Omezte stížnosti na zneužití při spuštění služby vpn
Provozování VPN nebo proxy služby na serveru může mít několik rizik. Jak
vlastník IP, vaši uživatelé jsou zodpovědní za jakékoli zneužití nebo nezákonné
činnost prováděnou prostřednictvím vaší služby. Abyste se před tím ochránili
problém, musíte přijmout proaktivní opatření k ochraně vašeho
pověst.
Přísný režim:
Whitelisting
Jedním ze způsobů, jak zajistit, aby váš server nebyl zneužíván, je pouze povolit
určité činnosti. Tento přístup, který se nazývá whitelisting, ne
plně zabránit zneužívání; vaši uživatelé mohou stále útočit na jiné lidi a mít za následek
v pozastavení vašeho serveru. Může však způsobit, že proces zneužívání a
mnohem těžší a je velmi pravděpodobné, že od vás násilníky odežene
služby (a bohužel také někteří legitimní uživatelé).
To, co zde navrhujeme, je upustit od všech příchozích a odchozích
pakety z vašeho serveru kromě těch, které jsou nezbytně nutné.
Zde je návod, jak to udělat.
Jediná věc, kterou musíte zvážit, než budete postupovat podle průvodce, je
že byste na svém serveru neměli mít povoleny žádné jiné brány firewall.
Ačkoli tato příručka pokrývá proces na Ubuntu, nemusíte mít
jako váš OS. Logika procesu je stejná pro ostatní OS jako
dobře.
1. Instalace UFW
Nejprve musíte nainstalovat UFW.
sudo apt install ufw2.
Blokování všech příchozích a odchozích připojení
Ujistěte se, že jste zakázali UFW, protože mohou následující příkazy
přerušte připojení k serveru:
sudo ufw disableníže uvedené příkazy v podstatě zahodí každý paket, který se o to pokusí
zadejte nebo opusťte váš server. později povolíme pouze připojení, která
naši uživatelé potřebují:
sudo ufw default deny incoming
sudo ufw default deny outgoing3. Povolení
se připojte k vašemu serveru
Nyní povolíme příchozí připojení k portu 22, což je port
slouží k navazování SSH spojení. I když je to vždy dobrý nápad
pro změnu portu SSH na něco jiného:
sudo ufw allow in 22/tcp comment “Allows me to SSH to my server”Zatímco odchozí připojení jsou již blokována, budeme konkrétně
blokovat všechny odchozí pakety, které mají jako cíl port 22 (in
v případě, že v budoucnu změníte výchozí politiku). To udělá obojí
vy a vaši uživatelé se nemůžete připojit k jiným serverům pomocí SSH na portu
22. I když to zní obtížně, ve skutečnosti to vyřeší jednu z nejvíce
běžné stížnosti, které vedou k pozastavení vašeho serveru. Pomocí tohoto
žádný uživatel nebude moci provádět útoky hrubou silou SSH
váš server:
sudo ufw deny out 22/tcp comment “Stops SSH brute force”Po povolení příchozích připojení k portu 22 můžete povolit váš
firewall bez odpojení od serveru:
sudo ufw enablePokud jste náhodou odpojeni od svého serveru, můžete použít
VNC, abyste znovu získali přístup k vašemu serveru a deaktivovali firewall.
4.
Umožněte svým uživatelům připojit se k vašemu serveru a získat proxy/VPN
služby
Je jasné, že vaši uživatelé se musí připojit k serveru proxy a používat jej
služby. Zrušení všech příchozích připojení to znemožňuje
jim. Musíme tedy povolit porty proxy/VPN používané uživateli
řekněme, že chceme uživatelům umožnit připojení k portu 1194, který
se obvykle používá pro OpenVPN. Chcete-li to provést, zadejte následující příkaz:
sudo ufw allow in 1194/tcp comment “OpenVPN port for users”Nebo pokud používáte OpenVPN přes UDP:
sudo ufw allow in 1194/udp comment “OpenVPN port for users”Logika je stejná pro ostatní VPN a proxy servery, akorát
zjistěte, ke kterému portu se vaši uživatelé potřebují připojit, a povolte příchozí
připojení k němu.
Nyní se vaši uživatelé mohou připojit k vašemu serveru a VPN, ale oni
nebude schopen navázat spojení s vnějším světem. Toto je
přesný účel whitelistingu: uživatelé se nebudou moci připojit k žádnému
porty, pokud jim to nedovolíme. Tím se minimalizuje pravděpodobnost
získávání zpráv o zneužití.
5.
Umožněte svým uživatelům navštěvovat webové stránky a používat je
aplikací
Nyní povolíme odchozí provoz na porty, které se používají k procházení
webu a provádět volání API na webových serverech. Chcete-li tak učinit, měli byste to povolit
TCP port 80 a TCP port 443. Povolení portu UDP 443 bude také
umožnit svým uživatelům vytvářet připojení HTTP3:
sudo ufw allow out 80/tcp comment “HTTP connections”
sudo ufw allow out 443 comment “HTTPS and HTTP3 connections”6. Povolení
různé služby na základě potřeby
Obvykle stačí otevřít porty 80 a 443, ale abyste získali plné
funkce určitých aplikací nebo softwaru, možná budete muset povolit
aby vaši uživatelé používali i jiné porty.
Obecně se doporučuje udělat si vlastní průzkum a pouze povolit
porty, pokud jsou nezbytně nutné. Každá hlavní aplikace má a
síťová dokumentace s informacemi pro správce sítě
jako ty. V těchto dokumentech můžete najít porty, které
aplikace je také používají a seznamují se s nimi. Uvedeme několik populárních
ty jako příklady.
WhatsApp
(Žádný videohovor nebo hlasový hovor):
sudo ufw allow out 443/tcp comment “WhatsApp”
sudo ufw allow out 5222/tcp comment “WhatsApp”Git:
sudo ufw allow out 9418/tcp comment “Git”Některé služby jako Svár,
Přiblížení,
nebo WhatsApp hlasové hovory a videohovory vyžadují širokou škálu UDP portů
můžete je otevřít podle vlastního uvážení.
Mírný režim:
Černá listina
V whitelistingu vše zablokujete a povolíte konkrétní porty. V
blacklisting, povolíte vše a zablokujete konkrétní porty.
1. Instalace UFW
Nejprve musíte nainstalovat UFW
sudo apt install ufw2. Blokování
příchozí spojení
Ujistěte se, že jste zakázali UFW, protože mohou následující příkazy
přerušte připojení k serveru:
sudo ufw disableMá smysl blokovat všechna příchozí spojení, pokud nebudeme sloužit
konkrétní služby. Takže odmítneme veškerý příchozí provoz:
sudo ufw default deny incomingVšimněte si, že tentokrát neblokujete všechna odchozí připojení.
To umožňuje vašim uživatelům připojit se k libovolnému portu, který chtějí. To není
doporučujeme, pokud svým uživatelům absolutně nedůvěřujete.
3.
Povolení připojení k vašemu serveru
Nyní povolíme příchozí spojení na port 22, což je port
slouží k navazování SSH připojení k vašemu serveru. Ačkoli je
vždy je dobré změnit port SSH na něco jiného:
sudo ufw allow in 22/tcp comment “Allows me to SSH to my server”Pokud chcete zablokovat port SSH, abyste se vyhnuli zprávám o zneužití SSH hrubou silou,
můžete použít následující příkaz:
sudo ufw allow out 22/tcp comment “Block Outgoing SSH ”4. Blokovat BitTorrent
Pomocí stejné logiky musíte zablokovat porty, které se používají
BitTorrent. Protože však existuje více portů, potřebujete
proveďte svůj výzkum a zablokujte veřejné IP adresy sledovače a také porty
které se běžně používají pro BitTorrent.
Pokud máte nějaké dotazy, neváhejte nás kontaktovat odesláním
lístek.
Také v Bezpečnosti
Související návody.
Potřebuješ pomoc s něčím jiným?
Medián doby odezvy pod 1 hodinu. Skuteční lidé, ne boti.