firewall Archives - مرکز آموزش زاگریو

چگونه مدیریت Rule های فایروال را در CentOS 7 انجام دهیم؟

زاگریو20 مرداد 1401

3.7kviews

در مدیریت Rule های فایروال را در CentOS 7، شما نیاز دارید که با فایروال آشنا شوید برای آشنایی با فایروال CentOS 7 با مقاله زاگریو همراه باشید.
در این مقاله ما می‌خواهیم درباره اضافه و حذف Rule های اساسی فایروال بحث کنیم. این Rule ها به شما اجازه می‌دهند به خدماتی که در حال اجرا بر روی سرور است دسترسی داشته باشید.

هشدار: هنگامی که با یک سرور Remote کار می‌کنید و تنظیمات فایروال آن را مدیریت می‌کنید، باید مراقب باشید که از سرور خارج نشوید. مثلا اگر پورت ۲۲ که مربوط به SSH است را ببندید دیگر نمی‌توانید از طریق SSH به سرور دسترسی داشته باشید. برای این مواقع شما می‌توانید تگ دائمی (permanent flag) را حذف کنید که در صورت مواجه با همچین مشکلی با Reboot کردن سرور Rule هایی که ایجاد کرده‌اید حذف می‌شوند.

چگونه Rule های فایروال را در CentOS 7 مدیریت کنیم

به طور کلی در نرم افزار فایروال سه منطقه وجود دارد؛ Domain Profile ،Private Profile ،Public Profile.
منطقه Domain Profile برای زمانی‌که کامپیوتر شما عضو دامنه یک شرکت بزرگ است استفاده می‌شود. منطقه Private Profile برای یک شبکه خصوصی محلی استفاده می‌شود و منطقه Public Profil برای زمانی استفاده می‌شود که کامپیوتر شما عضو یک شبکه محلی عمومی باشد. در CentOS7 منطقه پیش‌فرض فایروال “Public” است. شما می‌توانید این مسیر را به /etc/firewalld/firewalld.conf تغییر دهید. اما در حال حاضر ما با توجه به اهداف مقاله همان منطقه “Public” را در نظر می‌گیریم.

باز کردن پورت‌های فایروال CentOS 7:

برای باز کردن پورت ۸۰ (Http) در فایروال، شما می‌توانید از دستور زیر استفاده کنید.

firewall-cmd --permanent --zone=public --add-port=80/tcp

نکته: در دستور بالا با حذف تگ Permanent در صورت مواجه با مشکل با Reboot کردن سیستم Rule هایی که ایجاد کرده‌اید حذف می‌شوند.

با استفاده از دستور زیر می‌توانید تغییرات را در فایروال اعمال کنید:

firewall-cmd –reload

تایید Rule های فایروال CentOS 7:

دستور زیر برای بررسی باز بودن پورت استفاده می‌شود، این دستور به سادگی با یک بله یا نه بازگشت داده می‌شود.

firewall-cmd --zone=public --query-port=80/tcp

ایجاد Rule ها با استفاده از نام سرویس‌ها:

متناوبا شما می‌توانید با استفاده از نام سرویس‌ها Rule ها را ایجاد کنید:

firewall-cmd --permanent --zone=public --add-service=http

اکنون می‌توانید با دستور زیر تغییرات را اعمال نمائید:

firewall-cmd –reload

بررسی پورت سرویس‌های باز شده:

firewall-cmd --zone=public --query-service=http

مثال‌های واقعی:

این مراحل یک ورودی دائم از پیکربندی فایروالتان ایجاد می‌کنید که ورودی اتصالات TCP به پورت ۸۰ TCP از اینترنت را اجازه می‌دهد.

با استفاده از دستور “firewall-cmd –list-all”می‌توانید تنظیمات اخیر فایورال خود را مشاهده کنید.

مثال:

firewall-cmd --list-all

public (default, active) interfaces: eth0 eth1 sources: services: ssh ports: 80/tcp masquerade: no forward-ports: icmp-blocks: rich rules:

برای حذف Rule یا سرویسی که اضافه کرده‌اید:

firewall-cmd --zone=public --remove-port=80/tcp

یا

firewall-cmd --zone=public --remove-service=http

سپس با استفاده از دستور زیر از اعمال تغییرات مطمئن شوید:

firewall-cmd –reload

فایروال اجازه می‌دهد که راحت و آسان قوانین فایروال CentOS7 را مدیریت کنید. با کمی تمرین می‌تواند ابزاری مطمئن و امن برای حفظ زیرساخت‌های خود داشته باشید.

روشن و خاموش کردن فایروال ویندوز با استفاده از دستورات

زاگریو19 فروردین 1401

4.3kviews

این مقاله توضیح می‌دهد که چگونه به سرعت می‌توانید فایروال ویندوز را خاموش و یا روشن کنید. این دستورات را برای ویندوز ویستا، ویندوز ۷ و ویندوز سرور ۲۰۰۸ قابل استفاده است.

روشن و خاموش کردن فایروال ویندوز با استفاده از دستورات

فایروال بر روی کامپیوترهایی که ویندوز ویستا، ویندوز ۷ و ویندوز سرور ۲۰۰۸ دارند به صورت پیش‌فرض فعال است. ممکن است شما به دلایل مختلف نیاز داشته باشید که فایروال را خاموش کنید. با استفاده از این دستورات می‌توانید فایروال را خیلی سریع روشن و یا خاموش کنید.

روشن و خاموش کردن فایروال

برای خاموش کردن فایروال از دستور زیر استفاده کنید:

NetSh Advfirewall set allprofiles state off

برای روشن کردن فایروال از دستور زیر استفاده کنید:

NetSh Advfirewall set allrprofiles state on

برای بررسی وضعیت فایروال از دستور زیر استفاده کنید:

Netsh Advfirewall show allprofiles

مسدود کردن دسترسی کشورهای خاص در cPanel

Saman Yazdannik23 مهر 1399

351views

گاهی اوقات پیش می‌آید که شما قصد دارید با مسدود کردن دسترسی ورودی سایت خود از بعضی از کشورهای خاص را محدود نمایید این امر ممکن است دلایل متعددی داشته باشد، در ادامه با ما همراه باشید تا دو متد برای مسدود کردن دسترسی به شما آموزش دهیم.

راه اول: استفاده از cPHulk برای مسدود کردن دسترسی

قدم اول: وارد بخش نصب WHM شوید.

قدم دوم: بخش Security Center را بیابید سپس وارد بخش cPHulk Brute Force Protection شوید.

قدم سوم: در این بخش منویی با نام Countries Management مانند عکس زیر مشاهده خواهید نمود.

cphulk1 مسدود کردن دسترسی

قدم چهارم: کشورهایی را که میخواهید دسترسی آن‌ها را قطع نمایید را انتخاب نموده و با استفاده از گزینه کنار فحه مانند عکس آن‌ها را مشخص نمایید.

cphulk2 مسدود کردن دسترسی

حالا کشورهای انتخاب شده نمی‌توانند از سایت شما دیدن نمایند.

راه دوم: استفاده از csf

قدم اول: وارد بخش نصب WHM شوید.

قدم دوم: به بخش Plugins بروید و سپس وارد بخش ConfigServer Security & Firewall شوید.

قدم سوم: در بخش Firewall Configuration به دنبال منوی Country Code Lists and Settings بگردید مانند تصویر زیر:

-csf1 مسدود کردن دسترسی

قدم چهارم: در بخش CC_DENY نام کشورهایی که نیاز دارید دسترسی آنها به سایتتان بلاک شود را باید مانند زیر وارد نمایید.

In the following options, specify the the two-letter ISO Country Code(s).
The iptables rules are for incoming connections only
Additionally, ASN numbers can also be added to the comma separated lists
below that also list Country Codes. The same WARNINGS for Country Codes apply
to the use of ASNs. More about Autonomous System Numbers (ASN):
http://www.iana.org/assignments/as-numbers/as-numbers.xhtml
ASNs must be listed as ASnnnn (where nnnn is the ASN number)
You should consider using LF_IPSET when using any of the following options
WARNING: These lists are never 100% accurate and some ISP's (e.g. AOL) use
non-geographic IP address designations for their clients
WARNING: Some of the CIDR lists are huge and each one requires a rule within
the incoming iptables chain. This can result in significant performance
overheads and could render the server inaccessible in some circumstances. For
this reason (amongst others) we do not recommend using these options
WARNING: Due to the resource constraints on VPS servers this feature should
not be used on such systems unless you choose very small CC zones
WARNING: CC_ALLOW allows access through all ports in the firewall. For this
reason CC_ALLOW probably has very limited use and CC_ALLOW_FILTER is
preferred
Each option is a comma-separated list of CC's, e.g. "US,GB,DE"
CC_DENY =
CC_ALLOW = </code> <img class="aligncenter wp-image-76342 size-full" src="https://kb.zagrio.com/wp-content/uploads/2020/10/block-countires-csf2.png" alt="-csf مسدود کردن دسترسی" width="1037" height="233" />

In the following options, specify the the two-letter ISO Country Code(s).

The iptables rules are for incoming connections only

Additionally, ASN numbers can also be added to the comma separated lists

below that also list Country Codes. The same WARNINGS for Country Codes apply

to the use of ASNs. More about Autonomous System Numbers (ASN):

http://www.iana.org/assignments/as-numbers/as-numbers.xhtml

ASNs must be listed as ASnnnn (where nnnn is the ASN number)

You should consider using LF_IPSET when using any of the following options

WARNING: These lists are never 100% accurate and some ISP's (e.g. AOL) use

non-geographic IP address designations for their clients

WARNING: Some of the CIDR lists are huge and each one requires a rule within

the incoming iptables chain. This can result in significant performance

overheads and could render the server inaccessible in some circumstances. For

this reason (amongst others) we do not recommend using these options

WARNING: Due to the resource constraints on VPS servers this feature should

not be used on such systems unless you choose very small CC zones

WARNING: CC_ALLOW allows access through all ports in the firewall. For this

reason CC_ALLOW probably has very limited use and CC_ALLOW_FILTER is

preferred

Each option is a comma-separated list of CC's, e.g. "US,GB,DE"

CC_DENY =

CC_ALLOW = </code> <img class="aligncenter wp-image-76342 size-full" src="https://kb.zagrio.com/wp-content/uploads/2020/10/block-countires-csf2.png" alt="-csf مسدود کردن دسترسی" width="1037" height="233" />

نحوه مدیریت و استفاده از FirewallD در CentOS7

زاگریو12 اسفند 1397

1.7kviews

FirewallD یک راهکار مدیریت دیوار آتش برای اکثر توزیع های لینوکس است که به عنوان یک رابط کاربری برای iptables عمل می کند.

در این آموزش، نحوه استفاده از دستورات مدیریتی firewall-cmd را به شما آموزش خواهیم داد.

آشنایی با مفاهیم اولیه FirewallD

قبل از بررسی دستورات، لازم است با برخی مفاهیم اولیه آشنا شویم:

منطقه – Zones

سرویس firewalld مجموعه ای از قوانین به نام zones را مدیریت میکند. این مناطق بصورت کلی تعیین می کنند که چه ترافیکی می بایست بر اساس سطح اعمتادی که شما به شبکه های متصل به سیستم خود دارید رد و بدل شوند. کارت های شبکه به مناطق مورد نظر شما متصل می شوند تا رفتار ترافیکی توسط دیوار آتش کنترل شود.

برای سیستم های کامپیوتری مانند لپتاپ ها که همیشه در حال جابجایی هستند، این انعطاف پذیری کمک می کند تا راهکار خوبی را برای قوانین شبکه بر اساس محیط کاری شما ایجاد شود. شاید شما برای شبکه های عمومی مانند هتل ها و .. نیازمند راهکار سخت گیرانه تری باشید به نسبت شبکه خانگی خودتان. برای سرور ها این موقعیت ها خیلی مهم نیستند زیرا جابجایی نوع شبکه اصلا وجود ندارد و یا در صورت وجود به ندرت اتفاق می افتد.

بدون در نظر گرفتن اینکه چقدر محیط شبکه شما پویا است، دانستن و آشنا شدن با این ایده هایی که برای طراحی firewalld در نظر گرفته شده است امری ضروری است. به ترتیب در شبکه های پیشفرض تعریف شده از “کمترین میزان اعتماد” تا “بیشترین میزان اعتماد” مناطق زیر تعریف شده اند:

منطقه drop: کمترین میزان اعتماد به شبکه، تمامی ورودی ها بسته شده و درخواست های ارسالی بی پاسخ خواهند ماند و فقط اتصال های خروجی فعال هستند.

منطقه block: مانند مورد فوق با این تفاوت که اتصال های ورودی با پیام icmp-host-prohibited یا icmp6-adm-prohibited رد (reject) می شوند.

منطقه public: به عنوان شبکه عمومی و نا مطمئن. شما به سیستم های کامپیوتری موجود اعتمادی ندارید و صرفا ممکن است اجازه اتصال های ورودی را بر اساس مورد به مورد بدهید.

منطقه external: شبکه های خارجی در مواقعی که شما از فایروال به عنوان gateway خود استفاده می کنید. در اصل بصورت NAT masquerading به سمت شبکه داخلی شما متصل شده است و به همین منظور شبکه داخلی شما خصوصی اما در دسترس خواهد بود.

منطقه internal: سمت دیگر external است، برای بخش داخلی gateway شما است. سیستم های موجود تقریبا قابل اعتماد هستند و برخی سرویس ها نیز در دسترس هستند.

منطقه dmz: جهت استفاده برای سیستم هایی که در DMZ (سیستم هایی در شبکه که به هسته اصلی شبکه شما دسترسی ندارند) وجود دارد. صرفا برخی اتصال های ورودی مجاز هستند.

منطقه work: برای سیستم های کاری در نظر گرفته شده اند، در حالی که شما به سیستم های اطراف خود اطمینان دارید و برخی سرویس ها نیز فعال هستند.

منطقه home: شبکه خانگی، در اصل شبکه ای که شما به اجزای آن اطمینان دارید و سرویس های بیشتری در دسترس هستند.

منطقه trusted: به تمامی سیستم های موجود در شبکه اطمینان دارید. باز ترین نوع منطقه موجود که می بایست با بررسی دقیق انتخاب شود.

با استفاده از دیوارآتش، شما می توانید قوانین (rules) مورد نظر خود را ایجاد کنید و آنها را به مناطق مورد نظر خود متصل کنید و سپس آنها را به کارتهای شبکه مورد نظر الحاق کنید.

دوام قوانین

در firewalld، قوانین تعریف شده می توانند به دو صورت “فوری” یا “دائمی” تعریف شوند. چنانچه یک rule اضافه شود و یا تغییر یابد، بصورت فوری رفتار فایروال تغییر می کند اما پس از ریستارت شدن سیستم قوانین قدیمی مجددا فعال می شوند و تغییرات از بین خواهند رفت.

اغلب دستورات firewall-cmd می توانند گزینه permanent– را به همراه داشته باشند. این گزینه مشخص می کند که پس از ریستارت شدن سیستم قانون تعریف شده مجددا فراخوانی شده و حذف نشود. این بدین معناست که شما می توانید قوانین را بصورت همزمان تست کنید و در صورتی که مشکلی برای شما پیش آمد با یک ریستارت قانون تعریف شده را حذف کنید. همچنین استفاده از تگ permamnet– به شما کمک می کند تا تعداد زیادی قوانین را تعریف کنید که پس از ریستارت سیستم اعمال شوند.

نصب و فعالسازی فایروال بر روی سیستم در زمان بوت شدن

نرم افزار firewalld بصورت پیشفرص بر روی برخی از توریع های لینوکس اعم از CentOS 7 وجود دارد. با این حال با استفاده از دستور زیر می توانید آن را نصب کنید:

$ sudo yum install firewalld<br>

1	$ sudo yum install firewalld<br>

پس از نصب می توانید با استفاده از دستور زیر آن را در زمان بوت سیستم نیز فعال کنید. در یاد داشته باشید که با این دستور این سرویس در زمان بوت فعال می شود. بهترین روش این است که شما ابتدا تمامی قوانین موجود را تست کنید تا در صورت بروز اشکال در قوانین با مشکلات احتمالی روبرو نشوید.

$ sudo systemctl enable firewalld<br>$ sudo reboot

1	$ sudo systemctl enable firewalld<br>$ sudo reboot

پس از ریستارت شدن سیستم، فایروال می بایست فعال شده، کارتهای شبکه در zone مربوطه قرار گرفته (و یا به تنظیمات پیشرفض برگردد) و سپس قوانین تعریف شده پردازش شوند.

با استفاده از دستور زیر می توانید وضعیت فایروال را بررسی کنید:

$ sudo firewall-cmd --state

1	$ sudo firewall-cmd --state

output<br>running

1	output<br>running

این بدین معناست که فایروال فعال است و تنظیمات پیشرفض فعال است.

آشنایی با قوانین فعلی فایروال

قبل از شروع تغییرات ابتدا باید با شرایط و قوانین فعلی تعریف شده بر روی سرویس آشنا شوید.

مشاهده تنظیمات پیشرفض

برای مشاهده منطقه انتخاب شده فعلی دستور زیر را بزنید:

$ firewall-cmd --get-default-zone<br>

1	$ firewall-cmd --get-default-zone<br>

output<br>public

1	output<br>public

از آنجایی که ما برای firewalld هنوز دستوراتی نزده ایم و بصورت پیشفرض است و هیچ یک از کارتهای شبکه ما به منطقه دیگری متصل کنید، تنها منطقه فعال همان مورد فوق است که کارتهای شبکه ما را کنترل می کند. جهت تایید میتوانید از دستور زیر استفاده کنید:

$ firewall-cmd --get-active-zones<br>

1	$ firewall-cmd --get-active-zones<br>

output<br>public<br>  interfaces: eth0 eth1

1	output<br>public<br> interfaces: eth0 eth1

همانطور که میبینیم سرور ما دو کارت شبکه دارد که هر دو بصورت پیشفرض بر روی منطقه public تنظیم شده است.

چطور متوجه شویم که چه قوانینی برای منطقه عمومی تعریف شده است؟ با استفاده از دستور زیر میتوانید تمامی سرویس های فعال بر روی public zone را مشاهده کنیم:

$ sudo firewall-cmd --list-all<br>

1	$ sudo firewall-cmd --list-all<br>

output<br>
public (default, active)<br>
target: default<br>
icmp-block-inversion: no<br>
interfaces: eth0 eth1<br>
sources: <br>
services: ssh dhcpv6-client<br>
ports: <br>
protocols: <br>
masquerade: no<br>
forward-ports: <br>
source-ports: <br>
icmp-blocks: <br>
rich rules:

output

public (default, active)

target: default

icmp-block-inversion: no

interfaces: eth0 eth1

sources:

services: ssh dhcpv6-client

ports:

protocols:

masquerade: no

forward-ports:

source-ports:

icmp-blocks:

rich rules:

همانطور که با استفاده از دستور قبلی هم دیدیم، هر دو کارت شبکه eth0 و eth1 به این zone متصل هستند. هرچند با این دستور میتوانیم ببینیم که سرویس DHCP Client و سرویس SSH بر روی این zone تعریف شده است.

مشاهده مناطق (zone) های دیگر

حالا ما اطلاعات کافی در مورد تنظیمات پیشفرض داریم، با استفاده از دستور زیر میتوانیم اطلاعات دیگر در خصوص zone های دیگر نیز به دست آوریم.

برای مشاهده لیست zone های موجود دستور زیر را بزنید:

$ firewall-cmd --get-zones

1	$ firewall-cmd --get-zones

output<br>block dmz drop external home internal public trusted work

1	output<br>block dmz drop external home internal public trusted work

ما می توانیم تنظیمات انجام شده برای یک zone خاص را با اضافه کردن دستور =zone– به همراه list-all– مشاهده کنیم:

$ sudo firewall-cmd --zone=home --list-all

1	$ sudo firewall-cmd --zone=home --list-all

output<br>
home<br>
interfaces: <br>
sources: <br>
services: dhcpv6-client ipp-client mdns samba-client ssh<br>
ports: <br>
masquerade: no<br>
forward-ports: <br>
icmp-blocks: <br>
rich rules:

output

home

interfaces:

sources:

services: dhcpv6-client ipp-client mdns samba-client ssh

ports:

masquerade: no

forward-ports:

icmp-blocks:

rich rules:

شما می توانید تمامی مناطق تعریف شده را با استفاده از list-all-zones– مشاهده کنید.

$ sudo firewall-cmd --list-all-zones | less

1	$ sudo firewall-cmd --list-all-zones \| less

انتخاب یک منطقه – Zone برای کارت شبکه شما:

در صورتی که شما برای یک کارت شبکه یه منطقه تعریف نکرده باشید، بصورت پیشفرض در زمان بوت منطقه پیشفرض برای آن تعریف شد است.

تغییر Zone بر روی کارت های شبکه

شما با استفاده از پارامتر =zone– به همراه =change-interface– می توانید تنظیمات را انجام دهید. همچنین برای دسترسی مدیریتی باید از sudo نیز استفاده کنید.

با استفاده از دستور زیر ما کارت شبکه eth0 را بر روی منطقه home تعریف می کنیم.

$ sudo firewall-cmd --zone=home --change-interface=eth0<br>

1	$ sudo firewall-cmd --zone=home --change-interface=eth0<br>

output<br>success

1	output<br>success

نکته

توجه داشته باشید که با تغییر zone ممکن است یک سرویس فعال از کار بی افتد، برای مثال در صورت انتقال به شبکه home سرویس SSH در آن فعال است و شما قادر به ادامه کار هستند اما برخی منطقه ها بصورت پیشفرض SSH برای آنها فعال نیست و در صورت جابجایی به آن مناطق دسترسی شما به سرور قطع خواهد شد و قادر به اتصال مجدد به سرور نخواهید بود.

با استفاده از دستور زیر می توانید موفقیت آمیز بودن دستور فوق را بررسی کنید:

$ firewall-cmd --get-active-zones<br>

1	$ firewall-cmd --get-active-zones<br>

output<br>
home<br>
interfaces: eth0<br>
public<br>
interfaces: eth1

output

home

interfaces: eth0

public

interfaces: eth1

تنظیم منطقه پیشفرض:

تمامی کارتهای شبکه شما می تواند توسط یک منطقه مدیریت شود. احتمالا راحت تر است که یک منطقه پیشفرض تعریف و تنظیم شود تا بتوانید از آن برای تنظیمات خود استفاده کنید.

شما می توانید منطقه پیشفرض را با پارامتر =set-default-zone– تنظیم کنید. این دستور بلافاصله تمامی کارتهای شبکه را که منطقه ای برای آن تعریف نشده است را به شرح مورد نظر شما تغییر می دهد:

$ sudo firewall-cmd --set-default-zone=home

1	$ sudo firewall-cmd --set-default-zone=home

output<br>success

1	output<br>success

انتخاب قوانین برای برنامه های شما

بهترین روش برای تعریف قوانین فایروال تعریف آنها به عنوان نرم افزار است. راه کار آن به شرح ذیل است:

اضافه کردن یک سرویس برای منطقه های شما:

راحت ترین روش اضافه کردن سرویس و یا پورت مورد نظر شما برای مناطقی است که از آن استفاده می کنید، مجددا با دستور get-services– سرویس های فعال را دریافت کنید:

$ firewall-cmd --get-services<br>

1	$ firewall-cmd --get-services<br>

output<br>
RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client dns docker-registry dropbox-lansync elasticsearch freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp ganglia-client ganglia-master high-availability http https imap imaps ipp ipp-client ipsec iscsi-target kadmin kerberos kibana klogin kpasswd kshell ldap ldaps libvirt libvirt-tls managesieve mdns mosh mountd ms-wbt mssql mysql nfs nrpe ntp openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp pulseaudio puppetmaster quassel radius rpc-bind rsh rsyncd samba samba-client sane sip sips smtp smtp-submission smtps snmp snmptrap spideroak-lansync squid ssh synergy syslog syslog-tls telnet tftp tftp-client tinc tor-socks transmission-client vdsm vnc-server wbem-https xmpp-bosh xmpp-client xmpp-local xmpp-server

output

RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client dns docker-registry dropbox-lansync elasticsearch freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp ganglia-client ganglia-master high-availability http https imap imaps ipp ipp-client ipsec iscsi-target kadmin kerberos kibana klogin kpasswd kshell ldap ldaps libvirt libvirt-tls managesieve mdns mosh mountd ms-wbt mssql mysql nfs nrpe ntp openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp pulseaudio puppetmaster quassel radius rpc-bind rsh rsyncd samba samba-client sane sip sips smtp smtp-submission smtps snmp snmptrap spideroak-lansync squid ssh synergy syslog syslog-tls telnet tftp tftp-client tinc tor-socks transmission-client vdsm vnc-server wbem-https xmpp-bosh xmpp-client xmpp-local xmpp-server

نکته

شما می توانید اطلاعات بیشتری در خصوص هر سرویس با مشاهده فایلهای xml. آن به دست آورید که در مسیر /usr/lib/firewalld/services قرار دارد. برای مثال سرویس SSH شامل موارد ذیل است:

/usr/lib/firewalld/services/ssh.xml <br>

1	/usr/lib/firewalld/services/ssh.xml <br>

<br><code>&lt;?xml version="1.0" encoding="utf-8"?></code><br><code>&lt;service></code><br><code>&lt;short>SSH&lt;/short></code><br><code>&lt;description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.&lt;/description></code><br><code>&lt;port protocol="tcp" port="22"/></code><br><code>&lt;/service>

<code><?xml version="1.0" encoding="utf-8"?></code> <code><service></code> <code><short>SSH</short></code> <code><description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description></code> <code><port protocol="tcp" port="22"/></code> <code></service>

چگونه یک گروه CSF برای همگام‌سازی Blacklists و Whitelists ایجاد کنیم؟

زاگریو20 تیر 1397

970views

ما دیده‌ایم که بسته‌های کانفیگ فایروال سرور (CSF) یک راه‌حل امنیتی استاندارد قدرتمند است برای سرورهایی که درحال اجرای WHM هستند.

یکی از اجزای فعال که lfd نامیده می‌شود (Login Failure Daemon) که همه سوابق و تلاش‌هایی که برای Login شدن به سرور از طریق SSH و یا از طریق رابط گرافیکی GUI و ایجاد لیست‌های سفید و سیاه از IP آدرس‌ها به منظور جلوگیری از حملات را ثبت می‌کند.اگر شما تعدادی سرور درحال اجرای WHM دارید و اگر یک گروه DNS تنظیم کرده‌اید شما قطعا هر نمونه از CSF که شامل لیست‌های سفید و سیاه مرتبط با خود باشد را نگهداری خواهید کرد. به جای تکرار این عمل در هر زمان، راحت‌تر نیست اگر سرویس‌دهنده شما این اطلاعات را خودشان به اشتراک بگذارند؟ بنابراین اگر یکی از آنها یک حمله brute force که از یک آدرس IP خاص صورت گرفته را تشخیص دهد دیگران نیاز نیست قبل از این‌که بیش از حد محاصره شوند، صبر کنند. آن‌ها می‌توانند این اطلاعات را برای پیش‌دستی کردن در مقابل حملات به یکدیگر انتقال دهند.

این به عنوان یک گروه CSF شناخته می‌شود. گروه‌هایی از سرورها که لیست‌های سفید و سیاه را به اشتراک می‌گذارند. انجام این تنظیمات بسیار آسان است وتنها نیاز به چند تغییر در فایل “csf.conf” بر روی هر یک از اعضای گروه دارد. در این‌جا به شما آموزش می‌دهیم که چگونه این کار را انجام دهید:

پیکربندی سرورها:

برای شرکت در یک گروه CSF سرورها باید در حال اجرای WHM یا DNSONLY با CSF به علاوه installed.In باشند. در فایل “csf.conf” پارامتر “TESTING” باید با مقدار ۰ تنظیم شود و یا اینکه lfd شروع نشود. در هنگام نصب و راه‌اندازی CSF به طور پیش‌فرض TESTING فعال است. بنابراین این گزینه را باید برای هر سرور انجام دهید.

در این مثال ما قصد داریم از ConfigServer اکسپلورر (CSE) به عنوان سیستم مدیریت فایل استفاده کنیم. شما می‌توانید در صورت تمایل از نرم‌افزار ویرایش فایل‌هایتان را به طور مستقیم از CLI استفاده کنید.

مشخص کردن گروه‌ها:

اولین کاری که شما باید انجام دهید این است که آدرس IP همه اعضای شرکت کننده در گروه را بدست آورید. در این مثال ما فقط دو آدرس IP داریم:

87.76.280.180

176.58.116.232

فایل csf.conf موجود در دایرکتوری etc/csf/ در زیر نمایش داده شده است را باز کنید.

اکنون در فایلی که در پیش رو دارید دو پارامتر زیر را جستجو کنید:

CLUSTER_SENDTO

CLUSTER_RECVFROM

آدرس IP هر دو سرور را با استفاده از کاما از هم جدا کنید و هر دو IP را مانند شکل زیر در داخل یک ” ” قرار دهید:

با این تنظیمات تمام اعضای درون گروه قادر به ارسال و دریافت اطلاعات لیست سیاه و لیست سفید با یکدیگر هستند. شما در حال ایجاد یک نوع شبکه هستید که هر سرور با دیگر سرورها یک لینک مستقیم دارد.

گزینه بعدی که باید فعال شود CLUSTER_BLOCK نامیده می‌شود. این گزینه به صورت پیش‌فرض فعال است مگر اینکه در جایی چیزی تغییر کرده باشد. شما نیازی نیست آن را تغییر دهید:

مقدار CLUSTER_PORT یک شماره پورت است که نیاز است در بین تمامی سرورهای به اشتراک گذاشته شود. فقط مطمئن شوید که هر فایل csf.conf همان متغییر CLUSTER_PORT را دارد.

CLUSTER_KEY مسئولیت تضمین تمامی ارتباطات رمزگذاری شده بین تمای سرورها را بر عهده دارد. یک رشته عدد و الفبا بین ۸ تا ۵۶ کاراکتر انتخاب کنید و توصیه می‌شود که ترجیحا بیش از ۲۰ کاراکتر باشد. ضروری است که این کلید در فایل‌های csf.conf تمامی سرورها یکسان باشد و مخفی نگه داشته شود. اگر این‌گونه نباشد ممکن است حمله کننده یک پیغام را از سمت سرور شما شناسایی کنند و امنیت سرور شما را به خطر بیندازد.

تغییرات فایل csf.conf طول می‌کشد. مطمئن شوید که برای هر نود (node) در گروه خود این تغییرات را انجام داده‌اید.

راه‌اندازی مجدد و پینگ کردن:

هنگامی که فایل csf.conf اصلاح شد، نیاز داریم که هر دو CSF و همچنین lfd را Restart کنیم. برای انجام این کار از طریق SSH به سرورها Login کنید و دستورات زیر را تایپ کنید:

csf -r

service lfd restart

هنگامی‌که این دو سرویس Restart شد باید گروه را تست کنیم. از طریق ترمینال SSH دستور زیر را تایپ کنید:

csf --cping

اگر تمامی مراحل به درستی انجام شده باشد سرور باید تمامی آدرس IPهای اضافه شده به فایل csf.config را بدون هیچ مشکلی Ping کند.

اگر نتوانید با یکی از سرورها ارتباط برقرار کنید به شما اطلاع‌رسانی شکست خواهد شد. ایجاد یک گروه CSF به شما اجازه می‌دهد که تشخیص خطرات خود را بهبود دهید و این بخش مهمی از معماری امنیتی است.

دستورات مفید SSH برای مدیریت CFS

زاگریو20 تیر 1397

1.3kviews

CFS یکی از بهترین نرم‌افزارهای فایروال برای سرورهای لینوکسی است. در این مقاله برخی از دستورات SSH که برای تنظیمات CSF استفاده می‌شود برای شما آورده شده است.

برای ری‌استارت کردن CSF از دستور زیر استفاده می شود:

csf -r

دستور زیر برای start کردن ruleهای فایروال استفاده می‌شود:

csf –s

دستور زیر یک آدرس IP را از لیست csf.deny (IP های حذف شده) پاک می‌کند و IP را آزاد می‌کند:

csf -dr IP address

با استفاده از دستور زیر می‌توان یک IP آدرس را در لیست csf.deny قرار دهیم ( بلاک کردن IP):

csf -d IP address

با استفاده از دستور زیر می‌توانیم یک IP آدرس را در لیست سفید (whitelist) فایروال قرار دهیم:

csf -a IP address

برای اضافه کردن یک IP به لیست temp IP ban از دستور زیر استفاده می‌کنیم:

csf -td IP address

دستور زیر به ما این امکان را می‌دهد که یک IP برای یک مدت مشخص با استفاده از port مشخص در لیست سفید قرار بگیرد.

csf -ta ipaddress TTL [-p port] [-d direction] [comment]

در دستور بالا TTL برای مشخص کردن زمان برحسب ثانیه است. Port شماره پورت مورد نظر و direction برای مشخص کردن in یا outbound است و از comment هم برای درج پیام استفاده می‌شود.

دستور زیر یک IP آدرس را بطور موقت از لیست حذف می‌کند و یا اجازه میدهد موقتا در لیست باشد.

csf -tr

مشاهده لیست آدرس‌ های ip متصل به سرور

زاگریو20 تیر 1397

14.1kviews

امروز در زاگریو، قصد داریم تا لیست آدرس‌ های ip متصل به سرور را به شما عزیزان، به صورت کامل توضیح دهیم، زیرا ممکن است گاهی به این فکر کنید که به سرور شما حمله شده است و می‌خواهید بدانید که چه کسی سرور شما را مورد حمله Ddos قرار داده است. شما با پیدا کردن IP شخص حمله کننده می توانید که IP آن را مسدود کنید.

دستورات در UNIX | ای پی سرور

با استفاده از دستور زیر در UNIX می‌توانید کلیه آدرس‌های متصل به پورت ۸۰ سرور خود را مشاهده کنید:

netstat -tn 2>/dev/null | grep :80 | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr | head

نمونه خروجی : تمامی آدرس‌ های ip متصل، به ترتیب تعداد اتصال از بیشتر به کمتر

97 114.198.236.100 56 67.166.157.194 44 170.248.43.76 38 141.0.9.20 37 49.248.0.2 37 153.100.131.12 31 223.62.169.73 30 65.248.100.253 29 203.112.82.128 29 182.19.66.187

نکته: این دستور برای نشان دادن این‌که آیا حمله DDoS ای بر روی سرور شما در حال وقوع است به کار می‌رود.

اجاره دهید دستور بلند بالا را در قسمت‌های کوچک برای شما توضیح دهیم:

1- netstat -tn 2>/dev/null

با استفاده از دستور netstat تمامی ارتباطات ورودی و خروجی سرور خود را می‌توانید مشاهده کنید.
n- آدرس‌های را به صورت عدد به جای نام به شما نشان می‌دهد.
t- صرفا ارتباطات به پورت‌های TCP را به شما نشان می‌دهد.
/dev/null خروجی‌های ناخواسته را به مکانی خاص منتقل می‌کند تا درخواست شما مرتب نمایش داده شود.

خروجی:

#Examples - 7 connections tcp 0 0 64.91.*.*:80 114.198.236.100:12763 TIME_WAIT tcp 0 0 64.91.*.*:80 175.136.226.244:51950 TIME_WAIT tcp 0 0 64.91.*.*:80 175.136.226.244:51951 TIME_WAIT tcp 0 0 64.91.*.*:23 202.127.210.2:14517 TIME_WAIT tcp 0 0 64.91.*.*:80 149.238.193.121:65268 TIME_WAIT tcp 0 0 64.91.*.*:80 114.198.236.100:44088 ESTABLISHED tcp 0 0 64.91.*.*:80 175.136.226.244:51952 TIME_WAIT 2- grep:80

صرفا آدرس‌ های ip را نشان می‌دهد که به پورت ۸۰ سرور شما متصل شده‌اند.

tcp 0 0 64.91.*.*:80 114.198.236.100:12763 TIME_WAIT tcp 0 0 64.91.*.*:80 175.136.226.244:51950 TIME_WAIT tcp 0 0 64.91.*.*:80 175.136.226.244:51951 TIME_WAIT tcp 0 0 64.91.*.*:80 149.238.193.121:65268 TIME_WAIT tcp 0 0 64.91.*.*:80 114.198.236.100:44088 ESTABLISHED tcp 0 0 64.91.*.*:80 175.136.226.244:51952 TIME_WAIT 3- awk ‘{print $5}’

awk به شما کمک می‌کند تا رکورد شماره ۵ (آدرس‌ های ip به همراه پورت مربوطه که در خروجی بالا نمایش داده شده‌اند) به صورت جداگانه نمایش داده شود:

۱۱۴٫۱۹۸٫۲۳۶٫۱۰۰:۱۲۷۶۳ ۱۷۵٫۱۳۶٫۲۲۶٫۲۴۴:۵۱۹۵۰ ۱۷۵٫۱۳۶٫۲۲۶٫۲۴۴:۵۱۹۵۱ ۱۴۹٫۲۳۸٫۱۹۳٫۱۲۱:۶۵۲۶۸ ۱۱۴٫۱۹۸٫۲۳۶٫۱۰۰:۴۴۰۸۸ ۱۷۵٫۱۳۶٫۲۲۶٫۲۴۴:۵۱۹۵۲

4- cut -d: -f1

دستور cut کمک می‌کند تا محتوای مورد نظر شما از محتوای ناخواسته جدا شود:
۱٫ d- کاراکتری را که بلافاصله پس از دستور d- نمایش داده می‌شود را مشخص می‌کند، در این مثال : است. به صورت پیش‌فرض tab را انتخاب می‌کند.
۲٫ f- مشخص می‌کند که چه لیستی از کارکترها، بایت‌ها یا قسمت‌ها باید انتخاب شوند.

5- sort | uniq -c | sort -nr
این دستور لیست را مرتب می‌کند، آن‌ها را در یک گروه قرار می‌دهد و مجددا آن‌ها را به صورت ترتیبی مرتب می‌کند:
1٫ sort

۱۱۴٫۱۹۸٫۲۳۶٫۱۰۰ ۱۱۴٫۱۹۸٫۲۳۶٫۱۰۰ ۱۴۹٫۲۳۸٫۱۹۳٫۱۲۱ ۱۷۵٫۱۳۶٫۲۲۶٫۲۴۴ ۱۷۵٫۱۳۶٫۲۲۶٫۲۴۴ ۱۷۵٫۱۳۶٫۲۲۶٫۲۴۴

۲٫ uniq -c – آن‌ها را در گروه قرار می‌دهد.

۲ ۱۱۴٫۱۹۸٫۲۳۶٫۱۰۰ ۱ ۱۴۹٫۲۳۸٫۱۹۳٫۱۲۱ ۳ ۱۷۵٫۱۳۶٫۲۲۶٫۲۴۴

۳٫ sort -nr آن‌ها را بر اساس شماره، از بیشتر به کمتر مرتب می‌کند.

۳ ۱۷۵٫۱۳۶٫۲۲۶٫۲۴۴ ۲ ۱۱۴٫۱۹۸٫۲۳۶٫۱۰۰ ۱ ۱۴۹٫۲۳۸٫۱۹۳٫۱۲۱

۶- دستور head اختیاری است و صرفا ۱۰ رکورد اول را به شما نشان می‌دهد.

IPSec: تامین امنیت گردش اطلاعات توسط فایروال ویندوز سرور

زاگریو16 تیر 1397

3.9kviews

IPSec چیست؟

Internet Protocol Security یا به اختصار IPSec یک پروتکل برای تامین امنیت ارتباطات IP است که این امنیت را توسط Authentication (احراز هویت) و Encryption (کد گذاری) به ازای هر Session از بسته‌های ارتباطی IP تامین می‌کند.
IPSec همچنین شامل پروتکل‌هایی است که با استفاده از کلیدهای کدگذاری شده برای احراز هویت و کد گذاری دو طرفه سمت گیرنده و فرستنده در ابتدای برقراری ارتباط و در طول مدت ارتباط اقدام می‌کند.

چرا از IPSec استفاده کنیم؟

• برای تامین امنیت مورد نیاز ارتباطات و یا برای ارتقای امنیت نرم‌افزارها
• این امکان را به شما می‌دهد که بر مبنی IP محدودیت‌هایی اعمال کنید و در لایه TCP/UDP با اینکه ممکن است نرم‌افزار شما آن را پشتیبانی نکند کدگذاری انجام دهید.

پیش‌نیازها:
• ورودی/خروجی پورت (IP Protocol 50 (ESP
• ورودی/خروجی پورت (IP Protocol 51 (AH
• ورودی/خروجی پورت UDP port 500
• انتخابی: پورت TCP/UDP 88 (در صورت Authentication)
• انتخابی: پورت (UDP 4500 (NAT

با استفاده از Windows Firewall with Advanced Security در دامنه Active Directory
لازم است تمامی مراحل زیر را انجام دهید:

Identity Management یک Policy تحت عنوان CIT-IDM-MachineCertificateAutoEnrollment دارد که به هر کامپیوتری که در یک OU وجود دارد این اجازه را می‌دهد که یک گواهینامه IPSec به ازای هر کامپیوتر ایجاد کند.

۱- یک GPO در OU مورد نظر خود که می‌خواهید توسط IPSec ایمن شود ایجاد نمائید. تمامی ServerFarm ها باید این GPO به آنها Link شده باشد.

۲- مطمئن شوید این Policy به همه سیستم ها اعمال شده و با دستور gpupdate از به روزرسانی آن اطمینان حاصل کنید (پیش‌فرض بروزرسانی ۹۰ دقیقه است).

ایجاد Connection Security Rule بر روی سرور

۱- به سرور وارد شوید.
۲- پنجره Windows Firewall with Advanced Security را باز کنید.
۳- بر روی Connection Security Rule دکمه راست را بزنید و گزینه New Rule را انتخاب کنید.

How-to-Secure-Windows-Traffic-with-IPsec-01

۴- گزینه Custom را انتخاب کنید و بر روی Next کلیک کنید.

How-to-Secure-Windows-Traffic-with-IPsec-02

۵- در تب Endpoints این موارد را انجام دهید:
• در قسمت Endpoint1 آدرس IP یا آدرسهای IP سرور(های) خود را وارد کنید.
• در قسمت Endpoint2 آدرس IP یا آدرسهای IP کلاینت(های) خود را وارد کنید.
• بر روی Next کلیک کنید.

How-to-Secure-Windows-Traffic-with-IPsec-03

۶- گزینه Require authentication for inbound and outbound connections را انتخاب و بر روی Next کلیک کنید.

How-to-Secure-Windows-Traffic-with-IPsec-04

۷- در قسمت Authentication Method گزینه Advanced را انتخاب و Customize را بزنید.

How-to-Secure-Windows-Traffic-with-IPsec-05

۸- در پنجره First Authentication Method گزینه Add را بزنید.

How-to-Secure-Windows-Traffic-with-IPsec-06

۹- در پنجره Add First Authentication Method گزینه Computer certificate from this certificate authority را انتخاب و مراحل زیر را انجام دهید:
• (Signing algorithm : (default
• (Certificate store type: (default
• گزینه Browse را زده و مرجع صادرکننده گواهینامه را انتخاب کنید.
• بر روی OK کلیک کنید.

How-to-Secure-Windows-Traffic-with-IPsec-07

How-to-Secure-Windows-Traffic-with-IPsec-08

۱۰- در پنجره Customize Advanced Authentication Methods بر روی OK کلیک کنید.

How-to-Secure-Windows-Traffic-with-IPsec-09

۱۱- مجددا پنجره New Connection Security Rule Wizard: Authentication Method را مشاهده خواهید کرد. بر روی OK کلیک کنید.
۱۲- در باکس To which ports and protocols does this rule apply سرویس‌ها و پروتکل‌های موردنظر خود (برای مثال SMB, TCP 445) را انتخاب کنید و بر روی Next کلیک کنید.
از آنجایی که این سرویس فقط در Endpoint1 ارائه می‌شود، شماره پورت موردنظر را وارد کنید و در قسمت Endpoint2 بر روی All Ports باشد.

How-to-Secure-Windows-Traffic-with-IPsec-10

۱۳- در باکس When does this rule apply تمامی چک باکس‌ها فعال باشد و بر روی Next کلیک کنید.

How-to-Secure-Windows-Traffic-with-IPsec-11

۱۴- یک نام برای این Rule انتخاب کنید و گزینه Finish را بزنید.

تنظیمات امنیتی سمت Client

۱- به ماشین Client وارد شوید.
۲- تمامی مراحل بالا را از مرحله ۳ تا ۱۴ برای کلاینت نیز تکرار کنید. (تمامی مراحل حتی قسمت Endpoint ها یکسان است.)
۳- ارتباط خود را تست کنید و مطمئن شوید کماکان فعال است.
نکته: ممکن است در ابتدای ارتباط شما یک وقفه وجود داشته باشد که این مورد به دلیل شروع Negotiationارتباط است.
۴- در قسمت Monitoring شما باید ارتباط احراز هویت شده خود را فی‌مابین سیستم‌ها مشاهده کنید.

How-to-Secure-Windows-Traffic-with-IPsec-12

۵- توجه کنید در همین قسمت در زیر منوی Quick Mode مقدار ESP Encryption بر روی None است. این گزینه به این معناست که احراز هویت سیستم مقابل تامین شده است اما اطلاعات رد و بدل شده توسط IPSecایمن نشده است!

How-to-Secure-Windows-Traffic-with-IPsec-13

تنظیمات فایروال سمت سرور

۱- به سرور وارد شوید.
۲- یک New Rule از قسمت Inbound Connections ایجاد کنید.

How-to-Secure-Windows-Traffic-with-IPsec-14

۳- بر روی Custom کلیک کنید و به مرحله بعدی بروید.

How-to-Secure-Windows-Traffic-with-IPsec-15

۴- گزینه All Programs را انتخاب کنید و به مرحله بعدی بروید.

How-to-Secure-Windows-Traffic-with-IPsec-16

۵- پورت ورودی سمت سرور (مثلا ۴۴۵ SMB) را انتخاب و به مرحله بعدی بروید.

How-to-Secure-Windows-Traffic-with-IPsec-17

۶- آدرس IP های موردنظر خود را مانند بالا انتخاب کنید و بر روی Next کلیک کنید.

How-to-Secure-Windows-Traffic-with-IPsec-18

۷- گزینه Allow the connection if it is secure را انتخاب و سپس Customize را انتخاب کنید.

How-to-Secure-Windows-Traffic-with-IPsec-19

۸- گزینه Require the connections to be encrypted را انتخاب و بر روی OK کلیک کنید.

How-to-Secure-Windows-Traffic-with-IPsec-20

۹- در منوی Action بر روی OK کلیک کنید.
۱۰- در منوی Users نیز OK را بزنید.
۱۱- در منوی Computer نیز OK را بزنید.

How-to-Secure-Windows-Traffic-with-IPsec-21

۱۲- در قسمت Profiles تمامی تیک‌ها را بزنید و به مرحله بعد بروید.
۱۳- نامی را برای این Rule انتخاب کنید و Finish را بزنید.

تنظیمات فایروال سمت کلاینت

۱- به کلاینت وارد شوید.
۲- یک Rule جدید در قسمت Outbound Rules ایجاد کنید.

How-to-Secure-Windows-Traffic-with-IPsec-22

۳- انتخاب گزینه Custom و سپس مرحله بعد.
۴- انتخاب گزینه All Programs و سپس مرحله بعد.
۵- گزینه Remote Port (در این مثال SMB 445) را انتخاب و به مرحله بعدی بروید.

How-to-Secure-Windows-Traffic-with-IPsec-23

۶- آدرس IP های مورد نظر را انتخاب کنید.

How-to-Secure-Windows-Traffic-with-IPsec-24

۷- گزینه Allow the connection if it is secure را انتخاب کنید و بر روی Customize کلیک کنید.
۸- گزینه Require the connections to be encrypted را انتخاب کنید و OK را بزنید.

How-to-Secure-Windows-Traffic-with-IPsec-25

۹- در منوی Action بر روی OK کلیک کنید.
۱۰- در منوی Computer نیز OK را بزنید.
۱۱- در قسمت Profiles تمامی تیک‌ها را بزنید و به مرحله بعد بروید.
۱۲- نامی را برای این Rule انتخاب کنید و Finish را بزنید.

تست ارتباط نهایی با IPSec

۱- از سمت کلاینت ارتباط را تست کنید که فعال باشد.
۲- در قسمت Windows Firewall -> Security Associations -> Quick Mode باید گزینه ESP Encryption دارای مقدار موردنظر باشد. این نشانگر امنیت تبادل اطلاعات شماست.

How-to-Secure-Windows-Traffic-with-IPsec-26

مواردی که می‌بایست در نظر داشت:

• برای سیستم‌هایی که به دامنه متصل نیستند می‌توانید از PreShared Key استفاده کنید. این کلیدها به صورت یک متن ساده هستند که در سمت کلاینت و سرور ذخیره می‌شود. برای امنیت اطلاعات در یک شبکه کابلی کماکان مناسب است.

• در قسمت Connection Security Rule باید به جای Computer Certificate گزینه Use PreShared Key را انتخاب کنید.

How-to-Secure-Windows-Traffic-with-IPsec-27

• برای سیستم عامل‌های قدیمی‌تر از Vista استفاده از این امکان وجود ندارد. در صورت امکان سیستم خود را ارتقا دهید. در صورتی که امکان ارتقا ندارید می‌توانید از IPSec بر روی سیستم استفاده نمائید. در این روش فقط به ازای هر سیستم یک ارتباط می‌توانید تعریف کنید و امکان تعریف آن بصورت یک Rule در فایروال وجود ندارد. این روش برای یک‌بار تنظیم قابل استفاده است اما در یک سازمان Enterprise مناسب نیست مگر آنکه تمامی سیستم‌ها از یک تنظیمات استفاده نمائید. اطلاعات بیشتر

• لینوکس و OSX نیز امکان IPSec دارند اما در سمت کلاینت به نرم‌افزارهای جانبی نیاز خواهید داشت.

• آدرسهای IPv6 بصورت پیش‌فرض شامل IPSec هستند و به صورت خودکار تنظیم می‌شوند.

آموزش ModSecurity در cPanel

زاگریو15 تیر 1397

2.1kviews

ModSecurity یک افزونه امنیتی است که روی سرور لینوکس نصب شده است و اغلب برای جلوگیری از حملات DDoS و SQL injenction طراحی شده است.

این سیستم با استفاده از توابع پیش‌فرضی نسبت به تامین امنیت سایت شما اقدام می‌نماید.

قدم اول: برای دسترسی به ModSecurity وارد cPanel می‌شویم و از قسمت Security بر روی گزینه ModSecurity کلیک می‌کنیم.

قدم دوم: در برخی از نرم‌افزاهای مدیریت محتوا مانند WordPress و یا برخی اسکریپت‌ها، تنظیمات پیش‌فرض باعث بروز مشکلاتی از قبیل بلاک شدن IP می‌گردد.برای رفع این مشکلات درصورتیکه دانش برنامه‌نویسی دارید می‌توانید توابع امنیتی مورد نظر خود را طراحی کنید و یا به راحتی این سیستم را به شکل زیر برای هر دامنه به صورت جداگانه و یا به صورت کلی غیرفعال نمایید.

آموزش آزاد کردن IP در فایروال cPanel

زاگریو15 تیر 1397

3.9kviews

در آموزش تصویری و کوتاه زیر قصد داریم با تصاویر و توضیحات مختصر به آموزش آزاد کردن IP در فایروال cPanel بپردازیم.

قدم اول: هنگامی که IP شما مسدود می‌شود برای آزاد کردن IP آدرس خود وارد پنل کاربری خود شوید و در قسمت سرویس‌ها روی سرویس‌های من کلیک نمایید.

IP-Firewall1

قدم دوم: در پنچره باز شده سرویس مورد نظر خود را انتخاب کنید و روی وضعیت سرویس کلیک کنید.

IP-Firewall2

قدم سوم: در صفحه جدید بر روی گزینه Manage Firewall در سمت چپ صفحه کلیک کنید.

IP-Firewall3

قدم چهارم: در این صفحه علت مسدود شدن و زمان مسدود شدن IP شما مشخص شده است. در انتهای صفحه با کلیک روی گزینه رفع مسدودی IP شما آزاد می‌شود.

IP-Firewall4

قدم پنجم: بعد از اینکه IP شما با موفقیت آزاد شد پیغام زیر را مشاهده می‌کنید.

IP-Firewall5