آموزش نصب وکانفینگ فایروال csf-بخش ۲

 

پیکربندی اولیه

Csf می تواند توسط ویرایش فایل پیکربندی آن csf.conf در/etc/csf پیکربندی شود.

nano /etc/csf/csf.conf
تغییرات می تواند توسط دستور زیر اعمال شود:

csf–r

قدم اول:پورت های پیکربندی

دسترسی کمتر به سرور مجازی شما برابر با امنیت بیشتر آن است.اما، تمام پورت ها نمی توانند بسته شوند، از آنجا که مشتریان باید بتوانند از سرویس های شما استفاده کنند.

پورت هایی که به صورت پیش فرض باز می شوند به شرح زیر هستند:

TCP_IN = “20,21,22,25,53,80,110,143,443,465,587,993,995”

TCP_OUT = “20,21,22,25,53,80,110,113,443”

UDP_IN = “20,21,53”

UDP_OUT = “20,21,53,113,123”
سرویس هایی که از پورت های باز استفاده می کنند:
• Port 20: FTP data transfer
• Port 21: FTP control
• Port 22: Secure shell (SSH)
• Port 25: Simple mail transfer protocol (SMTP)
• Port 53: Domain name system (DNS)
• Port 80: Hypertext transfer protocol (HTTP)
• Port 110: Post office protocol v3 (POP3)
• Port 113: Authentication service/identification protocol
• Port 123: Network time protocol (NTP)
• Port 143: Internet message access protocol (IMAP)
• Port 443: Hypertext transfer protocol over SSL/TLS (HTTPS)
• Port 465: URL Rendesvous Directory for SSM (Cisco)
• Port 587: E-mail message submission (SMTP)
• Port 993: Internet message access protocol over SSL (IMAPS)
• Port 995: Post office protocol 3 over TLS/SSL (POP3S)

ممکن است که شما از تمام این سرویس ها استفاده نمی کنید، بنابراین شما می توانید پورت هایی که استفاده نمی شوند را ببندید.من بسته شدن تمام پورت ها را توصیه می کنم(پاک کردن شماره پورت از لیست)، و دوباره اضافه کردن پورت هایی که نیاز دارید.
اینها مجموعه پورت هایی که باید باز شوند، اگر شما در حال اجرای سرویس های زیر هستید:

بر روی هر سرور:

TCP_IN: 22,53
TCP_OUT: 22,53,80,113,443
UPD_IN: 53
UPD_OUT: 53,113,123

آپاچی:
TCP_IN: 80,443

سرور FTP:

TCP_IN: 20,21
TCP_OUT: 20,21
UPD_IN: 20,21
UPD_OUT:20,21

سرور ایمیل:
TCP_IN: 25,110,143,587,993,995
TCP_OUT: 25,110

سرور MYSQL:
اگر دسترسی از راه دور لازم باشد

TCP_IN: 3306
TCP_OUT: 3306

نکته :اگر شما از IPV6 برای سرویس هایتان استفاده می کنید،شما همچنین بایدTCP6_IN, TCP6_OUT, UPD6_IN وUPD6_OUT را مشابه با آنچه که پورت های IPV4 قبلا پیکربندی شده بوند، پیکربندی نمایید.

شما می توانید لیست جامع پورت های TCP و UDP را در ویکی پدیا پیدا کنید .شما باید پورت های تمام سرویس هایی که استفاده می کنید،باز کنید.

قدم دوم : تنظیمات اضافی

CSF تعداد زیادی از گزینه های مختلف در فایل های پیکربندی خود ارائه می دهد.برخی از رایج ترین استفاده از تنظیمات در زیر شرح داده شده است:

ICMP_IN –تنظیم ICMP_IN به ۱، درخواست ping را برای سرور شما اجازه می دهد و ۰ از اینگونه درخواست ها امتناع می کند. اگر شما هر گونه سرویس عمومی را میزبانی می کنید، توصیه می شود که درخواست هایICMP را اجازه دهید ، از آنجا که اینها می توانند تعیین کنند که سرویس شما در دسترس هست یا نه .

ICMP_IN_LIMIT -تعداددرخواست های(ICMP(ping را که در یک مقدار مشخص از زمان ، از یک آدرس ip اجازه داده شده اند،تعیین می کند. معمولا نیازی به تغییر مقدار اولیه نیست

DENY_IP_LIMIT -تعداد آدرس های آی پی بلاک شده راکه csf برای ردیابی نگه می دارد تعیین می کند. توصیه می شود که تعداد آدرس های آی پی ممنوع را به علت داشتن بیش از حد بلوک هایی که ممکن است کارایی سرور را کاهش دهند،محدود کنید.

DENY_TEMP_IP_LIMIT -همانند بالا، اما برای آدرس های آی پی بلوک شده موقت.

PACKET_FILTER -فیلتر نامعتبر ، پکیج های ناخواسته و نامعتبر.

SYNFLOOD, SUNFLOOD_RATE and SYNFLOOD_BURST -این حفاظت را در مقابل حملات SYN flood ارائه می دهد. این شروع هر اتصالی را کند می کند، بنابراین شما باید این را فقط زمانی تعیین کنید که بدانید سرور شما تحت حمله قرار دارد.

CONNLIMIT -تعداد اتصال های فعال همزمان بر روی پورت را محدود می کند.

مقدار:

۲۲;۵;۴۴۳;۲۰

پنج اتصال همزمان بر روی پورت ۲۲و بیست اتصال همزمان بر روی پورت ۴۴۳ را اجازه می دهد.

PORTFLOOD -تعداد اتصالات دربازه زمانی را که اتصالات جدید می توانند به پورت های خاص ساخته شوند را محدود می کند.

مقدار :

۲۲;tcp;5;250

بلوک آدرس های آی پی را ، اگر بیش از پنج اتصال بر روی پورت ۲۲ بااستفاده از پروتکل tcp ایجاد شده است ،در عرض ۲۵۰ ثانیه ، محدود خواهد کرد. بلوک به محض گذشتن ۲۵۰ ثانیهازآخرین بسته ای که توسط مشتری به پورت ارسال می شود،حذف خواهد شد.شما ممکن است پورت های بیشتری را توسط جدا کردن آنها با علامت کاما ، همانطور که در زیر توضیح داده شده است اضافه کنید.

port1;protocol1;connection_count1;time1,port2;protocol2;connection_count2;time2

تنظیمات بیشتر

Csf محدوده وسیعی از تنظیماتی که در این مقاله پوشش داده نشده اند ارائه می دهد.مقادیر پیش فرض به طور کلی خوب هستند و می توانند تقریبا در هر سروری مورد استفاده قرار گیرند. تنظیمات پیش فرض برای جلوگیری از اکثر حملات flood، اسکن های پورت و تلاش های دسترسی غیر مجاز ،پیکربندی شده است.

اگر شما به هر حال مایل بودید که پیکربندی را با جزئیات بیشتری تنظیم کنید، لطفا توضیحات را در /etc/csf/csf.conf مطالعه کنید و آنها را به هر عنوانی که دوست دارید ویرایش نمایید.

قدم ۳: اعمال تغییرات

هر زمان که شما تنظیمات رادر csf.conf تغییر می دهید، باید فایل ها را ذخیره کرده و csf را برای اعمال تغییرات، رستارت کنید.

به محض اینکه پیکربندی شما آماده شد، فایل را با فشردن Ctrl+X ببندید.وقتی که از شما سوال شد که تغییرات را ذخیره کتید یا نه، Y را برای ذخیره شدن تغییرات فشار دهید.
بعد از این،باید تغییرات را با رستارت CSF با این دستور اعمال کنید:

csf –r
اگر همه چیز طبق برنامه پیش رفت،و شما هنوز قادر به دسترسی به سرور بودید،یکبار دیگر فایل پیکربندی را باز کنید:

nano /etc/csf/csf.conf
و تنظیمات TESTING را در اول فایل پیکربندی مطابق زیر به صفر تغییر دهید:

TESTING = “0”
فایل را ذخیره کنید،و تغییرات را با این دستور اعمال کنید:

csf -r

بلوک و اجازه دادن آدرس های IP

یکی از مهمترین ویژگی های فایروال توانایی بلوک کردن آدرس های IP مختلف است. شما ممکن است (black list) را ممنوع کرده و (whitelist) را اجازه دهید، یا آدرس های IP را توسط ویرایش فایل های پیکربندی csf.deny ،csf.allow و csf.ignoreنادیده بگیرید.

بلوک کردن آدرس های IP

اگر شما می خواهید یک آدرس یا محدوده IP را بلاک کنید، csf.deny را باز کنید.
nano /etc/csf/csf.deny

آدرس ها یا محدوده ی IP بلوک شده، یک خط را در فایل csf.deny رزرو می کنند.اگر شما می خواهید که آدرس های IP 1،۲،۳،۴ و همچنین محدوده IP 2.3.*.* رابلوک کنید، شما باید خط های زیر را به فایل اضافه کنید.
۱٫۲٫۳٫۴
۲٫۳٫۰٫۰/۱۶
محدوده های IP با استفاده از CIDR notation (http://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing#CIDR_notation) نمایش داده می شوند

اجازه دادن آدرس های IP

اگر شما می خواهید یک محدوده یا آدرس IP از تمام بلوک ها و فیلترها خارج شود،باید آنها را به فایل csf.allow اضافه کنید.لطفا توجه نمایید که آدرس های IPاجازه داده شده حتی اگر در فایل csf.deny بلوک شده باشند،مجاز می باشند.اجازه دادن به آدرس های IP ،مشابه با بلوک کردن آنها کار می کند.تنها تفاوت این است که شما باید /etc/csf/csf.allow را به جای csf.deny ویرایش کنید.

nano /etc/csf/csf.allow

نادیده گرفتن آدرس های IPCSF همچنین توانایی مستثنی کردن آدرس های IP از فیلترهای فایروال را دارا می باشد. آدرس های IP در Csf.ignore فیلترهای فایروال را دور خواهد زد، و تنها اگر در فایلcsf.deny لیست شده باشد ، می توانند بلوک شوند.

nano /etc/csf/csf.ignore

برای اعمال تغییرات،باید csf را بعد از ویرایش هر یک از فایل های توضیح داده شده در بالا ، با دستور زیر رستارت نمایید:

csf -r

منبع

ترجمه شده توسط : آرزو رنجبرپور

لینک کوتاه مقاله :