Πώς να ασφαλίσετε το FreeBSD με το τείχος προστασίας PF

Αυτό το σεμινάριο θα σας δείξει πώς να προστατεύσετε τον διακομιστή FreeBSD σας χρησιμοποιώντας το τείχος προστασίας OpenBSD PF. Θα υποθέσουμε ότι έχετε μια καθαρή εγκατάσταση FreeBSD που έχει αναπτυχθεί από το Vultr χωρίς να έχουν προστεθεί χρήστες. Θα κάνουμε κάποια άλλα πράγματα εκτός από τη διαμόρφωση του τείχους προστασίας, τα οποία θα σκληρύνουν επίσης την ασφάλεια του διακομιστή μας FreeBSD. Πριν από τη διαμόρφωση του τείχους προστασίας, θα εγκαταστήσουμε ορισμένα πακέτα, καθώς η προεπιλεγμένη εγκατάσταση του FreeBSD συνοδεύεται από ένα ελάχιστο σύνολο εργαλείων και πακέτων (το οποίο είναι σωστό), για να μας διευκολύνει να εργαζόμαστε.

Το προεπιλεγμένο κέλυφος στο FreeBSD είναι /bin/sh. Αυτό είναι ένα βασικό κέλυφος χωρίς λειτουργίες αυτόματης συμπλήρωσης. Θα χρησιμοποιήσουμε κάτι καλύτερο. Θα εγκαταστήσουμε zsh.

Αρχικά, εγκαταστήστε αυτά τα πακέτα:

# pkg install zsh gnuls
The package management tool is not yet installed on your system.
Do you want to fetch and install it now? [y/N]: y
Bootstrapping pkg from pkg+http://pkg.FreeBSD.org/freebsd:10:x86:64/latest, please wait...
...

Το GNULS είναι το lsπρόγραμμα από το Linux. Θέλουμε απλώς να έχουμε την ίδια lsεντολή σε Linux και FreeBSD.

Προσθήκη κανονικού χρήστη στο σύστημα: (αντικαταστήστε τον John με το όνομα χρήστη σας και μην ξεχάσετε να προσθέσετε χρήστη στην ομάδα τροχών)

# adduser
Username: john
Full name: John Doe
Uid (Leave empty for default): 
Login group [john]: 
Login group is john. Invite john into other groups? []: wheel
Login class [default]: 
Shell (sh csh tcsh zsh rzsh nologin) [sh]: zsh
Home directory [/home/john]: 
Home directory permissions (Leave empty for default): 
Use password-based authentication? [yes]: 
Use an empty password? (yes/no) [no]: 
Use a random password? (yes/no) [no]: 
Enter password: 
Enter password again: 
Lock out the account after creation? [no]: 
Username   : john
Password   : *****
Full Name  : John Doe
Uid        : 1001
Class      : 
Groups     : john wheel
Home       : /home/john
Home Mode  : 
Shell      : /usr/local/bin/zsh
Locked     : no
OK? (yes/no): yes
adduser: INFO: Successfully added (john) to the user database.
Add another user? (yes/no): no
Goodbye!

Δημιουργία αρχείου διαμόρφωσης zsh:

# ee /home/your-username/.zshrc

Αντιγράψτε αυτό στο αρχείο σας .zshrc:

PS1="<%U%m%u>$[%B%1~%b]%(#.#.$) "

bindkey -e
alias su='su -m'
alias du='du -h -d0'
alias df='df -h'
alias l=less
alias ll='gnuls --color=always -l'
alias ls='gnuls --color=always'
alias pkg_ver='pkg version -v -l "<" | > upgrade'

export EDITOR=ee

autoload -U colors && colors
autoload -U promptinit && promptinit
autoload -U compinit && compinit

# History settings
SAVEHIST=1000
HISTSIZE=1000
HISTFILE=~/.history
setopt histignoredups appendhistory

Εκτελέστε αυτήν την εντολή: (αντικαταστήστε τον John με το όνομα χρήστη σας)

chown john:john /home/john/.zshrc

Τώρα, συνδεθείτε στον διακομιστή FreeBSD με το όνομα χρήστη σας και αλλάξτε τον προεπιλεγμένο κωδικό πρόσβασης root:

<vultr>[~]$ su
Password:
<vultr>[~]# passwd 
Changing local password for root
New Password:
Retype New Password:
<vultr>[~]# 

Δεν χρειαζόμαστε sendmail. Σταματήστε και απενεργοποιήστε αυτήν την υπηρεσία:

<vultr>[~]# /etc/rc.d/sendmail stop
Stopping sendmail.
Waiting for PIDS: 7843.
sendmail_submit not running? (check /var/run/sendmail.pid).
Stopping sendmail_msp_queue.
Waiting for PIDS: 7846.

Στη συνέχεια, θα αλλάξουμε το αρχείο rc.conf για να φαίνεται πιο φυσικό:

# ee /etc/rc.conf

Αλλάξτε το για να μοιάζει με αυτό:

#----------- NETWORKING ------------------------------------------------#
hostname="ceph.domain1.com" # replace ceph.domain1.com with your domain
ifconfig_vtnet0="dhcp"
static_routes=linklocal
route_linklocal="-net 169.254.0.0/16 -interface vtnet0"

#--------- SERVICES BSD LOCAL ----------------------------------------#
sshd_enable="YES"
ntpd_enable="YES"

#pf_enable="YES"
#pf_rules="/etc/firewall"
#pf_flags=""
#pflog_enable="YES"              
#pflog_logfile="/var/log/pflog"  
#pflog_flags=""    

sendmail_enable="NONE"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"

Επεξεργασία /etc/hostsαρχείου:

# ee /etc/hosts

Προσθέστε τη διεύθυνση IP και το όνομα κεντρικού υπολογιστή σας:

::1                     localhost localhost.ceph ceph
127.0.0.1               localhost localhost.ceph ceph
108.61.178.110          ceph.domain1.com       ceph

Ορισμός ζώνης ώρας:

# bsdconfig

Όποτε μπορείτε, απενεργοποιήστε την απομακρυσμένη πρόσβαση για τον χρήστη root. Οι περισσότερες επιθέσεις στο SSH θα προσπαθήσουν να έχουν πρόσβαση μέσω του λογαριασμού χρήστη root. Πάντα να συνδέεστε με το όνομα χρήστη σας και μετά suστο root. Μόνο οι χρήστες από την wheelομάδα μπορούν suνα κάνουν root. Γι' αυτό προσθέσαμε τον χρήστη μας στην ομάδα τροχών.

Απενεργοποιήστε τη σύνδεση root:

# ee /etc/ssh/sshd_config

Καταργήστε το σχόλιο αυτής της γραμμής:

PermitRootLogin no

Επανεκκίνηση:

# reboot

Αφού ολοκληρωθεί η επανεκκίνηση, θα δείτε ένα μήνυμα όπως αυτό στην κονσόλα Vultr:

time correction of 3600 seconds exceeds sanity limit (1000); set clock manually to
correct UTC time.

Γι' αυτό πρέπει να διορθώσουμε το ρολόι χειροκίνητα. Ακολουθήστε αυτές τις εντολές, πρώτα suγια να κάνετε root:

$ su
Password:
# ntpdate 0.europe.pool.ntp.org

Τώρα, πρόκειται να διαμορφώσουμε το τείχος προστασίας. Το OpenBSD PF περιλαμβάνεται στον πυρήνα του FreeBSD, επομένως δεν χρειάζεται να εγκαταστήσετε κανένα πακέτο.

Με το eeπρόγραμμα επεξεργασίας, δημιουργήστε αρχείο /etc/firewall:

# ee /etc/firewall

Εισαγάγετε αυτό: (αντικαταστήστε τυχόν διευθύνσεις IP με τις δικές σας)

#######################################################################
me="vtnet0"                
table <bruteforcers> persist    
table <trusted> persist file "/etc/trusted"
icmp_types = "echoreq"          
junk_ports="{ 135,137,138,139,445,68,67,3222 }"
junk_ip="224.0.0.0/4"           

set loginterface vtnet0           
scrub on vtnet0 reassemble tcp no-df random-id

# ---- First rule obligatory "Pass all on loopback"
pass quick on lo0 all           

# ---- Block junk logs
block quick proto { tcp, udp } from any to $junk_ip 
block quick proto { tcp, udp } from any to any port $junk_ports

# ---- Second rule "Block all in and pass all out"
block in log all                
pass out all keep state         

############### FIREWALL ###############################################
# ---- Allow all traffic from my Home
pass quick proto {tcp, udp} from 1.2.3.4 to $me keep state

# ---- block SMTP out 
block quick proto tcp from $me to any port 25

# ---- Allow incoming Web traffic
pass quick proto tcp from any to $me port { 80, 443 } flags S/SA keep state

# ---- Allow my team member SSH access 
pass quick proto tcp from 1.2.3.5 to $me port ssh flags S/SA keep state

# ---- Block bruteforcers
block log quick from <bruteforcers>

# ---- Allow SSH from trusted sources, but block bruteforcers
pass quick proto tcp from <trusted> to $me port ssh \
flags S/SA keep state \
(max-src-conn 10, max-src-conn-rate 20/60, \
overload <bruteforcers> flush global)

# ---- Allow ICMP 
pass in inet proto icmp all icmp-type $icmp_types keep state
pass out inet proto icmp all icmp-type $icmp_types keep state

Δημιουργία /etc/trustedαρχείου. Σε αυτό το αρχείο θα βάλουμε IP που «εμπιστευόμαστε».

# ee /etc/trusted

Προσθέστε μερικές IP:

# Hosting
1.2.0.0/16

# My friends
1.2.4.0/24

Τώρα μια εξήγηση. Οι ανεπιθύμητες θύρες και οι ανεπιθύμητες IP είναι μερικές μόνο θύρες/IP που δεν θέλουμε να βλέπουμε στα αρχεία καταγραφής. Το έχουμε κάνει με αυτόν τον κανόνα:

# ---- Block junk logs
block quick proto { tcp, udp } from any to $junk_ip 
block quick proto { tcp, udp } from any to any port $junk_ports

Αυτά είναι απλώς προεπιλογές και δεν χρειάζεται να ανησυχείτε για αυτό:

icmp_types = "echoreq"                                            
set loginterface vtnet0           
scrub on vtnet0 reassemble tcp no-df random-id
pass quick on lo0 all
block in log all                
pass out all keep state

Αυτός ο κανόνας αποκλείει την εξερχόμενη κίνηση SMTP από τον διακομιστή σας (που είναι η προεπιλογή στο Vultr).

# ---- block SMTP out 
block quick proto tcp from $me to any port 25

Μόνο που bruteforcersτα υπόλοιπα είναι πολύ απλά.

# ---- Allow SSH from trusted sources, but block bruteforcers
pass quick proto tcp from <trusted> to $me port ssh \
flags S/SA keep state \
(max-src-conn 10, max-src-conn-rate 20/60, \
overload <bruteforcers> flush global)

Το Bruteforcers λέει απλώς: Να επιτρέπεται από <αξιόπιστες> IP στη θύρα 22, αλλά μόνο 10 ταυτόχρονες συνδέσεις μπορούν να γίνουν από μία IP πηγής. Εάν είναι πάνω από 10, μπλοκάρετε αυτήν την IP και βάλτε την σε πίνακα bruteforcers. Το ίδιο ισχύει και για τον κανόνα 20/60. Σημαίνει έως και 20 συνδέσεις σε 60 δευτερόλεπτα.

Ενεργοποίηση τείχους προστασίας:

# ee /etc/rc.conf

Καταργήστε το σχόλιο αυτών των γραμμών:

pf_enable="YES"
pf_rules="/etc/firewall"
pf_flags=""
pflog_enable="YES"
pflog_logfile="/var/log/pflog"
pflog_flags=""

Επανεκκίνηση:

# reboot 

Εάν τα έχετε κάνει όλα σωστά, τότε θα μπορείτε να συνδεθείτε και το τείχος προστασίας θα ενεργοποιηθεί. Δεν χρειάζεται να κάνετε επανεκκίνηση κάθε φορά που αλλάζετε το /etc/firewallαρχείο. Απλά κάνε:

# /etc/rc.d/pf reload

Δείτε ποιος προσπαθεί να συνδεθεί στον διακομιστή σας σε πραγματικό χρόνο:

# tcpdump -n -e -ttt -i pflog0

Εμφάνιση ιστορικού:

# tcpdump -n -e -ttt -r /var/log/pflog

Δείτε αν έχετε κάποιον στον πίνακα των bruteforcers:

# pfctl -t bruteforcers -T show

Και αυτό είναι όλο. Έχετε εφαρμόσει με επιτυχία το τείχος προστασίας PF στον διακομιστή FreeBSD!