فایروال CSF چیست؟ + 10 مورد از امکانات آن

• Red Hat Enterprise نسخه 7 تا 9
• Rocky Linux نسخه 8 تا 9
• AlmaLinux نسخه 8 تا 9
• Fedora نسخه 30
• CentOS نسخه 7 تا 9
• CloudLinux نسخه 7 تا 9
• Debian نسخه 8-11
• Ubuntu نسخه 18 تا 20

و از جمله مجازی سازها یا سرورهای مجازی سازگار با فایروال CSF موارد زیر را می توان نام برد:

• VMware
• Xen
• VirtualBox
• سرور مجازی MS
• KVM

باید به این نکته توجه داشته باشید که برای عملکرد درست فایروال به پیکربندی صحیح IPtables در سرور میزبان نیاز دارید.

ویژگی های فایروال CSF چیست؟

حالا که می دانید فایروال CSF چیست پس بهتر است که با قابلیت LFD هم آشنا شوید. در ادامه ویژگی های این فایروال قدرتمند و محبوب را بیشتر بررسی میکنیم که بصورت متن باز (open source) ارائه شده است از جمله ویژگی هایی که باعث محبوبیت بیشتر این فایروال شده است امکانات مدیریتی محتوای سرور مثل مدیریت پورت، مدیریت کانکشن، مدیریت فرآیند (Process) و غیره را نام برد. فایروال CSF طیف گسترده ای از حفاظت های امنیتی را ارائه می دهد.

از جمله مهمترین ویژگی های آن می توان به موارد زیر اشاره کرد:

• ردیابی ورودی های POP3/IMAP
• هشدار ورود به سیستم از طریق SSH و استفاده از دستور SU
• بلاک کردن درخواست کانکشن زیاد
• پیکربندی اولیه برای سرورهای دارای کنترل پنل سی پنل و دایرکت ادمین
• پیکر بندی اولیه باز شدن پورت ها
• مسدود کردن ترافیک IPهایی که استفاده نمی شوند.
• ارسال گزارش فعالیت های مشکوک و استفاده بیش از حد کاربر از منابع به مدیر سرور
• ارائه گزارش موارد مشکوک بخصوص در TMP و سایر مسیرهای مشابه
• نظارت بر فایل ها و فولدرها جهت بررسی تغیرات ایجاد شده در آنها
• حفاظت در برابر BOGON P Packages
• فراهم کردن امکان کار همزمان با چندین کارت شبکه
• دارا بودن رابط گرافیکی برای کنترل پنل های cPanel ،DirectAdmin و Webmin
• بررسی امنیت سرور و امتیاز دادن به آن به همراه ارائه پیشنهاد برای برطرف کردن آنها
• فراهم کردن امکان آدرس IP برای DNS پویا
• بررسی گزارش های mod_security
• امکان تنظیم سطح امنیت سرور در سه سطح low ،medium و high
• و بسیاری ویژگی های دیگر

امکانات فایروال CSF چیست؟

همانطور که میدانید مدیریت تنظیمات فایروال، آن هم بصورت دستی با دستور IpTables در لینوکس کار پیچیده ای است و همینطور قوانین فعال برای IpTable ها پایدار نیستند، پس فکر می کنم که متوجه شده باشید که چرا چندین مدیریت فایروال در سرورها در دسترس است. حالا به این سوال میرسیم که اگر CSF در ارائه مدیریت قوانین IpTable منحصر بفرد نیست پس چرا از آن استفاده می کنیم؟ خب چیزی که CSF را از برنامه های مشابه متمایز می کند ویژگی ها و امکانات داخلی اضافی آن است که در زیر به تعدادی از این امکانات اشاره می کنیم.

1. سرویس Login Failure Daemon یا LFD

Login Failure Daemon که به اختصار LFD گفته میشود یکی از سرویس های فایروال CSF یا Config Server Firewall است که برای تشخیص حملات Brute-force استفاده می شود. LFD چگونه کار میکند؟ سرویس LFD پیوسته در حال اجرا است و بصورت دوره ای ورودی های فایل لاگ را برای تلاش های اخیر جهت ورود به سرور که در بازه زمانی خاصی اتفاق افتاده و پیوسته ناموفق بوده اند را اسکن می کند، که چنین تلاش هایی تحت عنوان حملات Brute-force شناخته می شوند. فرآیند Daemon به سرعت این الگوها را شناسایی و IP های متخلف را با استفاده از فایروال CSF مسدود می کند.

CSF فایروال هوشمندی است به کاربر اجازه می دهد تا IP های شناخته شده را در لیست سفید قرار دهد تا از بلاک شدن تصادفی IP معتبر جلوگیری شود.

2- ردیابی فرایندهای مشکوک Process Tracking

فایروال CSF این توانایی را دارد که فرآیندها را به منظور شناسایی فرایند مشکوک ردیابی کند. CSF با استفاده از قابلیت ردیابی فرآیندها می تواند پورت های باز شبکه، عملیات مشکوک و غیره را تشخیص داده و مدیر سیستم را در صورت نیاز از طریق ایمیل یا روش های دیگر با خبر می کند تا از حمله احتمالی جلوگیری شود.

3- نظارت بر اسکریپت های مخرب Directory watching

Csf با استفاده از قابلیت Directory watching می تواند مسیر tmp/ و سایر مسیرهای مرتبط را برای اسکریپت های مخرب بررسی و نظارت کند و در صورت شناسایی، ایمیلی برای ادمین سرور ارسال می کند. در مسیر /etc/csf/csf.dirwatch فایلی وجود دارد که در آن مسیرهای سروری که قصد بررسی آنها را داریم وارد می شوند و در صورتی که تغییری در فایل مشاهده شود یک ایمیل به مدیر سرور ارسال خواهد شد پس در صورتی که دایرکتوری حساسی دارید مسیر آن را اینجا وارد کنید.

4- سرویس پیامرسانی Messenger service

فعال کردن ویژگی Messenger service یا همان سرویس پیام رسان به فایروال CSF این اجازه را می دهد، در صورت اعمال بلاک پیامی برای مشتری ارسال شود.
ویژگی Messenger service در فایروال CSF به شما این امکان را می دهد تا درخواست های اتصال را از آدرس IPهای بلاک شده به صفحات متنی و html از پیش پیکربندی شده هدایت کنید و به بازدید کننده اطلاع دهید که آنها در فایروال مسدود شده اند. این ویژگی می تواند برای کسانی که کاربران زیادی دارند مفید باشد و به پردازش درخواست های پشتیبانی بطور موثرتری کمک کند.

5- اتصالات مجاز به پورت ها Port flood protection

یکی دیگر از امکاناتی که فایروال CSF فراهم می کند، محافظت در برابر حملات port flood مانند حملات DOS است. با این امکان می توانید میزان اتصال های مجاز در هر پورت را در بازه زمانی دلخواه مشخص کنید. در port flood باید به محدودیت هایی که تعیین می کنید توجه داشته باشید و حد اعتدال را رعایت کنید، نه در حدی باشد که کاربران عادی را حذف کند و نه در حدی که هکر در حمله flood موفق شود. توصیه من به شما این است که این ماژول را فعال کنید تا مانع از بین بردن سرویس های شما توسط هکرها شود.

6- مدیریت پورت های سرور Port knocking

Port knocking یک ابزار امنیتی در فایروال ConfigServer است که در کنار سایر لایه های امنیتی کمک می کند تا از سرورتان بهتر محافظت کنید. با ابزار Port knocking می توانید با سرور بدون پورت باز ارتباط برقرار کنید اما چگونه؟ در این روش پورت های پیش فرض بسته شده اند و دسترسی به آنها تنها در صورتی ممکن است که یک تعداد درخواست مشخص برای اتصال به سرور انجام شود.

این تعداد یا دنباله به عنوان کد امنیتی عمل می کند یعنی سرور به کلایت اجازه می دهد پس از تعداد مشخصی درخواست که پورت بسته به نظر می رسد با درخواست بعدی که حاوی کد امنیتی است به پورت اصلی وصل شود. به عبارت دیگر اگر قصد دارید افراد به خدماتی روی سیستم خود دسترسی داشته باشند اما نمی خواهید پورت های فایروال سرور را به اینترنت باز کنید می توانید از ابزار Port knocking در فایروال CSF استفاده کنید.

7- محدودیت کانکشن Connection limit protection

یکی دیگر از امکانات فایروال CSF ویژگی Connection limit protection است که می توان از آن برای محدودیت تعداد کانکشن های فعال همزمان از یک IP به هر پورت استفاده کرد. در واقع Iptable ها را پیکربندی می کند تا محافظت بیشتری در برابر حملات DOS  از پورت های خاص ارائه می دهد و همینطور می تواند به عنوان راهی برای محدود کردن استفاده از منابع سرور توسط ip استفاده شود. روش کار به این صورت است که تعداد کانکشن های جدید همزمان به ازای هر IP را که می توان به پورت های خاص ایجاد کرد را محدود می کند. اگر Connection limit protection به درستی کانفیگ شود ممکن است از سوء استفاده های روی سرور مثل اتک های DOS جلوگیری کند.

8- ریدایرکت ترافیک Port/IP address redirection

با استفاده از Port/IP address redirection می توانید فایروال ConfigServer را به گونه ای کانفیگ کنید که ترافیک ورودی برای یک آدرس IP و یا پورت را  به یک IP و یا پورت دیگر ارسال کند. به این نکته توجه داشته باشید که بعد از redirect به معنی تغییر مسیر، source address مشتری یا همان آدرس منبع مشتری در حقیقت آدرس IP سرور خواهد بود و این با NAT (Network Address Translation) متفاوت است.

9- UI integration

فایروال CSF علاوه بر اینکه امکان ادغام رابط خط فرمان (CLI) را فراهم می کند همچنین امکان ادغام UI برای سی پنل و Webminرا نیز ارائه می دهد.

10- مدیریت آی پی ها در فایروال IP block lists

این ویژگی به فایروال CSF یا ConfigServer Security and Firewall اجازه می دهد تا لیست آدرس های ip بلاک شده (همان ip هایی که تلاش ناموفق در ورود به سرور را داشته و مسدود شده اند) را بطور خودکار از منابع تعریف شده توسط شما، بارگذاری کند.

انواع بلاکی که توسط فایروال اعمال می شود شامل:

• بلاک موقت Temporary block: بطور موقت برای 60 دقیقه بلاک اعمال شده و پس از آن حذف می شود.
• بلاک دائمی Permanent block: زمانی که تعدا بلاک های موقت به تعداد خاصی می رسد CSF بلاک دائمی اعمال میکند که فقط بصورت دستی قابل حذف است.
• بلاک دستی Manual block: توسط مدیر سرور یا هاست اعمال می شود.