VPN + SSL + SEGURIDAD

Partimos de la instalación ya hecha de pivpn y ssl a través de la interfaz web UI

Se edita el archivo de configuración del fts

nano /usr/local/lib/python3.8/dist-packages/FreeTAKServer/controllers/configuration/MainConfig.py

Se pone la dirección de la vpn del servidor que por defecto es 10.8.0.1 en esos dos apartados
Se edita el archivo de configuración de fts-ui, igual que en el anterior se pone la ip de la vpn del servidor en IP

nano /usr/local/lib/python3.8/dist-packages/FreeTAKServer-UI/config.py

También se pone la ip en data package en el archivo de service

sudo nano /etc/systemd/system/FreeTAKServer.service

Con esto ya valdría para conectarse sólamente desde la vpn pero vamos a seguir metiendo unas cuantas cosas más

Hay que añadir un usuario no-root y bloquear a root para que no se pueda acceder a través de ssh por root

Añade el usuario

sudo adduser “nombre”

añadir el usuario al grupo sudo

sudo usermod -aG sudo “nombre”

cambiar al nuevo usuario

su – “nombre”

bloquear uso de root

sudo passwd -l root

instalar fail2ban (evita ataques de fuerza bruta)

sudo apt install fail2ban

editar el fichero /etc/default/ufw poniendo "ACCEPT"

DEFAULT_FORWARD_POLICY="ACCEPT" # Habilitamos el forward por defecto, para poder navegar desde una conexión VPN al exterior.

Habilitar el ip forwarding en /etc/ufw/sysctl.con

descomentando la línea net/ipv4/ip_forward=1

aplicamos los cambios

sysctl -p

Para que nos funcionen las reglas con el forwarding, deberemos modificar el fichero de /etc/ufw/before.rules, hay que añadir esto al principio del archivo

# nat Table rules
*nat
:POSTROUTING ACCEPT [0:0]

# Forward traffic from eth1 through eth0.
-I POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE -m comment --comment openvpn-nat-rule
-A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

# don't delete the 'COMMIT' line or these nat table rules won't be processed
COMMIT

Denegar todas las entrantes y permitir todas las salientes

sudo ufw default deny incoming

sudo ufw default allow outgoing

Permitir todas las conexiones de la red local

sudo ufw allow from 127.0.0.1

Permitir SSH

sudo ufw allow ssh

Permitir las conexiones de la subnet de la vpn

sudo ufw allow from 10.8.0.0/24 to any port 8089

sudo ufw allow from 10.8.0.0/24 to any port 8443

sudo ufw allow from 10.8.0.0/24 to any port 5000

Y con esto se habría implementado un cortafuegos mínimo de seguridad para el servidor de Atak

Buscar este blog

ATAKBLOG

VPN + SSL + SEGURIDAD

Vídeo explicativo