Настройка встроенного фаервола
1. Как с помощью встроенного фаервола закрыть для всего доступ, а потом открыть сетевой доступ только для конкретного приложения?
2. С помощью чего можно отслеживать сетевые атаки: подмену MAC, сканирование портов и тд. и т.п.?
Iskatel_znaniy
New member
1. Как с помощью встроенного фаервола закрыть для всего доступ, а потом открыть сетевой доступ только для конкретного приложения?
2. С помощью чего можно отслеживать сетевые атаки: подмену MAC, сканирование портов и тд. и т.п.?
Например можно открыть доступ вот такой командой sudo ufw allow from 192.168.0.2 to any port 22 для конкретного ip адреса для конкретного порта. Нужно просто узнать номер порта Вашего приложения и свой ip адрес. Вместо порта можно наверное указать и приложение. Потом в gufw в правилах посмотреть что получилось. Открытые порты можно смотреть, например, с помощью графической программы Zenmap. Есть так же команда netstat -ltupn А вообще вопрос интересный и надеюсь кто нибудь что нибудь подскажет еще интересное. Так же в fly-admin-dm нужно снять галочку с «Разрешить удаленные сессии». Можно так же с помощью программы Ksystemlog просматривать журналы, например, журнал авторизации. Так же можно смотреть историю команд history , посещения lastlog и время пребывания пользователя last имя пользователя . В gufw можно входящие запретить а исходящие разрешить. Просто сделать профиль «Дом». Так же с помощью, например, программки lynis посмотреть уязвимости в системе.
Вложения
oko
New member
*в сторону*
Алекс Юстасу.
to Yustas
netfilter (и его обертки-интерпретаторы в виде UFW и iptables) в AstraLinux вообще не умеет в приложения, ибо он не «брандмауэр». Зато умеет в L4/L5-протоколы, IP- и MAC-адреса и слегка в L7-уровень. Достаточно ли будет этого для вашего случая — не мне решать, ага.
Что до атак, то приведенные вами приколы решаются в зависимости от контекста. Тут бы следует подтянуть тезаурус на предмет «компьютерных атак» вообще и тех же IDS (СОВ) Snort/Surricata, которые можно поставить на AstraLinux в частности.
Yustas
New member
Юстас — Алексу
*Пить будешь?*
Нашёл вариант с iptables + создание группы.
Насчёт атак хотелось бы проще.
Yustas
New member
oko
New member
to Yustas
AstraLinux CommonEdition — устаревшая ветка, доступная для домашнего пользования. Special Edition — собственно, основной (платный и сертифицированный) продукт. Но в обеих ветках одна и та же GUI-утилита UFW для встроенного межсетевого экрана netfilter.
Как раз Snort/Surricata (не входят в состав ALCE/ALSE по дефолту) и предназначены для обнаружения вторжений (атак) на базе сигнатурного анализа трафика.
А что есть «создание группы в iptables»? Собственные цепочки фильтрации/обработки/трансляции? И что все-таки понималось под целевой задачей?
Yustas
New member
Целевая задача:
Найти замену Outpost Firewall.
Более подробно:
1. Закрыть досутуп для всех приложений.
2. Открыть досутуп только для необходимых.
3. Закрыть все порты.
4. Запретиь пинг и сканирование портов.
5. Сделаться невидимым в сети.
6. При попытке MITM, подмены DNS, и т.д. и т.п. получать уведомление.
iptables -P OUTPUT -j DROP
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -m owner —gid-owner internet -j ACCEPT
iptables -A OUTPUT -m state —state ESTABLISHED,RELATED -j ACCEPT
iptalbes -A OUTPUT -p tcp -j REJECT —reject-with tcp-reset
sg internet-c firefox
oko
New member
to Yustas
1. Для приложений не получится. Повторюсь, netfilter (подсистема фильтрации в составе ядра Linux) и его командные интерпретаторы (iptables) или GUI-интерфейсы (UFW) не оперируют запущенными программами/приложениями. Раньше в iptables был параметр -m owner —pid-owner PID, где PID — номер процесса (потока), назначаемый каждому запущенному приложению (просмотр через ps ax | grep имя_приложения). Но позже его убрали, посчитав избыточным. Плюс, это порождало бы проблемы при отлавливании PID для комплексных приложений (тот же firefox создает дополнительный процесс для каждой открытой вкладки браузера).
2. Можно использовать вашу схему с группами или аналогичную схему с фейк-юзерами как тут (конец поста). Но у меня на Linux Mint это не заработало, в ALSE тоже. Беда (отказ в доступе) в запуске графических приложений (которым нужен доступ к X-Server) из-под фейк-юзера, когда X-сессия запущена моим штатным пользователем. С группами проблема примерно аналогичная. Возможно, в ALCE разграничений меньше, поэтому там схема с группами сработает — не проверял, ибо не пользуюсь.
3. Не делайте «OUTPUT -m state —state ESTABLISHED,RELATED» — это поддержка «сессии» (по умолчанию, netfilter сессии не поддерживает). Грубо говоря, если добавлено такое правило, то на каждый разрешенный входящий (цепочка filter — INPUT) пакет netfilter будет автоматически добавлять разрешение исходящего (цепочка filter — OUTPUT) трафика. И, если у вас не сервер с работающим приложением, доступ к которому нужен извне, то вам такое (ESTABLISHED,RELATED) не нужно.
4. Отбивка «-j REJECT —reject-with tcp-reset» не вяжется с желанием «невидимости». Потому что при любой опции REJECT netfilter будет отправлять адресату уведомление о блокированном пакете в рамках выбранного протокола. И в цепочке OUTPUT (исходящие от вашей машины) это тем более смысла не имеет. В наше неспокойное время куда проще делать тупо «-j DROP«. Опять-таки, если у вас не сервер, доступный извне и стремящийся уведомить удаленных пользователей о своей принципиальной доступности, но неправильном трафике, который они к нему шлют.
5. С MiTM и подменой DNS средствами netfilter вы почти ничего не сделаете. Можно, конечно, контролировать целостность и состояние каждого пакета, логировать их, натравливать на лог какое-либо средство высокоуровневого анализа, выявлять аномалии по меткам приходящих ответов (например, искажения TTL и других полей L2, L3, L4 уровней), но. MiTM тем и отличается, что при пассивном методе (перехват и анализ трафика) узнать о нем на стороне источника (ваша машина) фактически невозможно. Или мы говорим о другом MiTM (например, подмена SSL-сертификата провайдером или кем-то еще)?. Вариантов слишком много и, что печально, защититься от них полностью столь примитивными инструментами как netfilter/iptables не получится.
ЗЫ Outpost Firewall был когда-то хорош. Но от MiTM на канале, от перехвата и манипуляции с DNS (или внедрения ложного DNS-сервера на канале) и т.п. он тоже не защищал ни разу.
Как отключить брандмауэр UFW в Linux
Если вас не устраивает брандмауэр UFW на вашем ПК с Linux и вы хотите его удалить, но не знаете, с чего начать, это понятно. Каким бы хорошим ни был этот брандмауэр, ни одна из основных ОС Linux не знает, как его использовать.
В этом руководстве мы рассмотрим, как отключить и даже удалить брандмауэр UFW. Для начала убедитесь, что у вас есть доступ к компьютеру с Linux на уровне системы, так как для отключения брандмауэра требуется root-доступ. Затем следуйте инструкциям ниже!
Выключить UFW — терминал
Если вам нужно отключить брандмауэр UFW на вашем ПК с Linux, лучший способ сделать это — использовать командную строку. Причина? UFW — это приложение командной строки, и хотя многие ОС Linux используют GUFW, графический интерфейс для приложения командной строки, он намного эффективнее через терминал.
Для начала откройте окно терминала на рабочем столе Linux. Для этого нажмите Ctrl + Alt + T на клавиатуре или найдите «Терминал» в меню приложения и запустите его таким образом.
Когда окно терминала открыто и готово к использованию, выполните команду ufw –help. Эта команда покажет вам все аргументы команды, доступные для брандмауэра UFW, и поможет вам включать и выключать его по желанию.
Просмотрите страницу справки для раздела «отключить» и прочтите, что он делает. Не забудьте также прочитать раздел «Включить» и все остальное, что может оказаться полезным. По завершении чтения выполните приведенную ниже команду, чтобы отключить брандмауэр.
После ввода команды выше система запросит пароль. Используя клавиатуру, введите пароль своей учетной записи и нажмите клавишу Enter. Брандмауэр UFW должен быть немедленно отключен.
Вы можете проверить состояние брандмауэра UFW, чтобы узнать, действительно ли он отключен, с помощью команды ufw status. Если UFW говорит «неактивен», команда сработала. В противном случае повторно запустите команду.
Хотите снова включить брандмауэр UFW? Выполните команду ufw enable ниже, чтобы мгновенно включить брандмауэр.
Отключить UFW — GUI
Если вы управляете своим брандмауэром UFW с помощью приложения UFW UI (GUFW) и вам нужно его отключить, сделайте следующее. Сначала запустите GUFW, выполнив следующие действия. Сначала найдите «Конфигурация брандмауэра» или «GUFW» в меню приложения и запустите его.
Когда приложение открыто и готово к использованию, найдите ползунок «Статус» в пользовательском интерфейсе. Если брандмауэр UFW активен, этот ползунок «Статус» будет включен. Чтобы выключить его, нажмите на ползунок.
Если вы хотите снова включить брандмауэр, щелкните ползунок.
Удалить UFW / GUFW
Если вы закончили с брандмауэром UFW или хотите заменить его другим брандмауэром, и его временного отключения недостаточно, вам Июль нужно удалить его. Чтобы удалить его, запустите окно терминала.
Чтобы открыть окно терминала на рабочем столе Linux, нажмите Ctrl + Alt + T на клавиатуре. Или найдите «Терминал» в меню приложения. Когда окно терминала открыто и готово к использованию, следуйте командам удаления, которые соответствуют используемой вами ОС Linux.
Ubuntu
Чтобы полностью удалить брандмауэр UFW из Ubuntu, выполните команду apt remove вместе с параметром командной строки –purge. Параметр –purge удаляет все файлы конфигурации и все из системы.
sudo apt remove ufw --purge
Чтобы удалить брандмауэр с графическим интерфейсом пользователя, выполните приведенную выше команду, но для пакета «gufw».
sudo apt remove gufw --purge
Debian
Если вам нужно удалить брандмауэр UFW из Debian, используйте команду apt-get remove вместе с параметром командной строки –purge. Как и в Ubuntu, этот переключатель удалит все файлы конфигурации и все из системы.
sudo apt-get remove ufw --purge
Чтобы избавиться от приложения брандмауэра с графическим интерфейсом, выполните приведенную выше команду, но с пакетом «gufw».
Arch Linux
Если вы хотите удалить UFW из Arch Linux, вам необходимо использовать Pacman с командным переключателем -Rsc. Этот командный переключатель не только удалит UFW, но также удалит все зависимости, установленные вместе с ним. Чтобы удалить UFW из вашей системы Arch Linux, введите команду ниже в окне терминала.
Если вы хотите удалить приложение брандмауэра с графическим интерфейсом пользователя из Arch Linux, выполните приведенную выше команду, но с пакетом «gufw».
Fedora
Если вы используете Fedora Linux, вы можете избавиться от брандмауэра UFW в своей системе с помощью команды dnf remove. Эта команда удалит программу и избавится от нее, так что она больше не будет установлена на вашем компьютере с Fedora.
Чтобы удалить брандмауэр с графическим интерфейсом, выполните приведенную выше команду, но с пакетом «gufw».
OpenSUSE
Если вам нужно избавиться от UFW из вашей системы OpenSUSE, вы можете использовать команду zypper remove. Эта команда удалит пакет из системы OpenSUSE, и вы больше не сможете его использовать.
Чтобы избавиться от брандмауэра с графическим интерфейсом пользователя в OpenSUSE, выполните ту же команду, но с пакетом «gufw».