906
Ejecutar un firewall en su sistema operativo ya no es un punto de decisión. Es un deber. Especialmente en servidores donde se alojan recursos organizacionales compartidos. No le gustaría que un servidor de nómina estuviera abierto a nadie en la red, ¿verdad?
Hay muchas soluciones de cortafuegos disponibles. Pero en este artículo, descubriremos un excelente competidor: el firewall CSF.
Demostraremos cómo instalarlo y configurarlo para asegurar su servidor Linux bloqueando puertos y definiendo listas de permitidos y bloqueados.
Requisitos
Necesitará los siguientes elementos para seguir de manera efectiva los ejemplos del artículo.
- Una computadora Linux. Este artículo hará una demostración usando un servidor Ubuntu 22.04.
- Una cuenta root o sudoer.
Instale el cortafuegos CSF
El Firewall CSF se proporciona como un archivo TGZ, y la última versión siempre está disponible en este enlace: csf.tgz.
Nota. Si ya se está ejecutando otro firewall en su dispositivo, desactívelo antes de continuar.
Primero, inicie sesión o SSH en su computadora Linux, luego ejecute este comando para descargar el paquete de CSF Firewall.
wget http://download.configserver.com/csf.tgz
Una vez descargado, ejecute este comando para extraer el paquete.
tar -xzf csf.tgz ls -l
Los archivos se extraen a una subcarpeta llamada csf.
Ahora, ejecute este comando para ejecutar el script de instalación.
cd csf && sudo sh install.sh
Confirme que CSF Firewall está instalado comprobando la versión.
sudo csf -v
En este ejemplo, la última versión es v14.17.
Si recibiste un error diciendo: “ADVERTENCIA URLGET configurado para usar LWP pero el módulo perl no está instalado, recurra al uso de CURL/WGET”, significa que te falta el paquete libwww-perl. Así que vamos a instalarlo.
sudo apt install -y libwww-perl
Finalmente, ejecutemos el script de prueba para confirmar que el Firewall de CSF funciona.
sudo perl /usr/local/csf/bin/csftest.pl
De acuerdo con el resultado a continuación, CSF debería funcionar en este servidor.
Configurar el cortafuegos CSF
La configuración de CSF Firewall se almacena en un archivo llamado /etc/csf/csf.conf. Siempre que necesite realizar cambios en la configuración de CSF, este archivo es su fuente maestra. De forma predeterminada, CSF se ejecuta en modo de prueba para garantizar que no interrumpa nada después de la instalación.
Pero antes de desactivar el modo de prueba, primero debemos configurar el resto. Este artículo no cubrirá ni puede cubrir todas las configuraciones de CSF. Solo nos centraremos en lo básico y lo más esencial.
Nota. Aprenda a administrar y deshabilitar Windows Defender con PowerShell.
Ejecute este comando para abrir el archivo de configuración de CSF en un editor de texto.
sudo nano /etc/csf/csf.conf
Números de puerto
La configuración predeterminada de CSF Firewall tiene un conjunto de números de puerto entrantes y salientes permitidos (UDP y TCP).
Localice las siguientes directivas dentro del archivo de configuración.
- TCP_IN y TCP_OUT — Las listas de puertos TCP entrantes y salientes permitidos.
- UDP_IN y UDP_OUT — Las listas de puertos UDP entrantes y salientes permitidos.
Como puede ver, CSF permite los puertos más utilizados de forma predeterminada. Puede eliminar o agregar puertos según sea necesario.
Por ejemplo, si su servidor no es un servidor de correo electrónico, puede eliminar los puertos relacionados con la mensajería como 25 (SMTP), 110 (POP), 143 (IMAP), 993 (IMAPS), 995 (POP3S) y 465 (SMTPS). ).
Tráfico ICMP
IMCP o PING se usa comúnmente para monitorear el tiempo de actividad y la disponibilidad del servidor. De forma predeterminada, CSF permite el tráfico ICMP.
En la mayoría de los casos, ICMP se puede dejar solo a menos que haya una razón específica para deshabilitarlo o si está mitigando un Ataque PING FLOOD o DDOS.
Límite de conexión
Otra forma de mitigar el abuso es habilitar la protección de límite de conexión. La directiva se llama CONNLIMIT.
Busque la directiva CONNLIMIT y verá que el valor predeterminado está vacío.
Esta directiva acepta una lista separada por comas de port;limit. Por ejemplo, si establece el valor CONNLIMIT en CONNLIMIT = “25;30,80;10”esto significa:
- Permita solo 30 conexiones simultáneas al puerto 25 por IP de origen.
- Permita solo 10 conexiones simultáneas al puerto 80 por IP de origen.
Protección contra inundaciones portuarias
La protección contra inundaciones del puerto limita las conexiones por intervalo de tiempo. La directiva para esto es PORTFLOOD.
Esta directiva acepta los valores en esta sintaxis: port;protocol;hit_count;interval_seconds
Por ejemplo, PORTFLOOD = “9000;tcp;8;400,4343;tcp;20;5”
- Si la conexión al puerto TCP 9000 tiene 8 resultados en 400 segundos, bloquee la dirección IP de origen durante al menos 400 segundos después del último paquete. No debe haber un intento de conexión dentro de los 400 segundos antes de que se pueda volver a permitir la conexión.
- Si la conexión al puerto TCP 4343 tiene 20 resultados en 5 segundos, bloquee la dirección IP de origen durante al menos 5 segundos después del último paquete. Debe haber un período de silencio de 5 segundos antes de que se pueda volver a permitir la conexión.
Desactivar modo de prueba
Finalmente puede deshabilitar el modo de prueba cuando esté satisfecho con su configuración de CSF. Para ello, busque la PRUEBA = “1” directiva y reemplace el valor con TESTING = «0».
Guarde y salga del archivo csf.conf. Debe reiniciar CSF para que los cambios surtan efecto ejecutando lo siguiente:
sudo csf -r
Lista de direcciones IP permitidas, denegadas e ignoradas
El Firewall CSF también le permite especificar direcciones IP en tres archivos equivalentes a tres categorías.
/etc/csf/csf.permitir — La lista de direcciones IP y CIDR que siempre se permitirán a través del firewall. Este archivo tiene entrada por defecto.
/etc/csf/csf.deny — La lista de direcciones IP y CIDR que el firewall bloqueará permanentemente. Este archivo tiene entrada por defecto.
/etc/csf/csf.ignorar — La lista de direcciones IP y CIDR que siempre serán ignoradas por LFD (demonio de falla de inicio de sesión). De forma predeterminada, este archivo contiene una entrada, que es 127.0.0.1.
La lógica es simple. Para permitir, denegar o ignorar las direcciones IP y CIDR, debe agregarlas al archivo correspondiente, un elemento por línea.
Si realizó cambios en cualquiera de los archivos anteriores, debe reiniciar CSF para que los cambios surtan efecto ejecutando lo siguiente:
sudo csf -r
Habilite la interfaz de usuario web del cortafuegos de CSF
Si prefiere administrar el Firewall de CSF a través de una interfaz gráfica de usuario, puede habilitar la GUI web del Firewall de CSF.
Primero, instalemos los módulos PERL necesarios para que funcione la GUI de CSF.
sudo apt-get install -y \ libio-socket-ssl-perl libcrypt-ssleay-perl \ libnet-libidn-perl libio-socket-inet6-perl libsocket6-perl
A continuación, habilite la interfaz de usuario en la configuración de CSF. Abra el archivo de configuración en el editor de texto.
sudo nano /etc/csf/csf.conf
Busque las siguientes directivas y cambie los valores según sea necesario. Consulte los comentarios sobre cada directiva de la siguiente manera.
# Enable the UI UI = "1" # Set the Web UI port number. The port must be > 1023. UI_PORT = "8080" # Leave this blank to bind the UI all available IPs on the server. UI_IP = "" # Set the UI username you want. UI_USER = "alpha" # Set the UI password. UI_USER = "N0tS0Complic@t3d!"
Además, agregue el número de puerto al final de TCP_IN. Guarde el archivo y salga del editor.
Incluso después de habilitar la interfaz de usuario web de CSF Firewall, nadie puede conectarse todavía. Como función de seguridad, debemos permitir explícitamente las direcciones IP que se conectarán a la interfaz de usuario web. Tendremos que agregar la dirección IP al archivo /etc/csf/ui/ui.allow.
sudo nano /etc/csf/ui/ui.allow
Agregue cada dirección IP que tenga permiso para conectarse a la interfaz de usuario web. Guarde el archivo y salga del editor.
Finalmente, reinicie los demonios CSF y LFD.
sudo systemctl restart csf sudo systemctl restart lfd
Ahora, abra un navegador web desde la computadora cuya dirección IP permitió y abra la URL de la interfaz de usuario web de CSF: https://
Ahora puede administrar el firewall CSF en la interfaz de usuario web. Por ejemplo, haga clic en el Configuración del cortafuegos botón.
Y puede editar el archivo de configuración de CSF directamente desde la interfaz web.
Conclusión
¡Eso es todo! Ha llegado al final de este tutorial. Descubrimos cómo instalar CSF Firewall, modificar parte de la configuración de CSF y habilitar la interfaz de usuario web para un acceso de administración conveniente.
Hay configuraciones más complejas y avanzadas que puede hacer con CSF que no se trataron en esta publicación. Para obtener más información sobre ellos, consulte el Léame del CSF documentación.
