11.08.2014, 18:41
Hago este tutorial para los dueсos de Servidores que tengan VPS o un Dedicado montados en Linux, el objetivo es tener un poco mas de seguridad en sus servidores.
CSF Firewall mitiga si se encuentra bien configurada los ataques DDos, aclarando que no digo que los detiene, pero si los mitiga en un buen porcentaje.
El VPS o Dedicado debe estar en Linux y los pasos son los siguientes:
1.- Iniciaremos instalando el modulo perl para las dependencias que tiene CSF con perl.
yum install perl-libwww-perl
2.- Descargue el archivo de CSF Firewall y metalo en la carpeta tmp, descomprimalo e instalelo siguiendo los siguientes pasos.
cd /tmp
wget http://www.configserver.com/free/csf.tgz
tar zxvf csf.tgz
cd csf
./install.sh
3.- Salimos a la raiz del servidor con cd /
4.- Ejecutamos la siguiente instruccion /etc/csf/csftest.pl para ver si funcionara CSF en nuestro VPS o dedicado, todas las partes deben tener OK. Si funcionara nos saldra lo siguiente.
Testing ip_tables/iptable_filter...OK
Testing ipt_LOG...OK
Testing ipt_multiport/xt_multiport...OK
Testing ipt_REJECT...OK
Testing ipt_state/xt_state...OK
Testing ipt_limit/xt_limit...OK
Testing ipt_recent...OK
Testing xt_connlimit...OK
Testing ipt_owner/xt_owner...OK
Testing iptable_nat/ipt_REDIRECT...OK
Testing iptable_nat/ipt_DNAT...OK
RESULT: csf should function on this server
5.- Ahora de la raiz entramos al archivo csf.conf con su editor que usen:
Yo por ejemplo uso lo siguiente
cd etc/csf y ya ahi dentro edito con nano csf.conf
lo primero es activar el firewall donde dice
TESTING = 1 y lo cambiamos a TESTING = 0
6.- En las partes donde dice TCP_IN y TCP_OUT / UDP_IN y UDP_OUT deben abrir los puerto que necesiten, sobre todo los de su conexion SSH, FTP y los del servidor por ejemplo el 7777. Tengan mucho cuidado de abrir bien sus puertos o perderan la conexion a su vps o dedicado si no lo hacen correctamente. Les sale unos por default, pero deben abrir solo los que ustedes necesiten. Ejemplo
# Allow incoming TCP ports
TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995,222 2,35000:35999"
# Allow outgoing TCP ports
TCP_OUT = "20,21,22,25,53,80,110,113,443"
# Allow incoming UDP ports
UDP_IN = "20,21,53"
# Allow outgoing UDP ports
UDP_OUT = "20,21,53,113,123"
7.- Si desean permitir el ping
ICMP_IN = 1 Si no desean permitirlo ICMP_IN = 0
ICMP_OUT =1 para permitir que salga ICMP_OUT = 0 para no permitirlo
La parte de ICMP_IN_LIMIT y de ICMP_OUT_LIMIT es el rango que deseen poner les recomiendan que sea a 1/s si lo colocan a 0 estara desactivado el limite.
8.- Para proteger su servidor del flood en la seccion Port flood protection.
Lo configuran a sus necesidades.
puerto;protocolo;hit count*;intervalo en segundos
Un ejemplo seria
PORTFLOOD = "22;tcp;5;300,80;tcp;20;5"
Que significa en el puerto 22 con el protocolo tcp si hay 5 conexiones en 300 segundos bloquea esa ip y la segunda parte significa si en el puerto 80 en el protocolo tcp si hay 20 conexiones en 5 segundos bloquea la ip.
9.- Para proteger sus puertos de ataques por numero de conexiones por IP en CONLIMIT
puerto;limite que desean
Ejemplo 7777;2
Dice que solo permitan en el pueto 7777 2 conexiones por IP
10.- Para proteger sus servidores de ataques con synflood o hping3
SYNFLOOD = "0"
SYNFLOOD_RATE = "100/s"
SYNFLOOD_BURST = "150"
En SYNFLOOD coloquenlo a 1 para activarlo, les recomiendo este aunque pueden colocarlo a su gusto:
SYNFLOOD = "1"
SYNFLOOD_RATE = "1/s"
SYNFLOOD_BURST = "1"
11.- En la seccion DENY_IP_LIMIT y DENY_TEMP_IP_LIMIT
Configuran cuantas ip desean tener como limite, por default vienen 200, coloquenlo a 1000 ambos o bien a 0 para desactivar el limite.
DENY_IP_LIMIT = "1000"
DENY_TEMP_IP_LIMIT = "1000" o a cero y asi no tiene limite.
12.- Hay una seccion para banear o permitir por paises tambien Country Code Lists and Settings, solo sigan los ejemplos que ahi les dan e investiguen los codigos de los paises.
CC_DENY = ""
CC_ALLOW = ""
13.- Para ver los comandos por consola usen csf -h y les desplegara la ayuda del firewall.
14.- Para mayor efectividad les recomiendo de acuerdo a su pais y la de sus usuarios dentro del archivo etc/csf/csf.deny
colocar las ips que desean banear, yo recomiendo poner ban a regiones como china, rusia , etc que son este tipo de ips que mas usan para atacar, el ban se colocaria asi:
1.0.0.0/8 # do not delete
2.0.0.0/8 # do not delete
.
.
Asi sucesivamente todas las ips que no usen sus users y ustedes, con esto mitigaran bastante los ataques. Cuidado con las ips que banean no vayan a poner el rango de las suyas y se autobanean.
ya que hayan instalado y configurado todo y colocado a 0 el testing que mencione en el quinto paso
TESTING = 0
usen el comando csf -r;service lfd restart
para reiniciar el firewall y sus modificaciones tomen efecto.
15.- Si desean desinstalar el firewall de su vps o dedicado entran a la carpeta etc/csf y ahi
dentro escriben
cd /etc/csf
sh uninstall.sh o bien ./uninstall.sh
Si desean no desinstalar si no desactivarla por unos momentos usen:
csf -x
Y para volverla activar csf -e
Espero que les sirva y sea una ayuda para mitigar ataques diversos.
CSF Firewall mitiga si se encuentra bien configurada los ataques DDos, aclarando que no digo que los detiene, pero si los mitiga en un buen porcentaje.
El VPS o Dedicado debe estar en Linux y los pasos son los siguientes:
1.- Iniciaremos instalando el modulo perl para las dependencias que tiene CSF con perl.
yum install perl-libwww-perl
2.- Descargue el archivo de CSF Firewall y metalo en la carpeta tmp, descomprimalo e instalelo siguiendo los siguientes pasos.
cd /tmp
wget http://www.configserver.com/free/csf.tgz
tar zxvf csf.tgz
cd csf
./install.sh
3.- Salimos a la raiz del servidor con cd /
4.- Ejecutamos la siguiente instruccion /etc/csf/csftest.pl para ver si funcionara CSF en nuestro VPS o dedicado, todas las partes deben tener OK. Si funcionara nos saldra lo siguiente.
Testing ip_tables/iptable_filter...OK
Testing ipt_LOG...OK
Testing ipt_multiport/xt_multiport...OK
Testing ipt_REJECT...OK
Testing ipt_state/xt_state...OK
Testing ipt_limit/xt_limit...OK
Testing ipt_recent...OK
Testing xt_connlimit...OK
Testing ipt_owner/xt_owner...OK
Testing iptable_nat/ipt_REDIRECT...OK
Testing iptable_nat/ipt_DNAT...OK
RESULT: csf should function on this server
5.- Ahora de la raiz entramos al archivo csf.conf con su editor que usen:
Yo por ejemplo uso lo siguiente
cd etc/csf y ya ahi dentro edito con nano csf.conf
lo primero es activar el firewall donde dice
TESTING = 1 y lo cambiamos a TESTING = 0
6.- En las partes donde dice TCP_IN y TCP_OUT / UDP_IN y UDP_OUT deben abrir los puerto que necesiten, sobre todo los de su conexion SSH, FTP y los del servidor por ejemplo el 7777. Tengan mucho cuidado de abrir bien sus puertos o perderan la conexion a su vps o dedicado si no lo hacen correctamente. Les sale unos por default, pero deben abrir solo los que ustedes necesiten. Ejemplo
# Allow incoming TCP ports
TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995,222 2,35000:35999"
# Allow outgoing TCP ports
TCP_OUT = "20,21,22,25,53,80,110,113,443"
# Allow incoming UDP ports
UDP_IN = "20,21,53"
# Allow outgoing UDP ports
UDP_OUT = "20,21,53,113,123"
7.- Si desean permitir el ping
ICMP_IN = 1 Si no desean permitirlo ICMP_IN = 0
ICMP_OUT =1 para permitir que salga ICMP_OUT = 0 para no permitirlo
La parte de ICMP_IN_LIMIT y de ICMP_OUT_LIMIT es el rango que deseen poner les recomiendan que sea a 1/s si lo colocan a 0 estara desactivado el limite.
8.- Para proteger su servidor del flood en la seccion Port flood protection.
Lo configuran a sus necesidades.
puerto;protocolo;hit count*;intervalo en segundos
Un ejemplo seria
PORTFLOOD = "22;tcp;5;300,80;tcp;20;5"
Que significa en el puerto 22 con el protocolo tcp si hay 5 conexiones en 300 segundos bloquea esa ip y la segunda parte significa si en el puerto 80 en el protocolo tcp si hay 20 conexiones en 5 segundos bloquea la ip.
9.- Para proteger sus puertos de ataques por numero de conexiones por IP en CONLIMIT
puerto;limite que desean
Ejemplo 7777;2
Dice que solo permitan en el pueto 7777 2 conexiones por IP
10.- Para proteger sus servidores de ataques con synflood o hping3
SYNFLOOD = "0"
SYNFLOOD_RATE = "100/s"
SYNFLOOD_BURST = "150"
En SYNFLOOD coloquenlo a 1 para activarlo, les recomiendo este aunque pueden colocarlo a su gusto:
SYNFLOOD = "1"
SYNFLOOD_RATE = "1/s"
SYNFLOOD_BURST = "1"
11.- En la seccion DENY_IP_LIMIT y DENY_TEMP_IP_LIMIT
Configuran cuantas ip desean tener como limite, por default vienen 200, coloquenlo a 1000 ambos o bien a 0 para desactivar el limite.
DENY_IP_LIMIT = "1000"
DENY_TEMP_IP_LIMIT = "1000" o a cero y asi no tiene limite.
12.- Hay una seccion para banear o permitir por paises tambien Country Code Lists and Settings, solo sigan los ejemplos que ahi les dan e investiguen los codigos de los paises.
CC_DENY = ""
CC_ALLOW = ""
13.- Para ver los comandos por consola usen csf -h y les desplegara la ayuda del firewall.
14.- Para mayor efectividad les recomiendo de acuerdo a su pais y la de sus usuarios dentro del archivo etc/csf/csf.deny
colocar las ips que desean banear, yo recomiendo poner ban a regiones como china, rusia , etc que son este tipo de ips que mas usan para atacar, el ban se colocaria asi:
1.0.0.0/8 # do not delete
2.0.0.0/8 # do not delete
.
.
Asi sucesivamente todas las ips que no usen sus users y ustedes, con esto mitigaran bastante los ataques. Cuidado con las ips que banean no vayan a poner el rango de las suyas y se autobanean.
ya que hayan instalado y configurado todo y colocado a 0 el testing que mencione en el quinto paso
TESTING = 0
usen el comando csf -r;service lfd restart
para reiniciar el firewall y sus modificaciones tomen efecto.
15.- Si desean desinstalar el firewall de su vps o dedicado entran a la carpeta etc/csf y ahi
dentro escriben
cd /etc/csf
sh uninstall.sh o bien ./uninstall.sh
Si desean no desinstalar si no desactivarla por unos momentos usen:
csf -x
Y para volverla activar csf -e
Espero que les sirva y sea una ayuda para mitigar ataques diversos.
