सामान्य तौर पर, सुरक्षा एक प्याज की चीज है, जैसा कि पहले ही उल्लेख किया गया है। वहाँ कारण फ़ायरवॉल मौजूद हैं, और यह बेवकूफ मूर्खों जा रहा है अन्य सभी lemmings नहीं है।
यह उत्तर आता है, क्योंकि इस पृष्ठ पर 'fail2ban' की खोज ने मुझे कोई परिणाम नहीं दिया। इसलिए अगर मैं अन्य सामग्री को दोगुना करता हूं, तो मेरे साथ सहन करें। और मुझे माफ करना, अगर मैं थोड़ा सा शेख़ी करता हूं, तो मैं सादे अनुभव प्रदान करता हूं क्योंकि यह दूसरों के काम आ सकता है। :)
नेटवर्किंग के विचार, स्थानीय बनाम बाहरी
यह बल्कि लिनक्स विशिष्ट है और मेजबान आधारित फ़ायरवॉलिंग पर केंद्रित है, जो आमतौर पर उपयोग का मामला है। बाहरी फ़ायरवॉल एक उचित नेटवर्क संरचना के साथ हाथ में जाता है और अन्य सुरक्षा विचार आमतौर पर उसी में जाते हैं। या तो आप जानते हैं कि यहां क्या निहित है, तो आपको संभवतः इस पोस्टिंग की आवश्यकता नहीं होगी। या आप नहीं, तो बस पर पढ़ें।
बाहरी और स्थानीय रूप से फायरवॉल चलाना काउंटर-सहज और दोहरा काम लग सकता है। लेकिन यह बाहरी सभी पर नियमों की संभावना को भी मोड़ देता है, बिना अन्य सभी मेजबानों पर सुरक्षा से समझौता किए। जरूरत या तो डिबगिंग कारणों से उत्पन्न हो सकती है या क्योंकि किसी ने सिर्फ गड़बड़ कर दी है। एक अन्य उपयोग का मामला 'एडाप्टिव ग्लोबल फायरवॉलिंग' सेक्शन में आएगा, जिसके लिए आपको ग्लोबल और लोकल फायरवॉल दोनों की आवश्यकता होगी।
लागत और उपलब्धता और हर समय एक ही कहानी:
फायरवॉल एक उचित सुरक्षित प्रणाली का सिर्फ एक पहलू है। फ़ायरवॉल को स्थापित नहीं करना क्योंकि यह 'लागत' का पैसा है, एक SPOF का परिचय देता है या जो कुछ भी बकवास है, मेरे फ्रांसीसी को यहाँ क्षमा करें। बस एक क्लस्टर सेटअप करें। ओह, लेकिन क्या होगा अगर फायर सेल में एक आक्रोश है? फिर अपने क्लस्टर को दो या दो से अधिक फायर डिब्बों में स्थापित करें।
लेकिन क्या होगा अगर पूरा डेटासेंटर अगम्य है, क्योंकि दोनों बाहरी वाहक व्यवसाय से बाहर हैं (खुदाई करने वाले ने आपके फाइबर को मार दिया)? बस अपने क्लस्टर को कई डेटासेंटरों में फैलाएं, फिर।
वो तो महंगा है? क्लस्टर बहुत जटिल हैं? खैर, व्यामोह के लिए भुगतान किया जाना है।
बस SPOFs के बारे में रोना, लेकिन अधिक पैसे का भुगतान नहीं करना या थोड़ा और अधिक जटिल सेटअप बनाना दोहरे मानकों का स्पष्ट मामला है या कंपनी या ग्राहक पक्ष पर सिर्फ एक छोटा बटुआ है।
यह पैटर्न इन सभी चर्चाओं पर लागू होता है, चाहे वह सेवा दिन का वर्तमान मामला हो। कोई फर्क नहीं पड़ता कि यह एक वीपीएन गेटवे है, सिस्को एएसए सिर्फ फायरवॉलिंग के लिए उपयोग किया जाता है, एक MySQL या पोस्टग्रेक्यूएल डेटाबेस, एक वर्चुअल सिस्टम या सर्वर हार्डवेयर, एक स्टोरेज बैकेंड, स्विच / राउटर, ...
अब तक आप विचार प्राप्त करें।
फायरवॉल से क्यों परेशान?
सिद्धांत रूप में आपका तर्क ध्वनि है। (केवल चल रही सेवाओं का फायदा उठाया जा सकता है।)
लेकिन यह केवल आधा सच है। फ़ायरवॉल, विशेष रूप से स्टेटफुल फायरवॉलिंग आपके लिए बहुत कुछ कर सकती है। स्टेटलेस फायरवॉल्स केवल महत्वपूर्ण हैं यदि आप प्रदर्शन के मुद्दों का अनुभव करते हैं जैसे कि पहले से ही उल्लेख किया गया है।
आसान, केंद्रीय, असतत अभिगम नियंत्रण
आपने टीसीपी रैपर का उल्लेख किया है जो मूल रूप से आपके कार्य को सुरक्षित करने के लिए समान कार्यक्षमता को लागू करता है। तर्क के लिए, मान लें कि किसी को tcpdमाउस का उपयोग करना और पसंद नहीं है ? fwbuilderमन में आ सकता है।
अपने प्रबंधन नेटवर्क से पूरी पहुंच रखने के बाद आपको कुछ ऐसा करना चाहिए, जो आपके होस्ट आधारित फ़ायरवॉल के पहले उपयोग के मामलों में से कुछ है।
एक बहु-सर्वर सेटअप के बारे में कैसे, जहां डेटाबेस कहीं और चलता है और आप दोनों / सभी मशीनों को किसी भी कारण से साझा (निजी) सबनेट में नहीं डाल सकते हैं? केवल सरल, अन्य सर्वर के दिए गए IP पते के लिए पोर्ट 3306 पर MySQL के उपयोग की अनुमति देने के लिए फ़ायरवॉल का उपयोग करें, सरल।
और यह भी यूडीपी के लिए निर्दोष रूप से काम करता है। या जो भी प्रोटोकॉल हो। फायरवॉल इतना लचीला हो सकता है। ;)
पोर्ट्सकॉन शमन
इसके अलावा, फ़ायरवॉलिंग के साथ, सामान्य पोर्टस्कैन का पता लगाया जा सकता है और इसे कम किया जा सकता है क्योंकि प्रति बार कनेक्शन की मात्रा को कर्नेल और उसके नेटवर्किंग स्टैक के माध्यम से मॉनिटर किया जा सकता है, और फ़ायरवॉल उस पर कार्य कर सकता है।
इसके अलावा अमान्य या अस्पष्ट पैकेटों को कभी भी आपके आवेदन तक पहुंचने से पहले संभाला जा सकता है।
आउटबाउंड यातायात सीमित
आउटबाउंड ट्रैफ़िक को फ़िल्टर करना आमतौर पर गधे में दर्द होता है। लेकिन यह एक अनुबंध के आधार पर होना चाहिए।
आंकड़े
एक और बात जो एक फ़ायरवॉल आपको दे सकता है, वह है आँकड़े। ( watch -n1 -d iptables -vnxL INPUTपैकेट के माध्यम से आ रहे हैं, यह देखने के लिए ऊपर की तरफ विशेष आईपी पते के लिए कुछ नियम जोड़े जाने के साथ सोचें ।)
आप सादे दिन के उजाले में देख सकते हैं कि चीजें काम करती हैं या नहीं। जो कनेक्शनों का निवारण करते समय बहुत उपयोगी होता है और टेलीफोन पर दूसरे व्यक्ति को यह बताने में सक्षम होता है कि आपको पैकेट नहीं मिलते हैं, बिना चैटिंग का सहारा लिए tcpdump। नेटवर्किंग मजेदार है, ज्यादातर लोग अभी जानते हैं कि वे क्या कर रहे हैं, और सभी के लिए यह सिर्फ साधारण रूटिंग त्रुटियां हैं। नरक, यहां तक कि मैं हमेशा नहीं जानता कि मैं क्या कर रहा हूं। यद्यपि मैंने सचमुच दर्जनों जटिल प्रणालियों और उपकरणों के साथ काम किया है, अक्सर सुरंग के साथ, अब तक।
आईडीएस / आईपीएस
Layer7 फ़ायरवॉलिंग आमतौर पर साँप-तेल (IPS / IDS) है, यदि ठीक से उपस्थित नहीं है और नियमित रूप से अपडेट किया जाता है। इसके अलावा लाइसेंस महंगे हैं, इसलिए यदि आपको कोई वास्तविक ज़रूरत नहीं है तो आपको हर चीज़ खरीदने के लिए कोई ज़रूरत नहीं है।
Masqerading
आसान, बस अपने रैपर के साथ यह कोशिश करें। : डी
स्थानीय बंदरगाह अग्रेषण
मसलन देखें।
गतिशील आईपी पते के साथ पासवर्ड एक्सेस चैनल सुरक्षित करना
अगर ग्राहकों के पास गतिशील आईपी पते हैं और वीपीएन सेटअप नहीं है तो क्या होगा? या फ़ायरवॉलिंग के लिए अन्य गतिशील दृष्टिकोण? यह पहले से ही प्रश्न में संकेत दिया गया है, और यहाँ दुर्भाग्य के लिए एक उपयोग मामला आएगा , मैं ऐसा करने वाले किसी भी फ़ायरवॉल को नहीं ढूंढ सकता। अंश।
एक पासवर्ड के माध्यम से रूट अकाउंट एक्सेस को अक्षम करना एक आवश्यक है। भले ही एक्सेस कुछ आईपी पते तक सीमित हो।
इसके अलावा, अगर कोई ssh कुंजी खो जाती है या तैनाती विफल हो जाती है, तब भी एक अन्य रिक्त खाता पासवर्ड लॉगिन के साथ तैयार होता है यदि कुछ वास्तव में गलत हो जाता है (उपयोगकर्ता के पास मशीन तक प्रशासनिक पहुंच है और 'चीजें हुईं?')। यह नेटवर्क एक्सेस के लिए समान विचार है क्योंकि यह लिनक्स पर एकल-उपयोगकर्ता मोड है या स्थानीय उपयोग के init=/bin/bashमाध्यम से grubवास्तव में खराब है और जो भी कारण के लिए एक लाइव डिस्क का उपयोग नहीं कर सकता है। हँसो मत, वहाँ वर्चुअलाइजेशन उत्पादों को प्रतिबंधित कर रहे हैं। यहां तक कि अगर कार्यक्षमता मौजूद है, तो क्या होगा यदि एक पुराना सॉफ्टवेयर संस्करण चलाने के लिए कार्यक्षमता की कमी है?
वैसे भी, भले ही आप अपने एसश डेमन को कुछ गूढ़ बंदरगाह पर चलाते हैं और 22 पर नहीं, अगर बंदरगाह दस्तक जैसी चीजों को लागू नहीं किया जाता है (यहां तक कि एक और बंदरगाह को खोलने के लिए और इस तरह से पोर्ट्सकैंस को कम करने, धीरे-धीरे बहुत अव्यवहारिक होने पर सीमाबद्ध), पोर्ट स्कैन आपके पता लगाएगा अंततः सेवा।
आमतौर पर आप दक्षता के कारणों के लिए समान पोर्ट और सेवाओं के साथ एक ही कॉन्फ़िगरेशन वाले सभी सर्वर भी सेट करते हैं। आप हर मशीन पर एक अलग पोर्ट पर ssh सेट नहीं कर सकते। इसके अलावा, जब आप इसे 'सार्वजनिक' जानकारी मानते हैं, तो आप इसे सभी मशीनों पर नहीं बदल सकते, क्योंकि यह स्कैन के बाद पहले से ही है। nmapआपके निपटान में हैक किए गए वाई-फाई कनेक्शन होने पर कानूनी होने या न होने का सवाल कोई मुद्दा नहीं है।
यदि इस खाते का नाम 'रूट' नहीं है, तो लोग आपके 'पिछले दरवाजे' के उपयोगकर्ता खाते के नाम का अनुमान लगाने में सक्षम नहीं हो सकते हैं। लेकिन उन्हें पता चल जाएगा, अगर उन्हें आपकी कंपनी का कोई दूसरा सर्वर मिलता है, या सिर्फ कुछ वेपन्स खरीदते हैं, और उन पर अनचाहे / अनजेंड / अनकंटेक्टेड लुक है /etc/passwd।
विशुद्ध रूप से सैद्धांतिक चित्रण के लिए, वे आपके सर्वर तक पहुंच प्राप्त करने के लिए एक हैक करने योग्य वेबसाइट का उपयोग कर सकते हैं और यह देख सकते हैं कि आमतौर पर चीजें आपके स्थान पर कैसे चलती हैं। आपके हैक खोज उपकरण 24/7 नहीं चल सकते हैं (आमतौर पर वे रात में फाइल सिस्टम स्कैन के डिस्क प्रदर्शन कारणों के लिए करते हैं?) और आपके वायरस स्कैनर अपडेट नहीं किए जाते हैं दूसरा नया शून्य-दिन दिन के प्रकाश को देखता है, इसलिए यह होगा एक बार में इन घटनाओं का पता न लगाएं, और अन्य सुरक्षा उपायों के बिना आप कभी भी यह नहीं जान सकते कि क्या हुआ। वास्तविकता में वापस आने के लिए, यदि किसी के पास शून्य-दिन के कारनामों तक पहुंच है, तो यह बहुत संभावना है कि वह आपके सर्वर को वैसे भी लक्षित नहीं करेगा क्योंकि ये महंगे हैं। यह सिर्फ यह बताने के लिए है कि 'जरूरत' पैदा होने पर एक प्रणाली में हमेशा एक रास्ता होता है।
लेकिन विषय पर फिर से, बस एक अतिरिक्त पासवर्ड वाले खाते का उपयोग न करें, और परेशान न करें? कृपया पर पढ़ें।
यहां तक कि अगर हमलावर इस अतिरिक्त खाते का नाम और पोर्ट प्राप्त करने के लिए, एक fail2ban+ iptablesसंयोजन उन्हें छोटा कर देगा, भले ही आपने केवल आठ-अक्षर पासवर्ड का उपयोग किया हो। प्लस फ़ेल 2बन को अन्य सेवाओं के लिए भी लागू किया जा सकता है, निगरानी क्षितिज को चौड़ा करने के लिए भी!
अपनी स्वयं की सेवाओं के लिए, यदि कभी आवश्यकता हुई तो: मूल रूप से किसी फ़ाइल में विफल होने वाली प्रत्येक सेवा लॉगिंग विफल हो सकती है एक फ़ाइल प्रदान करने के माध्यम से सहायता, क्या मेल खाता है और कितनी विफलताओं की अनुमति है, और फ़ायरवॉल सिर्फ हर आईपी पते को खुशी से बताएगा को बताया गया है।
मैं 8-अंकीय पासवर्ड का उपयोग करने के लिए नहीं कह रहा हूँ! लेकिन अगर उन्हें पांच गलत पासवर्ड के लिए 24 घंटे के लिए प्रतिबंधित कर दिया जाता है, तो आप अनुमान लगा सकते हैं कि अगर उन्हें ऐसी घटिया सुरक्षा के साथ भी उनके निपटान में बॉटनेट नहीं है तो उन्हें कितनी देर तक कोशिश करनी होगी। और आप चकित होंगे कि ग्राहक किन पासवर्डों का उपयोग करते हैं, न कि केवल इसके लिए ssh। Plesk के माध्यम से लोगों के मेल पासवर्डों पर एक नज़र रखने से आपको वह सब कुछ पता चलता है जो आप जानना चाहते हैं, अगर आप कभी भी ऐसा करना चाहते हैं, लेकिन मैं यहाँ क्या करने की कोशिश नहीं कर रहा हूँ। :)
अनुकूली वैश्विक फ़ायरवॉलिंग
fail2banकेवल एक एप्लिकेशन है, जो की तर्ज पर कुछ का उपयोग करता है iptables -I <chain_name> 1 -s <IP> -j DROP, लेकिन आप आसानी से अपने सामान को कुछ बैश जादू के साथ काफी तेजी से बना सकते हैं।
इस तरह से कुछ और विस्तार करने के लिए, एक अतिरिक्त सर्वर पर आपके नेटवर्क के सभी सर्वरों से सभी विफल 2 आईबनों के आईपी पते को एकत्रित करें, जो सभी सूचियों को क्यूरेट करता है और आपके कोर फ़ायरवॉल को बदले में आपके नेटवर्क के किनारे पर पहले से ही सभी ट्रैफ़िक को अवरुद्ध करता है।
इस तरह की कार्यक्षमता को बेचा नहीं जा सकता (बेशक यह हो सकता है, लेकिन यह सिर्फ एक भंगुर प्रणाली होगी और चूसना होगा), लेकिन आपके बुनियादी ढांचे में हस्तक्षेप करना होगा।
इस पर, आप अन्य स्रोतों से काली सूची या पते का काली सूची में उपयोग कर सकते हैं, यह अपने आप से या बाहरी लोगों द्वारा एकत्र किया जा सकता है।