“A suite de scripts do firewall CSF fornece:<\/p>\n
Processo daemon que verifica a exist\u00eancia de falhas de login de autentica\u00e7\u00e3o para:<\/p>\n
Courier IMAP, Dovecot, uw-imap, Kerio
\nOpenSSH
\ncPanel, WHM, Webmail (servidores cPanel apenas)
\nPure-ftpd, vsftpd, proftpd
\nP\u00e1ginas protegidas por senha web (htpasswd)
\nFalhas mod_security (V1 e V2)
\nFalhas Suhosin
\nExim SMTP AUTH
\nPersonaliza\u00e7\u00e3o de falhas de login com arquivo de log separado e correspond\u00eancia de express\u00e3o regular<\/p>\n
– POP3\/IMAP de login de rastreamento para impor logins por hora
\n– SSH login notifica\u00e7\u00e3o
\n– SU notifica\u00e7\u00e3o de login
\n– Liga\u00e7\u00e3o excessiva bloqueio
\n– UI Integra\u00e7\u00e3o para cPanel, DirectAdmin e Webmin
\n– F\u00e1cil atualiza\u00e7\u00e3o entre vers\u00f5es de dentro cPanel \/ WHM, DirectAdmin ou Webmin
\n– F\u00e1cil atualiza\u00e7\u00e3o entre vers\u00f5es de shell
\n– Pr\u00e9-configurado para funcionar em um servidor cPanel com todas as portas cPanel padr\u00e3o aberto
\n– Pr\u00e9-configurado para funcionar em um servidor DirectAdmin com todas as portas DirectAdmin padr\u00e3o aberto
\n– Auto-configura a porta SSH se \u00e9 n\u00e3o-padr\u00e3o na instala\u00e7\u00e3o
\n– Bloquear o tr\u00e1fego de endere\u00e7os IP n\u00e3o utilizados pelos servidores – ajuda a reduzir o risco para o seu servidor
\n– Alerta o usu\u00e1rio final quando os scripts enviar e-mails excessivos por hora – para identificar os scripts spam
\n– Relat\u00f3rios processo suspeito – relata poss\u00edveis explora\u00e7\u00f5es em execu\u00e7\u00e3o no servidor
\n– Excesso de processos de usu\u00e1rios relatando
\n– Excesso de usu\u00e1rio do relat\u00f3rio de uso do processo e termina\u00e7\u00e3o opcional
\n– Arquivo de relat\u00f3rio suspeitos – relat\u00f3rios de arquivos de explorar o potencial em \/ tmp e diret\u00f3rios semelhantes
\n– Diret\u00f3rio e arquivo assistido – relat\u00f3rios se um diret\u00f3rio assistiu ou um arquivo \u00e9 alterado
\n– Bloquear o tr\u00e1fego na Lista de Bloqueios DShield e na lista drop Spamhaus
\n– BOGON pacote de protec\u00e7\u00e3o
\n– Pr\u00e9-configura\u00e7\u00f5es para seguran\u00e7a de firewall Baixo, M\u00e9dio ou Alto (servidores cPanel apenas)
\n– Funciona com v\u00e1rios dispositivos ethernet
\n– Server Security Check – Executa uma seguran\u00e7a b\u00e1sica e as configura\u00e7\u00f5es para verificar o servidor (via cPanel \/ DirectAdmin \/ UI Webmin)
\n– Permiti endere\u00e7os IP de DNS din\u00e2mico – sempre permitir que o seu endere\u00e7o IP, mesmo que mude voc\u00ea se conecta \u00e0 internet
\n– Alerta enviado se a m\u00e9dia de carga do servidor permanece alta por um per\u00edodo de tempo especificado
\n– relat\u00f3rios mod_security log (se instalado)
\n– Rastreamento de rel\u00e9 e-mail – rastreia todos os emails enviados atrav\u00e9s do servidor e emite alertas para o uso excessivo (servidores cPanel apenas)
\n– IDS (Intrusion Detection System) – a \u00faltima linha de detec\u00e7\u00e3o de alerta para altera\u00e7\u00f5es aos bin\u00e1rios do sistema e aplica\u00e7\u00e3o
\n– SYN Flood prote\u00e7\u00e3o
\n– Ping da morte – prote\u00e7\u00e3o
\n– Port Scan rastreamento e bloqueio
\n– IP Permanente e tempor\u00e1rio (com TTL) bloqueio
\n– Verifica Exploits
\n– Rastreamento de contas modificadas – envia alertas se uma entrada de conta \u00e9 modificada, por exemplo, se a senha for alterada ou o shell de login
\n– Syslog compartilhada
\n– Messenger Service – Permite redirecionar os pedidos de liga\u00e7\u00e3o de endere\u00e7os IP bloqueados ao texto pr\u00e9-configurado e p\u00e1ginas html para informar o visitante que foram bloqueadas no firewall. Isto pode ser particularmente \u00fatil para aqueles com uma grande base de usu\u00e1rios e ajudar a pedidos de suporte do processo de forma mais eficiente
\n– C\u00f3digo de bloqueio por Pa\u00eds – Permite negar ou permitir o acesso pelo C\u00f3digo do Pa\u00eds
\n– Port Flooding Detection – Por IP, por conex\u00e3o, inunda\u00e7\u00f5es, detec\u00e7\u00e3o e mitiga\u00e7\u00e3o para ajudar a bloquear ataques DOS
\n– DirectAdmin integra\u00e7\u00e3o UI
\n– Webmin atualizadi conm integra\u00e7\u00e3o UI
\n– WHM notifica\u00e7\u00e3o acesso root (servidores cPanel apenas)
\n– fd Clustering – permite que blocos de endere\u00e7os IP a ser propagada automaticamente em torno de um grupo de servidores que executam LFD. Ele permite a todo o cluster remo\u00e7\u00f5es e altera\u00e7\u00f5es de configura\u00e7\u00e3o
\n– In\u00edcio r\u00e1pido csf – startup enviado pela lfd para servidores com grande bloco e \/ ou permiti\u00e7\u00e3o de listas
\n– Login distribu\u00eddo de falhas e detec\u00e7\u00e3o de ataque
\n– IP tempor\u00e1rio que permite (TTL)
\n– Suporte IPv6 com ip6tables
\n– UI Integrada \u00a0– sem necessidade de um painel de controle separado ou Apache para usar a configura\u00e7\u00e3o csf
\n– Suporte integrado para CSE dentro da UI integrado
\n– cPanel Reseller acesso a op\u00e7\u00f5es configur\u00e1veis por revendedor, desbloquear, negar, permitir e pesquisar blocos de endere\u00e7os IP
\n– Estat\u00edsticas do sistema – gr\u00e1ficos b\u00e1sicos que mostram o desempenho do servidor, por exemplo, m\u00e9dias de carga, uso de CPU, uso de mem\u00f3ria, etc
\n… e muito mais!<\/p>\n
A raz\u00e3o de desenvolvermos esta suite \u00e9 que n\u00f3s observamos ao longo dos anos de presta\u00e7\u00e3o de servi\u00e7os com servidores, que muitas das ferramentas dispon\u00edveis para a tarefa s\u00e3o mais complexas, n\u00e3o amig\u00e1vel, ou simplesmente n\u00e3o s\u00e3o t\u00e3o eficazes quanto poderiam ser.”<\/p>\n
Para instala\u00e7\u00e3o do CS Firewall \u00a0executamos os seguintes passos:<\/p>\n
Link:\u00a0http:\/\/configserver.com\/free\/csf\/install.txt<\/a><\/p>\n Para instala\u00e7\u00e3o do webmin executamos o seguinte:<\/p>\n Link:\u00a0http:\/\/www.webmin.com\/tgz.html<\/a><\/p>\n O webmin facilita as configura\u00e7\u00f5es das regras do Iptables apresentando o CSF Firewall, de forma amig\u00e1vel.<\/p>\n Para os ramais do PBX Elastix funcionarem corretamente devemos adicionar as seguintes portas UDP no CSF Firewall.\u00a0<\/span><\/p>\n Fig 1<\/p>\n Agora vamos aos testes pr\u00e1ticos, o servidor PBX Elastix est\u00e1 rodando sob o IP 192.168.100.13 para capturar os logs do CSF Firewall vamos utilizar o comando: tail -f \/var\/log\/lfd.log<\/strong><\/p>\n Fig 2<\/p>\n O CT_LIMIT tem a funcionalidade de monitorar as conex\u00f5es e verifica se um IP realizou uma quanttidade de conex\u00f5es acima do que foi configurado durante um intervalo de tempo espec\u00edfico em\u00a0CT_INTERVAL. Este bloqueio \u00e9 tempor\u00e1rio por padr\u00e3o, no entanto podemos set\u00e1-lo para permanente.<\/p>\n Fig 3<\/p>\n Setamos o CT_LIMIT para 2, caso voc\u00ea tente autenticar o ramal (XXXX) errando a senha, acima do especificado, o seu IP ser\u00e1 bloqueado. Fa\u00e7a o teste como li\u00e7\u00e3o de casa.<\/p>\n Em\u00a0LF_SSHD especificamos as tentativas para conex\u00e3o do SSH.<\/p>\n \u00a0Fig 4<\/p>\n Vejam que foi setado para “1” “uma tentativa” e logo da primeira, devido a senha errada do SSH j\u00e1 temos o log de bloqueio do IP 192.168.100.15 – BackTrack Linux<\/span><\/a><\/strong><\/span><\/p>\n Fig 5<\/p>\n Potencializando o ataque com o Nmap, obtive o seguinte resultado.<\/p>\n Fig 6<\/p>\n O CSF Firewall detectou a varredura e bloqueou o IP do Backtrack Linux<\/span><\/a><\/span><\/strong><\/p>\n Desta forma intensifiquei mais ainda o ataque com Hydra.<\/p>\n Fig 7<\/p>\n Antes do Hydra varrer toda a minha “word list” o CSF Firewall bloqueou o IP do BackTrack Linux<\/span><\/a><\/span><\/strong><\/p>\n Realmente vale implementar o CSF Firewall para certas miss\u00f5es cr\u00edticas, principalmente em PBX Voip, como Asterisk, Elastix, etc.<\/p>\n Espero contribuir um pouco com as comunidades Elastix Brasil –\u00a0<\/span>http:\/\/www.elastixbrasil.com.br<\/span><\/a><\/span>\u00a0<\/span><\/strong>e\u00a0Asterisk Brasil<\/span> –\u00a0<\/span><\/span>http:\/\/www.asteriskbrasil.org<\/span><\/a><\/strong><\/span>\u00a0Tenho acompanhado v\u00e1rias assuntos nos for\u00fans, sobre ataques a servidores VOIP, principalmente partindo de outros pa\u00edses, portanto decidi executar alguns testes pr\u00e1ticos. Espero que a minha singela contribui\u00e7\u00e3o possa ajudar um pouco a todos que sempre ajudaram-me.<\/p>\n Um grande abra\u00e7o a todos e at\u00e9 a pr\u00f3xima !!!<\/p>\n \r\n\t\t![\"\"](\"http:\/\/www.ethicalhacker.com.br\/site\/wp-content\/uploads\/118-300x187.png\" "\\"1\\"")
<\/a><\/p>\n![\"\"](\"http:\/\/www.ethicalhacker.com.br\/site\/wp-content\/uploads\/117-300x163.png\" "\\"1\\"")
<\/a><\/p>\n![\"\"](\"http:\/\/www.ethicalhacker.com.br\/site\/wp-content\/uploads\/215-300x187.png\" "\\"2\\"")
<\/a><\/p>\n![\"\"](\"http:\/\/www.ethicalhacker.com.br\/site\/wp-content\/uploads\/ssh11-300x240.png\" "\\"ssh1\\"")
<\/a><\/p>\n![\"\"](\"http:\/\/www.ethicalhacker.com.br\/site\/wp-content\/uploads\/123-300x187.png\" "\\"12\\"")
<\/a><\/p>\n![\"\"](\"http:\/\/www.ethicalhacker.com.br\/site\/wp-content\/uploads\/1-full-300x187.png\" "\\"1-full\\"")
<\/a><\/p>\n![\"\"](\"http:\/\/www.ethicalhacker.com.br\/site\/wp-content\/uploads\/full2-300x187.png\" "\\"full2\\"")
<\/a><\/p>\n
\r\n\t\t\t