Konfiguracja blacklist za pomocą Shorewalla
Shorewall to jeden z bardzo popularnych firewalli dla Linuxa. W rzeczywistości jest nakładką na IPTABLES ale ponieważ jest przejrzysty i łatwy w konfiguracji często używam go w środowiskach o dużej liczbie serwerów. W tym artykule chciałbym skupić się wyłącznie na konfiguracji pozwalającej na zastosowanie blacklist – czarnych list za pomocą shorewalla.
Każdy administrator serwera z publicznym adresem IP spotkał się z atakami słownikowymi na usługi. Większość z nich przeprowadzanych jest przez automaty i przy zachowaniu odpowiednich zasad bezpieczeństwa nie powinna stanowić zagrożenia. Jednak licho nie śpi i dlatego zastosowanie czarnych list na poziomie firewalla pozwala ograniczyć liczbę ataków.
Z pomocą shorewalla możemy utrzymywać własne czarne listy. Aby włączyć tą funkcję należy:
- Dodać opcję blacklist w pliku definicji interfejsów – interfaces (ścieżka domyślna: /etc/shorewall/interfaces)
net eth0 detect blacklist
- Utworzyć plik blacklist (ścieżka domyślna: /etc/shorewall/blacklist) z odpowiednią zawartością np.
1.232.0.0/13 tcp 22,2200,2222
Pierwsza opcja to adres IP w notacji CIDR, druga rodzaj protokołu (tcp,udp), zaś trzecia to port blokowany dla ruchu przychodzącego.
- Zrestartować demona shorewall:
/etc/init.d/shorewall restart
To wszystko:) Na zakończenie bonus w postaci gotowego pliku blacklist z aktualizowaną co tydzień czarną listą, który można pobrać pod adresem:
http://dl.dropbox.com/u/545869/Config/Shorewall/blacklist
MG