Giảm thiểu các khiếu nại lạm dụng khi chạy dịch vụ VPN

Chạy VPN hoặc dịch vụ proxy trên máy chủ có thể tiềm ẩn nhiều rủi ro. Là
chủ sở hữu IP, người dùng của bạn chịu trách nhiệm cho bất kỳ lạm dụng hoặc hoạt động bất hợp pháp
được thực hiện thông qua dịch vụ của bạn. Để bảo vệ bản thân khỏi
vấn đề này, bạn cần áp dụng các biện pháp chủ động để bảo vệ
reputation.

Strict Mode:
Whitelisting

Một cách để đảm bảo máy chủ của bạn không bị lạm dụng là chỉ cho phép
các hoạt động nhất định. Cách tiếp cận này gọi là danh sách trắng không
hoàn toàn ngăn chặn lạm dụng. Người dùng của bạn vẫn có thể tấn công những người khác và dẫn tới
máy chủ của bạn bị tạm ngưng. Tuy nhiên, nó có thể làm cho quá trình lạm dụng trở nên
khó khăn hơn nhiều, và rất có khả năng sẽ làm cho những kẻ lạm dụng không muốn sử dụng
dịch vụ của bạn (và, tiếc là, một số người dùng hợp pháp cũng vậy).

Những gì chúng tôi đề xuất ở đây là loại bỏ tất cả các gói tin đến và đi
từ máy chủ của bạn ngoại trừ những gói tin hoàn toàn cần thiết.
Đây là cách bạn có thể làm điều này.

Điều duy nhất bạn cần xem xét trước khi làm theo hướng dẫn là
bạn không nên có bất kỳ tường lửa nào khác được bật trên máy chủ của mình.
Mặc dù hướng dẫn này bao gồm quy trình trên Ubuntu, bạn không cần phải có
nó làm hệ điều hành của bạn. Logic của quy trình này giống nhau cho các hệ điều hành khác
well.

1. Installing UFW

Trước tiên, bạn cần cài đặt UFW.

sudo apt install ufw

2.
Chặn tất cả các kết nối đến và đi

Hãy chắc chắn tắt UFW vì các lệnh sau có thể
ngắt kết nối của bạn tới máy chủ:

sudo ufw disable

các lệnh dưới đây về cơ bản sẽ loại bỏ mọi gói tin cố gắng
vào hoặc rời khỏi máy chủ của bạn. Sau đó, chúng tôi sẽ chỉ cho phép các kết nối mà
người dùng của chúng tôi cần:

sudo ufw default deny incoming

sudo ufw default deny outgoing

3. Allowing
để kết nối với máy chủ của bạn

Bây giờ chúng tôi sẽ cho phép các kết nối đến cổng 22, đó là cổng
được sử dụng để thiết lập kết nối SSH. Mặc dù luôn là một ý tưởng tốt
để thay đổi cổng SSH của bạn thành cái khác:

sudo ufw allow in 22/tcp comment “Allows me to SSH to my server”

Trong khi các kết nối đi đã bị chặn, chúng tôi sẽ cụ thể
chặn tất cả các gói tin đi có cổng 22 làm đích đến của chúng (trong
trường hợp bạn thay đổi chính sách mặc định trong tương lai). Điều này sẽ làm cho cả
bạn và người dùng của bạn không thể kết nối với các máy chủ khác bằng SSH trên cổng
22. Mặc dù nghe có vẻ rắc rối, nó thực sự sẽ giải quyết một trong những vấn đề
khiếu nại phổ biến nhất dẫn đến tạm ngừng máy chủ của bạn. Bằng cách sử dụng lệnh này,
không có người dùng nào sẽ có thể thực hiện các cuộc tấn công brute force SSH từ
your server:

sudo ufw deny out 22/tcp comment “Stops SSH brute force”

Sau khi cho phép các kết nối đến cổng 22, bạn có thể bật tường lửa của mình
mà không bị ngắt kết nối với máy chủ của bạn:

sudo ufw enable

Nếu vì lý do nào đó bạn bị mất kết nối đến server, bạn có thể dùng
VNC để truy cập lại server và tắt tường lửa.

4.
Để cho phép người dùng kết nối đến server và sử dụng proxy/VPN
services

Rõ ràng, người dùng của bạn cần kết nối và sử dụng proxy trên server
của bạn. Chặn toàn bộ kết nối đến làm điều này không thể xảy ra đối với
họ. Vì vậy, chúng ta cần cho phép các port proxy/VPN mà người dùng sử dụng,
ví dụ, giả sử chúng ta muốn cho phép người dùng kết nối đến port 1194, thường được
dùng cho OpenVPN. Để làm điều này, nhập lệnh sau:

sudo ufw allow in 1194/tcp comment “OpenVPN port for users”

Hoặc, nếu bạn chạy OpenVPN trên UDP:

sudo ufw allow in 1194/udp comment “OpenVPN port for users”

Logic cũng giống nhau cho các VPN và proxy server khác, chỉ cần
tìm ra port nào mà người dùng cần kết nối và cho phép kết nối đến
connections to it.

Bây giờ, người dùng của bạn có thể kết nối đến server và VPN, nhưng họ
sẽ không thể kết nối đến thế giới bên ngoài. Đây chính là
mục đích của danh sách cho phép: người dùng không thể kết nối đến bất kỳ
port nào trừ khi chúng ta cho phép. Làm như vậy giảm thiểu khả năng
nhận được báo cáo lạm dụng.

5.
Cho phép người dùng truy cập website và sử dụng
applications

Bây giờ chúng ta sẽ cho phép lưu lượng đi ra đến các port dùng để duyệt
web và thực hiện gọi API trên các web server. Để làm điều này, bạn nên cho phép
port TCP 80 và port TCP 443. Cho phép port UDP 443 cũng sẽ
kích hoạt kết nối HTTP3 cho người dùng của bạn:

sudo ufw allow out 80/tcp comment “HTTP connections”

sudo ufw allow out 443 comment “HTTPS and HTTP3 connections”

6. Allowing
các dịch vụ khác nhau theo nhu cầu

Thường thì mở port 80 và 443 là đủ, nhưng để có đầy đủ
chức năng của một số ứng dụng hoặc phần mềm, bạn có thể cần cho phép
người dùng sử dụng các port khác.

Bạn nên tự nghiên cứu và chỉ mở các cổng khi thực sự cần thiết.
cổng nếu chúng tuyệt đối cần thiết. Mỗi ứng dụng lớn đều có
tài liệu về mạng với thông tin dành cho những người quản trị mạng
như bạn. Trong các tài liệu này, bạn có thể tìm thấy các cổng mà
ứng dụng sử dụng và đưa chúng vào danh sách cho phép. Dưới đây là một số ứng dụng phổ biến
ones as examples.

WhatsApp
(Không có cuộc gọi video hoặc thoại):

sudo ufw allow out 443/tcp comment “WhatsApp”

sudo ufw allow out 5222/tcp comment “WhatsApp”

Git:

sudo ufw allow out 9418/tcp comment “Git”

Một số dịch vụ như Discord,
Zoom,
hoặc các cuộc gọi thoại và video WhatsApp yêu cầu một loạt các cổng UDP, bạn
có thể mở những cổng này tùy theo ý của mình.

Lenient Mode:
Blacklisting

Khi cho phép, bạn chặn mọi thứ và chỉ cho phép các cổng cụ thể. Khi
chặn, bạn cho phép mọi thứ và chỉ chặn các cổng cụ thể.

1. Installing UFW

Đầu tiên, bạn cần cài đặt UFW

sudo apt install ufw

2. Blocking the
incoming connections

Hãy chắc chắn tắt UFW vì các lệnh sau có thể
ngắt kết nối của bạn tới máy chủ:

sudo ufw disable

Hợp lý khi chặn tất cả các kết nối đến trừ khi chúng ta phục vụ
những dịch vụ cụ thể. Vì vậy hãy từ chối tất cả lưu lượng đến:

sudo ufw default deny incoming

Lưu ý rằng lần này bạn không chặn tất cả các kết nối đi.
Điều này cho phép người dùng của bạn kết nối đến bất kỳ cổng nào họ muốn. Đây không phải là
cách tốt trừ khi bạn thực sự tin tưởng người dùng của mình.

3.
Cho phép bản thân kết nối đến máy chủ của bạn

Bây giờ chúng ta sẽ cho phép các kết nối đến cổng 22, đó là cổng
được sử dụng để thiết lập các kết nối SSH đến máy chủ của bạn. Mặc dù
luôn là ý tưởng tốt khi thay đổi cổng SSH của bạn thành cái khác:

sudo ufw allow in 22/tcp comment “Allows me to SSH to my server”

Nếu bạn muốn chặn cổng SSH để tránh báo cáo tấn công SSH vũ phu,
bạn có thể sử dụng lệnh sau:

sudo ufw allow out 22/tcp comment “Block Outgoing SSH ”

4. Block BitTorrent

Theo cùng logic, bạn cần chặn những cổng được sử dụng cho
BitTorrent. Tuy nhiên, vì có nhiều cổng cho mục đích này, bạn cần
nghiên cứu kỹ càng và chặn các IP tracker công khai cũng như các cổng
thường được sử dụng cho BitTorrent.

Nếu bạn có bất kỳ câu hỏi nào, vui lòng liên hệ với chúng tôi qua submitting a
ticket.