать правила, чтобы обеспечить надлежащую безопасность сети, не блокируя легитимный трафик и не оставляя открытых уязвимостей;
- Совместимость: обеспечение совместимости между современными межсетевыми экранами, IP-таблицами и сетевой инфраструктурой может оказаться непростой задачей. Различные межсетевые экраны имеют различные функции, синтаксис и конфигурации, что может потребовать дополнительных исследований или устранения неполадок для их интеграции в конкретную сетевую среду;
- Мониторинг и обслуживание: постоянный мониторинг и обслуживание межсетевого экрана и IP-таблиц необходимы для поддержания безопасности сети. Регулярное обновление правил, просмотр журналов и анализ сетевого трафика могут отнимать много времени, но очень важны для выявления и снижения потенциальных рисков безопасности.
Постоянное знакомство с передовыми методами обеспечения безопасности и поиск соответствующих ресурсов или документации может помочь сориентироваться в сложностях, связанных с эффективной защитой сети. В этой инструкции мы предлагаем решение для начинающих пользователей, знакомящихся с сетевой безопасностью.
Требования
- Административные права;
- Ubuntu версии 20.04 или выше;
- Начальные знания об ОС;
- Подключение к Интернету.
Установка
Прежде всего, необходимо обновить индекс пакетов во всей системе, так как наша ОС могла устареть:
После этого проводится инвентаризация всех интерфейсов и сетевых подключений в системе для составления плана. Как построить более надежный и безопасный периметр нашей ОС и прилегающей сети?
Классическая схема представляет собой две основные концепции: запретить весь трафик по причине человеческого фактора, объясняющий уязвимости и слабые места, которые не устраняют, и сверх этого разрешить весь легитимный трафик на соединения и запросы.
Рассмотрим план и выполним пошаговую настройку.
Установите все необходимые для вашей системы пакеты с помощью приведенной ниже команды:
Подтвердите установку пакета нажатием кнопки Y. Дождитесь окончания всего процесса, после чего сможем приступить к настройке нашей системы:
На экране выше мы видим все интерфейсы нашей системы, которые должны быть защищены правилами UFW.
Конфигурирование и защита сети
У нас есть внутренняя — enp0s5 и внешняя — enp0s6 сети. Прежде чем добавить некоторые правила, следует учесть, что каждое новое правило с условиями имеет более высокий приоритет, чем предыдущие. Например, мы добавляем запрещающее правило для всех интерфейсов, а затем разрешаем подключение по одному типу протокола. Это правило будет добавлено, и в результате мы получим сеть с запрещенными соединениями вообще, с исключением одного типа протокола.
Запретим весь трафик с помощью следующей команды:
Для настройки правил вначале включаем утилиту и устанавливаем правила по умолчанию для всех интерфейсов.
Затем для локального процесса нам необходимо разрешить внутренний трафик между основными компонентами ОС:
Необходимо указать диапазон IP-адресов для внутренней сети, что позволит обрабатывать весь трафик от устройств в этой области.
Далее мы разрешаем исходящий трафик с машины и запрещаем входящий из WAN:
Разрешить трафик ping по протоколу SSH:
Разрешить DNS-соединение:
Разрешить HTTP и HTTPS-соединение для пользователей сети:
Проверьте весь трафик с помощью команды тестирования:
Как видно, все правила имеют право блокировать входящий и исходящий трафик. Для удаления этих правил введите:
Это минимальная настройка для вашего сервера, которая может защитить от нелегитимного трафика, поступающего из глобальной сети.
Правила отключения
Если у вас есть причина для сброса правил брандмауэра, вы можете воспользоваться действием reset в утилите ufw:
Есть также возможность отключения файрволла:
Кроме того, можно полностью удалить пакет с ПО:
Вывод
Настройка защищенной сети с помощью современных межсетевых экранов и IP-таблиц может быть сложной и трудной задачей, особенно для пользователей, не знакомых с концепциями сетевой безопасности. Она требует понимания синтаксиса, правил и политик, связанных с этими средствами, а также обеспечения совместимости с сетевой инфраструктурой. Постоянный мониторинг и сопровождение являются важнейшими условиями поддержания безопасности сети и снижения возможных рисков.
Для решения этих задач рекомендуется хорошо разбираться в концепциях сетевой безопасности или обращаться за помощью к профессионалам, имеющим опыт работы в области сетевой безопасности. Постоянное знакомство с передовыми методами обеспечения безопасности и использование соответствующих ресурсов и документации поможет эффективно справиться со всеми сложностями защиты сети.
Приведенные инструкции позволяют новичкам приобрести опыт и знания в области сетевой безопасности. Обновление системы, установка необходимых пакетов и настройка UFW (Uncomplicated Firewall) шаг за шагом помогут пользователям создать защищенную сеть. В инструкциях рассматриваются такие понятия, как запрет всего трафика, разрешение определенных протоколов и соединений, а также применение правил для входящего и исходящего трафика. Подчеркивается важность защиты внутренних и внешних интерфейсов, а также гибкость включения и отключения брандмауэра по мере необходимости.