Genel olarak, güvenlik, daha önce de belirtildiği gibi, soğan bir şeydir. Güvenlik duvarlarının var olmasının sebepleri var ve aptal moronlar olmakla birlikte diğer tüm anıların değil.
Bu cevap geliyor, çünkü bu sayfada 'fail2ban' aranması bana sonuç vermedi. Yani diğer içerikleri iki katına çıkarırsam, yanımda ol. Ve afedersiniz, eğer biraz azarlarsam, başkaları için kullanışlı olacağı için açık bir deneyim yaşarım. :)
Ağla ilgili konular, yerel ve harici
Bu oldukça Linux'a özgüdür ve genellikle kullanım alanı olan ana bilgisayar tabanlı güvenlik duvarına odaklanır. Dış güvenlik duvarı, uygun bir ağ yapısıyla el ele gider ve diğer güvenlik hususları da genellikle buna girer. Burada ne yazıldığını biliyorsunuz, o zaman muhtemelen bu ilana ihtiyacınız olmayacak. Ya da bilmiyorsun, sonra okudum.
Dışarıdan ve yerel olarak güvenlik duvarları çalıştırmak karşı sezgisel ve çifte iş gibi görünebilir. Ancak bu, diğer tüm ev sahiplerinde güvenlikten ödün vermeden arkasındaki kurallardan da taviz vermeden, dış kuralların değiştirilebilmesini sağlar. İhtiyaç, hata ayıklama nedenlerinden veya birisinin daha yeni batırılmış olmasından kaynaklanabilir. Başka bir kullanım durumu, hem küresel hem de yerel güvenlik duvarlarına ihtiyaç duyacağınız 'uyarlanabilir küresel güvenlik duvarı' bölümünde ortaya çıkacaktır.
Maliyet ve bulunabilirlik ve her zaman aynı hikaye:
Güvenlik duvarı, uygun bir güvenli sistemin yalnızca bir yönüdür. 'Maliyet' parası olduğu için bir güvenlik duvarı kurmamak, bir SPOF'u ya da saçmalıktan bahsetmek, Fransızlarımı burada affetmek. Sadece bir küme kur. Peki ya yangın hücresinde kesinti varsa? Ardından, kümenizi iki veya daha fazla yangın bölmesinin üzerine yerleştirin.
Ancak, tüm veri merkezine erişilemiyorsa, harici taşıyıcıların ikisi de çalışmadığı için (ekskavatör elyafınızı öldürdü)? Öyleyse kümenizi birkaç veri merkezini kapatalım.
Bu pahalı? Kümeler çok mu karmaşık? Paranoya ödenmek zorunda.
Sadece SPOF'lara sızlanmak, ancak daha fazla para ödemek istememek veya daha az karmaşık kurulumlar oluşturmak istememek, açık bir çifte standart vakası veya sadece şirket veya müşteri tarafında küçük bir cüzdan durumudur.
Bu örüntü, TÜM bu tartışmalar için geçerlidir, hangisi günün hangi hizmeti olursa olsun. Bir VPN ağ geçidi olsa bile, sadece güvenlik duvarı için kullanılan bir Cisco ASA, bir MySQL veya PostgreSQL veritabanı, sanal bir sistem veya sunucu donanımı, bir depolama arkası, anahtarlar / yönlendiriciler,…
Şimdiye dek fikri anlamalısın.
Neden güvenlik duvarı ile uğraşıyorsunuz?
Teoride, mantığınız sağlam. (Yalnızca çalışan hizmetler kullanılabilir.)
Ama bu sadece gerçeğin yarısı. Güvenlik duvarı, özellikle durum bilgisi olan güvenlik duvarı sizin için çok daha fazlasını yapabilir. Vatansız güvenlik duvarları, yalnızca daha önce bahsedilen diğerleri gibi performans sorunları yaşarsanız önemlidir.
Kolay, merkezi, ayrık erişim kontrolü
Güvenliğinizi sağlamak için aynı işlevi kullanan TCP paketleyicilerinden bahsettiniz. Argüman uğruna, birisinin tcpdfareyi kullanmayı bilmediğini ve sevdiğini farz edelim mi? fwbuilderakla gelebilir.
Yönetim ağınızdan tam erişime sahip olmanız gereken, ana bilgisayar tabanlı güvenlik duvarınızın ilk kullanım durumlarından bir tanesidir.
Veritabanının başka bir yerde çalıştığı ve ne olursa olsun, paylaşılan (özel) bir alt ağın her ikisine de / tüm makinelere koyamayacağınız bir çoklu sunucu kurulumuna ne dersiniz? Güvenlik duvarını yalnızca 3306 numaralı bağlantı noktasındaki MySQL erişimine izin vermek için, diğer sunucunun verilen IP adresi için, basit ve basit bir şekilde kullanın.
Bu da UDP için kusursuz çalışıyor. Veya hangi protokolde olursa olsun. Güvenlik duvarları çok esnek olabilir. ;)
Portscan azaltma
Ayrıca, güvenlik duvarında, genel portkanslar tespit edilebilir ve azaltılabilir, çünkü zaman aralığı başına bağlantı miktarı çekirdek ve ağ yığını üzerinden izlenebilir ve güvenlik duvarı buna etki edebilir.
Ayrıca geçersiz veya belirsiz paketler, başvurunuza ulaşmadan önce ele alınabilir.
Giden trafik sınırlandırması
Giden trafiği filtrelemek genellikle götteki bir acıdır. Ancak sözleşmeye bağlı olarak bir zorunluluk olabilir.
İstatistik
Bir güvenlik duvarının size verebileceği diğer bir şey de istatistiklerdir. ( watch -n1 -d iptables -vnxL INPUTPaketlerin gelip gelmediğini görmek için en üste özel IP adresleri için bazı kurallar eklemeyi düşünün .)
İşlerin işe yarayıp yaramadığını düz gün ışığında görebilirsiniz. Bu, bağlantı sorunlarını giderirken ve telefonda diğer kişiye söyleyemediğinde, konuşkanlığa başvurmak zorunda kalmadan paket alamadığınızı ÇOK faydalıdır tcpdump. Ağ kurmak eğlencelidir, çoğu insan şimdi ne yaptığını biliyor ve çoğu zaman sadece basit yönlendirme hataları. Kahretsin, ben bile her zaman ne yaptığımı bilmiyorum. Her ne kadar kelimenin tam anlamıyla onlarca karmaşık sistem ve cihazla çalışmış olmama rağmen, çoğunlukla tünel açma da.
IDS / IPS
Katman7 güvenlik duvarı, düzgün bir şekilde katılmaması ve düzenli olarak güncellenmesi durumunda genellikle yılan yağıdır (IPS / IDS). Ayrıca lisanslar çok pahalı, bu yüzden paranın satın alabileceği her şeyi almak için gerçek bir ihtiyaç duymazsanız bir tane almaktan vazgeçiyorum.
Masqerading
Kolay, bunu paketleyicilerinle dene. : D
Yerel liman yönlendirme
Maskeleme bölümüne bakınız.
Dinamik IP adresleriyle parola erişim kanallarının güvenliğini sağlama
Müşterilerin dinamik IP adresleri varsa ve konuşlandırılmış bir VPN kurulumu yoksa? Veya güvenlik duvarına diğer dinamik yaklaşımlar? Bu, zaten soruda ima edildi ve işte Maalesef, bunun için bir güvenlik duvarı bulamıyorum. Bölüm.
Kök hesap erişimini bir parola ile devre dışı bırakmak bir zorunluluktur. Erişim belirli IP adresleriyle sınırlı olsa bile.
Ayrıca, eğer ssh tuşları kaybolursa veya konuşlandırma başarısız olursa şifre girişiyle başka bir blanko hesabına hazır olmak bir şey gerçekten yanlış giderse çok kullanışlıdır (bir kullanıcı makineye idari erişime sahiptir ve 'bir şeyler olur'?). O Linux üzerinde tek kullanıcı moduna sahip veya kullanıyor gibi ağ erişimi için aynı fikir init=/bin/bashyoluyla grubgerçekten çok kötü yerel erişim için ve herhangi bir nedenle canlı diski kullanamazsınız. Gülme, bunu yasaklayan sanallaştırma ürünleri var. İşlevsellik mevcut olsa bile, işlevsellikten yoksun eski bir yazılım sürümü çalıştırılırsa ne olur?
Her neyse, ssh daemon'unuzu bazı ezoterik bir limanda çalıştırıp 22'de yapmasanız bile, liman vurma gibi şeyleri uygulamamış olsanız bile (başka bir limanı bile açmak ve böylece portkansları hafifletmek, çok fazla pratik olmayarak sınırlamak), port taramaları Sonunda servis.
Genellikle, tüm sunucuları aynı konfigürasyonda, aynı portlar ve verim nedeniyle servislerle de kurarsınız. Her makinede ssh'i farklı bir porta ayarlayamazsınız. Ayrıca, 'genel' bir bilgi olduğunu düşündüğünüz her seferde tüm makinelerde değiştiremezsiniz, çünkü zaten bir taramanın ardından. Sorusu nmapemrinde saldırıya uğramış bir Wi-Fi bağlantısı olan zaman yasal olup olmaması bir sorun değildir.
Bu hesaba 'root' adı verilmemişse, kullanıcılar 'arka kapı' kullanıcı adınızı tahmin edemeyebilir. Ancak, şirketinizden başka bir sunucu alırlarsa veya yalnızca bir web alanı satın alırlarsa ve kötümsüz / inatçı / kayıtsız bir bakıma sahip olduklarını bilirler /etc/passwd.
Şimdi tamamen teorik gösterim için, sunucunuza erişmek ve işyerinde genellikle işlerin nasıl yürüdüğüne bakmak için orada kırılabilir bir web sitesi kullanabilirler. Kişisel kesmek arama araçları (genellikle dosya sistemi taramalar için disk performans nedenleriyle geceleri mı?) 24/7 çalışmayabilir ve virüs tarayıcıları yeni ikinci güncellenmeyen sıfır-gün gün ışığını görür, bu yüzden olacak bu olayları bir kerede tespit etmeyin ve diğer koruma önlemleri olmadan ne olduğunu asla bilemezsiniz. Gerçeğe ulaşmak için, birinin sıfır gün süren sömürülere erişimi varsa, bunun muhtemelen pahalı olduğu için sunucularınızı hedeflememesi muhtemeldir. Bu sadece 'ihtiyaç' ortaya çıkarsa, bir sisteme her zaman bir yol olduğunu göstermek içindir.
Ancak yine konuyla ilgili, fazladan şifreli bir hesap kullanmayın ve rahatsız etmeyin. Lütfen okumaya devam et.
Saldırganlar bu ekstra hesabın adını ve portunu elde etseler bile, bir fail2ban+ iptableskombinasyon, yalnızca sekiz harfli bir şifre kullansanız bile kısa süre durduracaktır. Ayrıca fail2ban, diğer hizmetler için de uygulanabilir ve izleme ufkunu genişletir!
Kendi hizmetleriniz için ihtiyaç duyulduysa: Temel olarak bir dosyaya yapılan her günlüğe kaydetme hatası, bir dosya sağlayarak, hangi eşleşmeyle eşleşecek ve kaç hataya izin verilebileceği ve güvenlik duvarı her IP adresini yasaklayarak yasaklayacak. söylendi.
8 basamaklı şifreler kullanmıyorum! Ancak, beş yanlış parola denemesi için 24 saat boyunca yasaklanırlarsa, bu kadar berbat bir güvenlik olsalar bile, ellerinde bir botnet yoksa ne kadar süre deneyeceklerini tahmin edebilirsiniz. Ve müşterilerin hangi şifreleri kullanmaya meyilli olduklarını görünce şaşıracaksınız ssh. İnsanların posta şifrelerine Plesk aracılığıyla bakmak, bilmek istemediğiniz her şeyi, eğer yaparsanız, ama elbette burada ima etmeye çalıştığım şeyleri söyler. :)
Uyarlanabilir küresel güvenlik duvarı
fail2bançizgileri boyunca bir şeyler kullanan tek bir uygulamadır iptables -I <chain_name> 1 -s <IP> -j DROP, ancak kolayca biraz Bash sihri ile bu tür şeyleri kolayca oluşturabilirsiniz.
Bunun gibi bir şeyi daha da genişletmek için, ağınızdaki sunuculardaki tüm fail2ban IP adreslerini fazladan bir sunucuda toplayın, tüm listeleri sıralar ve ağınızın ucunda bulunan tüm trafiği engelleyen ana güvenlik duvarlarınıza iletir.
Bu tür bir işlevsellik satılamaz (elbette olabilir, ancak kırılgan bir sistem olacak ve emilecektir), ancak altyapınıza dahil edilmesi gerekir.
Bu sırada, kara liste IP adreslerini veya başka kaynaklardan gelen listeleri, kendiniz veya dış adresler tarafından toplanıp kullanabilirsiniz.