استخدام iptables كفيرول (جميل) ولكن كيف نستخدم نفس القوانين على 100 سيرفر؟

ثقافة
2013-09-01T12:17:53+00:00
المزيد
- رابط مختصر

يعلم المختصين انه في نظام التشغيل لينكس فان هناك اداة iptables والتي تعمل كجدول لصلاحيات الوصول الى الخدمات على السيرفر فهي تعمل كبرنامج جدار ناري او فيرول ان صح التعبير (software firewall) وهناك العديد من البرمجيات التي يمكن استخدامها كبرنامج جدار ناري مثل apf .. وغيرها. وهذا لا مشكلة فيه.

اليوم خطر في بالي امر معين. ولنفترض ان لدينا 100 خادم لينكس يعمل فعليا وكل خادم يحتوي على iptables وapf وكل خادم لديه صلاحياته الخاصة وقوائم الحظر الخاصة به.

ماذا لو تعرضت لهجوم على شبكتي كاملة من اي بي معين مثلا تعرضت للهجوم من الاي بي 127.0.0.1 ، وكنت ارغب بان اقوم بحظر هذا الاي بي على جميع سيرفراتي بنقرة زر واحدة، كيف الحل؟

انا اعلم انه يمكنني بواسطة iptables القيام على حظر الاي بي وكذلك بواسطة apf ، واعلم ان apf يحتوي على قوائم معدة مسبقا للحظر. ولكن ماذا لو كنت ارغب بالحصول على قائمة من الايبيهات التي ارغب بحظرها على كامل شبكتي. بحيث اقوم بين الحين والاخر بمعاينتها وتحريرها واضافة اي عناوين ارغب بحظرها اليها... هل واجهت احدكم مثل هذه المشكلة او فكر في حل لمثل هذا الامر؟

الفكرة التي وردت لدي هو ان انشئ مثلا موقع انترنت يكون خاص بي فقط. وان انشئ ملف معين ولنفرض انه blacklist.txt بحيث يتم تغذية هذا الملف عن طريق برمجيات معينة بارقام الاي بي التي ارغب بحظرها على كامل الشبكة وليس على سيرفر واحد بشكل منفصل. وبعدها استخدم التقنية المتوفرة في apf والتي تتيح استيراد قوائم حظر خارجية في استيراد ارقام الاي بي من الملف blacklist.txt بحيث يتم حظرها.

اذا ما راعينا انه:

لدي 100 سيرفر لينكس كل سيرفر يحتوي على iptables و apf وهي قابلة للزيادة او النقصان باي لحظة.
عندما ارغب بحظر اي بي كل ما علي هو حظر الاي بي على سيرفر واحد باستخدام اداة مناسبة وهذة الاداة بدورها سوف تمرر هذا الاي بي ليتم حضرة في ال 99 سيرفر الباقية.
لا ارغب بشراء اي برمجيات. انا اميل لمفتوح المصدر والمجاني.
لا ارغب بتركيب اي عتاد اضافي على الشبكة.
اريد ان اقوم بعملية الحظر وفك الحظر بسرعه وعدم فتح شاشات كثيرة ، فالعملية يجب ان تتم بسرعه.

هل برايكم الحلول والافكار التي طرحتها هذا الحل الأمثل؟ ام ان هناك حلول او افكار افضل؟

وشكرا

اما بخصوص ما ذكرت بالتحكم ب iptables لعدد معين من السيرفرات، فهذا الامر لا يمكن بالاعتماد على iptables فقط، لانه للاستخدام الداخلي فقط، ولا بد من استخدام اداة اضافية ان كانت جاهزة او تقوم انت ببرمجتها وان كانت معقدة وفيها الكثيرة من الخصائص والمزايا او مجرد وسيلة لتمرير امر قابل للتنفيذ لمجموعة من السيرفرات.

يمكن تنفيذ ماذكرت بكتابة اداة جداً بسيطة مستخدم bash او python ، وكتابة اداة مثل هذه لن ياخذ اكثر من 30 دقيقة عمل!

بل ويمكن الذهاب لابعد من ذلك وجعل الاداة هذه من مجرد وسيلة لتمرير اوامر لل iptables إلى وحدة تحكم كاملة بالسيرفرات من واجهة CLI واحدة، بحيث تقوم بتنفيذ اي امر كان لاي سيرفر كان او مجموعة السيرفرات كلها، ومن ثم تاتيك المخرجات من كل سيرفر لتعرف ماتم في كل سيرفر وهل العملية نجحت في جميع السيرفرات ام لا، وهي وسيلة جيدة لادارة مجموعة من السيرفرات بدل من الدخول إلى جميع السيرفرات واحد واحد بالطريقة المتعارف عليها.

اما اذا كنت تبحث عن حل جاهز وفوري فيمكنك الاطلاع على csf حيث يوفر خاصية Centralized Firewall Management Unit.

iptables ليس للمهام الخطيرة

بمعنى ان iptables يعتمد على موارد النظام، واي فلود قوي اقوى من قدرة تحمل السيرفر لن يكون iptables قادر على التعامل معه، سوف يتوقف السيرفر عن الاستجابة سريعاً. يفضل في المهام الخطرة استخدام Network HW Equipments لقدرتها وتخصصها في التعامل مع الحالات الخطرة.

محمد الشناق

2013-09-01T19:57:52+00:00
المزيد
- رابط مختصر

اشكرك اخي لذكر ip6tables

سوف احاول تطبيق ما قاله الاخ cenrak وسوف اضيف بعض مما ذكرته ايضا وسوف اقوم على اضافة اي تفاصيل كرد هنا

نعم كلامك سليم بخصوص استخدام هارد وير للفلود القوي. ولكن كما ذكرت فانني ابحث عن جل برمجي للتعامل مع المشاكل الخفيفية :) التي في الغالب لا تتعدي محاولة الدخول للشل من خلال ايبيهات غريبة كالصين وغيرها . والتي لا تشكل خطورة فلود او DDoS.

محمد الشناق

2013-09-01T20:05:04+00:00
المزيد
- رابط مختصر

ردا على الاخ مصطفى :) بكل تاكيد لن تتعرض لهجوم من 127.0.0.1 :) ولكنه فقط للتوضيح

رائد الخربوش

2013-09-01T18:23:56+00:00
المزيد
- رابط مختصر

لا أعلم مدى خبرتك بمجال ادارة مجموعة خوادم، لكن ما تطلبه سهل و لا يتطلب أي برمجية و لا عتاد. يلزم معرفة بـ ssh. لم أستخدم apf لأني شخص أفضل الأدوات الموجودة في النظام أو ببرمجة شئ خاص بيدي

انشئ ملف باسم ips.list، كل سطر فيه IP لخادم
احفظ [iptables-blockall](https://gist.github.com/cen... و [iptables-unblockall](https://gist.github.com/cen... في نفس المجلد مع قائمة الخوادم (اختياري) و أعطهم تصريح x لك
اختياري لو أحببت، أضف رابط السكربتات في PATH
لا تنسى restart للخدمة

في هذه الحالة، سيكون لديك سكربتين لإضافة و حذف IP في ضغطة زي. ما عليك إلا كتابة اسم الأمر و تمرير IP المراد حجبه أو فك حجبه

لو مثلا خوادمك في ازدياد مستمر، تستطيع مثلا إضافة جميع الـ IPs الحوادم في ملف اسمه ips.list و ملف اسمه blocked_ips.list يحوي جميع الـ IPs المراد حجبها، بنسخ [هذا السكريبت](https://gist.github.com/cen... على جميع الخوادم و بتنفيذ [هذا السكريبت](https://gist.github.com/cen... بيكون لديك برمجية صغيرة لإضافة و حذف مجموعة IPs بسرعة و لأي عدد من الخوادم

أعتذر لعدم اجابتي لسؤالك عن apf بسبب جهلي به :). لكن الطرق كثيرة و لا حصر لها.

-2

محمد الشناق

2013-09-01T19:56:04+00:00
المزيد
- رابط مختصر

كلام منطقي وردك واضح وسوف احاول تطبيقة واضافة اي تفاصيل لدي كرد هنا

Smart Card

2013-09-01T12:55:07+00:00
المزيد
- رابط مختصر

أظن أن خبرتي الأمنية سيئة جداً لكن لي إقتراح وإستحملني لو كان غبياً ولكن ألا يمكنك تعريف مزود واحد كمنفذ رئيسي (gateway) لبقية المزودات وتقوم بتطبيق قوانين الـ iptables عليه فقط؟

محمد الشناق

2013-09-01T13:04:32+00:00
المزيد
- رابط مختصر

الاخ الكريم كلامك ممكن يكون صحيح لو كانت السيرفرات كلها على شبكة واحدة، لكن عشان نعقد الامور خلنا نفترض ان ال 100 سيرفر هي على شبكات منفصة

10 في اميركا

20 في فرنسا

50 في السعودية

20 في الهند

السيرفرات يمكن التواصل فيما بينها عن طريق شبكة الانترنت

السيرفرات غير متصلة ببعضها عن طريق VPN

Ahmed Issa

2013-09-01T13:27:16+00:00
المزيد
- رابط مختصر

انا ايضا لست بخبير في ادارة الخوادم ..

اعتقد عندما تمتلك 100 سرفير موزعين حول العالم .. يجب على الشركة ان تعد سرفير مركزي للمراقبة كافة الخوادم الاخري وتطبيق الاوامر عليهم مرة واحدة.

طبعا التطبيق يفضل ان لا يكون بشكل مباشر عن طريق الطرفية .. سافترض ان لديك سرفير ubuntu و الاخر centos يوجد اختلافات في تطبيق الاوامر .. ساقوم بتعريف interface على كل سرفير والسرفير المركزي يتواصل مع الخوادم الاخرى عن طريق هذا interface. هذا الحل يحل اكثر من مشكلة iptables :)

اعتذرا - اللغة العربية الفصحى لدي ضعفية :

محمد الشناق

2013-09-01T20:01:59+00:00
المزيد
- رابط مختصر

نعم اخي قد يكون كلامك سليم

ولكن وجود عدد 2 انترفيس على السيرفر يعني اننا سوف نضيف عتاد على الخادم ، الهدف هنا من طرح الفكرة هو تطبيق ما تم ذكره دون الحاجة الى عتاد جديد

ونحن هنا لا نتحدث عن مراقبة فالمراقبة يمكن استخدام nagios معها. ولكننا ننتحدث عن تنفيذ اوامر عن بعد اما بصورة مباشرة او بصورة ملتويه.

hamza

2013-09-01T19:33:31+00:00
المزيد
- رابط مختصر

لدي اضافة فيما يخص مشاركة القائمة السوداء من الافضل ان تستخدم git لمشاركتها و في كل commit يقوم بها احد الخوادم تضع في الرسالة الخادم + السبب

بهذه الطريقة سوف تربح الكثير من الامور و المعلومات التي تفيدك في معرفت ماحصل + تقلل من المعلومات التي تنقل في الشبكة لانك سوف تشارك فقط التحديثات و ليس الملف الكامل

و لهذه النقطة اذا لم تعجبك فكرة استخدام git من الممكن استخدام rsync

محمد الشناق

2013-09-01T20:06:38+00:00
المزيد
- رابط مختصر

فكرة جميلة استخدام git لتحديث القائمة السوداء

ثقافة

لمناقشة المواضيع الثقافية، الفكرية والاجتماعية بموضوعية وعقلانية.

96.8 ألف متابع

استخدام iptables كفيرول (جميل) ولكن كيف نستخدم نفس القوانين على 100 سيرفر؟

التعليقات

iptables ليس للمهام الخطيرة

اقرأ أيضًا

ثقافة