Firewall cloud Linode: ne hai bisogno per proteggere il server Linux?

Cos’è un firewall cloud Linode?

Un firewall non è altro che semplici regole che filtrano il traffico dannoso che raggiunge il tuo server o rete Linux. Utilizziamo un firewall per bloccare e consentire il traffico di rete secondo le nostre esigenze. Ad esempio, posso consentire all’unico indirizzo IP specifico di accedere tramite SSH. Ovviamente, è necessario abilitare e installare tale firewall per il server Linux. Un firewall cloud fa lo stesso lavoro a livello di rete. Quindi il traffico può raggiungere o negare. Possiamo controllare facilmente il flusso dei pacchetti. Possiamo impostare regole in entrata e in uscita per il server.

Ma non abbiamo iptables, ufw, firewalld per il server Linux?

Molti sviluppatori, amministratori di sistema Linux di notizie e utenti trovano difficile la sintassi di iptables. Molti finiscono per impostare criteri firewall sbagliati e dare loro una falsa illusione e un senso di sicurezza. Quindi, è possibile utilizzare un firewall cloud per proteggere il server. Lo chiamiamo anche Firewall-as-a-Service (FWaaS) e stiamo esternalizzando il lavoro di filtraggio dei pacchetti IP al firewall di Linode. Naturalmente, possiamo combinare sia cloud firewall che iptables. In alcuni casi, avrai ancora bisogno di iptables. Ad esempio, i contenitori Linux e l’app basata su Docker richiedono regole NAT per reindirizzare il traffico ai contenitori corretti.

Test di guida del firewall cloud Linode

Aggiungere un firewall Linode è semplice. Ho effettuato l’accesso al mio gestore Linode e ho scelto Firewall dal menu a sinistra. Fai clic su “Aggiungi un firewall”. Possiamo usare anche l’opzione CLI:

Aggiunta di un nuovo firewall Linode per proteggere la mia macchina Alpine Linux

Il firewall Linode imposta regole in entrata sensibili che consentono il traffico DNS e SSH per impostazione predefinita. Non è impostata alcuna regola in uscita e tutto il traffico dal mio server Linux è consentito per impostazione predefinita:

Regola firewall in entrata / uscita predefinita

Poiché ospiterò un sito Web, devo aprire le porte TCP 443 (HTTPS) e 80 (HTTP). Puoi aprire qualsiasi porta e controllare l’accesso a un indirizzo IP specifico o consentire a tutti di utilizzare il sito web:

Apertura delle porte HTTP e HTTPS

Cerchiamo di limitare il traffico SSH a OpenVPN o Wireguard CIDR 10.8.1.0/24 oa un indirizzo IP pubblico come 1.2.3.4:

Per impostazione predefinita, le richieste di ping-pong sono bloccate. Cerchiamo di essere un buon netizen e consentire a ICMP di utilizzare la regola personalizzata:

Consenti richiesta ping in arrivo

Le regole in uscita di Linode limitano le connessioni di rete in uscita da un servizio Linode in base alle porte e alle destinazioni che configuriamo. Per impostazione predefinita, tutte le richieste in uscita dal server sono consentite, ma ho deciso di rafforzare la politica di sicurezza IP. Alla fine ecco come appariva:

Tuttavia, ho perso due funzionalità:

1. Limitazione della velocità per SSH o qualsiasi altra porta. Ad esempio, negare le connessioni da un indirizzo IP che ha tentato di avviare sei o più connessioni negli ultimi 30 secondi. Quella caratteristica sarebbe pulita.
2. Vorrei anche vedere una casella di testo per i commenti personalizzati per le regole personalizzate. Supponiamo che devo scoprire cosa è impostata la regola in entrata UDP / 1194.

Spero che aggiungano queste due piccole funzionalità e renderà il prodotto ancora migliore.

Come convalidare i criteri IP impostati dal firewall cloud Linode

Usa il comando nmap dal tuo desktop Linux o macOS / BSD:
sudo nmap your-linode-ip-here
Output di esempio:

Nmap scan report for li2xyz-abc.members.linode.com (172.10z.xxx.yyy)
Host is up (0.016s latency).
Not shown: 998 filtered ports
PORT    STATE  SERVICE
80/tcp  closed http
443/tcp closed https

Riassumendo

Nel complesso ho trovato l’interfaccia utente facile da usare e perfetta per i nuovi sviluppatori Linux o amministratori di sistema. Il firewall cloud in outsourcing elimina le congetture sulla configurazione di criteri IP validi. Ho sempre preferito chiudere tutte le finestre e aprire l’approccio alla politica IP delle porte TCP / UDP richieste. La sicurezza è come una cipolla per me. Hai bisogno di diversi livelli per proteggere i tuoi siti web o app. Quindi, oltre al firewall cloud Linode, dobbiamo installare WAF (web application firewall) come ModSecurity per Nginx o Apache. Per gli attacchi DoS / DDoS e il controllo dei bot, è necessario un firewall cloud distribuito fornito da Cloudflare, Fastly, AWS e altri. Non dimenticare di controllare la documentazione del firewall Linode poiché fornisce maggiori informazioni.

Disclaimer: Linode è uno sponsor aziendale di nixCraft dal 2017. Scrivo questa recensione come un utente felice e la consiglio a tutti i miei clienti e visitatori del blog.