ファイアウォール: ufw による出力フィルタリング


Egress フィルタリングを備えたファイアウォールとは何ですか?



エグレス フィルタリングは、ネットワークから出るトラフィックを制御するときに使用します.エグレス フィルタリングは、ファイアウォール ルールを導入することで、アウトバウンド トラフィック フローを削減されたサブセットに制限します.

Egress フィルタリングの実装に使用するツールはどれですか?



Ubuntu ディストリビューションでデフォルト設定されている ufw ツールを使用します.他の Linux ディストリビューション用に ufw をインストールすることもできます.

まずはroot化しましょう

sudo su


ここでは、Ubuntu を使用したシステムがあると仮定しています.ufw を有効にすることから始めましょう

ufw enable


Egress フィルタリングが必要な理由は何ですか?



エグレス フィルタリングは、インターネットに漏らしたくない情報を制限します.内部システムが危険にさらされ、一部のリモート ホストと情報を共有することを回避できるかどうかにかかわらず、構成ミスやネットワーク マッピングの試行によって情報漏えいが発生する可能性があり、これも回避できます.

ここで、一部の TCP/UDP ポートと IP をブロックして、アウトバウンド接続を確立できないようにします.

簡易ファイル転送プロトコル - TFTP - UDP - 69



TFTP はリモート ホスト間でファイルを移動するのに役立ちます.したがって、攻撃者がペイロードを感染したシステムに移動するための入り口になります.tftp を介したシステムとリモート ホスト間の異常な接続は、感染したシステムの兆候です.

次のコマンドを使用して、このポートを介して確立された接続があるかどうかを確認できます.

netstat -anu | grep ":69" 


ポートをブロックして、アウトバウンド通信を行わないようにすることをお勧めします.

そのためには、次のコマンドを試してください

ufw deny out 69/udp


これで、ポート 69 で UDP の TFTP をブロックするようにファイアウォールが更新されました

シスログ - UDP - 514



ポート 514 の UDP で動作する syslog は、ログをサーバーに送信するのに役立ちます.ログ ファイルには、機密情報や個人情報が含まれている可能性があります.システムが不明な場合は、いつでも syslog による発信接続をブロックできます.

試す、

ufw deny out 514/udp


簡易ネットワーク管理プロトコル – SNMP – UDP – 161-162



ポート範囲 161 ~ 162 の UDP 上の SNMP は、情報の収集、整理、ネットワークの監視、ネットワーク障害の検出が可能で、場合によってはリモート デバイスの構成にも使用されます.

SNMPをブロックするには、試してください

ufw deny out 161:162/udp


SMTP メール サーバー TCP - 25



電子メールを送信するためのスパム リレーとして使用されるために、多くのシステムが侵害されています.これを回避するには、すべての IP がメール サーバーの IP を除く TCP ポート 25 にアクセスするのをブロックします.

ufw allow from <our-mail-server-ip> to any proto tcp port 25



ufw deny from any to any proto tcp port 25


インターネットリレーチャット – IRC – TCP 6660-6669



IRC は、テキストベースのメッセージング用のネットワークです. IRC は任意のポートに接続できますが、最も一般的なポート範囲は 6660 から 6669 です.

試す、

ufw deny out 6660:6669/tcp


インターネット制御メッセージ プロトコル - ICMP



ICMP は、ネットワーク デバイスがネットワーク通信の問題を診断するために使用するネットワーク層プロトコルです. ICMP は主に、データが目的の宛先にタイムリーに到達しているかどうかを判断するために使用されます.

ICMP を使用すると、脆弱性の 3 つの異なるシナリオが発生する可能性があります
  • エコー要求パケットの受信に応答して、システムからエコー応答パケット (タイプ 0 コード 0) が返されます.これは、誰かが ping を送信したときにシステムが応答するときです.攻撃者はこれを秘密の通信チャネルに使用できます.
  • 攻撃者は、接続されたホストでネットワークに ping を実行し、ネットワークからのホスト到達不能 (タイプ 3 コード 1) 応答を探して、オフラインのホストとオンラインのホストを識別し、攻撃者のネットワーク マッピング ツールになる可能性があります.
  • Time Exceeded in Transit (タイプ 11 コード 0) traceroute、tracert、Firewalk、tcptraceroute などのネットワーク マッピング ツールは、存続可能時間 (TTL) が異常に低い変更パケットを作成することにより、ソース ホストとターゲット ホストの間のすべてのルーターをマップします.そのため、パス内のルーティング デバイスが ICMP 時間を超過しました.

  • いつものようにルートを取得し、

    sudo su
    


    ファイアウォール ルールのバックアップを取りましょう

    cp /etc/ufw/before.rules /etc/ufw/before.rules_backup
    



    vi /etc/ufw/before.rules
    


    以下のように出力されます

    # ok icmp codes for INPUT
    -A ufw-before-input -p icmp --icmp-type destination-unreachable -j ACCEPT
    -A ufw-before-input -p icmp --icmp-type source-quench -j ACCEPT
    -A ufw-before-input -p icmp --icmp-type time-exceeded -j ACCEPT
    -A ufw-before-input -p icmp --icmp-type parameter-problem -j ACCEPT
    -A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT
    


    以下のように変更してみてください

    # ok icmp codes for INPUT
    -A ufw-before-input -p icmp --icmp-type destination-unreachable -j DROP
    -A ufw-before-input -p icmp --icmp-type source-quench -j ACCEPT
    -A ufw-before-input -p icmp --icmp-type time-exceeded -j DROP
    -A ufw-before-input -p icmp --icmp-type parameter-problem -j ACCEPT
    -A ufw-before-input -p icmp --icmp-type echo-request -j DROP
    


    次に、ファイアウォールをリロードします

    ufw reload
    


    皆さんが役に立つことを願っています

    クッキーを購入して私たちをサポートしてください