Como proteger o FreeBSD com o firewall PF

Este tutorial mostrará como proteger seu servidor FreeBSD usando o firewall do OpenBSD PF. Vamos supor que você tenha uma instalação limpa do FreeBSD implantada pelo Vultr sem nenhum usuário adicionado. Faremos outras coisas além da configuração do Firewall, que também fortalecerão a segurança do nosso servidor FreeBSD. Antes da configuração do firewall, instalaremos alguns pacotes, já que a instalação padrão do FreeBSD vem com um conjunto mínimo de ferramentas e pacotes (o que é correto), para facilitar o trabalho.

O shell padrão no FreeBSD é /bin/sh. Este é um shell básico sem funções de preenchimento automático. Vamos usar algo melhor. Vamos instalar zsh.

Primeiro, instale estes pacotes:

# pkg install zsh gnuls
The package management tool is not yet installed on your system.
Do you want to fetch and install it now? [y/N]: y
Bootstrapping pkg from pkg+http://pkg.FreeBSD.org/freebsd:10:x86:64/latest, please wait...
...

GNULS é o lsprograma do Linux. Nós apenas queremos ter o mesmo lscomando no Linux e no FreeBSD.

Adicione um usuário normal ao sistema: (substitua john por seu nome de usuário e não esqueça de adicionar usuário ao grupo de roda)

# adduser
Username: john
Full name: John Doe
Uid (Leave empty for default): 
Login group [john]: 
Login group is john. Invite john into other groups? []: wheel
Login class [default]: 
Shell (sh csh tcsh zsh rzsh nologin) [sh]: zsh
Home directory [/home/john]: 
Home directory permissions (Leave empty for default): 
Use password-based authentication? [yes]: 
Use an empty password? (yes/no) [no]: 
Use a random password? (yes/no) [no]: 
Enter password: 
Enter password again: 
Lock out the account after creation? [no]: 
Username   : john
Password   : *****
Full Name  : John Doe
Uid        : 1001
Class      : 
Groups     : john wheel
Home       : /home/john
Home Mode  : 
Shell      : /usr/local/bin/zsh
Locked     : no
OK? (yes/no): yes
adduser: INFO: Successfully added (john) to the user database.
Add another user? (yes/no): no
Goodbye!

Crie o arquivo de configuração zsh:

# ee /home/your-username/.zshrc

Copie isso para o seu arquivo .zshrc:

PS1="<%U%m%u>$[%B%1~%b]%(#.#.$) "

bindkey -e
alias su='su -m'
alias du='du -h -d0'
alias df='df -h'
alias l=less
alias ll='gnuls --color=always -l'
alias ls='gnuls --color=always'
alias pkg_ver='pkg version -v -l "<" | > upgrade'

export EDITOR=ee

autoload -U colors && colors
autoload -U promptinit && promptinit
autoload -U compinit && compinit

# History settings
SAVEHIST=1000
HISTSIZE=1000
HISTFILE=~/.history
setopt histignoredups appendhistory

Execute este comando: (substitua john pelo seu nome de usuário)

chown john:john /home/john/.zshrc

Agora, entre no servidor FreeBSD com seu nome de usuário e altere a senha root padrão:

<vultr>[~]$ su
Password:
<vultr>[~]# passwd 
Changing local password for root
New Password:
Retype New Password:
<vultr>[~]# 

Não precisamos do sendmail. Pare e desative este serviço:

<vultr>[~]# /etc/rc.d/sendmail stop
Stopping sendmail.
Waiting for PIDS: 7843.
sendmail_submit not running? (check /var/run/sendmail.pid).
Stopping sendmail_msp_queue.
Waiting for PIDS: 7846.

Em seguida, alteraremos nosso arquivo rc.conf para parecer mais natural:

# ee /etc/rc.conf

Altere para ficar assim:

#----------- NETWORKING ------------------------------------------------#
hostname="ceph.domain1.com" # replace ceph.domain1.com with your domain
ifconfig_vtnet0="dhcp"
static_routes=linklocal
route_linklocal="-net 169.254.0.0/16 -interface vtnet0"

#--------- SERVICES BSD LOCAL ----------------------------------------#
sshd_enable="YES"
ntpd_enable="YES"

#pf_enable="YES"
#pf_rules="/etc/firewall"
#pf_flags=""
#pflog_enable="YES"              
#pflog_logfile="/var/log/pflog"  
#pflog_flags=""    

sendmail_enable="NONE"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"

Editar /etc/hostsarquivo:

# ee /etc/hosts

Adicione seu endereço IP e nome do host:

::1                     localhost localhost.ceph ceph
127.0.0.1               localhost localhost.ceph ceph
108.61.178.110          ceph.domain1.com       ceph

Definir fuso horário:

# bsdconfig

Sempre que possível, desative o acesso remoto para o usuário root. A maioria dos ataques ao SSH tentará acessar através da conta de usuário root. Sempre conecte-se com seu nome de usuário e depois faça o suroot. Somente usuários do wheelgrupo podem sufazer root. Por isso, adicionamos nosso usuário ao grupo de rodas.

Desativar login raiz:

# ee /etc/ssh/sshd_config

Remova o comentário desta linha:

PermitRootLogin no

Reinicialização:

# reboot

Após a reinicialização, você verá uma mensagem como esta no console do Vultr:

time correction of 3600 seconds exceeds sanity limit (1000); set clock manually to
correct UTC time.

É por isso que precisamos corrigir o relógio manualmente. Siga estes comandos, primeiro supara fazer o root:

$ su
Password:
# ntpdate 0.europe.pool.ntp.org

Agora, vamos configurar o firewall. O OpenBSD PF está incluído no kernel do FreeBSD, assim você não precisa instalar nenhum pacote.

Com o eeeditor, crie o arquivo /etc/firewall:

# ee /etc/firewall

Insira isto: (substitua qualquer endereço IP pelo seu)

#######################################################################
me="vtnet0"                
table <bruteforcers> persist    
table <trusted> persist file "/etc/trusted"
icmp_types = "echoreq"          
junk_ports="{ 135,137,138,139,445,68,67,3222 }"
junk_ip="224.0.0.0/4"           

set loginterface vtnet0           
scrub on vtnet0 reassemble tcp no-df random-id

# ---- First rule obligatory "Pass all on loopback"
pass quick on lo0 all           

# ---- Block junk logs
block quick proto { tcp, udp } from any to $junk_ip 
block quick proto { tcp, udp } from any to any port $junk_ports

# ---- Second rule "Block all in and pass all out"
block in log all                
pass out all keep state         

############### FIREWALL ###############################################
# ---- Allow all traffic from my Home
pass quick proto {tcp, udp} from 1.2.3.4 to $me keep state

# ---- block SMTP out 
block quick proto tcp from $me to any port 25

# ---- Allow incoming Web traffic
pass quick proto tcp from any to $me port { 80, 443 } flags S/SA keep state

# ---- Allow my team member SSH access 
pass quick proto tcp from 1.2.3.5 to $me port ssh flags S/SA keep state

# ---- Block bruteforcers
block log quick from <bruteforcers>

# ---- Allow SSH from trusted sources, but block bruteforcers
pass quick proto tcp from <trusted> to $me port ssh \
flags S/SA keep state \
(max-src-conn 10, max-src-conn-rate 20/60, \
overload <bruteforcers> flush global)

# ---- Allow ICMP 
pass in inet proto icmp all icmp-type $icmp_types keep state
pass out inet proto icmp all icmp-type $icmp_types keep state

Crie /etc/trustedarquivo. Neste arquivo, colocaremos os IPs nos quais "confiamos".

# ee /etc/trusted

Adicione alguns IPs:

# Hosting
1.2.0.0/16

# My friends
1.2.4.0/24

Agora alguma explicação. Portas indesejadas e IPs indesejados são apenas algumas portas / IPs que não queremos ver nos logs. Fizemos isso com esta regra:

# ---- Block junk logs
block quick proto { tcp, udp } from any to $junk_ip 
block quick proto { tcp, udp } from any to any port $junk_ports

Estes são apenas padrões e você não precisa se preocupar com isso:

icmp_types = "echoreq"                                            
set loginterface vtnet0           
scrub on vtnet0 reassemble tcp no-df random-id
pass quick on lo0 all
block in log all                
pass out all keep state

Esta regra bloqueia o tráfego SMTP de saída do seu servidor (que é o padrão no Vultr).

# ---- block SMTP out 
block quick proto tcp from $me to any port 25

Exceto que bruteforcerso resto é bastante direto.

# ---- Allow SSH from trusted sources, but block bruteforcers
pass quick proto tcp from <trusted> to $me port ssh \
flags S/SA keep state \
(max-src-conn 10, max-src-conn-rate 20/60, \
overload <bruteforcers> flush global)

Os Bruteforcers apenas dizem: Permitir de IPs <trusted> para a porta 22, mas apenas 10 conexões simultâneas podem ser feitas a partir de um IP de origem. Se for maior que 10, bloqueie esse IP e coloque-o nos bruteforcers da tabela. O mesmo vale para a regra 20/60. Isso significa um máximo de 20 conexões em 60 segundos.

Ativar firewall:

# ee /etc/rc.conf

Remova o comentário destas linhas:

pf_enable="YES"
pf_rules="/etc/firewall"
pf_flags=""
pflog_enable="YES"
pflog_logfile="/var/log/pflog"
pflog_flags=""

Reinicialização:

# reboot 

Se você fez tudo certo, poderá fazer login e o firewall será ativado. Você não precisa reiniciar toda vez que alterar o /etc/firewallarquivo. Apenas faça:

# /etc/rc.d/pf reload

Veja quem está tentando se conectar ao seu servidor em tempo real:

# tcpdump -n -e -ttt -i pflog0

Mostrar histórico:

# tcpdump -n -e -ttt -r /var/log/pflog

Veja se você tem alguém na tabela bruteforcers:

# pfctl -t bruteforcers -T show

E é isso. Você implementou com sucesso o firewall PF no servidor FreeBSD!