روش مقابله با پورت اسکن در سرور لینوکس
به نام خدا
در این مقاله سعی داریم روشی جالب و خلاقانه برای جلوگیری از پورت اسکنر ها در سرور های لینوکس استفاده نماییم.
البته برای استفاده از این روش باید از فایروال iptables و ابزار fail2ban استفاده نمایید.
جهت ادامه آموزش به ادامه مطلب مراجعه نمایید
fail2ban چیست؟
fail2ban ابزاری می باشد که در سرور های لینوکس جهت اهداف مختلف از آن استفاده می شود. روش کلی این ابزار به این گونه است فایل های لاگ سیستم را بررسی می نماید و آی پی ها مهاجم و یا هکر را بن می نماید شما می توانید از این ابزار جهت توقف حملات بروت فورس (Brute Force) به پورت ssh سرور و یا لینوکس استفاده نمود.
استفاده از fail2ban برای متوقف کردن حملات بروت فورس و یا پورت اسکنر ها چه فایده ای دارد؟
به طور کلی لینوکس از امن ترین سیستم عامل های ارائه شده می باشد ولی استفاده از fail2ban دارای دو مزیت زیر می باشد یک با بن نمودن آی پی های مهاجم از شما ترافیک بیشتری از سرور خود دریافت خواهید کرد و ترافیکی جهت پاسخگویی به حملات هکری هدر نخواهد رفت و دومین مزیت این است که با وجود امنیت بالای لینوکس مانند این می ماند که شما گاوصندوق خود را در اتاق بگذارید و از دید دزدان مخفی کنید و یا اینکه گاوصندوق خود را در خیابان محل زندگیتان قرار دهید هر چند شاید کسی نتواند به محتویات گاوصندوق دسترسی پیدا کند ولی عاقلانه به نظر نمی رسد که گاوصندوق در خیابان باشد!
اگر نیاز به دانش بیشتری در مورد fail2ban دارید به این پست سایت مراجعه نمایید و یا در اینترنت سرچ نمایید!
خب روده درازی دیگه بسه! میرم سراغ آموزش اصلی
روش کلی این آموزش استفاده از سیاه چاله می باشد. اگر دوست دارید بدونید سیاه چاله دیگه چه روشیه به این پست مراجعه کنید کامل توضیح دادم.
البته زیادم مهم نیست یه روش کلیه!
دستور زیر را در ترمینال لینوکس وارد نمایید.
|
1 2 3 |
<span style="font-size: 16px;"><span style="font-family: arial,helvetica,sans-serif;">iptables -A INPUT -p tcp --dport 80 --syn -j LOG --log-prefix "PORT DENIED: " --log-level 5 --log-ip-options --log-tcp-options --log-tcp-sequence </span></span> |
می خواهید بدونید دستور بالا چی کار میکنه؟
دستور بالا اتصال هایی که به پورت هشتاد میشه را در مسیر /var/log/messages به صورت لاگ ذخیره می نماید. شما میتوانید به جای پورت هشتاد از هر پورت دیگه این استفاده نمایید فقط دو نکته را مورد توجه قرار دهید یک پورت به صورت سیاه چاله یا دام باشد یعنی هیچ استفاده ای نداشته باشد. دو بهتر از پورت های معروف استفاده نمایید مانند:
|
1 |
(13و20و21و22و23و25و53و67و69و68و79و80و110و119و143و443و515و544و636و989و990و1000و1433و1723و1900و2082و2121و3128و3389و3986و5000و5190و6646و8000و8080و8443و9999) |
اینم از معرفی پورت های معروف!
در مرحله بعد به مسیر زیر بروید.
/etc/fail2ban/filter.d
اگر بلد نیستید به این مسیر بروید از دستور زیر استفاده نمایید.
|
1 |
<span style="font-family: arial,helvetica,sans-serif;"><span style="font-size: 19px;"><code style="color: black; word-wrap: normal;">cd /etc/fail2ban/filter.d</code></span></span> |
با ویرایشگر نانو یا هر ویرایشگر دیگه و یا هر روش دیگر فایلی به نام portscan.conf بسازید و متن زیر را درون این فایل قرار دهید.
میترسم بگید از زیر آموزش کامل در رفت دستور زیر را وارد نمایید.
|
1 |
<span style="font-family: arial,helvetica,sans-serif;"><span style="font-size: 19px;"><code style="color: black; word-wrap: normal;">nano portscan.conf </code></span></span> |
اگر ویرایشگر نانو را در لینوکس خود نصب نکرده باشید این دستور کار نخواهد کرد! پس نصبش کن.
|
1 |
<span style="font-family: arial,helvetica,sans-serif;"><span style="font-size: 19px;"><code style="color: black; word-wrap: normal;">nano portscan.conf</code></span></span> |
متن زیر را داخل این فایل کپی نمایید.
|
1 2 3 |
<span style="font-size: 16px;"><span style="font-family: arial,helvetica,sans-serif;">[Definition] failregex = PORT DENIED: .* SRC=<HOST> ignoreregex =</span></span> |
تغییرات را ذخیره نمایید و از فایل خارج شوید(در ویرایشگر nano ابتدا کلید ctrl +x را فشار دهید و با زدن دکمه y تغیرات را سیو نمایید)
فایل jail.local را باز نمایید مسیر این فایل به این شرح است
/etc/fail2ban/
متن زیر را به آخر فایل اضافه نمایید.
|
1 2 3 4 5 6 7 8 |
<span style="font-size: 16px;"><span style="font-family: arial,helvetica,sans-serif;">[portscan] enabled = true filter = portscan port = 0:65535 logpath = /var/log/messages bantime= 864 maxretry = 1 </span></span> |
آیا نیازی به توضیح است؟
باشه توضیح میدم عبارت port = 0:65535 شامل همه پورت هایی میشود که در صورت حمله پورت اسکنر آی پی هکر در همه این پورت ها بلاک خواهد شد و این رنج یعنی همه پورت ها و کلا سرور آی پی را بلاک می کند.
عبارت bantime= 864 مدت زمانی می باشد که آی پی هکر بلاک می شود شما می توانید جلوی این عدد شصت صفر دیگر تا هرچه قدر که دلتون بخواد یا هر عددی بزارید فقط توجه کنید به ثانیه حساب میشه!
خواهشا به این عبارت maxretry = 1 دست نزنید چون عملا اگه زیادش کنید کلا پورت اسکنر از این مرحله جون سالم به در میبره.
در آخر دو تا کار دیگه باید انجام بدید تا تموم بشه!
یک تغییرات iptables را سیو نمایید با دستور زیر…
|
1 |
<span style="font-family: arial,helvetica,sans-serif;"><span style="font-size: 19px;">service iptables save</span></span> |
دو fail2ban باید restart بشه.
در اکثر توزیع های لینوکس با دستور زیر:
|
1 |
<span style="font-family: arial,helvetica,sans-serif;"><span style="font-size: 19px;">systemctl restart fail2ban.service</span></span> |
خب اگه زدید و اخطار داد شما در یه جایی اشتباه کردید چون این دستورات به فاصله ها و حرف های اضافی حساس می باشند دو ممکن است فایل لاگ در توزیع لینوکس شما مسیر متفاوتی از /var/log/messages داشته باشه بگردید و یا سرچ کنید پیداش کنید.
تمام شاید بگید روش سختیه ولی از هر روش دیگه ای آسون تره!
خب در آخر بهتون توصیه می کنم به این پست سایت سر بزنید آموزشی مهم از ابزار fail2ban داخل این پست می باشد