தடைசெய்யப்பட்ட ஆதாரங்களுக்கான வருகைகளைத் தடுப்பதன் பொருத்தம், சம்பந்தப்பட்ட அதிகாரிகளின் சட்டம் அல்லது உத்தரவுகளுக்கு இணங்கத் தவறியதாக அதிகாரப்பூர்வமாக குற்றம் சாட்டப்படும் எந்தவொரு நிர்வாகியையும் பாதிக்கிறது.
எங்களின் பணிகளுக்கான பிரத்யேக நிரல்கள் மற்றும் விநியோகங்கள் இருக்கும்போது சக்கரத்தை ஏன் மீண்டும் உருவாக்க வேண்டும், எடுத்துக்காட்டாக: Zeroshell, pfSense, ClearOS.
நிர்வாகத்திற்கு மற்றொரு கேள்வி இருந்தது: பயன்படுத்திய தயாரிப்புக்கு நமது மாநிலத்தின் பாதுகாப்புச் சான்றிதழ் உள்ளதா?
பின்வரும் விநியோகங்களுடன் பணிபுரிந்த அனுபவம் எங்களுக்கு இருந்தது:
- ஜீரோஷெல் - டெவலப்பர்கள் 2 வருட உரிமத்தை கூட நன்கொடையாக வழங்கினர், ஆனால் நாங்கள் ஆர்வமாக இருந்த விநியோக கிட், நியாயமற்ற முறையில், எங்களுக்கு ஒரு முக்கியமான செயல்பாட்டைச் செய்தது;
- pfSense - மரியாதை மற்றும் மரியாதை, அதே நேரத்தில் சலிப்பு, FreeBSD ஃபயர்வாலின் கட்டளை வரியுடன் பழகுவது மற்றும் எங்களுக்கு போதுமான வசதியாக இல்லை (இது ஒரு பழக்கம் என்று நான் நினைக்கிறேன், ஆனால் அது தவறான வழி என்று மாறியது);
- ClearOS - எங்கள் வன்பொருளில் இது மிகவும் மெதுவாக மாறியது, எங்களால் தீவிர சோதனைக்கு செல்ல முடியவில்லை, எனவே ஏன் இத்தகைய கனமான இடைமுகங்கள்?
- Ideco SELECTA. Ideco தயாரிப்பு ஒரு தனி உரையாடல், ஒரு சுவாரஸ்யமான தயாரிப்பு, ஆனால் அரசியல் காரணங்களுக்காக எங்களுக்கு அல்ல, மேலும் அதே லினக்ஸ், ரவுண்ட்கியூப் போன்றவற்றுக்கான உரிமத்தைப் பற்றி நான் அவர்களை "கடிக்க" விரும்புகிறேன். இடைமுகத்தை வெட்டுவதன் மூலம் அவர்களுக்கு எங்கிருந்து யோசனை வந்தது பைதான் சூப்பர் யூசர் உரிமைகளைப் பறிப்பதன் மூலம், ஜிபிஎல்& போன்றவற்றின் கீழ் விநியோகிக்கப்படும் இணைய சமூகத்திலிருந்து உருவாக்கப்பட்ட மற்றும் மாற்றியமைக்கப்பட்ட தொகுதிக்கூறுகளால் ஆன முடிக்கப்பட்ட தயாரிப்பை அவர்கள் விற்கலாம்.
எனது அகநிலை உணர்வுகளை விரிவாக உறுதிப்படுத்துவதற்கான கோரிக்கைகளுடன் எதிர்மறையான ஆச்சரியங்கள் இப்போது என் திசையில் ஊற்றப்படும் என்பதை நான் புரிந்துகொள்கிறேன், ஆனால் இந்த நெட்வொர்க் முனை இணையத்திற்கான 4 வெளிப்புற சேனல்களுக்கு ஒரு டிராஃபிக் பேலன்ஸர் என்றும் சொல்ல விரும்புகிறேன், மேலும் ஒவ்வொரு சேனலுக்கும் அதன் சொந்த குணாதிசயங்கள் உள்ளன. . மற்றொரு மூலக்கல்லானது வெவ்வேறு முகவரி இடைவெளிகளில் வேலை செய்ய பல பிணைய இடைமுகங்களில் ஒன்று தேவை, மற்றும் ஐ தயாராக தேவையான மற்றும் தேவையில்லாத எல்லா இடங்களிலும் VLAN கள் பயன்படுத்தப்படலாம் என்பதை ஒப்புக்கொள்கிறேன் தயாராக இல்லை. TP-Link TL-R480T+ போன்ற சாதனங்கள் பயன்பாட்டில் உள்ளன - அவை பொதுவாக, அவற்றின் சொந்த நுணுக்கங்களுடன் சரியாக செயல்படாது. உபுண்டு அதிகாரப்பூர்வ வலைத்தளத்திற்கு நன்றி, இந்த பகுதியை லினக்ஸில் கட்டமைக்க முடிந்தது
பரிசீலனையில் உள்ள தீர்வு தனித்துவமானது என்று கூறவில்லை, ஆனால் நான் ஒரு கேள்வியைக் கேட்க விரும்புகிறேன்: "மாற்று விருப்பத்தை பரிசீலிக்கும்போது தீவிர வன்பொருள் தேவைகள் கொண்ட மூன்றாம் தரப்பு சந்தேகத்திற்குரிய தயாரிப்புகளுக்கு ஒரு நிறுவனம் ஏன் மாற்றியமைக்க வேண்டும்?"
ரஷ்ய கூட்டமைப்பில் ரோஸ்கோம்நாட்ஸரின் பட்டியல் இருந்தால், உக்ரைனில் தேசிய பாதுகாப்பு கவுன்சிலின் முடிவுடன் ஒரு இணைப்பு உள்ளது (எடுத்துக்காட்டாக.
பிற நிறுவனங்களில் சக ஊழியர்களுடன் தொடர்புகொள்வது, முன்னிருப்பாக அனைத்து தளங்களும் தடைசெய்யப்பட்டுள்ளன, மேலும் முதலாளியின் அனுமதியுடன் நீங்கள் ஒரு குறிப்பிட்ட தளத்தை அணுகலாம், மரியாதையுடன் புன்னகைத்து, சிந்தித்து, "பிரச்சனையை புகைபிடிப்பதன் மூலம்", வாழ்க்கை என்பதை நாங்கள் புரிந்துகொண்டோம். இன்னும் நன்றாக இருக்கிறது, நாங்கள் அவர்களின் தேடலைத் தொடங்கினோம்.
போக்குவரத்து வடிகட்டலைப் பற்றி “ஹவுஸ்வைவ்ஸ் புத்தகங்களில்” அவர்கள் எழுதுவதை பகுப்பாய்வு ரீதியாகப் பார்ப்பது மட்டுமல்லாமல், வெவ்வேறு வழங்குநர்களின் சேனல்களில் என்ன நடக்கிறது என்பதைப் பார்க்கவும், பின்வரும் சமையல் குறிப்புகளைக் கவனித்தோம் (எந்த ஸ்கிரீன் ஷாட்களும் கொஞ்சம் செதுக்கப்பட்டவை, தயவுசெய்து புரிந்து கொள்ளுங்கள் ):
வழங்குபவர் 1
- கவலைப்படாது மற்றும் அதன் சொந்த DNS சேவையகங்கள் மற்றும் ஒரு வெளிப்படையான ப்ராக்ஸி சேவையகத்தை சுமத்துகிறது. சரி?.. ஆனால் நமக்குத் தேவையான இடத்தை அணுகலாம் (தேவைப்பட்டால் :))
வழங்குபவர் 2
- அவரது சிறந்த வழங்குநர் இதைப் பற்றி சிந்திக்க வேண்டும் என்று நம்புகிறார், சிறந்த வழங்குநரின் தொழில்நுட்ப ஆதரவு எனக்குத் தேவையான தளத்தை ஏன் திறக்க முடியவில்லை என்பதை ஒப்புக்கொண்டது, அது தடைசெய்யப்படவில்லை. படம் உங்களை மகிழ்விக்கும் என்று நினைக்கிறேன் :)
அது முடிந்தவுடன், அவர்கள் தடைசெய்யப்பட்ட தளங்களின் பெயர்களை ஐபி முகவரிகளாக மொழிபெயர்த்து, ஐபியைத் தடுக்கிறார்கள் (இந்த ஐபி முகவரி 20 தளங்களை ஹோஸ்ட் செய்ய முடியும் என்பதில் அவர்கள் கவலைப்படவில்லை).
வழங்குபவர் 3
- போக்குவரத்தை அங்கு செல்ல அனுமதிக்கிறது, ஆனால் பாதையில் திரும்ப அனுமதிக்காது.
வழங்குபவர் 4
- குறிப்பிட்ட திசையில் பாக்கெட்டுகளுடன் அனைத்து கையாளுதல்களையும் தடை செய்கிறது.
VPN (Opera உலாவியைப் பொறுத்து) மற்றும் உலாவி செருகுநிரல்களை என்ன செய்வது? முதலில் Mikrotik என்ற முனையுடன் விளையாடியபோது, L7 க்கான வள-தீவிர செய்முறையும் கிடைத்தது, அதை நாங்கள் பின்னர் கைவிட வேண்டியிருந்தது (இன்னும் தடைசெய்யப்பட்ட பெயர்கள் இருக்கலாம், 3 டஜன் வழிகளுக்கான நேரடி பொறுப்புகளுக்கு கூடுதலாக, அது வருத்தமாகிறது. வெளிப்பாடுகள் PPC460GT செயலி சுமை 100 % வரை செல்கிறது).
.
என்ன தெளிவாகியது:
127.0.0.1 இல் உள்ள DNS முற்றிலும் ஒரு சஞ்சீவி அல்ல; உலாவிகளின் நவீன பதிப்புகள் இன்னும் இதுபோன்ற சிக்கல்களைத் தவிர்க்க உங்களை அனுமதிக்கின்றன. அனைத்து பயனர்களையும் குறைக்கப்பட்ட உரிமைகளுக்கு மட்டுப்படுத்துவது சாத்தியமில்லை, மேலும் ஏராளமான மாற்று டிஎன்எஸ் பற்றி நாம் மறந்துவிடக் கூடாது. இணையம் நிலையானது அல்ல, மேலும் புதிய DNS முகவரிகள் தவிர, தடைசெய்யப்பட்ட தளங்கள் புதிய முகவரிகளை வாங்குகின்றன, உயர்மட்ட டொமைன்களை மாற்றுகின்றன, மேலும் அவற்றின் முகவரியில் ஒரு எழுத்தைச் சேர்க்கலாம்/அகற்றலாம். ஆனால் இன்னும் ஏதாவது வாழ உரிமை உண்டு:
ip route add blackhole 1.2.3.4
தடைசெய்யப்பட்ட தளங்களின் பட்டியலிலிருந்து IP முகவரிகளின் பட்டியலைப் பெறுவது மிகவும் பயனுள்ளதாக இருக்கும், ஆனால் மேலே கூறப்பட்ட காரணங்களுக்காக, Iptables பற்றிய பரிசீலனைகளுக்கு நாங்கள் சென்றோம். CentOS Linux வெளியீடு 7.5.1804 இல் ஏற்கனவே லைவ் பேலன்சர் இருந்தது.
பயனரின் இணையம் வேகமாக இருக்க வேண்டும், மேலும் இந்த பக்கம் கிடைக்கவில்லை என்று உலாவி அரை நிமிடம் காத்திருக்கக்கூடாது. நீண்ட தேடலுக்குப் பிறகு இந்த மாதிரிக்கு வந்தோம்:
கோப்பு 1 -> /script/denied_host, தடைசெய்யப்பட்ட பெயர்களின் பட்டியல்:
test.test
blablabla.bubu
torrent
porno
கோப்பு 2 -> /script/denied_range, தடைசெய்யப்பட்ட முகவரி இடைவெளிகள் மற்றும் முகவரிகளின் பட்டியல்:
192.168.111.0/24
241.242.0.0/16
ஸ்கிரிப்ட் கோப்பு 3 -> ipt.shipables மூலம் வேலையைச் செய்தல்:
# считываем полезную информацию из перечней файлов
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# сбрасываем все настройки iptables, разрешая то что не запрещено
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#решаем обновить информацию о маршрутах (особенность нашей архитектуры)
sudo sh rout.sh
# циклически обрабатывая каждую строку файла применяем правило блокировки строки
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# циклически обрабатывая каждую строку файла применяем правило блокировки адреса
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP -d $i -j REJECT --reject-with tcp-reset;
done
சூடோவின் பயன்பாடு WEB இடைமுகம் வழியாக கட்டுப்படுத்த ஒரு சிறிய ஹேக் இருப்பதால், ஆனால் ஒரு வருடத்திற்கும் மேலாக அத்தகைய மாதிரியைப் பயன்படுத்துவதில் அனுபவம் காட்டியுள்ளது, WEB அவ்வளவு தேவையில்லை. செயல்படுத்தப்பட்ட பிறகு, தரவுத்தளத்தில் தளங்களின் பட்டியலைச் சேர்க்க விருப்பம் இருந்தது. தடுக்கப்பட்ட ஹோஸ்ட்களின் எண்ணிக்கை 250 + ஒரு டஜன் முகவரி இடைவெளிகள். ஒரு https இணைப்பு வழியாக ஒரு தளத்திற்குச் செல்லும்போது உண்மையில் சிக்கல் உள்ளது, கணினி நிர்வாகி போன்ற, உலாவிகளைப் பற்றி எனக்கு புகார்கள் உள்ளன :), ஆனால் இவை சிறப்பு நிகழ்வுகள், ஆதாரத்திற்கான அணுகல் இல்லாததற்கான தூண்டுதல்களில் பெரும்பாலானவை இன்னும் எங்கள் பக்கத்தில் உள்ளன. , நாங்கள் Opera VPN மற்றும் மைக்ரோசாப்ட் வழங்கும் ஃப்ரிகேட் மற்றும் டெலிமெட்ரி போன்ற செருகுநிரல்களையும் வெற்றிகரமாகத் தடுக்கிறோம்.
ஆதாரம்: www.habr.com