Cel mai bun firewall pentru sisteme Linux 2018

Una dintre cele mai eficiente măsuri de securitate pe care le putem implementa în orice organizație, inclusiv la nivel personal, este utilizarea unui firewall care îndeplinește funcția de monitorizare și control al modului în care pachetele de rețea intră și părăsesc rețeaua locală.

Un firewall permite traficului să fie activat sau nu prin anumite porturi, pentru a adăuga noi reguli de trafic și în acest fel pentru a avea un control mult mai precis și direct asupra întregii probleme de rețea, ceea ce este unul dintre cele mai delicate din punct de vedere al securității.

Astăzi, Solvetic va analiza unele dintre cele mai bune firewall-uri pentru Linux și va avea astfel o alternativă de securitate practică.

iptables

Iptables este un instrument de linie de comandă care este frecvent utilizat pentru a configura și gestiona setul de reguli de filtrare a pachetelor în mediile Linux 2.4.x și ulterior. Este unul dintre cele mai utilizate instrumente pentru firewall și are capacitatea de a filtra pachetele din stiva de rețea din același nucleu.

Pachetul iptables include de asemenea ip6tables, cu ip6tables putem configura filtrul de pachete IPv6.

Unele dintre principalele sale caracteristici sunt

• Listează conținutul setului de reguli pentru filtrul de pachete

• Inspectați doar anteturile pachetelor, ceea ce face procesul mult mai agil

• Vă permite să adăugați, să eliminați sau să modificați regulile, după cum este necesar în seturile de reguli ale filtrului de pachete

• Suporta backup și restaurare cu fișiere.

Iptables în Linux gestionează următoarele fișiere:

Este un script init pentru a porni, opri, reporni și salva regulile

 /etc/init.d/iptables 

Acest fișier este locul în care sunt salvate seturile de reguli

 / etc / sysconfig / iptables 

Se aplică binarelor Iptables

 / sbin / iptables 

Configurați Iptables

IPCop Firewall

IPCop Firewall este o distribuție de firewall Linux, care se adresează utilizatorilor casnici și SOHO (birouri mici) Interfața web IPCop este foarte ușor de utilizat și o face ușor de utilizat. Puteți configura un computer ca VPN sigur pentru a oferi un mediu sigur pe Internet. Include informații utilizate frecvent pentru a oferi utilizatorilor o experiență de navigare web mai bună.

În principalele sale caracteristici le avem

• Are o interfață web codificată prin culori care ne permite să monitorizăm graficele de performanță pentru procesor, memorie și disc, precum și performanța rețelei

• Vizualizați și rotiți automat înregistrările

• Asistență în mai multe limbi

• Oferă o actualizare sigură stabilă și ușor de implementat și adaugă patch-uri actuale la nivel de securitate

Acolo putem descărca imaginea ISO sau tipul de instalație ca mediu USB. Acest lucru este diferit de multe aplicații firewall, deoarece poate fi instalat ca o distribuție Linux. În acest caz, selectăm imaginea ISO și trebuie să parcurgem pașii expertului de instalare. Odată ce alocăm toți parametrii, vom avea acces la IPCop:

Descărcarea dvs. este disponibilă la următorul link:

IPCop Firewall

Shorewall

Shorewall este un instrument de configurare gateway sau firewall pentru GNU / Linux. Cu Shorewall avem un instrument la nivel înalt pentru configurarea filtrelor de rețea, deoarece ne permite să definim cerințele firewallului prin intrări într-un set de fișiere de configurare definite.

Shorewall poate citi fișierele de configurare și datorită ajutorului utilităților iptables, iptables-restaurare, ip și tc, Shorewall poate configura Netfilter și subsistemul rețelei Linux pentru a se potrivi cu cerințele stabilite. Shorewall poate fi utilizat într-un sistem de firewall dedicat, o rutare, un server multifuncțional sau într-un sistem GNU / Linux autonom.

Shorewall nu utilizează modul de compatibilitate ipchains Netfilter și poate profita de funcțiile de urmărire a stării conexiunii Netfilter.

Principalele sale caracteristici sunt

• Utilizați facilitățile de urmărire a conexiunilor Netfilter pentru filtrarea pachetelor de stare

• Suportă o gamă largă de aplicații de router, firewall și gateway

• Administrare centralizată de firewall

• Interfață GUI cu panoul de control Webmin

• Asistență multiplă ISP

• Acceptă mascherarea și redirecționarea porturilor

• Suport VPN

Pentru instalarea sa vom executa următoarele:

 sudo apt-get install shorewall 

$config[ads_text5] not found

UFW - Firewall necomplicat

UFW s-a poziționat în prezent ca unul dintre cele mai utile, dinamice și mai simple de utilizat firewall-uri în medii Linux. UFW reprezintă un firewall necomplicat și este un program dezvoltat pentru a gestiona un firewall netfilter. Oferă o interfață de linie de comandă și își propune să fie simplă și ușor de utilizat, de unde și numele acesteia. ufw oferă un cadru simplu pentru gestionarea netfilterului, precum și ne oferă o interfață de linie de comandă pentru controlul firewall-ului de la terminal.

$config[ads_text5] not found

În cadrul caracteristicilor sale găsim

• Compatibil IPV6

• Opțiuni extinse de înregistrare cu conexiune și deconectare

• Monitorizarea stării firewallului

• Cadru extensibil

• Poate fi integrat cu aplicații

• Permite adăugarea, ștergerea sau modificarea regulilor în funcție de necesități.

Comenzile de utilizare sunt:

 sudo apt-get install ufw (Instalare UFW) sudo status ufw (Verificați starea UFW) sudo ufw enable (Enable UFW) sudo ufw permit 2290: 2300 / tcp (Adăugați o nouă regulă) 

Configurați UFW

$config[ads_text6] not found

Vuurmuur

Vuurmuur este un administrator de firewall construit pe iptables în mediile Linux. Are o configurație simplă și ușor de utilizat, care permite configurații simple și complexe. Configurația poate fi complet configurată printr-o GUI Ncurses, care permite administrarea sigură de la distanță prin SSH sau în consolă.

$config[ads_text5] not found

Vuurmuur acceptă modelarea traficului, are funcții puternice de monitorizare care permit administratorului să vizualizeze jurnalele, conexiunile și utilizarea lățimii de bandă în timp real. Vuurmuur este un software open source și este distribuit în condițiile GPL GNU

În cadrul caracteristicilor sale găsim

• Nu necesită cunoștințe extinse despre iptables

• Are sintagme de citire a regulilor umane

• Acceptă IPv6 (experimental)

• Include modelarea traficului

• Ncurses GUI, X nu este necesar

• Procesul de portporting devine foarte simplu

• Ușor de configurat cu NAT

• Include o politică implicită securizată

• Complet gestionabil prin ssh și de la consolă (inclusiv din Windows folosind PuTTY)

• Scriptabil pentru integrare cu alte instrumente

• Include caracteristici anti-spoofing

• Afișaj în timp real

• Afișaj conexiune în timp real

• Cont cu jurnalul de audit: toate modificările sunt înregistrate

• Înregistrare de conexiuni noi și pachete proaste

• Contabilitatea volumului traficului în timp real

Pentru instalarea Vuurmuur în Ubuntu 17, trebuie să adăugăm următoarea linie în fișierul /etc/apt/sources.list:

 deb ftp://ftp.vuurmuur.org/ubuntu/ lucid principal 

În cazul utilizării Debian vom introduce următoarele:

 deb ftp://ftp.vuurmuur.org/debian/ squeeze main 

Mai târziu vom executa următoarele comenzi:

 actualizare sudo apt-get (pachete de actualizare) sudo apt-get install libvuurmuur vuurmuur vuurmuur-conf (Instalare firewall) 

Odată instalat, putem folosi acest firewall pentru a crea regulile noastre.

pfSense

$config[ads_text5] not found

pfSense este o distribuție software de firewall / router pentru rețea deschisă care se bazează pe sistemul de operare FreeBSD. Software-ul pfSense este utilizat pentru a crea reguli de firewall / router dedicate unei rețele și se remarcă pentru fiabilitatea sa și oferă multiple funcții găsite în principal în firewall-uri comerciale.

Pfsense poate fi inclus cu multe pachete software gratuite pentru terți pentru o funcționalitate suplimentară.

În cadrul caracteristicilor sale găsim

• Foarte configurabil și actualizat din interfața sa bazată pe web

• Poate fi implementat ca firewall perimetru, router, server DHCP și DNS

• Poate fi configurat ca punct de acces wireless și punct final VPN

• Oferă modelarea traficului și informații în timp real despre server

• Echilibrarea sarcinii de intrare și ieșire.

Acolo putem descărca opțiunea în funcție de arhitectura pe care lucrăm. După ce imaginea ISO a fost descărcată, vom continua să o înregistrăm pe un CD sau un suport USB și pornim de acolo. Selectați opțiunea 1 sau 2 și după setarea setărilor va începe procesul de instalare.

Imaginea ISO a pfSense este disponibilă la următorul link:

pfSense

Configurați pfsense

IPFire

IPFire a fost proiectat cu diverși parametri de modularitate și un nivel ridicat de flexibilitate, ceea ce permite administratorilor să implementeze cu ușurință multe variante ale acestuia, cum ar fi un firewall, un server proxy sau un gateway VPN. Proiectarea modulară a IPFire asigură că funcționarea sa este exact în funcție de configurația sa. Când utilizăm IPFire vom avea un management simplu și putem fi actualizate prin intermediul managerului de pachete, făcând întreținerea lui mult mai simplă.

$config[ads_text6] not found

Dezvoltatorii IPFire s-au concentrat pe securitate și l-au dezvoltat ca un firewall SPI (Stateful Packet Inspection). Principalele caracteristici ale IPFire se bazează pe diverse segmente, cum ar fi:

securitate

Obiectivul principal al IPFire este securitatea și, prin urmare, are capacitatea de a segmenta rețelele pe baza nivelurilor de securitate respective și facilitează crearea de politici personalizate care gestionează fiecare segment.

Securitatea componentelor modulare în IPFire este una dintre prioritățile acestora. Actualizările sunt semnate digital și criptate, astfel încât acestea pot fi instalate automat de către Pakfire (sistemul de gestionare a pachetelor IPFire). Deoarece IPFire se conectează de obicei direct la Internet, acesta este un risc de securitate, deoarece poate fi un obiectiv principal pentru hackeri și alte amenințări. Simplu manager de pachete Pakfire oferă administratorilor încrederea că execută cele mai recente actualizări de securitate și remedieri de erori pentru toate componentele pe care le utilizează.

Cu IPFire vom avea o aplicație care ne protejează de fermele de zile zero, eliminând clase întregi de erori și exploatând vectori.

firewall

IPFire folosește un firewall SPI (Stateful Packet Inspection), care a fost construit pe netfilter (cadrul de filtrare a pachetelor Linux). În procesul de instalare IPFire, rețeaua este configurată în diferite segmente separate și fiecare segment reprezintă un grup de computere care au un nivel de securitate comun:

Segmentele sunt:

• Verde: Verde indică o zonă „sigură”. Aici stau toți clienții obișnuiți. De obicei este compus dintr-o rețea locală cu fir.

• Roșu: Roșu indică „pericol” în conexiunea la Internet. Nici o rețea nu are voie să treacă prin firewall decât dacă o configurăm în mod specific ca administratori.

• Albastru: Albastrul reprezintă partea „wireless” a rețelei locale (culoarea sa a fost aleasă pentru că este culoarea cerului). Deoarece rețeaua wireless are potențial de utilizare de către utilizatori, aceasta este identificată în mod unic, iar regulile specifice guvernează clienții din aceasta. Clienții din acest segment de rețea trebuie autorizați în mod explicit înainte de a putea accesa rețeaua.

• Portocaliu: Portocala este cunoscută sub denumirea de „zonă demilitarizată” (DMZ). Toate serverele accesibile publicului sunt separate de restul rețelei de aici pentru a limita încălcările de securitate.

Acolo putem descărca imaginea ISO a IPFire, deoarece este gestionată ca o distribuție independentă și odată configurată boot-ul. Trebuie să selectăm opțiunea implicită și să urmăm pașii expertului. Odată instalat, putem accesa prin web cu următoarea sintaxă:

 http: // IP_address: 444 

IPFire poate fi descărcat pe următorul link:

IPFire

SmoothWall & SmoothWall Express

SmoothWall este un firewall Linux open source cu o interfață web configurabilă. Interfața sa bazată pe web este cunoscută sub numele de WAM (Web Access Manager) SmoothWall este oferită ca o distribuție Linux concepută pentru a fi utilizată ca firewall open source, iar designul său este axat pe facilitarea utilizării configurației sale, SmoothWall este configurat printr-un GUI se bazează pe wdb și necesită puține sau deloc cunoștințe despre Linux pentru instalare și utilizare.

Printre principalele sale caracteristici le găsim

• Suporta rețele LAN, DMZ și wireless, pe lângă cele externe

• Filtrare de conținut în timp real

• Filtrare HTTPS

• Asistență procuri

• Afișaj jurnal și monitor de activitate firewall

• Gestionarea statisticilor de trafic pe IP, interfață și interogare

• Salvare și restaurare ușoară.

Odată descărcat ISO-ul, pornim de la acesta și vom vedea următoarele:

Acolo selectăm opțiunea cea mai potrivită și urmăm pașii expertului de instalare. Ca și IPFire, SmoothWall ne permite să configuram segmente de rețea pentru a crește nivelul de securitate. Vom configura parolele utilizatorilor. Astfel, această aplicație va fi instalată și vom putea să o accesăm prin interfața web pentru gestionarea sa:

SmoothWall ne oferă o versiune gratuită numită SmoothWall Express, care poate fi descărcată la următorul link:

SmoothWall Express

Firewallul de securitate ConfigServer (CSF)

Acesta a fost dezvoltat ca o platformă transversală și un firewall foarte versatil, care se bazează pe conceptul de firewall de inspecție de pachete Stateful (SPI). Suporta aproape toate mediile de virtualizare, cum ar fi Virtuozzo, OpenVZ, VMware, XEN, KVM și Virtualbox.

CSF poate fi instalat pe următoarele sisteme de operare

$config[ads_text5] not found

• RedHat Enterprise v5 până la v7

• CentOS v5 până la v7

• CloudLinux v5 până la v7

• Fedora v20 până la v26

• OpenSUSE v10, v11, v12

• Debian v3.1 - v9

• Ubuntu v6 la v15

• Slackware v12

În multiplele sale caracteristici găsim

• Script de firewall direct iptables SPI

• Are un proces Daemon care verifică erorile de autentificare de autentificare pentru: Courier imap, Dovecot, uw-imap, Kerio, openSSH, cPanel, WHM, Webmail (doar servere cPanel), Pure-ftpd, vsftpd, Proftpd, Pages Web-uri protejate cu parolă (htpasswd), mod_security (v1 și v2) și eșecuri SMT AUTH Exim.

• Potrivirea expresiilor obișnuite

• Urmărirea autentificării POP3 / IMAP pentru a consolida conectările orare

• Notificare de autentificare SSH

• Notificare de autentificare SU

• Blocarea excesivă a conexiunii

• Integrare interfață utilizator pentru cPanel, DirectAdmin și Webmin

• Actualizare ușoară între versiunile de la cPanel / WHM, DirectAdmin sau Webmin

• Actualizare ușoară între versiunile shell

• Preconfigurat pentru a lucra pe un server cPanel cu toate porturile standard cPanel deschise

• Preconfigurat pentru a lucra pe un server DirectAdmin cu toate porturile standard DirectAdmin deschise

• Configurați automat portul SSH dacă nu este standard în instalare

• Blocați traficul pe adresele IP neutilizate ale serverului: ajută la reducerea riscului pentru server

• Alertați când scripturile utilizatorilor finali trimit e-mailuri excesive pe oră pentru a identifica scripturile spam

• Rapoarte de proces suspecte: rapoarte despre vulnerabilități potențiale care se execută pe server

• Raportare excesivă a procesului utilizatorului

• Blocați traficul pe o varietate de liste de blocuri, inclusiv DShield Block List și Spamhaus DROP List

• Protecție pachet BOGON

• Configurații pre-configurate pentru securitate firewall joasă, medie sau ridicată (numai servere cPanel)

• IDS (Intrusion Detection System) unde ultima linie de detecție vă avertizează asupra modificărilor sistemului și a aplicațiilor binare

• SYN Protecție împotriva inundațiilor și multe altele.

$config[ads_text5] not found

Opțiunea 1 Instalare

Descărcați fișierul .tgz la următorul link:

CSF

Opțiunea 2 Instalare

Sau executați următoarele linii:

 cd / usr / src / wget https://download.configserver.com/csf.tgz tar -xzf csf.tgz cd / usr / src / csf sh install.sh 

ClearOS

ClearOS 7, Community Edition este un sistem de operare a serverului Linux de tip open source, conceput pentru experții și entuziaștii Linux care folosesc sursa deschisă și contribuie la o comunitate globală de utilizatori cu sugestii și idei noi.

Toate actualizările, corecțiile de erori, corecțiile și corecțiile de securitate sunt furnizate fără surse ascendente. Funcțiile acoperă peste 75 de funcții IT de la controlul domeniului, controlul rețelei și lățimea de bandă, mesagerie și multe altele.

Deoarece este o distribuție Linux, vom descărca imaginea ISO și vom configura boot-ul pe un suport USB sau CD / DVD. Putem vedea că mediul său de instalare este similar cu Ubuntu. Vom urma pașii expertului de instalare:

Setăm parola rădăcină și vom continua cu instalarea. Odată conectat, vom vedea următoarea fereastră în care instrucțiunile de acces vor fi date prin intermediul web. Putem face clic pe opțiunea Exit to Console Text pentru a accesa consola ClearOS. Acolo putem efectua câteva dintre acțiunile disponibile:

ClearOS oferă mai multe opțiuni de produs, dar versiunea gratuită este ediția comunitară, care este disponibilă la următorul link:

ClearOS

OPNsense

OPNsense este un firewall și o platformă de rutare bazată pe FreeBSD open source, ușor de utilizat și ușor de construit. OPNsense include majoritatea funcțiilor disponibile în firewall-urile comerciale scumpe și include un set larg de caracteristici ale ofertelor comerciale cu beneficiile surselor deschise și verificabile.

$config[ads_text5] not found

OPNsense a început ca o furculiță a pfSense® și m0n0wall în 2014, cu prima lansare oficială în ianuarie 2015. OPNsense oferă actualizări de securitate săptămânale cu mici creșteri, pentru a fi cu un pas înainte de noile amenințări emergente de astăzi. Un ciclu fix de lansare de 2 lansări majore oferă în fiecare an companiilor posibilitatea de a planifica îmbunătățiri la nivel de securitate.

Unele dintre principalele sale caracteristici sunt:

• Shaper de trafic

• Autentificare cu doi factori în întregul sistem

• Portalul captiv

• Proxy Caching Forward (transparent) cu suport pentru lista neagră

• Rețea virtuală virtuală cu IPsec, OpenVPN și suport PPTP vechi

• Disponibilitate ridicată și failover hardware (cu sincronizarea configurației și tabelelor de stare sincronizate)

• Detectarea și prevenirea intruziunilor

• Instrumente integrate de raportare și monitorizare, inclusiv diagrame RRD

• Exportator de flux net

• Monitorizarea fluxului de rețea

• Suport suplimentar

• Server DNS și router DNS

• Server DHCP și releu

• DNS dinamic

• Backup de configurare criptat în Google Drive

• Firewall de inspecție de stat

• Control granular asupra tabelului de stare

• Suport VLAN 802.1Q

$config[ads_text5] not found

Odată descărcată imaginea ISO, vom continua cu instalarea. În timpul procesului de instalare, va fi necesar să configurați parametrii de rețea, VLAN-urile, etc:

Odată ce acest proces este finalizat, vom putea accesa prin web și vom realiza setările relevante la nivelul firewall-ului.

Descărcarea dvs. este disponibilă la următorul link:

OPNsense

Cu aceste opțiuni de firewall, putem menține cele mai bune niveluri de securitate în distribuirile noastre Linux.