Een firewall is een netwerkhulpprogramma dat op uw server wordt uitgevoerd en voorkomt dat buitenstaanders bepaalde poorten gebruiken. Dit maakt het een handig beveiligingshulpmiddel om te voorkomen dat aanvallers toegang krijgen tot processen die ze niet zouden moeten doen. Heeft je server er een nodig?
Open alleen de poorten die je nodig hebt, firewall de rest
De services die u op uw server uitvoert, maken via poorten verbinding met de buitenwereld. Elke poort heeft een nummer en de service luistert naar verbindingen op dat poortnummer. Dit is niet altijd een veiligheidsrisico, aangezien u vaak poorten open moet hebben voor gebruikers om toegang te krijgen tot uw service.
Poort 80 en 443 zijn de standaardpoorten voor HTTP en HTTPS. Als u een webserver gebruikt, moeten deze open zijn. Poort 22 zal waarschijnlijk open staan bij elke nieuwe Linux-installatie, omdat dit de standaard SSH-poort is. Je kunt deze poort sluiten, maar je moet SSH naar een andere poort verplaatsen (wat sowieso een goed idee is).
Zonder een firewall krijgt elke service die een verbinding start standaard toegang tot elke poort. Het is het beste om uw regels te definiëren om dit te voorkomen en om ervoor te zorgen dat er niets onverwachts op uw systeem wordt uitgevoerd. Dit is precies wat een firewall de regels definieert voor hoe processen op uw server met de buitenwereld kunnen praten.
Om te controleren welke poorten momenteel open zijn op uw systeem, kunt u het volgende uitvoeren:
p> sudo netstat -plnt
Of, als u meer beknopte uitvoer wilt:
sudo netstat -plnt | grep “LUISTEREN” | awk '{print $4 “t” $7}' Advertentie
Deze commando's geven een overzicht van elke open poort, naast welk proces die poort gebruikt. Netstat toont alleen de PID en bestandsnaam van het proces, dus als je het volledige pad nodig hebt, moet je de PID doorgeven aan het ps-commando. Als u poorten moet scannen zonder toegang tot de server, kunt u het hulpprogramma nmap aan de clientzijde gebruiken.
Al het andere dat niet specifiek wordt gebruikt om een service te hosten, moet worden afgesloten met een firewall.
Als alles op uw systeem open zou moeten zijn, heeft u misschien geen firewall nodig. Maar zonder één kan een ongebruikte poort gemakkelijk opengaan door een nieuw proces dat u installeert. U moet ervoor zorgen dat nieuwe services niet vergrendeld hoeven te worden.
Doe uw Services op openbare IP's op de eerste plaats
Een firewall is een geweldig beveiligingshulpmiddel, maar bepaalde services zouden niet voor de hele wereld toegankelijk moeten zijn. Als een poort open moet zijn, is die service kwetsbaar voor brute force-aanvallen en andere vervelende problemen. Maar u kunt dit voorkomen door verbindingen met uw virtuele privécloud te vergrendelen.
Databases zijn daar het beste voorbeeld van. Een database zoals MySQL moet een open poort hebben voor administratieve verbindingen. Maar als het enige dat met de database praat uw webserver is (en u, wanneer u onderhoud doet), moet u MySQL privé houden en alleen toestaan dat het met de webserver praat. Als je er toegang toe moet hebben, kun je SSH naar de webserver sturen en van daaruit toegang krijgen tot de rest van het netwerk.
Hoe een firewall te configureren< /h2>
Als u een beheerde hostingservice zoals Amazon Web Services of Digital Ocean gebruikt, heeft uw provider mogelijk een firewall die u vanuit een webinterface kunt beheren. Als dit een optie is, moet u uw firewall op deze manier configureren.
Advertentie
Met name AWS dwingt je om hun firewall te gebruiken, die wordt beheerd met beveiligingsgroepen. Poorten zijn standaard allemaal gesloten (behalve poort 22), dus je moet ze handmatig openen vanuit hun interface. U kunt de beveiligingsgroepen voor elke actieve instantie bewerken vanuit de EC2-beheerconsole en de regels voor binnenkomend verkeer wijzigen.
AWS stelt u in staat om de bron voor de regel te specificeren, zodat u bijvoorbeeld SSH kunt vergrendelen tot alleen uw persoonlijke IP-adres, of de verbinding tussen uw databaseserver en webserver privé kunt maken.
GERELATEERD: De beginnershandleiding voor iptables, de Linux Firewall
Als je andere providers zoals Linode gebruikt of reguliere hosting, moet u de firewall zelf configureren. Hiervoor is de eenvoudigste methode om het hulpprogramma iptables te gebruiken.
Als u een Windows-server gebruikt, moet u de toepasselijke naam Windows Firewall configureren, wat u kunt doen vanaf de Windows Management Console of met behulp van netsh.