Cara Install APF dan BFD di server vps linux

AFD dan BFD merupakan salah satu tools untuk firewall server .

1. Installasi APF (Advanced Policy Firewall)

login ke server anda dan ikuti langkah berikut :

1. mkdir /root/download;cd /root/download
2. wget http://www.rfxnetworks.com/downloads/apf-current.tar.gz
3. tar -xvzf apf-current.tar.gz
4. cd apf-0.9.5-1/ atau sesuaikan dengan versi yang didownload.
5. eksesuki file: ./install.sh
anda akan melihat report sbb :

Installing APF 0.9.5-1: Completed.

Installation Details:
Install path: /etc/apf/
Config path: /etc/apf/conf.apf
Executable path: /usr/local/sbin/apf
AntiDos install path: /etc/apf/ad/
AntiDos config path: /etc/apf/ad/conf.antidos
DShield Client Parser: /etc/apf/extras/dshield/

Other Details:
Listening TCP ports: 1,21,22,25,53,80,110,111,143,443,465,993,995,2082,2083,2086,2087,2095,2096,3306
Listening UDP ports: 53,55880
Note: These ports are not auto-configured; they are simply presented for information purposes. You must manually configure all port options.

Oke, installasi sudah beres, tinggal kita konfigurasikan APF

6. vi /etc/apf/conf.apf
Bila anda masih bingung dengan konfigurasi ini, silahkan membaca README yang ada di paket APF.

kita akan menggunakan DShield.org’s “block” list untuk mengatasi aktifitas yang paling sering terjadi di lingkungan jaringan.

Cari: USE_DS=”0″
Rubah dengan: USE_DS=”1″

7. Selanjutkan kita konfigurasikan Port dari Firewall:

Untuk Server yang menggunakan Cpanel :
Setting Port yang masuk ke server :

# Common ingress (inbound) TCP ports -3000_3500 = passive port range for Pure FTPD
IG_TCP_CPORTS=”21,22,25,53,80,110,143,443,2082,2083, 2086,2087, 2095, 2096,3000_3500″
#
# Common ingress (inbound) UDP ports
IG_UDP_CPORTS=”53″

Setting Port yang keluar Server :

# Egress filtering [0 = Disabled / 1 = Enabled]
EGF=”1″

# Common egress (outbound) TCP ports
EG_TCP_CPORTS=”21,25,80,443,43,2089″
#
# Common egress (outbound) UDP ports
EG_UDP_CPORTS=”20,21,53″

Tekan ESC 2 kali dan ketik :wq

Setting Untuk Ensim Server :

Setting ini belum saya ujicoba, blm pernah pake Exim sih, heheheh

Setting Port yang masuk Server :

# Common ingress (inbound) TCP ports
IG_TCP_CPORTS=”21,22,25,53,80,110,143,443,19638″
#
# Common ingress (inbound) UDP ports
IG_UDP_CPORTS=”53″

Setting Port yang keluar Server :

# Egress filtering [0 = Disabled / 1 = Enabled]
EGF=”1″

# Common egress (outbound) TCP ports
EG_TCP_CPORTS=”21,25,80,443,43″
#
# Common egress (outbound) UDP ports
EG_UDP_CPORTS=”20,21,53″

Tekan ESC 2 kali dan ketik :wq

8. Jalankan APF sekarang
/usr/local/sbin/apf -s

Perintah lainnya yang tersedia:

usage /usr/local/sbin/apf [OPTION]
-s|–start ……………………. load all firewall rules
-r|–restart ………………….. stop (flush) & reload firewall rules
-f|–stop…….. ……………… stop (flush) all firewall rules
-l|–list …………………….. list all firewall rules
-t|–status …………………… output firewall status log
-a HOST CMT|–allow HOST COMMENT … add host (IP/FQDN) to allow_hosts.rules and
immediately load new rule into firewall
-d HOST CMT|–deny HOST COMMENT …. add host (IP/FQDN) to deny_hosts.rules and
immediately load new rule into firewall
-u|–unban HOST ……………….. remove host from [glob]*_hosts.rules
and immediately remove rule from firewall
-o|–ovars ……………………. output all configuration options

9. Setelah semuanya beres, rubah option DEV

Untuk menonaktipkan penghapusan firewall dari memory yang dilakukan dalam 5 menit, saya sarankan merubah nilai “0” setelah anda yakin semuanya berjalan dengan baik dan kembali kita restart APF

vi /etc/apf/conf.apf

Cari: DEVEL_MODE=”1″
Ganti dengan: DEVEL_MODE=”0″

10. Konfigurasi AntiDOS

Konfigurasi AntiDOS bisa ditemukan di : /etc/apf/ad
Logs file bisa ditemukan di /var/log/apfados_log anda bisa merubah sesuai keinginan.

vi /etc/apf/ad/conf.antidos

Anda memerlukan pesan lewat email, konfigurasikan sbb :

# [E-Mail Alerts]

# Organization name to display on outgoing alert emails
CONAME=”Your Company”

“Your Company” Ganti dengan Nama anda

# Send out user defined attack alerts [0=off,1=on]
USR_ALERT=”0″

Ganti dengan 1 untuk menerima email.

# User for alerts to be mailed to
USR=”your@email.com”

Ganti dengan email anda.

tekan ESC 2 kali dan ketik :wq

Restart firewall:

/usr/local/sbin/apf -r

11. Lihat hasil logs APF

Logs akan menampilkan allow dan deny hosts dan informasi lainnya.

tail -f /var/log/apf_log

12. Selesai sudah.

Tinggal anda mengaktipkan agar APF bisa otomatis aktip saat booting

chkconfig –level 2345 apf on

Untuk menghapus dari booting, gunakan perintah berikut :

chkconfig –del apf

Contoh beberapa command penting lainnya :

./apf -d 192.168.1.1 TESTING

option -d akan memblokir (deny)
hasilnya bisa kita lihat :

cat /etc/apf/deny_hosts.rules

akan menampilkan:

# added 185.14.157.123 on 08/23/05 01:25:55
# TESTING
192.168.1.1

Anda bisa menambahkan IP yang akan di blokir secara manual di file /etc/apf/deny_hosts.rules
jangan lupa melakukan reload APF dengan perintah :

/etc/apf/apf -r

Lawan dari option -d adalah option -a yang akan meberikan hak (allow)

./apf -a 172.17.17.1 UNBLOCKING

cat /etc/apf/allow_hosts.rules

# added 185.14.157.123 on 08/23/05 01:39:43
# UNBLOCKING
172.17.17.1

jangan lupa melakukan reload APF dengan perintah :

/etc/apf/apf -r

2. Installasi BFD (Brute Force Detection)

Login ke server anda, jangan lupa gunakan root.

1. cd /root/download.

2. wget http://www.rfxnetworks.com/downloads/bfd-current.tar.gz

3. tar -xvzf bfd-current.tar.gz

4. cd bfd-0.7 sesuaikan dengan versi bfd

5. Jalankan installasi: ./install.sh
anda akan mendapatkan report installasi sbb:

.: BFD installed
Install path: /usr/local/bfd
Config path: /usr/local/bfd/conf.bfd
Executable path: /usr/local/sbin/bfd

6. Edit konfigurasi BFD: vi /usr/local/bfd/conf.bfd

7. Aktipkan brute force hack attempt alerts:
Cari: ALERT_USR=”0″
Ganti dengan: ALERT_USR=”1″

Cari: EMAIL_USR=”root”
Ganti dengan: EMAIL_USR=”your@yourdomain.com”

tekan ESC 2 kali dan ketik :wq

8. Tambahkan IP anda agar tidak terkunci!
vi /usr/local/bfd/ignore.hosts dan tambahkan IP anda
contoh: 192.168.1.1

tekan ESC 2 kali dan ketik :wq

Yakinkan bahwa IP anda ditambahkan di ignore.hosts sebelum IP anda terkunci karena kesalahan

9. Jalankan Program!
/usr/local/sbin/bfd -s

10. Rubah konfigurasi brute force sesuai keperluan anda
Anda dpt merubahnya pada folder rules di /usr/local/bfd

Disini anda akan menemukan rule yang sudah ada seperti Apache, and ProFTPD

About the Author

Leave a Reply