Configurar o firewall no Ubuntu com o UFW (“Uncomplicated Firewall”, uma ferramenta usada em sistemas baseados no Linux para gerenciar regras de firewall de forma simples e intuitiva) é um processo simples que permite proteger o seu sistema, como um servidor VPS, contra acessos indesejados.
Neste guia, você aprenderá a ativar o firewall, a definir regras e a monitorar eventos de segurança, o que garantirá um controle eficiente do tráfego de rede e protegerá o servidor de possíveis ameaças.
1. Preparação para configurar o firewall
Antes de configurar o firewall, é importante verificar o status do UFW para confirmar se ele já está ativo ou não. Além disso, vamos ver como ativá-lo de forma rápida por meio de regras de bloqueio e proteção.
Verificar o status do firewall
Para verificar se o UFW está ativo e qual o seu status atual, use:
sudo ufw status
O status “active” significa que o firewall está ativo, enquanto “inactive” indica que ele está desativado.
Ativar o firewall
Após confirmar que o UFW está instalado e configurado corretamente, você pode ativá-lo com o seguinte comando (se estiver inativo no passo anterior):
sudo ufw enable.
Esse comando ativará o firewall e aplicará as regras padrão.
2. Criar e configurar regras de firewall
O UFW facilita o gerenciamento de portas no sistema, o que permite o controle de conexões e garante a segurança do servidor. Veja, abaixo, como criar e ajustar regras de firewall para abrir e fechar portas, permitir conexões específicas e trabalhar com intervalos de portas.
Abrir e fechar portas específicas
Para gerenciar quais portas o firewall deve permitir ou bloquear, podemos usar comandos específicos. Cada porta representa uma conexão que permite a comunicação entre o servidor e outras aplicações.
Para abrir uma porta, utilizamos o comando:
sudo ufw allow [porta]/[protocolo]
O protocolo pode ser TCP ou UDP, a depender do tipo de tráfego desejado. Por exemplo, para abrir a porta 56 com o protocolo TCP, o comando é:
sudo ufw allow 56/tcp
Esse comando autoriza que aplicativos e serviços utilizem a porta 56 no protocolo TCP para acessar o servidor.
Para fechar uma porta, ou seja, impedir a conexão pela mesma porta, usamos:
sudo ufw deny 56/tcp
Esse comando restringe o acesso pela porta 56 para serviços que utilizem o protocolo TCP.
Permitir conexões SSH
Quando o UFW é ativado, ele bloqueia todas as conexões de entrada por padrão. Por isso, se quisermos manter o acesso remoto ao servidor via SSH, é necessário autorizar a porta 22, a porta padrão para o protocolo SSH.
Para permitir o acesso SSH, usamos o comando:
sudo ufw allow ssh
Esse comando permite o tráfego na porta 22, necessário para conexões SSH. O UFW reconhece o comando SSH como um serviço listado no arquivo /etc/services, o que facilita a configuração.
Se preferir, também é possível especificar o número da porta, em vez do nome do serviço:
sudo ufw allow 22
Se o SSH estiver configurado para utilizar uma porta diferente, substitua o número da porta no comando. Por exemplo, se o SSH usa a porta 2222: sudo ufw allow 2222.
Permitir HTTP e HTTPS
Para liberar o acesso a serviços web no servidor, é essencial permitir conexões nas portas HTTP e HTTPS. No UFW, você pode liberar a porta 443 para HTTPS e a porta 80 para HTTP com os comandos abaixo.
Para HTTPS:
sudo ufw allow 443/tcp
ou
sudo ufw allow https
Para HTTP:
sudo ufw allow 80/tcp
ou
sudo ufw allow http
Essas configurações permitem que o servidor aceite conexões padrão de navegação segura e não segura, assim, garante que sites e aplicações web possam ser acessados normalmente.
Definir intervalos de portas
Abrir e fechar intervalos de portas é igualmente simples e eficiente com o UFW, pois permite configurar várias portas com um único comando. A seguir, veja o exemplo para permitir um intervalo de portas, como de 300 a 310, no protocolo TCP:
sudo ufw allow 300:310/tcp
E para bloquear um intervalo de portas:
sudo ufw deny 300:310/tcp
Trabalhar com endereços IP específicos
É possível configurar o UFW para permitir ou bloquear conexões de endereços IP específicos. Isso pode ser útil para limitar o acesso a certos serviços apenas para IPs confiáveis.
Para permitir conexões na porta 443 apenas para um IP específico, por exemplo, use:
sudo ufw allow from [IP] to any port 443
Ou, para negar o acesso de um IP específico à porta 80:
sudo ufw deny from [IP] to any port 80
Essas configurações permitem um controle mais específico e seguro sobre quem pode acessar os serviços no servidor, o que aprimora a segurança da rede.
3. Testar e ajustar regras de firewall
Depois de definir as regras do firewall, é importante verificar se elas funcionam conforme o esperado e ajustar qualquer regra necessária para garantir que o servidor esteja devidamente protegido.
O UFW oferece alguns comandos para facilitar o teste, modificação e exclusão de regras.
Comando para testar regras
Para visualizar as regras configuradas e confirmar que o firewall opera conforme o planejado, usamos o seguinte comando: sudo ufw status verbose.
Esse comando fornece uma visão detalhada do status atual do UFW ao exibir todas as regras ativas, juntamente com informações sobre o tráfego permitido e bloqueado. Essa é uma maneira eficaz de verificar rapidamente as permissões e restrições que estão em vigor.
Outra opção para testar uma regra específica sem alterar a sua configuração é criar uma regra temporária, especialmente útil em um ambiente de teste.
Para liberar temporariamente uma porta (como a porta 8080, por exemplo) e, em seguida, remover a regra após o teste, use:
sudo ufw allow 8080 comment 'regra para teste'
Para desativar essa regra de teste após a verificação, use:
sudo ufw delete allow 8080
Modificar e excluir regras existentes
O UFW não oferece um comando direto para modificar uma regra, mas é possível excluir a regra antiga e criar uma nova. Por exemplo, se você deseja alterar a permissão de uma porta TCP para UDP, exclua a regra TCP e adicione a regra UDP.
Para permitir o acesso pela porta 1234 no protocolo TCP:
sudo ufw allow 1234/tcp
Se precisar modificar para UDP:
sudo ufw delete allow 1234/tcp sudo ufw allow 1234/udp
Para remover uma regra específica, o UFW oferece duas opções. A primeira é localizar o número da regra com o comando status numbered e, em seguida, excluir a regra correspondente:
sudo ufw status numbered
Esse comando lista as regras com números ao lado, como [1], [2] etc. Para excluir a regra [1], use:
sudo ufw delete 1
A segunda opção é remover a regra diretamente pela descrição, sem precisar numerá-la. Por exemplo, para remover uma regra que permite a porta 8080 no TCP:
sudo ufw delete allow 8080/tcp
Esses comandos ajudam a manter o firewall organizado e seguro, o que permite ajustes, conforme necessário, para atender às demandas de segurança e conectividade do servidor.
4. Ativar o registro de eventos do firewall
Ativar o registro de eventos ajuda a monitorar tentativas de acesso e possíveis ameaças em tempo real.
Configuração do registro no UFW
Para ativar o registro de eventos, use o comando:
sudo ufw logging on
Esse comando habilita o registro das atividades do firewall e, com isso, permite monitorar acessos e bloqueios. Os logs são armazenados em /var/log/ufw.log.
Monitorar atividade e logs de segurança
Após habilitar o registro, visualize as atividades recentes com:
tail -f /var/log/ufw.log
Esse comando ajuda a acompanhar em tempo real tentativas de acesso, ao identificar potenciais ameaças ao servidor.
5. Dicas de segurança e boas práticas
Seguir práticas recomendadas aumenta a eficácia e segurança do seu firewall no Ubuntu.
Regras de restrições e segurança adicional
Para segurança, bloqueie todas as portas por padrão e permita apenas o tráfego essencial:
sudo ufw default deny incoming sudo ufw default allow outgoing
Essa configuração reduz o risco de acessos não autorizados.
Manutenção do firewall e atualizações
Para manter o firewall efetivo, é essencial revisar e atualizar as regras de segurança periodicamente, a fim de garantir que se adaptem às necessidades e condições atuais do sistema. Essa prática ajuda a bloquear novas ameaças e ajusta o acesso às portas e aos protocolos à medida que os serviços do servidor mudam.
Além disso, manter o Ubuntu e o UFW sempre atualizados também é importante, pois as atualizações frequentemente corrigem falhas de segurança e protegem contra vulnerabilidades descobertas recentemente.
O que é o UFW e por que usá-lo?
O UFW (Uncomplicated Firewall) é uma ferramenta simplificada de gerenciamento de firewall no Ubuntu, projetada para facilitar o controle de tráfego de rede, mesmo para iniciantes.
Com comandos simples, o UFW permite criar e gerenciar regras para proteger o sistema contra acessos indesejados.
Ideal para quem deseja segurança sem configurações complexas, é uma solução eficaz para controlar portas e protocolos, pois garante que o servidor responda apenas a solicitações autorizadas.
Qual a importância do UFW para a segurança no Ubuntu?
O UFW é fundamental para a segurança do Ubuntu, uma vez que permite bloquear conexões indesejadas e monitorar tentativas de acesso ao sistema. Ao configurar regras para permitir apenas tráfego seguro, o UFW ajuda a proteger contra ataques e vulnerabilidades de rede.
Por ser integrado ao sistema, ele permite fácil manutenção e ajustes, o que ajuda administradores a manterem um ambiente mais seguro e protegido contra ameaças, especialmente em servidores com conexão direta à internet.
Conclusão
Usar o UFW no Ubuntu é uma forma prática e poderosa de gerenciar a segurança do seu servidor. Ao seguir as boas práticas de configuração e manutenção, é possível evitar acessos indesejados e proteger dados sensíveis.
Comandos Linux como os do UFW são ferramentas essenciais para garantir a integridade do sistema.
Para saber mais sobre outras ferramentas importantes, confira o nosso artigo sobre bash e aprenda a explorar o potencial do terminal Linux no seu dia a dia.