ConfigServer Firewall (CSF) je firewall pro linuxové servery a systémy BSD pro řízení příchozího a odchozího provozu. Než se pustíme do konkrétních podrobností o CSF, pojďme si vysvětlit, co je firewall a jak funguje.
Firewall funguje jako štít, který chrání systém před útokem zvenčí. Některé z nich jsou stavové firewally, brány na úrovni okruhů, firewally filtrující UDP/ICMP nebo filtry aplikační vrstvy.
Firewall je dodáván se sadou pravidel pro filtrování příchozího a odchozího provozu. A v závislosti na tom, jaký typ brány firewall používáte, rozhodne, zda má IP povolen přístup k síti nebo ne. Seznam pravidel je definován pro konkrétní systém a firewall filtruje provoz podle pravidel.
ConfigServer Firewall (CSF) je jedním z nejrozšířenějších open-source firewallů na linuxových serverech. CSF přichází se seznamem funkcí, které lze použít ke konfiguraci pravidel. Proto je velmi výkonný a zároveň snadno použitelný.
Předpoklady
Abyste mohli nainstalovat a nakonfigurovat CSF na Debian 11, musíte mít:
- Server s Debianem 11 a váš systém by měly být připojeny k internetu.
- Přístup uživatele root k serveru.
Aktualizace systému
Před instalací brány ConfigServer Firewall byste měli aktualizovat svůj systém. Spusťte níže uvedený příkaz a aktualizujte svůj systém.
sudo apt update
Po dokončení aktualizace spusťte následující příkazy a nainstalujte požadované závislosti.
sudo apt install libio-socket-inet6-perl libsocket6-perl -y
sudo apt install sendmail dnsutils unzip libio-socket-ssl-perl -y
sudo apt install libcrypt-ssleay-perl git perl iptables libnet-libidn-perl -y
V případě, že máte v systému nainstalovanou předchozí verzi CSF, spusťte následující příkaz a nejprve ji odinstalujte. Protože Debian 11 používá novou verzi Perlu, může instalace CSF způsobit konflikty se stávající instalací CSF.
cd /etc/csf && sh uninstall.sh
Pokud používáte jiný konfigurační skript firewallu, jako je UFW, měli byste je před pokračováním vypnout.
sudo ufw disable
Instalace CSF Firewallu na Debian 11
Nyní, když jste nainstalovali všechny nezbytné předpoklady, pojďme si stáhnout a nainstalovat CSF firewall.
Repozitář Debianu 11 neobsahuje balíčky CSF. Proto si musíte stáhnout nejnovější verzi firewallu ConfigServer z jejich oficiálních stránek.
Chcete-li to provést, zadejte následující příkaz.
wget http://download.configserver.com/csf.tgz
Nyní pomocí příkazu níže extrahujte stažený soubor.
sudo tar -xvzf csf.tgz
Jakmile soubor rozbalíte, nainstalujte CSF pomocí následujícího příkazu.
cd csf && sh install.sh
Po dokončení instalace by měl být firewall nainstalován. Chcete-li spustit CSF firewall, spusťte následující příkaz.
sudo systemctl start csf
Spusťte níže uvedený příkaz a ujistěte se, že je vše v pořádku.
perl /usr/local/csf/bin/csftest.pl
Získáte výstup, jak je znázorněno níže. Tento výstup potvrzuje, že CSF je v provozu.
Chcete-li povolit spuštění brány firewall CSF při spuštění, spusťte následující příkaz.
sudo systemctl enable csf
Stav CSF můžete zkontrolovat pomocí příkazu níže.
sudo systemctl status csf
Tento výstup potvrzuje, že CSF je v provozu. Nyní nakonfigurujeme tento firewall.
Ukázkový výstup:
Konfigurace brány CSF Firewall na Debianu 11
Po instalaci brány firewall CSF jsou aktivní výchozí pravidla, která jsou součástí konfiguračního souboru /etc/csf/csf.conf
Měli byste zkontrolovat tento konfigurační soubor, abyste se ujistili, že je nakonfigurován podle vašich potřeb. V tomto souboru můžete vidět všechna výchozí pravidla, která jsou aktivní z pohledu vašeho systému. Pojďme se na některé z nich podívat blíže.
sudo nano /etc/csf/csf.conf
Čím menší je počet otevřených portů, tím je systém bezpečnější. Vždy byste ale měli mít otevřené nějaké běžné porty. Všechny porty, které jsou standardně otevřené, můžete vidět v souboru csf.conf, jak je uvedeno níže.
Jak můžete vidět v konfiguračním souboru, pokud chcete povolit/zablokovat jakýkoli port, měli byste přidat/odebrat číslo portu v seznamu.
Pokud například chcete zablokovat port 80, měl by být odstraněn ze seznamu, jak je uvedeno níže.
Pokud používáte IPv6, měli byste jej také aktualizovat v konfiguračním souboru, protože většina útoků se dnes provádí přes protokol IPv6. Měli byste nakonfigurovat TCP6_IN, TCP6_OUT podobně jako jsme nakonfigurovali pro porty IPv4 výše.
Ukázkový výstup:
Nyní nakonfigurujeme nastavení CONNLIMIT. CONNLIMIT je bezpečnostní funkce v CSF, která umožňuje omezit počet souběžných připojení ke vzdálenému připojení na konkrétním portu. To pomáhá zmírnit riziko útoků DoS/DDoS.
Pokud například chcete omezit jakoukoli IP adresu s maximálně 3 souběžnými připojeními, měli byste ji aktualizovat, jak je uvedeno níže. Toto nastavení by umožnilo pouze 3 souběžná připojení na portu 22 a 3 souběžná připojení na portu 443.
Dále nakonfigurujeme nastavení PORTFLOOD. Tato možnost nám umožňuje nakonfigurovat maximální počet povolených požadavků na připojení na portu v určitém časovém rámci.
Pokud například chcete zablokovat jakoukoli IP adresu, pokud jsou na portu 443 navázána více než 3 připojení pomocí protokolu TCP během 60 sekund, měli byste ji aktualizovat, jak je uvedeno níže. Blokování bude automaticky odstraněno, jakmile uplyne časový rámec 60 sekund od posledního připojení.
Nejzákladnější funkcí každého firewallu je blokování a povolení IP adres. Adresu IP, kterou chcete blokovat, můžete přidat jejich ručním přidáním do souboru csf.deny nebo můžete přidat celou řadu IP adres v souboru csf.deny.
Můžete například zablokovat celý rozsah IP 192.168.1.0/24.
Nebo
Jednu IP adresu 192.168.2.0 můžete zablokovat jejím přidáním do souboru csf.deny, jak je uvedeno níže.
Otevřete soubor csf.deny pomocí následujícího příkazu.
sudo nano /etc/csf/csf.deny
Přidejte následující řádky na konec souboru. Jeden řádek po druhém.
192.168.2.0
192.168.1.0/24
Ukázkový výstup:
Až budete hotovi, uložte a zavřete soubor stisknutím CTRL+X ,A a Enter .
Na rozdíl od souboru csf.deny se soubor csf.allow používá k vyloučení IP adresy nebo rozsahu IP adres ze všech filtrů. Všimněte si, že i když jste již přidali IP do souboru csf.deny, blokovaná IP adresa má stále povolen přístup k vašemu serveru přidáním do souboru csf.allow.
sudo nano /etc/csf/csf.allow
CSF nabízí širokou škálu možností nastavení vlastního firewallu, což je nad rámec tohoto výukového programu. Nastavení a jejich fungování si můžete prohlédnout v dokumentaci k ConfigServeru.
Po dokončení aktualizace všech požadovaných nastavení uložte a zavřete soubor csf.conf stisknutím CTRL+X ,A a Enter .
CSF také nabízí funkci ignorování IP adresy z jakéhokoli filtru. Na rozdíl od povolení adresy IP v souboru csf.allow nemůžete ignorovat adresu IP, pokud byla uvedena v souboru csf.deny.
sudo nano /etc/csf/csf.ignore
Nyní, když jste nakonfigurovali všechna nastavení v souboru csf.conf, je čas aktualizovat sadu pravidel, aby se změny uplatnily.
Chcete-li to provést, spusťte následující příkaz.
sudo csf -r
Po dokončení výše uvedeného příkazu se vám zobrazí zpráva, jak je znázorněno na následujícím snímku obrazovky. Pokud se nezobrazují žádné chybové zprávy, gratulujeme! Konfigurace brány firewall vašeho serveru je nyní aktualizována a připravena k použití.
Závěr
V tomto tutoriálu jste se naučili, jak nainstalovat ConfigServer Security &Firewall (CSF) na server Debian 11. Také jste se naučili, jak vytvářet pravidla brány firewall, přidávat IP adresy do seznamů povolených i blokovaných pomocí konfiguračních souborů CSF.
Pokud narazíte na jakýkoli problém, vždy se můžete podívat na dokumentaci k bráně ConfigServer Firewall, kde najdete další informace.