مخاطرات و راهکارهای برقراری امنیت در مراکز تلفن متن باز_بخش سوم

راهنمای پیکربندی دیوار آتش الستیکس(Firewall Rules)

همان طور که در مقاله پیشین گفته شد،الستیکس یکی از بهترین پوسته های IP Tables لینوکس را دارد. بنابراین در این آموزش ما با یک محیط کاربرپسند و بسیار ساده کار خواهیم کرد.در این آموزش شما با نحوه پیکربندی فایروال الستیکس ورژن 4 آشنا خواهید شد.

نکته:نحوه پیکربندی در تمام ورژن های الستیکس همانند هم هستند.

ابتدا وارد واسط کاربری الستیکس شوید و در تب Security گزینه Firewall را انتخاب کنید.اولین نکته در پیاده سازی دیوار آتش الستیکس این است که به صورت پیش فرض این دیوار آتش غیر فعال است.بنابراین در اولین قدم گزینه Activate Firewall را انتخاب کنید.

انواع قوانین(Rule) در دیوار آتش الستیکس :

Input : ترافیک ورودی به خود سرور

Output: ترافیک خروجی از خود سرور

Forward: ترافیک های ورودی و خروجی که از بیرون به داخل شبکه و هم چنین از داخل به بیرون شبکه منتقل می شود.در واقع این ترافیک ها از سرور عبور می کنند.

به تصویر زیر دقت کنید :

قوانین تمامی دیوارهای آتش از بالا به پایین اجرا می شوند. بنابراین در الستیکس نیز اولویت اجرا از بالاترین قانون است.به صورت پیش فرض در الستیکس قوانینی برای پروتکل هایی نظیر SIP,RTP,IAX2,HTTPS,HTTP و … ساخته شده است که همگی در حالت Accept هستند.و دو قانون آخر با ترافیک های Input و Forward در حالت Reject هستند.همان طور که پیشتر گفته شد در دیوار آتش قوانین از بالا به پایین اجرا می شوند، با توجه به دو قانون آخر اگر پکتی درحال عبور بود و شرایطش مطابق با هیچ قانونی نبود در نهایت Reject می شود.

بررسی اجمالی گزینه های دیوار آتش :

1. Delete : حذف قوانین ایجاد شده
2. Deactivate Firewall : غیر فعال کردن دیوار آتش
3. New Rule : ساخت یک قانون جدید
4. Order : بالا و پایین بردن قوانین
5. Traffic : نوع قانون(Input،Output،Forward)
6. Target : رد یا قبول کردن ترافیک
7. Interface : انتخاب کارت شبکه
8. Source Address : آدرس آی پی مبدا
9. Destination Address : آدرس آی پی مقصد
10. Protocol : TCP یا UDP
11. Details : جزییات قوانین
12. Active Or Deactive : فعال یا غیر فعال بودن قوانین
13. Edit : ویرایش قوانین

چگونه یک قانون جدید بسازیم ؟

برای ساخت یک قانون جدید،ابتدا روی گزینه New Rule کلیک کنید تا صفحه جدید بازگردد.

با اجرای یک سناریو نحوه پیکربندی این دیوارآتش را آموزش خواهیم داد. فرض کنید می خواهیم دسترسی ICMP را تنها برای یک IP باز بگذاریم و در غیر اینصورت بقیه IP ها Reject شوند.

در این مثال IP مبدا 192.168.1.3  و IP مقصد که منظور خود سرور است 192.168.1.7 است.پروتکل ICMP برای تمام Interface ها و پروتکل های UDP و TCP برای ترافیک Input در حالت Accept است.بنابراین فقط مبدا 192.168.1.3  می تواند سرور را پینگ کند.

در این فایروال سه نوع Target داریم :

1. Accept
2. Drop
3. Reject

نکته: تفاوت Drop و Reject در این است که هنگامی که بسته ای Reject شود یک پیغام برگشت ارسال می کند اما در صورتی که Drop شود هیچ پیغام برگشتی نخواهد داشت.
در صورتی که به هر دلیلی دسترسی شما به سرور مسدود شد،در شل لینوکس از کامند زیر جهت متوقف کردن سرویس IPtables استفاده کنید و سپس پیکربندی خود را بررسی کنید.

(service iptables stop (CentOS 5,6 #
(systemctl stop iptables (CentOS7 #

نتیجه گیری : با استفاده از این ماژول شما می توانید ده ها رول جهت امنیت سرور خود تعریف کنید.همان طور که می دانید امنیت یک موضوع نسبی است و هیچ گاه نمی توانیم امنیت را به صورت صد در صد برقرار کنیم و تنها می توانیم کار مهاجم را سخت کنیم. بنابراین حتی اگر بهترین دیوارهای آتش را داشته باشیم باید همیشه آماده حمله مهاجمان سایبری باشیم.