VPN-szolgáltatás üzemeltetésekor csökkentse a visszaélés panaszokat
Az VPN vagy proxy szolgáltatás futtatása a szerveren több kockázattal is járhat. Az IP tulajdonosaként
a felhasználók felelősek az Ön szolgáltatásán keresztül végzett visszaélésekért és illegális
tevékenységekért. Az ebből adódó probléma ellen
aktív lépéseket kell tennie a szerver védelme érdekében
hírnév.
Szigorú mód:
Fehérlista
Az egyik módja annak, hogy biztosan meggyőződj arról, hogy a szerverdet nem használják ki visszaélésre, az az, hogy csak
bizonyos tevékenységek ellen. Ezt az úgynevezett szűrési módszert nem
szükséges teljesen megelőzni a visszaéléseket; a felhasználók továbbra is támadhatnak másokat és ez
a szerver felfüggesztéséhez vezethet. Azonban jelentősen nehezebbé teszi a visszaélést,
és nagy valószínűséggel elriasztja a visszaéléseket elkövető felhasználókat
szolgáltatások (és sajnos néhány legitim felhasználó is).
Amit itt javaslatunk, hogy dobjunk el az összes bejövő és kimenő
csomagokat a szerverről, kivéve azokat, amelyek szükségesek.
Így tehet meg ezt.
Az egyetlen dolog, amelyet figyelembe kell venni az útmutató követése előtt, az
hogy nincs más tűzfal engedélyezve a szerveren.
Bár ez az útmutató az Ubuntu folyamatát ismerteti, nem szükséges, hogy
az az operációs rendszer legyen. A folyamat logikája más operációs rendszerekhez azonos
jól.
1. UFW telepítése
Először az UFW-t kell telepítenie.
sudo apt install ufw2.
Az összes bejövő és kimenő kapcsolat blokkolása
Győződjön meg arról, hogy letiltotta az UFW-t, mivel a következő parancsok lehetséges
szüntesse meg a kapcsolatot a szerverrel:
sudo ufw disableaz alábbi parancsok lényegében eldobnak minden olyan csomagot, amely megpróbál
lépjen be vagy ki a szerverből. később csak azokat a kapcsolatokat engedélyezzük, amelyek
a felhasználóinknak szükségük van:
sudo ufw default deny incoming
sudo ufw default deny outgoing3. Engedélyezés
magát csatlakoztatni a szerveréhez
Most engedélyezzük a bejövő kapcsolatokat a 22-es porton, amely a port
SSH kapcsolatok létesítéséhez használatos. Bár mindig jó ötlet
megváltoztatni az SSH portot valamire másra:
sudo ufw allow in 22/tcp comment “Allows me to SSH to my server”Míg a kimenő kapcsolatok már blokkolva vannak, kifejezetten
blokkoljon minden kimenő csomagot, amely a 22-es portot célozza (a
eset: ha később megváltoztatja az alapértelmezett szabályzatot). Ez mindkettőt
te és a felhasználóid nem tudtok csatlakozni más szerverekhez SSH-n keresztül a porton
22. Bár bonyolultnak tűnik, valójában megoldja az egyik leggyakoribb
panaszt, amely a szerver felfüggesztéséhez vezet. Ezzel a paranccsal
parancs használatával egyetlen felhasználó sem tudja majd végrehajtani az SSH brute force támadást a szerverről
a szervered:
sudo ufw deny out 22/tcp comment “Stops SSH brute force”Miután engedélyezte a bejövő kapcsolatokat a 22-es porton, bekapcsolhatja a
tűzfalat anélkül, hogy szétszakadna a szerverrel:
sudo ufw enableHa netán szétszakad a szerverrel, használhatja
VNC az kiszolgálóhoz való hozzáférés helyreállításához és a tűzfal letiltásához.
4.
Annak engedélyezése, hogy a felhasználóid csatlakozzanak a szerverhez a proxy/VPN szolgáltatások igénybevételéhez
szolgáltatások
Nyilvánvalóan a felhasználóinak csatlakozniuk kell a szerver proxy-
szolgáltatásaihoz és használniuk kell azokat. Az összes bejövő kapcsolat elvetése ezt lehetetlenné teszi a
őket. Tehát engedélyeznünk kell a felhasználók által használt proxy/VPN portokat
például tegyük fel, hogy engedélyezni szeretnénk, hogy a felhasználók az 1194-es portra csatlakozzanak, amelyet
általában az OpenVPN használ. Ehhez írja be a következő parancsot:
sudo ufw allow in 1194/tcp comment “OpenVPN port for users”Vagy, ha OpenVPN felett UDP fut:
sudo ufw allow in 1194/udp comment “OpenVPN port for users”A logika ugyanez más VPN és proxy szerverek esetében is, csak
derítse ki, mely portra kell a felhasználóknak csatlakozniuk, és engedélyezze a bejövő kapcsolatokat
kapcsolatok hozzá.
Most a felhasználói csatlakozhatnak a szerverhez és az VPN-hez, de nem
tudnak csatlakozni a külvilághoz. Ez az engedélyezési lista pontos
célja: a felhasználók nem tudnak csatlakozni egyetlen porthoz sem,
ha mi nem engedélyezzük. Ez minimálisra csökkenti az esélyt
visszaélésről szóló jelentések érkeznek.
5.
Felhasználóid számára webhelyek meglátogatásának és használatának engedélyezése
alkalmazások
Most megengedjük a kimenő forgalmat a böngészéshez használt portokon
a webre, és API hívásokat végezzen webszervereken. Ehhez engedélyeznie kell
a TCP 80-as portot és a TCP 443-as portot. A UDP 443-as port engedélyezése is
engedélyezze felhasználóinak a HTTP3 kapcsolatok létrehozását:
sudo ufw allow out 80/tcp comment “HTTP connections”
sudo ufw allow out 443 comment “HTTPS and HTTP3 connections”6. Engedélyezés
szükség szerinti eltérő szolgáltatások
A 80-as és 443-as portok megnyitása általában elegendő, de bizonyos
alkalmazások vagy szoftverek teljes funkcionalitásának eléréséhez más portokat is
engedélyeznie kell a felhasználók számára.
Általában azt tanácsolják, hogy végezz saját kutatást és csak engedélyezz
portok, ha abszolút szükségesek. Minden nagyobb alkalmazásnak van
hálózati dokumentáció hálózati rendszergazdák számára szükséges információkkal
mint Ön. Ezekben a dokumentációkban megtalálhatja, mely portokat használnak az
alkalmazások, és ezeket is engedélyezheteti. Felsorolunk néhány népszerűt
példákként
WhatsApp
(Nincs videó vagy hanghívás):
sudo ufw allow out 443/tcp comment “WhatsApp”
sudo ufw allow out 5222/tcp comment “WhatsApp”Git:
sudo ufw allow out 9418/tcp comment “Git”Néhány szolgáltatás, például Discord,
Zoom,
vagy WhatsApp hanghívások és videohívások porttartomány széles skáláját igényelik, Ön
a saját belátása szerint megnyithatja ezeket.
Engedékeny mód:
Feketelistázás
A portengedélyezésben blokkolsz mindent és csak az adott portokat engedélyezed. A
portblokkolásban mindent engedélyezel és csak az adott portokat blokkolod.
1. UFW telepítése
Először telepítenie kell az UFW-t
sudo apt install ufw2. Blokkolás
bejövő kapcsolatok
Győződjön meg arról, hogy letiltotta az UFW-t, mivel a következő parancsok lehetséges
szüntesse meg a kapcsolatot a szerverrel:
sudo ufw disableÉrtelmes blokkolni az összes bejövő kapcsolatot, hacsak nem szolgálunk
Meghatározott szolgáltatások. Tehát utasítsuk el az összes bejövő forgalmat:
sudo ufw default deny incomingVegyük figyelembe, hogy ezúttal nem blokkolja az összes kimenő kapcsolatot.
Ez lehetővé teszi felhasználóinak, hogy bármelyik portra csatlakozzanak. Ez nem
ajánlott, hacsak nem bízik teljesen a felhasználóiban.
3.
A szerverhez való csatlakozás engedélyezése
Most engedélyezzük a bejövő kapcsolatokat a 22-es porton, amely a
SSH kapcsolatok létrehozásához használt port a szerverhez. Bár mindig
jó ötlet megváltoztatni a SSH portot valami másra:
sudo ufw allow in 22/tcp comment “Allows me to SSH to my server”Ha blokkolni szeretné a SSH portot, hogy elkerülje a SSH erőszakos támadást jelentő visszaéléseket,
a következő parancsot használhatja:
sudo ufw allow out 22/tcp comment “Block Outgoing SSH ”4. BitTorrent blokkolása
Ugyanez a logika alapján blokkolnia kell azokat a portokat, amelyeket a
BitTorrent használ. Azonban mivel ehhez több port is tartozik, szüksége van
végezd el a kutatásodat és blokkolj a nyilvános követő IP-ket, valamint a portokat
amelyeket általában a BitTorrent használ.
Ha bármilyen kérdése van, ne habozzon kapcsolatba lépni velünk: benyújtása
jegy.
A Biztonságban is
Kapcsolódó útmutatók.
Segítségre van szüksége valamiben másban?
Medián válaszidő 1 óra alatt. Valódi emberek, nem botok.