Come impostare un firewall con ufw su Ubuntu 18.04

Un firewall correttamente configurato è uno degli aspetti più importanti della sicurezza generale del sistema. Per impostazione predefinita, Ubuntu viene fornito con uno strumento di configurazione del firewall chiamato UFW (Uncomplicated Firewall). UFW è un front-end intuitivo per la gestione delle regole del firewall di iptables e il suo obiettivo principale è quello di semplificare la gestione di iptables o come dice il nome senza complicazioni.

Prerequisiti

Prima di iniziare con questa esercitazione, assicurarsi di aver effettuato l'accesso al server con un account utente con privilegi sudo o con l'utente root. La migliore pratica è eseguire comandi amministrativi come utente sudo anziché root. Se non hai un utente sudo sul tuo sistema Ubuntu puoi crearne uno seguendo queste istruzioni.

Installa UFW

Firewall semplice dovrebbe essere installato di default in Ubuntu 18.04, ma se non è installato sul tuo sistema, puoi installare il pacchetto digitando:

sudo apt install ufw

Controlla lo stato UFW

Una volta completata l'installazione è possibile verificare lo stato di UFW con il seguente comando:

sudo ufw status verbose

UFW è disabilitato per impostazione predefinita. Se non hai mai attivato UFW prima, l'output sarà simile al seguente:

Status: inactive

Se UFW è attivato, l'output sarà simile al seguente:

Politiche predefinite UFW

Per impostazione predefinita, UFW bloccherà tutte le connessioni in entrata e consentirà tutte le connessioni in uscita. Ciò significa che chiunque tenti di accedere al proprio server non sarà in grado di connettersi se non si apre specificamente la porta, mentre tutte le applicazioni e i servizi in esecuzione sul server saranno in grado di accedere al mondo esterno.

Le politiche di default sono definite nel /etc/default/ufw e possono essere cambiate usando il sudo ufw default comando.

Le politiche del firewall sono la base per la creazione di regole più dettagliate e definite dall'utente. Nella maggior parte dei casi, i criteri predefiniti UFW iniziali sono un buon punto di partenza.

Profili applicativi

Quando si installa un pacchetto con il comando apt , verrà aggiunto un profilo dell'applicazione alla directory /etc/ufw/applications.d . Il profilo descrive il servizio e contiene le impostazioni UFW.

Puoi elencare tutti i profili delle applicazioni disponibili sul tuo server digitando:

sudo ufw app list

A seconda dei pacchetti installati sul tuo sistema, l'output sarà simile al seguente:

Available applications: Dovecot IMAP Dovecot POP3 Dovecot Secure IMAP Dovecot Secure POP3 Nginx Full Nginx HTTP Nginx HTTPS OpenSSH Postfix Postfix SMTPS Postfix Submission

Per trovare ulteriori informazioni su un profilo specifico e regole incluse, utilizzare il comando seguente:

sudo ufw app info 'Nginx Full'

Profile: Nginx Full Title: Web Server (Nginx, HTTP + HTTPS) Description: Small, but very powerful and efficient web server Ports: 80, 443/tcp

Come si può vedere dall'output sopra il profilo 'Nginx Full' si aprono le porte 80 e 443 .

Consenti connessioni SSH

Prima di abilitare il firewall UFW è necessario aggiungere una regola che consenta le connessioni SSH in entrata. Se ti stai connettendo al tuo server da una posizione remota, il che è quasi sempre il caso e abiliti il ​​firewall UFW prima di consentire esplicitamente le connessioni SSH in arrivo, non sarai più in grado di connetterti al tuo server Ubuntu.

Per configurare il firewall UFW per consentire le connessioni SSH in entrata, digitare il comando seguente:

sudo ufw allow ssh

Rules updated Rules updated (v6)

Se hai cambiato la porta SSH in una porta personalizzata invece della porta 22, dovrai aprire quella porta.

Ad esempio, se il demone ssh è in ascolto sulla porta 4422 , è possibile utilizzare il comando seguente per consentire le connessioni su quella porta:

sudo ufw allow 4422/tcp

Abilita UFW

Ora che il firewall UFW è configurato per consentire connessioni SSH in entrata, possiamo abilitarlo digitando:

sudo ufw enable

Command may disrupt existing ssh connections. Proceed with operation (y|n)? y Firewall is active and enabled on system startup

Sarai avvisato che l'attivazione del firewall potrebbe interrompere le connessioni ssh esistenti, basta digitare y e Enter .

Consenti connessioni su altre porte

A seconda delle applicazioni in esecuzione sul tuo server e delle tue esigenze specifiche dovrai anche consentire l'accesso in entrata ad alcune altre porte.

Di seguito ti mostreremo alcuni esempi su come consentire le connessioni in entrata ad alcuni dei servizi più comuni:

Apri la porta 80 - HTTP

Le connessioni HTTP possono essere consentite con il seguente comando:

sudo ufw allow

invece di http è possibile utilizzare il numero di porta, 80:

sudo ufw allow 80/tcp

oppure puoi utilizzare il profilo dell'applicazione, in questo caso 'Nginx

sudo ufw allow 'Nginx

Apri la porta 443 - HTTPS

Le connessioni HTTP possono essere consentite con il seguente comando:

sudo ufw allow

Per ottenere lo stesso invece del profilo https è possibile utilizzare il numero di porta, 443 :

sudo ufw allow 443/tcp

oppure puoi utilizzare il profilo dell'applicazione, 'Nginx

sudo ufw allow 'Nginx

Porta aperta 8080

sudo ufw allow 8080/tcp

Consenti intervalli di porte

Invece di consentire l'accesso a singole porte UFW ci consente di consentire l'accesso agli intervalli di porte. Quando si consentono intervalli di porte con UFW, è necessario specificare il protocollo, tcp o udp . Ad esempio, se si desidera consentire porte da 7100 a 7200 su tcp e udp eseguire il comando seguente:

sudo ufw allow 7100:7200/tcp sudo ufw allow 7100:7200/udp

Consenti indirizzi IP specifici

Per consentire l'accesso su tutte le porte dal tuo computer di casa con un indirizzo IP di 64.63.62.61, specifica from seguito dall'indirizzo IP che desideri inserire nella whitelist:

sudo ufw allow from 64.63.62.61

Consenti indirizzi IP specifici su una porta specifica

Per consentire l'accesso su una porta specifica, supponiamo che la porta 22 dalla tua macchina di lavoro con indirizzo IP 64.63.62.61, usi to any port seguita dal numero di porta:

sudo ufw allow from 64.63.62.61 to any port 22

Consenti sottoreti

Il comando per consentire la connessione a una sottorete di indirizzi IP è lo stesso di quando si utilizza un singolo indirizzo IP, l'unica differenza è che è necessario specificare la maschera di rete. Ad esempio, se si desidera consentire l'accesso per gli indirizzi IP che vanno da 192.168.1.1 a 192.168.1.254 alla porta 3360 (MySQL) è possibile utilizzare questo comando:

sudo ufw allow from 192.168.1.0/24 to any port 3306

Consenti connessioni a un'interfaccia di rete specifica

Per consentire l'accesso su una porta specifica, supponiamo che la porta 3360 sia solo per l'interfaccia di rete specifica eth2 , quindi è necessario specificare allow in on e il nome dell'interfaccia di rete:

sudo ufw allow in on eth2 to any port 3306

Nega connessioni

Il criterio predefinito per tutte le connessioni in entrata è impostato su deny e, se non è stato modificato, UFW bloccherà tutte le connessioni in entrata a meno che non si apra specificamente la connessione.

Supponiamo che tu abbia aperto le porte 80 e 443 e che il tuo server sia sotto attacco dalla rete 23.24.25.0/24 . Per negare tutte le connessioni da 23.24.25.0/24 è possibile utilizzare il seguente comando:

sudo ufw deny from 23.24.25.0/24

sudo ufw deny from 23.24.25.0/24 to any port 80 sudo ufw deny from 23.24.25.0/24 to any port 443

La scrittura delle regole di negazione è la stessa della scrittura delle regole di autorizzazione, è sufficiente sostituire allow con deny .

Elimina le regole UFW

Esistono due modi diversi per eliminare le regole UFW, in base al numero della regola e specificando la regola effettiva.

L'eliminazione delle regole UFW in base al numero della regola è più semplice, soprattutto se non si conosce UFW. Per eliminare una regola in base a un numero di regola, prima devi trovare il numero della regola che desideri eliminare, puoi farlo con il seguente comando:

sudo ufw status numbered

Status: active To Action From -- ------ ---- 22/tcp ALLOW IN Anywhere 80/tcp ALLOW IN Anywhere 8080/tcp ALLOW IN Anywhere

Per eliminare la regola numero 3, la regola che consente le connessioni alla porta 8080, utilizzare il comando seguente:

sudo ufw delete 3

Il secondo metodo consiste nell'eliminare una regola specificando la regola effettiva, ad esempio se è stata aggiunta una regola per aprire la porta 8069 è possibile eliminarla con:

sudo ufw delete allow 8069

Disabilita UFW

Se per qualsiasi motivo desideri interrompere l'UFW e disattivare tutte le regole puoi utilizzare:

sudo ufw disable

In seguito, se si desidera riattivare UTF e attivare tutte le regole, digitare:

sudo ufw enable

Ripristina UFW

Il ripristino di UFW disabiliterà UFW ed eliminerà tutte le regole attive. Ciò è utile se si desidera ripristinare tutte le modifiche e ricominciare da capo.

Per ripristinare UFW è sufficiente digitare il seguente comando:

sudo ufw reset

Conclusione

Hai imparato come installare e configurare il firewall UFW sul tuo server Ubuntu 18.04. Assicurarsi di consentire tutte le connessioni in entrata necessarie per il corretto funzionamento del sistema, limitando al contempo tutte le connessioni non necessarie.

uww firewall iptables sicurezza di Ubuntu