نحوه نصب و فعال سازی فایروال CSF

اگر دوست دارید با یک فایروال رایگان امنیت سایت خود را  به حداکثر برسانید تا انتهای این مقاله با ما همراه باشید. CSF یک فایروال رایگان برای سرورهای لینوکسی است که ویژگی‌های امنیتی بسیار خوبی را به کاربران ارائه می‌دهد.

در این مطلب آموزش نصب فایروال CSF  به صورت کامل برای شما توضیح داده شده است. شما می‌توانید با مطالعه این مطلب در مگ هاست ایران با کاربردهای فایروال CSF آشنا شوید.

CSF چیست؟

Config Server Firewall (یا CSF) یک فایروال رایگان و پیشرفته برای اکثر توزیع‌های لینوکس و سرورهای مجازی مبتنی بر لینوکس است. این فایروال علاوه بر مدیریت و محدود کردن ترافیک سایت، ویژگی‌های امنیتی دیگری نظیر مدیریت ورود به سیستم و جلوگیری از نفوذ بدافزارها را به کاربران ارائه می‌دهد.

CSF با یکپارچه سازی UI برای کنترل پنل‌های مشهوری مثل cPanel و DirectAdmin رابط کاربری بی‌نظیری را ایجاد می‌کند. علاوه بر این طیف وسیعی از ویژگی‌های امنیتی را در VPS شما فعال می‌کند که در ادامه به آن‌ها اشاره کرده‌ایم.

مزایا و کاربردهای فایروال CSF

انواع فایروال در شبکه، هر کدام ویزگی‌های امنیتی خاصی را به سرور شما اضافه می‌کنند. یکی دیگر از ویژگی‌های جالب در این فایروال این است که شما می‌توانید مسیرهای حساس در سرور لینوکسی خود را تحت نظر قرار دهید و در صورت بروز هر مورد مشکوکی،  به سرعت آن را پیگیری کنید. برای این کار کافیست دایرکتوری دلخواه خود را در مسیر زیر تایپ کنید:

/etc/csf/csf.dirwatch

علاوه بر این با استفاده از فایروال csf شما می‌توانید به راحتی تمامی فرایندهای اتفاق افتاده در شبکه و همچنین پورت‌های خود را چک کنید از بروز موارد امنیتی حملات سایبری جلوگیری کنید. این تجربه سطحی از امنیت حداکثری است.

با استفاده از فایروال csf شما اتصالات خود را به پورت‌های دیگر محدود خواهید کرد. علاوه بر این می‌توانید تعداد اتصالات فعال به آی پی را از هر پورت نیز محدود کنید. زمانی که این ویژگی را فعال می‌کنید و آن را به درستی پیکربندی می‌کنید می‌توانید از حملات DoS جلوگیری کند. 

کاربران و IP هایی که با استفاده از این فایروال مسدود کرده‌اید، پیامی را در این باره در ایمیل خود مشاهده خواهند کرد. این ویژگی به شما امکان می‌دهد بتوانید زمان مسدود کردن IP های مخرب و همچنین پیغامی که به کاربران ارسال می‌شود را نیز شخصی‌سازی کنید.

علاوه بر محدود سازی آی‌پی‌ها می‌توانید فایروال csf را به گونه‌ای پیکربندی کنید که IP دلخواه شما به پورت دیگری هدایت شود. این به معنای مسیردهی به کاربران سرور مجازی شما خواهد بود.

آموزش نصب فایروال Config Server در اوبونتو

برای شروع کار باید فایروال CSF را از وب سایت ConfigServer دانلود کنید. چرا که این فایروال در حال حاضر در مخازن دبیان یا اوبونتو وجود ندارد. 

http://download.configserver.com/

در گام بعدی فایل دانلود شده را که در حالت فشرده () قرار دارد را از حالت فشرده  خارج کنید.

tar -xzf csf.tgz

اگر از اسکریپت‌های پیکربندی فایروال دیگری استفاده می‌کنید، باید قبل از هر چیز  آن را غیرفعال کنید. قوانین Iptables نیز به طور خودکار حذف خواهند شد. برای غیرفعال کردن UFW، دستور زیر را اجرا کنید:

ufw disable

سپس با دستورهای زیر فرایند نصب CSF را شروع کنید.

cd csf

sh install.sh

در حال حاضر فایروال نصب شده است. حال باید بررسی کنید که آیا ماژول‌های مورد نیاز iptables در دسترس هستند یا نه. برای این کار دستور زیر را وارد کنید.

perl /usr/local/csf/bin/csftest.pl

آموزش پیکربندی فایروال

فرایند پیکربندی فایروال در سه مرحله انجام می‌شود:

مرحله اول: پیکربندی پورت ها

اگرچه با محدود کردن دسترسی به سرور می‌توانید آن را امن‌تر نگه دارید اما محدود کردن همه پورت‌ها هم ممکن است کاربران را در استفاده از سرور شما با مشکل مواجه کند.

پورت های باز شده به صورت پیش فرض به شرح زیر است:

TCP_IN = “20,21,22,25,53,80,110,143,443,465,587,993,995” TCP_OUT = “20,21,22,25,53,80,110,113,443” UDP21,443 = “UDP21,20,1,21,21,0=TCP_IN 123”

خدمات با استفاده از پورت‌های باز عبارتند از:

• پورت ۲۰: انتقال داده با FTP
• پورت ۲۱: کنترل FTP
• پورت ۲۲: پوسته ایمن (SSH)
• پورت ۲۵: پروتکل انتقال نامه ساده (SMTP)
• پورت ۵۳: سیستم نام دامنه (DNS)
• پورت ۸۰: پروتکل انتقال ابرمتن (HTTP)
• پورت ۱۱۰: پروتکل دفتر پست نسخه ۳ (POP3)
• پورت ۱۱۳: سرویس احراز هویت/پروتکل شناسایی
• پورت ۱۲۳: پروتکل زمان شبکه (NTP)
• پورت ۱۴۳: پروتکل دسترسی به پیام اینترنتی (IMAP)
• پورت ۴۴۳: پروتکل انتقال ابرمتن از طریق SSL/TLS (HTTPS)
• پورت ۴۶۵: فهرست راهنماهای اینترنتی برای SSM (سیسکو)
• پورت ۵۸۷: ارسال پیام الکترونیکی (SMTP)
• پورت ۹۹۳: پروتکل دسترسی به پیام اینترنتی از طریق SSL (IMAPS)
• پورت ۹۹۵: پروتکل اداره پست ۳ از طریق TLS/SSL (POP3S)

این امکان وجود دارد که از همه این سرویس‌ها و پورت‌ها استفاده نکنید. بنابراین می‌توانید پورت‌هایی را که استفاده نمی‌شوند ببندید. توصیه می‌کنم همه پورت‌ها را ببندید و سپس پورت‌های مورد نیاز خود را اضافه کنید.

در ادامه مجموعه کاملی از پورت‌هایی وجود دارد که در صورت اجرای سرویس باید باز شوند:

در هر سرور:

TCP_IN: 22,53 TCP_OUT: 22,53,80,113,443 UPD_IN: 53 UPD_OUT: 53,113,123

آپاچی:

TCP_IN: 80,443

سرور FTP:

TCP_IN: 20،۲۱ TCP_OUT: 20،۲۱ UPD_IN: 20،۲۱ UPD_OUT: 20،۲۱

سرور پست الکترونیکی:

TCP_IN: 25,110,143,587,993,995 TCP_OUT: 25,110

سرور MySQL (در صورت نیاز به دسترسی از راه دور):

TCP_IN: 3306 TCP_OUT: 3306

توجه: اگر از IPv6 برای سرویس‌های خود استفاده می‌کنید، باید TCP6_IN، TCP6_OUT، UPD6_IN، و UPD6_OUT را نیز پیگربندی کنید، درست مانند پیکربندی پورت‌های IPv4 قبلی!

مرحله دوم: تنظیمات جانبی

CSF گزینه‌های مختلفی را در هنگام پیکربندی برای کاربران در نظر گرفته است. برخی از متداول‌ترین تنظیمات کاربردی  و مورد استفاده را در ادامه برای شما توضیح داده‌ایم.

• ICMP_IN: تنظیم ICMP_IN روی ۱ به شما اجازه می‌دهد سرور را پینگ کنید.و اگر روی ۰ تنظیم شود، باعث رد درخواست‌ها خواهد شد. 
• ICMP_IN_LIMIT: این ویژگی تعداد درخواست‌های ICMP (پینگ) مجاز از یک آدرس IP مشخص را در مدت زمان مشخصی تنظیم می‌کند. معمولاً نیازی به تغییر مقدار پیش فرض (۱/s) نیز نخواهید داشت.
• DENY_IP_LIMIT: با فعال کردن  این ویژگی تعداد IP مسدود شده‌ای که توسط CSF ردیابی می‌شود، تنظیم خواهد شد. به شما توصیه می‌کنیم تعداد IP‌های بلاک شده را محدود کنید، چرا که تعداد بالای IP مسدود شده احتمالا عملکرد سرور شما را تحت تاثیر قرار خواهد داد.
• DENY_TEMP_IP_LIMIT: این گزینه نیز همانند مورد بالاست، با این تفاوت که برای IP های مسدود شده به طور موقت کاربرد دارد.
• PACKET_FILTER: با فعال سازی این ویژگی بسته‌های نامعتبر، ناخواسته و غیرقانونی را فیلتر می‌کنید.
• SYNFLOOD، SUNFLOOD_RATE و SYNFLOOD_BURST:  این ویژگی محافظت در برابر حملات  SYN FLOOD  را برای سرور شما فعال می‌کند. این امر ممکن است سرعت دهی اولیه سرور در اتصال را کندتر کند، بنابراین فقط در صورتی باید آن را فعال کنید که بدانید سرور شما مورد حمله قرار گرفته است.
• CONNLIMIT: تعداد اتصالات فعال همزمان در پورت را محدود می‌کند.

برای تنظیم CONNLIMIT، به مثال زیر توجه کنید:

۲۲;۵;۴۴۳;۲۰

این مقدار امکان ۵ اتصال هم‌زمان در پورت ۲۲ و ۲۰ و همچنین اتصال همزمان در پورت ۴۴۳ را فراهم می‌کند.

• PORTFLOOD: تعداد اتصالات را در بازه‎های زمانی مشخصی محدود می‌کند. این محدودیت زمانی رخ می‌دهد که کاربران می‌خواهد اتصالات جدید به پورت اضافه کنند.

۲۲; tcp; 5; 250

 با این کار در شرایطی که بیش از ۵ اتصال در پورت ۲۲ با استفاده از پروتکل TCP در عرض ۲۵۰ ثانیه ایجادشود، آدرس IP  به صورت خودکار محدود خواهد شد.

پس از گذشت ۲۵۰ ثانیه از آخرین بسته ارسال شده توسط کاربر به این پورت،IP از وضعیت بلاک خارج می‌شود. 

port1;protocol1;connection_count1;time1,port2;protocol2;connection_count2;time2

مرحله سوم: اعمال تغییرات

زمانی که  تنظیمات را در csf.conf تغییر می‌دهید، باید حتما فایل‌ها را ذخیره کرده و CSF را مجددا راه اندازی کنید تا تغییرات انجام شده اعمال شوند. پس از انجام پیکربندی، فایل را با فشار دادن Ctrl + X ببندید. با این کار در اروری از شما پرسیده می‌شود که آیا می‌خواهید تغییرات را ذخیره کنید یا خیر، Y را فشار دهید تا تغییرات ذخیره شوند.

پس از این، باید تغییرات را با راه اندازی مجدد CSF با دستور اعمال کنید:

csf -r

اگر همه چیز طبق برنامه و به درستی پیش برود، می‌توانید به سرور دسترسی داشته باشید. یک بار دیگر فایل پیکربندی را باز کنید:

nano /etc/csf/csf.conf

و تنظیمات TESTING در ابتدای فایل پیکربندی را مطابق شکل زیر به ۰ تغییر دهید:

TESTING = “0”

فایل را ذخیره کنید و تغییرات را با دستور اعمال کنید:

csf -r 

نحوه مدیریت آدرس های IP در فایروال 

یکی از بهترین ویژگی‌های امنیتی این فایروال، مسدود کردن آدرس های IP خاص است. شما می‌توانید با ویرایش فایل‌های پیکربندی csf.deny و csf.allow و csf.ignore آدرس های IP را در سه حالت مختلف قرار دهید:

•  رد کنید و در لیست سیاه قرار دهید
• قبول کنید
• یا نادیده بگیرید

برای بلاک کردن یک IP در این فایروال کافیست با دستور زیر csf.deny را باز کنید:

nano /etc/csf/csf.deny

در این فایل، هر خط یک آدرس IP یا یک محدوده را مسدود می‌کند. در یک مثال واضح اگر می‌خواهید آدرس آی‌پی  ۱.۲.۳.۴ و محدوده IP 2.3.*.* را مسدود کنید، باید خطوط زیر را در فایل اضافه کنید.

۱.۲.۳.۴ ۲.۳.۰.۰/۱۶

برای قبول کردن یک آی‌پی و یا گروه خاصی از IP ها می‌توانید آنها را به فایل csf.allow اضافه کنید. توجه داشته باشید که آدرس‌های IP مجاز که در لیست csf.allow قرار دارند، اگر در فایل csf.deny نیز به عنوان آی‌پی مسدود شده قرار داشته باشند، باز هم مجاز هستند.

nano /etc/csf/csf.allow

برای نادیده گرفتن آدرس‌های IP نیز کافیست دستور زیر را وارد نمایید.

nano /etc/csf/csf.ignore

CSF  توانایی حذف آدرس‌های IP از فیلترهای فایروال را نیز ارائه می‌دهد. آدرس‌های IP در csf.ignore لیست می‌شوند، فیلترهای فایروال را دور می‌زنند و فقط در صورتی می‌توانند مسدود شوند که در فایل csf.deny فهرست شده باشند.

جمع بندی

با مطالعه این مطلب همه چیز را درباره نحوه نصب فایروال CSF آموختید. این فایروال امکانات امنیتی بسیاری را به سرور شما اضافه می‌کند. شما می‌توانید با راه‌اندازی این فایروال آی‌پی‌هایی که با سرور شما در ارتباط هستند را محدود و ردیابی کنید.

اگر همچنان سوالی در این زمینه ذهن شما را به خود مشغول کرده است، می‌توانید با کارشناسان فعال ما در هاست ایران همراه باشید.

سوالات متداول

• CSF چیست؟

Config Server Firewall (یا CSF) یک فایروال رایگان و پیشرفته برای اکثر توزیع‌های لینوکس و سرورهای مجازی مبتنی بر لینوکس است.

• ویژگی‎های CSF کدامند؟

 این فایروال علاوه بر مدیریت و محدود کردن ترافیک سایت، ویژگی‌های امنیتی دیگری نظیر مدیریت ورود به سیستم و جلوگیری از نفوذ بدافزارها را به کاربران ارائه می‌دهد.

• مدیریت IP با استفاده از فایروال CSF چند صورت دارد؟

شما می‌توانید با استفاده از این فایروال، IP هایی که با سرور شما در ارتباط هستند را بلاک کنید، نادیده بگیرید و یا به آن‌ها اجازه دهید با سرور در ارتباط باشند.