Tutoriel : Sécuriser son serveur avec un pare-feu
Pour compléter le très bon tuto de XciD69 TUTO : Sécurisation / Logs
Et comme promis je vous prépare un tuto sur la configuration du pare-feu (UFW pour commencer et Iptable par la suite).
I - introduction
Tout d'abord pour les néophytes nous allons donner la définition d'un parefeu :
- Le pare-feu physique (Sur un switch ou un routeur par exemple)
- Le pare-feu logiciel qui comme son nom l'indique est un logiciel (Zonealarm pour windonws par exemple et bien sur UFW IPtables...)
Dans le monde des pare-feu il y a un petit vocabulaire à savoir :
- Savoir ce qu'es un "port" par exemple votre connexion web (http) utilise par défaut le port 80.
- Comprendre la notion de trafic entrant et de trafic sortant.
C'est simple quand vous vous rendez sur la page web votresite.com/
Une requête sur le trafic entrant port 80 va arriver et le serveur va vous envoyer une réponse.
Quand vous mettez en seed sur votre seedbox votre iso linux le serveur va générer du trafic sortant.
Et donc le but du pare-feu va être de bloquer ou non ces trafics. On va dire au pare-feu par exemple d'autoriser tous les trafics entrant et sortant sur le port 80 et de refuser tous les autres trafics sur les ports.
II - Analyse des trafics sur notre serveur
Dans un premier temps nous allons identifier quel ports sont actif sur votre serveur.
NMAP
Installation du paquet NMAP
Une fois le paquet installé lancer cette commande :
NMAP nous dis même à quoi ils sont associés (21 = ftp par exemple).
Après il faut trier les ports par exemple si vous avez un port 80 qui est ouvert alors que sur votre serveur vous n’héberger pas de web il serait prudent de le bloquer
Ensuite c'est à vous de faire votre trie :cheer: (Je donnerais les règles à mettre en place pour une seedbox à titre d'exemple dans le tuto)
III - Installation et Configuration d'UFW
Maintenant les commandes génériques :
Activer/Désactiver UFW :
Voir les règles en cours :
Ajouter/Supprimer une règle
Comment ajouter une règle (format)
ufw allow 80 -> Autorisera le port 80 en entré et sortie en tcp et udp
ufw allow 80/tcp -> Pareil mais uniquement en TCP...
Configuration basique d'UFW pour une seedbox :
Ensuite on regarde notre fichier .rtorrent.rc
et on regarde la variable port_range :
Une fois que vos règles sont ajoutées.
Voilà
J'ai configurer mon dédié de cette manière depuis 2 jours et j'ai rencontré aucun problème si jamais vous avez des questions ou des points que vous aimeriez voir approfondie dans mon tuto n'hésitez pas à me contacter et bien sûr je reste à votre disposition pour vous aider dans vos config.
Mise à jours du tuto prévu :
- Ajout de règle via alias (ufw allow ssh)
- Utilisation d'IPtables
Pour compléter le très bon tuto de XciD69 TUTO : Sécurisation / Logs
Et comme promis je vous prépare un tuto sur la configuration du pare-feu (UFW pour commencer et Iptable par la suite).
I - introduction
Tout d'abord pour les néophytes nous allons donner la définition d'un parefeu :
Il existe deux types de pare-feu :Un pare-feu, ou firewall (en anglais), est un logiciel et/ou un matériel, permettant de faire respecter la politique de sécurité du réseau, celle-ci définissant quels sont les types de communication autorisés sur ce réseau informatique. Il mesure la prévention des applications et des paquets.
- Le pare-feu physique (Sur un switch ou un routeur par exemple)
- Le pare-feu logiciel qui comme son nom l'indique est un logiciel (Zonealarm pour windonws par exemple et bien sur UFW IPtables...)
Dans le monde des pare-feu il y a un petit vocabulaire à savoir :
- Savoir ce qu'es un "port" par exemple votre connexion web (http) utilise par défaut le port 80.
- Comprendre la notion de trafic entrant et de trafic sortant.
C'est simple quand vous vous rendez sur la page web votresite.com/
Une requête sur le trafic entrant port 80 va arriver et le serveur va vous envoyer une réponse.
Quand vous mettez en seed sur votre seedbox votre iso linux le serveur va générer du trafic sortant.
Et donc le but du pare-feu va être de bloquer ou non ces trafics. On va dire au pare-feu par exemple d'autoriser tous les trafics entrant et sortant sur le port 80 et de refuser tous les autres trafics sur les ports.
II - Analyse des trafics sur notre serveur
Dans un premier temps nous allons identifier quel ports sont actif sur votre serveur.
NMAP
Installation du paquet NMAP
aptitude install nmapapt-get install nmapUne fois le paquet installé lancer cette commande :
nmap IPdevotreserveur21/tcp open ftp
22/tcp open ssh
80/tcp open http
443/tcp open https
Après il faut trier les ports par exemple si vous avez un port 80 qui est ouvert alors que sur votre serveur vous n’héberger pas de web il serait prudent de le bloquer
Ensuite c'est à vous de faire votre trie :cheer: (Je donnerais les règles à mettre en place pour une seedbox à titre d'exemple dans le tuto)
III - Installation et Configuration d'UFW
aptitude install ufwapt-get install ufwMaintenant les commandes génériques :
Activer/Désactiver UFW :
ufw disableufw enableVoir les règles en cours :
Ufw status numbered ufw status verboseAjouter/Supprimer une règle
ufw delete (N° de règle)ufw insert (règle)Comment ajouter une règle (format)
Ufw (allow/deny) (in/out) (port)(/tcp ou /udp optionnel)ufw allow 80 -> Autorisera le port 80 en entré et sortie en tcp et udp
ufw allow 80/tcp -> Pareil mais uniquement en TCP...
ufw (allow/deny) port:port(/tcp ou /udp)Configuration basique d'UFW pour une seedbox :
ufw disableufw allow 22 ufw allow 21ufw allow 80ufw allow 443Ensuite on regarde notre fichier .rtorrent.rc
et on regarde la variable port_range :
port_range = 45000:65000ufw allow 45000:65000/tcpufw allow 45000:65000/udpUne fois que vos règles sont ajoutées.
ufw enableufw default denyVoilà
J'ai configurer mon dédié de cette manière depuis 2 jours et j'ai rencontré aucun problème si jamais vous avez des questions ou des points que vous aimeriez voir approfondie dans mon tuto n'hésitez pas à me contacter et bien sûr je reste à votre disposition pour vous aider dans vos config.
Mise à jours du tuto prévu :
- Ajout de règle via alias (ufw allow ssh)
- Utilisation d'IPtables