Como configurar um firewall Linux: O guia definitivo

A firewall funciona como um guardião digital, examinando meticulosamente o tráfego da rede e decidindo o que pode passar. Esse escudo protetor, fundamental para a segurança cibernética, é integral no mundo Linux. O próprio kernel do Linux é efetivamente um firewall de comutação de pacotes de fato, criado com base nos princípios de filtragem de pacotes no nível mais fundamental do sistema operacional, exemplificando assim o papel fundamental dos firewalls na segurança do sistema. Para aqueles que trabalham com TI e Segurança do Linux essa combinação desempenha um papel essencial no domínio da defesa digital.

As configurações adequadas do firewall garantem que somente o tráfego legítimo seja processado, reduzindo a exposição do sistema a possíveis ameaças. Ao definir regras específicas, os firewalls podem proteger efetivamente os serviços e dados essenciais. Um firewall configurado incorretamente pode, inadvertidamente, deixar portas abertas, expor serviços confidenciais ou até mesmo bloquear operações legítimas. Essas configurações incorretas podem ser um convite aberto aos invasores, levando a violações de dados ou ataques de negação de serviço (DoS).

Depois de configurar um firewall do Linux, ele funcionará avaliando os pacotes de dados enviados de e para o sistema. Ao verificar atributos como porta de destino, IP de origem e protocolo, ele decide permitir ou negar o tráfego com base em regras predefinidas. Se preferir acompanhar visualmente, você pode assistir ao guia em vídeo: Como configurar um firewall Linux.

Práticas recomendadas de configuração de firewall do Linux

Na interseção entre a administração de sistemas Linux e a segurança cibernética, as configurações de firewall surgem como uma pedra fundamental na arquitetura de defesa. Navegar nesse labirinto exige mais do que apenas conhecimento técnico – exige uma abordagem estratégica que se alinhe aos objetivos de segurança mais amplos. Aqui estão as práticas essenciais a serem adotadas:

Compreensão da política de segurança

Antes de se aprofundar nas configurações, comece com uma política de segurança bem articulada. Defina quais dados e serviços precisam de proteção e contra quais ameaças, para garantir que o firewall funcione como uma primeira linha de defesa eficaz. Isso não inclui apenas o que bloquear e de quem; considerações de segurança da informação, como os métodos de bloqueio, também entram em jogo aqui. 

Definição de políticas padrão

Para otimizar a segurança do Linux, adote uma postura de exposição mínima. Uma prática recomendada é negar tudo por padrão e abrir vias de acesso somente quando necessário, o que é essencialmente uma arquitetura de confiança zero. Isso minimiza as possíveis superfícies de ataque e reduz a exposição inadvertida. Um caso de uso comum é a distinção entre as regras de “negar” e “descartar” no firewall: a primeira envia ativamente uma resposta de SOLICITAÇÃO NEGADA ao remetente dos pacotes, e a segunda descarta silenciosamente os pacotes de solicitação sem resposta. Qualquer pessoa que já tenha operado um servidor de produção na Internet aberta pode lhe falar sobre a sabedoria de não divulgar seu endereço IP para varreduras de portas aleatórias, por exemplo.

Gerenciar o tráfego de entrada e saída

Embora seja dada muita ênfase ao impedimento do tráfego de entrada não solicitado, o monitoramento e o controle do tráfego de saída são igualmente fundamentais. Ele garante que os sistemas potencialmente comprometidos dentro da rede não se tornem canais para a exfiltração de dados ou outras atividades maliciosas. As infecções de endpoint nos laptops dos usuários podem infectar mais facilmente outros computadores dentro da rede, como o armazenamento de rede ou os servidores da empresa, do que os agentes hostis, em parte devido ao nível de confiança existente. É por isso que gerenciar a frota de computação móvel de sua empresa com produtos como O software de gerenciamento de terminais da NinjaOne pode ajudar a proteger sua rede principal, protegendo os dispositivos contra vírus, spyware e ataques cibernéticos, como os cada vez mais comuns ataques de ransomware.

Configuração de regras específicas de serviço

Serviços diferentes apresentam vulnerabilidades variadas. Adapte suas regras de firewall para atender a essas nuances, garantindo que cada serviço, seja SSH, HTTP ou FTP, tenha seu escudo de proteção personalizado. Os serviços de vigilância, como o fail2ban, também podem observar os registros dos serviços em busca de sinais de ataques à segurança, geralmente tomando as medidas apropriadas ao ajustar as regras de firewall e as listas negras.

Revisão e atualizações regulares do firewall

O cenário de ameaças está em constante evolução, e suas defesas também deveriam estar. O exame e a atualização regulares das configurações do firewall garantem que elas permaneçam robustas, relevantes e responsivas ao ambiente atual de ameaças. Em essência, a configuração de um firewall Linux não se resume à definição de regras, mas sim à criação de uma tapeçaria de proteção abrangente que se alinhe ao padrão de segurança da organização.

Como configurar o firewall do Linux

Introdução ao iptables e à configuração do iptables

o iptables é um poderoso utilitário de espaço do usuário usado para configurar regras de filtragem de pacotes IPv4 no kernel do Linux. Ele faz parte do projeto netfilter e é a ferramenta de fato para interação direta com a estrutura de filtragem de pacotes do kernel. Por meio do iptables, os administradores de sistema podem definir conjuntos de regras para lidar com o tráfego de entrada e saída, garantindo que o sistema esteja protegido contra comunicações de rede potencialmente mal-intencionadas.

A mecânica do iptables gira em torno de três componentes principais

1. Tabelas: Cada tabela define um conjunto de cadeias e está associada a um tipo específico de tratamento de pacotes.
2. Correntes: Esses são conjuntos de regras que determinam como os pacotes devem ser processados. As três cadeias padrão são INPUT (para pacotes de entrada), OUTPUT (para pacotes de saída) e FORWARD (para pacotes roteados).

Regras: As regras em uma cadeia determinam o destino de um pacote, seja para aceitar, descartar, negar ou tomar alguma outra ação.

Alguns comandos fundamentais do iptables e suas configurações

1. Listagem das regras atuais

   sudo iptables -L -v -n 

   Esse comando exibe todas as regras atuais no firewall `iptables`.

2. Definição de políticas padrão

   – Para descartar todo o tráfego de entrada por padrão:

     sudo iptables -P INPUT DROP

   – Para permitir todo o tráfego de saída por padrão:

     sudo iptables -P OUTPUT ACCEPT

3. Permissão de tráfego específico

   – Para permitir o tráfego SSH de entrada na porta 22:

     sudo iptables -A INPUT -p tcp –dport 22 -j ACCEPT

4. Bloqueio de tráfego específico

   – Para bloquear o tráfego de entrada de um endereço IP específico (por exemplo, `192.168.1.10`):

     sudo iptables -A INPUT -s 192.168.1.10 -j DROP

5. Configuração de NAT(encaminhamento de porta)

   – Para encaminhar o tráfego de entrada na porta 8080 para uma máquina interna 192.168.1.10 na porta 80:

     sudo iptables -t nat -A PREROUTING -i eth0 -p tcp –dport 8080 -j DNAT –to-destination 192.168.1.10:80

6. Regras de economia

As regras no `iptables` são voláteis, o que significa que desaparecerão após a reinicialização, a menos que sejam salvas.  A mudança para o systemd e o firewalld em muitas distribuições introduziu um novo paradigma para salvar e gerenciar as regras do iptables. Veja como você pode salvar suas regras do iptables usando o método systemd, seguido por outro método comumente usado:

Usando o método systemd

Muitas distribuições modernas do Linux usam o systemd para o gerenciamento de sistemas e serviços. Se você estiver usando o iptables com o systemd, poderá empregar o seguinte método:

Primeiro, verifique se o serviço iptables está ativado para iniciar na inicialização:

sudo systemctl enable iptables

Depois de configurar suas regras do iptables, salve-as:

sudo sh -c ‘iptables-save > /etc/iptables/iptables.rules’

Em seguida, para restaurar as regras na inicialização, o systemd utilizará o serviço iptables-restore, que lê o arquivo /etc/iptables/iptables.rules por padrão.

Usando o plug-in netfilter-persistent

Outro método, especialmente popular em sistemas baseados em Debian não systemd, é o uso do netfilter-persistent:

Primeiro, você precisará instalar os plug-insnecessários:

sudo apt-get install iptables-persistent

Durante a instalação, normalmente será solicitado que você salve suas regras atuais do iptables. Se precisar salvar suas regras posteriormente, você pode fazer isso com:

sudo netfilter-persistent save

Esse comando salvará as regras ativas do iptables, tornando-as persistentes entre as reinicializações.

Seja qual for o método escolhido, é fundamental fazer backup regularmente das regras do iptables, especialmente antes de fazer alterações significativas. Isso garantirá que você tenha uma configuração funcional para a qual possa reverter em caso de erros ou problemas.

A incorporação do `iptables` em sua estratégia de segurança do Linux requer uma compreensão clara da estrutura e das necessidades de sua rede. Sempre teste novas configurações em um ambiente controlado e mantenha backups dos conjuntos de regras anteriores. O poder e a granularidade do iptables fazem dele uma faca de dois gumes: usado com cuidado, é uma barreira formidável; usado de forma imprudente, pode interromper funções essenciais da rede.

Outras ferramentas de front-end do iptables

Outras ferramentas comuns de configuração do iptables incluem o ufw (Uncomplicated Firewall) baseado no Ubuntu (originalmente), o firewalld baseado no systemd e o ConfigServer Firewall (CSF).

UFW (Firewall descomplicado)

O UFW, ou Uncomplicated Firewall, foi projetado para tornar a configuração do firewall iptables mais fácil de usar. Originário do Ubuntu, ele foi adotado por muitas outras distribuições devido à sua simplicidade e facilidade de uso.

Exemplos

Habilitar UFW

• sudo ufw enable

Permitir tráfego SSH

• sudo ufw allow ssh

Negar o tráfego de um IP específico

• sudo ufw deny from 192.168.1.10

Verifique o status e as regras do UFW

• sudo ufw status verbose

Firewalld (componente de firewall do systemd)

o firewalld fornece um gerenciador de firewall dinâmico com suporte para zonas de rede/firewall para definir o nível de confiança das conexões ou interfaces de rede. Ele tem um cliente de linha de comando, firewall-cmd, e uma interface gráfica, firewall-config, o que o torna versátil para diferentes preferências de usuário.

Exemplos

Iniciar e ativar o firewalld

• sudo systemctl start firewalld
• sudo systemctl enable firewalld

Permitir serviços HTTP e HTTPS

• sudo firewall-cmd –add-service=http –permanent
• sudo firewall-cmd –add-service=https –permanent

Bloquear um endereço IP

• sudo firewall-cmd –permanent –add-rich-rule=’rule family=”ipv4″ source address=”192.168.1.10″ reject’

Recarregar a configuração

• sudo firewall-cmd –reload

CSF (Firewall do ConfigServer)

O CSF é uma solução de firewall rica em recursos criada para servidores Linux. Embora ofereça gerenciamento de `iptables` como os outros, ele também fornece recursos avançados, como detecção de login/intrusão e rastreamento de processos de segurança.

Exemplos

Instale o CSF (em um servidor cPanel, por exemplo)

• cd /usr/src
• wget https://download.configserver.com/csf.tgz
• tar -xzf csf.tgz
• cd csf
• sh install.cpanel.sh

Permitir um endereço IP

• sudo csf -a 192.168.1.20

Bloquear um endereço IP

• sudo csf -d 192.168.1.10

Recarregar regras do CSF

• sudo csf -r

Exibir configuração

• sudo nano /etc/csf/csf.conf

Essas ferramentas oferecem mais funcionalidades do que os exemplos fornecidos, mas os exemplos acima devem lhe dar um ponto de partida fundamental. Cada um dos gerenciadores de firewall tem uma documentação abrangente que é útil para aprofundamentos e configurações avançadas.

ClearOS

O ClearOS é uma distribuição Linux projetada para gerenciar funções de servidor, rede e gateway. É fácil de usar e vem com um console de gerenciamento baseado na Web. Embora o ClearOS possa ser operado por meio de sua interface gráfica, abordaremos alguns exemplos de linha de comando para ter uma ideia de seus recursos.

Exemplos

Instale o módulo de firewall

(Pressupondo o ClearOS 7, feito por meio da interface baseada na Web)

Navegue até ClearCenter → Software → Firewall e clique em “Instalar“.

Iniciar e ativar o firewall

• sudo systemctl start clearos-firewall
• sudo systemctl enable clearos-firewall

Permitir um serviço (por exemplo, SSH)

• sudo firewall-cmd –zone=external –add-service=ssh –permanent
• sudo firewall-cmd –reload

Bloquear um endereço IP

• sudo firewall-cmd –add-rich-rule=’rule family=”ipv4″ source address=”192.168.1.10″ reject’ –permanent
• sudo firewall-cmd –reload

OPNsense

O OPNsense é uma plataforma de roteamento e firewall gratuita e de código aberto baseada no FreeBSD. Projetado para ser um substituto imediato do pfSense, ele é repleto de recursos e é gerenciado predominantemente por meio de uma interface baseada na Web.

Etapas de configuração (interface baseada na Web)

Acessar a interface da Web

Normalmente, após a configuração inicial, o OPNsense pode ser acessado por meio de um navegador da Web, navegando até o endereço IP do dispositivo, geralmente https://192.168.1.1 (padrão).

Configuração de regras de firewall

1. Navegue até Firewall → Rules → LAN (ou qualquer interface para a qual você deseja definir uma regra).
2. Clique no sinal + para adicionar uma nova regra.
3. Preencha os detalhes, como origem, destino, portas e ação (Permitir/Negar).
4. Clique em Salvar e, em seguida Aplicar alterações.

NAT / encaminhamento de porta

1. Navegue até Firewall → NAT → Port Forward.
2. Clique no sinal + para adicionar uma nova regra.
3. Preencha os campos obrigatórios, como interface, protocolo, IPs de origem/destino e portas.
4. Clique em Salvar e, em seguida Aplicar alterações.

Bloquear um endereço IP

1. Navegue até Firewall → Aliases e, em seguida, adicione um novo alias para o IP ou intervalo de IPs que você deseja bloquear.
2. Depois que o alias for criado, vá para Firewall → Rules → LAN (ou a interface relevante).
3. Criar uma nova regra com Ação definida como “Bloquear” e use o alias como a origem ou o destino.

Atualização do site & maintenance

Atualizações regulares são essenciais para a segurança. Navegue até System → Firmware → Updates para verificar e aplicar as atualizações disponíveis.

Embora o ClearOS e o OPNsense tenham recursos de linha de comando, o ponto forte e o foco do design estão em suas respectivas interfaces baseadas na Web, oferecendo configurações intuitivas para usuários de todos os níveis de proficiência. Lembre-se sempre de testar as configurações em um ambiente controlado antes de aplicá-las em uma configuração de produção ao vivo. Além disso, lembre-se sempre de fazer backups antes de fazer qualquer alteração! A funcionalidade de backup do NinjaOne é compatível com a maioria das funcionalidades de backup dos principais sistemas operacionais, sem comprometer sua segurança.

Solução de problemas de configuração do firewall

Problemas comuns

• Serviços bloqueados: Serviços ou aplicativos legítimos são bloqueados involuntariamente.
• Vulnerabilidades abertas: Portas ou serviços expostos de forma não intencional.
• Conflitos de regras: Regras sobrepostas ou contraditórias que causam um comportamento inesperado.
• Degradação do desempenho: Regras excessivas que levam à redução do desempenho do sistema/rede.

Diagnosticando & resolvendo

• Registros & Alertas: Verifique regularmente os registros do firewall em busca de anomalias ou atividades bloqueadas.
• Configuração de teste: Depois de definir as regras, teste-as em cenários controlados para garantir o comportamento desejado.
• Prioridade da regra: Certifique-se de que as regras mais específicas sejam colocadas em um nível mais alto do que as genéricas para evitar conflitos.
• Use ferramentas de monitoramento: Ferramentas como nmap ou netstat podem ajudar a visualizar as portas abertas e os serviços ativos.

Manutenção & desempenho

• Avaliações regulares: Revisar e eliminar periodicamente regras desatualizadas ou desnecessárias.
• Atualizações: Mantenha o software ou firmware do firewall atualizado para corrigir as vulnerabilidades.
• Backups: Sempre faça backup das configurações antes de fazer alterações.
• Segmentação: Implemente a segmentação da rede para reduzir a carga de trabalho do firewall e aumentar a segurança.

Melhore a proteção de endpoints com O que é uma configuração de firewall? Como configurar seu firewall.

A configuração eficaz do firewall é essencial para a segurança do Linux

Ao compreender as políticas de segurança, definir regras padrão, gerenciar o fluxo de tráfego, configurar regras específicas de serviço e revisar regularmente as configurações, os usuários garantem uma proteção robusta do sistema contra ameaças externas. Um firewall meticulosamente configurado não é apenas um guardião, mas um bastião essencial na estratégia geral de segurança dos sistemas Linux. Além de simplesmente bloquear o tráfego indesejado, ele é um testemunho de uma abordagem de defesa proativa, fortalecendo o Linux e os dispositivos contra os desafios de segurança cibernética em evolução. 

Além de configurar firewalls e seguir as práticas recomendadas de segurança cibernética, uma das maneiras mais eficazes de proteger seus dispositivos é usar uma solução de gerenciamento de endpoints, como O software de gerenciamento de endpoints da NinjaOne. Com o NinjaOne, você pode monitorar, gerenciar e proteger todos os seus dispositivos Linux remotamente a partir de um único painel de controle. Aproveite os diversos recursos de automação do NinjaOne para economizar tempo e aumentar a eficiência e, ao mesmo tempo, garantir a segurança de seu ambiente de TI.

Registre-se para uma teste gratuito do NinjaOne hoje mesmo para ver como o gerenciamento de TI pode ser fácil e eficiente.