Brandväggar

Från Archlinux wiki
Hoppa till: navigering, sök

En brandvägg är ett system som används för att förhindra obehörig åtkomst till eller från ett privat nätverk (vilket kan bestå av endast en maskin). Brandväggar kan implementeras i endast hårdvara, endast mjukvara eller en kombination av båda två. De används ofta för att förhindra obehöriga internetanvändare från att komma åt privata nätverk anslutna till internet, speciellt intranät. Alla meddelanden som lämnar eller kommer in till intranätet passerar då genom brandväggen som undersöker det och tillåter, proxy:ar eller nekar trafiken baserat på i förväg specificerade kriterier.

En bra lista över brandväggar finns här.

Det finns många poster i forumen om olika brandväggsapplikationer och skript så detta är en sammanfattning av det - lägg gärna till dina kommentarer om varje brandvägg, speciellt hur enkla de är att använda och en säkerhetskoll med Shields Up.

Innehåll

iptables

Linuxkärnan i sig har en väldigt kraftfull brandvägg som heter iptables. Andra brandväggar är ofta bara front-ends till iptables.

Se artiklen om iptables(engelska) för mer information.

Mer information (engelska):

iptables front-ends

Arno's Firewall

Arno's IPTABLES Firewall Script är en säker brandvägg både för singel- och multi-homed maskiner.

Skriptet:

  • ENKELT att konfigurera och väldigt flexibel.
  • daemon-skript inkluderas.
  • ett filtreringsskript som gör brandväggsloggen mer läsbar.

Stödjer:

  • NAT och SNAT
  • Port forwarding
  • ADSL Ethernet modem med både statisk och dynamisk IP-adress
  • MAC-adress filtrering
  • Detektering av portskanning efter stealth-portar
  • DMZ och DMZ-2-LAN forwarding
  • Skydd mot SYN/ICMP-flooding
  • Omfattande användardefinierbar loggning med begränsning för att förhindra över-loggning.
  • Alla IP-protokoll och VPN:s som IPSec
  • Pluginstöd för att kunna lägga till extra funktionalitet

ferm

ferm (vilket står för "For Easy Rule Making") är ett verktyg för att hantera komplexa brandväggar utan bekymret att behöva skriva om komplexa regler om och om igen. ferm tillåter att brandväggens hela reglelset sparas i en separat fil som kan laddas in med ett enda kommando. Konfigureringen av brandväggen liknar ett strukturerat programmeringsspråk vilket kan innehålla nivåer och listor.

Firehol

FireHOL är ett språk för att uttrycka brandväggsregler och inte bara ett script som producerar någon typ av brandvägg. Det gör uppbyggnad av även sofistikerade brandväggar enkelt - så som du vill ha det. Resultatet är iptables-regler.

firehol är tillgängligt i community repositoryt.

Firetable

Firetable är en brandvägg baserad på iptables med syntax som är läsbar för människor.

firetable är tillgänligt i AUR.

gShield

gShield är ett väldigt enkelt system för att konfigurera iptables (har inget att göra med Gnome). Enkelt att konfigurera, blockerar (nästan) allt onödigt per default. Kontrolleras av endast en konfigurationsfil. Den gav mig full stealth på grc.com.

gshield är tillgänligt i AUR.

Fördelar:

  • Enkelt att konfigurera
  • Endast en konfigurationsfil
  • Ger dig en iptables-konfiguration, vilket är den bästa brandväggen.

Nackdelar:

  • Inget grafiskt användargränssnitt.

Shorewall

The Shoreline Firewall, mer känt som bara Shorewall, är ett högnivå-verktyg för att konfigurera Netfilter. Du beskriver din brandväggs/gateways krav med entries i ett set med konfigurationsfiler. Shorewall läser dessa konfigurationsfiler och med hjälp av iptables konfigurerar Shorewall Netfilter så att det stämmer överrens med dina krav. Shorewall kan användas på en dedikerat brandvägg, en flerfunktions gateway/router/server eller på ett självständigt GNU/Linux-system. Shorewall använder inte Netfilters kompatibilitetsläge för ipchains och kan därför utnyttja Netfilters förmåga att följa anslutningstillstånd.

shorewall är tillgänligt i community repositoryt.

uruk

uruk laddar en rc-fil som definierar nätverkets accesspolicy och implementerar denna policy genom att sätta upp iptables-regler.

uruk är inte tillgängligt i något Arch Linux-repository.

ufw

ufw (uncomplicated firewall) är ett enkelt front-end till iptables och är tillgänligt i community repositoryt. För en enkel brandvägg med ssh-access, utför följande:

sudo ufw allow ssh/tcp
sudo ufw logging on
sudo ufw enable

Detta sparar reglerna för iptables. Redigera din rc.conf för att starta ufw vid systemstart (i DAEMONS-arrayn).

Med ufw kan man även skapa applikationsregler genom att lägga dem i /etc/ufw/applications.d/. För applikationer som Samba som använder flera UDP- och TCP-portar är det enklast att skapa en applikationsregel som tillåter alla portarna:

sudo vi /etc/ufw/applocations.d/samba
[Samba]
title=Windows file and printer server for Unix
description=Tools to access a server's filespace and printers via SMB
ports=137,138/udp|139,445/tcp

Notera att tecknet "|" används för att separera UPD- och TCP-portar åt. Kommatecken används för att separera portnumren i sig.

För applikationer som använder andra portar beroende på konfiguration, t.ex. Apache, kan regelfiler innehålla flera regel-set.

sudo vi /etc/ufw/applications.d/apache
[Apache]
title=Web Server
description=A high performance Unix-based HTTP server
ports=80/tcp

[Apache Secure]
title=Web Server (HTTPS)
description=A high performance Unix-based HTTP server
ports=443/tcp

[Apache Full]
title=Web Server (HTTP,HTTPS)
description=A high performance Unix-based HTTP server
ports=80,443/tcp

För att lista de tillgängliga applikationernas inställningar, använd:

sudo ufw app list
Available applications:
 Apache
 Apache Full
 Apache Secure
 Samba

För att tillåta endast Apaches HTTPS-service:

sudo ufw allow Apache Secure

För att endast tillåta tillgång till Samba inom ditt LAN:

sudo ufw allow from 192.168.0.0/24 to any app Samba

Vidare dokumentation: Ubuntu Firewall Help

Vuurmuur

Vuurmuur är en kraftfull brandväggshanterare byggd på iptables. Den har en enkel konfigarion som tillåter både simpla och komplexa konfigurationer. Konfigurationen kan helt skötas via ncurses GUI vilket tillåter säker fjärradministration genom SSH eller i konsolen. Vuurmuur stödjer trafikformning och har kraftfulla övervakningsfunktioner vilket tillåter administratören att titta på loggar, anslutningar och användning av bandbredd i realtid.

Vuurmuur är tillgänglig i AUR.

iptables GUIs

Firestarter

Firestarter är ett bra GUI för iptables, det har möjligheten att använda både white- och black-listning för att styra trafik, är väldigt enkelt att använda och har bra dokumentation på deras hemsida.

Firestarter har Gnome-beroende och är tillgänligt i AUR.

Guarddog

Guarddog är ett väldigt användarvänligt GUI för att konfigurera iptables. Efter att ha satt upp en grundläggande skrivbordskonfiguration klarar den alla Shields Up-test perfekt.

Guarddog kräver kdelivs3 och är tillgänligt i AUR.

För att brandväggsinställningarna ska appliceras vid uppstart måste du köra /etc/rc.firewall inifrån /etc/rc.local eller något liknande.

Gufw

Gufw är en användarvänlig Ubuntu/Linux-brandvägg baserad på ufw.

Gufw är ett enkelt och intuitivt sätt att hantera din Linuxbrandvägg. Det stödjer vanliga uppgifter som att tillåta eller blockera förkonfigurerade vanliga p2p eller individuella portar och mycket annat. Gufw är baserad på ufw och kan köras på Ubuntu och överallt annars där det finns Python, GTK och ufw.

KMyFirewall

KMyFirewall är ett KDE3-GUI för iptables.

Konfigurering av brandväggen är enkelt nog att använda för att passa nybörjare men också för att tillåta sofistikerad anpassning av inställningarna.

KMyFirewall kräver kdelibs3 och är tillgängligt i AUR.

Firewall Builder

Firewall Builder är "ett GUI för konfigurering och hantering av brandvägg som stödjer iptables (netfilter), ipfilter, pf, ipfw, Cisco PIX (FWSM, ASA) och Cisco routrar utökade åtkomstlista. [...] Programmet kan köras på Linux, FreeBSD, OpenBSD, Windows och Mac OS X och kan hantera både lokala och fjärr-brandväggar" Källa: http://www.fwbuilder.org/

fwbuilder är tillgänligt i extra repositoryt.

Personliga verktyg
På andra språk