Eine Firewall ist ein Netzwerkdienstprogramm, das auf Ihrem Server ausgeführt wird und verhindert, dass Außenstehende bestimmte Ports verwenden. Dies macht es zu einem nützlichen Sicherheitstool, um Angreifer daran zu hindern, auf Prozesse zuzugreifen, auf die sie nicht zugreifen sollten. Braucht Ihr Server einen?
Öffnen Sie nur die Ports, die Sie brauchen, Firewall den Rest
Die Dienste, die Sie auf Ihrem Server ausführen, sind über Ports mit der Außenwelt verbunden. Jeder Port hat eine Nummer, und der Dienst lauscht auf Verbindungen an dieser Portnummer. Dies ist nicht immer ein Sicherheitsrisiko, da Sie häufig Ports offen haben müssen, damit Nutzer auf Ihren Dienst zugreifen können.
Ports 80 und 443 sind die Standardports für HTTP und HTTPS. Wenn Sie einen Webserver betreiben, müssen diese geöffnet sein. Port 22 wird wahrscheinlich bei jeder neuen Linux-Installation geöffnet sein, da dies der Standard-SSH-Port ist. Sie können diesen Port schließen, müssen jedoch SSH auf einen anderen Port verschieben (was sowieso eine gute Idee ist).
Ohne eine Firewall wird jedem Dienst, der eine Verbindung startet, standardmäßig der Zugriff auf jeden Port gewährt. Es ist am besten, Ihre Regeln zu definieren, um dies zu verhindern und sicherzustellen, dass nichts Unerwartetes auf Ihrem System ausgeführt wird. Genau das macht eine Firewall&8212;definiert die Regeln dafür, wie Prozesse auf Ihrem Server mit der Außenwelt kommunizieren können.
Um zu überprüfen, welche Ports derzeit auf Ihrem System geöffnet sind, können Sie Folgendes ausführen:
sudo netstat -plnt
Oder, wenn Sie eine präzisere Ausgabe wünschen:
sudo netstat -plnt | grep “HÖREN” | awk '{print $4 “t” $7}' Werbung
Diese Befehle listen jeden offenen Port auf, zusammen mit dem Prozess, der diesen Port verwendet. Netstat zeigt nur die PID und den Dateinamen des Prozesses an. Wenn Sie also den vollständigen Pfad benötigen, müssen Sie die PID an den ps-Befehl übergeben. Wenn Sie Ports scannen müssen, ohne auf den Server zuzugreifen, können Sie das clientseitige Dienstprogramm nmap verwenden.
Alles andere, das nicht speziell zum Hosten eines Dienstes verwendet wird, sollte mit einer Firewall geschlossen werden.
Wenn alles, was auf Ihrem System läuft, geöffnet sein soll, benötigen Sie möglicherweise keine Firewall. Aber ohne einen könnte jeder ungenutzte Port durch einen neuen Prozess, den Sie installieren, leicht geöffnet werden. Sie müssen sicherstellen, dass keine neuen Dienste gesperrt werden müssen.
Führen Sie Ihre nicht aus Dienste auf öffentlichen IPs an erster Stelle
Eine Firewall ist ein großartiges Sicherheitstool, aber bestimmte Dienste sollten nicht für die ganze Welt zugänglich sein. Wenn ein Port geöffnet werden muss, ist dieser Dienst anfällig für Brute-Force-Angriffe und andere unangenehme Probleme. Sie können dies jedoch verhindern, indem Sie Verbindungen zu Ihrer Virtual Private Cloud sperren.
Datenbanken sind das Paradebeispiel dafür. Eine Datenbank wie MySQL benötigt einen offenen Port für administrative Verbindungen. Aber wenn das einzige, was mit der Datenbank kommuniziert, Ihr Webserver ist (und Sie, wenn Sie Wartungsarbeiten durchführen), sollten Sie MySQL privat halten und ihm nur erlauben, mit dem Webserver zu kommunizieren. Wenn Sie darauf zugreifen müssen, können Sie per SSH auf den Webserver zugreifen und von dort auf den Rest des Netzwerks zugreifen.
So konfigurieren Sie eine Firewall< /h2>
Wenn Sie einen verwalteten Hosting-Dienst wie Amazon Web Services oder Digital Ocean verwenden, verfügt Ihr Anbieter möglicherweise über eine Firewall, die Sie über eine Weboberfläche verwalten können. Wenn dies eine Option ist, sollten Sie Ihre Firewall auf diese Weise konfigurieren.
Werbung
Insbesondere AWS zwingt Sie dazu, ihre Firewall zu verwenden, die mit Sicherheitsgruppen verwaltet wird. Ports sind standardmäßig alle geschlossen (außer für Port 22), sodass Sie sie manuell über ihre Benutzeroberfläche öffnen müssen. Sie können die Sicherheitsgruppen für jede laufende Instanz über die EC2 Management Console bearbeiten und die eingehenden Regeln ändern.
AWS ermöglicht es Ihnen, die Quelle für die Regel anzugeben, sodass Sie beispielsweise SSH nur auf Ihre persönliche IP-Adresse sperren oder die Verbindung zwischen Ihrem Datenbankserver und Ihrem Webserver privat machen können.
VERWANDTE: Der Anfängerleitfaden für iptables, die Linux-Firewall
Wenn Sie andere Anbieter wie Linode verwenden oder normales Hosting, müssen Sie die Firewall selbst konfigurieren. Die einfachste Methode hierfür ist die Verwendung des iptables-Dienstprogramms.
Wenn Sie einen Windows-Server ausführen, müssen Sie die passend benannte Windows-Firewall konfigurieren über die Windows Management Console oder über netsh.