Snížení stížností na zneužití při provozu VPN služby
Provozování VPN nebo proxy služby na serveru může představovat několik rizik. Jako
vlastník IP adresy jsou vaši uživatelé odpovědní za jakékoli zneužití nebo nezákonné
činnosti prováděné prostřednictvím vaší služby. Chcete-li se ochránit před tímto
problémem, musíte přijmout proaktivní opatření k ochraně vaší
reputace.
Přísný režim
Zařazení na seznam povolených
Jedním ze způsobů, jak zajistit, aby váš server nebyl zneužíván, je povolit pouze
určitých aktivit. Tento přístup, který se nazývá whitelisting, neznamená
plně zabránit zneužívání; vaši uživatelé mohou stále útočit na ostatní a způsobit
v pozastavení vašeho serveru. Může to však zkomplikovat proces řešení porušení.
mnohem složitější, a velmi pravděpodobně to odradí zneužívatele od vaší
služby (a bohužel i některých legitimních uživatelů).
Navrhujeme zde blokovat veškerou příchozí a odchozí komunikaci
pakety ze serveru kromě těch, které jsou naprosto nutné.
Tady si ukážeme, jak na to.
Než se vydáte podle tohoto průvodce, musíte zvážit jednu věc
abyste neměli na serveru povoleny žádné jiné firewally.
Přestože tato příručka popisuje postup na Ubuntu, nemusíte jej mít
jako svůj OS. Logika procesu je stejná i pro ostatní operační systémy
také.
1. Instalace UFW
Nejdřív si nainstalujete UFW.
sudo apt install ufw2.
Blokování všech příchozích a odchozích připojení
Ujistěte se, že jste vypnuli UFW, protože následující příkazy mohou
přerušit připojení k vašemu serveru:
sudo ufw disablepříkazy níže v podstatě zahazují každý paket, který se pokusí
připojte se k serveru nebo jej opusťte. později povolíme pouze připojení, která
naši uživatelé potřebují:
sudo ufw default deny incoming
sudo ufw default deny outgoing3. Umožnění
se připojit ke svému serveru
Nyní povolíme příchozí připojení na port 22, což je port
používá se k navázání připojení SSH. Přestože je vždycky dobrý nápad
chcete-li změnit port SSH na něco jiného:
sudo ufw allow in 22/tcp comment “Allows me to SSH to my server”Zatímco odchozí připojení jsou již blokována, konkrétně
blokovat všechny odchozí pakety určené na port 22 (pro
případ, že v budoucnu změníte výchozí zásadu). Tím se zabráníapřípadně
vám i vašim uživatelům v připojení k jiným serverům prostřednictvím SSH na portu
22. Ačkoli se to zdá problematické, ve skutečnosti to vyřeší jednu z nejčastějších
stížností vedoucích k pozastavení vašeho serveru. Použitím tohoto
příkazu nebude žádný uživatel schopen provádět útoky hrubou silou SSH z
váš server:
sudo ufw deny out 22/tcp comment “Stops SSH brute force”Po povolení příchozích připojení na port 22 můžete zapnout
firewall, aniž byste se odpojili od serveru:
sudo ufw enablePokud byste se z nějakého důvodu odpojili od serveru, můžete
se k němu vrátit přes VNC a firewall vypnout.
4.
Umožnění uživatelům připojit se k serveru a používat proxy/VPN
služby
Vaši uživatelé se samozřejmě musí připojit k serveru a používat jeho proxy
služby. Zablokování všech příchozích připojení jim to znemožňuje.
Proto musíme povolit porty proxy/VPN, které uživatelé používají. Například
chceme-li umožnit uživatelům připojit se na port 1194, který
se obvykle používá pro OpenVPN. Zadejte následující příkaz:
sudo ufw allow in 1194/tcp comment “OpenVPN port for users”Nebo pokud spouštíte OpenVPN přes UDP:
sudo ufw allow in 1194/udp comment “OpenVPN port for users”Logika je stejná i pro ostatní VPN a proxy servery. Stačí
zjistit, na který port se vaši uživatelé musí připojit, a povolte příchozí
připojení k tomu.
Nyní se vaši uživatelé mohou připojit k serveru a k VPN, ale nebudou
schopni navázat žádná připojení do vnějšího světa. To je přesně
účel whitelistingu: uživatelé se nemohou připojit k žádnému
portu, pokud ho nepovolíme. Tímto se minimalizuje riziko
ohlášení zneužití.
5.
Umožnění uživatelům navštěvovat webové stránky a používat
aplikace
Nyní povolíme odchozí provoz na porty používané pro procházení webu
a volání API na webových serverech. Chcete-li to provést, měli byste povolili
port TCP 80 a port TCP 443. Povolení portu UDP 443 také umožní
vašim uživatelům navazovat HTTP3 připojení:
sudo ufw allow out 80/tcp comment “HTTP connections”
sudo ufw allow out 443 comment “HTTPS and HTTP3 connections”6. Umožnění
různé služby podle potřeby
Obvykle stačí otevřít porty 80 a 443, ale abyste měli plnou
funkcionalitu určitých aplikací nebo software, může být nutné povolit
vašim uživatelům používat také další porty.
Obecně se doporučuje provést vlastní průzkum a porty povolit
pouze pokud jsou absolutně nezbytné. Každá hlavní aplikace má
dokumentaci k síťování s informacemi pro správce sítě
jako jste vy. V těchto dokumentech najdete porty, které
aplikace používají, a můžete je také přidat na seznam povolených. Uvedeme několik oblíbených
jednoduché příklady.
WhatsApp
(Bez videa a hlasu):
sudo ufw allow out 443/tcp comment “WhatsApp”
sudo ufw allow out 5222/tcp comment “WhatsApp”Git:
sudo ufw allow out 9418/tcp comment “Git”Některé služby jako Discord,
Zoom,
nebo hlasové a video hovory WhatsApp vyžadují rozsáhlý rozsah portů UDP, můžete
je otevřít podle svého uvážení.
Benevolentní režim:
Zařazení na černou listinu
Při seznamu povolených blokujete vše a povolujete konkrétní porty. Při
seznamu zakázaných povolujete vše a blokujete konkrétní porty.
1. Instalace UFW
Nejdřív musíte nainstalovat UFW
sudo apt install ufw2. Blokování
příchozí připojení
Ujistěte se, že jste vypnuli UFW, protože následující příkazy mohou
přerušit připojení k vašemu serveru:
sudo ufw disableMá smysl blokovat všechna příchozí připojení, pokud neposkytujeme
konkrétní služby. Odmítněme tedy veškerý příchozí provoz:
sudo ufw default deny incomingPoznamenejte si, že tentokrát neblokujete všechna odchozí připojení.
To umožňuje vašim uživatelům připojit se na libovolný port. To není
doporučeno, pokud si nebudete naprosto jistí svými uživateli.
3.
Připojení k vašemu serveru
Nyní povolíme příchozí připojení na port 22, což je port
používaný pro vytváření SSH připojení k vašemu serveru. I když je
vždy dobré změnit váš SSH port na něco jiného:
sudo ufw allow in 22/tcp comment “Allows me to SSH to my server”Chcete-li zablokovat SSH port a zabránit SSH útokům hrubou silou,
můžete použít následující příkaz:
sudo ufw allow out 22/tcp comment “Block Outgoing SSH ”4. Blokovat BitTorrent
Použitím stejné logiky musíte zablokovat porty používané pro
BitTorrent. Protože je pro to více portů, musíte
provést průzkum a zablokovat veřejné tracker IP adresy i porty
běžně používané pro BitTorrent.
Máte-li jakékoli otázky, neváhejte nás kontaktovat na odesílání
lístek.
Také v Zabezpečení
Související příručky.
Potřebujete pomoc s něčím jiným?
Střední doba odezvy pod 1 hodinu. Skuteční lidé, ne boti.