ファイアウォール: ufw による出力フィルタリング
Egress フィルタリングを備えたファイアウォールとは何ですか?
エグレス フィルタリングは、ネットワークから出るトラフィックを制御するときに使用します.エグレス フィルタリングは、ファイアウォール ルールを導入することで、アウトバウンド トラフィック フローを削減されたサブセットに制限します.
Egress フィルタリングの実装に使用するツールはどれですか?
Ubuntu ディストリビューションでデフォルト設定されている
ufw
ツールを使用します.他の Linux ディストリビューション用に ufw
をインストールすることもできます.まずはroot化しましょう
sudo su
ここでは、Ubuntu を使用したシステムがあると仮定しています.
ufw
を有効にすることから始めましょうufw enable
Egress フィルタリングが必要な理由は何ですか?
エグレス フィルタリングは、インターネットに漏らしたくない情報を制限します.内部システムが危険にさらされ、一部のリモート ホストと情報を共有することを回避できるかどうかにかかわらず、構成ミスやネットワーク マッピングの試行によって情報漏えいが発生する可能性があり、これも回避できます.
ここで、一部の TCP/UDP ポートと IP をブロックして、アウトバウンド接続を確立できないようにします.
簡易ファイル転送プロトコル - TFTP - UDP - 69
TFTP はリモート ホスト間でファイルを移動するのに役立ちます.したがって、攻撃者がペイロードを感染したシステムに移動するための入り口になります.tftp を介したシステムとリモート ホスト間の異常な接続は、感染したシステムの兆候です.
次のコマンドを使用して、このポートを介して確立された接続があるかどうかを確認できます.
netstat -anu | grep ":69"
ポートをブロックして、アウトバウンド通信を行わないようにすることをお勧めします.
そのためには、次のコマンドを試してください
ufw deny out 69/udp
これで、ポート 69 で UDP の TFTP をブロックするようにファイアウォールが更新されました
シスログ - UDP - 514
ポート 514 の UDP で動作する syslog は、ログをサーバーに送信するのに役立ちます.ログ ファイルには、機密情報や個人情報が含まれている可能性があります.システムが不明な場合は、いつでも syslog による発信接続をブロックできます.
試す、
ufw deny out 514/udp
簡易ネットワーク管理プロトコル – SNMP – UDP – 161-162
ポート範囲 161 ~ 162 の UDP 上の SNMP は、情報の収集、整理、ネットワークの監視、ネットワーク障害の検出が可能で、場合によってはリモート デバイスの構成にも使用されます.
SNMPをブロックするには、試してください
ufw deny out 161:162/udp
SMTP メール サーバー TCP - 25
電子メールを送信するためのスパム リレーとして使用されるために、多くのシステムが侵害されています.これを回避するには、すべての IP がメール サーバーの IP を除く TCP ポート 25 にアクセスするのをブロックします.
ufw allow from <our-mail-server-ip> to any proto tcp port 25
ufw deny from any to any proto tcp port 25
インターネットリレーチャット – IRC – TCP 6660-6669
IRC は、テキストベースのメッセージング用のネットワークです. IRC は任意のポートに接続できますが、最も一般的なポート範囲は 6660 から 6669 です.
試す、
ufw deny out 6660:6669/tcp
インターネット制御メッセージ プロトコル - ICMP
ICMP は、ネットワーク デバイスがネットワーク通信の問題を診断するために使用するネットワーク層プロトコルです. ICMP は主に、データが目的の宛先にタイムリーに到達しているかどうかを判断するために使用されます.
ICMP を使用すると、脆弱性の 3 つの異なるシナリオが発生する可能性があります
いつものようにルートを取得し、
sudo su
ファイアウォール ルールのバックアップを取りましょう
cp /etc/ufw/before.rules /etc/ufw/before.rules_backup
vi /etc/ufw/before.rules
以下のように出力されます
# ok icmp codes for INPUT
-A ufw-before-input -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-input -p icmp --icmp-type source-quench -j ACCEPT
-A ufw-before-input -p icmp --icmp-type time-exceeded -j ACCEPT
-A ufw-before-input -p icmp --icmp-type parameter-problem -j ACCEPT
-A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT
以下のように変更してみてください
# ok icmp codes for INPUT
-A ufw-before-input -p icmp --icmp-type destination-unreachable -j DROP
-A ufw-before-input -p icmp --icmp-type source-quench -j ACCEPT
-A ufw-before-input -p icmp --icmp-type time-exceeded -j DROP
-A ufw-before-input -p icmp --icmp-type parameter-problem -j ACCEPT
-A ufw-before-input -p icmp --icmp-type echo-request -j DROP
次に、ファイアウォールをリロードします
ufw reload
皆さんが役に立つことを願っています
クッキーを購入して私たちをサポートしてください
Reference
この問題について(ファイアウォール: ufw による出力フィルタリング), 我々は、より多くの情報をここで見つけました
https://dev.to/dogealgo/firewall-egress-filtering-with-ufw-2038
テキストは自由に共有またはコピーできます。ただし、このドキュメントのURLは参考URLとして残しておいてください。
Collection and Share based on the CC Protocol
Reference
この問題について(ファイアウォール: ufw による出力フィルタリング), 我々は、より多くの情報をここで見つけました https://dev.to/dogealgo/firewall-egress-filtering-with-ufw-2038テキストは自由に共有またはコピーできます。ただし、このドキュメントのURLは参考URLとして残しておいてください。
Collection and Share based on the CC Protocol