Iptables এর সমস্ত উত্সের জন্য "খুব খোলা" হিসাবে বিবেচিত কি সম্পর্কিত, ESTABLISHED গ্রহণ করছেন?

আমি প্রায়শই নিয়মটি -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPTপ্রয়োগ করতে দেখেছি । যদিও আমি বিশেষজ্ঞ নই, সেই নির্দিষ্ট লাইনটি আমাকে উদ্বেগ দেয়। এটি অত্যন্ত সুস্পষ্ট যে নিয়মটি সমস্ত ট্র্যাফিককে একমাত্র ব্যতিক্রমযুক্ত মঞ্জুরি দেয় যে সংযোগটি প্রতিষ্ঠিত হয়েছে বা কোনও প্রতিষ্ঠিত সংযোগের সাথে সম্পর্কিত।

দৃশ্যপট

• আমি 22সাবনেট 192.168.0.0/16বা যে কোনও কিছুতে সার্ভার ল্যান থেকে ডিফল্ট এসএসএইচ পোর্টের সংযোগগুলি অনুমতি দেব ।
• SuperInsecureApp®বন্দরে এমন কিছু প্রকাশ করে 1337যা আমি আমার INPUTশৃঙ্খলে যুক্ত করি।
• আমি জুড়েছেন conntrackনিয়ম মেনে নিতে ESTABLISHEDএবং RELATEDথেকে সব সূত্র
• চেইন নীতি হচ্ছে DROP

সুতরাং মূলত সেই কনফিগারেশনটি কেবল ল্যান থেকে এসএসএইচ-সংযোগের অনুমতি দেয়, যদিও বিশ্ব থেকে 1337 পোর্টে অন্তর্মুখী ট্র্যাফিকের অনুমতি দেয়।

এখানেই আমার বিভ্রান্তি ফোটে। কী conntrackকোনও উপায়ে কোনও সুরক্ষার ত্রুটিটি প্রকাশ করতে পারে যা কাউকে ১৩৩ on এ প্রতিষ্ঠিত সংযোগ পেতে দেয় (যেহেতু এটি বিশ্ব উন্মুক্ত), এবং তারপরে এসএসএইচ বন্দরের অ্যাক্সেস পেতে (বা অন্য কোনও বন্দর) এই সংযোগটি ব্যবহার করবে?

আমি ESTABLISHED এবং রিলেটেড ট্র্যাফিক খুব বেশি উন্মুক্ত বিবেচনা করব না। আপনি রিলেটেড বাদ দিতে সক্ষম হতে পারেন তবে অবশ্যই ESTABLISHED এর অনুমতি দেওয়া উচিত। এই উভয় ট্র্যাফিক বিভাগে কনট্র্যাক রাজ্য ব্যবহার করা হয়।

ইস্টাব্লিশড সংযোগগুলি ইতিমধ্যে অন্য নিয়মে বৈধ হয়েছে। একবিমুখী নিয়ম প্রয়োগ করা এটি আরও সহজ করে তোলে। এটি আপনাকে একই বন্দরে লেনদেন চালিয়ে যাওয়ার অনুমতি দেয়।

সম্পর্কিত সংযোগগুলিও অন্য নিয়মে বৈধ হয়। এগুলি প্রচুর প্রোটোকলে প্রয়োগ হয় না। আবার এগুলি নিয়ম কনফিগার করা আরও সহজ করে তোলে। তারা যেখানে প্রয়োগ হয় সেখানে সংযোগগুলির যথাযথ ক্রমও নিশ্চিত করে। এটি আসলে আপনার বিধিগুলি আরও সুরক্ষিত করে। এটি অন্য কোনও বন্দরে সংযোগ স্থাপন করা সম্ভব করতে পারে, তবে সেই বন্দরটি কেবলমাত্র কোনও এফটিপি ডেটা সংযোগের মতো সম্পর্কিত প্রক্রিয়ার অংশ হওয়া উচিত। কোন বন্দরগুলি অনুমোদিত তা প্রোটোকল নির্দিষ্ট কনট্রাক মডিউল দ্বারা নিয়ন্ত্রিত হয়।

ইস্টাব্লিশড এবং রিলেটেড সংযোগের অনুমতি দেওয়ার মাধ্যমে আপনি ফায়ারওয়ালটি কোন নতুন সংযোগগুলি গ্রহণ করতে চান তাতে মনোনিবেশ করতে পারেন। এটি ফেরত ট্র্যাফিকের অনুমতি দেওয়ার জন্য ভাঙ্গা বিধিগুলি এড়িয়ে যায়, তবে এটি নতুন সংযোগের অনুমতি দেয়।

আপনি সুরক্ষা হিসাবে 1337 পোর্টে প্রোগ্রামটি শ্রেণিবদ্ধ করে দেওয়া, এটি উত্সর্গীকৃত নন-রুট ব্যবহারকারী-আইডি ব্যবহার করা শুরু করা উচিত। যদি কেউ তার অ্যাপ্লিকেশনটি ক্র্যাক করতে এবং বর্ধিত অ্যাক্সেস অর্জন করে তবে কারও যে ক্ষতি করতে পারে তা সীমাবদ্ধ করবে।

১৩3737 বন্দরটিতে কোনও সংযোগ দূরবর্তীভাবে 22 বন্দরটি অ্যাক্সেসের জন্য ব্যবহার করা যেতে পারে এমন সম্ভাবনা খুব কম, তবে সম্ভবত 1337 পোর্টের সাথে একটি সংযোগ পোর্ট 22-এ সংযোগের প্রক্সি হিসাবে ব্যবহার করা যেতে পারে।

আপনি এসএসএইচ গভীরতায় সুরক্ষিত তা নিশ্চিত করতে চাইতে পারেন:

• ফায়ারওয়াল বিধিনিষেধ ছাড়াও অ্যাক্সেস সীমাবদ্ধ করতে হোস্ট.ইল ব্যবহার করুন।
• রুট অ্যাক্সেস প্রতিরোধ করুন, বা কমপক্ষে কীগুলির ব্যবহার প্রয়োজন এবং অনুমোদিত_কিগুলি ফাইলে তাদের অ্যাক্সেস সীমাবদ্ধ করুন।
• নিরীক্ষণ লগইন ব্যর্থতা। একটি লগ স্ক্যানার আপনাকে অস্বাভাবিক ক্রিয়াকলাপের পর্যায়ক্রমিক প্রতিবেদন পাঠাতে পারে।
• বারবার অ্যাক্সেস ব্যর্থতায় স্বয়ংক্রিয়ভাবে অ্যাক্সেস ব্লক করতে ব্যর্থ 2ban এর মতো একটি সরঞ্জাম ব্যবহার করার বিষয়টি বিবেচনা করুন।

ইস্টাব্লিশড এবং রিলেটেড "স্টেটফুল" প্যাকেট ফিল্টারিংয়ের বৈশিষ্ট্য, যেখানে ফিল্টারিং কেবল স্থিতিশীল নিয়মের উপর নির্ভর করে না, সেই প্রসঙ্গেও নির্ভর করে, যার মধ্যে প্যাকেটগুলি বিবেচনা করা হয়। সংযোগগুলি কাজ করার জন্য আপনাকে ESTABLISHED প্রয়োজন এবং প্রাসঙ্গিক ICMP বার্তাগুলির জন্য আপনার প্রয়োজন R রাষ্ট্রীয় ফিল্টারিং স্ট্যাটিক "স্টেটলেস" বিধিগুলির তুলনায় আরও স্পষ্টভাবে ফিল্টার করতে দেয়।

প্রথমে ESTABLISHED দেখুন। উদাহরণ হিসেবে বলা যায়, পোর্ট 22. ইনিশিয়েটরের (ক্লায়েন্ট) একটি পাঠায় উপর বিভিন্ন TCP বিবেচনা SYNকরতে serverIPaddr:22। সার্ভার SYN+ACKক্লায়েন্ট ফিরে । এখন এটি পাঠানোর ক্লায়েন্টের পালা ACK। সার্ভারে ফিল্টারিংয়ের নিয়মটি কেমন দেখতে হবে যেমন কেবলমাত্র "ম্যাচিং" ACKগ্রহণ করা হয়? একটি সাধারণ রাষ্ট্রবিহীন নিয়মের মতো দেখতে হবে

-A INPUT --proto tcp --port 22 -j ACCEPT

যা রাষ্ট্রীয় নিয়মের চেয়ে বেশি উদার। রাষ্ট্রবিহীন নিয়ম যথেচ্ছ টিসিপি বিভাগগুলিকে মঞ্জুরি দেয়, উদাহরণস্বরূপ ACKবা FINপ্রথমে কোনও সংযোগ স্থাপন না করেই। ওএস ফিঙ্গারপ্রিন্টিংয়ের জন্য পোর্ট স্ক্যানাররা এই জাতীয় আচরণকে কাজে লাগাতে পারে।

এখন আসুন দেখে নেওয়া যাক সম্পর্কিত AT এটি আইসিএমপি বার্তার জন্য ব্যবহৃত হয়, বেশিরভাগ ত্রুটি বার্তা। উদাহরণস্বরূপ, যদি ক্লায়েন্ট থেকে সার্ভার থেকে কোনও প্যাকেট বাদ দেওয়া হয়, তবে সার্ভারে একটি ত্রুটি বার্তা প্রেরণ করা হবে। এই ত্রুটি বার্তাটি পূর্বে প্রতিষ্ঠিত সংযোগের সাথে "সম্পর্কিত"। সম্পর্কিত বিধি ব্যতীত একজনকে সাধারণত (প্রসঙ্গ ছাড়াই) আগত ত্রুটি বার্তাগুলির অনুমতি দেওয়া প্রয়োজন, বা যেমন অনেক সাইটের কাস্টম অনুসারে, আইসিএমপি পুরোপুরি ছেড়ে দিন এবং পরিবহন স্তরটিতে সময়সীমার জন্য অপেক্ষা করুন। (দ্রষ্টব্য যে এটি আইপিভি 6 এর জন্য একটি খারাপ ধারণা; আইপিএমভিভি আইপি উত্তরাধিকারের জন্য আইসিএমপি-র চেয়ে আইপিভি 6 এর জন্য আরও গুরুত্বপূর্ণ ভূমিকা পালন করে))