Nội dung bài viết
#

Config Server Firewall (CSF) là gì? Cách cài đặt và cấu hình

Nội dung bài viết

    Config Server Firewall (CSF) là một giải pháp được nhiều người sử dụng để bảo vệ hệ thống trước các cuộc tấn công. Để hiểu CSF là gì, vai trò, đặc trưng và cách cài đặt nó trên hệ điều hành Ubuntu bạn hãy theo dõi bài viết dưới đây.

    Config Server Firewall (CSF) là gì?

    Config Server Firewall (CSF) la gi

    Các bản phân phối Linux và VPS dựa trên hệ điều hành Linux sử dụng Config Server Firewall (CSF) như một bức tường lửa để ngăn chặn sự tấn công của kẻ xấu. Ngoài vai trò là tường lửa, CSF còn tích hợp những tính năng bảo mật quan trọng như phát hiện login/intrusion/flood.

    Bên cạnh đó Config Server Firewall còn tích hợp UI (giao diện người dùng) cho DirectAdmin, cPanel, Webmin. Các cuộc tấn công như scan port, SYN floods đều được CSF phát hiện ra, mặt khác nó còn nhận diện được đăng nhập brute force attacks ở các dịch vụ. Cấu hình của nó được thiết kế để ngăn chặn tạm thời hoặc vĩnh viễn các Client khi phát hiện chúng đang tấn công VPS hoặc Cloud server.

    Đặc trưng của Config Server Firewall (CSF)

    Vô số những biện pháp hay ho được Config Server Firewall (CSF) cung cấp để bảo vệ cho VPS của bạn trước sự xâm nhập của kẻ xấu, cụ thể:

    Xác thực các lần đăng nhập không thành công

    CSF sẽ thực hiện kiểm tra nhật ký để xem xét những trường hợp đăng nhập thất bại. Mục đích của việc này là để nhận ra những hành động cố ý giành quyền truy cập trái phép vào Cloud server của bạn. Tính năng này có ở những ứng dụng như: openSSH; imap, Dovecot, uw-imap, Kerio; cPanel, WHM, Webmail; những website có cài mật khẩu bảo vệ…

    Theo dõi quy trình

    Theo dõi quy trình là một trong những tính năng của CSF. Hành động này giúp nó phát hiện phát hiện ra những quy trình đáng ngờ và ngay lập tức gửi email đến quản trị viên. Như vậy có thể thấy CSF đóng vai trò rất lớn trong việc ngăn chặn các khai thác bất hợp pháp trên VPS của bạn.

    Xem thư mục

    Những tập lệnh độc hại sẽ bị CSF phát hiện khi nó sử dụng tính năng xem thư mục the /temp và những thư mục có mối quan hệ gần gũi. CSF sẽ gửi email tới quản trị viên để nhờ can thiệp khi thấy loại tệp này đang cố tình làm ảnh hưởng đến hệ thống.

    Dịch vụ tin nhắn

    CSF sẽ gửi tới Client một thông báo cung cấp khá nhiều thông tin khi bật tính năng dịch vụ tin nhắn. Ưu điểm của hành động này là tạo mối liên kết với khách hàng và giảm bớt sự khó chịu của họ khi đăng nhập thất bại. Ngược lại điều này lại tạo ra hạn chế, đó là khi thông tin đầy đủ khiến kẻ tấn công nắm bắt được sơ hở và dễ dàng để xâm nhập vào hệ thống hơn.

    Flood protection

    Tính năng này cho phép CSF ngăn chặn các cuộc tấn công tràn vào cổng chẳng hạn như tấn công DoS. Điều này có nghĩa là bạn có thể tùy chỉnh số lượng kết nối trên mỗi cổng và tất nhiên là điều chỉnh luôn thời gian mà bạn muốn. Tuy nhiên một điều cần lưu ý là không nên cài đặt quá hạn chế và cũng không nên quá dễ dàng. Hãy tính toán cẩn thận để đạt được hiệu quả bảo vệ hệ thống như mong muốn.

    Port knocking

    Tính năng Port knocking tạo điều kiện để Client thiết lập kết nối với một server mà không có port nào được mở. Client chỉ được server cho phép kết nối với các port chính khi thực hiện thành công một chuỗi knock port.

    Bảo vệ giới hạn kết nối

    Ngoài những nét đặc trưng nói trên, CSF còn giúp bạn giới hạn số lượng kết nối liên tiếp trên một port. Tính năng này sẽ cản trở việc lạm dụng server, DdoS (tấn công dịch vụ) là ví dụ điển hình cho điều đó.

    Chuyển hướng port/IP

    Việc chuyển hướng các kết nối từ IP/Port này đến IP/Port khác cũng có thể được thực hiện bởi CSF. Một điều cần lưu ý đó là sau khi chuyển hướng IP của server trở thành địa chỉ nguồn Client.

    Tích hợp giao diện người dùng

    Cpanel và Webmin được CSF cung cấp UI (giao diện người dùng). Với những ai không quan sử dụng các dòng lệnh của hệ điều hành Linux thì đây là một tính năng khá thú vị.

    Danh sách khối IP

    Danh sách địa chỉ IP bị chặn khi đăng nhập từ các nguồn mà bạn xác định sẽ được CSF tự động tải xuống.

    Cài đặt ConfigServer Firewall

    Bước 1: Click vào wget http://download.configserver.com/csf.tgz để tải CSF xuống thư mục vì nó không có sẵn ở kho Debian hoặc Ubuntu.

    Bước 2: Trước khi sử dụng phải giải nén tệp đã tải xuống: tar -xzf csf.tgz

    Bước 3: Tắt tập lệnh cấu hình tường lửa khác bằng cách chạy lệnh: ufw disable. Sau đó tiến hành cài đặt CSF bằng lệnh:

    cd csf

    sh install.sh

    Như vậy là bạn đã cài đặt thành công CSF, hãy kiểm tra xem các mô đun iptables quan trọng đã có mặt chưa:

    perl /usr/local/csf/bin/csftest.pl

    Cấu hình cơ bản

    CSF sẽ được cấu hình khi tiến hành chỉnh sửa file cấu hình csf.confetc/csf: nano /etc/csf/csf.conf. Mọi thay đổi sẽ được thực thi khi áp dụng lệnh csf –r.

    Bước 1: Định cấu hình các port

    Server sẽ an toàn khi quyền truy cập vào VPS được hạn chế. Tuy nhiên không phải port nào cũng đều đóng vì hằng ngày khách hàng cần truy cập để sử dụng dịch vụ. Quy định về việc mở các port theo mặc định sau:

    TCP_IN="20,21,22,25,53,80,110,143, 443,465,587,993,995"
    TCP_OUT= "20,21,22,25,53,80,110,113, 443"
    UDP_IN = "20,21,53"
    UDP_OUT = "20,21,53,113,123".

    Các dịch vụ sẽ được sử dụng ở các port. Chẳng hạn như port 20 dùng để truyền dữ liệu FTP, port 21 dùng để điều khiển FTP, port 113 lại thực hiện dịch vụ xác thực, giao thức nhận dạng…bạn không nhất thiết phải sử dụng tất cả những dịch vụ đó. Vì thế mà bạn được phép đóng các port khi chưa cần đến chúng và thêm vào port mà bạn cần. Nếu bạn chạy mọi dịch vụ tương ứng với các port đã liệt kê thì các port sẽ được mở như sau:

    • Trên bất cứ server nào: TCP_IN: 22,53 TCP_OUT: 22,53,80,113,443 UPD_IN: 53 UPD_OUT: 53.113.123
    • Apache: TCP_IN: 80,443
    • FTP server: TCP_IN: 20,21 TCP_OUT: 20,21 UPD_IN: 20,21 UPD_OUT: 20,21
    • Mail server: TCP_IN: 25,110,143,587,993,995 TCP_OUT: 25.110
    • MySQL server (truy cập từ xa): TCP_IN: 3306 TCP _ OUT: 3306

    Lưu ý trường hợp bạn dùng IPv6 thì cấu hình sẽ là TCP6_IN, TCP6_OUT, UPD6_IN, UPD6_OUT.

    Bước 2: Cài đặt bổ sung

    Dưới đây là một số cài đặt bổ sung ở CSF:

    • ICMP_IN: đặt ICMP_IN = 1 để cho phép Client ping đến server và ICMP_IN = 0 để từ chối.
    • ICMP_IN_LIMIT: đặt số lượng yêu cầu ICMP (ping) được cho phép từ một địa chỉ IP trong vòng một khoảng thời gian, giá trị mặc định thường là 1/s.
    • DENY_IP_LIMIT: đặt số lượng địa chỉ IP không được phép đăng nhập vào server.
    • DENY_TEMP_IP_LIMIT: giống như vậy nhưng dành cho các khối IP tạm thời.
    • PACKET_FILTER: lọc những gói tin xâm nhập trái phép hoặc các gói không hợp lệ.
    • SYNFLOOD, SUNFLOOD_RATESYNFLOOD_BURST: bảo vệ hệ thống trước sự tấn công SYN. Bạn chỉ nên kích hoạt tính năng này khi cần vì nó làm chậm quá trình khởi tạo kết nối.
    • CONNLIMIT: cài đặt tính năng này để giới hạn số lượng kết nối cùng thời điểm trên port. Ví dụ: Value: 22; 5; 443; 20. Ở ví dụ này cho phép 5 kết nối trong cùng một thời điểm ở cổng 22, 20, 443.
    • PORTFLOOD: giới hạn số lượng kết nối được phép kết nối với các port trong một khoảng thời gian nhất định. Ví dụ: Value: 22; tcp; 5; 250. Ở ví dụ này cho phép 5 kết nối được thiết lập ở port 20 trong vòng 250 giây bằng giao thức TCP. Nếu hơn số lượng kết nối cho phép địa chỉ IP sẽ bị chặn.

    Bên cạnh những cài đặt ở trên CSF còn cung cấp một loạt các cài đặt khác. Những cài đặt mặc định được áp dụng trên hầu hết các server. Chúng giúp người dùng ngăn chặn các đợt tấn công trái phép của kẻ xấu.

    Bước 3: Áp dụng các thay đổi

    Để các thay đổi có hiệu lực, ngay sau khi bạn tiến hành thay đổi cài đặt trong csf.conf bạn hãy lưu các file và khởi động lại CSF. Nếu bạn đã chấp nhận cấu hình đó, nhấn Ctrl + X để đóng file và nhấn Y để lưu lại mọi thứ khi được hỏi có muốn lưu thay đổi hay không. Cuối cùng khởi động CSF bằng lệnh sau để áp dụng các thay đổi: csf –r.

    Sau khi hoàn tất nếu mọi thứ diễn ra đúng quy trình và bạn vẫn truy cập được vào server, hãy tiếp tục mở cấu hình: nano /etc/csf/csf.conf và cấu hình thành 0 cho cài đặt TESTING ở đầu file: TESTING = "0". Lưu file và kết thúc thay đổi bằng dòng lệnh: csf –r.

    Chặn và cho phép địa chỉ IP

    Ngăn chặn địa chỉ IP là tính năng cơ bản của Config Server Firewall (CSF). Bạn có thể cho phép whitelist và từ chối blacklist. Mặt khác bạn còn được phép chỉnh sửa cấu hình file csf.deny, csf.allow và csf.ignore để bỏ qua địa chỉ IP.

    Chặn địa chỉ IP

    Đầu tiên hãy mở csf.deny để chặn một hoặc nhiều địa chỉ IP mà bạn muốn: nano /etc/csf/csf.deny

    Trong file csf.deny đều chứa các địa chỉ hoặc dải IP bị chặn. Chẳng hạn như khi muốn chặn địa chỉ IP 1.2.3.4 hoặc dải IP 2.3. *. * thì bạn hãy thêm vào file dòng sau: 1.2.3.4 2.3.0.0/16

    Cho phép địa chỉ IP

    Bạn có thể thêm địa chỉ IP vào file csf.allow khi muốn loại trừ chúng khỏi tất cả các khối và bộ lọc của tường lửa. Như vậy có thể thấy để cho phép địa chỉ IP hoạt động bạn cũng thực hiện thao tác như khi chặn chúng. Tuy nhiên thay vì csf.deny thì bạn phải chỉnh sửa thành nano/etc/csf/csf.allow.

    Bỏ qua địa chỉ IP

    Địa chỉ IP cũng sẽ được CSF loại bỏ ra khỏi bộ lọc tường lửa. Địa chỉ IP trong csf.ignore chỉ bị chặn khi liệt kê ở trong file csf.deny: nano /etc/csf/csf.ignore

    Bạn hãy khởi động lại CSF bằng lệnh csf –r sau khi thực hiện bất kỳ chỉnh sửa nào ở trên để các thay đổi có hiệu lực.

    Tổng kết về CSF

    Bài viết trên chúng tôi đã thông tin chi tiết những kiến thức liên quan tới Config Server Firewall (CSF). Hy vọng từ những gì tham khảo được bạn sẽ hiểu rõ hơn về CSF và thông thạo các bước để cài đặt và sử dụng nó.

    Nếu còn gặp bất cứ vướng mắc gì về CSF, hãy để lại ở bên bình luận bên dưới, BKHOST sẽ trả lời bạn trong thời gian sớm nhất.

    P/s: Bạn cũng có thể truy cập vào Blog của BKHOST để đọc thêm các bài viết chia sẻ kiến thức về lập trình, quản trị mạng, website, domain, hosting, vps, server, email,… Chúc bạn thành công.

    Thuê VPS Giá Rẻ tại BKHOST

    Khuyến mãi giảm giá cực sâu, chỉ từ 62k/tháng. Đăng ký ngay hôm nay:

    thuê vps giá rẻ nhất

    Tôi là Trịnh Duy Thanh, CEO & Founder Công ty Cổ Phần Giải Pháp Mạng Trực Tuyến Việt Nam - BKHOST. Với sứ mệnh mang tới các dịch vụ trên Internet tốt nhất cho các cá nhân và doanh nghiệp trong nước và quốc tế, tôi luôn nỗ lực hết mình nâng cấp đầu tư hệ thống phần cứng, nâng cao chất lượng dịch vụ chăm sóc khách hàng để đem đến những sản phẩm hoàn hảo nhất cho người tiêu dùng. Vì vậy, tôi tin tưởng sẽ đem đến các giải pháp CNTT mới nhất, tối ưu nhất, hiệu quả nhất và chi phí hợp lý nhất cho tất cả các doanh nghiệp.
    Bình luận
    Trượt lên đầu trang
    Miễn phí cước gọi
    Chat ngay qua Zalo
    Chat ngay qua Messenger
    Bạn đã hài lòng với trải nghiệm trên Bkhost.vn?
    Cảm ơn lượt bình chọn của bạn, Chúc bạn 1 ngày tốt lành !