সাধারণভাবে, সুরক্ষা একটি পেঁয়াজ জিনিস যা ইতিমধ্যে উল্লিখিত হয়েছে। ফায়ারওয়াল থাকার কারণ রয়েছে এবং এটি অন্যান্য সমস্ত লেমিংসকে বোকা মরন বলে মনে হয় না।
এই উত্তরটি আসে, কারণ এই পৃষ্ঠায় 'ফেল22' অনুসন্ধান করা আমাকে কোনও ফল দেয়নি। সুতরাং আমি যদি অন্য সামগ্রীগুলি দ্বিগুণ করি তবে আমার সাথে সহ্য করুন। এবং আমাকে ক্ষমা করুন, আমি যদি কিছুটা ভাড়া নিই তবে আমি সহজ অভিজ্ঞতা প্রদান করি কারণ এটি অন্যের পক্ষে কার্যকর হতে পারে। :)
নেটওয়ার্কিং বিবেচনা, স্থানীয় বনাম বাহ্যিক
এটি বরং লিনাক্স নির্দিষ্ট এবং হোস্ট ভিত্তিক ফায়ারওয়ালিংয়ের উপর মনোনিবেশ করে যা সাধারণত ব্যবহারের ক্ষেত্রে হয়। বাহ্যিক ফায়ারওয়ালিং একটি যথাযথ নেটওয়ার্ক কাঠামো এবং অন্য সুরক্ষার বিবেচনায় সাধারণত সেই সাথে চলে hand হয় আপনি কি এখানে জড়িত তা জানেন, তাহলে সম্ভবত আপনার এই পোস্টিংয়ের প্রয়োজন হবে না। বা আপনি না, তারপর শুধু পড়ুন।
বাহ্যিকভাবে এবং স্থানীয়ভাবে ফায়ারওয়াল চালানো কাউন্টার-স্বজ্ঞাত এবং দ্বিগুণ কাজ বলে মনে হতে পারে। তবে এটি অন্যান্য সমস্ত হোস্টের পিছনে থাকা নিরাপত্তার সাথে কোনও আপস না করে বাহ্যিক নিয়মের নিয়মের পরিবর্তনের সম্ভাবনাও দেয়। প্রয়োজনটি ডিবাগিং কারণে বা অন্য কেউ সবেমাত্র আপ করতে পেরে উঠতে পারে। 'অ্যাডাপটিভ গ্লোবাল ফায়ারওয়ালিং' বিভাগে আরেকটি ব্যবহারের ঘটনা নেমে আসবে, যার জন্য আপনার গ্লোবাল এবং স্থানীয় উভয় ফায়ারওয়ালগুলির প্রয়োজন হবে।
সর্বদা খরচ এবং প্রাপ্যতা এবং একই গল্প:
ফায়ারওয়ালিং সঠিক সুরক্ষিত সিস্টেমের কেবল একটি দিক। ফায়ারওয়াল ইনস্টল না করা যেমন এটি 'অর্থ' ব্যয় করে, একটি এসপিওএফ বা কেবল বুলশিট হিসাবে পরিচিত, আমার ফরাসিকে এখানে ক্ষমা করে দিন। সবেমাত্র একটি ক্লাস্টার সেটআপ করুন। ওহ, তবে ফায়ার সেলটিতে যদি আউটেজ থাকে? তারপরে আপনার ক্লাস্টারটি দুটি বা ততোধিক ফায়ার বগি বিস্তারে সেটআপ করুন।
তবে বাহ্যিক ক্যারিয়ার উভয়ই ব্যবসায়ের বাইরে (খননকারীর দ্বারা আপনার ফাইবারটি মেরে ফেলা হয়েছে) পুরো ডেটেসেন্টারটি যদি না পারা যায় তবে কী হবে? তারপরে বেশ কয়েকটি ডাটাসেন্টার বিস্তৃত কেবল আপনার ক্লাস্টারটি তৈরি করুন।
ঐটা ব্যয়বহুল? গুচ্ছ খুব জটিল? ঠিক আছে, পারানোয়ার জন্য মূল্য দিতে হবে।
কেবল এসপিএফগুলি সম্পর্কে ঝকঝকে, তবে বেশি অর্থের সন্ধান না করা বা আরও জটিল জটিল সেটআপগুলি তৈরি করা দ্বিগুণ স্ট্যান্ডার্ড বা সংস্থা বা গ্রাহক পক্ষের পক্ষে একটি ছোট্ট মানিব্যাগের একটি পরিষ্কার ক্ষেত্রে।
এই প্যাটার্নটি এই সমস্ত আলোচনার ক্ষেত্রে প্রযোজ্য, কোনও পরিষেবা কোনও দিনই বর্তমান বিষয় নয়। এটি কোনও ভিপিএন গেটওয়ে হোক না কেন, সিসকো এএসএ কেবল ফায়ারওয়ালিংয়ের জন্য ব্যবহৃত, একটি মাইএসকিউএল বা পোস্টগ্রিসকিউএল ডাটাবেস, ভার্চুয়াল সিস্টেম বা সার্ভার হার্ডওয়্যার, স্টোরেজ ব্যাকএন্ড, সুইচ / রাউটার, ...
এতক্ষণে আপনার ধারণাটি পাওয়া উচিত।
ফায়ারওয়ালিং নিয়ে কেন বিরক্ত?
তাত্ত্বিকভাবে আপনার যুক্তিটি সঠিক। (কেবল চলমান পরিষেবাগুলিই কাজে লাগানো যেতে পারে))
তবে এটি কেবল অর্ধেক সত্য। ফায়ারওয়ালিং, বিশেষত রাষ্ট্রীয় ফায়ারওয়ালিং আপনার জন্য আরও অনেক কিছু করতে পারে। স্টেটলেস ফায়ারওয়ালগুলি কেবল তখনই গুরুত্বপূর্ণ যদি আপনি ইতিমধ্যে উল্লিখিত অন্যদের মতো পারফরম্যান্সের সমস্যাগুলি অনুভব করেন।
সহজ, কেন্দ্রীয়, পৃথক অ্যাক্সেস নিয়ন্ত্রণ
আপনি টিসিপি মোড়কে উল্লেখ করেছেন যা আপনার সুরক্ষার জন্য মূলত একই কার্যকারিতা বাস্তবায়ন করে। তর্কের খাতিরে, ধরে নেওয়া যাক কেউ tcpdমাউস ব্যবহার করে না এবং পছন্দ করে? fwbuilderমনে আসতে পারে।
আপনার পরিচালনা নেটওয়ার্ক থেকে সম্পূর্ণ অ্যাক্সেস থাকা এমন কিছু যা আপনার সক্ষম করা উচিত, যা আপনার হোস্ট ভিত্তিক ফায়ারওয়ালের প্রথম ব্যবহারের ক্ষেত্রে।
মাল্টি-সার্ভার সেটআপ সম্পর্কে কীভাবে, যেখানে ডাটাবেস অন্য কোথাও চলে এবং আপনি যে কোনও কারণে উভয় / সমস্ত মেশিনকে ভাগ করে নেওয়া (প্রাইভেট) সাবনেটের মধ্যে রাখতে পারবেন না? সম্পূর্ণ অন্যটি সার্ভারের একক দেওয়া আইপি ঠিকানার জন্য 3306 পোর্টে মাইএসকিউএল অ্যাক্সেসের অনুমতি দিতে ফায়ারওয়ালটি ব্যবহার করুন।
এবং এটি ইউডিপির পক্ষেও নির্দ্বিধায় কাজ করে। বা যাই হোক না কেন প্রোটোকল। ফায়ারওয়ালগুলি এতটাই নমনীয় হতে পারে। ;)
পোর্টস্ক্যান প্রশমন
তদ্ব্যতীত, ফায়ারওয়ালিংয়ের মাধ্যমে, সাধারণ পোর্টসক্যানগুলি সনাক্ত করা যায় এবং কার্মেল এবং তার নেটওয়ার্কিং স্ট্যাকের মাধ্যমে টাইমস্প্যানের সংযোগের পরিমাণ পর্যবেক্ষণ করা যায় এবং ফায়ারওয়াল এটি কার্যকর করতে পারে।
এছাড়াও আপনার অ্যাপ্লিকেশন পৌঁছানোর আগে অবৈধ বা অস্পষ্ট প্যাকেটগুলি পরিচালনা করা যেতে পারে।
বহির্মুখী ট্র্যাফিক সীমিত
আউটবাউন্ড ট্র্যাফিক ফিল্টার করা সাধারণত পাছায় ব্যথা হয়। তবে চুক্তির উপর নির্ভর করে এটি আবশ্যক হতে পারে।
পরিসংখ্যান
ফায়ারওয়াল আপনাকে দিতে পারে এমন আরেকটি জিনিস হ'ল পরিসংখ্যান। ( watch -n1 -d iptables -vnxL INPUTপ্যাকেটগুলি আসছে কিনা তা দেখতে উপরে শীর্ষে বিশেষ আইপি ঠিকানাগুলির জন্য কিছু বিধি যুক্ত করার সাথে ভাবুন ))
জিনিসগুলি যদি কাজ করে বা সেগুলি না করে তবে আপনি সাধারণ দিনের আলোতে দেখতে পাবেন। সংযোগ সমস্যা সমাধানের সময় এবং চ্যাটটির সন্ধান না করে আপনি প্যাকেট পান না এমন টেলিফোনে অন্য ব্যক্তিকে বলতে সক্ষম হয়ে যা খুব কার্যকর tcpdump। নেটওয়ার্কিং মজাদার, বেশিরভাগ লোকেরা এখনই জানেন যে তারা কী করছেন এবং সবসময় এটি কেবল সাধারণ রাউটিংয়ের ত্রুটি। হেইল, এমনকি আমি সবসময় জানি না আমি কী করছি। যদিও আমি এখন পর্যন্ত প্রায়শই টানেলিংয়ের সাথে কয়েক ডজন জটিল সিস্টেম এবং অ্যাপ্লিকেশনগুলির সাথে কাজ করেছি too
IDS / আইপিএস
লেয়ার 7 ফায়ারওয়ালিংটি সাধারণত স্ন্প-অয়েল (আইপিএস / আইডিএস) হয়, যদি সঠিকভাবে উপস্থিত না হয় এবং নিয়মিত আপডেট হয়। প্লাস লাইসেন্সগুলি ব্যয়বহুল, তাই আপনার কাছে কিনতে পারা সমস্ত কিছু পাওয়ার জন্য যদি আপনার কোনও সত্যিকারের প্রয়োজন না থাকে তবে আমি তা পাওয়ার ছাড়তাম।
Masqerading
সহজ, কেবল আপনার মোড়ক দিয়ে এটি ব্যবহার করে দেখুন। : ডি
স্থানীয় পোর্ট ফরওয়ার্ডিং
মাস্ক্রেডিং দেখুন।
গতিশীল আইপি ঠিকানাগুলির সাহায্যে পাসওয়ার্ড অ্যাক্সেস চ্যানেলগুলি সুরক্ষিত করা
গ্রাহকদের যদি ডায়নামিক আইপি ঠিকানা থাকে এবং সেখানে ভিপিএন সেটআপ স্থাপন না করা হয় তবে কী হবে? অথবা ফায়ারওয়ালিংয়ের জন্য অন্যান্য গতিশীল পদ্ধতির? এটি ইতিমধ্যে প্রশ্নের ইঙ্গিত দেওয়া হয়েছে, এবং দুর্ভাগ্যক্রমে এখানে একটি ব্যবহারের মামলা আসবে , আমি এমন কোনও ফায়ারওয়াল খুঁজে পাই না। অংশ।
পাসওয়ার্ডের মাধ্যমে রুট অ্যাকাউন্ট অ্যাক্সেস অক্ষম করা আবশ্যক। এমনকি অ্যাক্সেস নির্দিষ্ট আইপি ঠিকানাগুলিতে সীমাবদ্ধ থাকলেও।
এছাড়াও, পাসওয়ার্ড লগইনের সাথে এখনও অন্য একটি ব্লকো অ্যাকাউন্ট প্রস্তুত থাকলে যদি এসএস কীগুলি হারিয়ে যায় বা স্থাপনা ব্যর্থ হয় তবে কিছু সত্যই ভুল হয়ে যায় (কোনও ব্যবহারকারীর মেশিনে প্রশাসনিক অ্যাক্সেস রয়েছে এবং 'জিনিসগুলি ঘটেছে?')। এটি নেটওয়ার্ক অ্যাক্সেসের জন্য একই ধারণা কারণ এটি লিনাক্সে একক-ব্যবহারকারী মোড রাখছে বা লোকাল অ্যাক্সেসের init=/bin/bashমাধ্যমে ব্যবহার করা grubসত্যই খারাপ এবং যে কোনও কারণে লাইভ ডিস্ক ব্যবহার করতে পারে না। হাসবেন না, এমন ভার্চুয়ালাইজেশন পণ্য রয়েছে যা নিষিদ্ধ করে। কার্যকারিতা বিদ্যমান থাকলেও, যদি পুরানো সফ্টওয়্যার সংস্করণটিতে কার্যকারিতার অভাব হয় তবে কী হবে?
যাইহোক, আপনি যদি কিছু এসটোরিক পোর্টে আপনার এসএস ডিমন চালান এবং 22-তে না করে, পোর্ট নোকিংয়ের মতো জিনিসগুলি প্রয়োগ না করে (অন্য কোনও বন্দর খোলার জন্য এবং এইভাবে পোর্টস্ক্যানগুলি প্রশমিত করার জন্য, ধীরে ধীরে খুব অবৈধ হওয়ার কারণে সীমান্তে) পোর্ট স্ক্যানগুলি সনাক্ত করতে পারে পরিশেষে পরিষেবা।
সাধারণত আপনি দক্ষতার কারণে একই পোর্ট এবং পরিষেবাগুলির সাথে একই কনফিগারেশন সহ সমস্ত সার্ভার সেট আপ করেন। আপনি প্রতিটি মেশিনে আলাদা বন্দরে ssh সেট আপ করতে পারবেন না। এছাড়াও আপনি যতবারই এটি 'সর্বজনীন' তথ্য হিসাবে বিবেচনা করবেন আপনি সমস্ত মেশিনে এটি পরিবর্তন করতে পারবেন না, কারণ এটি ইতিমধ্যে একটি স্ক্যানের পরে is প্রশ্নে nmapআইনগত হচ্ছে বা না একটি বিষয় যখন আপনার নিষ্পত্তি কোনো হ্যাক হওয়া Wi-Fi সংযোগ না থাকার নয়।
যদি এই অ্যাকাউন্টটির নাম 'রুট' না হয় তবে লোকেরা আপনার 'পিছনের অংশের' ব্যবহারকারীর অ্যাকাউন্টের নামটি অনুমান করতে পারবে না। তবে তারা জানতে পারবে, যদি তারা আপনার সংস্থা থেকে অন্য একটি সার্ভার পেয়ে থাকে, বা কেবল কিছু ওয়েবস্পেস কিনে এবং একটি অরক্ষিত / অনাদায়ী / অনাকাঙ্ক্ষিত নজর রাখে /etc/passwd।
এখন খাঁটি তাত্ত্বিক চিত্রের জন্য, তারা আপনার সার্ভারটিতে অ্যাক্সেস পেতে এবং সেখানে আপনার সাইটগুলিতে কীভাবে জিনিসগুলি সাধারণত চালিত হয় তা সন্ধান করতে সেখানে একটি হ্যাকযোগ্য ওয়েবসাইট ব্যবহার করতে পারে। আপনার হ্যাক অনুসন্ধানের সরঞ্জামগুলি 24/7 না চলতে পারে (সাধারণত তারা ফাইল সিস্টেমের স্ক্যানগুলির জন্য ডিস্কের কার্য সম্পাদনের কারণে রাতে কাজ করে?) এবং আপনার ভাইরাস স্ক্যানারগুলিকে দ্বিতীয়বার আপডেট করা হয় না একটি নতুন শূন্য-দিনের দিনের আলো দেখায়, তাই এটি হবে এই ঘটনাগুলি একবারে সনাক্ত না করে এবং অন্যান্য সুরক্ষা ব্যবস্থা ছাড়াই আপনি কখনও জানেন না যে কী হয়েছিল। বাস্তবে ফিরে পেতে, যদি কারও শূন্য-দিনের শোষণে অ্যাক্সেস থাকে তবে সম্ভবত এটি সম্ভবত ব্যয়বহুল হওয়ায় তিনি আপনার সার্ভারগুলিকে টার্গেট করবেন না। এটি কেবল উদাহরণস্বরূপ বলা যায় যে যদি 'প্রয়োজন' দেখা দেয় তবে কোনও সিস্টেমে সর্বদা একটি উপায় থাকে।
তবে আবারও বিষয়টিতে কেবল অতিরিক্ত পাসওয়ার্ডযুক্ত অ্যাকাউন্ট ব্যবহার করবেন না, এবং বিরক্ত করবেন না? অনুগ্রহ করে পড়ুন।
এমনকি যদি হামলাকারীদের নাম এবং এই অতিরিক্ত অ্যাকাউন্ট বন্দর করতে, একটি fail2ban+ + iptablesসমন্বয় তাদের সংক্ষিপ্ত করা বন্ধ করে দেবে, এমনকি যদি আপনি শুধুমাত্র একটি আট অক্ষর পাসওয়ার্ডটি ব্যবহার করেছেন। প্লাস ব্যর্থ 2ban অন্যান্য পরিষেবার জন্য প্রয়োগ করা যেতে পারে, মনিটরিং দিগন্তকে আরও প্রশস্ত করে!
আপনার নিজের পরিষেবার জন্য, যদি প্রয়োজনটি কখনও উত্থাপিত হয়: মূলত কোনও পরিষেবাতে লগিংয়ের প্রতিটি সার্ভিস একটি ফাইল সরবরাহের মাধ্যমে ফায়ারব্যান সমর্থন পেতে পারে, কোন রেগেক্সের সাথে মিলবে এবং কতগুলি ব্যর্থতা অনুমোদিত, এবং ফায়ারওয়াল কেবল আনন্দের সাথে প্রতিটি আইপি ঠিকানার উপর নিষিদ্ধ করবে বলা হয়।
আমি 8-সংখ্যার পাসওয়ার্ড ব্যবহার করতে বলছি না! তবে যদি তারা পাঁচটি ভুল পাসওয়ার্ডের চেষ্টার জন্য 24 ঘন্টা নিষিদ্ধ হয়ে যায় তবে আপনি অনুমান করতে পারেন যে তাদের এতক্ষণের সুরক্ষার পরেও যদি তাদের কাছে বটনেট না থাকে তবে তাদের কতক্ষণ চেষ্টা করতে হবে। এবং আপনি অবাক হয়ে যাবেন যে গ্রাহকরা কেবল পাসওয়ার্ড ব্যবহার করেন না, কেবল তার জন্য ssh। প্লেস্কের মাধ্যমে মানুষের মেইল পাসওয়ার্ডগুলির দিকে নজর রাখার ফলে আপনি যা করতে চান তা আপনি বরং জানতে চান না এমন সমস্ত কিছু আপনাকে জানায়, তবে আমি এখানে অবশ্যই বোঝানোর চেষ্টা করছি না। :)
অভিযোজিত গ্লোবাল ফায়ারওয়ালিং
fail2banএটি কেবলমাত্র একটি অ্যাপ্লিকেশন যা লাইনগুলি বরাবর কিছু ব্যবহার করে iptables -I <chain_name> 1 -s <IP> -j DROPতবে আপনি খুব সহজেই কিছু বাশ যাদু দিয়ে এই জাতীয় জিনিসগুলি নিজেকে সহজেই তৈরি করতে পারেন।
এর মতো আরও কিছু প্রসারিত করার জন্য, আপনার নেটওয়ার্কের মধ্যে সার্ভার থেকে সমস্ত ব্যর্থ2ban আইপি ঠিকানাগুলিকে একটি অতিরিক্ত সার্ভারে একত্রিত করুন, যা সমস্ত তালিকাগুলি তৈরি করে এবং এটি আপনার মূল ফায়ারওয়ালের পরিবর্তে ইতিমধ্যে আপনার নেটওয়ার্কের প্রান্তে থাকা সমস্ত ট্র্যাফিককে অবরুদ্ধ করে।
এই জাতীয় কার্যকারিতা বিক্রয় করা যাবে না (অবশ্যই এটি পারে তবে এটি কেবল একটি ভঙ্গুর ব্যবস্থা এবং স্তন্যপান হবে) তবে আপনার অবকাঠামোতে অন্তর্নির্মিত হতে হবে।
এটি থাকা অবস্থায়, আপনি ব্ল্যাকলিস্টের আইপি ঠিকানা বা অন্যান্য উত্স থেকে তালিকা ব্যবহার করতে পারেন, এটি নিজের বা বাহ্যিক দ্বারা একত্রিত হোন।