یکی از الزاماتی که در استاندارهای امنیتی مطرح شده است . استفاده از فایروال های نرم افزاری و سخت افزاری می باشد که به جهت جلوگیری از حملات تکذیب سرویس و یا اعطای دسترسی بر اساس آی پی مورد استفاده قرار می گیرند.
در سرورهای لینوکسی فایروال های متنوعی وجود دارد و می توان از بهترین فایروال های لینوکسی فایروال iptables را نام برد که به دلیل نداشتن محیط گرافیکی ممکن است زیاد مورد استقبال کاربران قرار نگیرد.به همین دلیل شرکت های مختلف در صدد تولید فایروال های با محیط GUI برای لینوکس نموده اند که می توان از CSF به عنوان یکی از بهترین محصولات و فایروال های لینوکسی نام برد .
فایروال CSF محصول شرکت configserver می باشد که براساس دستورات iptables مدیریت فایروال را انجام می دهد و به صورت رایگان و با محیطی کاربر پسند ارایه شده است.
برای نصب این فایروال در سرور های لینوکسی مراحل زیررا انجام می دهیم.
۱- دانلود بسته فایروال در لینوکس با دستور زیر .
۲- استخراج فایل های مربوطه از فایل فشرده :
#tar zxvf csf.tgz
۳- در مرحله سوم وارد شاخه استخراج شده می شویم.
#cd csf
۴- در این مرحله پروسه نصب آغاز می گردد . که برای نصب فایروال در کنترل پنل های مختلف فایل های مجزایی در فایروال وجود دارد تا پروسه نصب برای کنترل پنل های مختلف را تسریع نماید .
به جهت نصب فایروال در کنترل پنل cPanel دستور زیر را اجرا نمایید
در صورتی که می خواهید نصب بر روی کنترل پنل دایرکت ادمین انجام شود. دستور زیر را واردنمایید.
#./install,directadmin.sh
و در صورتی که از کنترل پنل خاصی در سرور لینوکس خود استفاده نمی کنید دستور زیر را وارد نمایید . از دستور ./install.sh استفاده نمایید
پس از نصب باید از صحت عملکردفایروال در سرور مطلع شوید. زیرا فایروال برای اینکه بدرستی کار کند نیاز به برخی از ماژول ها در هسته مرکزی لینوکس دارد که برای تست این موضوع می توانید دستور زیر را اجرا نمایید.
# perl /etc/csf/csftest.pl
Testing ip_tables/iptable_filter…OK
Testing ipt_LOG…OK
Testing ipt_multiport/xt_multiport…OK
Testing ipt_REJECT…OK
Testing ipt_state/xt_state…OK
Testing ipt_limit/xt_limit…OK
Testing ipt_recent…OK
Testing ipt_owner…OK
Testing iptable_nat/ipt_REDIRECT…OK
RESULT: csf should function on this server
Looks 100% OK.
در صورتی که تمامی موارد ok بود و پیغام csf should function on this server مشاهده شد .به منزله درست کارکردن فایروال می باشد.
پس از نصب فایروال نیاز به اعمال تغییراتی دارد که موارد مورد نیاز برای تغییرات به شرح ذیل می باشد.
در صورتی که بخواهید هر تغییری را در پیکربندی فایروال انجام دهید . فایل اصلی پیکربندی فایروال فایل csf.conf می باشد که به صورت پیش فرض در مسیر /etc/csf/csf.conf می باشد .
فایل مربوطه را بازگشایی می کنم و تغییرات زیر را در آن اعمال می کنیم.
#nano /etc/csf/csf.conf
TESTING = “0″
TESTING = “0″
پارامتر testing را از ۱ به صفر تغییر می دهیم تافایروال فعال شود. زیرا در حالتی که فایروال در حالت test قرار دارد . پیکریندی های انجام شده در فایروال اعمال نمی گردد و عملا استفاده از فایروال بی معنی می گردد.
مقدار TCP_IN :که پورت های مجاز سرور جهت اتصال از خارج از سرور را مشخص می کند دقت کنید که همیشه پورت SSH را در ابتدا در فایروال اعمال نمایید.
به عنوان مثال :
TCP_IN = “20,21,22,25,53,80,110,143,443,465,587,993,995″
TCP_IN = “20,21,22,25,53,80,110,143,443,465,587,993,995″
که پورت SSH پورت ۲۲ می باشد.
مقدار TCP_OUT : که پورت های مجاز سرور جهت اتصال از سرور به خارج از سرور را مشخص می کند دقت کنید که همیشه پورت SSH را در ابتدا در فایروال اعمال نمایید.
به عنوان مثال :
به عنوان مثال :
TCP_OUT = “20,21,22,25,53,80,110,113,443″
مقدار UDP_IN : نوع اتصال UDP از خارج از سرور به داخل سرور را مشخص می کند که در صورتی که شما بر روی سرور وب سایتی را میزبانی میکنید .پورت ۵۳ از نوع udp را در فایروال اضافه نمایید.
به عنوان مثال :
UDP_OUT = “20,21,53,113,123,33434:33523″
UDP_OUT = “20,21,53,113,123,33434:33523″
پارامتر SYNFLOOD باعث جلوگیری از حملات DDOS از نوع synflood میگردد.که در صورتی که پیشنهاد می گردد این مقدار برابر با ۱ باشد و در سرور فعال گردد که برای فعال سازی مقادیر زیر را در آن قرار دهید.
SYNFLOOD = “1″
SYNFLOOD_RATE = “100/s”
SYNFLOOD_BURST = “150″
SYNFLOOD_RATE = “100/s”
SYNFLOOD_BURST = “150″
در پارامتر SYNFLOOD_RATE : سرعت دریافت پکت ها از یک آی پی بررسی می گردد که در حال تنظیم شده در ثانیه حداکثر ۱۰۰ پکت دریافت می گردد.
در پارامتر SYNFLOOD_BURST : تعداد کانکشن های هر آی پی مشخص می گردد و در صورتی که تعداد کانکشن ها بیشتر از ۱۵۰ شود و یا ۱۵۰ کانکشن در ۱ ثانیه بیشتر از ۱۰۰ بسته ارسال کنند . آی پی مربوطه مسدود می گردد.
پارامتر PORTFLOOD : در این قسمت می توانیم نوع پروتکل و پورت به همراه تعداد کانکشن در بازه زمانی مد نظر را مشخص نماییم تا جلوی حملات سیل آسا بر علیه سرور در یک پورت خاص گرفته شود.
PORTFLOOD = “80;tcp;20;300″
که در مثال ذکر شده اگر از یک آی پی در مدت ۳۰۰ ثانیه بیشتر از تعداد ۲۰ کانکشن به سمت پورت ۸۰ ارسال شود. آی پی در فایروال مسدود می گردد.
پارامتر CT_LIMIT : مجموع تعداد کانکشن یک آی پی را مشخص می کند که در مثال زیر این مقدار برابر با ۳۰۰ است .
CT_LIMIT = "300"
پارامتر CT_INTERVAL : بازه زمانی بررسی تعدادکانکشن ها را مشخص می کند که در این حالت فایروال بر اساس مثال زیر هر ۳۰ ثانیه اقدام به بررسی تعداد کانکشن ها می نماید.
CT_INTERVAL = "30"
پارامتر CT_EMAIL_ALERT : با فعال سازی این پارامتر در صورت مسدود نمودن آی پی ایمیل برای ایمیل تنظیم شده در فایروال ارسال می گردد.
CT_EMAIL_ALERT = 1
پارامتر CT_PERMANENT : با فعال سازی این مقدار آی پی ها بصورت موقت مسدود می گردند . و به صورت پیش فرض این پارامتر غیرفعال می باشد و توصیه می گردد که این مقدار غیرفعال باشد.
در صورت فعال نمودن این پارامتر شما باید زمانی نیز برای بازگشایی آی پی که به صورت موقت غیرفعال شده است . در نظر بگیرید که به عنوان مثال در زیر این مقدار برابر با ۱۸۰۰ ثانیه تنظیم شده است و پس از این مدت آی پی که مسدود گردیده است . بازگشایی می گردد.
CT_BLOCK_TIME = 1800
پارامتر CT_PORTS : در صورتی که می خواهید پورت و یا پورتهای خاصی عملیات connection_tracking انجام شود این مفدار را تنظیم نمایید که در مثال زیر پورت ۸۰ و ۴۴۳ تنظیم شده است.
CT_PORTS = 80,443
پارامتر CONNLIMIT : در صورتی که میخواهید بر روی پورت مشخصی تعداد کانکشن معینی را محدود نمایید از این پارامتر استفاده نمایید.جهت اعمال موضوع توضیحات مثال زیر را مطالعه نمایید.
CONNLIMIT = “22;5,80;20″
ذر این حالت بر روی پورت ۲۲ حداکثر تعداد ۵ کانکشن و بر روی پورت ۸۰ تعداد ۲۰ کانکشن محدود می گردد.
پارامتر LF_SCRIPT_ALERT : با فعال سازی این مقدار در صورتی که از طریق اسکریپتی ایمیل ارسال شود و تعداد ایمیل های ارسالی بیشتر از حد مجاز تعیین شده باشد . به شما از طریق ایمیل اطلاع رسانی می گرذد که تعداد این ایمیل های مجاز در مدت زمان یک ساعت توسط پارامتر LF_SCRIPT_LIMIT مشخص می گردد. که هر دو در مثال زیر مشخص شده است.
LF_SCRIPT_ALERT = 1
LF_SCRIPT_LIMIT = 100
LF_SCRIPT_LIMIT = 100
که در مثال بالا در صورتی که اسکریپتی بیشتر از ۱۰۰ ایمیل در ۱ ساعت ارسال نماید به شما از طریق ایمیل اطلاع رسانی می گردد.
در صورتی که می خواهید گزارش های فایروال در ایمیل خاصی بدست شما برسد پارامتر های زیر را تنظیم نمایید
در مثال ذکر شده ایمیل های مربوطه به ایمیل Rahimian@SecureHost.ir ارسال می گردد و ایمیل ها در ایمیل مقصد از طرف server.securehost.ir ارسال می گردد.