আমার সার্ভারটি ভালভাবে কনফিগার করা থাকলে কেন আমার ফায়ারওয়াল লাগবে?

আমি যে সংস্থার জন্য কাজ করি তার জন্য আমি মুষ্টিমেয় ক্লাউড-ভিত্তিক (ভিপিএস) সার্ভার পরিচালনা করি।

সার্ভারগুলি ন্যূনতম উবুন্টু ইনস্টল যা এলএএমপি স্ট্যাক / ইনবাউন্ড ডেটা সংগ্রহ (বিএসসিএনসি) এর বিটগুলি চালায়। ডেটা বড় তবে ব্যক্তিগত, আর্থিক বা এর মতো কিছু নয় (যেমন আকর্ষণীয় নয়)

স্পষ্টতই এখানে লোকেদের চিরকাল ফায়ারওয়ালগুলি কনফিগার করার অনুরোধ এবং এরকম পছন্দ।

আমি সার্ভারগুলি সুরক্ষিত করার জন্য একগুচ্ছ পন্থা ব্যবহার করি, উদাহরণস্বরূপ (তবে সীমাবদ্ধ নয়)

• অ স্ট্যান্ডার্ড পোর্টগুলিতে ssh; কোনও পাসওয়ার্ড টাইপিং নেই, কেবল লগইন ইত্যাদির জন্য পরিচিত আইপিএস থেকে জানা এসএসএস কী
• https, এবং সীমাবদ্ধ শেল (আরএসএস) সাধারণত কেবল পরিচিত কী / আইপিএস থেকে
• সার্ভারগুলি সর্বনিম্ন, আপ টু ডেট এবং নিয়মিতভাবে প্যাচ করা হয়
• rkhunter, cfengine, lynis denhosts ইত্যাদির মতো বিষয়গুলি পর্যবেক্ষণের জন্য ব্যবহার করুন

আমার ইউনিক্স সিএস অ্যাডমিনের বিস্তৃত অভিজ্ঞতা আছে। আমি আত্মবিশ্বাসী আমি জানি যে আমি আমার সেটআপগুলিতে কী করছি। আমি / ইত্যাদি ফাইলগুলি কনফিগার করি। আমি কখনও ফায়ারওয়ালস: আইপটবেবলস ইত্যাদির মতো জিনিসগুলি ইনস্টল করার বাধ্যতামূলক প্রয়োজন অনুভব করিনি

ভিপিএসের শারীরিক সুরক্ষার বিষয়গুলি এক মুহুর্তের জন্য রেখে দিন।

প্রশ্নঃ? আমি সিদ্ধান্ত নিতে পারছি না যে আমি নির্বোধ, বা ক্রমবর্ধমান সুরক্ষা যে কোনও fw অফার দিতে পারে তা সার্ভারে শেখার / ইনস্টল করার প্রচেষ্টা এবং অতিরিক্ত জটিলতা (প্যাকেজ, কনফিগার ফাইল, সম্ভাব্য সমর্থন ইত্যাদি) মূল্যবান।

আজ অবধি (টাচ কাঠ) সুরক্ষার সাথে আমার কখনই কোনও সমস্যা হয়নি তবে আমি এটি সম্পর্কে সন্তুষ্টও নই।

আমি লক্ষ করেছি যে আপনি বেশ কয়েকটি বিভিন্ন ডেমোন বেঁধে একটি দুর্দান্ত কাজ করেছেন এবং আপনি যা বলেছেন তা থেকে আমার মনে হয় যে আপনি ইতিমধ্যে সুরক্ষিত সেইসব পরিষেবাগুলির মাধ্যমে নিজেকে সমস্যার মধ্যে ফেলবেন। এটি আপনাকে এখনও "নিষিদ্ধ করা ব্যতীত" সমস্ত কিছুর অনুমতি দেওয়া হয়েছে "অবস্থায় রেখে দেয় এবং আপনি ডিমনের পরে ডিমনকে শিকার করে এবং একে একে একে সুরক্ষিত করে সেই অবস্থা থেকে বেরিয়ে আসতে পারবেন না।

ডিফল্টরূপে যে কোনও একটিতে ডেনিতে কনফিগার করা ফায়ারওয়াল আপনাকে পরিচালনার মোডে "" অনুমতি দেওয়া ব্যতীত সমস্ত কিছু নিষিদ্ধ করা হয় "তে নিয়ে যায় এবং আমি বহু বছর ধরে দেখেছি যে তারা আরও ভাল're

এই মুহুর্তে, আপনার সিস্টেমে বৈধ শেল যুক্ত বৈধ ব্যবহারকারীকে দেওয়া, তিনি ইন্টারনেটের জন্য প্রক্সিং ওয়েব অনুরোধের জন্য কিছু স্থানীয় অনিবদ্ধ ডিমন চালাবেন, বা 4662 পোর্টে ফাইল ভাগ করে নেওয়া শুরু করতে পারেন, বা দুর্ঘটনাক্রমে -g ব্যবহার করে শ্রোতাদের খুলতে পারবেন ssh পোর্ট টানেলিং সহ, এটি কী করে বুঝতে পারে না; বা কোনও প্রেরণমইল ইনস্টল আপনাকে 587 পোর্টে এমইউএ চালাতে ছেড়ে দিতে পারে যা 25 টি পোর্টে এমটিএ সেন্ডেল সুরক্ষার জন্য আপনি যে সমস্ত কাজ করেছেন তা সত্ত্বেও ভুলভাবে কনফিগার করা হয়েছিল; বা একশত একটি জিনিস ঘটতে পারে যা আপনার সতর্কতা ও চিন্তাশীল সুরক্ষাটিকে বাইপাস করে কেবল কারণ আপনি যখন কোনটি নিষেধ করবেন সে সম্পর্কে সাবধানতার সাথে ভাবছিলেন তখন তারা আশেপাশে ছিলেন না।

আপনি আমার বিন্দু দেখতে পাচ্ছি? এই মুহুর্তে, আপনি যা জানেন তার সমস্ত জিনিস সুরক্ষিত করার জন্য আপনি প্রচুর প্রচেষ্টা করেছেন এবং মনে হচ্ছে তারা আপনাকে কামড় দেবে না। আপনাকে কী দংশিত করতে পারে সেগুলি হ'ল আপনি যা জানেন না, বা এটি এখন নেই right

ফায়ারওয়াল যা কোনও কারওই ডিএনএর কাছে ডিফল্ট হয় এটি সিস্টেমেডমিন পদ্ধতিটি বলে যে যদি নতুন কিছু আসে এবং এই সার্ভারটিতে একটি নেটওয়ার্ক শ্রোতাকে খোলে তবে আমি সুস্পষ্ট অনুমতি না দেওয়া পর্যন্ত কেউ তার সাথে কথা বলতে পারবে না ।

ন্যূনতম সুযোগ-সুবিধার মূলনীতি। একটি ফায়ারওয়াল আপনাকে সেখানে যেতে সহায়তা করে। গভীরতা মধ্যে প্রতিরক্ষা নীতি। একটি ফায়ারওয়াল আপনাকে ওখানে যেতে সহায়তা করে। যে কোনও সু-নকশাকৃত কনফিগারেশন স্পষ্টভাবে এই দুটির উপরে এক বা অন্য কোনও উপায়ে নির্ভর করে।

আর একটি বিষয় হ'ল আপনার সার্ভারগুলি সম্ভবত পণ্য হার্ডওয়্যার বা একটি স্ট্যান্ডার্ড সার্ভার ওএস (ইউনিক্স, এনটি, লিনাক্স) এর উপরে চলমান সার্ভার সফ্টওয়্যার পরিচালনার জন্য নির্দিষ্ট হার্ডওয়্যার will এটি হ'ল, আগত ট্র্যাফিককে দক্ষতার সাথে পরিচালনা করতে এবং ফিল্টার করার জন্য তাদের কাছে বিশেষ হার্ডওয়্যার নেই। আপনি কি চান যে আপনার সার্ভারটি প্রতিটি একক সম্ভাব্য মাল্টিকাস্ট, আইসিএমপি প্যাকেট বা পোর্ট স্ক্যানটি পরিচালনা করছে?

সম্ভবত আপনি যা চান তা হ'ল আপনার সার্ভারগুলি কেবলমাত্র কয়েকটি বন্দরগুলির জন্য শারীরিকভাবে অনুরোধগুলি হ্যান্ডেল করতে পারে (80, 443, আপনার এসএসএল পোর্ট, আপনার সাধারণ ওরেकल 1521 পোর্ট, আপনার আরএসএনসি পোর্ট ইত্যাদি) হ্যাঁ, অবশ্যই আপনি নিজের সফ্টওয়্যার ফায়ারওয়ালগুলি সেট আপ করেছেন সার্ভারগুলি কেবলমাত্র এই পোর্টগুলি শুনতে। তবে আপনার এনআইসিগুলি এখনও অবাঞ্ছিত ট্র্যাফিকের কব্জি বহন করবে (এটি আপনার সংস্থায় মারাত্মক বা সাধারণ হয়ে উঠুক)) যদি আপনার এনআইসিগুলি হামার শিকার হয়, তবে আপনার সার্ভারগুলির মাধ্যমে নেটওয়ার্ক পাথগুলি চলছে (এবং সম্ভবত আপনার সার্ভার এবং অভ্যন্তরীণ ক্লায়েন্ট এবং এর সাথে সংযোগ রয়েছে) অন্যান্য অভ্যন্তরীণ সার্ভার এবং পরিষেবা।)

কেবলমাত্র আপনার এনআইসিকেই হামাগুড়ি দেওয়া হবে না, আপনার সফ্টওয়্যার ফায়ারওয়ালও ব্যস্ত হতে চলেছে কারণ এটি প্রাপ্ত প্রতিটি প্যাকেট বা ডেটাগ্রাম পরীক্ষা করতে হবে।

অন্যদিকে ফায়ারওয়ালগুলি, বিশেষত যারা সাবনেটগুলির প্রান্তে থাকে (বা আপনার সাবনেটগুলি বাইরের বিশ্ব থেকে পৃথক করে) বিশেষত সেই ধরণের ভলিউম পরিচালনা করার জন্য নির্মিত বিশেষ হার্ডওয়্যার হিসাবে থাকে।

আপনি এম সংখ্যার ফায়ারওয়ালের (এন >> এম সহ) সার্ভারের N নম্বর ঘিরে রাখতে পারেন। এবং আপনি আপনার ফায়ারওয়াল হার্ডওয়্যারটিকে নির্দিষ্ট পোর্টগুলির দিকে নির্দেশ না করে এমন কোনও কিছু ফেলে দেওয়ার জন্য সেট করেছেন। পোর্ট স্ক্যান, আইসিএমপি এবং অন্যান্য ক্রপগুলি বাইরে রয়েছে। তারপরে আপনি নিজের সার্ভারগুলিতে তাদের নির্দিষ্ট ফাংশন অনুযায়ী ফায়ারওয়ালটি সূক্ষ্ম-সুর করুন।

এখন আপনি মোট ব্ল্যাকআউটের সম্ভাবনা সবেমাত্র হ্রাস করেছেন (তবে মুছে ফেলা হয়নি), এটি নেটওয়ার্কের বিভাজনে হ্রাস করেছেন বা আংশিক ব্যর্থতায় সবচেয়ে খারাপ। এবং এইভাবে, আপনি আক্রমণ বা ভুল কনফিগারেশন থেকে বাঁচার জন্য আপনার সিস্টেমের ক্ষমতা বাড়িয়েছেন।

ফায়ারওয়াল না রাখা কারণ আপনার সার্ভারগুলির মধ্যে একটি আপনার সিট বেল্টটি সুরক্ষিত বোধ করার মতো যা কুয়াশার কারণে শূন্য দৃশ্যমানতার অধীনে 120mph এ ড্রাইভিং করে। এটি সেভাবে কাজ করে না।

আপনার কাছে কোনও ফায়ারওয়াল না থাকলে এমন এক ধরণের প্যাকেট স্তর পর্যবেক্ষণ করে এমন অনেক আক্রমণ রয়েছে যা আপনি সম্ভবত অনুভব করতে পারেন:

উদাহরণ ক্রিসমাস ট্রি প্যাকেট

http://en.wikipedia.org/wiki/Christmas_tree_packet

ডিডিওএস আক্রমণগুলি আপনার সিস্টেমের বিরুদ্ধে চালানো যেতে পারে, একটি ফায়ারওয়াল (বাহ্যিক হতে পারে, আপনার কোনও সার্ভারের আগে) আপনার সার্ভারগুলিকে পঙ্গু করার আগে ট্রাফিক বন্ধ / ধীর / নিহত করবে।

শুধু কারণ আপনি সার্ভারে আর্থিক, অথবা ব্যক্তিগত ডেটা নেই মানে এই নয় আপনি পান 'আঘাত' করা হবে না। আমি নিশ্চিত যে আপনি ব্যান্ডউইথ, বা সিপিইউ ব্যবহারের জন্য অর্থ প্রদান করেছেন বা আপনার একটি মিটার রেট রয়েছে। কোনও রাতের মধ্যে ভাবুন (আপনি যখন ঘুমাচ্ছেন) কেউ আপনার মিটারটি চালাচ্ছে (আমি ভিওআইপি স্যুইচ সরবরাহকারীদের সাথে এটি দেখেছি, রাতের দিকে লক্ষ লক্ষ মিনিট ট্র্যাফিকের জন্য আঘাত করা হয়েছে, যাতে তারা বিলটি পাবে)।

সুতরাং স্মার্ট হন, সুরক্ষাটি সেখানে থাকলে ব্যবহার করুন, আপনি নিখুঁত নন, কোনওটিই সফ্টওয়্যার নয়। পরবর্তী শোষণটি না পাওয়া পর্যন্ত এটি কেবল নিরাপদ। ;)

আপনি যদি ফায়ারওয়াল ব্যবহার করে ন্যূনতম সুবিধার্থের নীতিটি প্রয়োগ করতে পারেন তবে আপনার সম্ভবত এটির দরকার নেই। আমার দৃষ্টিকোণ থেকে ফায়ারওয়াল ব্যবহার না করেই একটি সুরক্ষিত ব্যবস্থা গড়ে তুলতে আরও বেশি পরিশ্রম প্রয়োজন এবং আমি বেশ অলস। আমি যখন একটি একক কনফিগারেশন ব্যবহার করে পরিবহন স্তরে সুবিধাগুলি আলাদা করতে পারি তখন অন্যান্য সরঞ্জাম এবং সম্ভবত অনেকগুলি কনফিগার ফাইল ব্যবহার করে টিসিপি সংযোগগুলি কেন সীমাবদ্ধ রাখা উচিত should

ফায়ারওয়াল আপনার সার্ভারগুলিতে পৌঁছানো থেকে অযাচিত প্যাকেটগুলিও আটকাতে পারে। পৃথক সার্ভার স্তরে তাদের সাথে ডিল করার পরিবর্তে আপনি ফায়ারওয়ালে তাদের সাথে ডিল করতে পারেন। আপনি এই সমস্ত কনফিগারেশন ক্রিয়াকলাপ একাধিক সার্ভারের পরিবর্তে একক ফায়ারওয়ালে রাখতে পারেন।

উদাহরণস্বরূপ, যদি কোনও আক্রমণকারী কোনও বাহ্যিক আইপি নিয়ন্ত্রণ অর্জন করে এবং আপনার সার্ভারগুলিকে অযাচিত প্যাকেটগুলির সাহায্যে ডিগগ ইন করে এবং আপনি আপনার সার্ভারগুলিতে এর প্রভাবগুলি হ্রাস করতে চান ... তবে আপনি ক্ষতিকারক প্যাকেটগুলি ফেলে দেওয়ার জন্য আপনার প্রভাবিত প্রতিটি সার্ভারকে কনফিগার করতে পারেন বা কেবল আপনার ফায়ারওয়ালে পরিবর্তন করুন এবং আপনার সমস্ত সার্ভার সুরক্ষিত। ফায়ারওয়াল থাকা আপনার প্রতিক্রিয়া সময় হ্রাস পেয়েছে।

আপনি বা অন্য কারও একদিন আপনার সার্ভার সেটআপে ত্রুটি ঘটতে পারে, ফায়ারওয়াল তখন আপনাকে কাউকে প্রবেশ করানো বন্ধ করার দ্বিতীয় সুযোগ দেয় We আমরা নিখুঁত নই, আমরা ত্রুটিগুলি করি, এবং তাই কিছুটা "অপ্রয়োজনীয়" বীমা সার্থক হতে পারে ।

( আপনার সার্ভারের মতো একই ওএসে আপনার ফায়ারওয়ালটি না চালানোর চেষ্টা করুন , অন্যথায় ওএসে একটি একক বাগ .... আমি ইউনিক্সের সমস্ত সংস্করণকে একই ওএস হিসাবে বিবেচনা করি, কারণ এগুলির মধ্যে এতটা মিল রয়েছে)

ফায়ারওয়ালগুলি ট্র্যাফিকের হেরফেরগুলিতে স্পাইসিসায়ালাইজড। তারা এটি দ্রুত করে এবং সংস্থান আছে। এবং আপনি ট্র্যাফিক (ডিস্ক io / proc সময় / ইত্যাদি) ফিল্টার করতে সার্ভার সংস্থানগুলি অপচয় করবেন না। আপনি সার্ভার পরিবেশে কিছু সুরক্ষা কনফিগার করতে হবে তবে সমস্ত ট্র্যাফিক পরিদর্শন এবং ভাইরাস স্ক্যানিং এবং এর জন্য বিশেষায়িত সার্ভারগুলি করা উচিত।

আমি উদ্বিগ্ন যে আপনি যদি কখনও হ্যাক হয়ে যান এবং জায়গায় ফায়ারওয়াল না পেয়ে থাকেন তবে আমি উদ্বিগ্ন। হ্যাকাররা আপনার সার্ভারে অন্যান্য পোর্ট খুলতে পারে। এছাড়াও, যদি কোনও পরামর্শককে কিছু ক্লিনআপ এবং অডিটিং করতে আসে তবে তারা প্রথমে বলবে, "কি?!?! আপনার ফায়ারওয়াল নেই!" তাহলে আপনাকে পুড়িয়ে ফেলা হতে পারে।