Zvýšenie bezpečnosti pre FreeBSD pomocou IPFW a SSHGuard

Servery VPS sú často cieľom útočníkov. Bežný typ útoku sa objavuje v systémových protokoloch ako stovky neoprávnených pokusov o prihlásenie cez ssh. Nastavenie brány firewall je veľmi užitočné, ale samo o sebe nemusí dostatočne kontrolovať rušivé pokusy o prienik.

Tento tutoriál ukazuje, ako vytvoriť rozšírenú bariéru proti vniknutiu pre FreeBSD pomocou dvoch programov, ipfwfirewallu a sshguard. SSHGuard je malý doplnkový program, ktorý monitoruje systémové protokoly, či neobsahujú „zneužívajúce“ záznamy. Keď sa páchatelia pokúsia získať prístup, sshguardvydá pokyn ipfwna zablokovanie prevádzky pochádzajúcej z adresy IP páchateľa. Páchateľ je potom účinne vylúčený.

Keď pochopíte, ako tieto programy fungujú, správa ochrany servera je veľmi jednoduchá. Hoci je táto príručka zameraná na konfiguráciu FreeBSD, jej časti sa vzťahujú na iný operačný systém a softvér brány firewall.

Krok 1. Konfigurácia IPFW

FreeBSD poskytuje 3 firewally vo svojom predvolenom ( GENERIC) jadre ipfw, pf, a ipfilter. Každý z nich má výhody a fanúšikov, ale ipfwje to natívny firewallový softvér FBSD a je celkom jednoduchý na použitie na naše účely. Stojí za zmienku, že ipfwrobí veľa vecí tak, ako ukazuje manuálová stránka, avšak schopnosti ako NAT, tvarovanie prevádzky atď. nie sú pre typickú situáciu VPS potrebné. Našťastie základné funkcie firewallu ľahko spĺňajú naše požiadavky.

Ak chcete spustiť bránu firewall pri spustení, pridajte do /etc/rc.conf:

firewall_enable="YES"
firewall_script="/usr/local/etc/IPFW.rules"
firewall_logging="YES"

servicePríkaz je k dispozícii pre štart / ručne zastaviť firewall:

[user@vultr ~]$ sudo service ipfw start

Prirodzene, ipfwneurobí nič, kým nepridá pravidlá, často zo súboru, v tomto príklade umiestnenom na adrese /usr/local/etc/IPFW.rules. Súbor pravidiel môže byť v skutočnosti umiestnený kdekoľvek alebo môže mať akýkoľvek názov, pokiaľ sa zhoduje s parametrom „firewall_script“. Súbor pravidiel je podrobne popísaný nižšie.

Krok 2. Nainštalujte a nakonfigurujte SSHGuard

sshguardprichádza v niekoľkých variantoch na použitie s rôznymi bránami firewall. Použite pkgnástroj na načítanie a inštaláciu sshguard-ipfw:

[user@vultr ~]$ sudo pkg install sshguard-ipfw

Vo väčšine prípadov je to všetko, čo človek musí urobiť. Príslušná premenná sa automaticky vloží do /etc/rc.confpre spustenie pri štarte:

sshguard_enable="YES"

Predvolené nastavenia zvyčajne fungujú dobre. Ak sú potrebné iné hodnoty, sshguardmanuálová stránka poskytuje podrobné informácie o parametroch:

# sshguard--program defaults, so don't need to be in rc.conf unless assigning different value
# sshguard_pidfile="/var/run/sshguard.pid"
# sshguard_watch_logs="/var/log/auth.log:/var/log/mail"
# sshguard_blacklist="40:/var/db/sshguard/blacklist.db"
# sshguard_safety_thresh="40"
# sshguard_pardon_min_interval="420"
# sshguard_prescribe_interval="1200"

Môžete začať sshguardobvyklým servicevyvolaním:

[user@vultr ~]$ sudo service sshguard start

Krok 3. Vytvorte skript pravidiel

Najťažšou časťou je vytvorenie sady pravidiel brány firewall. ipfwmôže použiť poskytnutý /etc/rc.firewallskript, ale musí byť upravený tak, aby vyhovoval SSHGuard, ako aj rôznym operačným scenárom. Množstvo webových stránok a Manuál FreeBSD obsahuje užitočné informácie o tom. Napísanie súboru pravidiel však nie je také ťažké, okrem toho môže byť vlastný súbor pravidiel ľahšie pochopiteľný a v prípade potreby ho možno zmeniť.

Dôležitou vlastnosťou ipfwpravidiel je, že prvý zápas vyhráva, čo znamená, že poradie pravidiel je dôležité. V ipfw, každé pravidlo je príkaz a súbor pravidiel je spustiteľný skript shell. To umožňuje zmeniť sadu pravidiel zmenou pravidiel a potom spustiť súbor pravidiel ako skript shellu:

[user@vultr /usr/local/etc]$ sudo ./IPFW.rules

Vo všeobecnosti bude súbor pravidiel definovať premennú pre ipfwpríkaz, potom vymaže aktuálne pravidlá, vydá všeobecné pravidlá, potom pristúpi k nastaveniu pravidiel „out“, po ktorých nasledujú pravidlá „in“. Manuálna stránka ipfw a ďalšie zdroje obsahujú množstvo informácií o štruktúre pravidiel a možnostiach, ktorých je prinajmenšom veľa.

Odkedy bola verzia FreeBSD sshguard aktualizovaná na verziu 1.6.2, zmenil sa spôsob vkladania pravidiel blokovania pre páchateľov. Teraz sa adresy páchateľov uchovávajú v tabuľke ipfw (konkrétne v tabuľke 22), a nie sú vložené do pravidiel nad 55 000 ako predtým.

Našťastie je celkom jednoduché nastaviť súbor pravidiel na používanie tabuľky. Ide len o to umiestniť pravidlo tabuľky na správne miesto a uistiť sa, že pri písaní pravidla používate správnu syntax.

Keď sshguardnájde páchateľa, umiestni adresu páchateľa na svoju čiernu listinu a tiež vloží adresu do ipfwtabuľky, takže "spustí" odmietnutie prístupu. Toto pravidlo bude spĺňať tieto účely:

01000 deny ip from table\(22\) to any

V tomto prípade je stále potrebné nastaviť pravidlá umožňujúce prichádzajúce služby nad 01000. Povedzme napríklad, že adresa 10.20.30.40je páchateľom v tabuľke 22 a máme toto pravidlo ipfw:

56420 allow tcp from any to me dst-port 22 in via $vif

Keďže ipfwnarazí na pravidlo 01000 pred pravidlom 56420 , 10.20.30.40je zablokovaný . Pravidlo „povoliť 22 palcov“ to vôbec neuvidí. Ak by pravidlo povolenia malo „bežné“ číslo ako 00420 , zlá prevádzka by bola vpustená dovnútra a nikdy by sa nezablokovala (pretože 00420 je menšie ako 01000 a „vyhráva prvý zápas“).

Príjemnou vlastnosťou aktualizovanej verzie je, že teraz, keď sa spustí sshguard, všetky adresy v čiernej listine sa pridajú do tabuľky a sú k dispozícii na okamžité blokovanie prichádzajúcich páchateľov. Čierna listina je kumulatívna a uchováva sa medzi reláciami.

V tomto bode je pravdepodobne rozumné ukázať kompletnú ipfwsadu pravidiel upravenú pre sshguard. Komentáre by mali uľahčovať dodržiavanie logiky pravidla:

#!/bin/sh

# ipfw config/rules
# from FBSD Handbook, rc.firewall, et. al.

# Flush all rules before we begin.
ipfw -q -f flush

# Set rules command prefix
cmd="ipfw -q add "

vif="vtnet0"

# allow all for localhost
$cmd 00010 allow ip from any to any via lo0

# checks stateful rules.  If marked as "keep-state" the packet has
# already passed through filters and is "OK" without futher
# rule matching
$cmd 00101 check-state

# allow DNS out
$cmd 00110 allow tcp from me to any dst-port 53 out via $vif setup keep-state
$cmd 00111 allow udp from me to any dst-port 53 out via $vif keep-state

# allow dhclient connection out (port numbers are important)
$cmd 00120 allow udp from me 68 to any dst-port 67 out via $vif keep-state

# allow HTTP HTTPS replies
$cmd 00200 allow tcp from any to any dst-port 80 out via $vif setup keep-state
$cmd 00220 allow tcp from any to any dst-port 443 out via $vif setup keep-state

# allow outbound mail
$cmd 00230 allow tcp from any to any dst-port 25 out via $vif setup keep-state
$cmd 00231 allow tcp from any to any dst-port 465 out via $vif setup keep-state
$cmd 00232 allow tcp from any to any dst-port 587 out via $vif setup keep-state

# allow icmp re: ping, et. al. 
# comment this out to disable ping, et.al.
$cmd 00250 allow icmp from any to any out via $vif keep-state

# alllow timeserver out
$cmd 00260 allow tcp from any to any dst-port 37 out via $vif setup keep-state

# allow ntp out
$cmd 00270 allow udp from any to any dst-port 123 out via $vif keep-state

# allow outbound SSH traffic
$cmd 00280 allow tcp from any to any dst-port 22 out via $vif setup keep-state

# otherwise deny outbound packets
# outbound catchall.  
$cmd 00299 deny log ip from any to any out via $vif

# inbound rules
# deny inbound traffic to restricted addresses
$cmd 00300 deny ip from 192.168.0.0/16 to any in via $vif
$cmd 00301 deny ip from 172.16.0.0/12 to any in via $vif
$cmd 00302 deny ip from 10.0.0.0/8 to any in via $vif
$cmd 00303 deny ip from 127.0.0.0/8 to any in via $vif
$cmd 00304 deny ip from 0.0.0.0/8 to any in via $vif
$cmd 00305 deny ip from 169.254.0.0/16 to any in via $vif
$cmd 00306 deny ip from 192.0.2.0/24 to any in via $vif
$cmd 00307 deny ip from 204.152.64.0/23 to any in via $vif
$cmd 00308 deny ip from 224.0.0.0/3 to any in via $vif

# deny inbound packets on these ports
# auth 113, netbios (services) 137/138/139, hosts-nameserver 81 
$cmd 00315 deny tcp from any to any dst-port 113 in via $vif
$cmd 00320 deny tcp from any to any dst-port 137 in via $vif
$cmd 00321 deny tcp from any to any dst-port 138 in via $vif
$cmd 00322 deny tcp from any to any dst-port 139 in via $vif
$cmd 00323 deny tcp from any to any dst-port 81 in via $vif

# deny partial packets
$cmd 00330 deny ip from any to any frag in via $vif
$cmd 00332 deny tcp from any to any established in via $vif

# allowing icmp re: ping, etc.
$cmd 00310 allow icmp from any to any in via $vif

# allowing inbound mail, dhcp, http, https
$cmd 00350 allow udp from any 53 to me in via $vif
$cmd 00360 allow tcp from any 53 to me in via $vif
$cmd 00370 allow udp from any 67 to me dst-port 68 in via $vif keep-state

$cmd 00400 allow tcp from any to me dst-port 80 in via $vif setup limit src-addr 2
$cmd 00410 allow tcp from any to me dst-port 443 in via $vif setup limit src-addr 2

# SSHguard puts offender addresses in table 22. Set up the table rule
# Please note the '\(22\)' syntax, necessary since it's run as shell command
$cmd 01000 deny ip from table\(22\) to any

# allow inbound ssh, mail. PROTECTED SERVICES: numbered ABOVE sshguard blacklist range 
$cmd 56420 allow tcp from any to me dst-port 22 in via $vif setup limit src-addr 2
$cmd 56530 allow tcp from any to any dst-port 25 in via $vif setup keep-state
$cmd 56531 allow tcp from any to any dst-port 465 in via $vif setup keep-state
$cmd 56532 allow tcp from any to any dst-port 587 in via $vif setup keep-state

# deny everything else, and log it
# inbound catchall
$cmd 56599 deny log ip from any to any in via $vif

# ipfw built-in default, don't uncomment
# $cmd 65535 deny ip from any to any

Krok 4. Spustenie a testovanie

Potreby systému sa líšia a rôzne možnosti blokovania alebo odblokovania sa odrážajú v sade pravidiel. Po dokončení sady pravidiel uložte súbor /usr/local/etc/IPFW.rulesa spustite služby FBSD:

 # service ipfw start
 # service sshguard start

Rozšírený firewall by teraz mal byť spustený! Skontrolujte sshguard:

 [user@vultr ~]$ sudo pgrep -lfa ssh

Ak sshguardje spustený, zobrazí sa jeho pid a celý príkazový riadok:

720 /usr/local/sbin/sshguard -b 40:/var/db/sshguard/blacklist.db -l /var/log/auth.log -l /var/log/maillog -a 40 -p 420 -s 1200 -w /usr/local/etc/sshguard.whitelist -i /var/run/sshguard.pid

Zobrazuje súbor pravidiel brány firewall so štatistikami a poslednýkrát, kedy sa paket zhodoval s pravidlom:

 [user@vultr ~]$ sudo ipfw -cat list

Po niekoľkých hodinách alebo dňoch sa adresy páchateľov pridajú do čiernej listiny a tiež do tabuľky 22. Ak chcete zobraziť všetky adresy v tabuľke, použite tento príkaz:

ipfw table 22 list

Výsledok sa vytlačí takto:

10.10.10.118/32 0
10.10.10.72/32 0
...

Ako je uvedené vyššie, pripojenia z týchto adries sú zakázané. Samozrejme, pri prvom spustení sshguardnebudú v zozname žiadne adresy, ale časom sa môže dosť pretiahnuť. Jednou z možností je vytvorenie samostatných pravidiel blokovania pre adresy s viacerými položkami v tabuľke a ich následné odstránenie z čiernej listiny.

Krok 5. Buďte ostražití...

Je dobré občas skontrolovať protokoly, aby ste sa uistili, že narušenia sú kontrolované. Vo všeobecnosti /var/log/auth.loga /var/log/securitysú informatívne. Môžu sa objaviť medzery alebo chyby v pokrytí sieťových služieb. Úprava sady pravidiel brány firewall podľa potreby je bežnou súčasťou správy servera.

V predchádzajúcich verziách sshguard, keď sa /var/db/sshguard/blacklist.dbsúbor zväčšil, mohol zabrániť sshguardspusteniu pri zavádzaní systému. Odstránenie alebo premenovanie súboru čiernej listiny je povolené sshguard. Zdá sa, že tento problém je vyriešený v najnovšej verzii sshguard, takže toto riešenie už pravdepodobne nie je potrebné.

Uistite sa, že ste na bielu listinu pridali IP adresu, z ktorej ste pripojení k relácii SSH. Ak sa náhodou uzamknete, vždy sa môžete pripojiť ku konzole noVNC na https://my.vultr.com a pridať svoju IP na bielu listinu.

Stručne povedané, použitie kombinácie ipfwa sshguardpomáha udržiavať váš systém FreeBSD bezpečný a robiť svoju prácu. Minimalizácia rušivých sieťových aktivít má ďalšiu výhodu: menej „šumu“ uľahčuje sledovanie a ladenie prevádzky systému, čo prispieva k bezpečnejšiemu a lepšie fungujúcemu serveru.

Efektívna ochrana systému/servera FreeBSD nie je nijak zvlášť komplikovaná. Aj keď je potrebné vynaložiť skromné ​​úsilie na jeho uvedenie do prevádzky, vyplatí sa v podstatne vyššej bezpečnosti VPS a projektu.