প্রশ্ন কেন আমি ফায়ারওয়াল সার্ভারের উচিত?


অনুগ্রহ করে লক্ষ্য করুন: আমি এই শিখা যুদ্ধে আগ্রহী নই! আমি বুঝতে পারি যে অনেকেই এই বিষয় সম্পর্কে দৃঢ়ভাবে বিশ্বাস রাখে, কোনও অংশে, কারণ তারা তাদের ফায়ারওয়ালিং সমাধানগুলিতে অনেক প্রচেষ্টা করেছে, এবং তাদের প্রয়োজনীয়তাতে বিশ্বাস করার জন্য তাদেরও অনুপ্রাণিত করা হয়েছে।

যাইহোক, আমি যারা উত্তর থেকে খুঁজছি খুঁজছি বিশেষজ্ঞদের নিরাপত্তা আমি বিশ্বাস করি যে এটি একটি গুরুত্বপূর্ণ প্রশ্ন এবং উত্তরটি কেবলমাত্র নিজের এবং যে সংস্থার জন্য আমি কাজ করি তার থেকে বেশি উপকৃত হবে। আমি বেশিরভাগ ফায়ারওয়ালিং ছাড়া কোনও আপস ছাড়াই আমাদের সার্ভার নেটওয়ার্ক চালাচ্ছি। নিরাপত্তা আমরা যে কোন compromises আছে একটি ফায়ারওয়াল দ্বারা প্রতিরোধ করা হয়েছে পারে।

আমি অনুমান করছি যে আমি এখানে অনেক দিন কাজ করছি, কারণ যখন আমি "সার্ভার" বলি, তখন সর্বদা "জনসাধারণের কাছে দেওয়া পরিষেবাগুলি" মানে "গোপন অভ্যন্তরীণ বিলিং ডেটাবেস" নয়। যেমন, আমরা কোন নিয়ম would যে কোনও ফায়ারওয়ালে পুরো ইন্টারনেট অ্যাক্সেসের অনুমতি দিতে হবে। এছাড়াও, আমাদের সর্বজনীন অ্যাক্সেস সার্ভারগুলি আমাদের অফিস থেকে আলাদা ডেডেসেন্টারে রয়েছে।

অন্য কেউ একটি অনুরূপ প্রশ্ন জিজ্ঞাসা, এবং আমার উত্তর নেতিবাচক সংখ্যা ভোট ছিল। এটি আমাকে বিশ্বাস করে যে, লোকেরা যে ভোট দিচ্ছে তা সত্যিই আমার উত্তরটি বুঝতে পারে নি, অথবা আমি বর্তমানে যা করছি তা করার জন্য যথেষ্ট নিরাপত্তা আমি বুঝতে পারছি না।

এই সার্ভার নিরাপত্তা আমার পদ্ধতির:

  1. আমার অপারেটিং সিস্টেম অনুসরণ করুন নিরাপত্তা নির্দেশিকা  আগে ইন্টারনেটে আমার সার্ভার সংযোগ।

  2. এসএসএইচ (এবং অন্যান্য পরিচালন পরিষেবাদি) অ্যাক্সেস সীমিত করার জন্য টিসিপি মোড়কগুলি ব্যবহার করুন।

  3. এই সার্ভারের অবস্থা পর্যবেক্ষণ করুন Munin। এবং তার ডিফল্ট কনফিগারেশনের মধ্যে মুনিন-নোডের অন্তর্গত গুরুতর নিরাপত্তা সমস্যাগুলি সমাধান করুন।

  4. আমার নতুন সার্ভার Nmap (ইন্টারনেটে আমার সার্ভার সংযোগ করার আগে)। যদি আমি এই সার্ভারটি ফায়ারওয়াল করতে চাই, এটি অবশ্যই পোর্টগুলির সঠিক সেট হওয়া উচিত যাতে অন্তর্মুখী সংযোগগুলি সীমাবদ্ধ হওয়া উচিত।

  5. সার্ভার রুম সার্ভার ইনস্টল করুন এবং এটি একটি পাবলিক আইপি ঠিকানা দিন।

  6. আমার অপারেটিং সিস্টেম এর নিরাপত্তা আপডেট বৈশিষ্ট্য ব্যবহার করে সিস্টেম নিরাপদ রাখুন।

আমার দর্শনের (এবং প্রশ্নটির ভিত্তি) শক্তিশালী হোস্ট-ভিত্তিক সুরক্ষা একটি ফায়ারওয়ালের প্রয়োজনীয়তাকে সরিয়ে দেয়। সামগ্রিক নিরাপত্তা দর্শনে বলা হয়েছে যে শক্তিশালী হোস্ট-ভিত্তিক সুরক্ষা এখনও আপনার যদি কোনও ফায়ারওয়াল থাকে (দেখুন নিরাপত্তা নির্দেশিকা)। এর কারণ হল যে কোনও ফায়ারওয়াল যা সার্ভারে সরকারী পরিষেবাদিগুলিকে অগ্রসর করে সেগুলির জন্য কোনও ফায়ারওয়ালের মতোই আক্রমণকারীকে সক্ষম করে। এটিই সেই পরিষেবা যা দুর্বল, এবং যেহেতু সমগ্র ইন্টারনেটে সেই পরিষেবাটি সরবরাহ করা তার ক্রিয়াকলাপের একটি প্রয়োজনীয়তা, এটির অ্যাক্সেস সীমিত করা বিন্দু নয়।

যদি সেখানে হয় সার্ভারে উপলব্ধ পোর্টগুলি যা সমগ্র ইন্টারনেট দ্বারা অ্যাক্সেস করতে হয় না, তারপরে সেই সফটওয়্যারটি ধাপ 1 এ বন্ধ হওয়া প্রয়োজন এবং পদক্ষেপ 4 দ্বারা যাচাই করা প্রয়োজন। আক্রমণকারীকে দুর্বল সফটওয়্যারের মাধ্যমে সার্ভারে সফলভাবে বিরতি দেওয়া উচিত এবং পোর্ট নিজেই, আক্রমণকারী (এবং করতে) কেবল একটি র্যান্ডম পোর্টের পরিবর্তে একটি র্যান্ডম পোর্টে আউটবাউন্ড সংযোগ করে সহজেই হারাতে পারে। নিরাপত্তার বিন্দুটি সফল আক্রমণের পরে নিজেকে রক্ষা করা নয় - এটি ইতিমধ্যে অসম্ভব প্রমাণিত হয়েছে - এটি প্রথম স্থানে আক্রমণকারীদেরকে রাখা।

এটা খোলা পোর্ট ছাড়াও অন্যান্য নিরাপত্তা বিবেচনার পরামর্শ দেওয়া হয়েছে - কিন্তু আমার কাছে যা কেবল নিজের বিশ্বাসকে রক্ষা করার মত শোনাচ্ছে। যে কোনও অপারেটিং সিস্টেম / টিসিপি স্ট্যাক দুর্বলতাগুলি ফায়ারওয়াল বিদ্যমান কিনা তা সমানভাবে ঝুঁকিপূর্ণ হওয়া উচিত - যে অপারেটিং সিস্টেম / টিসিপি স্ট্যাকে সরাসরি পোর্টগুলি ফরোয়ার্ড করা হচ্ছে তার উপর ভিত্তি করে। অনুরূপভাবে, রাউটারে (অথবা উভয় ক্ষেত্রেই) এটির বিপরীতে সার্ভারে আপনার ফায়ারওয়াল চালানো জটিলতার অপ্রয়োজনীয় স্তরগুলিকে যুক্ত করে বলে মনে হচ্ছে। আমি "নিরাপত্তা স্তর স্তর আসে" দর্শনের বুঝতে পারি, কিন্তু একটি বিন্দু আসে যেখানে এটি একে অপরের উপরে পাতলা পাতলা কাঠের স্তরগুলির X নম্বর সংকীর্ণ করে ছাদ নির্মাণের মত এবং তারপর তাদের সবাইকে একটি গর্ত ডিলিং করে। প্লাইউডের আরেকটি স্তর আপনি যে উদ্দেশ্যে তৈরি করছেন সেই গর্তের মাধ্যমে লিকগুলি বন্ধ করতে যাচ্ছে না।

সৎ হতে, সার্ভারগুলির জন্য যে কোনও ফায়ারওয়াল ব্যবহার করা হচ্ছে তা দেখানোর একমাত্র উপায় হল যদি এটি গতিশীল নিয়মগুলি পরিচিত আক্রমণকারীদের সমস্ত সার্ভারের সাথে সমস্ত সংযোগগুলিকে আটকায় - যেমন RBLs স্প্যামের জন্য (যা সাংঘর্ষিকভাবে, আমাদের মেইল ​​সার্ভারটি যা অনেক সুন্দর তা করে) । দুর্ভাগ্যবশত, আমি যে যে কোন firewalls খুঁজে পাচ্ছি না। পরবর্তী সেরা জিনিসটি একটি আইডিএস সার্ভার, তবে এটি অনুমান করে যে আক্রমণকারী আপনার প্রথম সার্ভারগুলিতে প্রথম আক্রমণ করে না এবং আপনার আক্রমণকারীরা আপনার সমগ্র নেটওয়ার্ক অনুসন্ধানের জন্য বিরক্ত আগে আক্রমনাত্মক। এ ছাড়া, এইগুলি মিথ্যা সংখ্যার বিপুল সংখ্যক উত্পাদনের জন্য পরিচিত।


101
2017-11-12 21:11


উত্স


এবং তাই আপনার সার্ভারের মধ্যে পাস ট্রাফিক সব এনক্রিপ্ট করা হয়? - GregD
এটা ভালবাসা। স্থানীয় ফায়ারওয়াল নিয়ম প্রায় সবসময় voodoo শুধুমাত্র হয়। - unixtippse
আপনি আপনার নেটওয়ার্ক ডেস্কটপ / কর্মচারীদের পাশাপাশি আছে? তুমি তাদের সাথে কি কর? - Brandon
এই প্রশ্নটি জন্য উপযুক্ত ছিল security.stackexchange.com - Olivier Lalonde
@ রুটেনপিং: মনে হচ্ছে আমি আমার মূল পোস্টে সেই টিডবিট অন্তর্ভুক্ত করি নি। আমাদের সমস্ত সার্ভার জনসাধারণের জন্য উন্মুক্ত হতে হবে, এবং একটি ডেডিকেটেড ডেটাসেন্টারে বাস করতে হবে। আপনার অফিসটি যদি আপনার ডেটাসেন্টার হয় তবে আমি মনে করি আপনার সার্ভার নেটওয়ার্ক এবং আপনার অফিস নেটওয়ার্কগুলির মধ্যে একটি ফায়ারওয়াল থাকা দরকার। এই ক্ষেত্রে, আমি সার্ভার নেটওয়ার্ক সম্পর্কে কথা বলছি - কেন ফায়ারওয়াল এমন কিছু যা সর্বজনীন অ্যাক্সেস আছে? - Ernie


উত্তর:


ফায়ারওয়াল এর উপকারিতা:

  1. আপনি বাহ্যিক ট্রাফিক ফিল্টার করতে পারেন।
  2. লেয়ার 7 ফায়ারওয়াল (আইপিএস) পরিচিত অ্যাপ্লিকেশন দুর্বলতার বিরুদ্ধে সুরক্ষা করতে পারে।
  3. প্রতিটি নির্দিষ্ট মেশিনে যে পোর্টে কোনও পোর্টে শোনা যাচ্ছে না সেটি ব্যবহার করে অ্যাক্সেস অস্বীকার করা নিশ্চিত করার চেষ্টা করার পরিবর্তে আপনি একটি নির্দিষ্ট আইপি ঠিকানা পরিসীমা এবং / অথবা পোর্ট কেন্দ্রিকভাবে অবরোধ করতে পারেন। টিসিপি মোড়ানো
  4. ফায়ারওয়ালগুলি যদি কম সুরক্ষা সচেতন ব্যবহারকারী / অ্যাডমিনিস্ট্রেটরদের সাথে মোকাবিলা করতে পারে তবে তারা প্রতিরক্ষা দ্বিতীয় লাইন সরবরাহ করবে। তাদের ছাড়াও একেবারে নিশ্চিত হওয়া দরকার যে হোস্টগুলি নিরাপদ, যা সমস্ত প্রশাসকদের থেকে ভাল নিরাপত্তা বোঝার প্রয়োজন।
  5. ফায়ারওয়াল লগ কেন্দ্রীয় লগ প্রদান এবং উল্লম্ব স্ক্যান সনাক্ত করতে সাহায্য করবে। ফায়ারওয়াল লগ কিছু ব্যবহারকারী / ক্লায়েন্ট সময়মত আপনার সমস্ত সার্ভারের একই পোর্টে সংযোগ করার চেষ্টা করছে কিনা তা নির্ধারণ করতে সহায়তা করতে পারে। একটি ফায়ারওয়াল ছাড়া এটি করতে একটি কেন্দ্রিক দৃশ্য পেতে বিভিন্ন সার্ভার / হোস্ট থেকে লগ একত্রিত করতে হবে।
  6. ফায়ারওয়াল এছাড়াও বিরোধী-স্প্যাম / এন্টি-ভাইরাস মডিউলের সাথে আসে যা সুরক্ষা যোগ করে।
  7. ওএস স্বাধীন নিরাপত্তা। হোস্ট অপারেটিং সিস্টেমের উপর ভিত্তি করে, হোস্ট নিরাপদ করার জন্য বিভিন্ন কৌশল / পদ্ধতি প্রয়োজন। উদাহরণস্বরূপ, টিসিপি রেপার উইন্ডোজ মেশিনে পাওয়া যাবে না।

আপনার যদি ফায়ারওয়াল না থাকে এবং সিস্টেমটির সাথে আপোস করা হয় তবে এটার উপরে কীভাবে আপনি এটি সনাক্ত করবেন? স্থানীয় সিস্টেমে কিছু কমান্ড 'ps', 'netstat' ইত্যাদি চালানোর চেষ্টা করা যেতে পারে কারণ বাইনারিগুলি প্রতিস্থাপিত হতে পারে। একটি দূরবর্তী সিস্টেম থেকে 'nmap' কোনও আক্রমণকারী হিসাবে সুরক্ষিত সুরক্ষা নয় তা নিশ্চিত করতে পারে যে রুট-কিট কেবল নির্দিষ্ট সময়ে নির্বাচিত উত্স আইপি ঠিকানা (es) থেকে সংযোগ গ্রহণ করে।

হার্ডওয়্যার ফায়ারওয়ালগুলি এমন পরিস্থিতিতে সহায়তা করে কারণ এটি হোস্ট OS / ফাইলগুলির তুলনায় ফায়ারওয়াল OS / ফাইলগুলি পরিবর্তন করা অত্যন্ত কঠিন।

ফায়ারওয়াল এর অসুবিধা:

  1. লোকেরা মনে করে যে ফায়ারওয়াল নিরাপত্তা যত্ন নেবে এবং নিয়মিত সিস্টেম আপডেট করবে না এবং অযাচিত পরিষেবাদি বন্ধ করবে।
  2. মূল্য. কখনও কখনও বার্ষিক লাইসেন্স ফি প্রদান করা প্রয়োজন। বিশেষ করে যদি ফায়ারওয়ালটিতে অ্যান্টি-ভাইরাস এবং এন্টি স্প্যাম মডিউল থাকে।
  3. ব্যর্থতার অতিরিক্ত একক পয়েন্ট। যদি সমস্ত ট্র্যাফিক ফায়ারওয়ালের মাধ্যমে পাস করে এবং ফায়ারওয়াল ব্যর্থ হয় তবে নেটওয়ার্ক বন্ধ হয়ে যাবে। আমরা অকার্যকর ফায়ারওয়াল থাকতে পারে, কিন্তু তারপর ব্যয় পূর্ববর্তী বিন্দু আরও amplified পায়।
  4. রাষ্ট্রীয় নজরদারি পাবলিক সম্মুখীন সিস্টেমের উপর কোন মূল্য প্রদান করে না যা সমস্ত ইনকামিং সংযোগ গ্রহণ করে।
  5. রাষ্ট্রীয় ফায়ারওয়ালগুলি একটি ডিডোএস আক্রমণের সময় একটি বড় বাধা এবং প্রায়ই ব্যর্থ হওয়ার প্রথম জিনিস, কারণ তারা রাষ্ট্রকে ধরে রাখার এবং সমস্ত অন্তর্মুখী সংযোগগুলি পরিদর্শন করার চেষ্টা করে।
  6. ফায়ারওয়াল এনক্রিপ্ট করা ট্র্যাফিকের ভিতরে দেখতে পাচ্ছেন না। সব ট্রাফিক থেকে উচিত শেষ থেকে এনক্রিপ্ট করা হবে, সর্বাধিক ফায়ারওয়াল পাবলিক সার্ভারের সামনে সামান্য মান যোগ করে। কিছু পরবর্তী প্রজন্মের ফায়ারওয়ালগুলিকে টিএলএসটি বন্ধ করতে এবং ট্রাফিকের ভিতরে দেখতে ব্যক্তিগত কীগুলি দেওয়া যেতে পারে, তবে এটি DDoS- এ ফায়ারওয়ালের সংবেদনশীলতা বাড়িয়ে দেয় এবং TLS এর শেষ থেকে শেষ নিরাপত্তা মডেলটি ভাঙ্গায়।
  7. অপারেটিং সিস্টেম এবং অ্যাপ্লিকেশনগুলি দুর্বলতাগুলির বিরুদ্ধে ফায়ারওয়ালগুলির চেয়ে অনেক দ্রুত প্যাচযুক্ত। ফায়ারওয়াল বিক্রেতা প্রায়ই জন্য পরিচিত বিষয় বসতে বছর প্যাচিং ছাড়া, এবং একটি ফায়ারওয়াল ক্লাস্টার প্যাচিংয়ের জন্য সাধারণত অনেক পরিষেবা এবং আউটবাউন্ড সংযোগগুলির জন্য ডাউনটাইম প্রয়োজন।
  8. ফায়ারওয়াল নিখুঁত থেকে অনেক দূরে, এবং অনেক কুখ্যাতি বগী। ফায়ারওয়ালগুলি কেবল অপারেটিং সিস্টেমের কিছু ফর্মের উপর চলমান সফটওয়্যার, সম্ভবত একটি অতিরিক্ত (ASC) বা FPGA সহ একটি (সাধারণত ধীর) CPU এর সাথে। ফায়ারওয়ালগুলিতে বাগ রয়েছে, কিন্তু তারা তাদের ঠিকানা দেওয়ার জন্য কয়েকটি সরঞ্জাম সরবরাহ করে বলে মনে হচ্ছে। অতএব ফায়ারওয়ালগুলি জটিলতা এবং অ্যাপ্লিকেশন স্ট্যাকের হার্ড-টু-ডায়াগনোস ত্রুটিগুলির অতিরিক্ত উৎস যুক্ত করে।

52
2017-11-13 02:36



Above all this if you do not have firewall and system is compromised then how would you detect it? অনুপ্রবেশ সনাক্তকরণ ফায়ারওয়াল কাজ নয়। যে কাজটি এইচআইডস (হোস্ট-ভিত্তিক অনুপ্রবেশ সনাক্তকরণ সিস্টেম) দ্বারা আরও সঠিকভাবে পরিচালনা করা হয়, যা ফায়ারওয়াল থেকে স্বাধীন। - Steven Monday
Syslog সার্ভারগুলি 5 আইটেমের জন্য প্রয়োজনীয়তা মুছে ফেলে। যদি কিছু হয় তবে কোনও আক্রমণকারী ফায়ারওয়ালের সাথে আপোস করার এবং লগগুলি মুছে ফেলার ক্ষেত্রে আপনার ফায়ারওয়াল লগগুলি কোনও syslog সার্ভারে পাঠানো সর্বোত্তম। তারপরে আক্রমণকারীদের কেবল লগগুলি মুছে ফেলার জন্য দুটি সিস্টেম আপস করতে হবে, এবং তারা এটির জন্য প্রস্তুত নাও হতে পারে (বিশেষত স্বয়ংক্রিয় আক্রমণ সহ)। একইভাবে, যদি আপনার সমস্ত সিস্টেমে কেন্দ্রীয় লগিং থাকে, তবে ফায়ারওয়াল লগগুলি সরবরাহ করতে পারে এমন আক্রমণের বিষয়ে আপনি আরও ভালভাবে বিস্তারিত পাবেন। - Ernie
HIDS হোস্টে থাকার পর থেকে আমার পয়েন্ট ছিল আমরা তার আউটপুট বিশ্বাস করতে পারেন। উদাহরণস্বরূপ, যদি আমরা হোস্ট ভিত্তিক আইডিএস হিসাবে ক্রিপ্টোগ্রাফিকভাবে সুরক্ষিত 'ট্রিপওয়ায়ার' ব্যবহার করি তবে আক্রমণকারী সর্বদা সমস্ত ট্রিপওয়ের বাইনারি (টুইডমিন, ট্রিপওয়ায়ার, টুইপ্রিন্ট ইত্যাদি) আপগ্রেড সংস্করণগুলির সাথে প্রতিস্থাপন করতে পারে যা কখনও অনুপ্রবেশের প্রতিবেদন করবে না। এমনকি যদি আমরা অন্য সিস্টেমে লাইব্রেরি / বাইনারিগুলি অনুলিপি করার চেষ্টা করি, তবে এমন একটি প্রক্রিয়া চলতে পারে যা এই আপোসযুক্ত বাইনারিগুলিকে নিরীক্ষণ করে এবং প্রতিস্থাপিত বা আপডেট করা অবস্থায় সেগুলি আবার বিপর্যস্ত সংস্করণ দ্বারা প্রতিস্থাপন করে। হোস্ট থেকে ফায়ারওয়াল স্বাধীন, যেমন পরিস্থিতিতে বিশ্বাস করা যেতে পারে। - Saurabh Barjatiya
এই উত্তরটি আরও জনপ্রিয় একটিকে স্বীকার করা হয়েছিল কারণ এটি একটি ভাল ফায়ারওয়াল ব্যবহার করার জন্য আরও ভাল এবং আরও বিস্তৃত সেট সরবরাহ করে। এবং না, যে ব্যাপার জন্য। - Ernie
বিবর্ণ প্যাকেট পরিদর্শন ফায়ারওয়াল সার্ভারের সামনে অন্তর্গত না। তারা DDoS আক্রমণগুলিতে বিশাল দায়বদ্ধতা, এবং সাধারণত আক্রমণের অধীনে ব্যর্থ হওয়া প্রথম জিনিস। - rmalayter


TCP Wrappers arguably হোস্ট-ভিত্তিক ফায়ারওয়াল বাস্তবায়ন বলা যেতে পারে; আপনি নেটওয়ার্ক ট্রাফিক ফিল্টার করছি।

কোনও আক্রমণকারীর ইচ্ছাকৃত পোর্টে আউটবাউন্ড সংযোগগুলি তৈরির বিন্দুতে, ফায়ারওয়ালও আউটগোয়িং ট্র্যাফিক নিয়ন্ত্রণের মাধ্যম সরবরাহ করবে; একটি সঠিকভাবে কনফিগার করা ফায়ারওয়াল সিস্টেমের সাথে সম্পর্কিত ঝুঁকির জন্য যথোপযুক্ত সৃষ্টিকর্তা এবং নির্গমন পরিচালনা করে।

কোনও টিসিপি দুর্বলতা কোনও ফায়ারওয়াল দ্বারা সঙ্কুচিত হয় না সে বিষয়ে, আপনি কিভাবে ফায়ারওয়ালগুলি কাজ করে তা সম্পর্কে অবগত নন। সিস্কোতে ডাউনলোডের জন্য উপলব্ধ নিয়মগুলির সম্পূর্ণ গোষ্ঠী রয়েছে যা কোনওভাবে নির্মিত প্যাকেটগুলিকে সনাক্ত করে যা বিশেষ অপারেটিং সিস্টেম সমস্যাগুলির কারণ করে। আপনি Snort দখল এবং সঠিক নিয়ম সেট দিয়ে এটি চালানো শুরু, আপনি এই ধরনের জিনিস সতর্ক করা হবে। এবং অবশ্যই, লিনাক্স আইপিটিবল দূষিত প্যাকেট ফিল্টার করতে পারে।

মূলত, একটি ফায়ারওয়াল proactive সুরক্ষা। যতদূর এগিয়ে আপনি সক্রিয় হতে দূরে পেতে, সম্ভবত আপনি একটি পরিস্থিতির মধ্যে নিজেকে খুঁজে পাবেন যেখানে আপনি সমস্যা প্রতিরোধ করার পরিবর্তে একটি সমস্যা প্রতিক্রিয়া করছি। সীমারেখায় আপনার সুরক্ষাকে উৎসাহিত করে, যেমন একটি ডেডিকেটেড ফায়ারওয়ালের মাধ্যমে, জিনিসগুলিকে পরিচালনা করা সহজ করে তোলে কারণ আপনার কাছে সর্বত্র নিয়মগুলিকে অনুলিপি করার পরিবর্তে কেন্দ্রীয় চোক পয়েন্ট রয়েছে।

কিন্তু কোন একক জিনিস অগত্যা একটি চূড়ান্ত সমাধান। একটি ভাল সুরক্ষা সমাধান সাধারণত মাল্টি লেয়ার, যেখানে আপনার সীমারেখাটিতে ফায়ারওয়াল, ডিভাইসে টিসিপি মোড়ানো এবং সম্ভবত অভ্যন্তরীণ রাউটারগুলিতে কিছু নিয়ম রয়েছে। আপনি সাধারণত ইন্টারনেট থেকে নেটওয়ার্ক রক্ষা করা উচিত, এবং একে অপরের থেকে নোড রক্ষা। এই মাল্টি-লেয়ার পদ্ধতিটি পাতলা পাতলা কাঠের একাধিক শীটগুলির মাধ্যমে একটি গর্তের মতো ড্রিলিংয়ের মত নয়, এটি আরও একটি দরজা জোড়া রাখার মতো, যাতে একজন অনুপ্রবেশকারীর পরিবর্তে কেবল দুটি পরিবর্তনের জন্য দুটি তালা থাকে; এটি শারীরিক নিরাপত্তা একটি মানুষ ফাঁদ বলা হয়, এবং বেশিরভাগ প্রতিটি বিল্ডিং একটি কারণে একটি আছে। :)


33
2017-11-12 22:04



এছাড়াও যদি তারা ভবনের ভেতরে ছিঁড়ে যায় এবং বাইরের দরজার বাইরে তাদের বন্ধুর জন্য দরজা খুলে দেয় তবে তারাও আনলক করে বাইরের দরজাটি খুলতে হবে। (যেমন একটি বহিরাগত ফায়ারওয়াল ছাড়া, যে কেউ আপনার সার্ভারে পায় সেটি ঠিকভাবে খুলতে পারে, তবে বাহ্যিক ফায়ারওয়াল এখনও বাইরে খোলা পোর্টগুলিকে অবরোধ করবে) - Ricket
@ রিক্ট: সম্ভবত তারা পারে, কিন্তু আধুনিক আক্রমণকারীদের এমন কিছু নিয়ে বিরক্ত হয় না। আপনার সাইটের একটি জুম্বি খামার আপনার সার্ভার যোগ করার চেয়ে আরো কিছু করতে একটি আক্রমণকারী জন্য বিশেষ আগ্রহ হতে হবে। - Ernie
@ ইরিনি - না, এটি কেবলমাত্র ওয়ার্জ, গ্রাহক ডাটাবেস, আর্থিক তথ্য, পাসওয়ার্ড এবং স্বয়ংক্রিয়ভাবে বোতনেটে যোগ করার জন্য স্বয়ংক্রিয়ভাবে অনুসন্ধানের জন্য বিদ্যমান থাকা দরকার - তবে এটিও যথেষ্ট খারাপ হতে পারে - কিছু প্রশাসক আনন্দের সাথে আপনার আইপিটি ব্ল্যাকহোল করবে আপনি zombies হোস্ট এটা দেখে মনে হচ্ছে। - Rory Alsop
TCP Wrappers could be arguably called a host-based firewall implementation একটি মহান উত্তর জন্য +1। - sjas


(আপনি পড়তে চাইতে পারেন "ফায়ারওয়াল ছাড়া জীবন")

এখনঃ কোন উত্তরাধিকার পদ্ধতি নিয়ে কোন প্যাচ প্রকাশিত হয় না? এন-মেশিনে প্যাচগুলি প্রয়োগ করার সময় কী করতে হবে তা সম্পর্কে কী বলা যায়, একই সাথে আপনি নেটওয়ার্কের মধ্যে কম নোডগুলিতে (ফায়ারওয়াল) প্রয়োগ করতে পারেন?

ফায়ারওয়ালের অস্তিত্ব বা প্রয়োজন নিয়ে বিতর্কের কোনও কারণ নেই। সত্যিই কি গুরুত্বপূর্ণ যে আপনি একটি নিরাপত্তা নীতি বাস্তবায়ন করতে হবে। এটি করার জন্য আপনি যে সরঞ্জামগুলি প্রয়োগ করবেন তা ব্যবহার করবেন এবং আপনাকে পরিচালনা, প্রসারিত এবং এটি বিকাশ করতে সহায়তা করবে। যদি ফায়ারওয়াল এগুলি করার প্রয়োজন হয় তবে এটি ভাল। তারা প্রয়োজন হয় না যে খুব সূক্ষ্ম হয়। আপনার নিরাপত্তা নীতির একটি কার্যকরী এবং যাচাইযোগ্য বাস্তবায়ন হচ্ছে কি সত্যিই গুরুত্বপূর্ণ।


15
2017-11-12 21:31



হেহ। আমি গত 8 বছর ধরে একটি ফায়ারওয়াল ছাড়া আমাদের সার্ভার নেটওয়ার্ক চলমান হয়েছে। আমার আছে লিখিত "ফায়ারওয়াল ছাড়া জীবন", কিন্তু তিনি আরও ভাল কাজ করেছেন এবং আমার চেয়েও বড় নেটওয়ার্ক পরিচালনা করেছেন। - Ernie
@ ইনি - আমি অনুমান করেছি আপনি ভাগ্যবান হতে পারেন। আপনি কিভাবে আপোস করা হয়েছে জানেন না? আমার অনেক ক্লায়েন্টের ফোরেন্সিক তদন্তের ফলাফলগুলি আপোস খুঁজে পেয়েছে, কখনও কখনও কয়েক মাস ধরে, যখন আক্রমণকারীদের ব্যক্তিগত এবং আর্থিক তথ্য, ক্লায়েন্টের বিবরণ, বুদ্ধিজীবী সম্পত্তি, ব্যবসায়িক পরিকল্পনা ইত্যাদি পাওয়া যায়। শান বলেন - সঠিক সুরক্ষা নিরীক্ষা সম্পন্ন করুন। - Rory Alsop
প্রকৃতপক্ষে, আমাদের সার্ভার নেটওয়ার্কটি আমাদের অফিস নেটওয়ার্ক থেকে শারীরিকভাবে আলাদা (এবং এইভাবে, কোন সার্ভারে রুট অ্যাক্সেস না থাকলেও এটি থেকে সত্যিকারের কোনও সংবেদনশীল তথ্য সংগ্রহ করা যায় না), আমি প্রতিটি একক আপস আবিষ্কার করতে পেরেছি আমি এখানে থেকে শুরু করেছি। আমি শুরু করার সময় যে ভয়াবহ শো দেখি তা সম্পর্কে আমি যেতে পারতাম, কিন্তু আমার কাছে পর্যাপ্ত স্থান নেই। :) বেশিরভাগ আক্রমণগুলি সূক্ষ্ম নয় এবং সূক্ষ্মতমগুলি আবিষ্কারযোগ্য বলেও যথেষ্ট। ওহ হ্যাঁ, এবং ব্যবহারকারী বিশেষাধিকার বিচ্ছেদ আপনার বন্ধু। - Ernie


আপনার বেশিরভাগ ব্যাখ্যা একটি ফায়ারওয়ালের প্রয়োজনটি অস্বীকার করে বলে মনে হচ্ছে, তবে একটিকে সেট আপ করার জন্য ছোট সময় ব্যতীত আমি একটি কনকে দেখতে পাচ্ছি না।

শব্দ কিছু কঠোর অর্থ একটি "প্রয়োজনীয়তা" কিছু জিনিস। নিরাপত্তা আপনি করতে পারেন সব অবরোধ সেট আপ সম্পর্কে আরো। আপনার সার্ভারে বিরতির জন্য আরও বেশি কাজ করার অর্থ হল সফল আক্রমণের কম সম্ভাবনা। আপনি অন্য কোথাও চেয়ে আপনার মেশিনে বিরতি এটি আরও কাজ করতে চান। একটি ফায়ারওয়াল যোগ আরো কাজ করে তোলে।

আমি মনে করি একটি কী ব্যবহার নিরাপত্তার অবাধ্যতা। ফায়ারওয়ালগুলির আরেকটি প্লাস আপনি প্রত্যাখ্যাত অনুরোধগুলির প্রতিক্রিয়া জানানোর পরিবর্তে কোনও পোর্টের সাথে সংযোগ স্থাপনের প্রচেষ্টাগুলিকে কেবলমাত্র ড্রপ করতে পারেন - এটি আক্রমণকারীর জন্য কিছুটা অস্বস্তিকর করে তোলে।

আপনার প্রশ্নের ব্যবহারিক নোট সম্পর্কে আমার কাছে সবচেয়ে গুরুত্বপূর্ণ যে আপনি এসএসএইচ, আইসিএমপি এবং অন্যান্য অভ্যন্তরীণ পরিষেবাদিগুলিকে স্থানীয় উপনেটগুলিতে ডাউন করতে পারেন এবং পাশাপাশি ডোজ আক্রমণগুলি হ্রাস করতে সহায়তা করার জন্য অন্তর্বর্তী সংযোগগুলির হার সীমাবদ্ধ করতে পারেন।

"নিরাপত্তার বিন্দু সফল আক্রমণের পরে নিজেকে রক্ষা করার নয় - এটি ইতিমধ্যে অসম্ভব প্রমাণিত হয়েছে - এটি হ'ল আক্রমণকারীদের প্রথম স্থানে রাখা।"

আমি অসম্মতি। ক্ষতির সীমাবদ্ধতা ঠিক যেমন গুরুত্বপূর্ণ হতে পারে। (এই আদর্শের অধীনে কেন হ্যাশ পাসওয়ার্ডগুলি বা আপনার ওয়েব অ্যাপ্লিকেশনগুলির চেয়ে একটি পৃথক সার্ভারে আপনার ডেটাবেস সফটওয়্যারটি আটকে আছে?) আমি পুরানো বলছি "আপনার সমস্ত ডিম এক ঝুড়িয়ে আটকে নাও" এখানে প্রযোজ্য।


9
2017-11-12 21:30



আচ্ছা, তুমি ঠিক আছো, আমি সেখানে কোনও কনস নেই। কনস: নেটওয়ার্ক জটিলতা বৃদ্ধি, ব্যর্থতার একক বিন্দু, ব্যান্ডউইথটি ব্যতীত কোন একক নেটওয়ার্ক ইন্টারফেস। একইভাবে, একটি ফায়ারওয়ালের প্রশাসনিক ত্রুটিগুলি আপনার সমগ্র নেটওয়ার্ককে হত্যা করতে পারে। এবং দেবতারা নিষেধাজ্ঞা দেয় যে, আপনি যখন এটি সার্ভার রুমের ২0 মিনিটের ট্রিপের সময় এটি থেকে নিজেকে সরিয়ে ফেলবেন। - Ernie
এটি সম্পূর্ণ বিশৃঙ্খলাপূর্ণ হতে পারে, কিন্তু যখন আপনি বলবেন "নিরাপত্তা আপনার সমস্ত অবরোধগুলি সেটআপ করার বিষয়ে আরো কিছু", তখন আমি শুনতে চাই যে "ডিফল্টভাবে সবকিছু অবরোধ করা সম্পর্কে সুরক্ষা আরও বেশি, এবং পরিচালনা করার জন্য কঠোরভাবে সর্বনিম্নভাবে খোলা"। - MatthieuP
+1 একটি ব্যাপক নিরাপত্তা পরিকল্পনা প্রতিরোধ, সনাক্তকরণ এবং প্রতিক্রিয়া জুড়ে। - Jim OHalloran


Should I firewall my server? ভাল প্রশ্ন. মনে হচ্ছে নেটওয়ার্ক স্ট্যাকের উপরে একটি ফায়ারওয়াল স্লিপ করার সামান্য বিন্দু রয়েছে যা ইতোমধ্যে সকলের সংযোগ প্রচেষ্টা প্রত্যাখ্যান করে তবে বৈধ পোর্টগুলি বৈধভাবে খোলা থাকে। যদি অপারেটিং সিস্টেমে কোনও দুর্বলতা থাকে যা দূষিতভাবে তৈরি করা প্যাকেটগুলি হোস্টকে ব্যাহত / শোষণ করতে দেয় তবে একটি ফায়ারওয়াল একই হোস্ট চলমান শোষণ প্রতিরোধ? ওয়েল, হতে পারে ...

এবং এটি সম্ভবত প্রত্যেক হোস্টে একটি ফায়ারওয়াল চালানোর পক্ষে শক্তিশালী কারণ: একটি ফায়ারওয়াল হতে পারে শোষিত হচ্ছে থেকে একটি নেটওয়ার্ক স্ট্যাক দুর্বলতা প্রতিরোধ। যে একটি শক্তিশালী যথেষ্ট কারণ? আমি জানি না, কিন্তু আমার মনে হয় কেউ বলতে পারে, "ফায়ারওয়াল ইনস্টল করার জন্য কাউকে কখনও গুলি করা হয়নি।"

একটি সার্ভারে ফায়ারওয়াল চালানোর আরেকটি কারণ হল এই দুইটি দৃঢ়ভাবে সম্পর্কযুক্ত উদ্বেগগুলি হ্রাস করা:

  1. কোথা থেকে এবং কোন বন্দর থেকে, আমি সংযোগ গ্রহণ করি?
  2. কোন সেবা চলমান এবং সংযোগের জন্য শোনার হয়?

একটি ফায়ারওয়াল ছাড়া, পরিষেবাগুলির চলমান (tcpwrappers এবং এর জন্য কনফিগারেশনের সাথে সাথে) সার্ভারটি খোলা পোর্টগুলির সেটটি সম্পূর্ণভাবে নির্ধারণ করে এবং যার কাছ থেকে সংযোগগুলি গ্রহণ করা হবে। একটি হোস্ট-ভিত্তিক ফায়ারওয়াল অ্যাডমিনকে আরো ব্যাপকভাবে উপলব্ধ করার আগে নিয়ন্ত্রিত ভাবে নতুন পরিষেবাগুলি ইনস্টল এবং পরীক্ষা করার জন্য অতিরিক্ত নমনীয়তা দেয়। যদি এমন নমনীয়তা প্রয়োজন না হয় তবে সার্ভারে ফায়ারওয়াল ইনস্টল করার কম কারণ নেই।

একটি চূড়ান্ত নোটে, আপনার নিরাপত্তা চেকলিস্টে একটি আইটেম উল্লেখ করা নেই যা আমি সর্বদা যোগ করি, এবং এটি একটি হোস্ট-ভিত্তিক অনুপ্রবেশ সনাক্তকরণ সিস্টেম (HIDS), যেমন সহায়তাকারী অথবা সামহেন। একটি ভাল ছদ্মবেশ একটি অনুপ্রবেশকারী সিস্টেমের জন্য অবাঞ্ছিত পরিবর্তন করতে এবং এটি অন্বেষিত থাকা অত্যন্ত কঠিন করে তোলে। আমি বিশ্বাস করি সব সার্ভার কিছু ধরনের হিডস চালানো উচিত।


8
2017-11-12 23:10



HIDS সিস্টেম উল্লেখ করার জন্য +1। - Sam Halicke
ছিদ্র মহান - যদি আপনি এটি সেট এবং এটি ভুলে যান। এবং অ্যাকাউন্ট যোগ বা মুছে দিন না। অন্যথায়, এইচআইডিএস লগের বিশাল সংখ্যাগরিষ্ঠতা আপনি আজ যা করেছেন তার দীর্ঘ তালিকা হতে চলেছে, এবং দ্রুত শেষ হয়ে যাবে। - Ernie
কোন ব্যথা, কোন লাভ, তারা বলে। অনেক পরিবর্তন সহ সার্ভারগুলিতে, অপ্রত্যাশিতভাবে মনোযোগ দেওয়ার জন্য প্রত্যাশিত শব্দটি ফিল্টার করা সম্ভব। - Steven Monday


একটি ফায়ারওয়াল একটি হাতিয়ার। এটি জিনিসগুলি নিজের মধ্যে সুরক্ষিত করে না, তবে এটি একটি নিরাপদ নেটওয়ার্কে স্তর হিসাবে অবদান রাখতে পারে। এর অর্থ এই নয় যে আপনার একটিকে দরকার, এবং আমি অবশ্যই সেই ব্যক্তিদের সম্পর্কে চিন্তা করি যারা অন্ধকারভাবে বলে "আমাকে ফায়ারওয়াল পেতে হবে" বুঝতে পারছেন না কেন তারা এমন ভাবে চিন্তা করে এবং যারা ফায়ারওয়ালের শক্তি এবং দুর্বলতাগুলি বুঝতে পারে না।

প্রচুর সরঞ্জাম আছে যা আমরা বলতে পারি না ... এটি অ্যান্টিভাইরাস ছাড়াই উইন্ডোজ কম্পিউটার চালানো সম্ভব? হ্যাঁ এটা ... কিন্তু এটি একটি ভাল বীমা স্তর আছে।

আমি ফায়ারওয়ালগুলি সম্পর্কে একই কথা বলব - আপনি তাদের সম্পর্কে যা যা বলতে পারেন, তারাও একটি ভালো বিমা। তারা প্যাচিংয়ের জন্য বিকল্প নয়, মেশিনগুলি লক করার জন্য, পরিষেবাগুলিকে নিষ্ক্রিয় করার জন্য, আপনি লগিং, ইত্যাদির জন্য ব্যবহার করেন না ... তবে এটি একটি কার্যকর পরিপূরক হতে পারে।

আমি মনে করি যে সমীকরণটি কিছুটা পরিবর্তিত হয়েছে যেমন আপনি মনে করেন যে আপনি সাবধানে থাকা সার্ভারগুলির একটি গোষ্ঠীর সামনে ফায়ারওয়াল স্থাপন করার বিষয়ে কথা বলছেন নাকি আপনি ওয়ার্কস্টেশন এবং সার্ভারের মিশ্রণের সাথে একটি সাধারণ LAN , যা কিছু আইটি দলের সেরা প্রচেষ্টা এবং শুভেচ্ছা সত্ত্বেও কিছু সুন্দর লোমশ স্টাফ চলমান হতে পারে।

বিবেচনা করার আরো একটি বিষয় একটি স্পষ্টভাবে কঠোর লক্ষ্য তৈরি করার সুবিধা। দৃশ্যমান নিরাপত্তা, এটি উজ্জ্বল আলো, ভারী তালা এবং একটি বিল্ডিংয়ের একটি সুস্পষ্ট অ্যালার্ম বক্স কিনা; অথবা আইপি অ্যাড্রেসগুলির একটি ব্যাপ্তি 'এ একটি সুস্পষ্ট ফায়ারওয়াল নৈমিত্তিক অনুপ্রবেশকারীকে বাধা দিতে পারে - তারা সহজ শিকারের সন্ধানে যাবে। এটি নির্ধারিত অনুপ্রবেশকারীকে বাধা দেবে না, যারা জানে যে আপনার কাছে প্রয়োজনীয় তথ্য রয়েছে এবং এটি পেতে দৃঢ়প্রতিজ্ঞ, কিন্তু নৈমিত্তিক অনুপ্রবেশকারীকে আটকানো এখনও উপযুক্ত - বিশেষ করে যদি আপনি জানেন যে যে কোনও অনুপ্রবেশকারী যার প্রোবগুলি প্রতিরোধকারীর অত্যাবশ্যকীয়তার বাইরে চলছে সেগুলি গুরুত্ব সহকারে গ্রহণ করা দরকার ।


6
2017-11-12 22:25



এই কারণে আমি "অফিস নেটওয়ার্ক" পরিবর্তে "সার্ভার" বলেছি? :) আমাদের ক্ষেত্রে বিশেষত, ডেটাসেন্টার এবং অফিস দুটি শারীরিক আলাদা সংস্থা। - Ernie
আমি বুঝতে পেরেছি Ernie, কিন্তু এটি একটি বিন্দু যে underlining মূল্যবান ... তাই আমি করেছি। - Rob Moir


সব মহান প্রশ্ন। কিন্তু - আমি অবাক হলাম পারফরম্যান্স টেবিলে আনা হয়নি।

অত্যন্ত (CPU-wise) ব্যবহৃত ওয়েব ফ্রন্ট শেষের জন্য, স্থানীয় ফায়ারওয়াল সত্যিই কার্য সম্পাদন, সময়কাল হ্রাস করে। একটি লোড পরীক্ষা চেষ্টা করুন এবং দেখুন। আমি বার এই টন দেখেছি। ফায়ারওয়াল বন্ধ করা 70% বা তার বেশি পারফরম্যান্স (প্রতি সেকেন্ডে অনুরোধ) বৃদ্ধি করেছে।

এই বাণিজ্য বন্ধ বিবেচনা করা আবশ্যক।


5
2017-11-13 22:28



এটা জায়গায় ফায়ারওয়াল নিয়ম উপর অনেক নির্ভর করে। ফায়ারওয়াল নিয়মগুলি প্রতিটি পকেটে ক্রমান্বয়ে চালানো হয়, সুতরাং আপনি শত শত নিয়ম দেখতে চান না যা আপনার দিকে নজর রাখতে হবে। গত শীতকালে যখন আমরা এমন কোনও সাইট পরিচালনা করি যা সুপারব্লুতে বিজ্ঞাপন ছিল, উদাহরণস্বরূপ, ফায়ারওয়ালের নিয়মগুলি কোনও সমস্যা ছিল না। তবে আমি সম্মত হচ্ছি যে ফায়ারওয়ালের নিয়মগুলির কার্যক্ষমতা প্রভাব বোঝার দরকার আছে। - Sean Reifschneider


একটি ফায়ারওয়াল অতিরিক্ত সুরক্ষা। নেটওয়ার্ক স্ট্যাক আক্রমণের বিরুদ্ধে তিনটি বিশেষ পরিস্থিতিতে এটি রক্ষা করা হয় (অর্থাৎ আপনার সার্ভার ওএস বিশেষভাবে তৈরি করা প্যাকেটগুলিতে যা কোনও পোর্টের স্তরে পৌঁছাতে পারে না), একটি সফল অনুপ্রবেশ যা "ফোন বাড়ির" সাথে সংযোগ স্থাপন করে (বা স্প্যাম পাঠায় বা যাই হোক না কেন ), অথবা একটি সার্ভার পোর্ট খোলার একটি সফল অনুপ্রবেশ বা কম সনাক্তযোগ্য, একটি পোর্ট খোলার আগে একটি পোর্ট knocking ক্রম জন্য ঘড়ি। অনুমান করা হয়েছে, শেষ দুইজনকে বাধা দেওয়ার পরিবর্তে অনুপ্রবেশের ক্ষয়ক্ষতি হ্রাস করতে হবে, কিন্তু এর অর্থ এই নয় যে এটি নিরর্থক। মনে রাখবেন যে নিরাপত্তা একটি সম্পূর্ণ বা কিছুই প্রস্তাব না; আপনার প্রয়োজনের জন্য পর্যাপ্ত নিরাপত্তা স্তর অর্জন করতে একটি স্তরযুক্ত পদ্ধতি, বেল্ট এবং সাসপেন্ডারগুলি গ্রহণ করে।


4
2017-11-13 12:37



+1 একেবারে, গভীরতা প্রতিরক্ষা মূল। - Jim OHalloran
আমি কোনও প্রভাবতে আউটবাউন্ড ট্র্যাফিক ব্লক করার কোনও প্রত্যাশা করতে পারি না, বিশেষ করে যখন আমাদের গ্রাহকরা আমাদের অনেক সার্ভারকে ইন্টারনেটে র্যান্ডম হোস্টগুলিতে মেল পাঠাতে চায় (যেমন স্প্যামের ক্ষেত্রে)। "ফোনিং হোম" নেটতে অন্য কোনও র্যান্ডম হোস্টের সাথে সংযোগ করার ব্যাপার মাত্র - এবং আমি সন্দেহ করি যে সমস্ত আউটবাউন্ড সংযোগগুলিকে ব্লক করা কয়েকজনের জন্য সংরক্ষণ করে যা কিছু করতে সহায়তা করবে - অর্থাৎ, যদি আপনি করতে চান কিছু ইন্টারনেটে. এবং মাত্র কয়েকটি বন্দর অবরোধ করা মরুভূমির মাঝখানে একটি টোল বুথ সেট আপ মত। - Ernie