โดยทั่วไปแล้วการรักษาความปลอดภัยเป็นเรื่องหอมหัวใหญ่อย่างที่ได้กล่าวไปแล้ว มีเหตุผลไฟร์วอลล์อยู่และไม่ใช่แค่ส่วนอื่น ๆ ทั้งหมดที่เป็นปัญญาอ่อนโง่
คำตอบนี้มาเนื่องจากการค้นหา 'fail2ban' ในหน้านี้ไม่ได้ให้ผลลัพธ์ใด ๆ แก่ฉัน ดังนั้นถ้าฉันเพิ่มเนื้อหาเป็นสองเท่าให้อดทนกับฉัน และขอโทษด้วยถ้าฉันคุยโวเล็กน้อยฉันจะให้ประสบการณ์ที่เรียบง่ายเพราะอาจเป็นประโยชน์กับคนอื่น :)
ข้อควรพิจารณาเกี่ยวกับระบบเครือข่ายท้องถิ่นและภายนอก
นี่เป็นลินุกซ์ที่เฉพาะเจาะจงและมุ่งเน้นไปที่ไฟร์วอลล์ที่ใช้โฮสต์ซึ่งมักจะเป็นกรณีการใช้งาน ไฟร์วอลภายนอกเข้ากันพร้อมกับโครงสร้างเครือข่ายที่เหมาะสมและข้อควรพิจารณาด้านความปลอดภัยอื่น ๆ ไม่ว่าคุณจะรู้ว่าสิ่งใดที่บอกเป็นนัยถึงที่นี่คุณอาจไม่ต้องการโพสต์นี้ มิฉะนั้นคุณก็อ่านต่อไป
การเรียกใช้ไฟร์วอลล์ภายนอกและในพื้นที่อาจดูเหมือนทำงานง่ายและทำงานซ้ำได้ แต่สิ่งนี้ยังทำให้เกิดความเป็นไปได้ของกฎในกฎภายนอกโดยไม่กระทบต่อความปลอดภัยของโฮสต์อื่น ๆ ที่อยู่เบื้องหลัง ความต้องการอาจเกิดขึ้นจากเหตุผลในการดีบั๊กหรือเพราะใครบางคนเพิ่งจะยอมแพ้ อีกกรณีการใช้งานจะลงมาที่นี่ในส่วน 'ไฟร์วอลล์ทั่วโลกแบบปรับตัวได้' ซึ่งคุณจะต้องใช้ไฟร์วอลล์ทั้งในระดับโลกและในระดับท้องถิ่น
ค่าใช้จ่ายและความพร้อมและเรื่องราวเดียวกันตลอดเวลา:
ไฟร์วอลล์เป็นเพียงส่วนหนึ่งของระบบความปลอดภัยที่เหมาะสม ไม่ได้ติดตั้งไฟร์วอลล์เพราะเป็นเงิน 'ค่าใช้จ่าย' แนะนำ SPOF หรืออะไรก็ตามที่เป็นแค่เรื่องเหลวไหลให้อภัยภาษาฝรั่งเศสของฉันที่นี่ เพียงแค่ติดตั้งคลัสเตอร์ โอ้ แต่เกิดอะไรขึ้นถ้าเซลล์ไฟมีไฟดับ? จากนั้นตั้งค่าคลัสเตอร์ของคุณโดยการแบ่งช่องไฟสองช่องขึ้นไป
แต่ถ้าศูนย์ข้อมูลทั้งหมดไม่สามารถเข้าถึงได้เนื่องจากผู้ให้บริการภายนอกทั้งสองอยู่นอกธุรกิจ (เครื่องขุดทำลายไฟเบอร์ของคุณ) เพียงทำให้คลัสเตอร์ของคุณครอบคลุมดาต้าเซ็นเตอร์หลายแห่ง
นั่นแพงไหม กลุ่มซับซ้อนเกินไปหรือไม่ ต้องจ่ายค่าความหวาดระแวงด้วย
เพียงแค่คร่ำครวญเกี่ยวกับ SPOF แต่ไม่ต้องการจ่ายเงินมากขึ้นหรือสร้างการตั้งค่าที่ซับซ้อนขึ้นเล็กน้อยเป็นกรณีที่ชัดเจนของมาตรฐานสองเท่าหรือเพียงแค่กระเป๋าเงินขนาดเล็กใน บริษัท หรือลูกค้า
รูปแบบนี้ใช้กับการสนทนาทั้งหมดนี้ไม่ว่าการบริการใดเป็นเรื่องปัจจุบันของวัน ไม่ว่าจะเป็นเกตเวย์ VPN, Cisco ASA ใช้สำหรับไฟร์วอลล์, ฐานข้อมูล MySQL หรือ PostgreSQL, ระบบเสมือนหรือฮาร์ดแวร์เซิร์ฟเวอร์, พื้นที่เก็บข้อมูลส่วนหลัง, สวิตช์ / เราเตอร์, ...
โดยตอนนี้คุณควรจะได้รับความคิด
ทำไมต้องกังวลกับไฟร์วอลล์?
ในทางทฤษฎีเหตุผลของคุณคือเสียง (สามารถใช้ประโยชน์จากบริการที่เรียกใช้เท่านั้น)
แต่นี่เป็นความจริงเพียงครึ่งเดียว การทำไฟร์วอลล์โดยเฉพาะอย่างยิ่งการกำหนดสถานะไฟร์วอลล์สามารถทำสิ่งต่างๆให้คุณได้มากกว่า ไฟร์วอลล์ไร้สัญชาตินั้นมีความสำคัญหากคุณประสบปัญหาเรื่องประสิทธิภาพเช่นเดียวกับที่คนอื่น ๆ พูดถึงแล้ว
ควบคุมการเข้าถึงได้ง่ายกลางและไม่ต่อเนื่อง
คุณพูดถึง TCP wrappers ซึ่งใช้งานฟังก์ชั่นเดียวกันในการรักษาความปลอดภัยของคุณ เพื่อเหตุผลของการโต้แย้งสมมติว่ามีคนไม่รู้จักtcpdและชอบใช้เมาส์? fwbuilderอาจเข้ามาในใจ
การเข้าถึงแบบเต็มรูปแบบจากเครือข่ายการจัดการของคุณเป็นสิ่งที่คุณควรเปิดใช้งานซึ่งเป็นกรณีการใช้งานครั้งแรกของไฟร์วอลล์ที่ใช้โฮสต์ของคุณ
วิธีการเกี่ยวกับการตั้งค่าเซิร์ฟเวอร์หลายที่ฐานข้อมูลทำงานที่อื่นและคุณไม่สามารถใส่ทั้ง / เครื่องทั้งหมดในเครือข่ายย่อย (ส่วนตัว) ที่ใช้ร่วมกันด้วยเหตุผลใด? ใช้ไฟร์วอลล์เพื่ออนุญาตให้เข้าถึง MySQL บนพอร์ต 3306 เท่านั้นสำหรับที่อยู่ IP ที่กำหนดของเซิร์ฟเวอร์อื่นทำได้ง่าย
และยังใช้งานได้อย่างไม่มีที่ติสำหรับ UDP หรือโปรโตคอลอะไรก็ได้ ไฟร์วอลล์สามารถยืดหยุ่นได้ ;)
บรรเทาพอร์ต
นอกจากนี้ด้วยการไฟร์วอลล์ไฟร์วอลล์สามารถสแกนและลดขนาดพอร์ตทั่วไปได้เนื่องจากจำนวนการเชื่อมต่อต่อครั้งที่สามารถตรวจสอบได้ผ่านเคอร์เนลและเครือข่ายสแต็กและไฟร์วอลล์สามารถทำหน้าที่นั้นได้
นอกจากนี้ยังสามารถจัดการแพ็คเก็ตที่ไม่ถูกต้องหรือคลุมเครือก่อนที่จะถึงแอพพลิเคชันของคุณ
การ จำกัด การรับส่งข้อมูลขาออก
การกรองทราฟฟิกขาออกมักเป็นความเจ็บปวดในตูด แต่มันอาจจะต้องขึ้นอยู่กับสัญญา
สถิติ
อีกสิ่งหนึ่งที่ไฟร์วอลล์สามารถมอบให้คุณได้คือสถิติ (คิดว่าwatch -n1 -d iptables -vnxL INPUTต้องเพิ่มกฎบางอย่างสำหรับที่อยู่ IP พิเศษด้านบนเพื่อดูว่าแพ็คเก็ตกำลังจะผ่านมาหรือไม่)
คุณสามารถเห็นได้ในเวลากลางวันถ้าสิ่งต่าง ๆ ทำงานหรือพวกเขาไม่ได้ ซึ่งจะเป็นประโยชน์อย่างมากเมื่อการแก้ไขปัญหาการเชื่อมต่อและความสามารถในการที่จะบอกคนอื่น ๆ บนโทรศัพท์ที่คุณไม่ได้รับแพ็คเก็ตโดยไม่ต้องหันไปช่างพูดtcpdump's ระบบเครือข่ายเป็นเรื่องสนุกคนส่วนใหญ่เพิ่งรู้ว่าพวกเขากำลังทำอะไรและบ่อยครั้งที่มันเป็นเพียงข้อผิดพลาดในการเราต์ที่ง่าย แม้ฉันจะไม่รู้ว่าฉันกำลังทำอะไรอยู่ แม้ว่าฉันจะได้ทำงานกับระบบและเครื่องใช้ที่ซับซ้อนหลายสิบตัว แต่บ่อยครั้งที่มีการขุดอุโมงค์ด้วยเช่นกันตอนนี้
IDS / IPS
ไฟร์วอลล์แบบ Layer7 มักจะเป็นงูน้ำมัน (IPS / IDS) หากไม่ได้เข้าร่วมอย่างถูกต้องและอัพเดตเป็นประจำ นอกจากนี้ใบอนุญาตยังมีราคาแพงมากฉันเลยขอซื้อถ้าคุณไม่มีความต้องการที่จะรับเงินทุกอย่างสามารถซื้อให้คุณได้
Masqerading
ง่ายเพียงแค่ลองใช้สิ่งห่อหุ้มของคุณ : D
การส่งต่อพอร์ตท้องถิ่น
ดูการปลอมตัว
การรักษาความปลอดภัยช่องทางการเข้าถึงรหัสผ่านด้วยที่อยู่ IP แบบไดนามิก
จะเป็นอย่างไรถ้าลูกค้ามีที่อยู่ IP แบบไดนามิกและไม่มีการตั้งค่า VPN ที่ปรับใช้ หรือวิธีการแบบไดนามิกอื่น ๆ เพื่อไฟร์วอลล์? นี่เป็นคำใบ้ในคำถามแล้วและนี่จะเป็นกรณีการใช้งานสำหรับขออภัยฉันไม่พบไฟร์วอลล์ที่ทำเช่นนั้น ส่วนหนึ่ง
จำเป็นต้องปิดการใช้งานบัญชีรูทด้วยรหัสผ่าน แม้ว่าการเข้าถึงจะ จำกัด เฉพาะที่อยู่ IP บางแห่ง
นอกจากนี้ยังมีบัญชี blanko อีกบัญชีพร้อมรหัสผ่านหากคีย์ ssh สูญหายหรือการปรับใช้ล้มเหลวมีประโยชน์มากถ้ามีบางอย่างผิดปกติ (ผู้ใช้มีสิทธิ์การเข้าถึงของผู้ดูแลระบบและ 'สิ่งที่เกิดขึ้น') มันเป็นแนวคิดเดียวกันสำหรับการเข้าถึงเครือข่ายเนื่องจากมันมีโหมดผู้ใช้คนเดียวบน Linux หรือการใช้งานinit=/bin/bashผ่านgrubการเข้าถึงในท้องถิ่นนั้นแย่มากจริงๆและไม่สามารถใช้ดิสก์สดได้ไม่ว่าด้วยเหตุผลใด อย่าหัวเราะมีผลิตภัณฑ์เวอร์ชวลไลเซชันห้ามมิให้ แม้ว่าจะมีฟังก์ชั่นอยู่แล้วจะเกิดอะไรขึ้นถ้าซอฟต์แวร์รุ่นที่ล้าสมัยนั้นขาดฟังก์ชั่น
อย่างไรก็ตามแม้ว่าคุณจะเรียกใช้ ssh daemon ของคุณในพอร์ตลึกลับบางอย่างและไม่ใช่ในวันที่ 22 หากไม่ได้ใช้งานสิ่งต่าง ๆ เช่นการเคาะพอร์ต (เพื่อเปิดพอร์ตอื่นและทำให้พอร์ตสแกนลดลงอย่างช้าๆ บริการในที่สุด
โดยปกติคุณจะตั้งค่าเซิร์ฟเวอร์ทั้งหมดด้วยการกำหนดค่าเดียวกันด้วยพอร์ตและบริการเดียวกันด้วยเหตุผลด้านประสิทธิภาพ คุณไม่สามารถตั้งค่า ssh ไปยังพอร์ตอื่นในทุกเครื่อง นอกจากนี้คุณไม่สามารถเปลี่ยนได้ในทุกเครื่องทุกครั้งที่คุณพิจารณาว่าเป็นข้อมูล 'สาธารณะ' เพราะมันเกิดขึ้นหลังจากการสแกนแล้ว คำถามของnmapการถูกกฎหมายหรือไม่ไม่ใช่ปัญหาเมื่อมีการเชื่อมต่อ Wi-Fi ที่ถูกแฮ็ก
หากบัญชีนี้ไม่ได้ชื่อว่า 'รูท' คนอาจไม่สามารถเดาชื่อบัญชีผู้ใช้ของ 'แบ็คดอร์' ของคุณได้ แต่พวกเขาจะรู้ว่าหากพวกเขาได้รับเซิร์ฟเวอร์อื่นจาก บริษัท ของคุณหรือเพียงแค่ซื้อพื้นที่เว็บและมีการดูที่/etc/passwdไม่ได้รับการยืนยัน
สำหรับภาพประกอบเชิงทฤษฎีในตอนนี้พวกเขาสามารถใช้เว็บไซต์ที่แฮ็กได้ที่นั่นเพื่อเข้าถึงเซิร์ฟเวอร์ของคุณและค้นหาว่าสิ่งต่าง ๆ มักจะทำงานอยู่ที่สถานที่ของคุณ เครื่องมือค้นหาที่สับของคุณอาจไม่ทำงาน 24/7 (ปกติที่พวกเขาทำในเวลากลางคืนเพื่อเหตุผลด้านประสิทธิภาพในการสแกนดิสก์ระบบแฟ้ม?) และสแกนไวรัสของคุณไม่ได้อัปเดตที่สองใหม่ศูนย์วันเห็นแสงของวันจึงจะ ไม่พบสิ่งเหล่านี้ในทันทีและหากไม่มีมาตรการป้องกันอื่น ๆ คุณอาจไม่เคยรู้เลยว่าเกิดอะไรขึ้น เพื่อกลับสู่ความเป็นจริงถ้ามีคนเข้าถึงการหาประโยชน์แบบ zero-day มันเป็นไปได้มากที่เขาจะไม่กำหนดเป้าหมายเซิร์ฟเวอร์ของคุณเพราะสิ่งเหล่านี้มีราคาแพง นี่เป็นเพียงภาพประกอบเพื่ออธิบายว่ามีวิธีเข้าสู่ระบบเสมอหากความต้องการเกิดขึ้น
แต่ในหัวข้ออีกครั้งอย่าเพิ่งใช้บัญชีรหัสผ่านพิเศษและไม่ต้องกังวล โปรดอ่านต่อไป
แม้ว่าผู้โจมตีจะได้รับชื่อและพอร์ตของบัญชีพิเศษนี้การรวมกันfail2ban+ iptablesจะหยุดพวกเขาสั้น ๆ แม้ว่าคุณจะใช้รหัสผ่านแปดตัวอักษรเท่านั้น นอกจากนี้ fail2ban ยังสามารถนำไปใช้กับบริการอื่น ๆ ได้เช่นกันขยายขอบเขตการตรวจสอบ!
สำหรับบริการของคุณเองหากจำเป็นต้องเกิดขึ้น: โดยทั่วไปการบันทึกการบริการล้มเหลวไปยังไฟล์สามารถรับการสนับสนุน fail2ban ผ่านการให้บริการไฟล์ regex ที่จะจับคู่และจำนวนความล้มเหลวที่ได้รับอนุญาตและไฟร์วอลล์จะระงับทุกที่อยู่ IP จะบอกให้
ฉันไม่ได้บอกให้ใช้รหัสผ่าน 8 หลัก! แต่ถ้าพวกเขาถูกแบนเป็นเวลา 24 ชั่วโมงสำหรับรหัสผ่านที่ผิดพลาดห้าครั้งคุณสามารถเดาได้ว่าจะต้องใช้รหัสผ่านนานแค่ไหนหากพวกเขาไม่มีบอทเน็ตในการกำจัดแม้ว่าจะมีความปลอดภัยกับหมัด และคุณต้องการจะประหลาดใจในสิ่งที่รหัสผ่านที่ลูกค้ามักจะใช้ไม่เพียง sshแต่สำหรับ การได้ดูรหัสผ่านอีเมลของผู้คนผ่านPleskจะบอกทุกสิ่งที่คุณไม่อยากรู้ถ้าคุณเคยทำ แต่สิ่งที่ฉันไม่ได้พยายามบอกเป็นนัยถึงที่นี่ :)
การปรับเปลี่ยนไฟร์วอลล์ทั่วโลก
fail2banเป็นเพียงแอปพลิเคชั่นเดียวที่ใช้บางสิ่งบางอย่างตามแนวของiptables -I <chain_name> 1 -s <IP> -j DROPแต่คุณสามารถสร้างสิ่งต่าง ๆ ด้วยตัวเองด้วยเวทมนตร์ Bash บางอย่างรวดเร็ว
หากต้องการขยายบางสิ่งเช่นนี้เพิ่มเติมให้รวมที่อยู่ IP fail2ban ทั้งหมดจากเซิร์ฟเวอร์ภายในเครือข่ายของคุณบนเซิร์ฟเวอร์เพิ่มเติมซึ่งทำหน้าที่รวบรวมรายการทั้งหมดและส่งต่อไปยังไฟร์วอลล์หลักของคุณซึ่งปิดกั้นการรับส่งข้อมูลทั้งหมดที่อยู่บนเครือข่ายของคุณ
ฟังก์ชั่นดังกล่าวไม่สามารถขายได้ (แน่นอนว่ามันสามารถทำได้ แต่มันจะเป็นระบบที่เปราะบางและดูดได้) แต่จะต้องถูกผสมผสานเข้ากับโครงสร้างพื้นฐานของคุณ
ในขณะนั้นคุณยังสามารถใช้ที่อยู่ IP ของบัญชีดำหรือรายการจากแหล่งอื่นไม่ว่าจะเป็นการรวบรวมโดยตัวคุณเองหรือจากภายนอก