CSF Firewall installeren op Debian 11

ConfigServer Firewall (CSF) is een firewall voor Linux servers en BSD systemen om het inkomende en uitgaande verkeer te regelen. Voor we in specifieke details over CSF treden, laten we eerst begrijpen wat een firewall is en hoe hij werkt.

Een firewall werkt als een schild dat het systeem beschermt tegen een aanval van buitenaf. Een paar ervan zijn stateful firewalls, gateways op circuit-niveau, UDP/ICMP-filterende firewalls, of applicatielaag filters.

De firewall komt met een reeks regels om het inkomende en uitgaande verkeer te filteren. En afhankelijk van de soort firewall die je gebruikt, beslist hij of een IP al dan niet toegang krijgt tot het netwerk. De lijst van regels wordt voor een bepaald systeem bepaald, en de firewall filtert het verkeer volgens de regels.

ConfigServer Firewall (CSF) is een van de meest gebruikte open-source firewalls voor Linux servers. CSF komt met een lijst van mogelijkheden die gebruikt kunnen worden om de regels in te stellen. Het is dus tegelijk erg krachtig en gemakkelijk te gebruiken.

Vereisten

Om CSF op Debian 11 te installeren en in te stellen, moet je beschikken over:

  • Een server met Debian 11 en je systeem moet verbonden zijn met de internetverbinding.
  • Root toegang tot de server.

Je systeem bijwerken

Voordat je ConfigServer Firewall installeert, moet je je systeem bijwerken. Voer het onderstaande commando uit om je systeem bij te werken.

sudo apt update

Als de update voltooid is, voer je de volgende commando’s uit om de vereiste afhankelijkheden te installeren.

sudo apt install libio-socket-inet6-perl libsocket6-perl -y
sudo apt install sendmail dnsutils unzip libio-socket-ssl-perl -y
sudo apt install libcrypt-ssleay-perl git perl iptables libnet-libidn-perl -y

Als je een eerdere versie van CSF in je systeem geïnstalleerd hebt, voer dan het volgende commando uit om die eerst te verwijderen. Omdat Debian 11 een nieuwe versie van Perl gebruikt, kan de installatie van CSF conflicten veroorzaken met de bestaande CSF installatie.

cd /etc/csf &&  sh uninstall.sh 

Als je een ander firewall configuratie script gebruikt, zoals UFW, schakel die dan uit voor je verder gaat.

sudo ufw disable

Installeren van CSF Firewall op Debian 11

Nu je alle noodzakelijke vereisten geïnstalleerd hebt, laten we nu de CSF firewall downloaden en installeren.

De Debian 11 repository bevat geen CSF pakketten. Daarom moet je de nieuwste versie van ConfigServer firewall van hun officiële site downloaden.

Om dat te doen geef je het volgende commando.

wget http://download.configserver.com/csf.tgz

Ruw nu het onderstaande commando uit om het gedownloade bestand uit te pakken.

sudo tar -xvzf csf.tgz

Zodra je het bestand hebt uitgepakt, installeer je CSF met het volgende commando.

cd csf && sh install.sh

Als de installatie voltooid is, zou de firewall nu geïnstalleerd moeten zijn. Om de CSF firewall te starten, voer je het volgende commando uit.

sudo systemctl start csf

Voer het onderstaande commando uit om te controleren of alles in orde is.

perl /usr/local/csf/bin/csftest.pl

Je krijgt een uitvoer zoals hieronder.Deze uitvoer bevestigt dat CSF in werking is.

Installeren van CSF Firewall op Debian 11

Om CSF firewall in te schakelen om bij het opstarten te starten, voer je het volgende commando uit.

sudo systemctl enable csf

Je kunt de status van CSF controleren met het onderstaande commando.

sudo systemctl status csf

Deze uitvoer bevestigt dat CSF up and running is. Laten we nu deze firewall configureren.

Voorbeeld uitvoer:

Installeren van CSF Firewall op Debian 11

De CSF firewall instellen op Debian 11

Zodra je de CSF firewall geïnstalleerd hebt, zijn de standaard regels actief die worden geleverd met een configuratiebestand /etc/csf/csf.conf

Je moet dit configuratiebestand nakijken om er zeker van te zijn dat het naar je behoeften is ingesteld. In dit bestand kun je alle standaard regels zien die actief zijn vanuit het perspectief van je systeem. Laten we er een paar nader bekijken.

sudo nano /etc/csf/csf.conf

Hoe minder open poorten, hoe veiliger het systeem is. Maar je moet altijd een aantal veelgebruikte poorten open hebben. Je kunt alle poorten die standaard open staan zien in het bestand csf.conf, zoals hieronder.

De CSF Firewall instellen op Debian 11

Zoals je in het configuratiebestand kunt zien, moet je, als je een poort wilt toestaan/blokkeren, het poortnummer respectievelijk toevoegen/verwijderen in de lijst.

Bijvoorbeeld, als je poort 80 wilt blokkeren, dan moet die uit de lijst verwijderd worden, zoals hieronder.

De CSF Firewall instellen op Debian 11

Als je IPv6 gebruikt, moet je dit ook in het instellingenbestand bijwerken, omdat de meeste aanvallen tegenwoordig over het IPv6 protocol gaan. Je dient TCP6_IN, TCP6_OUT te configureren zoals we hierboven voor IPv4 poorten hebben gedaan.

Voorbeeld uitvoer:

De CSF Firewall instellen op Debian 11

Laten we nu de instellingen voor CONNLIMIT instellen. CONNLIMIT is een beveiligingsfunctie in CSF waarmee je het aantal gelijktijdige verbindingen dat een verbinding op afstand kan hebben op een bepaalde poort kunt beperken. Dit helpt om het risico van DoS/DDoS aanvallen te beperken.

Als je bijvoorbeeld een IP wilt beperken tot niet meer dan 3 gelijktijdigeverbindingen, dan moet je het instellen zoals hieronder. Deze instelling zou slechts 3 gelijktijdige verbindingen op poort 22 en 3 gelijktijdige verbindingen op poort 443 toestaan.

De CSF Firewall instellen op Debian 11

Laten we nu de PORTFLOOD instellingen instellen. Met deze optie kunnen we het maximum aantal verbindingsverzoeken instellen dat op een poort is toegestaan binnen een bepaalde tijdspanne.

Als je bijvoorbeeld een willekeurig IP wilt blokkeren als er binnen 60 seconden meer dan 3 verbindingen tot stand komen op poort 443 met het TCP protocol, dan moet je dit bijwerken zoals hieronder. De blokkade wordt automatisch opgeheven als het tijdsbestek van 60 seconden sinds de laatste verbinding voorbij is.

De CSF Firewall instellen op Debian 11

De meest basale eigenschap van elke firewall is het blokkeren en toestaan van IP adressen. Je kunt de IP adressen die je wilt blokkeren handmatig toevoegen in het csf.deny bestand of je kunt een hele reeks IP’s toevoegen in het csf.deny bestand.

Je kunt bijvoorbeeld al het 192.168.1.0/24 IP bereik blokkeren.

Of

Je kunt een enkel IP van 192.168.2.0 blokkeren door het toe te voegen in het csf.deny bestand zoals hieronder.

Open het csf.deny bestand met het volgende commando.

sudo nano /etc/csf/csf.deny

Voeg de volgende regels toe aan de onderkant van het bestand. Eén regel tegelijk.

192.168.2.0
192.168.1.0/24

Voorbeeld uitvoer:

De CSF Firewall instellen op Debian 11

Als je klaar bent sla je het bestand op en sluit je het door op CTRL+X, Y, en Enter te drukken.

Tegenover het csf.deny bestand staat het csf.allow bestand, dat gebruikt wordt om een IP of een reeks IP’s van alle filters uit te sluiten. Merk op dat zelfs als je al een IP aan het csf.deny bestand hebt toegevoegd, het geblokkeerde IP adres toch toegang tot je server krijgt door het in het csf.allow bestand op te nemen.

sudo nano /etc/csf/csf.allow

CSF biedt een grote verscheidenheid aan mogelijkheden om je eigen firewall in te stellen, wat buiten het bestek van deze handleiding valt. Je kunt de documentatie van ConfigServer raadplegen over de instellingen en hoe ze werken.

Als je klaar bent met het bijwerken van alle vereiste instellingen, bewaar en sluit je het csf.conf bestand door op CTRL+X, Y, en Enter te drukken.

CSF biedt ook de mogelijkheid om een IP adres uit een filter te negeren. In tegenstelling tot het toestaan van een IP adres in hetcsf.allow bestand, kun je een IP adres niet negeren als het in het csf.deny bestand vermeld stond.

sudo nano /etc/csf/csf.ignore

Nu je alle instellingen in het csf.conf bestand hebt ingesteld, is het tijd om de regelset bij te werken om de veranderingen toe te passen.

Om dat te doen, voer je het volgende commando uit.

sudo csf -r

Als de uitvoering van het bovenstaande commando voltooid is, krijg je een melding te zien zoals in de volgende schermafbeelding. Als er geen foutmeldingen verschijnen, gefeliciteerd! De firewall configuratie van je server is nu bijgewerkt en klaar voor gebruik.

De CSF Firewall instellen op Debian 11 5

Conclusie

In deze handleiding heb je geleerd hoe je ConfigServer Security & Firewall (CSF) op een Debian 11 server kunt installeren. Je hebt ook geleerd hoe je firewall regels maakt, door IPs aan zowel toegestane als geblokkeerde lijsten toe te voegen met behulp van CSF configuratiebestanden.

Als je problemen tegenkomt, kun je altijd de ConfigServer Firewall documentatie raadplegen voor meer informatie.