APF Kurulumu + Antidos Modulünün Aktiflestirilmesi

APF Kurulumu + Antidos Modulünün Aktifleştirilmesi

APF kural tabanlı bir iptables firewalldır.Ayarlanması ve kullanılması özellikle sunucular için çok kolaydır.

Özellikleri:

- Kolay anlaşılan kural tabanlı ayar dosyası.
- Bağımsız giriş ve çıkış filtreleme.
- ID tabanlı çıkış kontrolu bu sayede belirtilen uygulamanın sahibine bakarak çıkış yapıp yapmamasına izin verebilirsiniz.
- Genell tcp/udp port ve icmp tipi ayarlar
- Sistemdeki her ip için özel yapılandırma.
- icmp ataklarını önlemek için icmp tabanlı koruma sistemi
- antidos yazılımı

- dshield.org engel listesi bu listede aktif olan saldırganlar tüm apf kullanan sunucularda erişim hakları engellenir.
- tcp/ip saldırılarını engelleemk için özel sysctl ayar dosyası
- İstenmiyen trafiği engellemekiçin özel hazırlanabilen kural dizisi
- Kernel seçeneklerini kullanabilme abort_on_overflow ve tcp syncookies gibi.
- Kolay yönetilebilir firewall yazılımı.
- Güvenebileceğiniz ve direk olarak engelleyeceğiniz hostları belirtebileceğiniz kural dosyası.
- APF ile uyumlu 3. parti uygulamaları.

Çok etkili bir firewall olmakla beraber sunucuların genelinde bu firewall kullanılmaktadır.Ayar dosyaları ve kurulumu kolaydır ve etkilidir.

Kurulum

1.) /usr/local/src dizinine geçiyoruz.

Kod:
cd /usr/local/src
2.) Dosyayı sunucuya indiriyoruz
Kod:
wget [url=http://www.rfxnetworks.com/downloads/apf-current.tar.gz]http://www.rfxnetworks.com/downloads/apf-current.tar.gz[/url]
3.)Sıkıştırılmış arşiv dosyasını açıyoruz.
Kod:
tar -xvzf apf-current.tar.gz
4.)Uygulamanın bulunduğu dizine giriyoruz
Kod:
cd apf*
5.)Kurulum scriptini çalıştırıyoruz.
Kod :
./install.sh
yüklendiğine gösteren mesaj ekrana geliyor

.: APF installed
Install path: /etc/apf
Config path: /etc/apf/conf.apf
Executable path: /usr/local/sbin/apf
AntiDos install path: /etc/apf/ad/
AntiDos config path: /etc/apf/ad/conf.antidos
DShield Client Parser: /etc/apf/extras/dshield/

6.)Ayar dosyasını açıp gerekli düzenlemeleri yapacağız

Kod:
pico /etc/apf/conf.apf
İlk önce değişkenlerin ne olduğunu size açıklayacağım sonra gerekli düzenlemeri yapacağız.

DEVM=”1″:Devolopment mod olarak açıklanıyor firewall ilk kurulduğunda standart olarak bu modda siz ayarları yapana kadar her 5 dakikada bir firewall kurallarını temizliyor.Böylece ssh portunu engelleseniz bile 5 dakika içerisinde girebilirsiniz.Herşeyin yolunda gittiğini anladıktan sonra bu değeri 0 olarak ayarlayın ve firewall ı yeniden başlatın.

LGATE_MAC=”": Yerek ağ mac adresidir.Buraya bir değer girildiği zaman sadece buradan gelen isteklere izin verilicektir.Biz bu değeri boş bırakacağız.

LGATE_LOG=”0″: Değeri 1 olarak ayarlarsanız bütün ağ trafiğinin kayıdı tutulucaktır.Biz bu değeride 0 olarak bırakacağız.

EN_VNET=”0″: Bu değeri 1 olarak ayarlarsanız sistemdeki tüm ipler için farklı kurallar kurabilirsiniz./etc/apf/vnet/ dizinine bu kuralı yerleştirebilrisiniz gene standart olarak bir template bu dizinde var.

TIF=”":Güvenilen ağlar .

DROP_LOG=”1″: Kernel tabanlı loglama.

LRATE=”60″: Iptables in dakikada logladığı olay sayısı.

IG_TCP_CPORTS=”22″:Sistemde içeriye tcp portlarını belirtir.22 yazan yere virgul ile açılıcak portları yazının devamında ekleyeceğiz.

IG_UDP_CPORTS=”": İçeriye açılıcak udp portlarını gösterir.

EGF=”0″:Bu değeri 1 olarak açıcağız çıkan paketlerin filtrelenmesi.

EG_TCP_CPORTS=”22″:Sitemden dışarıya açılacak tcp portları.

EG_UDP_CPORTS=”":Sistemden dışarıya açılıcak udp portları.

USE_DS=”0″Dshield.org un engellenenler listesine bu seçeneği 1 olarak seçerseniz katkıda bulunursunuz.

Şimdi cpanel sunucuları için yapacağımız değişiklikleri adım adım anlatalım.
Kod:
pico /etc/apf/conf.apf
1.)Yazarak tekrar ayar dosyamızı açıyoruz
Kod:
USE_DS=”0″
ve 3 satır altındaki

Kod:
USE_AD=”0″
kısımlarını bulup

Kod:
USE_DS=”1″
Kod:
USE_AD=”1″
olarak değiştiriyoruz.

2.) IG_TCP_CPORTS yazan kısmı buluyoruz

içindeki portları silip aşağıdaki portları ekliyoruz
Kod:
20,21,22,25,26,53,80,110,143,443,465,993,995,2082,2083,2086,2087,2095,2096
Kod:
IG_TCP_CPORTS=”20,21,22,25,26,53,80,110,143,443,465,993,995,2082,2083,2086,2087,2095,2096″
3.) IG_UDP_CPORTS kısmını buluyoruz

içindeki portları silip aşağıdaki portları eklliyoruz

Kod:
21,53,873
Görünümü şu şekilde oluyor

Kod:
IG_UDP_CPORTS=”21,53,873″
3.)EFG kısmını buluyoruz EGF=”0″ olan değeri EGF=”1″ olarak değiştiriyoruz.

4.) EG_TCP_CPORTS kısmını buluyoruz içindeki port listesini temizleyip aşağıdaki portları ekliyoruz.

Kod:
21,22,25,26,27,37,43,53,80,110,113,443,465,873,2089
Görünümü şu şekilde oluyor

Kod:
EG_TCP_CPORTS=”21,22,25,26,27,37,43,53,80,110,113,443,465,873,2089″
5.) EG_UDP_CPORTS kısmını buluyoruz içindeki port listesini temizleyip aşağıdaki portları ekliyoruz.
Kod:
20,21,37,53,873
Kod:
EG_UDP_CPORTS=”20,21,37,53,873″
ayar dosyası ile işimiz bitti dosyayı kaydedip çıkıyoruz.

Diğer kontrol paneli yazılımları için yapıcağınız değişiklikler de bunlardır.

—-Ensim —–
IG_TCP_CPORTS=”21,22,25,53,80,110,143,443,19638″
IG_UDP_CPORTS=”53″

EGF=”1″
EG_TCP_CPORTS=”21,22,25,53,80,110,443″
EG_UDP_CPORTS=”20,21,53″

—-Plesk —–

IG_TCP_CPORTS=”20,21,22,25,53,80,110,143,443,465,993,995,8443″
IG_UDP_CPORTS=”37,53,873″

EGF=”1″
EG_TCP_CPORTS=”20,21,22,25,53,37,43,80,113,443,465,873″
EG_UDP_CPORTS=”53,873″

6.)
Kod:
/usr/local/sbin/apf -s
komutunu uygulayarak firewall umuzu başlatıyoruz.SSH oturumumuzu kapatıp yeni bir oturum açıp sunucuya girmeye çalışıyoruz.Eğer herhangi bir sorunla karşılaşırda giremezseniz firewall kurallarının 5 dakika içinde silineceğini unutmayın.

7.)Başarılı bir şekilde giriş yaptıysanız editörümüz ile apf nin ayar dosyasını tekrar açıp devolopment moddan çıkartıcaz böylece artık firewall un kuralları 5 dakikada bir temizlenmeyecektir

Kod:
pico /etc/apf/conf.apf
DEVM=”1″ olan kısımı bulup DEVM=”0″ değiştiriyorsunuz.

8.)
Kod:
/usr/local/sbin/apf -r
komutunu vererke firewall u yeniden başlatıyoruz.

Firewall ile kullanabileceğiniz parametreler

/usr/local/sbin/apf -s : Firewall u açar.
/usr/local/sbin/apf -r : Firewall u yeniden başlatır.
/usr/local/sbin/apf -st : Firewall un durumunu gösterir.
/usr/local/sbin/apf -f : Firewall u durdurur.
/usr/local/sbin/apf -l : Kuralları listeler.

Bir kullanıcının apf yardımı ile sistemden uzaklaştırılması

Kod:
/usr/local/sbin/apf -d ipnumarası
şeklindedir sistemden uzaklaştırmak istediğiniz ip numarası 81.214.247.127 ise

Kod:
/usr/local/sbin/apf -d 81.214.247.127
yazmanız yeterlidir.

Son olarak apf nin sunucu yeniden başlatıldığında otomatik olarak başlatılmasını sağlamak için aşağıdkai komutu giriyoruz.

Kod:
chkconfig –level 2345 apf on

Servera bir nmap çekip açık portlara bakalım.

Herşey istediğimiz gibi

APF antidos modülünün kurulumu:
Antidos modülü bir log analiz modülüdür arka arkaya gelen istekleri değerlendirerek bunu sizin belirlediğiniz değeri aştığında saldırganların sistemden uzaklaştırılmasını sağlamaktadır.
Kod:
/etc/apf/ad/conf.antidos
yazıp konfigurasyon dosyasını açıyoruz
LP_KLOG=”0″ kısmını bulup
LP_KLOG=”1″
olarak değiştiriyoruz.

USR_ALERT=”0″ kısmını bulup
USR_ALERT=”1″ olarak değiştiriyoruz.
DET_SF=”0″ kısmını bulup
DET_SF=”1″ olarak değiştiriyoruz
Option: USR=”you@yourco.com”kısmını bulup mail adresinizi yazıyorsunuz.
dosyayı kaydedip çıktıktan sonra

Kod:
crontab -e
yazarak crpntab ı açıyoruz buraya aşağıdaki girdiyi yazıyoruz

Kod:
*/2 * * * * root /etc/apf/ad/antidos -a >> /dev/null 2>&1
ve contabdan çıkıp

Kod:
/usr/local/sbin/apf -r
komutu ile firewall a restart atıyoruz.

Bu Dökümanı Dropby23 Hazırlamıştır. !! Emeği İçin Teşekkürler
Hanci.org sizlere daha iyi hizmet sunmak için çerezleri kullanıyor.
Hanci.org sitesini kullanarak çerez politikamızı kabul etmiş olacaksınız.
Detaylı bilgi almak için Gizlilik ve Çerez Politikası metnimizi inceleyebilirsiniz.