VPN Hizmeti Çalıştırırken Kötüye Kullanım Şikayetlerini Azaltma

Bir sunucuda VPN veya proxy hizmeti çalıştırmanın çeşitli riskleri olabilir. Şöyle ki,
IP'nin sahibi olarak, kullanıcılarınız her türlü kötüye kullanım veya yasadışı eylemden sorumludur
hizmetiniz aracılığıyla gerçekleştirilen faaliyetlerden. Kendinizi bu durumdan korumak için
sorunla karşılaşmamak için sunucunuzu koruma altına almanız gerekir
reputation.

Strict Mode:
Whitelisting

Sunucunuzun kötüye kullanılmadığından emin olmanın bir yolu, yalnızca izin vermektir
belirli faaliyetlere. Beyaz liste (whitelisting) olarak adlandırılan bu yaklaşım,
istismarı tamamen önleyemezsiniz; kullanıcılarınız yine de başkalarına saldırabilir ve bu durum
sunucunuzun askıya alınmasıyla sonuçlanabilir. Ancak, kötüye kullanım sürecini
çok daha zorlaştırır ve kötüye kullanımı büyük olasılıkla engeller
hizmetleri (ve ne yazık ki bazı meşru kullanıcıları da) etkiler.

Burada önerdiğimiz şey, tüm gelen ve giden
sunucunuzdan gelen, kesinlikle gerekli olanlar dışındaki tüm paketleri engeller.
İşte nasıl yapacağınız.

Kılavuzu takip etmeden önce göz önünde bulundurmanız gereken tek şey
sunucunuzda başka herhangi bir güvenlik duvarının etkin olmaması gerektiğini.
Bu kılavuz Ubuntu üzerindeki süreci ele alsa da, sahip olmanız gerekmiyor
işletim sisteminiz olarak seçin. Sürecin mantığı diğer işletim sistemleri için de aynıdır;
well.

1. Installing UFW

Önce UFW'yi kurmanız gerekiyor.

sudo apt install ufw

2.
Tüm gelen ve giden bağlantıları engelleme

UFW'yi devre dışı bıraktığınızdan emin olun; aşağıdaki komutlar
sunucunuzla bağlantınızı kesebilecek durumlar:

sudo ufw disable

aşağıdaki komutlar, temelde şunu yapmaya çalışan her paketi düşürecektir:
sunucunuza giriş veya çıkış yapın. daha sonra yalnızca şu bağlantılara izin vereceğiz:
kullanıcılarımızın ihtiyacı olan:

sudo ufw default deny incoming

sudo ufw default deny outgoing

3. Allowing
sunucunuza bağlanmak için

Şimdi, SSH'ın varsayılan portu olan 22 numaralı porta gelen bağlantılara izin vereceğiz
SSH bağlantıları kurmak için kullanılır. Her zaman iyi bir fikir olsa da
SSH portunuzu değiştirmek için:

sudo ufw allow in 22/tcp comment “Allows me to SSH to my server”

Giden bağlantılar zaten engellenmiş olsa da, özellikle
port 22'yi hedef alan tüm giden paketleri engelle (içinde
varsayılan politikayı gelecekte değiştirmeniz durumunda). Bu, her ikisini de
siz ve kullanıcılarınız SSH üzerinden belirtilen porta bağlanamamaktadır
22. Kulağa karmaşık gelse de aslında en can sıkıcı sorunlardan birini çözüyor
sunucunuzun askıya alınmasına yol açan yaygın şikayetler. Bu yöntemi kullanarak
komutu sayesinde, hiçbir kullanıcı SSH üzerinden kaba kuvvet saldırısı gerçekleştiremeyecektir
your server:

sudo ufw deny out 22/tcp comment “Stops SSH brute force”

22 numaralı porta gelen bağlantılara izin verdikten sonra,
sunucunuzla bağlantınızı kesmeden güvenlik duvarını yapılandırmak için:

sudo ufw enable

Sunucunuzla bağlantınız kesilirse,
Sunucunuza yeniden erişim sağlamak için VNC kullanın ve güvenlik duvarınızı devre dışı bırakın.

4.
Kullanıcılarınızın proxy bağlantısı için sunucunuza erişmesine izin verme/VPN
services

Açıkça görülüyor ki kullanıcılarınızın sunucunuzun proxy'sine bağlanması ve onu kullanması gerekiyor
hizmetleri. Gelen tüm bağlantıları engellemek, bunu
onlara. Bu nedenle, kullanıcıların kullandığı proxy/VPN portlarına izin vermemiz gerekiyor.
örneğin, kullanıcıların 1194 numaralı porta bağlanmasına izin vermek istediğimizi varsayalım;
genellikle OpenVPN için kullanılır. Bunun için aşağıdaki komutu yazın:

sudo ufw allow in 1194/tcp comment “OpenVPN port for users”

Ya da OpenVPN'yi UDP üzerinden çalıştırıyorsanız:

sudo ufw allow in 1194/udp comment “OpenVPN port for users”

Aynı mantık diğer VPN ve proxy sunucuları için de geçerlidir, sadece
kullanıcılarınızın hangi porta bağlanması gerektiğini öğrenin ve gelen bağlantılara izin verin
connections to it.

Artık kullanıcılarınız sunucunuza ve VPN'ye bağlanabilir, ancak onlar
dış dünyayla hiçbir bağlantı kuramayacak. Bu,
beyaz listeye almanın tam amacı budur: kullanıcılar hiçbir
izin vermediğimiz sürece portlara erişilemez. Bu yaklaşım,
kötüye kullanım raporları alıyorsunuz.

5.
Kullanıcılarınızın web sitelerini ziyaret etmesine ve kullanmasına izin vermek
applications

Şimdi tarama için kullanılan portlara giden trafiğe izin vereceğiz
web üzerinde işlem yapmak ve web sunucularına API çağrıları göndermek için şunlara izin vermeniz gerekir:
TCP port 80 ve TCP port 443. UDP port 443'e de izin vermek
kullanıcılarınızın HTTP3 bağlantısı kurmasını sağlayın:

sudo ufw allow out 80/tcp comment “HTTP connections”

sudo ufw allow out 443 comment “HTTPS and HTTP3 connections”

6. Allowing
İhtiyaca göre farklı hizmetler

Genellikle 80 ve 443 numaralı portları açmak yeterlidir; ancak tam
belirli uygulama veya yazılımların düzgün çalışması için izin vermeniz gerekebilir
kullanıcılarınızın başka portları da kullanmasına izin verebilirsiniz.

Genel tavsiye, kendi araştırmanızı yapmanız ve yalnızca
kesinlikle gerekli olan portlara izin vermenizdir. Büyük uygulamaların çoğunun,
ağ yöneticileri için hazırlanmış ağ dokümantasyonu vardır.
Bu belgelerde uygulamaların kullandığı portları bulabilir
ve bunları beyaz listeye ekleyebilirsiniz. Yaygın kullanılan birkaç uygulamayı listeleyeceğiz
ones as examples.

WhatsApp
(Görüntülü veya sesli arama hariç):

sudo ufw allow out 443/tcp comment “WhatsApp”

sudo ufw allow out 5222/tcp comment “WhatsApp”

Git:

sudo ufw allow out 9418/tcp comment “Git”

Bazı servisler, örneğin Discord,
Zoom,
veya WhatsApp sesli ve görüntülü aramaları geniş bir UDP port aralığı gerektirir;
bu portları kendi takdirinize göre açabilirsiniz.

Lenient Mode:
Blacklisting

Beyaz listeleme yönteminde her şeyi engelleyip belirli portlara izin verirsiniz. Kara listeleme yönteminde ise her şeye izin verip belirli portları engellersiniz.
Kara listeleme yönteminde her şeye izin verip belirli portları engellersiniz.

1. Installing UFW

Öncelikle UFW kurmanız gerekiyor.

sudo apt install ufw

2. Blocking the
incoming connections

UFW'yi devre dışı bıraktığınızdan emin olun; aşağıdaki komutlar
sunucunuzla bağlantınızı kesebilecek durumlar:

sudo ufw disable

Belirli servisler sunmuyorsak tüm gelen bağlantıları engellemek mantıklıdır. O hâlde tüm gelen trafiği reddedelim:
Bu sefer tüm giden bağlantıları engellemediğinize dikkat edin.

sudo ufw default deny incoming

Bu, kullanıcılarınızın istedikleri herhangi bir porta bağlanmasına olanak tanır. Kullanıcılarınıza tam olarak güvenmiyorsanız
bu yaklaşım önerilmez.
bu yaklaşım önerilmez.

3.
Sunucunuza kendi bağlantınıza izin verme

Şimdi, sunucunuza SSH bağlantısı kurmak için kullanılan 22 numaralı porta
gelen bağlantılara izin vereceğiz. Yine de SSH portunuzu farklı bir değere değiştirmeniz
her zaman iyi bir uygulamadır:

sudo ufw allow in 22/tcp comment “Allows me to SSH to my server”

SSH brute force saldırı raporlarını önlemek için SSH portunu engellemek istiyorsanız
şu komutu kullanabilirsiniz:

sudo ufw allow out 22/tcp comment “Block Outgoing SSH ”

4. Block BitTorrent

Aynı mantıkla, şu amaçlarla kullanılan portları engellemeniz gerekir:
BitTorrent. Ancak bunun için birden fazla port bulunduğundan, araştırma yaparak hem genel tracker IP'lerini hem de
BitTorrent için yaygın olarak kullanılan portları engellemeniz gerekir.
normalde BitTorrent için kullanılan,

Herhangi bir sorunuz varsa bizimle iletişime geçmekten çekinmeyin: submitting a
ticket.