ファイアウォール: ufw による出力フィルタリング

4716 ワード

Egress フィルタリングを備えたファイアウォールとは何ですか?

エグレスフィルタリングは、ネットワークから出るトラフィックを制御するときに使用します.エグレスフィルタリングは、ファイアウォールルールを導入することで、アウトバウンドトラフィックフローを削減されたサブセットに制限します.

Egress フィルタリングの実装に使用するツールはどれですか?

Ubuntu ディストリビューションでデフォルト設定されている ufw ツールを使用します.他の Linux ディストリビューション用に ufw をインストールすることもできます.

まずはroot化しましょう

sudo su

ここでは、Ubuntu を使用したシステムがあると仮定しています.ufw を有効にすることから始めましょう

ufw enable

Egress フィルタリングが必要な理由は何ですか?

エグレスフィルタリングは、インターネットに漏らしたくない情報を制限します.内部システムが危険にさらされ、一部のリモートホストと情報を共有することを回避できるかどうかにかかわらず、構成ミスやネットワークマッピングの試行によって情報漏えいが発生する可能性があり、これも回避できます.

ここで、一部の TCP/UDP ポートと IP をブロックして、アウトバウンド接続を確立できないようにします.

簡易ファイル転送プロトコル - TFTP - UDP - 69

TFTP はリモートホスト間でファイルを移動するのに役立ちます.したがって、攻撃者がペイロードを感染したシステムに移動するための入り口になります.tftp を介したシステムとリモートホスト間の異常な接続は、感染したシステムの兆候です.

次のコマンドを使用して、このポートを介して確立された接続があるかどうかを確認できます.

netstat -anu | grep ":69"

ポートをブロックして、アウトバウンド通信を行わないようにすることをお勧めします.

そのためには、次のコマンドを試してください

ufw deny out 69/udp

これで、ポート 69 で UDP の TFTP をブロックするようにファイアウォールが更新されました

シスログ - UDP - 514

ポート 514 の UDP で動作する syslog は、ログをサーバーに送信するのに役立ちます.ログファイルには、機密情報や個人情報が含まれている可能性があります.システムが不明な場合は、いつでも syslog による発信接続をブロックできます.

試す、

ufw deny out 514/udp

簡易ネットワーク管理プロトコル – SNMP – UDP – 161-162

ポート範囲 161 ～ 162 の UDP 上の SNMP は、情報の収集、整理、ネットワークの監視、ネットワーク障害の検出が可能で、場合によってはリモートデバイスの構成にも使用されます.

SNMPをブロックするには、試してください

ufw deny out 161:162/udp

SMTP メールサーバー TCP - 25

電子メールを送信するためのスパムリレーとして使用されるために、多くのシステムが侵害されています.これを回避するには、すべての IP がメールサーバーの IP を除く TCP ポート 25 にアクセスするのをブロックします.

ufw allow from <our-mail-server-ip> to any proto tcp port 25

ufw deny from any to any proto tcp port 25

インターネットリレーチャット – IRC – TCP 6660-6669

IRC は、テキストベースのメッセージング用のネットワークです. IRC は任意のポートに接続できますが、最も一般的なポート範囲は 6660 から 6669 です.

試す、

ufw deny out 6660:6669/tcp

インターネット制御メッセージプロトコル - ICMP

ICMP は、ネットワークデバイスがネットワーク通信の問題を診断するために使用するネットワーク層プロトコルです. ICMP は主に、データが目的の宛先にタイムリーに到達しているかどうかを判断するために使用されます.

ICMP を使用すると、脆弱性の 3 つの異なるシナリオが発生する可能性があります

エコー要求パケットの受信に応答して、システムからエコー応答パケット (タイプ 0 コード 0) が返されます.これは、誰かが ping を送信したときにシステムが応答するときです.攻撃者はこれを秘密の通信チャネルに使用できます.

攻撃者は、接続されたホストでネットワークに ping を実行し、ネットワークからのホスト到達不能 (タイプ 3 コード 1) 応答を探して、オフラインのホストとオンラインのホストを識別し、攻撃者のネットワークマッピングツールになる可能性があります.

Time Exceeded in Transit (タイプ 11 コード 0) traceroute、tracert、Firewalk、tcptraceroute などのネットワークマッピングツールは、存続可能時間 (TTL) が異常に低い変更パケットを作成することにより、ソースホストとターゲットホストの間のすべてのルーターをマップします.そのため、パス内のルーティングデバイスが ICMP 時間を超過しました.

いつものようにルートを取得し、

sudo su

ファイアウォールルールのバックアップを取りましょう

cp /etc/ufw/before.rules /etc/ufw/before.rules_backup

vi /etc/ufw/before.rules

以下のように出力されます

# ok icmp codes for INPUT
-A ufw-before-input -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-input -p icmp --icmp-type source-quench -j ACCEPT
-A ufw-before-input -p icmp --icmp-type time-exceeded -j ACCEPT
-A ufw-before-input -p icmp --icmp-type parameter-problem -j ACCEPT
-A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT

以下のように変更してみてください

# ok icmp codes for INPUT
-A ufw-before-input -p icmp --icmp-type destination-unreachable -j DROP
-A ufw-before-input -p icmp --icmp-type source-quench -j ACCEPT
-A ufw-before-input -p icmp --icmp-type time-exceeded -j DROP
-A ufw-before-input -p icmp --icmp-type parameter-problem -j ACCEPT
-A ufw-before-input -p icmp --icmp-type echo-request -j DROP

次に、ファイアウォールをリロードします

ufw reload

皆さんが役に立つことを願っています

クッキーを購入して私たちをサポートしてください

Reference

この問題について(ファイアウォール: ufw による出力フィルタリング), 我々は、より多くの情報をここで見つけました https://dev.to/dogealgo/firewall-egress-filtering-with-ufw-2038

テキストは自由に共有またはコピーできます。ただし、このドキュメントのURLは参考URLとして残しておいてください。

Collection and Share based on the CC Protocol

Jax-Rs で CREATED HTTP ステータスコードを返す方法

markdownテーブルで縦線を使用する