Tutoriel : Sécuriser son serveur avec un pare-feu
Pour compléter le très bon tuto de XciD69
TUTO : Sécurisation / Logs
Et comme promis je vous prépare un tuto sur la configuration du pare-feu (UFW pour commencer et Iptable par la suite).
I - introduction
Tout d'abord pour les néophytes nous allons donner la définition d'un parefeu :
Un pare-feu, ou firewall (en anglais), est un logiciel et/ou un matériel, permettant de faire respecter la politique de sécurité du réseau, celle-ci définissant quels sont les types de communication autorisés sur ce réseau informatique. Il mesure la prévention des applications et des paquets.
Il existe deux types de pare-feu :
- Le pare-feu physique (Sur un switch ou un routeur par exemple)
- Le pare-feu logiciel qui comme son nom l'indique est un logiciel (Zonealarm pour windonws par exemple et bien sur UFW IPtables...)
Dans le monde des pare-feu il y a un petit vocabulaire à savoir :
- Savoir ce qu'es un "port" par exemple votre connexion web (http) utilise par défaut le port 80.
- Comprendre la notion de trafic entrant et de trafic sortant.
C'est simple quand vous vous rendez sur la page web votresite.com/
Une requête sur le trafic entrant port 80 va arriver et le serveur va vous envoyer une réponse.
Quand vous mettez en seed sur votre seedbox votre iso linux le serveur va générer du trafic sortant.
Et donc le but du pare-feu va être de bloquer ou non ces trafics. On va dire au pare-feu par exemple d'autoriser tous les trafics entrant et sortant sur le port 80 et de refuser tous les autres trafics sur les ports.
II - Analyse des trafics sur notre serveur
Dans un premier temps nous allons identifier quel ports sont actif sur votre serveur.
NMAP
Installation du paquet NMAP
aptitude install nmap
pour Debian
apt-get install nmap
pour Ubuntu
Une fois le paquet installé lancer cette commande :
nmap IPdevotreserveur
Cette commande va vous répondre quelque chose dans ce genre là :
21/tcp open ftp
22/tcp open ssh
80/tcp open http
443/tcp open https
La on sait donc que les ports : 21,22,80,443 sont en écoutes sur mon serveur. Donc par conséquent qu'ils sont utilisés
NMAP nous dis même à quoi ils sont associés (21 = ftp par exemple).
Après il faut trier les ports par exemple si vous avez un port 80 qui est ouvert alors que sur votre serveur vous n’héberger pas de web il serait prudent de le bloquer
Ensuite c'est à vous de faire votre trie :cheer: (Je donnerais les règles à mettre en place pour une seedbox à titre d'exemple dans le tuto)
III - Installation et Configuration d'UFW
aptitude install ufw
Pour Debian
apt-get install ufw
Pour Ubuntu...
Maintenant les commandes génériques :
Activer/Désactiver UFW :
ufw disable
pour désactiver ufw
ufw enable
pour activer ufw
Voir les règles en cours :
Ufw status numbered
Voir les règles numéroté (utilise pour en supprimer en cas de besoin
ufw status verbose
pour voir l'ensemble des règles actives
Ajouter/Supprimer une règle
ufw delete (N° de règle)
Pour supprimer une règle
ufw insert (règle)
Pour ajouter une règle avec un numéro précis
Comment ajouter une règle (format)
Ufw (allow/deny) (in/out) (port)(/tcp ou /udp optionnel)
Pour les variables : (in/out) et (tcp/udp) si vous ne les renseigné pas les 2 options seront actives.
ufw allow 80 -> Autorisera le port 80 en entré et sortie en tcp et udp
ufw allow 80/tcp -> Pareil mais uniquement en TCP...
ufw (allow/deny) port:port(/tcp ou /udp)
Pour une plage de port.
Configuration basique d'UFW pour une seedbox :
ufw disable
On désactive UFW
ufw allow 22
On autorise le SSH ! Adapter en fonction de votre port SSH
ufw allow 21
On autorise le FTP
ufw allow 80
On autorise http
ufw allow 443
On autorise https
Ensuite on regarde notre fichier .rtorrent.rc
et on regarde la variable port_range :
port_range = 45000:65000
et on ajouter l’exception au pare-feu
ufw allow 45000:65000/tcp
ufw allow 45000:65000/udp
Manipulation à faire pour chaque utilisateur de votre seedbox
Une fois que vos règles sont ajoutées.
ufw enable
on active le parefeu
ufw default deny
Et par défaut on bloque tout de cette manière juste les ports que vous avez autoriser dans vos règles seront accessible.
Voilà
J'ai configurer mon dédié de cette manière depuis 2 jours et j'ai rencontré aucun problème si jamais vous avez des questions ou des points que vous aimeriez voir approfondie dans mon tuto n'hésitez pas à me contacter et bien sûr je reste à votre disposition pour vous aider dans vos config.
Mise à jours du tuto prévu :
- Ajout de règle via alias (ufw allow ssh)
- Utilisation d'IPtables
