Cómo asegurar FreeBSD con PF Firewall

Este tutorial le mostrará cómo proteger su servidor FreeBSD usando el firewall OpenBSD PF. Asumiremos que tiene una instalación limpia de FreeBSD implementada por Vultr sin usuarios agregados. Haremos algunas otras cosas además de la configuración de Firewall que también fortalecerá la seguridad de nuestro servidor FreeBSD. Antes de la configuración del firewall, instalaremos algunos paquetes, ya que la instalación predeterminada de FreeBSD viene con un conjunto mínimo de herramientas y paquetes (lo cual es correcto), para que nos resulte más fácil trabajar.

El shell predeterminado en FreeBSD es /bin/sh. Este es un shell básico sin funciones de autocompletar. Usaremos algo mejor. Vamos a instalar zsh.

Primero, instale estos paquetes:

# pkg install zsh gnuls
The package management tool is not yet installed on your system.
Do you want to fetch and install it now? [y/N]: y
Bootstrapping pkg from pkg+http://pkg.FreeBSD.org/freebsd:10:x86:64/latest, please wait...
...

GNULS es el lsprograma de Linux. Solo queremos tener el mismo lscomando en Linux y FreeBSD.

Agregue un usuario normal al sistema: (reemplace a john con su nombre de usuario y no olvide agregar un usuario al grupo de rueda)

# adduser
Username: john
Full name: John Doe
Uid (Leave empty for default): 
Login group [john]: 
Login group is john. Invite john into other groups? []: wheel
Login class [default]: 
Shell (sh csh tcsh zsh rzsh nologin) [sh]: zsh
Home directory [/home/john]: 
Home directory permissions (Leave empty for default): 
Use password-based authentication? [yes]: 
Use an empty password? (yes/no) [no]: 
Use a random password? (yes/no) [no]: 
Enter password: 
Enter password again: 
Lock out the account after creation? [no]: 
Username   : john
Password   : *****
Full Name  : John Doe
Uid        : 1001
Class      : 
Groups     : john wheel
Home       : /home/john
Home Mode  : 
Shell      : /usr/local/bin/zsh
Locked     : no
OK? (yes/no): yes
adduser: INFO: Successfully added (john) to the user database.
Add another user? (yes/no): no
Goodbye!

Crear archivo de configuración zsh:

# ee /home/your-username/.zshrc

Copie esto a su archivo .zshrc:

PS1="<%U%m%u>$[%B%1~%b]%(#.#.$) "

bindkey -e
alias su='su -m'
alias du='du -h -d0'
alias df='df -h'
alias l=less
alias ll='gnuls --color=always -l'
alias ls='gnuls --color=always'
alias pkg_ver='pkg version -v -l "<" | > upgrade'

export EDITOR=ee

autoload -U colors && colors
autoload -U promptinit && promptinit
autoload -U compinit && compinit

# History settings
SAVEHIST=1000
HISTSIZE=1000
HISTFILE=~/.history
setopt histignoredups appendhistory

Ejecute este comando: (reemplace john con su nombre de usuario)

chown john:john /home/john/.zshrc

Ahora, inicie sesión en el servidor de FreeBSD con su nombre de usuario y cambie la contraseña raíz predeterminada:

<vultr>[~]$ su
Password:
<vultr>[~]# passwd 
Changing local password for root
New Password:
Retype New Password:
<vultr>[~]# 

No necesitamos sendmail. Detener y deshabilitar este servicio:

<vultr>[~]# /etc/rc.d/sendmail stop
Stopping sendmail.
Waiting for PIDS: 7843.
sendmail_submit not running? (check /var/run/sendmail.pid).
Stopping sendmail_msp_queue.
Waiting for PIDS: 7846.

A continuación, cambiaremos nuestro archivo rc.conf para que se vea más natural:

# ee /etc/rc.conf

Cámbialo para que se vea así:

#----------- NETWORKING ------------------------------------------------#
hostname="ceph.domain1.com" # replace ceph.domain1.com with your domain
ifconfig_vtnet0="dhcp"
static_routes=linklocal
route_linklocal="-net 169.254.0.0/16 -interface vtnet0"

#--------- SERVICES BSD LOCAL ----------------------------------------#
sshd_enable="YES"
ntpd_enable="YES"

#pf_enable="YES"
#pf_rules="/etc/firewall"
#pf_flags=""
#pflog_enable="YES"              
#pflog_logfile="/var/log/pflog"  
#pflog_flags=""    

sendmail_enable="NONE"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"

Editar /etc/hostsarchivo:

# ee /etc/hosts

Agregue su dirección IP y nombre de host:

::1                     localhost localhost.ceph ceph
127.0.0.1               localhost localhost.ceph ceph
108.61.178.110          ceph.domain1.com       ceph

Establecer zona horaria:

# bsdconfig

Siempre que pueda, deshabilite el acceso remoto para el usuario root. La mayoría de los ataques a SSH intentarán acceder a través de la cuenta de usuario root. Siempre conéctese con su nombre de usuario y luego sua la raíz. Solo los usuarios del wheelgrupo pueden surootear. Es por eso que agregamos a nuestro usuario al grupo de ruedas.

Deshabilitar inicio de sesión raíz:

# ee /etc/ssh/sshd_config

Descomenta esta línea:

PermitRootLogin no

Reiniciar:

# reboot

Después de que finalice el reinicio, verá un mensaje como este en la consola Vultr:

time correction of 3600 seconds exceeds sanity limit (1000); set clock manually to
correct UTC time.

Es por eso que necesitamos corregir el reloj manualmente. Siga estos comandos, primero supara rootear:

$ su
Password:
# ntpdate 0.europe.pool.ntp.org

Ahora, vamos a configurar el firewall. OpenBSD PF está incluido en el kernel de FreeBSD, por lo que no tiene que instalar ningún paquete.

Con el eeeditor, cree el archivo /etc/firewall:

# ee /etc/firewall

Inserte esto: (reemplace cualquier dirección IP con la suya)

#######################################################################
me="vtnet0"                
table <bruteforcers> persist    
table <trusted> persist file "/etc/trusted"
icmp_types = "echoreq"          
junk_ports="{ 135,137,138,139,445,68,67,3222 }"
junk_ip="224.0.0.0/4"           

set loginterface vtnet0           
scrub on vtnet0 reassemble tcp no-df random-id

# ---- First rule obligatory "Pass all on loopback"
pass quick on lo0 all           

# ---- Block junk logs
block quick proto { tcp, udp } from any to $junk_ip 
block quick proto { tcp, udp } from any to any port $junk_ports

# ---- Second rule "Block all in and pass all out"
block in log all                
pass out all keep state         

############### FIREWALL ###############################################
# ---- Allow all traffic from my Home
pass quick proto {tcp, udp} from 1.2.3.4 to $me keep state

# ---- block SMTP out 
block quick proto tcp from $me to any port 25

# ---- Allow incoming Web traffic
pass quick proto tcp from any to $me port { 80, 443 } flags S/SA keep state

# ---- Allow my team member SSH access 
pass quick proto tcp from 1.2.3.5 to $me port ssh flags S/SA keep state

# ---- Block bruteforcers
block log quick from <bruteforcers>

# ---- Allow SSH from trusted sources, but block bruteforcers
pass quick proto tcp from <trusted> to $me port ssh \
flags S/SA keep state \
(max-src-conn 10, max-src-conn-rate 20/60, \
overload <bruteforcers> flush global)

# ---- Allow ICMP 
pass in inet proto icmp all icmp-type $icmp_types keep state
pass out inet proto icmp all icmp-type $icmp_types keep state

Crear /etc/trustedarchivo En este archivo, colocaremos las IP en las que "confiamos".

# ee /etc/trusted

Agregue algunas IP:

# Hosting
1.2.0.0/16

# My friends
1.2.4.0/24

Ahora alguna explicación. Los puertos basura y las IP basura son solo algunos puertos / IP que no queremos ver en los registros. Hemos hecho esto con esta regla:

# ---- Block junk logs
block quick proto { tcp, udp } from any to $junk_ip 
block quick proto { tcp, udp } from any to any port $junk_ports

Estos son solo valores predeterminados y no tiene que preocuparse por eso:

icmp_types = "echoreq"                                            
set loginterface vtnet0           
scrub on vtnet0 reassemble tcp no-df random-id
pass quick on lo0 all
block in log all                
pass out all keep state

Esta regla bloquea el tráfico SMTP saliente de su servidor (que es el predeterminado en Vultr).

# ---- block SMTP out 
block quick proto tcp from $me to any port 25

Excepto que bruteforcersel resto es bastante sencillo.

# ---- Allow SSH from trusted sources, but block bruteforcers
pass quick proto tcp from <trusted> to $me port ssh \
flags S/SA keep state \
(max-src-conn 10, max-src-conn-rate 20/60, \
overload <bruteforcers> flush global)

Bruteforcers solo dice: Permitir desde IPs <confiables> al puerto 22, pero solo se pueden hacer 10 conexiones concurrentes desde una IP de origen. Si es más de 10, bloquee esta IP y colóquela en la tabla de fuerza bruta. Lo mismo aplica para la regla 20/60. Significa un máximo de 20 conexiones en 60 segundos.

Habilitar firewall:

# ee /etc/rc.conf

Descomente estas líneas:

pf_enable="YES"
pf_rules="/etc/firewall"
pf_flags=""
pflog_enable="YES"
pflog_logfile="/var/log/pflog"
pflog_flags=""

Reiniciar:

# reboot 

Si ha hecho todo bien, podrá iniciar sesión y se habilitará el firewall. No tiene que reiniciar cada vez que cambia el /etc/firewallarchivo. Solo haz:

# /etc/rc.d/pf reload

Vea quién está intentando conectarse a su servidor en tiempo real:

# tcpdump -n -e -ttt -i pflog0

Mostrar historia:

# tcpdump -n -e -ttt -r /var/log/pflog

Vea si tiene a alguien en la tabla de fuerza bruta:

# pfctl -t bruteforcers -T show

Y eso es. ¡Ha implementado con éxito el firewall PF en el servidor FreeBSD!