CSF Firewall

آموزش نصب و پیکربندی ( CSF ( Config Server Firewall در CentOS 7

 مجموعه برنامه های فایروال برای سرورهای لینوکس است. (Config Server Firewall (CSF نیز یک تشخیص نفوذ ورودی برای برنامه های کاربردی مانند SSH، SMTP، IMAP، Pop3، فرمان su (su command و مواردی دیگر است . برای مثال این فایروال می تواند زمانی که کاربری از طریق SSH به سرور وارد می شود و زمانی که این کاربر تلاش می کند از دستور “su” در سرور برای دریافت امتیازات بالاتر استفاده کند را تشخیص داده و هشدار دهد.

همچنین برای شکست های احراز هویت ورود به سیستم در سرورهای پست الکترونیکی (Exim، IMAP، Dovecot، uw-imap، Kerio) و برای سرورهای OpenSSH، سرورهای (Pure-ftpd, vsftpd, Proftpd) ، سرور cPanel جهت جایگزینی نرم افزارهایی مانند fail2ban بررسی می شود.

مرحله ۱ – نصب وابستگی های Config Server Firewall

Config Server Firewall بر اساس Perl است، بنابراین نیاز دارید ابتدا پرل را بر روی سرور نصب کنید. برای ویرایش پرونده تنظیمات Config Server Firewall نیاز به wget برای نصب برنامه نیاز به nano و vim دارید (یا ویرایشگر انتخابی خود) را دانلود کنید. بسته ها را با دستور yum نصب کنید:

yum install wget vim perl-libwww-perl.noarch perl-Time-HiRes

مرحله ۲ – نصب Config Server Firewall

لطفا به شاخه “/ usr / src /” بروید و Config Server Firewall را با فرمان wget دانلود کنید.

/cd /usr/src
wget https://download.configserver.com/csf.tgz

 

فایل tar.gz را استخراج کنید و به دایرکتوری Config Server Firewall بروید و سپس آن را نصب کنید:

tar -xzf csf.tgz
cd csf
sh install.sh

می توانید اطلاعاتی را که در انتهای نصب فایروال تکمیل شده است را دریافت کنید.

فایروال CSF

اکنون باید بررسی کنید که CSG واقعا روی این سرور کار می کند یا نه .

 به پوشه / usr / local / csf / bin / بروید و csftest.pl را اجرا کنید.

/cd /usr/local/csf/bin
perl csftest.pl

اکنون باید بررسی کنید که CSG واقعا روی این سرور کار می کند .

به پوشه / usr / local / csf / bin / بروید و csftest.pl را اجرا کنید.

فایروال centos

مرحله ۳ – تنظیم  در CentOS 7

قبل از راه اندازی در فرایند پیکربندی ، اولین چیزی که باید بدانید این است که CentOS 7 دارای یک برنامه فایروال پیش فرض به نام “firewalld” است. شما باید فایروال را متوقف کنید و از راه اندازی آن را حذف کنید.

فایروال را متوقف کنید:

systemctl stop firewalld

غیرفعال کردن وحذف راه اندازی فایروال :

systemctl disable firewalld

سپس به دایرکتوری پیکربندی CSF “/ etc / csf /” بروید و فایل “csf.conf” را با ویرایشگر vim ویرایش کنید:

/cd /etc/csf
vim csf.conf

خط ۱۱ «TESTING» را برای استفاده از پیکربندی فایروال به «۰» تغییر دهید.

“TESTING = “0

به طور پیش فرض Config Server Firewall برای ترافیک ورودی و خروجی با SSH برروی پورت ۲۲ اجازه اتصال می دهد

اگر از یک پورت SSH متفاوت استفاده می کنید، لطفا پورت خود را به پیکربندی در خط ۱۳۹ “TCP_IN” اضافه کنید.

حالا Config Server Firewall و LFD را با دستور systemctl شروع کنید:

systemctl start csf
systemctl start lfd

و سپس سرویس های Config Server Firewall و lfd را در زمان بوت آغاز کنید:

systemctl enable csf
systemctl enable lfd

اکنون می توانید لیست پیش فرض را با دستور زیر مشاهده کنید:

csf -l

مرحله ۴ – دستورات اصلی

  1. فایروال را راه اندازی کنید (قوانین فایروال را فعال کنید):

csf -s

  1. Flush یا Stop قوانین فایروال

csf -f

  1. قوانین فایروال را بارگیری مجدد کنید.

csf -r

  1. اجازه دادن به یک IP و اضافه کردن آن به allow

csf -a 192.168.1.109

نتایج :

…Adding 192.168.1.109 to csf.allow and iptables ACCEPT
ACCEPT  all opt — in !lo out *  ۱۹۲٫۱۶۸٫۱٫۱۰۹  -> 0.0.0.0/0
ACCEPT  all opt — in * out !lo  ۰٫۰٫۰٫۰/۰  -> 192.168.1.109

  1. حذف یک IP از allow

csf -ar 192.168.1.109

نتایج :

…Removing rule
ACCEPT  all opt — in !lo out *  ۱۹۲٫۱۶۸٫۱٫۱۰۹  -> 0.0.0.0/0
ACCEPT  all opt — in * out !lo  ۰٫۰٫۰٫۰/۰  -> 192.168.1.109

  1. رد کردن یک IP و اضافه کردن به deny

csf -d 192.168.1.109

نتایج :

…Adding 192.168.1.109 to csf.deny and iptables DROP
DROP  all opt — in !lo out *  ۱۹۲٫۱۶۸٫۱٫۱۰۹  -> 0.0.0.0/0
LOGDROPOUT  all opt — in * out !lo  ۰٫۰٫۰٫۰/۰  -> 192.168.1.109

  1. حذف یک IP از deny

csf -dr 192.168.1.109

نتایج :

…Removing rule
DROP  all opt — in !lo out *  ۱۹۲٫۱۶۸٫۱٫۱۰۹  -> 0.0.0.0/0
LOGDROPOUT  all opt — in * out !lo  ۰٫۰٫۰٫۰/۰  -> 192.168.1.109

  1. حذف و غیر فعال کردن تمام نوشته های deny.

csf -df

نتایج :

DROP  all opt — in !lo out *  ۱۹۲٫۱۶۸٫۱٫۱۱۰  -> 0.0.0.0/0
LOGDROPOUT  all opt — in * out !lo  ۰٫۰٫۰٫۰/۰  -> 192.168.1.110
DROP  all opt — in !lo out *  ۱۹۲٫۱۶۸٫۱٫۱۱۱  -> 0.0.0.0/0
LOGDROPOUT  all opt — in * out !lo  ۰٫۰٫۰٫۰/۰  -> 192.168.1.111
csf: all entries removed from csf.deny

 

جستجو برای یک الگوی مطابقت در iptables

به عنوان مثال : IP، CIDR، شماره پورت

csf -g 192.168.1.110

مرحله ۵ – پیکربندی پیشرفته 

در این گام ، برخی از تغییرات در مورد این فایروال را بررسی میکنیم تا بتوانید همانطور که مورد نیاز باشد پیکربندی انجام شود .

بازگشت به دایرکتوری پیکربندی و ویرایش فایل پیکربندی csf.conf :

/cd /etc/csf
vim csf.conf

  1. آدرس های IP که در فایل های allow نیست را مسدود نکنید.

به طور پیش فرض lfd برخی IP ها را تحت فایل های csf.allow مسدود می کند، بنابراین اگر می خواهید یک IP در فایل های csf.allow هرگز توسط lfd مسدود نشود، لطفا به خط ۲۷۲ بروید و “IGNORE_ALLOW” را به “۱” تغییر دهید بنابراین هنگامی که شما یک IP ثابت در خانه و یا در دفتر کاری می خواهید باید اطمینان حاصل شود که IP هرگز توسط فایروال در سرور اینترنت مسدود نشده باشد .

“IGNORE_ALLOW = “1

  1. اجازه ورود و خروجی ICMP

برای ورودی ping/ICMP به لاین ۱۵۲ بروید

“ICMP_IN = “1

  1. مسدودکردن برخی از کشورها

یک گزینه برای اجازه و رد دسترسی به کشوری  با استفاده از CIDR (کد کشور) فراهم می باشد . به خط ۸۳۶ بروید و کد های کشور را که میخواهید مجاز یا رد شوند را اضافه کنید:

“CC_DENY = “CN,UK,US
“CC_ALLOW = “ID,MY,DE

  1. ارسال ورودی Su و SSH از طریق ایمیل.

می توانید یک آدرس ایمیل که توسط LFD استفاده می شود را برای ارسال یک ایمیل در مورد رویدادهای ” SSH Login ” و کاربرانی که دستور su را اجرا می کنند تنظیم کنید، به خط ۱۰۶۹ بروید و مقدار را به “۱” تغییر دهید.

“LF_SSH_EMAIL_ALERT = “1

“LF_SU_EMAIL_ALERT = “1

و سپس آدرس ایمیلی که می خواهید در خط ۵۸۸ از آن استفاده کنید تعریف کنید.

“LF_ALERT_TO = “[email protected]

اگر می خواهید موارد بیشتری را فرا بگیرید ، گزینه های موجود در فایل پیکربندی “etc/csf/csf.conf/” را بخوانید.

نتیجه

این فایروال فایروال مبتنی بر برنامه برای iptables ارائه شده برای سرورهای لینوکس است. فایروال فوق ویژگی های بسیاری دارد و می تواند از ابزارهای مدیریت مبتنی بر وب مانند cPanel / WHM، DirectAdmin و Webmin پشتیبانی کند. این فایروال برای نصب و استفاده از سروربسیار آسان است و باعث می شود مدیریت امنیت برای sysadmins آسان تر شود . در مقالات قبل  سیستم های تشخیص نفوذ تشریح شده است .

 

 :More

 

تهیه کننده : سید محمد اسماعیلی

 

 

نوشته های مرتبط

Yersinia

۱۹

دی
تست نفوذ, هک و امنیت, همه موضوعات

سناریو ایجاد یک سرور DHCP جعلی و حمله DOS برای تست نفوذ در لایه ۲ شبکه با استفاده از YERSINIA

Yersinia یک ابزار منبع باز شبکه ای است که برای استفاده از برخی نقاط ضعف در پروتکل های مختلف ( حمله DHCP جعلی و حمله DOS و … ) شبکه طراحی شده است و در سیستم عامل کالی لینوکس موجود می باشد . این ابزار ( Yersinia ) یک چارچوب جامع برای تجزیه و تحلیل و آزمایش شبکه […]

ids , ips

۰۴

دی
تست نفوذ, هک و امنیت, همه موضوعات

پروژه آزمون ارزیابی نفوذ IDS / IPS – سناریو عملی

Pytbull یک چارچوب تست IDS – IPS انعطاف پذیر مبتنی بر پایتون است که با بیش از ۳۰۰ تست عرضه شده و در ۹ ماژول دسته بندی شده است در حالی که گستره وسیعی از حملات را پوشش می دهد. clientSideAttacks، testRules، badTraffic، fragmentedPackets، multipleFailedLogins، evasionTechniques، shellCodes، denialOfService، pcapReplay   شرح pytbull یک سیستم تشخیص نفوذ و[…]