Общие принципы настройки сетевых экранов на ubuntu server для корпоративной сети

АННОТАЦИЯ
В данной статье рассматриваются общие принципы настройки сетевых экранов на Ubuntu server для корпоративной сети. В первой части статьи описывается сетевой экран на Ubuntu Server. Во второй части статьи приводится нормативно правовая документация, на которую следует ссылаться при настройке брандмауэра. В третьей части приводится порядок действий, направленный на обеспечение безопасности корпоративной сети. В четвёртой части описывается графическая оболочка GUFW. В пятой части описывается настройка Iptables. В заключительной шестой части описывается генератор отчётов «SARG».
Ключевые слова: Ubuntu Server, Netfilter, Iptables, UFW, GUFW, настройки, SARG.
1 Сетевой экран на Ubuntu Server
Безопасность корпоративной сети имеет решающее значение, когда администратор запускает собственный сервер. Необходимо убедиться, что кроме авторизованных пользователей, получить доступ у сервера, конфигурации и службам не сможет никто.
Получение доступа к серверу посторонними лицами, может привести к потере или порче данных, вымогательству, передачи информации на третью сторону и так далее.
Ядро Linux содержит подсистему Netfilter, которая применяется для управления сетевым трафиком, проходящим через сервер. Все современные брандмауэры Linux используют данную систему для фильтрации пакетов.
Может возникнуть некоторая путаница в различиях между Netfilter и Iptables. Netfilter – это инфраструктура; это базовый API, который ядро ​​Linux предлагает приложениям, для просмотра сетевых пакетов и управления ими. Iptables – это интерфейс, который использует Netfilter для классификации и обработки пакетов.
UFW (Ubuntu Firewall) – это простой и удобный интерфейс для управления межсетевым экраном Iptables Linux. Правила Iptables сложны, и UFW разработан, чтобы упростить работу администраторам, поэтому его часто именуют простым межсетевым экраном.
2 Нормативно правовая документация
При настройке межсетевого экрана на Ubuntu Server необходимо ссылаться на следующие документы:
1. Информационное сообщение ФСТЭК России от 12 сентября 2016 г. N 240/24/4278.
2. Информационное сообщение ФСТЭК России от 24 марта 2017 г. N 240/24/1382.
3. Приказ ФСТЭК России от 9 февраля 2016 г. N 9.
4. Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации Показатели защищенности от несанкционированного доступа к информации. Утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 25 июля 1997 г.
Согласно первому сообщению, утверждаются методические документы, которые описывают профили защиты межсетевых экранов.
Все методические документы, размещены на сайте fstec.ru и представлены на рисунке 1.
Рассматриваемые документы подробно описывают требования, которые необходимо соблюдать при использовании межсетевых экранов.
Данные требования необходимы для компаний, которые выполняют, опираясь на законы Российской Федерации, работы по формированию методов и средств защиты информации.
Второй документ, принимая во внимание наиболее часто задаваемые вопросы и для пояснения позиции ФСТЭК России в связи с принятием Требований к межсетевым экранам, разъясняет следующие темы:
1. Создание и производство межсетевых экранов.
2. Использование межсетевых экранов.
3. Аттестации информационных систем на соответствие требованиям безопасности.
В третьем и четвёртом документе, описаны требования к межсетевым экранам, для различных классов защищённости.
Рисунок 1 – Методические документы, которые описывают профили защиты межсетевых экранов
3 Настройка межсетевого экрана на Ubuntu Server
3.1 Включение и отключение брандмауэра UbuntuБрандмауэр UFW как правило отключен в Ubuntu 18.04, поэтому администратору необходимо включить его, однако, данную операцию необходимо сделать правильно. Правильный способ: сначала необходимо сформировать правило брандмауэра, чтобы открыть 22-й порт ssh, а после этого активировать брандмауэр. Если попытаться включить брандмауэр, не открывая порт SSH, то не получится получить удаленный доступ к командной строке.
Необходимо добавить правило, с помощью которого можно будет удаленно подключаться через SSH («sudo ufw allow 22/tcp»).
После этого, можно активировать брандмауэр используя команду «ufw enable: sudo ufw enable».
Далее необходимо просмотреть статус. Делается это с помощью команды «sudo ufw status» (рисунок 2).
Рисунок 2 – Статус брандмауэра
Для того, чтобы выключить брандмауэр Ubuntu, необходимо выполнить следующую команду: «sudo ufw disable».
На данный момент, сервер Ubuntu блокирует весь входящий трафик, кроме SSH.
3.2 Открытие портов в UFW для разрешения сетевого трафика
Команда «ufw allow» добавляет разрешающие правила в брандмауэр. Для того, чтобы разрешить поступающий трафик с определенного порта, необходимо задействовать имя службы или номер порта.
Если администратор использует веб-сервер системе Ubuntu, требуется разрешить HTTP-трафик от брандмауэра. Для данной цели существует следящая команда: «ufw allow http».
Помимо этого, допускается задействовать номер порта вместо имени службы: «ufw allow 80/tcp».
3.3 Фильтр доступа к сети по IP / сети
Брандмауэр Ubuntu UFW может пропускать и блокировать входящий трафик в зависимости от IP-адреса клиента или сети. Например, данное правило брандмауэра разрешит пропускать весь трафик с IP-адреса 192.168.1.10: «ufw allow from 192.168.1.10».
Для того, чтобы разрешить FTP-трафик из сети 192.168.1.0/24, необходимо выполнить команду «ufw allow from 192.168.1.0/24 to any proto tcp port 21».
Команда «ufw deny» применяется для того, чтобы добавить ограничивающие правила. Следующее правило запретит любой входящий трафик с IP 192.168.1.10: «ufw deny from 192.168.1.10 to any».
3.4 Удаление правила брандмауэра
Имеется возможность удалить правило, для этого необходимо добавить к исходному правилу опцию удаления.
Например, если исходное правило было «ufw allow 80/tcp», то удалить его можно с помощью команды «ufw delete allow 80/tcp».
Также, имеется возможность удаления правил по номеру, например, с помощью команды «ufw delete 2».
3.5 Сброс брандмауэра UbuntuЕсли требуется удалить все правила брандмауэра, необходимо выполнить команду сброса «ufw reset», которая отключает и сбрасывает брандмауэр до значений по умолчанию.
3.6 Профили приложений
Когда диспетчер пакетов APT устанавливает новый пакет, для которого необходимо наличие открытых портов, он добавляет профиль приложения в каталог /etc/ufw/applications.d, где подробно описаны порты, которые используются установленным приложением для правильной работы.
Для проверки, какие приложения создали профиль, необходимо выполнить команду «sudo ufw app list» (рисунок 3).
Рисунок 3 – Результат выполнения команды «sudo ufw app list»
3.7 Журналы
Журналы брандмауэра используются для обнаружения атак, устранения неполадок в правилах брандмауэра и выявления необычной активности в сети. По умолчанию ведение журнала для UFW выключено. Для того, чтобы включить ведение журнала и получать сообщения брандмауэра в системный журнал, требуется выполнить команду «sudo ufw logging on».
Пример выдержки из журнала представлен на рисунке 4.
Рисунок 4 – Выдержка из журнала брандмауэра
4 Графический интерфейс UFW
UFW имеет графический интерфейс, который располагается в репозиториях программного обеспечения Ubuntu, вследствие чего может быть установлен. Установку можно произвести при помощи команды «sudo apt-get install gufw».
Администратор может использовать GUFW, набрав команду «gfuw», иначе он появится в Dash как приложение с именем Firewall Configuration. GUFW – это простое, интуитивно понятное и удобное в использовании приложение (рисунок 5).
Рисунок 5 – GUFW
Включение или отключение соединений (то есть портов или IP-адресов) и управление политикой по умолчанию для входящего или исходящего трафика, а также добавление правил могут быть очень легко выполнены в GUFW (рисунок 6).
Рисунок 6 – Пример работы в GUFW
5 Настройка IptablesIptables – это программа межсетевого экрана для Linux. Данная программа отслеживает сетевой трафик, проходящий через сервер компании используя таблицы. Таблицы имеют наборы правил, именуемые цепочками. С помощью данных правил будет осуществляться фильтрация входящих и исходящих пакетов данных.
Если определённый пакет удовлетворяет правилу, ему присваивается цель, которая представляет из себя либо другую цепочку, либо одно из следующих специальных значений:
1. ACCEPT – пропустить пакет данных дальше.
2. DROP – не позволить пакету данных пройти дальше.
3. RETURN – выполнить остановку пакета через цепочку и вернуть его в предшествующую цепочку.
5.1 Установка IptablesIptables по умолчанию, установлен во многих дистрибутивах Linux. Однако, может быть так, что он отсутствует в системе. Для установки Iptables требуется выполнить следующие действия:
1. Осуществить подключение серверу через SSH.
2. Последовательно выполнить две команды: «sudo apt-get update» и «sudo apt-get install iptables».
3. Узнать статус конфигурации iptables, при помощи команды «sudo iptables -L -v».
Установка брандмауэра Linux завершена. На данном шаге можно обратить внимание на то, что для всех цепочек присвоено значение «принять» и полностью отсутствуют правила. Данное положение вещей не является безопасным, так как позволяет пройти любому пакету без фильтрации.
5.2 Определение правил цепочки
Определить любое правило, значит добавить его в цепочку. Для этого необходимо добавить опцию -A сразу после команды iptables («sudo iptables -A»).
Опция скажет iptables, что происходит добавление новых правил в цепочку. После этого можно комбинировать команду с другими параметрами.
Чтобы разрешить трафик на localhost, необходимо выполнить следующую команду «sudo iptables -A INPUT -i lo -j ACCEPT».
Далее требуется, чтобы соединения http, https и ssh работали в стандартном режиме. Для этого необходимо указать протокол (-p) и соответствующий порт (-dport). Требуется выполнить последовательно три команды:
1. «sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT».
2. «sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT».
3. «sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT».
Чтобы проверить, были ли добавлены правила в Iptables, необходимо выполнить команду «sudo iptables -L -v». Результат представлен на рисунке 7.
Рисунок  7 – Результат проверки добавления правил
Iptables даёт возможность фильтровать пакеты на основе IP-адреса или диапазона IP-адресов. Например, чтобы позволить получать пакеты от адреса192.168.1.3, необходимо выполнить команду «sudo iptables -A INPUT -s 192.168.1.3 -j ACCEPT».
Также, имеется возможность не допускать пакеты с конкретного IP-адреса, заменив цель ACCEPT на DROP («sudo iptables -A INPUT -s 192.168.1.3 -j DROP»).
Особенно важно применять цель DROP для всего остального трафика после задания правил –dport. Это не позволит осуществить несанкционированный доступ к серверу, использую оставшиеся открытыми порты. Необходимо выполнить команду «sudo iptables -A INPUT -j DROP», которая отключит соединение за пределами определённого порта.
Чтобы удалить правило, необходимо указать соответствующую цепочку и номер из списка («sudo iptables -D INPUT 3»).
Сформированные правила Iptables сохраняются в памяти. Данный факт означает, что нужно переопределить их при перезагрузке. Для того, чтобы произведённые изменения не сбрасывались после перезапуска сервера, необходимо выполнить команду «sudo /sbin/iptables-save».
Ранее Iptables применялся для управления сетью, однако стиль написания команд являлся «грязным», а также Iptables требовал высокого порога вхождения и не очень подходил для новичков.
Iptables является механизмом фильтрации IP на уровне ядра. Данный факт позволяет администратору принимать решения о маршрутизации IP-пакетов.
UFW – это более простой механизм межсетевого экрана, который работает поверх Iptables. UFW не является очень гибким, однако в нём намного проще осуществлять настройку для стандартных сценариев.
UFW предоставляет базовый брандмауэр по умолчанию и позволяет просто включать и выключать базовые службы. Для применения IPtables, пользователю требуется понимать, как работает соединение TCP/IP и более сложные протоколы (например, NFS).
6 SAGR
SARG – это инструмент, который анализирует файлы журналов прокси и формирует на их основе читаемые для пользователя отчеты. Это удобно, когда требуется понять, какая пропускная способность используется отдельными машинами в сети или проверить, какие веб-сайты просматривают пользователи сети.
В дистрибутивах на базе Debian пакет SARG достаточно просто установить из репозиториев по умолчанию с использованием диспетчера пакетов apt-get («sudo apt-get install sarg»).
После настройки SARG появляется возможность генерации отчета журнала squid. Данную операцию можно выполнить с помощью команды «sudo sarg -x».
Сформированные отчёты помещаются в «/var/www/html/squid-reports/» или «/var/www/squid-reports/», которые можно изучить при помощи веб-браузера.
Пример отчёта представлен на рисунке 8.
Рисунок 8 – Пример отчёта SAGR
Выводы
В целом, UFW может защитить сервер от наиболее распространенных попыток взлома. Конечно, меры безопасности в организации должны быть более подробными, чем просто использование UFW. Однако это хорошее (и необходимое) начало.
Iptables предоставляет более расширенный функционал, однако является более сложным для изучения.
UFW создан для упрощения настройки межсетевого экрана и предоставляет удобный способ создания межсетевого экрана на базе IPv4 или IPv6.
Описанные в данной статье средства, позволяют сформировать защиту для корпоративной сети.

Список использованных источников:
1. Настройка брандмауэра с UFW в Ubuntu 18.04 [Текст]. – https://www.digitalocean.com/community/tutorials/how-to-set-up-a-firewall-with-ufw-on-ubuntu-18-04-ru (Дата обращение 25.11.2020).
2. Firewall [Текст]. – https://ubuntu.com/server/docs/security-firewall (Дата обращение 24.11.2020).
3. Информационное сообщение ФСТЭК России от 12 сентября 2016 г. N 240/24/4278(Режим доступа: https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/1184-informatsionnoe-soobshchenie-fstek-rossii-ot-12-sentyabrya-2016-g-n-240-24-4278?highlight=WyJcdTA0M2ZcdTA0NDBcdTA0M2VcdTA0NDRcdTA0MzhcdTA0M2JcdTA0MzgiLCJcdTA0MzdcdTA0MzBcdTA0).
4. Информационное сообщение ФСТЭК России от 24 марта 2017 г. N 240/24/1382 (Режим доступа: https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/1278-informatsionnoe-soobshchenie-fstek-rossii-ot-24-marta-2017-g-n-240-24-1382).
5. How to Configure Ubuntu’s Built-In Firewall [Текст]. – https://www.howtogeek.com/115116/how-to-configure-ubuntus-built-in-firewall (Дата обращения 25.11.2020).
6. Iptables Tutorial – Securing Ubuntu VPS with Linux Firewall [Текст]. – https://www.hostinger.com/tutorials/iptables-tutorial (Дата обращения 25.11.2020).
7. SARG – Squid Analysis Report Generator and Internet Bandwidth Monitoring Tool [Текст]. – https://www.tecmint.com/sarg-squid-analysis-report-generator-and-internet-bandwidth-monitoring-tool/#:~:text=SARG%20is%20an%20open%20source,weekly%20reports%20and%20monthly%20reports (Дата обращения 28.11.2020).