مخاطرات و راهکارهای برقراری امنیت در مراکز تلفن متن باز (قسمت سوم)

comments0 نظر views بازدید
5 از 5
از 1 رای
(رای دهید)

راهنمای پیکربندی دیوار آتش الستیکس(Firewall Rules)

همانطور که در مقاله پیشین گفته شد،الستیکس یکی از بهترین پوسته های IP Tables لینوکس را دارد.بنابراین در این آموزش ما با یک محیط کاربرپسند و بسیار ساده کار خواهیم کرد.در این آموزش شما با نحوه پیکربندی فایروال الستیکس ورژن 4 آشنا خواهید شد.

نکته:نحوه پیکربندی در تمام ورژن های الستیکس همانند هم هستند.

ابتدا وارد واسط کاربری الستیکس شوید و در تب Security گزینه Firewall را انتخاب کنید.اولین نکته در پیاده سازی دیوار آتش الستیکس این است که به صورت پیش فرض این دیوار آتش غیر فعال است.بنابراین در اولین قدم گزینه Activate Firewall را انتخاب کنید.

انواع قوانین(Rule) در دیوار آتش الستیکس :

Input : ترافیک ورودی به خود سرور

Output: ترافیک خروجی از خود سرور

Forward: ترافیک های ورودی و خروجی که از بیرون به داخل شبکه و همچنین از داخل به بیرون شبکه منتقل می شود.در واقع این ترافیک ها از سرور عبور میکنند.

به تصویر زیر دقت کنید :

قوانین تمامی دیوارهای آتش از بالا به پایین اجرا می شوند.بنابراین در الستیکس نیز اولویت اجرا از بالاترین قانون است.به صورت پیش فرض در الستیکس قوانینی برای پروتکل هایی نظیر SIP,RTP,IAX2,HTTPS,HTTP و … ساخته شده است که همگی در حالت Accept هستند.و دو قانون آخر با ترافیک های Input و Forward در حالت Reject هستند.همانطور که پیشتر گفته شد در دیوار آتش قوانین از بالا به پایین اجرا می شوند،با توجه به دو قانون آخر اگر پکتی درحال عبور بود و شرایطش مطابق با هیچ قانونی نبود در نهایت Reject می شود.

بررسی اجمالی گزینه های دیوار آتش :

  1. Delete : حذف قوانین ایجاد شده
  2. Deactivate Firewall : غیر فعال کردن دیوار آتش
  3. New Rule : ساخت یک قانون جدید
  4. Order : بالا و پایین بردن قوانین
  5. Traffic : نوع قانون(Input،Output،Forward)
  6. Target : رد یا قبول کردن ترافیک
  7. Interface : انتخاب کارت شبکه
  8. Source Address : آدرس آی پی مبدا
  9. Destination Address : آدرس آی پی مقصد
  10. Protocol : TCP یا UDP
  11. Details : جزییات قوانین
  12. Active Or Deactive : فعال یا غیر فعال بودن قوانین
  13. Edit : ویرایش قوانین

چگونه یک قانون جدید بسازیم ؟

برای ساخت یک قانون جدید،ابتدا روی گزینه New Rule کلیک کنید تا صفحه جدید بازگردد.

با اجرای یک سناریو نحوه پیکربندی این دیوارآتش را آموزش خواهیم داد.فرض کنید میخواهیم دسترسی ICMP را تنها برای یک IP باز بگذاریم و در غیر اینصورت بقیه IP ها Reject شوند.

در این مثال IP مبدا 192.168.1.3  و IP مقصد که منظور خود سرور است 192.168.1.7 است.پروتکل ICMP برای تمام Interface ها و پروتکل های UDP و TCP برای ترافیک Input در حالت Accept است.بنابراین فقط مبدا 192.168.1.3  میتواند سرور را پینگ کند.

در این فایروال سه نوع Target داریم :

  1. Accept
  2. Drop
  3. Reject

نکته: تفاوت Drop و Reject در این است که هنگامی که بسته ای Reject شود یک پیغام برگشت ارسال میکند اما در صورتی که Drop شود هیچ پیغام برگشتی نخواهد داشت.
در صورتی که به هر دلیلی دسترسی شما به سرور مسدود شد،در شل لینوکس از کامند زیر جهت متوقف کردن سرویس IPtables استفاده کنید و سپس پیکربندی خود را بررسی کنید.

(service iptables stop (CentOS 5,6 #
(systemctl stop iptables (CentOS7 #

نتیجه گیری : با استفاده از این ماژول شما میتوانید ده ها رول جهت امنیت سرور خود تعریف کنید.همانطور که میدانید امنیت یک موضوع نسبی است و هیچگاه نمیتوانیم امنیت را به صورت صد در صد برقرار کنیم و تنها میتوانیم کار مهاجم را سخت کنیم.بنابراین حتی اگر بهترین دیوارهای آتش را داشته باشیم باید همیشه آماده حمله مهاجمان سایبری باشیم.

 

Share

رای شما به "مخاطرات و راهکارهای برقراری امنیت در مراکز تلفن متن باز (قسمت سوم)" چیست؟

رای شما با موفقیت ثبت شد.

ثبت رای شما با پیغام خطا همراه بود.

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *