Single Blog

جلوگیری از حملات سرور با فایروال CSF

شهریور ۲۰, ۱۳۹۸, نویسنده: 0 comment

🧩راهنمای کامل نصب و پیکربندی فایروال CSF

در دنیای پرخطر امروز که حملات سایبری از جمله حملات DDoS به شکل بی‌وقفه سیستم‌های آنلاین را تهدید می‌کنند، انتخاب و پیکربندی صحیح یک فایروال قدرتمند برای سرور لینوکس اهمیت حیاتی دارد. در این مقاله، با فایروال CSF آشنا می‌شوید؛ راهکاری رایگان، قابل اعتماد و قابل تنظیم برای محافظت از سرورهای مجازی، مخصوصاً برای کاربرانی که از سرور مجازی لینوکس یا سرور مجازی خارج استفاده می‌کنند.

🛡 فایروال CSF چیست؟

CSF یا ConfigServer Security & Firewall یک فایروال نرم‌افزاری رایگان است که روی سیستم‌عامل‌های لینوکس نصب می‌شود و با پنل‌های مدیریتی مانند WHM/cPanel، DirectAdmin و Webmin سازگار است. این فایروال علاوه‌بر فیلتر کردن ترافیک مخرب، قابلیت جلوگیری از حملات Brute Force و شناسایی تلاش‌های غیرمجاز برای ورود به سرور را دارد.

سیستم‌عامل‌های پشتیبانی‌شده توسط CSF

CSF با اغلب توزیع‌های لینوکسی محبوب و سیستم‌های مجازی‌سازی سازگار است:

 
سیستم عامل محیط مجازی‌سازی
CentOS 6 تا 7 VMware / KVM / OpenVZ
CloudLinux 6 تا 7 Virtuozzo / VirtualBox
Debian 8 تا 10 MS Virtual Server / Xen
Ubuntu 18 تا 20
Fedora 30+

 

📌 مزایای کلیدی فایروال CSF

  1. جلوگیری از حملات Brute Force

    CSF تلاش‌های پیاپی ورود ناموفق به سرور (از جمله از طریق SSH، FTP، پنل مدیریت و ایمیل سرور) را ردیابی کرده و در صورت شناسایی رفتار مشکوک، IP را به‌صورت خودکار بلاک می‌کند.

  2. محافظت در برابر حملات DDoS

    فایروال CSF امکان تنظیم محدودیت تعداد اتصال به پورت‌ها را در بازه زمانی خاص فراهم می‌کند. این ویژگی در کاهش اثر حملات Denial-of-Service بسیار مؤثر است و می‌تواند بار سرور را کنترل کند.

  3. پیام‌رسانی در صورت مسدود شدن IP

    در صورت بلاک شدن یک IP، می‌توانید پیامی مناسب به کاربر ارسال کنید تا در صورت اشتباه، بتواند با مدیر سرور ارتباط بگیرد. این قابلیت برای تجربه کاربری اهمیت دارد و نشان‌دهنده سرویس‌دهی حرفه‌ای است.

  4. گزارش‌گیری و بررسی امنیت سرور

    CSF یک ابزار داخلی برای بررسی امنیت فعلی سرور ارائه می‌دهد و پیشنهادهایی جهت بهینه‌سازی تنظیمات امنیتی متناسب با نیازهای شما نمایش می‌دهد.

 

جلوگیری از حملات سرور با فایروال CSF

📥 آموزش نصب و تنظیم CSF در لینوکس

نصب CSF روی سرور لینوکس بسیار ساده است. تنها نکته مهمی که وجود دارد این است که، قبل از نصب CSF، اطمینان حاصل کنید که فایروال دیگری مانند firewalld یا iptables به‌صورت موازی فعال نباشد. ترکیب CSF با فایروال دیگر موجب بروز خطا میشود پس در صورت وجود فایروال دیگر باید اقدام به حذف آن نمایید.وجود چند فایروال همزمان می‌تواند باعث اختلال در عملکرد شبکه و تداخل در قوانین شود. در ادامه مراحل کلی را مشاهده می‌کنید:

1.نصب فایروال 

ابتدا با نرم افزار putty وارد سرور مجازی یا اختصاصی لینوکس خود شوید .سپس دستورات زیر را به ترتیب وارد کنید و منتظر باشید تا تکمیل شود.

wget https://download.configserver.com/csf.tgz
tar -xzf csf.tgz
cd csf
sh install.sh

2. اطمینان از عملکرد CSF

اکنون فایروال نصب شد. CSF از ماژول های iptables برای مدیریت پورت ها و … استفاده میکند. به همین دلیل برای بررسی وجود یا عدم وجود این ماژول ها روی سرور باید اسکریپت پرل CSF مخصوص بررسی ماژول های IPTABLES را به صورت زیر به اجرا در بیاورید، اگر عملیات تست موفقیت آمیز بود برای راه اندازی و پیکربندی به مرحله سوم میرویم:

perl /usr/local/csf/bin/csftest.pl

3. پیکربندی فایروال

پس از اینکه فایروال نصب شود ابتدا در حالت تست است یعنی فعال نیست و لازم است از طریق تنظیمات آن فایروال را فعال کنید. ما در این قسمت برخی از تنظیمات مهم را به شما آموزش میدهیم. برای اطلاعات بیشتر و تخصصی تر میتوانید به این صفحه مراجعه نمایید.

بعد از نصب این فایروال یک گزینه ای با عنوان config server firewall & security در پنل شما ظاهر میشود. بر روی این گزینه کلیک کنید تا وارد مدیریت این فایروال شوید. سپس سربرگ سوم گزینه  config server Firewall را زده و وارد قسمت Firewall configuration شوید. در این گزینه میتوانید این فایروال را مطابق نیازهای خود پیکربندی کنید:

نصب و پیکربندی فایروال CSF

  • اولین گزینه که در csf.conf هم میباشد مربوط میشود به حالت فعال بودن آزمایشی یا آماده به کار که در این جا ما دو تا حالت داریم یکی 0 و یکی 1 که اگر 1 قرار بدهیم مانند این است که ما اصلا CSF رو نصب نکرده ایم و اگر 0 قرار بدیم CSF فعال میشه پس ما 0 رو انتخاب میکنیم.

TESTING = “0″

یک سری تنظیمات که خیلی مهم هستند در واقع مدیریت پورت های سرور است ؛ پس مطمئن باشید چه پورتی رو باز نگه میدارید و چه پورتی را بسته.

 

  • پورت هایی را میتوانید اینجا باز کنید که از بیرون از سرور به سرور دسترسی داشته باشند در واقع پورت هایی که اجازه ورود به سرور را دارند؛

“TCP_IN =”20,25,53,80,110,465

  • این تنظیم هم مربوط میشود به پورت هایی که از سرور به بیرون باز باشد در واقع پورت هایی که از داخل سرور به بیرون از سرور باز باشد.

“TCP_OUT =”20,25,53,80,110,465

  •  پورت های UDP که UDP_IN پورت های UDP از بیرون به داخل رو باز میکند.

UDP_IN = “53″

  • در مورد UDP_OUT پورت های UDP از داخل سرور به بیرون میخواهید باز باشد .

UDP_OUT = “20,21,53,113,123,873,6277″

پروتکل ICMP  که این قسمت هم بستگی به افراد دارد؛ برخی مواقع افراد مایلند این پروتکل باز باشد این قسمت را فعال کرده و برخی هم تمایلی نداشته و میبندند.  ولی در صورت باز بودن ممکن است یک سری حملات روی سرور داشته باشند .

 

  • پس در پیکربندی زیر که ICMP رو از بیرون به داخل پیکربندی میکند که اگر عدد 1 رو بگذاریم ICMP باز است و میتواند پینگ کنند و شما Rate این قسمت را میتوانید تعیین کنید، ولی اگه 0 باشد کلا بسته میشود .

ICMP_IN = “0″

  • برای تنظیم Rate آن هم پیکربندی زیر را ویرایش میکنیم که عموما 1 در ثانیه تنظیم میکنند.

”ICMP_IN_RATE = “1/s

  • اکنون بحث باز یا بسته بودن ICMP از داخل سرور به بیرون؛ که اصولا باید باز گذاشته شوند زیرا سرویس های شما قطعا به این مورد نیاز دارند

ICMP_OUT = “1″
ICMP_OUT_RATE = “0″

  • اگر  ICMP_OUT_RATE رو عدد 0 بگذارید به معنی بی نهایت میباشد یا نامحدود.

SMTP_BLOCK = “1″

  • پیکربندی SMTP با مقدار “1” ایمیل هایی که غیر از یوزر روت با SMTP میخواهد فرستاده شود را بلاک میکند .

SMTP_ALLOWLOCAL = “1″

  • اگر SMTP_BLOCK فعال کرده باشید این گزینه اجازه میدهد تنها از روی خود سرور توسط SMTP ایمیل فرستاده شود یعنی اگر با Localhost فرستاده شد اجازه خروج از سرور رو بدهد به غیر از این مثلا اگه از بیرون وصل شدند و خواستند SMTP ایمیل بزنند بلاک کند

PACKET_—————— = “1″

  • این گزینه پاکت هایی که خود IPTABLES تشخیص میدهد که نامشخص است هستند را باگ میکند؛ یعنی پاکت هایی که INVALID هستند .

DROP_PF_LOGGING = “0″

  • این گزینه نیز لاگ کردن SYN Flood Protection رو فعال میکند .

SYNFLOOD = “1″
SYNFLOOD_RATE = “100/s
SYNFLOOD_BURST = “150″

  • Synflood اول: تنظیم این قسمت Synflood Protection رو فعال میکند و SYNFLOOD_RATE هم Rate رو مشخص میکند و SYNFLOOD_BURST هم Burst را، که این تنظیمات بستگی به سرور شما و سطح حمله هایی که دارد به سرور شما میشود به صورت پیش فرض میتوانید این مقادیر را قرار بدهید . اگر حمله شدیدتر باشد میتوانید Rate ر کمتر کرده تا به جایی برسد که حملات را دفع کند.

“” =PORTFLOOD

  • گزینه زیر نیز اتصالات روی هر پورت را مدیریت میکند. برای مثال اگه شما مقدار زیر را تنظیم کنید به این معناست که روی پورت 80 از نوع TCP هر ایپی میتواند در مدت 5 ثانیه 20 تا اتصال ایجاد کند .

PORTFLOOD = “80;tcp;20;5″
VERBOSE = “1″

  • قسمت VERBOSE کارهایی که Iptables انجام میدهد را روی صحفه نمایش شما نشان میدهد که بهتر است ۱ را انتخاب کنید.

SYSLOG = “0″

  • این قسمت هم برای فعال کردن SYSLOG میباشد؛ که بهتر است همیشه فعال نگه دارید تا لاگ های سیستم رو ایجاد کند که مهم هم میباشد پس عدد 1 رو انتخاب میکنیم !

نکته : در صورت تغییر در هر کدام از فایل های اعلام شده میبایست فایروال ریستارت شود که جهت انجام این کار میتوانید از دستور زیر استفاده نمایید.

Csf -r

 

نصب و پیکربندی فایروال CSF

🎯خلاصه مراحل نصب و تنظیم ConfigServer Security & Firewall

۱. ورود به سرور از طریق SSH
۲. نصب ابزارهای موردنیاز مانند Perl
۳. دانلود و نصب CSF با دستورات زیر

sudo apt update
sudo apt install libio-socket-ssl-perl libnet-libidn-perl libio-socket-inet6-perl
cd /usr/src
wget https://download.configserver.com/csf.tgz
tar -xzf csf.tgz
cd csf
sh install.sh

۴. بررسی نصب

perl /usr/local/csf/bin/csftest.pl

۵. تنظیمات اولیه فایل /etc/csf/csf.conf

تغییر وضعیت TESTING به 0

۶. ریستارت سرویس

systemctl restart csf
systemctl restart lfd

 

جلوگیری از حملات سرور با فایروال CSF

👨‍💼 کاربرد CSF برای کاربران VPS

نصب CSF به‌شدت برای افرادی که از خدمات زیر استفاده می‌کنند توصیه می‌شود:

  • سرور مجازی ابری برای پروژه‌های در حال رشد
  • سرور مجازی ترید یا سرور مجازی فارکس برای جلوگیری از IP بلاک در صرافی‌ها
  • سرور مجازی میکروتیک برای تنظیمات روتینگ حرفه‌ای
  • سرور مجازی نیمه اختصاصی (VDS) برای پروژه‌هایی که نیاز به منابع زیادی دارند
  • شرکت های نمایندگی سرور مجازی جهت فروش به کاربران نهایی با IP ثابت

در تمامی این موارد، استفاده از یک فایروال هوشمند مانند CSF، گامی ضروری برای تضمین امنیت داده‌ها و پایداری سرور است.

 

📌چرا CSF بهترین انتخاب برای امنیت سرور شماست؟

اگر به دنبال راه‌حلی رایگان، قابل تنظیم، سازگار با اغلب توزیع‌های لینوکس و مؤثر در مقابله با حملات سایبری هستید، فایروال CSF یک انتخاب حرفه‌ای و قابل اعتماد است. برای کسب راهنمایی در مورد نصب CSF با تیم پشتیبانی ایران وی پی اس در تماس باشید یا از طریق گفت‌و‌گوی زنده مشاوره دریافت کنید.

مریم ممتاز

ارسال پاسخ

Your email address will not be published. Required fields are marked *