Как выбрать эффективную политику брандмауэра для защиты ваших серверов

Политика по умолчанию «принять» означает, что любой несогласованный трафик разрешен для входа на сервер. Как правило, это не рекомендуется, поскольку это означает, что фактически вы будете поддерживать черный список. С черными списками сложно работать, потому что вы должны заранее предвидеть и блокировать нежелательный трафик типаevery. Это может привести к головной боли при обслуживании и, как правило, к ошибкам, неправильным конфигурациям и непредвиденным дырам в установленной политике.

Альтернативой является политика по умолчанию «drop». Это означает, что любой трафик, не соответствующий явному правилу, не будет разрешен. Это похоже на белый список ACL. Каждая услуга должна быть явно разрешена, что может показаться значительным объемом исследований и работы на первых порах. Однако это означает, что ваша политика направлена ​​на обеспечение безопасности и что вы точно знаете, что разрешено получать трафик на вашем сервере.

В основном выбор сводится к тенденции к безопасности по умолчанию или доступным службам из коробки. Хотя может быть заманчиво реализовать брандмауэр, который ориентирован на доступность услуг, почти всегда лучше блокировать трафик, если это явно не разрешено.

Приведенный выше выбор политики удаления по умолчанию приводит к другому тонкому решению. При использованииiptables и других подобных брандмауэров политику по умолчанию можно установить с помощью встроенных функций политики брандмауэра или реализовать, добавив правило удаления всех адресов в конце списка правил.

Различие между этими двумя методами заключается в том, что происходит, если правила брандмауэра сбрасываются.

Если для встроенной политики вашего брандмауэра задано значение «отбрасывать», а правила брандмауэра когда-либо сбрасываются (сбрасываются), или если некоторые соответствующие правила удаляются, ваши службы мгновенно становятся недоступными удаленно. Это часто хорошая идея при настройке политики для некритических служб, чтобы ваш сервер не подвергался вредоносному трафику, если правила удалены.

Недостатком этого подхода является то, что ваши услуги будут полностью недоступны для ваших клиентов, пока вы не восстановите разрешающие правила. Вы могли бы даже потенциально заблокировать себя вне сервера, если у вас нет локального или внеполосного доступа, чтобы обойти проблему (серверы DigitalOcean доступны независимо от настроек сети с помощью кнопки «Доступ к консоли», расположенной в «Доступ»). часть страницы вашей капли в панели управления). Если очистка брандмауэра является намеренной, этого можно избежать, просто переключив политику по умолчанию на «принять» непосредственно перед сбросом правил.

Альтернативой настройке политики отбрасывания с использованием встроенной функциональности политики является настройка политики по умолчанию вашего брандмауэра для «принятия», а затем реализация политики «отбрасывания» с обычными правилами. В конце цепочки вы можете добавить обычное правило брандмауэра, которое соответствует и запрещает весь оставшийся непревзойденный трафик.

В этом случае, если ваши правила брандмауэра сброшены, ваши службы будут доступны, но не защищены. В зависимости от ваших вариантов локального или альтернативного доступа, это может быть необходимым злом, чтобы гарантировать возможность повторного входа на сервер, если правила сброшены. Если вы решите использовать эту опцию, вы должны убедиться, что универсальное правило всегда остается правиломlast в вашем наборе правил.

В приведенной ниже таблице показано, как сервер, защищенный брандмауэром, будет реагировать на различные запросы в зависимости от политики, применяемой к порту назначения.

Первый столбец указывает тип пакета, отправленный клиентом. Во второй столбец мы включили командыnmap, которые можно использовать для тестирования каждого сценария. В третьем столбце указывается политика порта, применяемая к порту. Четвертый столбец - это ответ, который сервер отправит обратно, а пятый столбец - это то, что клиент может определить относительно порта на основании полученного ответа.

Некоторые типы ICMP устарели, поэтому их, вероятно, следует блокировать безоговорочно. Среди них ICMP источник гашения (тип 4 код 0) и альтернативный хост (тип 6). Типы 1, 2, 7 и тип 15 и выше являются устаревшими, зарезервированными для использования в будущем или экспериментальными.

Некоторые типы ICMP полезны в определенных конфигурациях сети, но должны быть заблокированы в других.

Например, сообщения перенаправления ICMP (тип 5) могут быть полезны для освещения плохого дизайна сети. Переадресация ICMP отправляется, когда лучший маршрут непосредственно доступен для клиента. Поэтому, если маршрутизатор получает пакет, который должен быть направлен на другой хост в той же сети, он отправляет сообщение перенаправления ICMP, чтобы сообщить клиенту об отправке пакетов через другой хост в будущем.

Это полезно, если вы доверяете своей локальной сети и хотите обнаружить неэффективность в ваших таблицах маршрутизации во время начальной настройки (исправление ваших маршрутов является лучшим долгосрочным решением). Однако в ненадежной сети злонамеренный пользователь может отправлять перенаправления ICMP для манипулирования таблицами маршрутизации на хостах.

Другими типами ICMP, которые полезны в одних сетях и потенциально вредны в других, являются пакеты объявления маршрутизатора ICMP (тип 9) и пакеты запроса маршрутизатора (тип 10). Пакеты объявления и запроса маршрутизатора используются как часть IRDP (ICMP Internet Router Discovery Protocol), системы, которая позволяет хостам при загрузке или присоединении к сети динамически обнаруживать доступные маршрутизаторы.

В большинстве случаев для хоста лучше настроить статические маршруты для шлюзов, которые он будет использовать. Эти пакеты должны приниматься в тех же ситуациях, что и пакеты перенаправления ICMP. Фактически, поскольку хост не будет знать предпочтительный маршрут для трафика любых обнаруженных маршрутов, сообщения перенаправления часто необходимы непосредственно после обнаружения. Если вы не используете службу, которая отправляет пакеты запроса маршрутизатора или изменяет ваши маршруты на основе рекламных пакетов (например,rdisc), вы можете безопасно заблокировать эти пакеты.

Типы ICMP, которые обычно безопасно разрешать, приведены ниже, но вы можете отключить их, если хотите быть особенно осторожными.

Типы, указанные ниже, обычно могут быть разрешены без явных правил путем настройки вашего брандмауэра, чтобы разрешать ответы на запросы, которые он сделал (с помощью модуляconntrack для разрешения трафикаESTABLISHED иRELATED).

Некоторые эксперты по безопасности по-прежнему рекомендуют блокировать весь входящий ICMP-трафик, однако многие сейчас поддерживают интеллектуальные политики принятия ICMP. Ссылкиhere иhere содержат дополнительную информацию.

Ограничение подключений может быть реализовано с помощью таких расширений, какconnlimit, чтобы проверить, сколько активных подключений открыл клиент. Это может быть использовано для ограничения количества соединений, разрешенных за один раз. Если вы решите наложить ограничение на подключение, вам придется принять некоторые решения относительно того, как оно применяется. Общая разбивка решений:

Соединения могут быть ограничены для каждого хоста отдельно, или ограничение может быть установлено для сегмента сети путем предоставления префикса сети. Вы также можете установить глобальное максимальное количество соединений для службы или всего компьютера. Имейте в виду, что их можно смешивать и сочетать, чтобы создавать более сложные политики для управления номерами соединений.

Ограничение скорости позволяет вам создавать правила, которые определяют скорость или частоту, с которой трафик будет приниматься вашим сервером. Существует ряд различных расширений, которые можно использовать для ограничения скорости, включаяlimit,hashlimit иrecent. Выбор используемого расширения будет во многом зависеть отway, для которого вы хотите ограничить трафик.

Расширениеlimit приведет к тому, что рассматриваемое правило будет согласовано до тех пор, пока не будет достигнут предел, после чего дальнейшие пакеты будут отброшены. Если вы установите ограничение, например «5 / сек», и правило будет разрешать совпадение 5 пакетов в секунду, после чего правило больше не будет совпадать. Это хорошо для установки глобального ограничения скорости для услуги.

Расширениеhashlimit более гибкое, позволяя указать некоторые значения, которыеiptables будет хешировать для оценки совпадения. Например, он может посмотреть на адрес источника, порт источника, адрес назначения, порт назначения или произвольную комбинацию этих четырех значений для хеширования каждой записи. Он может ограничиваться полученными пакетами или байтами. По сути, это обеспечивает гибкое ограничение скорости для каждого клиента или услуги.

Расширениеrecent динамически добавляет IP-адреса клиентов в список или сверяется с существующим списком, если правило соответствует. Это позволяет вам распределить свою ограничивающую логику между несколькими различными правилами для сложных шаблонов. Он имеет возможность указывать количество обращений и временной диапазон, как и другие ограничители, но также может сбрасывать временной диапазон, если виден дополнительный трафик, эффективно заставляя клиента останавливать весь трафик, если он ограничен.

Выбор того, какое расширение ограничения скорости использовать, зависит от конкретной политики, которую вы хотите применить.