سرورهای مدرن دائماً مورد حمله هکرها یا اسکریپت های خودکار قرار می گیرند که به محض شناسایی هر گونه آسیب پذیری را کشف می کنند.
این حملات معمولاً از طیف وسیعی از آدرسهای IP در سراسر جهان میآیند، و مسدود کردن همه آنها به صورت جداگانه را عملا غیرممکن میسازد.
با وجود داشتن بهترین امنیت موجود و برنامه وصله بسیار دقیق، هیچ سروری هرگز نمی تواند کاملاً از حملات در امان باشد.
با این حال چندین راه برای افزایش امنیت سرور و به حداقل رساندن خطر نفوذ وجود دارد. یکی از موثرترین آنها محدود کردن دسترسی سرور به لیست کوتاهی از IPهای لیست سفید است.
نحوه مسدود کردن اتصالات خارجی
روش های مختلفی برای فیلتر کردن اتصالات بر اساس آدرس IP وجود دارد که رایج ترین آنها استفاده از فایروال های سخت افزاری یا نرم افزاری است.
فایروال های سخت افزاری بسیار موثر هستند، اما بسیار گران هستند، زیرا برای محافظت از کل شبکه طراحی شده اند. چیزی که در این مقاله به آن نخواهیم پرداخت، تمرکز بر فایروال های نرم افزاری است که هم به صورت پولی و هم نسخه متن باز موجود هستند.
پلتفرمهای ابری مدرن همچنین یک سرویس فایروال شبکه خارجی را ارائه میکنند که میتواند مستقیماً از پلتفرم آنلاین آنها بهینه شود.
هر سیستم عامل لینوکس شامل حداقل یک فایروال اساسی است، معمولاً یا iptables قدیمی یا چارچوب جدیدتر nftables. گاهی اوقات به صورت پیش فرض فعال می شوند اما پیکربندی و نگهداری آنها دشوار است.
اکثر توزیعها دارای فایروال کاربرپسندتری هستند که بدون نیاز به دانش گسترده از کاربر، بدون نیاز به دانش گستردهتر، بر روی پایه کار میکند. به عنوان مثال می توان به فایروال ها (که در مشتقات RHEL و CentOS یافت می شود) یا UFW (نصب شده در توزیع های خانواده اوبونتو) اشاره کرد.
با این حال، حتی فایروال های پیشرفته تری نیز در دسترس هستند، مانند CSF بسیار محبوب، که این مزیت اضافه را دارد که می توان آن را به عنوان یک افزونه برای رابط WHM نصب کرد.
همچنین برنامه هایی وجود دارند که فقط برای محافظت از برنامه های خاص توسعه یافته اند، به عنوان مثال CPHulk که از حملات علیه بسیاری از سرویس های cPanel جلوگیری می کند.
همه این فایروال ها یک قانون اساسی دارند: به جز چندین IP و پورت در لیست سفید کاربر، بقیه مسدود شده اند. ناگفته نماند که تنها مدیر سرور باید اختیار تغییر تنظیمات فایروال را داشته باشد.
چه زمانی یک IP را در لیست سفید قرار دهیم
اگر یک آدرس IP در لیست سفید قرار نگیرد، اتصال خارجی به سرور امکان پذیر نیست. از آنجایی که نمی خواهید خارج از دستگاه خود قفل شوید، می توانید با قرار دادن IP خود در لیست سفید شروع کنید.
با این حال، IP هایی که در لیست سفید قرار می گیرند فقط تا زمانی که پایدار بمانند اثر می گذارند. اگر IP شما پویا باشد یا مکرراً به مکانهای خارجی متصل میشوید، مجاز کردن اتصالات از تعداد زیادی آدرس میتواند یک خطر امنیتی مهم باشد.
در این مورد، گزینه بهتر این است که از طریق یک شبکه خصوصی مجازی متصل شوید و فقط IP استاتیک سرور VPN را در لیست سفید قرار دهید.
برخی از خدمات، مانند وب سرورها، باید برای اتصالات خارجی باز باشند. در این مورد، بهترین روش این است که پورت های استفاده شده توسط سرویس را در لیست سفید قرار دهید. به خاطر داشته باشید که میتوانید فایروال خود را طوری پیکربندی کنید که درخواستهای کشورهای خاصی را در صورتی که منبع حملات مکرر هستند رد کند.
شرکای خارجی و ارائه دهندگان نیز ممکن است نیاز به اتصال به سرور یا برخی از خدمات آن داشته باشند.
بهترین شیوه ها را در لیست سفید قرار دهید
برای ایمن تر کردن سرور، تعداد IP های لیست سفید باید تا حد امکان کم باشد. فقط زمانی که دلیل محکمی وجود دارد یک IP را مجاز کنید و در صورت عدم نیاز آن را از لیست حذف کنید.
اکثر فایروال ها از لیست سفید موقت پشتیبانی می کنند که می تواند بسیار مفید باشد. فرض کنید یک توسعه دهنده باید به مدت دو هفته روی سرور شما کار کند، می توانید IP او را برای این مدت موقتاً در لیست سفید قرار دهید و زمانی که منقضی شد به طور خودکار حذف می شود.
همچنین می توان ترکیب خاصی از IP و پورت را مجاز کرد. به عنوان مثال، اگر شخصی به سرور ایمیل شما دسترسی داشته باشد، می توان IP او را فقط برای آن پورت ها در لیست سفید قرار داد، زیرا نیازی به لیست سفید معمولی نیست. این مورد در مورد برخی از برنامه های خارجی که فقط به یک پورت خاص متصل می شوند نیز صادق است.
قوانین مبتنی بر منطقه نیز می تواند در برخی موارد بسیار موثر باشد. به عنوان مثال، اگر یک فروشگاه آنلاین فقط محصولات خود را در کشورهای خاصی به فروش می رساند، باید IP فقط آن مکان ها را در لیست سفید قرار دهید و بقیه را مسدود کنید.
بهترین روش دیگر این است که به طور منظم لیست سفید را بررسی کنید، فقط در صورتی که برخی از IP های فراموش شده وجود داشته باشد. برای جلوگیری از سردرگمی، می توانید هر بار که اجازه یک IP را می دهید یادداشت کوتاهی بنویسید تا بعداً دلیل آن را به خاطر بسپارید.
قرار دادن IP و لیست سیاه می تواند یک ابزار امنیتی بسیار قدرتمند در مبارزه مداوم با بدافزارها و سایر تهدیدها باشد.
با این حال، هر دو لیست سفید و سیاه می توانند خطرناک باشند اگر به درستی انجام نشوند. نکات موجود در مقاله ما را دنبال کنید تا از لیست سفید به بهترین نحو استفاده کنید.
