مخاطرات و راهکارهای برقراری امنیت ویپ (قسمت سوم)

مخاطرات و راهکارهای برقراری امنیت ویپ

راهنمای پیکربندی فایروال الستیکس (Firewall Rules)

همانطور که در قسمت سوم سری مقالات امنیت سانترال ویپ گفته شد، الستیکس یکی از بهترین پوسته های IPtables لینوکس را دارد. در این قسمت از طریق یک محیط کاربرپسند و بسیار ساده فایروال لینوکس را در الستیکس 4 پیکربندی خواهیم کرد. لازم به ذکر است، نحوه پیکربندی این فایروال در تمام ورژن های الستیکس یکسان است.

مخاطرات و راهکارهای برقراری امنیت ویپ (قسمت اول)
مخاطرات و راهکارهای برقراری امنیت ویپ (قسمت دوم)

فعال کردن فایروال

ابتدا از طریق وب وارد محیط پیکربندی الستیکس شوید و در تب Security گزینه Firewall را انتخاب کنید. اولین نکته در پیاده سازی دیوار آتش الستیکس این است که به صورت پیش فرض این دیوار آتش غیر فعال است. بنابراین در اولین قدم گزینه Activate Firewall را انتخاب کنید.

فعال کردن فایروال

فعال کردن فایروال - 2

آشنایی با قوانین IPtables

Input: ترافیک ورودی به خود سرور

Output: ترافیک خروجی از خود سرور

Forward: ترافیک های ورودی و خروجی که از بیرون به داخل شبکه و همچنین از داخل به بیرون شبکه منتقل می شود. در واقع این ترافیک ها از سرور عبور می کنند.

IPtable 

قوانین تمامی دیوارهای آتش از بالا به پایین اجرا می شوند. بنابراین در الستیکس نیز اولویت اجرا از بالاترین قانون است. به صورت پیش فرض در الستیکس قوانینی برای پروتکل هایی نظیر SIP ,RTP ,IAX2 ,HTTPS ,HTTP و … ساخته شده است که همگی در حالت Accept هستند و دو قانون آخر با ترافیک های Input و Forward در حالت Reject هستند. همانطور که پیشتر گفته شد در دیوار آتش قوانین از بالا به پایین اجرا می شوند، با توجه به دو قانون آخر اگر پکتی درحال عبور بود و شرایطش مطابق با هیچ قانونی نبود در نهایت Reject می شود.

بررسی اجمالی گزینه های دیوار آتش

دیوار آتش

  1. Delete : حذف قوانین ایجاد شده
  2. Deactivate Firewall : غیر فعال کردن دیوار آتش
  3. New Rule: ساخت یک قانون جدید
  4. Order: بالا و پایین بردن قوانین
  5. Traffic: نوع قانون(Input،Output،Forward)
  6. Target: رد یا قبول کردن ترافیک
  7. Interface: انتخاب کارت شبکه
  8. Source Address: آدرس آی پی مبدا
  9. Destination Address: آدرس آی پی مقصد
  10. Protocol : TCP یا UDP
  11. Details: جزییات قوانین
  12. Active Or Deactive: فعال یا غیر فعال بودن قوانین
  13. Edit: ویرایش قوانین

چگونه یک قانون جدید در فایروال بسازیم؟

برای ساخت یک قانون جدید در فایروال الستیکس، ابتدا روی گزینه New Rule کلیک کنید تا صفحه جدید بازگردد.

فایروال

سناریو بستن ICMP در فایروال الستیکس

با اجرای یک سناریو نحوه پیکربندی این دیوارآتش را آموزش خواهم داد. فرض کنید می خواهیم دسترسی ICMP را تنها برای یک IP باز بگذاریم و در غیر اینصورت بقیه IP ها Reject شوند.

بستن ICMP در فایروال الستیکس

در این مثال IP مبدا 192.168.1.3 و IP مقصد (خود سرور) 192.168.1.7 است. پروتکل ICMP برای تمام Interface ها و پروتکل های UDP و TCP برای ترافیک Input در حالت Accept است. بنابراین فقط مبدا 192.168.1.3 می تواند سرور را پینگ کند.

در این فایروال سه نوع Target داریم

  1. Accept
  2. Drop
  3. Reject

نکته: تفاوت Drop و Reject در این است که هنگامی که بسته ای Reject شود یک پیغام برگشت ارسال می کند اما در صورتی که Drop شود هیچ پیغام برگشتی نخواهد داشت. در صورتی که به هر دلیلی دسترسی شما به سرور مسدود شد، در شل لینوکس از کامند زیر جهت متوقف کردن سرویس IPtables استفاده کنید و سپس پیکربندی خود را بررسی کنید.

(service iptables stop (CentOS 5,6 #
(systemctl stop iptables (CentOS7 #

سخن آخر

با استفاده از این ماژول شما می توانید ده ها قانون جهت امنیت سانترال ویپ خود تعریف کنید. همانطور که می دانید امنیت یک موضوع نسبی است و هیچگاه نمی توانیم امنیت را به صورت صد در صد برقرار کنیم و تنها می توانیم کار مهاجم را سخت کنیم. بنابراین حتی اگر بهترین دیوارهای آتش را داشته باشید، باید همیشه آماده حمله مهاجمان سایبری باشید!

مخاطرات و راهکارهای برقراری امنیت ویپ (قسمت چهارم)

این مقاله اولین بار در سال 95 در این سایت منتشر شده است

من هومن حیدری هستم. دانشجوی رشته MBA گرایش بازاریابی. 8 سال سابقه فعالیت در زمینه سخت افزار و فناوری اطلاعات دارم و از این مدت 4 سال هست که به عنوان کارشناس فنی و فروش در زمینه سیستم های تلفنی مبتنی بر استریسک و سخت افزارهای مرتبط فعالیت میکنم. مشاوره در زمینه راه کارهای ویپ، امور مرتبط با مارکتینگ و تولید محتوای صوتی، تصویری، متنی و آموزش از علاقه مندی های من هست. تجربه هایی در زمینه مستند سازی سازی و ارائه دیاگرام زیرساخت شبکه، VMS و تجهیزات مدار بسته، پسیو شبکه، طراحی اتاق سرور و مانیتورینگ و مدیریت شبکه های کامپیوتری کوچک دارم و بسیار علاقه مند به فراگیری مباحث جدید در حوزه کسب و کار، فناوری اطلاعات و علاقه مند به کسب و کارهای خلاق هستم.

دیدگاه خود را بنویسید:

آدرس ایمیل شما نمایش داده نخواهد شد.

سایدبار کشویی