Phenquestions
Dit artikel laat zien hoe u UFW installeert en gebruikt op uw Ubuntu 20.04 LTS-systeem.
Installatie
UFW is vooraf geïnstalleerd op de meeste Ubuntu-systemen. Als uw build dit programma nog niet heeft geïnstalleerd, kunt u het installeren met behulp van de module of de apt-pakketbeheerders.$ sudo snap installatie ufw
$ sudo apt install ufwIk gebruik persoonlijk liever de apt-pakketbeheerder om dit te doen, omdat snap minder populair is en ik deze extra complexiteit niet wil hebben. Op het moment van schrijven is de versie die is gepubliceerd voor UFW 0.36 voor de 20.04 release.
Inkomend vs. uitgaand verkeer
Als je een beginner bent in de wereld van netwerken, is het eerste dat je moet verduidelijken het verschil tussen inkomend en uitgaand verkeer.
Wanneer u updates installeert met apt-get, op internet surft of uw e-mail controleert, stuurt u "uitgaande" verzoeken naar servers, zoals Ubuntu, Google, enz. Om toegang te krijgen tot deze diensten, hebt u niet eens een openbaar IP-adres nodig. Gewoonlijk wordt een enkel openbaar IP-adres toegewezen voor bijvoorbeeld een breedbandverbinding thuis, en krijgt elk apparaat zijn eigen privé-IP. De router verwerkt vervolgens het verkeer met behulp van iets dat bekend staat als NAT of Network Address Translation.
De details van NAT- en privé-IP-adressen vallen buiten het bestek van dit artikel, maar de video die hierboven is gelinkt, is een uitstekend startpunt. Terugkomend op UFW, zal UFW standaard al het reguliere uitgaande webverkeer toestaan. Uw browsers, pakketbeheerders en andere programma's kiezen een willekeurig poortnummer - meestal een nummer boven de 3000 - en zo kan elke applicatie zijn verbinding(en) bijhouden.
Wanneer u servers in de cloud gebruikt, hebben ze meestal een openbaar IP-adres en de bovenstaande regels om uitgaand verkeer toe te staan, blijven bestaan. Omdat je nog steeds hulpprogramma's gebruikt, zoals pakketbeheerders, die als 'client' met de rest van de wereld praten, staat UFW dit standaard toe.
Het plezier begint met inkomend verkeer. Toepassingen, zoals de OpenSSH-server die u gebruikt om in te loggen op uw VM, luisteren op specifieke poorten (zoals 22) voor inkomend verzoeken, net als andere toepassingen. Webservers hebben toegang nodig tot poorten 80 en 443.
Het maakt deel uit van de taak van een firewall om specifieke applicaties toe te staan mee te luisteren met bepaald inkomend verkeer, terwijl alle onnodige wordt geblokkeerd. Mogelijk hebt u een databaseserver op uw VM geïnstalleerd, maar deze hoeft meestal niet te luisteren naar inkomende verzoeken op de interface met een openbaar IP-adres. Meestal luistert het alleen naar de loopback-interface voor verzoeken.
Er zijn veel bots op het web, die constant servers bombarderen met valse verzoeken om met brute kracht binnen te komen, of om een eenvoudige Denial of Service-aanval uit te voeren. Een goed geconfigureerde firewall zou de meeste van deze shenanigans moeten kunnen blokkeren met behulp van plug-ins van derden, zoals Fail2ban.
Maar voor nu zullen we ons concentreren op een zeer eenvoudige installatie.
Basisgebruik
Nu UFW op uw systeem is geïnstalleerd, zullen we enkele basistoepassingen voor dit programma bekijken. Aangezien firewallregels systeembreed worden toegepast, worden de onderstaande opdrachten uitgevoerd als de rootgebruiker:. Als je wilt, kun je sudo gebruiken met de juiste rechten voor deze procedure.
# ufw-statusStatus: inactief
UFW bevindt zich standaard in een inactieve status, wat een goede zaak is. U wilt niet al het inkomende verkeer op poort 22 blokkeren, wat de standaard SSH-poort is. Als u via SSH bent ingelogd op een externe server en u blokkeert poort 22, wordt u buitengesloten van de server.
UFW maakt het ons gemakkelijk om een gaatje te prikken, alleen voor OpenSSH. Voer de onderstaande opdracht uit:
[e-mail beveiligd]:~# ufw app-lijstBeschikbare toepassingen:
OpenSSH
Merk op dat ik de firewall nog steeds niet heb ingeschakeld. We zullen nu OpenSSH toevoegen aan onze lijst met toegestane apps en vervolgens de firewall inschakelen. Voer hiervoor de volgende opdrachten in:
# ufw laat OpenSSH toeRegels bijgewerkt
Regels bijgewerkt (v6)
# ufw inschakelen
De opdracht kan bestaande SSH-verbindingen verstoren. Ga verder met bewerking (j|n)? ja.
De firewall is nu actief en ingeschakeld bij het opstarten van het systeem.
Gefeliciteerd, UFW is nu actief en actief. UFW staat nu alleen OpenSSH toe om te luisteren naar inkomende verzoeken op poort 22. Voer de volgende code uit om de status van uw firewall op elk moment te controleren:
# ufw-statusStatus: actief
Naar actie van
-- ------ ----
OpenSSH overal TOESTAAN
OpenSSH (v6) overal TOESTAAN (v6)
Zoals je kunt zien, kan OpenSSH nu verzoeken ontvangen van overal op internet, op voorwaarde dat het deze op poort 22 bereikt. De v6-regel geeft aan dat de regels ook voor IPv6 worden toegepast.
U kunt natuurlijk bepaalde IP-bereiken verbieden of alleen een bepaald IP-bereik toestaan, afhankelijk van de beveiligingsbeperkingen waarbinnen u werkt.
Toepassingen toevoegen
Voor de meest populaire toepassingen werkt de opdracht ufw app list automatisch de lijst met beleid bij de installatie bij. Na installatie van de Nginx-webserver zie je bijvoorbeeld de volgende nieuwe opties verschijnen:
# apt install nginx# ufw app-lijst
Beschikbare toepassingen:
Nginx vol
Nginx HTTP
Nginx HTTPS
OpenSSH
Ga je gang en probeer te experimenteren met deze regels. Merk op dat u gewoon poortnummers kunt toestaan, in plaats van te wachten tot het profiel van een toepassing verschijnt. Als u bijvoorbeeld poort 443 wilt toestaan voor HTTPS-verkeer, gebruikt u gewoon de volgende opdracht:
# ufw 443 . toestaan# ufw-status
Status: actief
Naar actie van
-- ------ ----
OpenSSH overal TOESTAAN
443 overal TOESTAAN
OpenSSH (v6) overal TOESTAAN (v6)
443 (v6) overal TOESTAAN (v6)
Conclusie
Nu u de basisprincipes van UFW hebt gesorteerd, kunt u andere krachtige firewallmogelijkheden verkennen, te beginnen met het toestaan en blokkeren van IP-bereiken. Met een duidelijk en beveiligd firewallbeleid blijven uw systemen veilig en beschermd.
