در قسمت اول معرفی انتی ویروس ها


AVAST

آنتی ویروس Avast نسخه ای مخصوص توزیع های مختلف لینوکس دارد که از رابط کاربری جذاب و مناسبی برخوردار است. تصویر بالا نمایی از نسخه مخصوص اوبونتو را نمایش می دهد. استفاده از این آنتی ویروس بخاطر برخورداری از رابط کاربرای ساده و مناسب، بسیار آسان است.

برای دانلود نسخه مخصوص توزیع لینوکس مورد استفاده خود، به این صفحه از سایت اوست (http://www.avast.com/linux-home-edition) مراجعه نمایید. پس از دانلود و نصب می توانید به صفحه ثبت برنامه (http://www.avast.com/registration-free-antivirus.php)بروید تا نسخه مربوطه را به صورت رایگان برای یک سال ثبت نمایید.
با ثبت نامی که در سایت انجام می دهید، یک کد فعال سازی به رایگان در اختیار شما قرار می گیرد که می توانید از آن برای فعال سازی آنتی ویروس استفاده نمایید. پس از آن می توانید آنتی ویروس را برای یک سال به صورت رایگان مورد استفاده قرار دهید.


BitDefender


آنتی ویروس بیت دیفندر نیز یکی از نرم افزارهای ضد ویروس شناخته شده است که نسخه مخصوص لینوکس آن نیز همانند نسخه ویندوز قابلیت تشخیص ویروس های ویندوزی را دارد. با این تفاوت که نسخه لینوکس آن به رایگان در دسترس است. ظاهراً این آنتی ویروس قادر به شناسایی ویروس هایی است که سایر آنتی ویروس ها توانایی شناسایی آنها را ندارند.
البته دانلود این نسخه به سادگی دانلود اَوَست نیست. برای دانلود آن باید به این صفحه (http://www.bitdefender.com/business/antivirus-for-unices.html) مراجعه کنید و بر روی evaluation version کلیک نمایید. پس از آن فرمی برای شما ظاهر می شود که با پر کردن آن یک کد فعال سازی یک ماهه و سری لینک های دانلود نسخه های مختلف آنتی ویروس.


در لیست مربوطه، نسخه مربوط به توزیع لینوکسی که استفاده می کنید را بیابید و آن را دانلود نمایید.

توجه: برای دانلود، لینک دانلود را کپی کرده و پسوند .run را نادیده بگیرید. سپس آن را در مرورگر یا نرم افزار مدیریت دانلود خود کپی کرده و شروع به دانلود کنید. برای کپی کردن لینک دانلود می توانید روی آن راست کلیک کرده و گزینه Properties را انتخاب نمایید. سپس لینک دانلود را از پنجره Properties کپی کنید.

پس از دانلود، می توانید Command Line (خط فرمان) را باز کرده و وارد پوشه ای که فایل مورد نظر را در آن دانلود کرده اید، بشوید. سپس دستور زیر را در آن وارد نمایید:
کد:
sudo ./[filename]
به جای [filename] نام کامل نسخه ای از نرم افزار که دانلود کرده اید قرار دهید. پس از نصب شما نسخه ی کاملی از بیت دیفندر را بر روی لینوکس خود نصب کرده اید و می توانید علاوه بر اسکن فایل ها و فولدر ها، آنتی ویروس را به روز رسانی نمایید. فعال سازی نرم افزار برای ۳۰ روز انجام می شود، اما می توانید هر ماه با طی مراحل قبلی دوباره یک کد فعال سازی دریافت نمایید.


ClamAV

این آنتی ویروس رایگان و بازمتن نیز یکی از نرم افزارهای ضد ویروس مشهور برای لینوکس است. استفاده از آن مستلزم توانایی کار با کامندلاین است؛ اما همانطور که در تصویر بالا مشخص است نسخه با رابط گرافیکی این نرم افزار هم در دسترس است.

نصب این آنتی ویروس آسان است. برای نصب کافی است فایل Clamtk را بر روی سیستم خود نصب نمایید. در صورتی که کاربر اوبونتو باشید، می توانید نسخه گرافیکی آن را از لینک زیر دانلود نمایید:

کد:
http://www.clamav.net/lang/en/download/packages/packages-linu (http://www.clamav.net/lang/en/download/packages/packages-linux/)
توصیه می شود اولین کاری که پس از نصب ClamAV انجام می دهید، به روز رسانی آن باشد. برای این کار می توانید دستور sudo freshclam را پس از باز کردن Terminal در آن اجرا نمایید تا عملیات به روز رسانی نرم افزار انجام شود.

سپس برای اجرای نرم افزار می توانید آن را از طریق کامندلاین اجرا کنید، یا با یافتن شاخه ای تحت عنوان Virus Scanner که در منوی Accessories است، ClamAV را اجرا نمایید. با استفاده از رابط گرافیکی نرم افزار می توانید هر پوشه ای که بخواهید را اسکن کنید. همچنین می توانید با تایپ دستور clamscan در کامندلاین عملیات اسکن را آغاز کنید.


AVG

با وجود اینکه آنتی ویروس AVG یکی از مشهورترین نرم افزار های ضد ویروس در ویندوز است، به نظر می رسد این آنتی ویروس از لحاظ رابط کاربری در لینوکس کمی مایوس کننده ارائه شده است. در واقع AVG در لینوکس فاقد رابط کاربری گرافیکی است و تنها با استفاده از کامند لاین اجرا شده و به اسکن سیستم می پردازد.

این نسخه از آنتی ویروس AVG برای توزیع های گسترده ای از لینوکس تولید شده و در دسترس کاربران قرار دارد.

پس از نصب، وقتی به استفاده از آن نیاز پیدا می کنید، لازم است دستور sudo avgctl - start را برای اجرای نرم افزار در کامند لاین وارد کنید. سپس می توانید برای به روز رسانی نرم افزار، دستور sudo avgupdate و برای اسکن، از دستور avgscan استفاده نمایی


این آنتی ویروس ها که برای لینوکس طراحی شده اند در واقع برای شناسایی ویروس هایی که منجر به آلوده شدن کامپیوتر های ویندوزی می شوند، ساخته و ارائه شده اند.

استفاده از یکی از این نرم افزار ها برای افزایش ضریب امنیتی کامپیوتر های ویندوزی اطراف شما توصیه می شود. چرا که به هر حال ممکن است فایل هایی از کامپیوتر تان به دوستان و یا فامیل خود بدهید که در صورت آلوده بودن ممکن است برای آنها مشکل ساز شوند.


منبع : سر تا سر نت + خودم


خستم تا یه فرصت جدید همهشو کامل میکنم خواهمش میکنم این پست منو خراب نکنید

---------- Post added at 10:12 PM ---------- Previous post was at 10:02 PM ----------


امنیت سرور لینوکس

تنظیمات بایوس سخت افزاری: تنظیم بایوس برای جلوگیری از راه اندازی(بوت) سیستم از ابزارهایی مثل فلاپی یا سی‌دی رام یا هارد دوم قراردادن پسورد ورودی برای ورود به سیستم و تنظیمات بایوس قبل از شروع هرگونه عملی ابتدا اتصال سرور رو از شبکه محلی قطع می‌کنیم چرا که هنوز کار تنظیمات به پایان نرسیده و هر آن ممکن هست که سرور مورد حمله قرار بگیره ... .

منبع : افتاب

فایل های PDF

بخش اول (http://www.aftab.ir/elibrary/download.php?id=506) - بخش دوم (http://www.aftab.ir/elibrary/download.php?id=507) - بخش سوم (http://www.aftab.ir/elibrary/download.php?id=508)

اما همانطور که در تصویر بالا مشخص است نسخه با رابط گرافیکی این نرم افزار هم در دسترس است.

فدات شم ! این عکسشو فراموش کردی فکر کنم ! :دی

فدات شم ! این عکسشو فراموش کردی فکر کنم ! :دی

اینو تو فایل Word تو Pc داشتم برای همین عکس رو نتونستم بزارم : دی

---------- Post added at 10:49 PM ---------- Previous post was at 10:32 PM ----------


اموزش نصب انتی ویروس clamav


اینم برای سرور ویندوز (http://www.clamav.net/lang/en/)


توجه ...!
من تست کردم فقط رو centos 4 -5 جواب داد...!
به سرور خود وصل شوید : با putty یا SSH Explorerدستور 1



cd /etc/yum.repos.d

دستور 2


Enter دستور 3 - برای دانلود اینستالر آنتی ویروس دستور زیر را تایپ کنید



wget http://www.linux-mail.info/files/dag-clamav.repoدستور 4


Enter دستور 5 - برای نصب آنتی ویروس Clamav در بخش خط فرمان تایپ کنید



yum install clamav clamav-devel clamd- برای تائید دانلود کامل از شما تائیدیه دانلود سوال می شود که شما می بایست با Y پاسخ دهید .



Enter


بروزرسانی بانک اطلاعاتی آنتی ویروس Calmavدستور


freshclamو بعد

Enter
آموزش استفاده از آنتی ویروس Clamav در لینوکسدستور 1



cd /home
دستور 2


clamscan -vr

بعد از اجرای دستور سیستم شروع به اسکن فایلهای داخل هاست ها و ایمیل ها می شود .




---------- Post added at 11:05 PM ---------- Previous post was at 10:49 PM ----------


برای کاربران مبتدی
اگه به یک کاربر شک دارید ...!

میتونید با دستور زیر فقط اون کاربر رو اسکن کنید...!

جای admin نام کاربری کاربر رو خود رو بنوسید ...!


user ~adminبعد دستور زیر رو بزنید ...!


clamscan -vr

مطلب مفیدی هست ،

avg سرعت رو یکم کند می کنه

شرکت Kaspersky برای بازدید کننده ها File Scanner رایگان گذاشته

شما میتونید فایل که بهش مشکوک هستید بدید اسکن کنه...!

Virus File Scanner (http://www.kaspersky.com/scanforvirus)

---------- Post added at 08:21 PM ---------- Previous post was at 08:10 PM ----------


avast برای ویندوز سرور


دانلود : Avast (http://www.avast.com/download-thank-you.php?src=http://files.avast.com/iavs4pro/avsrv_ful.exe&product=SE&page=server-edition&locale=en-ww&avast=0)
حجم : (50.63 MB)

Datasheet (PDF) (http://files.avast.com/files/datasheets/server-eng.pdf)
Installation Guide (PDF) (http://files.avast.com/files/server/install-server.eng.pdf)
Datasheet - Exchange Server Plugin (PDF) (http://files.avast.com/files/datasheets/exch-eng.pdf)
Datasheet - SharePoint Server Plugin (PDF) (http://files.avast.com/files/datasheets/sps-eng.pdf)

آشنایی با mod_security

اجرا کردن نرم‌افزارهای تحت وب ممکن است شبیه بازی کردن بازی رولت روسی باشد. با اینکه رسیدن به یک سطح امنیتی بالا روی وب در تئوری ممکن است، ولی در جهان واقعی همیشه یک نقطه ضعیف وجود دارد. تنها یک لغزش و خطا در کد کافی است تا حمله کنندگان را قادر سازد تا به اطلاعات شما دسترسی پیدا کنند. اگر شما یک نرم‌افزار تحت وب عمومی با کمی پیچیدگی در حال اجرا داشته باشید، این احتمال وجود دارد که نوعی اشکال امنیتی در آن وجود داشته باشد. برای مثال URL مثال زیر را ببینید:
TrueCredit - 3-Bureau Credit Report & Credit Score - By TransUnion (http://www.webapp.com/login.php?username=admin%27;DROP%20TABLE%20users--) در صورتی که نرم‌افزار شما در مقابل SQL Injection ضعف داشته باشد، فراخوانی آدرس بالا ممکن است به راحتی کلیه اطلاعات کاربرانتان را پاک کند. آیا از اطلاعات بانک اطلاعاتی خود بطور مرتب نسخه‌های پشتیبان تهیه می‌کنید؟
mod_security یک سیستم کشف و پیشگیری از مزاحمت مخصوص برنامه‌های کاربردی وب است. به زبان دیگر می‌توان آنرا دیوار آتش برنامه‌های کاربردی وب نیز نامید. این سیستم به صورت یک ماژول بر روی سرویس‌دهنده وب آپاچی نصب شده و همانند یک چتر حفاظتی بر روی برنامه‌های کاربردی وب عمل می‌نماید.

چرا باید از mod_security استفاده کنید؟

چند سال پیش که من (نگارنده) شروع به کار بر روی mod_securty کردم، از snort برای مانیتور کردن ترافیک وب خود استفاده می‌کردم. من خیلی خوب کار کرده بودم. به Snort گفته بودم که چه کلمات کلیدی برای من جالب است و این برنامه هرگاه که به این کلمات کلیدی بر می‌خورد، به من اطلاع می‌داد. ولی من به چیز بیشتری نیاز داشتم. من مایل بودم بتوانم آزادی لازم برای تعریف قوانین پیچیده و توانایی اجرای عکس العمل‌های مرتبط با HTTP را داشته باشم. علاوه بر این، نصب و پیاده سازی یک سیستم کشف مزاحمت (IDS) هر جا که یک سرویس‌دهنده وب وجود داشته باشد کاری است بسیار وقت گیر و گران.
در همان زمان سعی کردم تا از ترکیب mod_rewrite و mod_setenvif استفاده کنم. با استفاده از mod_rewrite تشخیص کلماتی مانند drop و table بسیار آسان بود و می‌توانستم سرویس گیرنده ارسال کننده چنین کلماتی را به آدرس دیگری دور از نرم‌افزار وب هدایت کنم تا از حمله جلوگیری شود. البته این کار تنها جلوی نفوذگران کم تجربه را می‌گرفت. نفوذگران پرتجربه‌تر می‌توانستند با بکارگیری متد POST بجای GET همان URL مورد نظرشان را فراخوانی کنند. از آنجایی که متغییرهای ارسال شده توسط متد پست توسط بسیاری از ماژول‌های آپاچی در نظر گرفته نمی‌شوند، حمله می‌توانست انجام شود.
اکنون که نیاز به داشتن یک ابزار جدید برای پوشش دادن این نیاز حفاظتی ایجاد شده بود، من دو راه در مقابل خود داشتم: از جاوا استفاده کنم و یک سیستم Reverse ***** و Application Gateway برای نرم‌افزارهای تحت وب بنویسم، یا اینکه یک ماژول برای آپاچی بنویسم که در بالای کدهای موجود اجرا شود. راه نخست مستلزم صرف وقت بسیار بود و شاید از نتیجه کار نیز تعداد بسیار کمی استفاده می‌کردند (خودم هم از آن استفاده نمی‌کردم!) از آنجایی که مایل بودم ابزاری بنویسم که قابل انعطاف و سهل الاستفاده باشد، راه دوم را انتخاب کردم و هرگز پشت سر خود را نگاه نکردم.
به مثالی که در بالا زدیم باز می‌گردیم. برای جلوگیری mod_security از حمله‌ای که با drop table صورت می‌گیرد، کافی است خط زیر را به فایل پیکربندی سرویس‌دهنده آپاچی خود اضافه کنید:
SecFilter "drop[[:space:]]table" تنها پارامتر SecFilter یک Regular Expression است که به درخواست‌های وارد شده به سرویس‌دهنده اعمال می‌گردد. این شبیه کاری است که mod_rewrite انجام می‌دهد با این تفاوت که mod_security هم بر روی GET و هم بر روی POST عمل می‌کند. اینجا لازم است بگویم که پیاده سازی قابلیت مانیتور کردن POST بر روی آپاچی 1.3 کار بسیار دشوار بود.

نصب و پیکربندی

یکی از بهترین راه‌های نصب mod_security کامپایل آن با استفاده از کد منبع است:
$ /path/to/apache/bin/apxs -cia mod_security.c
# apachectl stop
# apachectl start برای اینکه قادر باشید تا ماژول‌های آپاچی را با استفاده از apxs کامپایل و نصب کنید، باید بسته apache-dev را که به همراه توزیع شما موجود است، نصب کنید. مثلا در دبیان و توزیع‌های مبتنی بر آن می‌توانید از دستور زیر برای نصب apache-dev استفاده کنید:
# apt-get install apache-dev در صورتی که بخواهید ماژول mod_security را بدون کامپایل نصب کنید، به احتمال قوی آن نیز به همراه توزیع مورد استفاده شما ارائه شده است. در دبیان می‌توانید با دستور زیر آنرا نصب کنید:
# apt-get install libapache-mod-security پس از نصب باید اطمینان حاصل کنید که ماژول آن در سرویس‌دهنده فعال باشد. کافی است بررسی کنید که خط زیر در فایل etc/apache/modules.conf/ وجود داشته باشد و در صورتی که نیست آنرا بصورت دستی اضافه کنید:
LoadModule security_module /usr/lib/apache/1.3/mod_security.so پس از اتمام نصب باید تعدادی خط به فایل پیکربندی سرویس‌دهنده آپاچی اضافه کنید:
<IfModule mod_security.c>
# Turn the filtering engine On or Off
SecFilterEngine On

# Make sure that URL encoding is valid
SecFilterCheckURLEncoding On

# Unicode encoding check
SecFilterCheckUnicodeEncoding Off

# Only allow bytes from this range
SecFilterForceByteRange 0 255

# Only log suspicious requests
SecAuditEngine RelevantOnly

# The name of the audit log file
SecAuditLog logs/audit_log
# Debug level set to a minimum
SecFilterDebugLog logs/modsec_debug_log
SecFilterDebugLevel 0

# Should mod_security inspect POST payloads
SecFilterScanPOST On

# By default log and deny suspicious requests
# with HTTP status 500
SecFilterDefaultAction "deny,log,status:500"

</IfModule> در خطوط بالا، من توضیحات را باقی گذاشته‌ام تا کاملا قابل درک باشد. تنظیمات بالا mod_security را فعال خواهد ساخت ولی با این تنظیمات کار زیادی برای شما انجام نمی‌دهد. همیشه بهترین راه شروع با یک تنظیم ساده و تکمیل کردن آن با دستورات اضافه‌تر است.
(alan@technotux.org)

---------- Post added at 01:12 AM ---------- Previous post was at 12:50 AM ----------

خوب حالا این چه کار می‌کند؟

حتی با این تنظیم ساده نیز mod_security دو سود دارد. نخست اینکه تعدادی تکنیک ضد گریز زنی اجرا می‌کند و باعث می‌شود که ورودی رسیده به سرویس‌دهنده یک ورودی متعارف و استاندارد باشد. این در قدم بعدی که شروع به اضافه کردن قوانین *****ینگ می‌کنید، مفید خواهد بود. تصور کنید می‌خواهید جلوی اجرای دستور ps را با استفاده از یک Regular Expression مانند bin/ps ax/ بگیرید. این کار جلوی فراخوانی همین دستور را خواهد گرفت ولی در مقابل فراخوانی‌هایی مانند bin/ps%20ax/ یا bin//ps ax/ یا bin/ ./ps ax/ کاری انجام نخواهد داد. در زیر لیستی از کارهایی که mod_security در این مورد خواهد داد را می‌بینید:
- حذف چند اسلش متوالی (//)
- حذف فراخوانی‌های دایرکتوری جاری (/.)
- / و \ را بصورت یکسان تلقی می‌کند (فقط بر روی ویندوز)
- عملیات URL Decoding را انجام می‌دهد
- بایت‌های خالی (00%) و فضاهای خالی را حذف می‌کند
دومین سود با فعال شدن تعدادی از بررسی‌های توکار فراهم می‌شود:
- بررسی صحت URL Encoding
- بررسی صحت Unicode Encoding
- بررسی صحت Byte Range که تنها مقادیر کاراکتری مشخصی می‌توانند به عنوان بخشی از درخواست قرار گیرند

عکس العمل‌ها

هرگاه ورودی با یکی از قوانین تعریف شده مطابقت داشته باشد، تعدادی عکس العمل صورت خواهد گرفت. در بسیاری از مواقع، عکس العمل پیش‌گزیده که با SecDefaultAction تعریف می‌شود، مورد استفاده قرار می‌گیرد. این امکان وجود دارد تا برای هر قانون تعریف شده توسط SecFilter یک عکس العمل تعریف نمود. این کار با ارسال پارامتر دوم به این دستور یا پارامتر سوم به SecFilterSelective انجام می‌گیرد. عکس العمل‌های مورد پشتیبانی عبارتند از:
- deny : که درخواست وارد شده را رد می‌کند.
- allow : پردازش قوانین را متوقف کرده و به درخواست اجازه عبور می‌دهد.
- status: nnn : با یک شماره وضعیت HTTP پاسخ می‌دهد.
- redirect: url : درخواست را به صفحه دیگری هدایت می‌کند.
- exec: cmd : یک دستور یا اسکریپت را اجرا می‌کند.
- log : درخواست را در سیستم ثبت رخداد ثبت می‌کند.
- nolog : درخواست را ثبت نخواهد کرد.
- pass : از قانون فعلی عبور کرده و قانون بعدی را بررسی خواهد کرد.
- pause: nnn : تقاضا را برای مقدار nnn میلی ثانیه متوقف می‌کند. باید در استفاده از این عکس العمل مراقبت کافی را داشته باشید. با هر توقف، یک پروسه آپاچی متوقف می‌شود و استفاده ناصحیح از این عکس العمل می‌تواند حمله کننده را قادر به ایجاد حملات DOS بر روی سرویس‌دهنده شما کند.
عکس العمل‌های دیگری نیز وجود دارد که هماننده آنچه در mod_rewrite می‌بینیم، بر نحوه حرکت در میان قوانین موثر است:
- chain: قانون بعدی موجود در زنجیره را بررسی می‌کند. هنگامی که عبور از یک قانون با شکست مواجه می‌شود، بقیه قوانین باقیمانده در زنجیره نیز نادیده گرفته می‌شوند.
- skipnext: n: از قانون جاری به n قانون بعدی حرکت می‌کند.

(alan@technotux.org)

---------- Post added at 01:13 AM ---------- Previous post was at 01:12 AM ----------


قوانین *****ینگ

این قوانین به دو روش نوشته می‌شوند. در ساده‌ترین روش:
SecFilter keyword کلمه کلیدی مشخص شده بر روی خط نخست درخواست‌های GET و یا محتویات درخواست‌های POST در صورت وجود اعمال می‌گردد. این نحوه استفاده بسیار ساده بوده و شاید بیشتر برای مقالات آموزشی نظیر این مقاله مناسب باشد. در مقابل بهتر است قانون را به شکل زیر بکار بگیرید:
SecFilterSelective "variable list separated with |" keyword استفاده از چنین قوانینی امکان تجزیه و تحلیل بهتر و مصرف کمتر زمان CPU را فراهم می‌کند. خوب، بجای ادامه دادن و خسته کردن شما با قوانین مختلف، اکنون به چند مثال جالب می‌پردازیم. این نمونه مثال‌ها، مثال‌هایی هستند که بیشترین کاربردها را در جهان واقعی دارا می‌باشند.
در مثال زیر، اجازه عبور تنها به یک شماره IP مشخص (مانند ایستگاه کاری من) داده خواهد شد. هیچ قانون دیگری پردازش نشده و از آنجایی که این قانون نماینده ایجاد حمله خاصی نیست، ثبت هم نمی‌شود:
SecFilterSelective REMOTE_ADDR "^IP_ADDRESS_HERE$" nolog,allow در مثال زیر دسترسی کامل از کامپیوتر کیفی‌ام هنگامی که در سفر هستم می‌دهد. بدلیل اینکه شماره IP من در این مورد نامشخص است، دسترسی با استفاده از وجود یک رشته به نام Blend 42 در فیلد User-Agent داده می‌شود. البته میزان حفاظت این گونه محدودیت‌هایی پایین است ولی می‌تواند در بالای مکانیسم‌های دسترسی دیگر جالب باشد:
SecFilterSelective HTTP_USER_AGENT "Blend 42" در مثال زیر، از ارسال کدهای SQL Injection با استفاده از کوکی‌ها جلوگیری خواهد شد. در صورتی که کوکیی وجود داشته باشد، تنها اگر حاوی اعداد ۱ تا ۹ باشد اجازه عبور خواهد داشت.
SecFilterSelective COOKIE_sessionid "!^(|[0-9]{1,9})$" در مثال زیر، وجود سرایندهای HTTP_USER_AGENT و HTTP_HOST بررسی می‌شود. معمولا حمله کننده‌های بررسی‌های خود را با استفاده از ابزارهای ساده‌ای مانند telnet انجام می‌دهند و تمامی سرایندهای لازم را مانند آنچه مرورگرها انجام می‌دهند، ارسال نمی‌کنند. چنین درخواست‌هایی را می‌توانید رد، ثبت یا مانیتور کنید.
SecFilterSelective "HTTP_USER_AGENT|HTTP_HOST" "^$" در مثال زیر از هر گونه upload فایل از طریق مرورگرها جلوگیری به عمل خواهد آمد. این راهی ساده ولی موثر است. رد تقاضاها با استفاده از نوع محتویات مورد استفاده برای ارسال فایل‌ها:
SecFilterSelective "HTTP_CONTENT_TYPE" multipart/form-data قانون نمایش داده شده در مثال زیر، تمامی درخواست‌های بدون سرایند Accept را برای بررسی‌های آینده ثبت می‌کند. باز هم جلوی درخواست‌های ارسالی دستی که حاوی تمامی سرایندها نیستند، می‌تواند گرفته شود. زیر نظر گرفتن سرایند Keep-Alive نیز گزینه خوب دیگری است.
SecFilterSelective "HTTP_ACCEPT" "^$" log,pass قانون نمایش داده شده در مثال زیر، هنگامی که رئیسم یکبار دیگر کلمه عبور خود را فراموش کرده باشد، یک نامه الکترونیکی برای من ارسال می‌کند. در مثال زیر ما دو قانون داریم. نخستین قانون هنگامی اجرا می‌شود که یک فایل خاص فراخوانی شود. (در مثال ما فایلی که پیغام Login Failed را نمایش می‌دهد.) در قانون دوم هنگامی که کلمه عبور استفاده شده ceo باشد، اجرا می‌شود. همانطور که می‌بینید، یک اسکریپت خارجی را نیز اجرا می‌کند که این اسکریپت نامه را خواهد فرستاد.
SecFilterSelective REQUEST_URI "login_failed\.php" chain
SecFilterSelective ARG_username "^ceo$" log,exec:/home/apache/bin/notagain.pl مثال بعدی ربات Google را که می‌توان آنرا با استفاده از فیلد User-Agent تشخیص داد، به آدرس دیگری هدایت کرده و اجرا شدن قانون را نیز ثبت نمی‌کند.
SecFilter HTTP_USER_AGENT "Google" nolog,redirect:Google (http://www.google.com/)
مثال زیر، درخواست‌های ورودی به سرویس‌دهنده را برای وجود جاوا اسکریپت‌ها بررسی می‌کند آنهایی را که در متغییرهای با نام html قرار دارند، مورد پذیرش قرار می‌دهد. رد کردن تمامی درخواست‌های حاوی تگ‌های جاوا اسکریپت می‌تواند مشکل ساز باشد. مخصوصا.هنگامی که بر روی سرویس‌دهنده شما نرم‌افزارهای مدیریت محتوا نصب شده باشد:
SecFilter "ARGS|!ARG_html" "<[:space:]*script"در آخرین مثال، چگونگی داشتن چند تنظیم برای mod_security نمایش داده شده است. به اینصورت شما می‌توانید تنظیمات خاصی را بر روی یک برنامه کاربردی نصب شده بر روی سرویس‌دهنده وب اعمال کنید. به چگونگی استفاده از دستور SecFilterInheritance توجه کنید. این دستور به mod_security می‌گوید که تمامی تنظیمات به ارث رسیده از بخش اصلی mod_security را در نظر نگرفته و با مقادیر تازه‌ای شروع کند.
<Location /anotherapp/>
SecFilterForceByteRange 32 126
# Use this directive not to inherit rules from the parent context
SecFilterInheritance Off

# Developers often have special variables, which they use
# to turn the debugging mode on. These two rules will
# allow the use of a variable "debug" but only coming from
# the internal network
SecFilterSelective REMOTE_ADDR "!^192.168.254." chain
SecFilterSelective ARG_debug "!^$"
</Location>
(alan@technotux.org)

---------- Post added at 01:13 AM ---------- Previous post was at 01:13 AM ----------


قوانین *****ینگ

این قوانین به دو روش نوشته می‌شوند. در ساده‌ترین روش:
SecFilter keyword کلمه کلیدی مشخص شده بر روی خط نخست درخواست‌های GET و یا محتویات درخواست‌های POST در صورت وجود اعمال می‌گردد. این نحوه استفاده بسیار ساده بوده و شاید بیشتر برای مقالات آموزشی نظیر این مقاله مناسب باشد. در مقابل بهتر است قانون را به شکل زیر بکار بگیرید:
SecFilterSelective "variable list separated with |" keyword استفاده از چنین قوانینی امکان تجزیه و تحلیل بهتر و مصرف کمتر زمان CPU را فراهم می‌کند. خوب، بجای ادامه دادن و خسته کردن شما با قوانین مختلف، اکنون به چند مثال جالب می‌پردازیم. این نمونه مثال‌ها، مثال‌هایی هستند که بیشترین کاربردها را در جهان واقعی دارا می‌باشند.
در مثال زیر، اجازه عبور تنها به یک شماره IP مشخص (مانند ایستگاه کاری من) داده خواهد شد. هیچ قانون دیگری پردازش نشده و از آنجایی که این قانون نماینده ایجاد حمله خاصی نیست، ثبت هم نمی‌شود:
SecFilterSelective REMOTE_ADDR "^IP_ADDRESS_HERE$" nolog,allow در مثال زیر دسترسی کامل از کامپیوتر کیفی‌ام هنگامی که در سفر هستم می‌دهد. بدلیل اینکه شماره IP من در این مورد نامشخص است، دسترسی با استفاده از وجود یک رشته به نام Blend 42 در فیلد User-Agent داده می‌شود. البته میزان حفاظت این گونه محدودیت‌هایی پایین است ولی می‌تواند در بالای مکانیسم‌های دسترسی دیگر جالب باشد:
SecFilterSelective HTTP_USER_AGENT "Blend 42" در مثال زیر، از ارسال کدهای SQL Injection با استفاده از کوکی‌ها جلوگیری خواهد شد. در صورتی که کوکیی وجود داشته باشد، تنها اگر حاوی اعداد ۱ تا ۹ باشد اجازه عبور خواهد داشت.
SecFilterSelective COOKIE_sessionid "!^(|[0-9]{1,9})$" در مثال زیر، وجود سرایندهای HTTP_USER_AGENT و HTTP_HOST بررسی می‌شود. معمولا حمله کننده‌های بررسی‌های خود را با استفاده از ابزارهای ساده‌ای مانند telnet انجام می‌دهند و تمامی سرایندهای لازم را مانند آنچه مرورگرها انجام می‌دهند، ارسال نمی‌کنند. چنین درخواست‌هایی را می‌توانید رد، ثبت یا مانیتور کنید.
SecFilterSelective "HTTP_USER_AGENT|HTTP_HOST" "^$" در مثال زیر از هر گونه upload فایل از طریق مرورگرها جلوگیری به عمل خواهد آمد. این راهی ساده ولی موثر است. رد تقاضاها با استفاده از نوع محتویات مورد استفاده برای ارسال فایل‌ها:
SecFilterSelective "HTTP_CONTENT_TYPE" multipart/form-data قانون نمایش داده شده در مثال زیر، تمامی درخواست‌های بدون سرایند Accept را برای بررسی‌های آینده ثبت می‌کند. باز هم جلوی درخواست‌های ارسالی دستی که حاوی تمامی سرایندها نیستند، می‌تواند گرفته شود. زیر نظر گرفتن سرایند Keep-Alive نیز گزینه خوب دیگری است.
SecFilterSelective "HTTP_ACCEPT" "^$" log,pass قانون نمایش داده شده در مثال زیر، هنگامی که رئیسم یکبار دیگر کلمه عبور خود را فراموش کرده باشد، یک نامه الکترونیکی برای من ارسال می‌کند. در مثال زیر ما دو قانون داریم. نخستین قانون هنگامی اجرا می‌شود که یک فایل خاص فراخوانی شود. (در مثال ما فایلی که پیغام Login Failed را نمایش می‌دهد.) در قانون دوم هنگامی که کلمه عبور استفاده شده ceo باشد، اجرا می‌شود. همانطور که می‌بینید، یک اسکریپت خارجی را نیز اجرا می‌کند که این اسکریپت نامه را خواهد فرستاد.
SecFilterSelective REQUEST_URI "login_failed\.php" chain
SecFilterSelective ARG_username "^ceo$" log,exec:/home/apache/bin/notagain.pl مثال بعدی ربات Google را که می‌توان آنرا با استفاده از فیلد User-Agent تشخیص داد، به آدرس دیگری هدایت کرده و اجرا شدن قانون را نیز ثبت نمی‌کند.
SecFilter HTTP_USER_AGENT "Google" nolog,redirect:Google (http://www.google.com/)
مثال زیر، درخواست‌های ورودی به سرویس‌دهنده را برای وجود جاوا اسکریپت‌ها بررسی می‌کند آنهایی را که در متغییرهای با نام html قرار دارند، مورد پذیرش قرار می‌دهد. رد کردن تمامی درخواست‌های حاوی تگ‌های جاوا اسکریپت می‌تواند مشکل ساز باشد. مخصوصا.هنگامی که بر روی سرویس‌دهنده شما نرم‌افزارهای مدیریت محتوا نصب شده باشد:
SecFilter "ARGS|!ARG_html" "<[:space:]*script"در آخرین مثال، چگونگی داشتن چند تنظیم برای mod_security نمایش داده شده است. به اینصورت شما می‌توانید تنظیمات خاصی را بر روی یک برنامه کاربردی نصب شده بر روی سرویس‌دهنده وب اعمال کنید. به چگونگی استفاده از دستور SecFilterInheritance توجه کنید. این دستور به mod_security می‌گوید که تمامی تنظیمات به ارث رسیده از بخش اصلی mod_security را در نظر نگرفته و با مقادیر تازه‌ای شروع کند.
<Location /anotherapp/>
SecFilterForceByteRange 32 126
# Use this directive not to inherit rules from the parent context
SecFilterInheritance Off

# Developers often have special variables, which they use
# to turn the debugging mode on. These two rules will
# allow the use of a variable "debug" but only coming from
# the internal network
SecFilterSelective REMOTE_ADDR "!^192.168.254." chain
SecFilterSelective ARG_debug "!^$"
</Location>
(alan@technotux.org)

---------- Post added at 01:15 AM ---------- Previous post was at 01:13 AM ----------

ملاحضات لازم برای سرعت

من به شخصه هرگز مشکلی با سرعت در مورد mod_security نداشته‌ام. با آزمایشاتی که انجام داده‌ام، تفاوت سرعت چیزی در حدود ۱۰ درصد بوده است. البته در شرایط واقعی، افت سرعت کمتر است. بر روی سایت‌های وب واقعی، یک درخواست ممکن است شامل درخواست‌های زیادی برای اقلام استاتیک سایت مانند تصاویر، Stylesheet ها و مانند آن باشد. با استفاده از دستور زیر به mod_security خواهید گفت تا این اقلام را در نظر نداشته باشد:
SecFilter DynamicOnly به طور عمده، گلوگاه mod_security در انجام عملیات خواندن/نوشتن روی دیسک است. باید دقت کنید که هرگر حالت Debug روی یک سرویس‌دهنده کاری فعال نباشد و حالت ثبت رخداد کامل را نیز در صورتی که واقعا به آن نیازی ندارید، فعال نکنید. در مثال‌های نمایش داده شده در بالا، mod_security تنها برای ثبت رخدادهای خاصی تنظیم شده است.

سایر قابلیت‌ها

الف) chroot داخلی

در صورتی که سعی کرده باشید تا یک سرویس‌دهنده وب را در حالت chroot اجرا کنید، دیده‌اید که برخی اوقات این یک کار دشوار است. با استفاده از mod_security این پیچیدگی به کناری خواهد رفت. با یک دستور می‌توانید یک سرویس‌دهنده در حالت chroot داشته باشید:
SecChrootPath /chroot/home/web/apache تنها نکته لازم این است که مسیر سرویس‌دهنده در chroot مشابه مسیر سرویس‌دهنده در خارج از chroot باشد. مثلا برای مثال بالا باید home/web/apache/ باشد. برای اینکه حتی فرایند chroot کردن آسانتر نیز باشد، شرایطی فراهم شده است که می‌توانید یک chroot تنها حاوی اطلاعات داشته باشید. این از آنجایی امکانپذیر است که فراخوانی chroot به صورت داخلی انجام می‌گیرد.

ب) تغییر امضای سرویس‌دهنده

حمله کنندگان و اسکریپت‌های خودکار بطور دائم اطلاعات مربوط به شماره نسخه سرویس‌دهنده شما را که در متغییر server موجود در سرایند HTTP ارسال می‌گردد، جمع آوری می‌کنند. برای تغییر این مقدار شما باید کد منبع آپاچی را تغییر دهید. با استفاده از دستور زیر به راحتی خواهید توانست تا نام سرویس‌دهنده خود را تغییر دهید. البته برای استفاده از این گزینه، در صورتی که از آپاچی سری 1.3 استفاده می‌کنید، برای استفاده از این قابلیت باید mod_headers فعال باشد.
SecServerSignature "Microsoft-IIS/5.0"
اطلاعات بیشتر
برای اطلاعات بیشتر به دو لینک زیر مراجعه نمایید:

- mod_security
- Snort

منبع:


Introducing mod_security - O'Reilly Media
(alan@technotux.org)

---------- Post added at 01:15 AM ---------- Previous post was at 01:15 AM ----------

ملاحضات لازم برای سرعت

من به شخصه هرگز مشکلی با سرعت در مورد mod_security نداشته‌ام. با آزمایشاتی که انجام داده‌ام، تفاوت سرعت چیزی در حدود ۱۰ درصد بوده است. البته در شرایط واقعی، افت سرعت کمتر است. بر روی سایت‌های وب واقعی، یک درخواست ممکن است شامل درخواست‌های زیادی برای اقلام استاتیک سایت مانند تصاویر، Stylesheet ها و مانند آن باشد. با استفاده از دستور زیر به mod_security خواهید گفت تا این اقلام را در نظر نداشته باشد:
SecFilter DynamicOnly به طور عمده، گلوگاه mod_security در انجام عملیات خواندن/نوشتن روی دیسک است. باید دقت کنید که هرگر حالت Debug روی یک سرویس‌دهنده کاری فعال نباشد و حالت ثبت رخداد کامل را نیز در صورتی که واقعا به آن نیازی ندارید، فعال نکنید. در مثال‌های نمایش داده شده در بالا، mod_security تنها برای ثبت رخدادهای خاصی تنظیم شده است.

سایر قابلیت‌ها

الف) chroot داخلی

در صورتی که سعی کرده باشید تا یک سرویس‌دهنده وب را در حالت chroot اجرا کنید، دیده‌اید که برخی اوقات این یک کار دشوار است. با استفاده از mod_security این پیچیدگی به کناری خواهد رفت. با یک دستور می‌توانید یک سرویس‌دهنده در حالت chroot داشته باشید:
SecChrootPath /chroot/home/web/apache تنها نکته لازم این است که مسیر سرویس‌دهنده در chroot مشابه مسیر سرویس‌دهنده در خارج از chroot باشد. مثلا برای مثال بالا باید home/web/apache/ باشد. برای اینکه حتی فرایند chroot کردن آسانتر نیز باشد، شرایطی فراهم شده است که می‌توانید یک chroot تنها حاوی اطلاعات داشته باشید. این از آنجایی امکانپذیر است که فراخوانی chroot به صورت داخلی انجام می‌گیرد.

ب) تغییر امضای سرویس‌دهنده

حمله کنندگان و اسکریپت‌های خودکار بطور دائم اطلاعات مربوط به شماره نسخه سرویس‌دهنده شما را که در متغییر server موجود در سرایند HTTP ارسال می‌گردد، جمع آوری می‌کنند. برای تغییر این مقدار شما باید کد منبع آپاچی را تغییر دهید. با استفاده از دستور زیر به راحتی خواهید توانست تا نام سرویس‌دهنده خود را تغییر دهید. البته برای استفاده از این گزینه، در صورتی که از آپاچی سری 1.3 استفاده می‌کنید، برای استفاده از این قابلیت باید mod_headers فعال باشد.
SecServerSignature "Microsoft-IIS/5.0"
اطلاعات بیشتر
برای اطلاعات بیشتر به دو لینک زیر مراجعه نمایید:

- mod_security
- Snort

منبع:


Introducing mod_security - O'Reilly Media
(alan@technotux.org)

---------- Post added at 01:18 AM ---------- Previous post was at 01:15 AM ----------

اطلاعات بیشتر
برای اطلاعات بیشتر به دو لینک زیر مراجعه نمایید:

mod_security
(http://www.modsecurity.org/)Snort (http://www.snort.org/)

منبع:

Introducing mod_security - O'Reilly Media (http://www.onlamp.com/pub/a/apache/2003/11/26/mod_security.html)
(alan@technotux.org)

---------- Post added at 01:18 AM ---------- Previous post was at 01:18 AM ----------

اطلاعات بیشتر
برای اطلاعات بیشتر به دو لینک زیر مراجعه نمایید:

mod_security
(http://www.modsecurity.org/)Snort (http://www.snort.org/)

منبع:

Introducing mod_security - O'Reilly Media (http://www.onlamp.com/pub/a/apache/2003/11/26/mod_security.html)
(alan@technotux.org)

فایروال چیست؟
Firewall یا دیواره آتشین ، نرم افزاری است که در حدفاصل بین اینترنت و شبکه ISP و یا اینترنت و دستگاه های ما قرار می گیرد. فایروال وسیله ای است که کنترل دسترسی های افراد مختلف به یک شبکه را بر اساس سیاست امنیتی خاصی بر عهده دارد. با برنامه ریزی و سیاستگذاری یک فایروال ، کلیه دسترسی های شبکه کنترل می شود بطوریکه به برخی از درخواست ها اجازه ورود به شبکه داده و به برخی دیگر اجازه ورود داده نمی شود. یکی از اولین و مهمترین موردی که برای حفاظت از ساختمان یک اداره در نظر گرفته می شود کنترل درب های ورودی و خروجی و ورود و خروج افراد می باشد.
فایروال دقیقا همانند بازرسی هنگام ورود به یک ساختمان عمل می کند. اما فایروال نیاز به تنظیم درست دارد در صورتیکه این تنظیمات و برنامه ریزی ها به صورت نادرست انجام گیرد جلوی دسترسی ها گرفته نخواهد شد. مدیران شبکه و یا ISP ، باید بر این امر واقف باشند.

فایروال یک ضرورت اجتناب ناپذیر
در دنیای کامپیوتر لازم است نرم افزاری با قواعد و اصول مشخص و از قبل تعیین شده طراحی شود تا دستگاه های ما را از گزند سارقین اطلاعات ، هکرها ، نفوذگرها و نرم افزارها مخرب ، ویروس ها و کرم های رایانه ای در امان نگه دارد. امروزه با توجه به پیشرفت علوم رایانه ای و تکنولوژی اطلاعات و ارتباطات و نیز هجوم بی رویه و پیش بینی نشده نرم افزارها و برنامه های جاسوسی و ویروسی مخرب و پیشرفت برنامه نویسان حرفه ای ، لزوم استفاده از نرم افزارهای پیشرفته تر و تعیین اصول دفاعی قوی تر توسط متخصصین مجرب امری ضروری و اجتناب ناپذیر می باشد. بنابراین یکی از دغدغه های مدیران شبکه ها و ISP ها ، نگهبانی از مرزهای ورودی و خروجی شبکه داخلی خود با مرز شبکه جهانی اینترنت می باشد. برای نگهبانی از این مرزها ، از Firewall به معنی دیواره آتشین ، استفاده می شود.
فایروال ها یکی از عناصر اساسی در دنیای امنیت اطلاعات می باشد. بسیاری از افراد نگران هستند ونگرانی بسیاری از آنها ناشی از عدم درک درست مفهوم فایروال ، جایگاه و هدف از نصب و راه اندازی آن می باشد. در این مقاله سعی داریم به نکات اساسی در ارتباط با فایروال ها اشاراتی داشته باشیم.

---------- Post added at 02:51 PM ---------- Previous post was at 02:51 PM ----------

وظایف فایروال
۱- استفاده از تکنولوژی NAT
یکی از وظایف مهم فایروال جداسازی شبکه داخلی یک ISP از اینترنت می باشد که این کار توسط مفهومی به نام NAT انجام می شود. مهمترین هدف ارائه شده توسط تکنولوژی NAT، عدم دسترسی مستقیم کاربران اینترنتی به کامپیوترهای موجود در شبکه می باشد که اینکار از طریق اعطای آدرس های IP غیرمعتبر ( Invalid ) به کامپیوترهای داخلی شبکه انجام می شود. مدیران شبکه از این ویژگی NAT به نحو احسن ، در خصوص فایروال ها ، استفاده کرده اند. بدین صورت که به یک فایروال آدرس IP معتبر ( valid ) می دهند. بنابراین زمانیکه کامپیوترهای موجود در شبکه بخواهند به اینترنت دسترسی پیدا کنند ، ضرورت پیدا می کند که از دستگاه فایروال عبور کنند و زمانیکه درخواست آنها انجام شد باز از طریق عبور از فایروال به کامپوترهای موجود در شبکه خواهد رسید. همانطوریکه توجه کردید در اینجا فایروال مانند مانع و سد دفاعی عمل می کند.
۲- *****ینگ
یکی دیگر از وظایف مهم فایروال ها ، خاصیت *****ینگ عالی آن می باشد. می توان قواعد و قوانین خاصی را در فایروال اعمال کرد که موارد زیر را ***** وجلوی عبور آنها را بگیرد:
• *****ینگ نشانی IP : فایروال می تواند نشانی IP خاصی را ***** کند. مثلا مدیر شبکه متوجه شود که فردی از رایانه خود که دارای IP مشخصی است ، مرتبا به سرور وصل می شود و قصد سوء استفاده دارد. مدیر شبکه می تواند با استفاده از این ویژگی فایروال به این فرد اجازه ورود ندهد.
• *****ینگ دامنه ها ( Domain Name ) : همانطوریکه می دانید هر وب سروری دارای نام حوزه خاصی می باشد. فایروال می تواند جلوی دسترسی افراد را به سایت خاصی از طریق *****ینگ نام آن دامین بگیرد.
• *****ینگ پروتکل ها و پورت ها : فایروال ها می دانند که داده های رد و بدل شده از چه پورتی عبور می کنند و دارای چه نوع پروتکلی هستند. بنابراین کنترل کاملی دارند و می توانند به پورت خاص و یا به پروتکل خاصی اجازه عبور ندهد.
• *****ینگ واژه ها و عبارت های ویژه ( Packet Filtering ) : هر صفحه وبی که مشاهده می کنید و یا هر پیام ایمیلی که ارسال و دریافت می کنید ، به صورت مجموعه ای از packet ها بین دو نقطه منتقل می شوند. هر بسته اطلاعاتی شامل IP آدرس فرستنده و گیرنده می باشد. تبادل تمام اطلاعات در اینترنت به وسیله بسته بندی داده ها انجام می شود. هر بسته شامل ۳ بخش اصلی می باشد. Body ، Footerو Header می باشد. آدرس فرستنده و گیرنده ، نوع پروتکلی که انجام وظیفه می کند و شماره بسته در هدر قرار می گیرد. در بدنه هر بسته داده های فرد فرستنده که برای گیرنده ارسال می کند ، واقع شده است. در این روش *****ینگ ، در واقع بسته ها از یک صافی عبور می کنند و تماما اسکن می شوند ، اگر شامل هر مورد مشخص شده در ***** باشند ، نادیده گرفته می شوند و به مقصد نمی رسند.
توجه : از جمله روش های بسیار متداولی که توسط مهاجمان انجام می گیرد ، یافتن نقطه ورود به یک شبکه و نفوذ در آن از طریق یافتن یک پورت باز در شبکه می باشد. یکی از برنامه هایی که مورد استفاده آنها قرار می گیرد ، برنامه Telnet و اصطلاحا عمل تلنتیگ پورت باز شبکه می باشد. اگر پورتی ، اشتباها توسط مدیر شبکه بسته نشود. مهاجمان از طریق آن پورت وارد عمل شده و به اطلاعات محرمانه شبکه دسترسی پیدا می کنند و یا برنامه های مخرب خود را از طریق همان پورت بار وارد شبکه می کنند.

توپولوژی فایروال
بعد از آشنایی با مفهوم فایروال و وظایف آن نوبت به آن می رسد که توپولوژی فایروال ها را بررسی کنیم. موقعیت یابی برای فایروال و تعیین محل برای آن ، از درجه اهمیت بسیار بالایی برخوردار می باشد. برای درک بیشتر اهمیت موضوع ، مثال هایی را بیان خواهیم کرد. قبل از هر چیز به نکات مهمی که در هنگام تعیین محل و موقعیت فایروال باید بدان توجه شود دقت نمایید:
۱- موقیت قرار گیری فایروال از لحاظ فیزیکی : معمولا ، فایروال ها را در مرزهای ورودی و خروجی شبکه نصب می کنند تا فایروال هم به عنوان پوشش امنیتی مناسب برای حفاظت از شبکه داخلی باشد و هم شبکه داخلی را از شبکه عمومی ( اینترنت ) جداسازی کند.
۲- در نظر گرفتن نواحی امنیتی مختلف با قابلیت دسترسی های متفاوت : مدیران و مهندسین شبکه برحسب نیاز ، شبکه را به نواحی امنیتی متفاوت تقسیم می کنند بطوریکه هر ناحیه سطوح دسترسی خاصی به افراد می دهد و برای هر کدام از این سطوح فایروال هایی با قوانین وساستگذاری های خاصی نصب و تعریف می کنند.
۳- حفاظت لایه ای : در شبکه های بزرگی که از درجه امنیت بالایی برخوردار باشند ، معمولا داده ها از چندین فایروال عبور می کنند. بدین ترتیب لایه های امنیتی متفاوتی در موقعیت های مختلف در شبکه نصب می کنند. این ویژگی باعث می شود که در صورتی که یکی از فایروال ها دچار مشکل شود ویا اینکه یک فایروال نتوانست جلوی حمله را بگیرد، بقیه فایروال ها راه نفوذ را ببندند.
چند نوع توپولوژی :
اکثر ISP ها دارای وب سرور هستند که از طریق آن اطلاعاتی را در اختیار کاربران و مشریان خود قرار می دهند تا از طریق این وب سرور بتوانند مثلا حساب کاربری و اشتراکی- اینترنتی خود را بررسی کنند و یا به منابعی از شبکه دسترسی داشته باشند.
مدیر شبکه قصد دارد که از فایروال برای حفاظت منابع شبکه ای خود استفاده نماید. به نظر شما وب سرور را در کجا قرار دهد تا امنیت شبکه تامین شود؟ در پاسخ به این پرسش سه شیوه طراحی متفاوت در نظر گرفته می شود:
۱- خارج از فایروال ( بین اینترنت وفایروال ) : در این شیوه ، سرور مستقیما و بدون حفاظ و لایه امنیتی در معرض دید عموم قرار می گیرد. و بعد از آن یک فایروال نصب می شود. ممکن است که این شیوه طراحی برای وب سرور شما خطرناک باشد ، اما چنانچه هکرها با سوء استفاده از ضعف طراحی وب مستر بتوانند وب سرور را در کرده و به بخواهند به داخل شبکه نفوذ کنند به یک فایروال سفت و سخت مواجه خواهند شد.



2165


۲- درون فایروال ( بین فایروال و شبکه ) : در این طراحی ، وب سرور تحت حمایت کامل امنیتی فایروال قرار دارد. در این شیوه باید طراح وب و مدیر شبکه پورت های مورد نیاز و ضروری را باز بگذارد و سایر پورت ها را ببندد. در این صورت چنانچه هکری توانست از حفاظ وب نفوذ کند ، احتمال دارد که به راحتی به سایر پورت ها و منابع شبکه هم دسترسی پیدا کند.



2166


۳- میان دو فایروال : اگر وب سرور دارای منابع حساس و مهمی باشد ، وب مستر و مدیر شبکه ضرورت پیدا می کند که از این شیوه امنیتی استفاده نماید. که در واقع ترکیبی از دو حالت فوق می باشد. در این شیوه طراحی ، وب سرور تحت حمایت و کنترل کامل دو فایروال می باشد و جلوی نفوذ هر فرد سودجویی گرفته می شود.



2167


در سه حالت فوق مشاهده کردید که تنظیم و سیاستگذاری درست قواعد یک فایروال تا چه اندازه می تواند ضروری و حیاتی باشد.

برای درک بهتر مفهوم فایروال ما در شکل بالا ۴ ناحیه یا Zone را در نظر گرفته ایم :
۱- LAN یا شبکه خصوصی ( Private Network) : ناحیه ای است مخصوص مدیران شبکه وکارکنان آن ، بنابراین باید حفاظی برای آن در نظر گرفته شود که اجازه ورود داده های اینترنتی به این ناحیه داده نشود مگر به خود کارکنان شبکه.
۲- DMZ مخفف (Demilitarized Zone ) : به معنی ناحیه غیر نظامی ، ناحیه ای است که سرورهای عمومی ISP در آنجا واقع می شوند. کاربران اینترنتی با دسترسی یه این سرورها می توانند به اینترنت وصل شوند. بنابرین این سرورها در دسترس کاربران اینترنت می باشد. این سرورها می تواند DNS سرور ، وب سرور ، FTP سرور ، میل سرور و غیره باشد… توجه شود که ، این ناحیه در قلمرو حفاظتی فایروال واقع نمی شود. بنابراین باید با دقت و با یک برنامه ریزی صحیح و نیز رعایت تمام مسائل امنیتی اقدام طراحی این ناحیه کرد. این ناحیه درست همانند نمایشگاه ماشین می باشد. که تمام افراد می توانند وارد شده و از تماشا کنند بدون آنکه محدودیتی باشد.
۳- Internet یا ( Public Network ) : ناحیه ای است مربوط به کاربران اینترنتی در حال اتصال به اینترنت.
۴- مناطق محرمانه : در این ناحیه سرورهای حساس و فایل های سری وجود دارند. که در دسترس تعداد خاصی می باشد.
با این تفاصیل و با داشتن چندین ناحیه که از لحاظ سطح امنیتی بسیار متفاوت از یکدیگر هستند. باید اصولی اتخاذ شود که بتوان سطوح امنیتی مختلفی را تامین کرد و جلوی دسترسی های غیر مجاز را گرفت. اولین قدمی که باید برداشت گذاشتن فایروال ها با قواعد تعریف شده معین و در لبه ورودی و خروجی این نواحی می باشد.


file:///C:/Users/Tike/AppData/Local/Temp/moz-screenshot.png

فایروال های شخصی
فایروال های شخصی ، فایروال هایی هستند که بر روی رایانه های شخصی نصب می شوند.
یکی از کاربردهای مهم فایروال های شخصی در کامپیوتر موجود در شبکه ، از یک طرف فراهم آوردن سطح امنیت پیشنهادی توسط صاحب آن کامپیوتر می باشد و از طرف دیگر از آنجایی که امروزه بسیاری از حملات از درون شبکه انجام می شوند ، فایروال شبکه برای اینجور حملات مفید می باشد. بر اساس برخی آمارهای منتشر شده ، اغلب آسیب ها و تهدیدات در شبکه یک سازمان توسط کارکنان کنجکاو و یا ناراضی صورت می پذیرد تا از طریق مهاجمان خارج از شبکه. لذا داشتن یک فایروال شخصی علاوه بر فایروال بسیار مفید می باشد.
یکی از این فایروال ها ، فایروال ویندوز می باشد ( icf ) این فایروال به عنوان نزدیکترن لایه دفاعی به سیستم ما می باشد. فایروال ویندوز در نسخه های جدید ماکروسافت ( مثلا در ویندوز ۲۰۰۳ سرور سرویس پک ۱ و ویندوز ایکس پی سرویس پک ۲ ) با قابلیت بیشتر وکارایی بهتری عرضه شده است.

نحوه نصب و راه اندازي فايروال APF
در اين مقاله با نحوه نصب، راه اندازي و تنظيمات اوليه فايروال Advanced Policy Firewall كه با نام APF شناخته مي شود آشنا خواهيد شد.


فايروال APF چيست؟
فايروال APF يك ديواره آتشي مبتني بر iptables است كه براي رشته سيستم عامل هاي لينوكس طراحي شده است. APF يكي از قدرتمندترين فايروال هاي سيستم عامل لينوكس شناخته مي شود و استفاده از اين نرم افزار كاملاً رايگان است.
APF توسط شبكه R-fx توسعه داده شده و نگهداري مي شود.

اين مقاله آموزشي نحوه نصب و تنظيمات APF را براي شما توضيح مي دهد. پيشنهاد مي شود قبل از هرگونه اقدامي، اطلاعاتي را در رابطه با فايروال هاي لينوكسي كسب كنيد.

موارد مورد نياز:
- دسترسي با يوزر Root بصورت SSH به سرور مورد نظر

قبل از شروع:
- از طريق SSH بوسيله بر نامه اي مانند PuttY به سرور مورد نظر وصل شده و دسترسي خود بصورت Root بودن را با دستور su تست و در صورت نياز ارتقاء دهيد.

مراحل نصب و پيكربندي APF:
1- با استفاده از دستور cd به شاخه اي كه مي خواهيد فايل هاي برنامه را در آن قرار دهيد وارد شويد.
2- با استفاده از دستور Wget آخرين نسخه برنامه را در شاخه مورد نظر دانلود كنيد:

کد:

wget http://www.rfxnetworks.com/downloads/apf-current.tar.gz


3- با استفاده از دستور مقابل فايل دانلود شده را از حالت فشرده خارج كنيد:

کد:

tar -xvzf apf-current.tar.gz

4- با استفاده از دستور cd به شاخه unzip شده وارد شويد.
5- عمل نصب را با استفاده از دستور زير شروع كنيد:

کد:

./install.sh


پس از وارد كردن دستور بالا پيام هاي زير نمايش داده مي شود:

کد:

Installing APF 0.9.7-1: Completed.

Installation Details:
Install path: /etc/apf/
Config path: /etc/apf/conf.apf
Executable path: /usr/local/sbin/apf
AntiDos install path: /etc/apf/ad/
AntiDos config path: /etc/apf/ad/conf.antidos
DShield Client Parser: /etc/apf/extras/dshield/

6- با استفاده از دستور زير سراغ Config و پيكربندي فايروال APF مي رويم:

کد:

pico /etc/apf/conf.apf

nano /etc/apf/conf.apf

نكته: تنظيماتي كه در اينجا آموزش داده مي شود كامل نيستند و براي اطلاعات بيشتر مي توانيد به فايل Read Me خود برنامه مراجعه كنيد.
7- پايگاه اينترنتي DShield.org مرجع مناسبي براي شناسائي شبكه هاي خرابكار و بستن دسترسي آنها به سرور شما است. براي اينكه فايروال APF از ديتابيس اين سايت براي جلوگيري از دسترسي خرابكاران شناسائي شده و معروف به سرور شما استفاده كند، كافي است تنظيمات بخش USE_DS=0 را از 0 به 1 تغيير دهيد.
8- تعريف پورت هاي مجاز براي CPanel:

کد:

Common ingress (inbound) ports
# Common ingress (inbound) TCP ports -3000_3500 = passive port range for Pure FTPD
IG_TCP_CPORTS="21,22,25,53,80,110,143,443,2082,208 3, 2086,2087, 2095, 2096,3000_3500"
#
# Common ingress (inbound) UDP ports
IG_UDP_CPORTS="53"

Common egress (outbound) ports
# Egress filtering [0 = Disabled / 1 = Enabled]
EGF="1"

# Common egress (outbound) TCP ports
EG_TCP_CPORTS="21,25,80,443,43,2089"
#
# Common egress (outbound) UDP ports
EG_UDP_CPORTS="20,21,53"


نكته: پورت هاي ذكر شده بسته به نياز شما قابل حذف، افزايش و تغيير است.
9- از محيط ويرايش خارج شده و براي شروع به كار فايروال APF از دستور زير در خط فرمان استفاده مي كنيم:

کد:

/usr/local/sbin/apf -s


نكته: براي آشنائي به ديگر Command هاي فايروال APF مي توانيد در خط فرمان از دستور زير استفاده كنيد:

کد:

/usr/local/sbin/apf -h


10- فايروال APF پس از نصب يك زمانبندي براي شما مي سازد كه بعد از 5 دقيقه Restart مي شود. شما مي توانيد براي كارائي بهتر فايروال اين زمان را به صفر تغيير دهيد. براي اين منظور كافي است با استفاده از دستور pico /etc/apf/conf.apf به تنظيمات APF رفته و گزينه DEVM=1 را از 1 به صفر تغيير دهيد.
11- تنظيمات آنتي داس (Anti Dos) براي فايروال APF:
در فايروال APF به منظور جلوگيري از حملات موسوم به DDos بخشي با عنوان AntiDos در مسير /etc/apf/ad قرار داده شده است براي ورود به پيكربندي آن از دستور زير مي توانيد استفاده كنيد:

کد:

pico /etc/apf/ad/conf.antidos

nano /etc/apf/ad/conf.antidos

* در قسمت CONAME=Your Company به جاي Your Company مي توانيد نام شركت خود را قرار دهيد.
* براي اينكه هنگام حمله اطلاعات آن براي شما ارسال شود در قسمت USR_ALERT=0 عدد صفر را به يك تغيير دهيد.
* آدرس ايميلي كه قرار است اطلاعات حمله به آن ارسال شود را در قسمت USR=your@email.com و بجاي your@email.com قرار دهيد.
نكته: پس از تغييرات، ذخيره و خروج از بخش تنظيمات AntiDos، حتماً يكبار فايروال APF را با استفاده از دستور زير Restart كنيد:

کد:

/usr/local/sbin/apf -r

12- براي بررسي Log هاي فايروال مي توانيد از tail -f /var/log/apf_log استفاده كنيد.
13- براي اينكه APF در هر بار Reboot شدن سيستم بصورت خودكار اجراء شود، دستور زير را در خط فرمان بنويسيد:

کد:

chkconfig --level 2345 apf on

14- براي بستن و Block كردن يك آدرس IP در فايروال APF از دستور زير استفاده كنيد:

کد:

/etc/apf/apf -d IPHERE

نكته: ليست IP هاي مسدود شده در مسير /etc/apf/deny_hosts.rules قرار دارد.
15- براي باز كردن يك آدرس IP مسدود شده در فايروال APF از دستور زير استفاده كنيد:

کد:

/etc/apf/apf -u IPHERE


منبع : {آموزش} نحوه نصب و راه اندازي فايروال apf - PersianAdmins (http://forum.persianadmins.ir/showthread.php?t=9027)

---------- Post added at 01:54 PM ---------- Previous post was at 01:50 PM ----------


جلوگیری از حملات DDOS

همانطوری که میدانید مقابل حملاتی از قبیل dos,ddos را به طور ۱۰۰% نمیتوان گرفت، هیچ سروری در مقابل این گونه حملات پایدارو امن نیست . این اسکریپت پورت ۸۰ سرور را از نظر تعداد اتصالاتی که به آن وصل شده است چک و بررسی میکند که باعث میشود ادمین(مدیر) سرور سریعتر به حل مشکل بپردازد.
برای نصب مراحل زیر را دنبال میکنیم…
۱- ابتدا وارد SSH به وسیله کاربر ریشه rootشوید.
۲- اسکریپت را دریافت میکنیم:


wget http://www.inetbase.com/scripts/ddos/install.sh
3- نصب را آغاز میکنیم:


./install.sh
یا


sh install.sh
نصب به اتمام رسید،
برای اجرای این اسکریپت دستورات زیر را به ترتیب وارد میکنیم:


cd /usr/local/ddos/


./ddos.sh
برای ویرایش فایل پیکربندی اسکریپت :


nano /usr/local/ddos/ddos.conf



---------- Post added at 01:56 PM ---------- Previous post was at 01:54 PM ----------


نصب دیوار آتشین CSF



دستورات زیر را دنبال کنید
ابتدا فایل را دانلود میکنیم


wget http://www.configserver.com/free/csf.tgz
فشردگی خارج میکنیم



tar -zxf csf.tgz
وارد دایرکتوری این برنامه میشویم:



cd csf
نصب را آغاز میکنیم:



sh install.sh
برای غیر فعال کردن APF+BFD از دستور زیر استفاده نمایید:



sh disable_apf_bfd.sh


آدرس پیکربندی فایروال:



/etc/csf/

برخی از تنظیمات این فایروال، مختص عزیزانی که از کنترل پنل هاستینگ همچون Cpanel,directadmin استفاده میکنند:

روی دکمه Firewall Configuration کلیک نمایید
سپس تغییرات زیر را اعمال نمایید:



ETH_DEVICE =eth+

که اگر سرور مجازی هستید بجای مقدار بالا venet0 رو قرار دهید
TCP_IN/TCP_OUT/UDP_IN/UDP_OUT= این مربوط به پورت هاتون میشه
فیلد های زیر هم دارای این مقادیر باشند


MONOLITHIC_KERNEL= 1
LF_DSHIELD= 86400
LF_SCRIPT_ALERT= 1
LF_SCRIPT_LIMIT= 250

TESTING = 0

دکمه Changes کلیک نمایید و سپس برای ریستارت کردن فایروال روی دکمه Restarting csf+lfd کلیک نمایید.


---------- Post added at 01:58 PM ---------- Previous post was at 01:56 PM ----------


بن کردن IP در IPTables



چگونه میتوانیم در IPtables ای پی بن کنیم!؟
برای بن کردن ای پی دستور زیر را وارد نمایید:


iptables -A INPUT -p all -s IPHERE/32 -j DROP



برای خارج کردن از بن :


iptables -D INPUT -p all -s IPHERE/32 -j DROP


چه ای پی هایی به سرور متصل هستن؟
با دستور زیر ۵ ای پی اخر رو میتونین ببینین:


netstat -atnp -A inet | grep “:80″ | awk -F ” ” ‘{print $5} ‘ | awk -F “:” ‘{print $1}’ | sort | uniq -c | sort -nr | head -5



برای گرفتن لیست تمام ای پی ها دستور های زیر را بزنین :


netstat -nap | grep ESTABLISHED | wc -l
netstat -nap | grep SYN | wc -l


netstat -nap | grep TIME_WAIT | wc -l



توضیحات :
بجای IPHERE ای پی مورد نظر را وارد نمایید ….

---------- Post added at 02:07 PM ---------- Previous post was at 01:58 PM ----------


ده نکته برای امنیت بیشتر در سرورهای لینوکس




۱- از کلمات عبور پیچیده استفاده کنید
کلمات عبور ساده بزرگترین مشکل امینتی را برای سرور شما به وجود می آورند. داشتن کلمات عبور امن و پیچیده (چه برای خود سرور و چه برای کاربرانی که روی سرور قرار دارند) بسیار با اهمیت است.به عنوان مثال اگر کاربر شما ازکلمه ی عبور ی استفاده کند که به راحتی توسط هکر ها قابل حدث زدن باشد در وحله ی اول باعث deface شدن سایت خود شده و اعتبار شرکت شما رو زیر سوال می برد دوم ممکن است از طریق این سایت برای ارسال ویروس و هرزنامه استفاده بشه یا بویسله ی local exploit ها به بقیه سایت ها آسیب برسونه.
* شما می تونید با ویرایش تنظیمات مربوط به کلمات عبور در فایل /etc/login.defs بر اساس نوع کار شما با سرور و درجه ی امنیتی که برای خود در نظر می گیرید کاربران مجبور به داشتن کلمات عبور ایمن کنید.توضیحات کامل در مورد هر یک از پارامتر های فایل login.defs داخل خود فایل و در بالای هر کدام از پارامتر ها موجود می باشد.
معمولا کلمات عبور باید حداقل ۸ حرفی و شامل حرف – عدد و علائم باشند. هیچ وقت از کلمات معنی دار یا تاریخ های مهم استفاده نکنید. اگر می خواهید امن بودن کلمه عبور خود را بررسی کنید می تونید اون را با استفاده از این نرم افزار (John the Ripper password cracker (http://www.openwall.com/john)) تست کنید . اگر ظرف ? – ? ساعت کلمه عبور شما crack شد یعنی کلمه عبور شما امن نیست.
همین سایت یک ابزار دیگه برای بررسی طول کلمات عبور کاربران سرور ساخته است بوسیله ی (passwdqc - password/passphrase strength checking and policy enforcement toolset for your servers and software (http://www.openwall.com/passwdqc)) می توانید لیست کاربرانی که از کمات عبور نا امن استفاده میکنند را پیدا کنید و به آنها هشدار دهید .
?- پروتکل SSH شما Secure است؟
سعی کنید همیشه از برای ورود به سرور از public key authentication استفاده کنید وهیچ وقت دسترسی SSH را برای عموم باز نگذارید. اگر از putty (http://putty.nl/)استفاده می کنید می توانید نرم افزار putty agent را نصب کرده و key های SSH خود را مدیریت کنید.
همیشه پورت SSH را عوض کنید .معمولا طرف ابتدا به دنبال پورت ۲۲ می گرده و اگر اطلاعات کافی در مورد سرور شما نداشته باشه از دسترسی به ssh نا امید خواهد شد . لذا هیچ وقت ssh را روی پورت ۲۲ باز نگذارید. می توانید پورت ssh را از طریق ویرایش فایل etc/ssh/sshd_config به یک پورت باز دیگر مثلا ???? تغییر دهید. port 1654
از پروتکل ۲ استفاده کنید . اگر از putty استفاده می کنید این نرم افزار قابلیت پشتیبانی از هر دو پروتکل را دارست پس نگرانی وجود ندارد . در همین فایل etc/ssh/sshd_config می توانید خط Protocol 2. را تایپ کنید.
در اکثر سیستم های لینوکس میتوانید محدودیت هایی را روی دستری های shell اعمال کنید . با استفاده از تنظیماتی که در /etc/security/limits.conf وجود دارد می توانید محدودیت های بسیار جالب را برای تک تک کاربران shell ایجاد کنیدتا استفاده ی نابجای آنها با استفاده وارد آوردن فشار بیش از حد به سرور شما و down شدن آن نشود .
۳- وب سرور خود را secure کنید
مهمترین قسمتی که با عموم کاربران در ارتباط است و بیشتر مورد حمله و نفوذ قرار می گیرد همان webserver است .
یکی از بهترین ماژول هایی که برای جلوگیری از استفاده ی نابجا از وب سرور استفاده می شود mod_security است که در همین وب لاگ بار ها در موردش صحبت کردیم. البته خود اون فقط یک ابزاره و بقیش برمیگرده به هنر مدیر سرور در طراحی یک سری rule مناسب مخصوص اون سرور برای اطلاعات بیشتر به سایت های http://www.modsecurity.org (http://www.modsecurity.org/) و http://www.gotroot.com (http://www.gotroot.com/) سر بزنید.
توجه کنید که همیشه موقع compile کردن apache گزینه ی suexec حتما فعال باشد. فعال کردن این گزینه به معنی اجرا شدن اسکریپت های CGI تحت owner خود (مالک فایل) می باشد. این گزینه باعث جلوگیری از دسترسی فایل های CGI به فایل های سیستم میشه و همچنین برای جلوگیری از فایل هایی که باعث در سرور می شود بسیار مناسب است.
همچنین بعضی ها اعتقاد داند که باید PHPsuexec هم روی سرور فعال باشه این گزینه باعث میشه که فایل های php هم تحت کاربر خودشون اجرا بشن و با عث بالا بردن امنیت فایل های سیستمی و جلوگیری از استفاده نا بجا از این گونه اسکریپت ها میشه .
می تونید apache رو بوسیله ی دستور /scripts/easyapach که به شما محیط نیمه گرافیکی میده یا با استفاده از خود whm که محیط کاملا گرافیکی داره compile کنید.
با استفاد از فعال کردن گزینه ی open_basedir در قسمت Tweak Security در WHM دسترسی کاربران را از مشاهده ی فایل هایی که خارج پوشه ی مربوط به خودشون هست بگیرید.
اگر خیلی از امنیت سرور خود حراس دارید و نمی توانید تک تک دسترسی ها مسدود کنید می توانید به راحتی در فایل php.ini گزینه ی safe mode را فعال کنید . Safe_mode=on این گزینه هر لحظه چکمیکنه که آیا کسیکه داره این فایل رو اجرا میکنه مالک اون قسمتهست یا نه و خیلی دستورات را خود به خود مسدود میکنه . و راحت ترین راه برای بستن دسترسی های اضافی روی سروره . البته باید گم که با فعال کردن این گزینه حدود ۶۰ درصد از scriptها و کاربران به مشکل برمی خورند.
۴- پارتیشن tmp را secure کنید
بله . مخصوصا گفتم پارتیشن چون بعضی ها اصلا براش partision نمی سازند . البته اگر سرورتون را از یک دیتا سنتر درست حسابی گرفته باشید خودشون موقع نصب سیتم عامل این کار رو انجام میدن.
ولی بازهم کافی نیست در قسمت fstab سیستم باید tmp حتما با گزینه ی nosetuid بسازید یا به اصطلاح mount کنید. این گزینه باعث میشه که تک تک proccess ها با سطح دسترسی executor اجرا شوند .این سطوح دسترسی قبلا در کرنل لینوکس تعریف شده. همچنین بعد از نصب cpanel می توانید گزینه ی noexec رو هم فعال کنید. این گزینه باعث میشه که هیچ فایل اجرایی داخل tmp اجازه ی اجرا شدن نداشته باشه . بعد از اینکه این کار و انجام دادید بوسیله script از پیش آماده ی خود cpanel در آدرس /scripts/securetmp برای پارتیشن tmp خود یک symlink یا شبه لینک به /var/tmp بسازید این خودش برای حفظ امنیت tmp موثره .

---------- Post added at 02:07 PM ---------- Previous post was at 02:07 PM ----------


ده نکته برای امنیت بیشتر در سرورهای لینوکس




۱- از کلمات عبور پیچیده استفاده کنید
کلمات عبور ساده بزرگترین مشکل امینتی را برای سرور شما به وجود می آورند. داشتن کلمات عبور امن و پیچیده (چه برای خود سرور و چه برای کاربرانی که روی سرور قرار دارند) بسیار با اهمیت است.به عنوان مثال اگر کاربر شما ازکلمه ی عبور ی استفاده کند که به راحتی توسط هکر ها قابل حدث زدن باشد در وحله ی اول باعث deface شدن سایت خود شده و اعتبار شرکت شما رو زیر سوال می برد دوم ممکن است از طریق این سایت برای ارسال ویروس و هرزنامه استفاده بشه یا بویسله ی local exploit ها به بقیه سایت ها آسیب برسونه.
* شما می تونید با ویرایش تنظیمات مربوط به کلمات عبور در فایل /etc/login.defs بر اساس نوع کار شما با سرور و درجه ی امنیتی که برای خود در نظر می گیرید کاربران مجبور به داشتن کلمات عبور ایمن کنید.توضیحات کامل در مورد هر یک از پارامتر های فایل login.defs داخل خود فایل و در بالای هر کدام از پارامتر ها موجود می باشد.
معمولا کلمات عبور باید حداقل ۸ حرفی و شامل حرف – عدد و علائم باشند. هیچ وقت از کلمات معنی دار یا تاریخ های مهم استفاده نکنید. اگر می خواهید امن بودن کلمه عبور خود را بررسی کنید می تونید اون را با استفاده از این نرم افزار (John the Ripper password cracker (http://www.openwall.com/john)) تست کنید . اگر ظرف ? – ? ساعت کلمه عبور شما crack شد یعنی کلمه عبور شما امن نیست.
همین سایت یک ابزار دیگه برای بررسی طول کلمات عبور کاربران سرور ساخته است بوسیله ی (passwdqc - password/passphrase strength checking and policy enforcement toolset for your servers and software (http://www.openwall.com/passwdqc)) می توانید لیست کاربرانی که از کمات عبور نا امن استفاده میکنند را پیدا کنید و به آنها هشدار دهید .
?- پروتکل SSH شما Secure است؟
سعی کنید همیشه از برای ورود به سرور از public key authentication استفاده کنید وهیچ وقت دسترسی SSH را برای عموم باز نگذارید. اگر از putty (http://putty.nl/)استفاده می کنید می توانید نرم افزار putty agent را نصب کرده و key های SSH خود را مدیریت کنید.
همیشه پورت SSH را عوض کنید .معمولا طرف ابتدا به دنبال پورت ۲۲ می گرده و اگر اطلاعات کافی در مورد سرور شما نداشته باشه از دسترسی به ssh نا امید خواهد شد . لذا هیچ وقت ssh را روی پورت ۲۲ باز نگذارید. می توانید پورت ssh را از طریق ویرایش فایل etc/ssh/sshd_config به یک پورت باز دیگر مثلا ???? تغییر دهید. port 1654
از پروتکل ۲ استفاده کنید . اگر از putty استفاده می کنید این نرم افزار قابلیت پشتیبانی از هر دو پروتکل را دارست پس نگرانی وجود ندارد . در همین فایل etc/ssh/sshd_config می توانید خط Protocol 2. را تایپ کنید.
در اکثر سیستم های لینوکس میتوانید محدودیت هایی را روی دستری های shell اعمال کنید . با استفاده از تنظیماتی که در /etc/security/limits.conf وجود دارد می توانید محدودیت های بسیار جالب را برای تک تک کاربران shell ایجاد کنیدتا استفاده ی نابجای آنها با استفاده وارد آوردن فشار بیش از حد به سرور شما و down شدن آن نشود .
۳- وب سرور خود را secure کنید
مهمترین قسمتی که با عموم کاربران در ارتباط است و بیشتر مورد حمله و نفوذ قرار می گیرد همان webserver است .
یکی از بهترین ماژول هایی که برای جلوگیری از استفاده ی نابجا از وب سرور استفاده می شود mod_security است که در همین وب لاگ بار ها در موردش صحبت کردیم. البته خود اون فقط یک ابزاره و بقیش برمیگرده به هنر مدیر سرور در طراحی یک سری rule مناسب مخصوص اون سرور برای اطلاعات بیشتر به سایت های http://www.modsecurity.org (http://www.modsecurity.org/) و http://www.gotroot.com (http://www.gotroot.com/) سر بزنید.
توجه کنید که همیشه موقع compile کردن apache گزینه ی suexec حتما فعال باشد. فعال کردن این گزینه به معنی اجرا شدن اسکریپت های CGI تحت owner خود (مالک فایل) می باشد. این گزینه باعث جلوگیری از دسترسی فایل های CGI به فایل های سیستم میشه و همچنین برای جلوگیری از فایل هایی که باعث در سرور می شود بسیار مناسب است.
همچنین بعضی ها اعتقاد داند که باید PHPsuexec هم روی سرور فعال باشه این گزینه باعث میشه که فایل های php هم تحت کاربر خودشون اجرا بشن و با عث بالا بردن امنیت فایل های سیستمی و جلوگیری از استفاده نا بجا از این گونه اسکریپت ها میشه .
می تونید apache رو بوسیله ی دستور /scripts/easyapach که به شما محیط نیمه گرافیکی میده یا با استفاده از خود whm که محیط کاملا گرافیکی داره compile کنید.
با استفاد از فعال کردن گزینه ی open_basedir در قسمت Tweak Security در WHM دسترسی کاربران را از مشاهده ی فایل هایی که خارج پوشه ی مربوط به خودشون هست بگیرید.
اگر خیلی از امنیت سرور خود حراس دارید و نمی توانید تک تک دسترسی ها مسدود کنید می توانید به راحتی در فایل php.ini گزینه ی safe mode را فعال کنید . Safe_mode=on این گزینه هر لحظه چکمیکنه که آیا کسیکه داره این فایل رو اجرا میکنه مالک اون قسمتهست یا نه و خیلی دستورات را خود به خود مسدود میکنه . و راحت ترین راه برای بستن دسترسی های اضافی روی سروره . البته باید گم که با فعال کردن این گزینه حدود ۶۰ درصد از scriptها و کاربران به مشکل برمی خورند.
۴- پارتیشن tmp را secure کنید
بله . مخصوصا گفتم پارتیشن چون بعضی ها اصلا براش partision نمی سازند . البته اگر سرورتون را از یک دیتا سنتر درست حسابی گرفته باشید خودشون موقع نصب سیتم عامل این کار رو انجام میدن.
ولی بازهم کافی نیست در قسمت fstab سیستم باید tmp حتما با گزینه ی nosetuid بسازید یا به اصطلاح mount کنید. این گزینه باعث میشه که تک تک proccess ها با سطح دسترسی executor اجرا شوند .این سطوح دسترسی قبلا در کرنل لینوکس تعریف شده. همچنین بعد از نصب cpanel می توانید گزینه ی noexec رو هم فعال کنید. این گزینه باعث میشه که هیچ فایل اجرایی داخل tmp اجازه ی اجرا شدن نداشته باشه . بعد از اینکه این کار و انجام دادید بوسیله script از پیش آماده ی خود cpanel در آدرس /scripts/securetmp برای پارتیشن tmp خود یک symlink یا شبه لینک به /var/tmp بسازید این خودش برای حفظ امنیت tmp موثره .

---------- Post added at 02:10 PM ---------- Previous post was at 02:07 PM ----------

۵- غیر فعال کردن compiler ها برای کاربران دیگر
۹۹ درصد کاربران نمی دونن compiler ها روی هاست به چه درد می خوه و اصلا استفاده ای از اونها ندارند پس چه بهتره برای همه ی کاربرانی که استفاده ندارند اون رو disable کنید . این کار رو می تونید در whm در قسمت Compilers Tweak انجام بدید . اکثر باگ های امینتی کشف شده نیار دارند تا همون موقع روی سرور compile بشن با غیر فعال کردن اون حال بسیاری از هکر ها رو میگیرید.
۶- از maildir به جای mailbox استفاده کنید
ما دونوع ذخیره سازی روی لینوکس داریم برای ایمیل ها . اولی به صورت mail box هست و دومی maildir که گزینه ی دوم بسیار از لحاظ امنیتی بهتره و باعث افزایش سرعت میل سرورتون هم میشه . البته در نسخه ی جدید cpanel به صورت پیش فرض maildir نصب میکنه ولی اگر سرورتون بیش از یک سال عمر داره و روش خاک نشسته بهتره همین حالا به maildir ارتقا بدید. قبلش از اطلاعاتتون backup بگیرید . بنده هیچ مسئولیتی در قبل از دست دادن اونها ندارم . می تونید از پشتیبانی دیتا سنترتون بخواید تا این کار رو انجام بده.
۷- سرویس های اضافی(services and daemons) را غیر فعال کنید
هر سرویس که روی سرور شما فعال باشه و به دیگران اجازه ی وصل شدن به اون وگرفتن اطلاعات به کاربران میده دارای باگ امینتی هست و اگر از اون استفاده نمی کنید باید اون رو ببندیدش . خود لینوکس هم یک سری سرویس های زائد(daemons) داره که برای یک سریس دهنده ی وب نیازی به اونها نیست .
سرویس های رو می تونید در /etc/xinetd.con ویرایش کنید .برای مثال سیستم اشتراک فایل (nfs/statd) یا سیستم مدیریت پرینت (cupsd) و خیلی daemonهای دیگه که توی آموزش مختصر مثل این نمی گنجه همش روبگم. از داخل whm در قسمت Service Manager می تونید سرویس هایی که نیار ندارید رو غیر فعال کنید . مثلا اگر از chat server خود cpanel استفاده نمی کنید اون رو غیر فعالش کنید چون خودش باعث مشکلاتی امنیتی خواهد شد .
این بخش از مهمترین کار هایی که باید یک مدیر سرور انجام بده .
۸- سرور خود را تحت کنترل داشته باشید یا مانیتور کنید

یک ادمین سرور باید به صورت ۲۴ ساعته کلیه قسمت های سرور (نرم افزار ها – فایل های کاربران و …) را تحت کنترل داشته باشد
اینکه نرم افزار های مورد استفاده روی سرور بروز هستند یا خیر و خیلی مسائل دیگر بسیار مهم هستند که این امر فقط با بررسی مداوم و سرکشی به صورت روزانه روی سرور ها عملی است.
البته می توانید حداقل ۹۰ درصد این کار ها را با نوشتن script های دلخواه انجام دهید و شما فقط لوگ های مربوطه را چک کنید و فقط در مواقع ضروری روی سرور لوگین کنید . در این جا برخی از command های پر استفاده رو در این ضمینه ارائه می کنم:
netstat -anp : لیست کلیه connection های باز سرور را به شما می دهد تا به دنبال پورت ها یا نرم افزار های مشکوکی که روی سرور run هستند ولی شما اجاره اجرا شدن به انها نداده اید مشاهده کنید و در صورت لزوم بوسیله firewall دسترسی انها را مسدود کنید.
find / \( -perm -a+w \) ! -type l >> world_writable.txt : این دستور لیست کلیه فایل هایی را که permission 777 دارند و توسط کلیه کاربران روی سرور قابلیت ویرایش دارند را به شما نشان میدهد (داخل فایل txtذخیره می کند) اکثر مشکلات امینی داخل همین فولدر ها اتفاق می افتد.
ls /var/log/ : اکثر لوگ فایل ها داخل پوشه var هستند شما در صورت نیاز به لوگی از از هر سرویس خاصیمی توانید در این فولدر به آن مراجعه کنید (البته لوگ های apache در فولدر /usr/local/apache/logs هست)
در کنار تمامی موارد script های زیادی هستندکه به شما در این کار ها کمک می کنند . البته چیزی که بر حسب نیاز خودتون برای خودتون بنویسید مسلما یک چیز دیگس. یک سری برنامه ها اسمشون رو می نویسم که به درد می خورند .
* Tripwire – این نرم افزاری هست که md5 کلیه فایل های مربوط به سیستم را چک می کنه و در صورتی که این فایل ها تغییر کند به شما هشدار می دهد.
Tripwire, Inc - Take Control of IT Security and Compliance (http://tripwire.com) or Open Source Tripwire (http://sourceforge.net/projects/tripwire)
* Chrookit – نرم افزاری برای پیدا کردن trojan – backdoor و غیره بر روی سرور.
chkrootkit -- locally checks for signs of a rootkit (http://www.chkrootkit.org)
* Rkhunter – نرم افزاری برای پیدا کردن trojan – backdoor و غیره بر روی سرور.
Rootkit Hunter (http://www.rootkit.nl/projects/rootkit_hunter.html)
* Logwatch – نرم افزاری برای بررسی لوگ ها و فعالیت های سرور به صورت روزانه و تهیه گزارش کامل برای شما
kaybee.org (http://logwatch.org)
9- حتما یک firewall نرم افزاری داشته باشید !!
اگر firewall سخت افزاری هم دارید باید یک فایروال جداگانه روی سرور داشته باشید .
با استفاده از firewall می تونید لیست پورت هایی که استفاده نمی شوند رو محدود کنید و با این کار حجم زیادی از نرم افزار های backdoor و … را از کار بیاندازید . همچنین با استفاده از firewall می توانید ادرس های ip خاصی را block کنید و حتی در مقابل حملات ddos اسیب ناپذیر باشید.
در زیر لیست پورت های مورد نیاز cpanel امده است( اگر سرویس دیگری ندارید می توانید بقیه پورت ها را به غیر از این ها ببندید . چون نیازی به انها ندارید ) : cPanel & WHM FAQ (http://faq.cpanel.net/show.cgi?qa=10468918040763)
بهترین firewall از نظر من روی cpanel هم نصب میشه و خوب جواب میده همون APF هست که با rule های خود لینوکس iptables کار می کنه.
اگر شما هم با این نرم افزار کار می کنید اینجا رو مطالعه کنید : cPanel & WHM FAQ (http://faq.cpanel.net/show.cgi?qa=108499296901804)
10 - همیشه بروز باشید
۸۰ در صد مشکلات امینتی در روز های اول عمرشون براشون patch و update امنیتی میاد یعنی یک bug هرچقدر هم که underground باشد بالاخره براش patch نوشته می شود پس سعی کنید که همیشه از آخرین نسخه های نرم افزار استفاده کنید . نسخه ی کرنل حداقل هر ۲ ماه یک بار باید بروز بشه بقیه نرم افزار ها باید هر هفته چک بشن و در صورت لزوم update بشوند. خود cpanel باید هر روز updateشود به دلیل اینکه هر روز شرکت سی پنل به روز می شود .

---------- Post added at 02:10 PM ---------- Previous post was at 02:10 PM ----------

۵- غیر فعال کردن compiler ها برای کاربران دیگر
۹۹ درصد کاربران نمی دونن compiler ها روی هاست به چه درد می خوه و اصلا استفاده ای از اونها ندارند پس چه بهتره برای همه ی کاربرانی که استفاده ندارند اون رو disable کنید . این کار رو می تونید در whm در قسمت Compilers Tweak انجام بدید . اکثر باگ های امینتی کشف شده نیار دارند تا همون موقع روی سرور compile بشن با غیر فعال کردن اون حال بسیاری از هکر ها رو میگیرید.
۶- از maildir به جای mailbox استفاده کنید
ما دونوع ذخیره سازی روی لینوکس داریم برای ایمیل ها . اولی به صورت mail box هست و دومی maildir که گزینه ی دوم بسیار از لحاظ امنیتی بهتره و باعث افزایش سرعت میل سرورتون هم میشه . البته در نسخه ی جدید cpanel به صورت پیش فرض maildir نصب میکنه ولی اگر سرورتون بیش از یک سال عمر داره و روش خاک نشسته بهتره همین حالا به maildir ارتقا بدید. قبلش از اطلاعاتتون backup بگیرید . بنده هیچ مسئولیتی در قبل از دست دادن اونها ندارم . می تونید از پشتیبانی دیتا سنترتون بخواید تا این کار رو انجام بده.
۷- سرویس های اضافی(services and daemons) را غیر فعال کنید
هر سرویس که روی سرور شما فعال باشه و به دیگران اجازه ی وصل شدن به اون وگرفتن اطلاعات به کاربران میده دارای باگ امینتی هست و اگر از اون استفاده نمی کنید باید اون رو ببندیدش . خود لینوکس هم یک سری سرویس های زائد(daemons) داره که برای یک سریس دهنده ی وب نیازی به اونها نیست .
سرویس های رو می تونید در /etc/xinetd.con ویرایش کنید .برای مثال سیستم اشتراک فایل (nfs/statd) یا سیستم مدیریت پرینت (cupsd) و خیلی daemonهای دیگه که توی آموزش مختصر مثل این نمی گنجه همش روبگم. از داخل whm در قسمت Service Manager می تونید سرویس هایی که نیار ندارید رو غیر فعال کنید . مثلا اگر از chat server خود cpanel استفاده نمی کنید اون رو غیر فعالش کنید چون خودش باعث مشکلاتی امنیتی خواهد شد .
این بخش از مهمترین کار هایی که باید یک مدیر سرور انجام بده .
۸- سرور خود را تحت کنترل داشته باشید یا مانیتور کنید

یک ادمین سرور باید به صورت ۲۴ ساعته کلیه قسمت های سرور (نرم افزار ها – فایل های کاربران و …) را تحت کنترل داشته باشد
اینکه نرم افزار های مورد استفاده روی سرور بروز هستند یا خیر و خیلی مسائل دیگر بسیار مهم هستند که این امر فقط با بررسی مداوم و سرکشی به صورت روزانه روی سرور ها عملی است.
البته می توانید حداقل ۹۰ درصد این کار ها را با نوشتن script های دلخواه انجام دهید و شما فقط لوگ های مربوطه را چک کنید و فقط در مواقع ضروری روی سرور لوگین کنید . در این جا برخی از command های پر استفاده رو در این ضمینه ارائه می کنم:
netstat -anp : لیست کلیه connection های باز سرور را به شما می دهد تا به دنبال پورت ها یا نرم افزار های مشکوکی که روی سرور run هستند ولی شما اجاره اجرا شدن به انها نداده اید مشاهده کنید و در صورت لزوم بوسیله firewall دسترسی انها را مسدود کنید.
find / \( -perm -a+w \) ! -type l >> world_writable.txt : این دستور لیست کلیه فایل هایی را که permission 777 دارند و توسط کلیه کاربران روی سرور قابلیت ویرایش دارند را به شما نشان میدهد (داخل فایل txtذخیره می کند) اکثر مشکلات امینی داخل همین فولدر ها اتفاق می افتد.
ls /var/log/ : اکثر لوگ فایل ها داخل پوشه var هستند شما در صورت نیاز به لوگی از از هر سرویس خاصیمی توانید در این فولدر به آن مراجعه کنید (البته لوگ های apache در فولدر /usr/local/apache/logs هست)
در کنار تمامی موارد script های زیادی هستندکه به شما در این کار ها کمک می کنند . البته چیزی که بر حسب نیاز خودتون برای خودتون بنویسید مسلما یک چیز دیگس. یک سری برنامه ها اسمشون رو می نویسم که به درد می خورند .
* Tripwire – این نرم افزاری هست که md5 کلیه فایل های مربوط به سیستم را چک می کنه و در صورتی که این فایل ها تغییر کند به شما هشدار می دهد.
Tripwire, Inc - Take Control of IT Security and Compliance (http://tripwire.com) or Open Source Tripwire (http://sourceforge.net/projects/tripwire)
* Chrookit – نرم افزاری برای پیدا کردن trojan – backdoor و غیره بر روی سرور.
chkrootkit -- locally checks for signs of a rootkit (http://www.chkrootkit.org)
* Rkhunter – نرم افزاری برای پیدا کردن trojan – backdoor و غیره بر روی سرور.
Rootkit Hunter (http://www.rootkit.nl/projects/rootkit_hunter.html)
* Logwatch – نرم افزاری برای بررسی لوگ ها و فعالیت های سرور به صورت روزانه و تهیه گزارش کامل برای شما
kaybee.org (http://logwatch.org)
9- حتما یک firewall نرم افزاری داشته باشید !!
اگر firewall سخت افزاری هم دارید باید یک فایروال جداگانه روی سرور داشته باشید .
با استفاده از firewall می تونید لیست پورت هایی که استفاده نمی شوند رو محدود کنید و با این کار حجم زیادی از نرم افزار های backdoor و … را از کار بیاندازید . همچنین با استفاده از firewall می توانید ادرس های ip خاصی را block کنید و حتی در مقابل حملات ddos اسیب ناپذیر باشید.
در زیر لیست پورت های مورد نیاز cpanel امده است( اگر سرویس دیگری ندارید می توانید بقیه پورت ها را به غیر از این ها ببندید . چون نیازی به انها ندارید ) : cPanel & WHM FAQ (http://faq.cpanel.net/show.cgi?qa=10468918040763)
بهترین firewall از نظر من روی cpanel هم نصب میشه و خوب جواب میده همون APF هست که با rule های خود لینوکس iptables کار می کنه.
اگر شما هم با این نرم افزار کار می کنید اینجا رو مطالعه کنید : cPanel & WHM FAQ (http://faq.cpanel.net/show.cgi?qa=108499296901804)
10 - همیشه بروز باشید
۸۰ در صد مشکلات امینتی در روز های اول عمرشون براشون patch و update امنیتی میاد یعنی یک bug هرچقدر هم که underground باشد بالاخره براش patch نوشته می شود پس سعی کنید که همیشه از آخرین نسخه های نرم افزار استفاده کنید . نسخه ی کرنل حداقل هر ۲ ماه یک بار باید بروز بشه بقیه نرم افزار ها باید هر هفته چک بشن و در صورت لزوم update بشوند. خود cpanel باید هر روز updateشود به دلیل اینکه هر روز شرکت سی پنل به روز می شود .

---------- Post added at 02:15 PM ---------- Previous post was at 02:10 PM ----------


افزایش امنیت سرور با RkHunter


این ابزار برای چک کردن سرور در مقابل trojan , rootkits و سایر مشکلات امنیتی استفاده میشود.. در این پست قصد آموزش نصب این ابزار به همراه تنظیمات اولیه (همچون ارائه خبر به صورت روزانه) را داریم… با ما همراه باشید
آموزش نصب
۱- وارد ssh شوید
۲- دستور زیر را برای دریافت این ابزار استفاده میکنیم



wget http://sourceforge.net/projects/rkhunter
3- فشردگی در میاوریم



tar -zxvf rkhunter-1.3.6.tar.gz
4- نصب را آغاز میکنیم



./installer.sh –install
نصب به اتمام رسید
برای تست این ابزار



/usr/local/bin/rkhunter -c
rkhunter به شما گزارش دهد:



nano /etc/cron.daily/rkhunter.sh
سپس ایمیل خود را به جای email@domain.com قرار بدهید



#!/bin/bash


(/usr/local/bin/rkhunter -c –cronjob 2>&1 | mail -s “Daily Rkhunter Scan Report” email@domain.com)
یا میتوانید اسکریپت زیر را کپی کنید:



#!/bin/sh
(
/usr/local/bin/rkhunter –versioncheck
/usr/local/bin/rkhunter –update
/usr/local/bin/rkhunter –cronjob \
–report-warnings-only
) | /bin/mail -s “rkhunter output” email@domain.com
تنظیم مجوز



chmod +x /etc/cron.daily/rkhunter.sh
آپگرید rkhunter



rkhunter –update


---------- Post added at 02:18 PM ---------- Previous post was at 02:15 PM ----------


ایجاد برخی از محدودیت ها (افزایش امنیت)


وارد SSH با کاربر ریشه شده و دستورات زیر را به ترتیب وارد نمایید:
۱- دسترسی به perl قطع شود و فقط کاربر ریشه به آن دسترسی داشته باشد



cd /usr/bin
chmod 700 perl
chown root:root perl

2- امن نمودن ln و ارائه دسترسی فقط به کاربر ریشه



cd /bin
chmod 000 ln
chown root:root ln


3- قطع نمودن برخی از سرویس ها برای کاربران



chmod 700 /usr/bin/gcc
chmod 700 /usr/bin/chattr
chmod 700 /usr/bin/w
chmod 700 /usr/bin/who
chmod 700 /usr/bin/last
chmod 700 /usr/bin/lastb
chmod 700 /usr/bin/lastlog
chmod 700 /bin/rpm
chmod 700 /bin/dmesg
chmod 700 /sbin/ipchains
chmod 700 /sbin/iptables
chmod 700 /sbin/sysctl
chmod 700 /sbin/shutdown
chmod 700 /sbin/reboot
chmod 700 /sbin/halt
chmod 700 /sbin/poweroff
chattr +i /bin/login
chattr +i /bin/rpm
chattr +i /bin/ps
chattr +i /bin/ls

4- log های سرور را فقط کاربر ریشه بتواند مشاهده کند:


chmod 700 /var/log
chmod 600 /var/log/messages
chmod 600 /var/log/dmesg
chmod 600 /var/log/boot.log
chmod 600 /var/log/lastlog
chmod 600 /var/log/rpmpkgs


---------- Post added at 02:21 PM ---------- Previous post was at 02:18 PM ----------


نصب mod_rewrite

1- وارد SSH شده ۲- ویرایشگر ساده و کاربردی nano در صورت نصب نبودن با دستور زیر نصب میکنیم


yum install nano
3-فایل تنظیمات آپاچی وب سرور را با ویرایشگر خود باز میکنیم


nano /etc/httpd/conf/httpd.conf
4- در این فایل مقادیر زیر را جستجو میکنیم (برای جستجو Ctrl+w )


LoadModule rewrite_module modules/mod_rewrite.so

اگر در اول این مقدار # بود، آن را پاک میکنیم! (تا فعال-خوانده شود)


AllowOverride none

را به مقدار زیر تفییر میدهیم


AllowOverride All

5- کار به اتمام رسید، حال وب سرور آپاچی را مجددا” راه اندازی میکنیم :


service httpd restart
چگونه این مد را برای یک یوزر اکانت فعال کنیم؟
فایل .htaccess را باز کنید و مقادیر زیر را در آن قرار دهید

Options +FollowSymLinks
RewriteEngine On
کار به اتمام رسید.

---------- Post added at 02:23 PM ---------- Previous post was at 02:21 PM ----------


بن کردن IP در IPTables

برای بن کردن یک ادرس آی پی ، از یکی از دستورات زیر استفاده میکنیم:


iptables -D OUTPUT -p all -s IP.ADDRESS.HERE -j DROP

iptables -D INPUT -p all -s IP.ADDRESS.HERE -j DROP
از بن ، خارج کردن:


iptables -D INPUT -p all -s IP.ADDRESS.HERE -j DROP
IP.ADDRESS.HERE آی پی مورد نظر شماست
سرویس مورد نظر را بازسازی میکنیم


service iptables save

service iptables restart


---------- Post added at 02:24 PM ---------- Previous post was at 02:23 PM ----------


بن کردن IP در IPTables

برای بن کردن یک ادرس آی پی ، از یکی از دستورات زیر استفاده میکنیم:


iptables -D OUTPUT -p all -s IP.ADDRESS.HERE -j DROP

iptables -D INPUT -p all -s IP.ADDRESS.HERE -j DROP
از بن ، خارج کردن:


iptables -D INPUT -p all -s IP.ADDRESS.HERE -j DROP
IP.ADDRESS.HERE آی پی مورد نظر شماست
سرویس مورد نظر را بازسازی میکنیم


service iptables save

service iptables restart


---------- Post added at 02:29 PM ---------- Previous post was at 02:24 PM ----------


افزایش امنیت



سوال: چگونه میتوانم option های پیشرفته ای مرتبط با پشته tcp/ip و virtual memory تغییر و set کنم که علاوه بر بالا بردن کارایی سیستم امنیت را هم افزایش دهد؟
پاسخ این سوال را در ادامه مطلب مشاهده کنید، در این پست قصد داریم تغییراتی را در /etc/sysctl.conf اعمال کنیم.

sysctl یک اینترفیسی است که به ما اجازه میدهد تغییراتی را در اجرای کرنل لینوکس اعمال کنیم.
با /etc/sysctl.conf میتوانید تغییرات مختلفی را در شبکه لینوکس و تنظیمات لینوکس اعمال کرد، به طور مثال:
- محدود کردن تنظیمات network-transmitted برای IPv4
- محدود کردن تنظیمات network-transmitted برای IPv6
- روشن کردن حفاظت execshield
- روشن کردن اطلاعات IP address تایید شده
- جلوگیری در برابر syn flood attack’
- جلوگیری از یک کرکر جهت spoofing attack در برابر IP address سرور
- انواع لاگ های بسته های مشکوک ، به طور مثال: spoofed packets, source-routed packets, and redirects.
دستور sysctl
این دستور برای ایجاد تغییرات در برخی از پارامتر های کرنل لینوکس در هر لحظه استفاده میشود. /etc/sysctl.conf که فایل با فرمت متنی است که حاوی مقادیر sysctl است.
برای نمایش این مقادیر دستورات زیر استفاده میکنیم:


sysctl -a
sysctl -A
sysctl mib
sysctl net.ipv4.conf.all.rp_filter
برای اجرای تغییرات دستور زیر استفاده میکنیم:


sysctl -p
یک نمونه از فایل /etc/sysctl.conf
این مقادیر برای FTP server, webserver های اختصاصی است.
Dedicated *
در مقادیر زیر ۰ به معنای غیر فعال/no / false است
در مقادیر زیر هر عددی جز صفر به معنای فعال /yes / true است


# Controls IP packet forwarding
net.ipv4.ip_forward = 0

# Controls source route verification
net.ipv4.conf.default.rp_filter = 1

# Do not accept source routing
net.ipv4.conf.default.accept_source_route = 0

# Controls the System Request debugging functionality of the kernel
kernel.sysrq = 0

# Controls whether core dumps will append the PID to the core filename
# Useful for debugging multi-threaded applications
kernel.core_uses_pid = 1

# Controls the use of TCP syncookies
#net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_synack_retries = 2

########## IPv4 networking start ##############
# Send redirects, if router, but this is just server
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0

# Accept packets with SRR option? No
net.ipv4.conf.all.accept_source_route = 0

# Accept Redirects? No, this is not router
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0

# Log packets with impossible addresses to kernel log? yes
net.ipv4.conf.all.log_martians = 1
net.ipv4.conf.default.accept_source_route = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.default.secure_redirects = 0

# Ignore all ICMP ECHO and TIMESTAMP requests sent to it via broadcast/multicast
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Prevent against the common ‘syn flood attack’
net.ipv4.tcp_syncookies = 1

# Enable source validation by reversed path, as specified in RFC1812
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1

########## IPv6 networking start ##############
# Number of Router Solicitations to send until assuming no routers are present.
# This is host and not router
net.ipv6.conf.default.router_solicitations = 0

# Accept Router Preference in RA?
net.ipv6.conf.default.accept_ra_rtr_pref = 0

# Learn Prefix Information in Router Advertisement
net.ipv6.conf.default.accept_ra_pinfo = 0

# Setting controls whether the system will accept Hop Limit settings from a router advertisement
net.ipv6.conf.default.accept_ra_defrtr = 0

#router advertisements can cause the system to assign a global unicast address to an interface
net.ipv6.conf.default.autoconf = 0

#how many neighbor solicitations to send out per address?
net.ipv6.conf.default.dad_transmits = 0

# How many global unicast IPv6 addresses can be assigned to each interface?
net.ipv6.conf.default.max_addresses = 1

########## IPv6 networking ends ##############

#Enable ExecShield protection
kernel.exec-shield = 1
kernel.randomize_va_space = 1

# TCP and memory optimization
# increase TCP max buffer size setable using setsockopt()
#net.ipv4.tcp_rmem = 4096 87380 8388608
#net.ipv4.tcp_wmem = 4096 87380 8388608

# increase Linux auto tuning TCP buffer limits
#net.core.rmem_max = 8388608
#net.core.wmem_max = 8388608
#net.core.netdev_max_backlog = 5000
#net.ipv4.tcp_window_scaling = 1

# increase system file descriptor limit
fs.file-max = 65535

#Allow for more PIDs
kernel.pid_max = 65536

#Increase system IP port limits
net.ipv4.ip_local_port_range = 2000 65000


---------- Post added at 02:29 PM ---------- Previous post was at 02:29 PM ----------


افزایش امنیت



سوال: چگونه میتوانم option های پیشرفته ای مرتبط با پشته tcp/ip و virtual memory تغییر و set کنم که علاوه بر بالا بردن کارایی سیستم امنیت را هم افزایش دهد؟
پاسخ این سوال را در ادامه مطلب مشاهده کنید، در این پست قصد داریم تغییراتی را در /etc/sysctl.conf اعمال کنیم.

sysctl یک اینترفیسی است که به ما اجازه میدهد تغییراتی را در اجرای کرنل لینوکس اعمال کنیم.
با /etc/sysctl.conf میتوانید تغییرات مختلفی را در شبکه لینوکس و تنظیمات لینوکس اعمال کرد، به طور مثال:
- محدود کردن تنظیمات network-transmitted برای IPv4
- محدود کردن تنظیمات network-transmitted برای IPv6
- روشن کردن حفاظت execshield
- روشن کردن اطلاعات IP address تایید شده
- جلوگیری در برابر syn flood attack’
- جلوگیری از یک کرکر جهت spoofing attack در برابر IP address سرور
- انواع لاگ های بسته های مشکوک ، به طور مثال: spoofed packets, source-routed packets, and redirects.
دستور sysctl
این دستور برای ایجاد تغییرات در برخی از پارامتر های کرنل لینوکس در هر لحظه استفاده میشود. /etc/sysctl.conf که فایل با فرمت متنی است که حاوی مقادیر sysctl است.
برای نمایش این مقادیر دستورات زیر استفاده میکنیم:


sysctl -a
sysctl -A
sysctl mib
sysctl net.ipv4.conf.all.rp_filter
برای اجرای تغییرات دستور زیر استفاده میکنیم:


sysctl -p
یک نمونه از فایل /etc/sysctl.conf
این مقادیر برای FTP server, webserver های اختصاصی است.
Dedicated *
در مقادیر زیر ۰ به معنای غیر فعال/no / false است
در مقادیر زیر هر عددی جز صفر به معنای فعال /yes / true است


# Controls IP packet forwarding
net.ipv4.ip_forward = 0

# Controls source route verification
net.ipv4.conf.default.rp_filter = 1

# Do not accept source routing
net.ipv4.conf.default.accept_source_route = 0

# Controls the System Request debugging functionality of the kernel
kernel.sysrq = 0

# Controls whether core dumps will append the PID to the core filename
# Useful for debugging multi-threaded applications
kernel.core_uses_pid = 1

# Controls the use of TCP syncookies
#net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_synack_retries = 2

########## IPv4 networking start ##############
# Send redirects, if router, but this is just server
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0

# Accept packets with SRR option? No
net.ipv4.conf.all.accept_source_route = 0

# Accept Redirects? No, this is not router
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0

# Log packets with impossible addresses to kernel log? yes
net.ipv4.conf.all.log_martians = 1
net.ipv4.conf.default.accept_source_route = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.default.secure_redirects = 0

# Ignore all ICMP ECHO and TIMESTAMP requests sent to it via broadcast/multicast
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Prevent against the common ‘syn flood attack’
net.ipv4.tcp_syncookies = 1

# Enable source validation by reversed path, as specified in RFC1812
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1

########## IPv6 networking start ##############
# Number of Router Solicitations to send until assuming no routers are present.
# This is host and not router
net.ipv6.conf.default.router_solicitations = 0

# Accept Router Preference in RA?
net.ipv6.conf.default.accept_ra_rtr_pref = 0

# Learn Prefix Information in Router Advertisement
net.ipv6.conf.default.accept_ra_pinfo = 0

# Setting controls whether the system will accept Hop Limit settings from a router advertisement
net.ipv6.conf.default.accept_ra_defrtr = 0

#router advertisements can cause the system to assign a global unicast address to an interface
net.ipv6.conf.default.autoconf = 0

#how many neighbor solicitations to send out per address?
net.ipv6.conf.default.dad_transmits = 0

# How many global unicast IPv6 addresses can be assigned to each interface?
net.ipv6.conf.default.max_addresses = 1

########## IPv6 networking ends ##############

#Enable ExecShield protection
kernel.exec-shield = 1
kernel.randomize_va_space = 1

# TCP and memory optimization
# increase TCP max buffer size setable using setsockopt()
#net.ipv4.tcp_rmem = 4096 87380 8388608
#net.ipv4.tcp_wmem = 4096 87380 8388608

# increase Linux auto tuning TCP buffer limits
#net.core.rmem_max = 8388608
#net.core.wmem_max = 8388608
#net.core.netdev_max_backlog = 5000
#net.ipv4.tcp_window_scaling = 1

# increase system file descriptor limit
fs.file-max = 65535

#Allow for more PIDs
kernel.pid_max = 65536

#Increase system IP port limits
net.ipv4.ip_local_port_range = 2000 65000

امن نمودن HTTP به وسیله SSL

پورت ۴۴۳ چیست ؟
پورت ۴۴۳ برای امن نمودن HTTP استفاده میشود و تمام درخواست های https:// به پورت ۴۴۳ فرستاده میشوند و connection link نیز رمزنگاری خواهد شد. برای نصب https شما به گواهینامه SSL نیاز دارید (نصب OpenSSL) که پس از انجام این کارها میتوانید با تایپ آدرس های https://yoursite.com یا https://ipaddress/ به سایت ایمن خود متصل شوید.
گواهینامه ssl توسط CA امضا شود. (certificate authority) سایت شما به شکل یک قفل که نمایان گر امن بودن سایت شما است نمایش داده میشود.

---------- Post added at 05:57 PM ---------- Previous post was at 05:56 PM ----------

برای این کار ابتدا وارد SSH شده و فایل پیکربندی آن را با یکی از ویرایشگر ها مانند nano باز کنید:


nano /etc/ssh/sshd_config

SSH خود را امن کنید


۱- پورت SSH را تغییر دهید:
خط زیر را پیدا کرده:



#Port 22
# را از ابتدای آن برداشته و بجای ۲۲ یک عددی را به عنوان پورت SSH وارد کنید: به طور مثال



port 4444
دقت داشته باشید که پورت جدید را در tcp_out و tcp_in فایروال خود قرار دهید.
۲- SSH از protocol2 استفاده کند:
خط زیر را پیدا کرده :



#Protocol 2, 1
به خط زیر تغییردهید:



Protocol 2


---------- Post added at 06:02 PM ---------- Previous post was at 05:57 PM ----------


راه های مقابله با حملات DOS/DDoS

شاید به جراًت بتوان گفت که مهم ترین دغدغه ی یک مدیر سرور مقابله با حملات DDOS/DOS است. در این پست قصد داریم چندین روش برای مقابله با این نوع حملات به شما ارائه دهیم. البته ناگفته نماند که هیچگاه نمیتوان به طور ۱۰۰% جلوی اینگونه از حملات را گرفت.



تمام عملیات های این پست به صورت نرم افزاری است.
۱- نصب و راه اندازی Dos_Deflate
این ابزار این قابلیت را به شما میدهد که بوسیله آن بتوانید یک سری اطلاعات از IP هایی که به سرور متصل هستند بدست بیاورید. که هر IP چند Connection دارد و این که هر IP چندتا Connectrion بتواند داشته باشد. همینطور شما میتوانید در تنظیمات این ابزار تعیین کنید که گزارش را به ایمیل شما ارسال کند.
دانلود کنید:



wget http://www.inetbase.com/scripts/ddos/install.sh
عملیات نصب را آغاز میکنیم:



sh install.sh
برای اجرا دستور زیر استفاده میکنیم:



sh /usr/local/ddos/ddos.sh
تنظیم DOS_Deflate :
فایل پیکربندی را با یک ویرایشگر باز میکنیم:



nano /usr/local/ddos/ddos.conf
مقدار زیر را قرار پیدا و به صورت زیر ویرایش کرده:



EMAIL_TO=”your_email@domain.com”
بجای your_email@domain.com ایمیل خود را بنویسید، در این موقع، هر IP که Banned بشود به شما اخطار میدهد.
هر IP چه مقداردر دقیقه کانکشن داشته باشد:



FREQ=5

3 تا ۵ بهترین مقدار برای این پارامتر هست.
بیشترین connection که هر IP میتواند داشته باشد را مشخص کنید:



NO_OF_CONNECTIONS=100
مقدار بین ۱۰۰ تا ۲۰۰ میتواند بهترین مقدار باشد.
در Dos_Deflate توسط APF بن کنید:
اگر فایروال APF نصب دارید میتوانید این مقدار را برابر با یک قرار دهید. اگر نه توسط CSF یا … عملیات Ban کردن را انجام میدهید برابر با صفر قرار دهید.



APF_BAN=0
اگر میخواهید IP مورد نظر توسط DOS_Deflate بن شود مقدار زیر را برابر با یک قرار دهید در غیر این صورت صفر بگذارید



KILL=1
IP Address های متخلف چه مقدار در حالت معلق باقی بمانند؟



BAN_PERIOD=700
بهترین مقدار ۳۰۰ تا ۱۱۰۰ است.
۲- بهینه سازی وب سرور Apache :
البته پیشنهاد ما این است که شما از وب سرور های قدرتمند دیگری همچون Litespeed یا nginx استفاده کنید.
ابتدا با دستور زیر فایل پیکربندی آپاچی وب سرور را پیدا کنید:



locate httpd.conf
مقدار Timeout را کمتر کنید:
توضیحات تمام این پارامتر ها در مقاله آموزش وب سرور فارسی (نوشته پیمان قربانی) داده شده است. اما در این پست به طور خلاصه توضیح میدهیم.



Timeout 200
مقدار KeepAliveTime را کمتر کنید:
KeepAliveTime به معنای حداکثر انتظار وب سرور برای پاسخ به کاربر میباشد.



KeepAliveTime 10
قابلیت KeepAlive را خاموش کنید:
KeepAlive Off اگریک Connection بیشتر از یک درخواست دارد به طور مدام به آن اجازه ندهد. در واقع KeepAlive وظیفه اش زنده نگه داشتن Connection است.



KeepAlive Off

مقدار MaxClients را کمتر کنید:
MaxClients به معنای : بیشترین تعداد پروسس هایی که هر Client میتواند داشته باشد.



MaxClients 50
نصب و پیکربندی mod_evasive
یکی از راه های مقابله با حملات Dos استفاده از mod_evasive است. این ابزار یک ماژول تحت Apache و برای سرورهای لینوکس است که درخواست ها را کنترل می کند و از جاری شدن سیل عظیم آن (Flood) جلوگیری می کند. این کار بر اساس تعداد درخواست های مجاز تعیین شده در بخش تنظیمات صورت می گیرد. این ماژول آدرس IP که بیش از حد مجاز درخواست می فرستد را بصورت پیش فرض برای ۱۰ دقیقه مسدود (Block) می کند که این مقدار نیز قابل تغییر است.
mod_evasive نسخه به روز شده همان ماژول mod_dosevasive است که در تاریخ Feb 1 2005 بصورت استفاده عمومی ارائه شده است.
نکته: این ماژول مشکلاتی را با Frontpage Server Extensions دارد و احتمال از کار انداختن آن را ایجاد می کند.
در ضمن پیشنهاد میشود Frontpage بر روی سرور خود پاک و یا غیر فعال کنید.



cd /usr/local/src
wget http://www.zdziarski.com/projects/mod_evasive/mod_evasive_1.10.1.tar.gz
tar -zxvf mod_evasive_1.10.1.tar.gz
cd mod_evasive
apxs -cia mod_evasive20.c

در فایل پیرکبرندی وب سرور آپاچی httpd.conf مقادیر زیر را قرار دهید:
اگر نسخه آپاچی شما ۲٫۰٫x هست :



<IfModule mod_evasive20.c>
DOSHashTableSize 3097
DOSPageCount 5
DOSSiteCount 100
DOSPageInterval 2
DOSSiteInterval 2
DOSBlockingPeriod 10
DOSBlockingPeriod 600
</IfModule>

اگر نسخه آپاچی وب سرور شما ۱٫۰x هست:



<IfModule mod_evasive.c>
DOSHashTableSize 3097
DOSPageCount 5
DOSSiteCount 100
DOSPageInterval 2
DOSSiteInterval 2
DOSBlockingPeriod 600
</IfModule>
سپس وب سرور خود را restart دهید.



service httpd restart
3- دیواره آتشین نصب کنید.

اگر از CSF استفاده میکنید ، میتوانید تنظیمات زیر را اعمال نمایید:
وارد تنظیمات فایروال شوید،



CT_LIMIT =
تعداد کانکشن هایی که هر کلاینت با هر IP میتواند داشته باشد را تعیین میکند.



CT_INTERVAL =
هر چه مدت، چه مدت دیواره آتشین شما کانکشن ها و وضعیت را بررسی کند.



CT_EMAIL_ALERT
هر IP که بن میشود یا .. به شما گزارش بدهد یا خیر (از طریق ایمیل)



CT_PERMANENT
این مقدار را اگ برابر با صفر قراردهید هر IP نمیتواند به طور همیشه بن باشد. اگر یک قرار دهید . هر IP که بن میشود واسه همیشه بن خواهد شد.



CT_BLOCK_TIME =
IP که بن میشود چه مدت معلق بماند؟! مقدار ۱۸۰۰ یا ۵۰۰ مقداری خوبی است.



CT_SKIP_TIME_WAIT
برابر با صفر باشد.



CT_STATES =
آمار از سرور به شما ارائه میدهد. اینکه هر IP چند کانکشن دارد و …



CT_PORTS
پورت ها را با , از هم جدا کنید. مثلا: ۸۰,۴۴۳,۲۵
۴- یافتن حملات و درخواست هایی از نوع sync



netstat -an|grep :80
با دستور فوق تمام کانکشن هایی که به پورت ۸۰ وصل هستند را نمایش میدهد ، سپس دستور زیر را وارد میکنیم تا ببنیم کجا با SYN_RECV شروع شده است



netstat -an|grep SYN_RECV
تعداد کانکشن های آپاجی و تعداد کانکشن های SYN_RECV :



netstat -an|grep :80|wc -l


netstat -an|grep SYN_RECV|wc -l


---------- Post added at 06:03 PM ---------- Previous post was at 06:02 PM ----------


راه های مقابله با حملات DOS/DDoS

شاید به جراًت بتوان گفت که مهم ترین دغدغه ی یک مدیر سرور مقابله با حملات DDOS/DOS است. در این پست قصد داریم چندین روش برای مقابله با این نوع حملات به شما ارائه دهیم. البته ناگفته نماند که هیچگاه نمیتوان به طور ۱۰۰% جلوی اینگونه از حملات را گرفت.



تمام عملیات های این پست به صورت نرم افزاری است.
۱- نصب و راه اندازی Dos_Deflate
این ابزار این قابلیت را به شما میدهد که بوسیله آن بتوانید یک سری اطلاعات از IP هایی که به سرور متصل هستند بدست بیاورید. که هر IP چند Connection دارد و این که هر IP چندتا Connectrion بتواند داشته باشد. همینطور شما میتوانید در تنظیمات این ابزار تعیین کنید که گزارش را به ایمیل شما ارسال کند.
دانلود کنید:



wget http://www.inetbase.com/scripts/ddos/install.sh
عملیات نصب را آغاز میکنیم:



sh install.sh
برای اجرا دستور زیر استفاده میکنیم:



sh /usr/local/ddos/ddos.sh
تنظیم DOS_Deflate :
فایل پیکربندی را با یک ویرایشگر باز میکنیم:



nano /usr/local/ddos/ddos.conf
مقدار زیر را قرار پیدا و به صورت زیر ویرایش کرده:



EMAIL_TO=”your_email@domain.com”
بجای your_email@domain.com ایمیل خود را بنویسید، در این موقع، هر IP که Banned بشود به شما اخطار میدهد.
هر IP چه مقداردر دقیقه کانکشن داشته باشد:



FREQ=5

3 تا ۵ بهترین مقدار برای این پارامتر هست.
بیشترین connection که هر IP میتواند داشته باشد را مشخص کنید:



NO_OF_CONNECTIONS=100
مقدار بین ۱۰۰ تا ۲۰۰ میتواند بهترین مقدار باشد.
در Dos_Deflate توسط APF بن کنید:
اگر فایروال APF نصب دارید میتوانید این مقدار را برابر با یک قرار دهید. اگر نه توسط CSF یا … عملیات Ban کردن را انجام میدهید برابر با صفر قرار دهید.



APF_BAN=0
اگر میخواهید IP مورد نظر توسط DOS_Deflate بن شود مقدار زیر را برابر با یک قرار دهید در غیر این صورت صفر بگذارید



KILL=1
IP Address های متخلف چه مقدار در حالت معلق باقی بمانند؟



BAN_PERIOD=700
بهترین مقدار ۳۰۰ تا ۱۱۰۰ است.
۲- بهینه سازی وب سرور Apache :
البته پیشنهاد ما این است که شما از وب سرور های قدرتمند دیگری همچون Litespeed یا nginx استفاده کنید.
ابتدا با دستور زیر فایل پیکربندی آپاچی وب سرور را پیدا کنید:



locate httpd.conf
مقدار Timeout را کمتر کنید:
توضیحات تمام این پارامتر ها در مقاله آموزش وب سرور فارسی (نوشته پیمان قربانی) داده شده است. اما در این پست به طور خلاصه توضیح میدهیم.



Timeout 200
مقدار KeepAliveTime را کمتر کنید:
KeepAliveTime به معنای حداکثر انتظار وب سرور برای پاسخ به کاربر میباشد.



KeepAliveTime 10
قابلیت KeepAlive را خاموش کنید:
KeepAlive Off اگریک Connection بیشتر از یک درخواست دارد به طور مدام به آن اجازه ندهد. در واقع KeepAlive وظیفه اش زنده نگه داشتن Connection است.



KeepAlive Off

مقدار MaxClients را کمتر کنید:
MaxClients به معنای : بیشترین تعداد پروسس هایی که هر Client میتواند داشته باشد.



MaxClients 50
نصب و پیکربندی mod_evasive
یکی از راه های مقابله با حملات Dos استفاده از mod_evasive است. این ابزار یک ماژول تحت Apache و برای سرورهای لینوکس است که درخواست ها را کنترل می کند و از جاری شدن سیل عظیم آن (Flood) جلوگیری می کند. این کار بر اساس تعداد درخواست های مجاز تعیین شده در بخش تنظیمات صورت می گیرد. این ماژول آدرس IP که بیش از حد مجاز درخواست می فرستد را بصورت پیش فرض برای ۱۰ دقیقه مسدود (Block) می کند که این مقدار نیز قابل تغییر است.
mod_evasive نسخه به روز شده همان ماژول mod_dosevasive است که در تاریخ Feb 1 2005 بصورت استفاده عمومی ارائه شده است.
نکته: این ماژول مشکلاتی را با Frontpage Server Extensions دارد و احتمال از کار انداختن آن را ایجاد می کند.
در ضمن پیشنهاد میشود Frontpage بر روی سرور خود پاک و یا غیر فعال کنید.



cd /usr/local/src
wget http://www.zdziarski.com/projects/mod_evasive/mod_evasive_1.10.1.tar.gz
tar -zxvf mod_evasive_1.10.1.tar.gz
cd mod_evasive
apxs -cia mod_evasive20.c

در فایل پیرکبرندی وب سرور آپاچی httpd.conf مقادیر زیر را قرار دهید:
اگر نسخه آپاچی شما ۲٫۰٫x هست :



<IfModule mod_evasive20.c>
DOSHashTableSize 3097
DOSPageCount 5
DOSSiteCount 100
DOSPageInterval 2
DOSSiteInterval 2
DOSBlockingPeriod 10
DOSBlockingPeriod 600
</IfModule>

اگر نسخه آپاچی وب سرور شما ۱٫۰x هست:



<IfModule mod_evasive.c>
DOSHashTableSize 3097
DOSPageCount 5
DOSSiteCount 100
DOSPageInterval 2
DOSSiteInterval 2
DOSBlockingPeriod 600
</IfModule>
سپس وب سرور خود را restart دهید.



service httpd restart
3- دیواره آتشین نصب کنید.

اگر از CSF استفاده میکنید ، میتوانید تنظیمات زیر را اعمال نمایید:
وارد تنظیمات فایروال شوید،



CT_LIMIT =
تعداد کانکشن هایی که هر کلاینت با هر IP میتواند داشته باشد را تعیین میکند.



CT_INTERVAL =
هر چه مدت، چه مدت دیواره آتشین شما کانکشن ها و وضعیت را بررسی کند.



CT_EMAIL_ALERT
هر IP که بن میشود یا .. به شما گزارش بدهد یا خیر (از طریق ایمیل)



CT_PERMANENT
این مقدار را اگ برابر با صفر قراردهید هر IP نمیتواند به طور همیشه بن باشد. اگر یک قرار دهید . هر IP که بن میشود واسه همیشه بن خواهد شد.



CT_BLOCK_TIME =
IP که بن میشود چه مدت معلق بماند؟! مقدار ۱۸۰۰ یا ۵۰۰ مقداری خوبی است.



CT_SKIP_TIME_WAIT
برابر با صفر باشد.



CT_STATES =
آمار از سرور به شما ارائه میدهد. اینکه هر IP چند کانکشن دارد و …



CT_PORTS
پورت ها را با , از هم جدا کنید. مثلا: ۸۰,۴۴۳,۲۵
۴- یافتن حملات و درخواست هایی از نوع sync



netstat -an|grep :80
با دستور فوق تمام کانکشن هایی که به پورت ۸۰ وصل هستند را نمایش میدهد ، سپس دستور زیر را وارد میکنیم تا ببنیم کجا با SYN_RECV شروع شده است



netstat -an|grep SYN_RECV
تعداد کانکشن های آپاجی و تعداد کانکشن های SYN_RECV :



netstat -an|grep :80|wc -l


netstat -an|grep SYN_RECV|wc -l


---------- Post added at 06:08 PM ---------- Previous post was at 06:03 PM ----------


مدیریت Connection در لینوکس


در هنگام حملات به سرور شما می توانید از دستور زیر در SSH سرور خود برای نمایش تعداد Connection هایی که هر IP به خود اختصاصی داده است استفاده کنید .



netstat -anp |grep ‘tcp\|udp’ | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -n
و پس از آن IP هایی که بیشتر از ۳۰۰ Connection را به خود اختصاص داده اند را از سرور بیرون به اندازید که دستور زیر این امر را انجام می دهد .


iptables -I INPUT -s 83.135.33.116 -j DROP
83.135.33.116 همان IP مورد نظر شماست که Connection بالایی را به خود اختصاص داده است و به جای آن IP مربوطه را تایپ می کنید .

بچه ها این این متن رو از کد ها خارج کنید





نمیدونم چرا به همه کد ها اضافه شده

نرم افزار ISA




نرم افزار ISA يا Internet Security and Acceleration توسط شرکت Microsoft براي Windows عرضه گرديده است. اين نرم افزار که در حقيقت نسخه جديدي از MS***** است داراي قابليتها و تواناييهاي جالبي است. اما متأسفانه هنوز هيچ کتابي در اين مورد به زبان فارسي نوشته نشده است. حتي اکثر کساني که از اين نرم افزار استفاده مي کنند با بسياري از قابليتهاي ISA آشنا نيستند. در سايتها و وب لاگهاي کامپيوتري هم کمتر کسي پيدا مي شود که حتي اشاره اي به ISA کرده باشد.

نرم افزار ISA (بخش1)

نرم افزار ISA داراي دو قابليت اصلي است.
1- Firewall - 2 Cache
با استفاده از قابليت Caching مي توان Request هاي Http و Ftp کاربران شبکه را Cache کرد تا در هنگام درخواستهاي تکراري با صرفه جويي در زمان و پهناي باند بتوان به آن درخواستها از طريق اطلاعات Cache Server پاسخ گفت.

Cache
بخش Caching خود، داراي قابليتهاي زير است:
1) Automatic & Scheduled Caching : در اين قابليت ISA بطور هوشمندانه در ساعات مشخصي (ساعاتي که ترافيک شبکه کم است) به سراغ سايتهايي که قبلا Cache شده اند اما زمان TTL آنها تمام شده است و Expire شده اند رفته و بطور اتوماتيک آنها را Update مي کند. ISA اين عمل را با اولويت سايتهاي محبوب (سايتهايي که بيش از ساير سايتها توسط کاربران درخواست شده اند) انجام مي دهد. نتيجه اين کار اين است که سايتهاي محبوب کاربران همواره بصورت Update شده در ISA براي تحويل به کاربران فراهم است. ضمن اينکه ما بصورت دستي نيز مي توانيم ساعاتي را براي Update کردن سايتهاي دلخواهمان تعيين کنيم.

2) Reverse Caching : با استفاده از اين قابليت ISA مي تواند اطلاعاتي را که بر روي Web Server داخلي شبکه قرار دارند را پس از آنکه يکبار در اختيار کاربران موجود در اينترنت قرار داد بر روي خود Cache نموده و در صورت تقاضاي مجدد بدون مراجعه به Web Server اطلاعات Cache شده را در اختيار کاربران Internet قرار دهد. اين خاصيت موجب کاسته شده ترافيک بر روي Web Server مي شود.

3) Transparent Cache: يکي از قابليتهاي ISA اين است که هم بصورت ***** Base و هم بصورت Transparent قابليت Cache کردن را دارد. در جلسات بعد در اين مورد بيشتر صحبت خواهيم کرد.

4) Distributed and Hierarchical Caching : مي توان بجاي يک ISA Cache از چند ISA Cache در شبکه استفاده کرد. سپس همه آنها را بصورت يک Array درآورد. در اين حالت تمام ISAها دست به دست هم داده و يک Cache يکپارچه را تشکيل مي دهند. درصورتيکه Objectهاي Cache شده از لحاظ فيزيکي بر روي اين ISA Server ها توزيع شده است و هر کدام قسمتي از اطلاعات را Cache نموده اند. ضمنا" ما مي توانيم از يک Root System نيز استفاده کنيم بگونه اي که يک يا چند ISA Server به اينترنت مستقيما" وصل بوده و Object هاي مورد نياز خود را از طريق ISA Serverهاي بالاتر تأمين نمايد. در اين حالت با استفاده از پروتکلCARP يا Cache Array Routing Protocol اطلاعات مورد نياز Clientها از روي يک Array جمع آوري شده و در اختيار آنها قرار مي گيرد.


Firewall
امروزه Firewallها در دو نوع سخت افزاري و نرم افزاري وجود دارند. مزيت عمده Firewallهاي سخت افزاري در سرعت آنهاست. از نمونه هاي سخت افزاري مي توان به Cisco PIX Firewall اشاره کرد که MicroSoft ادعا مي کند تمامي قابليتهاي يک Firewall سخت افزاري در ISA گنجانده شده است و بدليل قيمت بسيار کمتر براي استفاده اقتصادي تر است.

بطور کلي مي توان گفت قابليتهاي نرم افزار ISA در زمينه Firewall عبارتند از:

1- کنترل استفاده از اينترنت: در ISA مي توان با استفاده از Policyها ترافيک ورودي و خروجي را بر مبناي سايتها , Protocolها و محتويات Packetها Filter کرد.

2- مي توان Packetها را بر اساس لايه ها (از لايه Network تا Application) فيلتر نموده و حتي ترافيک هاي مربوط به DNS را کنترل کرد.

3- ISA با استفاده از قابليت Intrusion Detection مي تواند جلوي نفوذ هکرها را بگيرد. بر روي ISA روشهاي معروف Hack تعريف شده است و در صورتيکه فردي اقدام به استفاده از اين روشها نمايد ISA جلوي او را خواهد گرفت. به عنوان مثال ISA مي تواند Scan شدن Portها را تشخيص داده و جلوي آنرا بگيرد.



ISA داراي قابليتهاي مختلفي است که مي توان آنها را بصورت زير خلاصه کرد:

1- قابليت اعمال Policy هاي مختلف.
2- امکان کنترل Bandwidth (Qos).

توجه: در Linux و يا Cisco Routers شما مي توانيد Bandwidth کاربران را به يک سقف معين محدود کنيد. (بعدها در اين مورد بيشتر صحبت خواهيم کرد.)

3- امکان پشتيباني از ***.
4- امکان Publish کردن Webserverهاي داخلي شبکه.

پس از Publish کردن Webserverهاي داخلي هرگاه يک کاربر از طريق Intenet بخواهد به Webserver ما دسترسي پيدا کند اطلاعات مورد نياز او از طريق ISA در اختيارش قرار مي گيرد. در نتيجه هيچکس از طريق Internet نمي تواند مستقيما" به Webserver هاي ما دسترسي داشته باشد.
5- H.323 GateKeeper: ويژه برنامه هايي است که از IP تلفني استفاده مي نمايند. (مثل NetMeeting)
6- Monitoring & Alerts.

نکته: ذکر اين نکته لازم است که هر سيستم عاملي که Http (ver 1.1) را پشتيباني کند مي تواند به عنوان يک Web*****Client عمل نمايد. اگر بخواهيم از ISA به عنوان يک Firewall استفاده نماييم بايد Clientها داراي Win95 به بعد باشند. Clientها مي توانند به عنوان SecureNAT Client عمل کرده و از خيلي از قابليتهاي ISA بهره مند شوند.

ISA Server مي تواند در دو حالت زير نصب شود:

1- Stand-alone : در اين حالت ISA Server ها مستقل از يکديگر عمل کرده و به يکديگر متصل نمي شوند.
مزاياي اين روش عبارت است از:
- هزينه کمترو تنظيمات کمتري نياز دارد.
- تمام قابليتهاي Caching و Firewall را داراست.
- از هرنوع Connection حتي Dialup مي تواند استفاده کند.
معايب اين روش هم عبارت است از:
- داراي Enterprise Policy نيست. بنابراين اگر از چند Stand-alone استفاده کنيم بايد هرکدام را جداگانه کنترل کنيم.
- Single Point of Failure: در حالت Stand alone همه چيز وابسته به ISA است و اگر ISA دچار مشکل گردد Internet قطع خواهد شد.

2- Enterprise Array: پياده سازي اين روش فقط بر روي Active Directory امکان پذير است. در اين روش يک Array مرکب از چندين ISA Server تشکيل مي شود که همگي بصورت منطقي از يک نقطه کنترل مي گردند. ضمنا" هر کدام از اعضاي Array قسمتي از اطلاعات را Cache مي کنند. در صورت نياز مي توان Array را گسترش داد. نکته قابل توجه اين است که يک Array فقط تحت يک Domain واحد قابل پياده سازي است. يعني اعضاي يک Array بايد همگي عضو يک Domain باشند.
مزاياي اين روش:
- امکان اعمال Enterprise Policy.
- امکان مديريت متمرکز
- No Single Point of Failure: در اين حالت اگر يک يا چند ISA Server دچار اختلال شود اختلالي در شبکه بوجود نمي آيد.
معايب اين روش:
- نيازمند ايجاد تغييراتي در توپولوژي شبکه است.
- از نظر هزينه نسبت به روش قبلي گرانتر است.
- در ابتداي کار نياز به مطالعه , تحقيق , برنامه ريزي و صرف وقت بيشتري براي پياده سازي دارد.

قابليت Array Chains: اين قابليت (Hierarchical Caching) اجازه مي دهد که يک ISA Server بدون آنکه مستقيما" به اينترنت متصل باشد از طريق Cache يک ISA Server ديگر به تعدادي Client سرويس دهد.

Publishing: در اين حالت تمام کساني که بخواهند از طريق اينترنت به WebServer ما دسترسي پيدا کنند مستقيما" با آن ارتباط ندارند بلکه ISA اين اطلاعات را در اختيار کاربران قرار مي دهد.

مزاياي Publish کردن:
- بالا رفتن Security شبکه درحالي که اطلاعات سرورهاي ما بدون هيچ مشکلي از طريق اينترنت قابل دريافت است.
- امکان Reverse Caching به کمک Publish کردن فراهم مي شود.
معايب Publish کردن:
- اگر طراحي را به دقت انجام ندهيم بار زيادي بر روي ISA Server اعمال مي شود.
- نياز به انجام تنظيمات دقيق داريم در نتيجه هنگام بروز مشکل براي رديابي آن به مدت زمان بيشتري نياز داريم.

منبع : ندارد ( My Word ) ....

---------- Post added at 05:56 PM ---------- Previous post was at 05:48 PM ----------


ISA وViruse ...


براي جلوگيري از حملات ساسر بايد كليه پورتهايي را كه ساسر از آن استفاده مي كند را بلوك كنيد. شماره پورتهاي مورد استفاده توسط ساسر 445 ، 5556 و 9996 است و همگي با پروتكل TCP كار مي كنند.

در موقع استفاده از ISA 2004 بصورت پيش فرض اين پورتها بلوك شده اند. هرچند كه اگر سروري داشته باشيد كه روالي براي پورت ها داشته باشد، اين سرور در معرض خطر است. در ضمن ممكن است بيشتر در معرض خطر باشيد وقتيكه يك Exchange Server در يك DMZ داشته باشيد. زيرا اين پورت بايد بين محدوده DMZ و شبكه داخلي باز باشد. البته شما نيازي به باز گذاشتن پورتي كه بين شبكه خارجي و DMZ قراردارد نداريد و احتمال بروز خطر را تا حد زيادي كاهش مي دهيد.



سياست پيش فرض براي فايروال ISA 2004 از انتشار ساسر در شبكه جلوگيري مي كند زيرا ساسر براي انتشار نياز به Outbound FTP دارد. اگر فايروال شما طوري طراحي شده كه تمام مسيرهاي خروجي آن باز باشد بايد براي پورتهاي اشاره شده حتما" روال دسترسي مناسبي تعريف كنيد.



براي جلوگيري از حملات ساسر از خارج از محدوده شبكه اين عوامل ممكن است مفيد باشند:



- براي پورتهاي گفته شده حتما" روال هاي دسترسي تعريف كنيد. بستن پورت TCP 445 در جهت خروجي از ترافيك CIFS خروجي جلوگيري مي كند و بستن پورتهاي 5556 و 9996 در جهت خروجي از امكان استفاده از يك كامپيوتر ويروسي به عنوان سرور FTP وانتشار كرم ساسر جلوگيري مي كند.



- تعريف فايروال روي ايستگاه كاري براي جلوگيري از عملكرد خرابكارانه ساسر. براي اين روش كاري حتما" بايد روي كامپيوتر Client يك فايروال نصب كرده باشيد. توجه داشته باشيد كه تمام Client هايي كه سيستم عامل Windows دارند بايد فايروال نصب كرده باشند. اگر تمام راه هاي خروجي دسترسي تعريف شده داشته باشند باعث جلوگيري از انتشار كرم ساسر خواهد شد.



كامپيوتري كه به عنوان ISA Firewall عمل مي كند هم بسيار آسيب پذير است براي جلوگيري از حملات داخلي توسط ساسر به خود ISA Server به هيچ وجه روال دسترسي براي ارتباط با كامپيوترهاي شبكه محلي با پورت هاي گفته شده ايجاد نكنيد.




روش بستن ارتباط خروجي روي پورتهاي شناسايي شده :



1- از كنسول مديريت، منوي Microsoft Internet Security and Acceleration Sever 2004

را بازكنيد و روي نام سرور Expand كنيد و روي Firewall Policy كليك كنيد.

2- روي Tab مربوط به Tasks درTask Pane كليك كنيد.

3- در صفحه Welcome to the new access Rule Wizard در جعبه نوشتاري Access Rule Name وارد كنيد Block Sasser Outbound و روي Next كليك كنيد.

4- در صفحه Rule Action وضعيت Deny را انتخاب كنيد و كليد Next را بزنيد.

5- در صفحه پروتكل انتخاب Selected Protocols را از ليست This Rule Applies to انتخاب كنيدو دكمه Add را بزنيد.

6- در صفحه مربوط به Add protocols روي New كليك كنيد پروتكل را انتخاب كنيد.
http://www.sgnec.net/admin/images/arts/ISA%20Server%201.JPG

7- در صفحه مربوط بهWelcome to the New Protocol Definition Wizard جمله Sasser Outbound را در جعبع متن Protocol Definition Name وارد كنيد و روي New كليك كنيد.

8- در صفحه Primary Connection Information روي New كليك كنيد.

9- در جعبه متن New/Edit Protocol Definition نوع پروتكل را TCP انتخاب كنيد.در اينجا همچنين Direction را Outbound انتخاب نموده و پورتها را از 445 تا 445 انتخاب كرده كليد OK را بزنيد.

http://www.sgnec.net/admin/images/arts/ISA%20Server%202.JPG

- براي پورتهاي 9996 و 5556 از رديف 9 تكرار كنيد.

http://www.sgnec.net/admin/images/arts/ISA%20Server%203.JPG

11- در صفحه New Protocol Definition Information تمام پورت هاي تعريف شده ديده مي شوند و مي توانيد رويNext كليك كنيد.
http://www.sgnec.net/admin/images/arts/ISA%20Server%204.JPG



12- در صفحه Secondary connections روي No كليك كنيد و سپس Next را بزنيد.

13- براي تكميل عمليات در صفحهCompleting the New Protocol Definition Wizard روي Finish كليك كنيد.

14- در جعبه محاوره اي Add protocols روي فولدر User-defined كليك كرده و روي Sasser Outbound دوبار كليك كنيد و سپس Close را بزنيد.

15- در صفحه Protocols روي Next كليك كنيد.

16- در صفحه Access Rule Source كليد Add را بزنيد.

17- در جعبه محاوره اي Add Network Entities روي فولدر Network Sets كليك كنيد و سپس روي All Protected Networks دوبار كليك كنيد. و Close را بزنيد.

18- در صفحه Access rule Sources روي Next بزنيد.

http://www.sgnec.net/admin/images/arts/ISA%20Server%205.JPG

19- در صفحه Access Rule Destinations كليد Add را بزنيد.

20- در جعبه محاوره اي Add Network Entities روي فولدر Networks بزنيد و External را دوبار كليك كنيد و Close را بزنيد.

21- در صفحه User Sets حالت پيش فرض All Users را انتخاب و Next را بزنيد.

22- در صفحه مربوط به Completing the New Access Rule Wizard كليد Finish را بزنيد.

23- قاعده Block Sasser Outbound را به بالاي ليست انتقال دهيد.

24- براي ثبت تغييرات انجام شده روي Apply كليك كنيد.

25- در جعبه محاوره اي Apply New Configuration كليد Ok را انتخاب كنيد.




روش تنظيم فايروال مربوط به ايستگاه كاري براي بلوك كردن عملكرد ساسر



عملكرد مشكوك ساسر در اين مرحله بنام avserve و avserve2 شناخته شده است.

توجه داشته باشيد عملكرد ساسر با نام هاي متفاوت انجام ميشود مراحل بعدي كه توضيح داده خواهد شد 100% موثر نيست ولي اتصالات ايجاد شده توسط avserve و avserve2 را بلوك خواهد كرد.



1- از كنسول مديريت، منوي Microsoft Internet Security and Acceleration Sever 2004

را بازكنيد و روي نام سرور Expand كنيد و حالت Configuration را انتخاب كنيد.

2- روي General كليك كنيد.

3- روي Define Firewall Client Settings در قسمت Details paneكليك كنيد

4- در جعبه محاوره اي Firewall Client Setting روي Tab مربوط به Application Setting بزنيد.

5- روي Tab مربوط به Application Setting روي دكمه New كليك كنيد.

http://www.sgnec.net/admin/images/arts/ISA%20Server%206.JPG

6- در پنجره محاوره اي Application Entry Setting در جهبه متن Application وارد كنيد: avserve . در ليست Key وضعيت Disable انتخاب كنيد و از ليست Value عدد 1 را انتخاب كرده سپس Ok را بزنيد.

http://www.sgnec.net/admin/images/arts/ISA%20Server%207.JPG

7- مرحله 5 و 6 را تكراركرده اينبار در Application نام avserve2 را وارد كنيد.

8- در پنجره Firewall Client Setting با انتخاب Ok و سپس Apply مراحل را ثبت كنيد.

9- روي پنجره Apply new Configuration كليد Ok را بزنيد.



تنظيم فايروال مربوط به Client براي Avserve.exe و Avserve2.exe فقط از رفتار مشكوك روي كامپيوتر آلوده شده جلوگيري ميكند.اگر اين دستگاه به عنوان SecureNAT طراحي شده باشد اين تنظيمات ديگر موثر نخواهد بود. ( براي جلوگيري از دسترسي SecureNAT Client از طريق سرور ISA مطمئن شويد كه هيچ دسترسي ناشناخته اي در مسير خروجي وجود ندارد).



شما همچنين ميتوانيد قابليت روال Block Sasser Outbound را از طريق Telnet روي يك دستگاه كه در شبكه تحت محافظت ISA 2004 Firewall است ، كنترل كنيد.



1- كنسول Microsoft Internet Security and Acceleration را بازكنيد و سرور را Expand كنيد.و روي Monitoring كنسول كليك كنيد.

2- روي Tab مخصوص به Details گزينه Logging را انتخاب كنيد.

3- رويTab مربوط به Tasks روي لينك Start Query بزنيد.

4- روي يك ايستگاه در يك شبكه محافظت شده ابتدا Start و سپس Run را بزنيد. در پنجره متني Open دستور cmd را تايپ كنيد و Ok نماييد.

5- در Prompt تايپ كنيد: Telnet 131.107.1.1 5556 و Enter را بزنيد.

6- به كنسول Microsoft Internet Security and Acceleration Sever 2004 بازگرديدو گزارش مربوط به زمان (real time log) مونيتور كنيد. بايد متن زير را در پيغامها ببينيد:




Block Sasser Outbound
.




10.0.0.2 131.107.1.1 5556 Sasser Outbound Denied Connection Block Sasser

Outbound



10.0.0.2 131.107.1.1 5556 Sasser Outbound Denied Connection Block Sasser

Outbound.



نویسنده: فریبا اسودی
ناشر : مشورت
تاریخ نشر : ۹ مرداد 1383

( منبع (http://www.sgnec.net/) )

اميدوارم براي شما هم مفيد بوده باشه..... http://forum.persiannetworks.com/images/smilies2/smilingsmiley.gif

---------- Post added at 05:56 PM ---------- Previous post was at 05:56 PM ----------


ISA وViruse ...


براي جلوگيري از حملات ساسر بايد كليه پورتهايي را كه ساسر از آن استفاده مي كند را بلوك كنيد. شماره پورتهاي مورد استفاده توسط ساسر 445 ، 5556 و 9996 است و همگي با پروتكل TCP كار مي كنند.

در موقع استفاده از ISA 2004 بصورت پيش فرض اين پورتها بلوك شده اند. هرچند كه اگر سروري داشته باشيد كه روالي براي پورت ها داشته باشد، اين سرور در معرض خطر است. در ضمن ممكن است بيشتر در معرض خطر باشيد وقتيكه يك Exchange Server در يك DMZ داشته باشيد. زيرا اين پورت بايد بين محدوده DMZ و شبكه داخلي باز باشد. البته شما نيازي به باز گذاشتن پورتي كه بين شبكه خارجي و DMZ قراردارد نداريد و احتمال بروز خطر را تا حد زيادي كاهش مي دهيد.



سياست پيش فرض براي فايروال ISA 2004 از انتشار ساسر در شبكه جلوگيري مي كند زيرا ساسر براي انتشار نياز به Outbound FTP دارد. اگر فايروال شما طوري طراحي شده كه تمام مسيرهاي خروجي آن باز باشد بايد براي پورتهاي اشاره شده حتما" روال دسترسي مناسبي تعريف كنيد.



براي جلوگيري از حملات ساسر از خارج از محدوده شبكه اين عوامل ممكن است مفيد باشند:



- براي پورتهاي گفته شده حتما" روال هاي دسترسي تعريف كنيد. بستن پورت TCP 445 در جهت خروجي از ترافيك CIFS خروجي جلوگيري مي كند و بستن پورتهاي 5556 و 9996 در جهت خروجي از امكان استفاده از يك كامپيوتر ويروسي به عنوان سرور FTP وانتشار كرم ساسر جلوگيري مي كند.



- تعريف فايروال روي ايستگاه كاري براي جلوگيري از عملكرد خرابكارانه ساسر. براي اين روش كاري حتما" بايد روي كامپيوتر Client يك فايروال نصب كرده باشيد. توجه داشته باشيد كه تمام Client هايي كه سيستم عامل Windows دارند بايد فايروال نصب كرده باشند. اگر تمام راه هاي خروجي دسترسي تعريف شده داشته باشند باعث جلوگيري از انتشار كرم ساسر خواهد شد.



كامپيوتري كه به عنوان ISA Firewall عمل مي كند هم بسيار آسيب پذير است براي جلوگيري از حملات داخلي توسط ساسر به خود ISA Server به هيچ وجه روال دسترسي براي ارتباط با كامپيوترهاي شبكه محلي با پورت هاي گفته شده ايجاد نكنيد.




روش بستن ارتباط خروجي روي پورتهاي شناسايي شده :



1- از كنسول مديريت، منوي Microsoft Internet Security and Acceleration Sever 2004

را بازكنيد و روي نام سرور Expand كنيد و روي Firewall Policy كليك كنيد.

2- روي Tab مربوط به Tasks درTask Pane كليك كنيد.

3- در صفحه Welcome to the new access Rule Wizard در جعبه نوشتاري Access Rule Name وارد كنيد Block Sasser Outbound و روي Next كليك كنيد.

4- در صفحه Rule Action وضعيت Deny را انتخاب كنيد و كليد Next را بزنيد.

5- در صفحه پروتكل انتخاب Selected Protocols را از ليست This Rule Applies to انتخاب كنيدو دكمه Add را بزنيد.

6- در صفحه مربوط به Add protocols روي New كليك كنيد پروتكل را انتخاب كنيد.
http://www.sgnec.net/admin/images/arts/ISA%20Server%201.JPG

7- در صفحه مربوط بهWelcome to the New Protocol Definition Wizard جمله Sasser Outbound را در جعبع متن Protocol Definition Name وارد كنيد و روي New كليك كنيد.

8- در صفحه Primary Connection Information روي New كليك كنيد.

9- در جعبه متن New/Edit Protocol Definition نوع پروتكل را TCP انتخاب كنيد.در اينجا همچنين Direction را Outbound انتخاب نموده و پورتها را از 445 تا 445 انتخاب كرده كليد OK را بزنيد.

http://www.sgnec.net/admin/images/arts/ISA%20Server%202.JPG

- براي پورتهاي 9996 و 5556 از رديف 9 تكرار كنيد.

http://www.sgnec.net/admin/images/arts/ISA%20Server%203.JPG

11- در صفحه New Protocol Definition Information تمام پورت هاي تعريف شده ديده مي شوند و مي توانيد رويNext كليك كنيد.
http://www.sgnec.net/admin/images/arts/ISA%20Server%204.JPG



12- در صفحه Secondary connections روي No كليك كنيد و سپس Next را بزنيد.

13- براي تكميل عمليات در صفحهCompleting the New Protocol Definition Wizard روي Finish كليك كنيد.

14- در جعبه محاوره اي Add protocols روي فولدر User-defined كليك كرده و روي Sasser Outbound دوبار كليك كنيد و سپس Close را بزنيد.

15- در صفحه Protocols روي Next كليك كنيد.

16- در صفحه Access Rule Source كليد Add را بزنيد.

17- در جعبه محاوره اي Add Network Entities روي فولدر Network Sets كليك كنيد و سپس روي All Protected Networks دوبار كليك كنيد. و Close را بزنيد.

18- در صفحه Access rule Sources روي Next بزنيد.

http://www.sgnec.net/admin/images/arts/ISA%20Server%205.JPG

19- در صفحه Access Rule Destinations كليد Add را بزنيد.

20- در جعبه محاوره اي Add Network Entities روي فولدر Networks بزنيد و External را دوبار كليك كنيد و Close را بزنيد.

21- در صفحه User Sets حالت پيش فرض All Users را انتخاب و Next را بزنيد.

22- در صفحه مربوط به Completing the New Access Rule Wizard كليد Finish را بزنيد.

23- قاعده Block Sasser Outbound را به بالاي ليست انتقال دهيد.

24- براي ثبت تغييرات انجام شده روي Apply كليك كنيد.

25- در جعبه محاوره اي Apply New Configuration كليد Ok را انتخاب كنيد.




روش تنظيم فايروال مربوط به ايستگاه كاري براي بلوك كردن عملكرد ساسر



عملكرد مشكوك ساسر در اين مرحله بنام avserve و avserve2 شناخته شده است.

توجه داشته باشيد عملكرد ساسر با نام هاي متفاوت انجام ميشود مراحل بعدي كه توضيح داده خواهد شد 100% موثر نيست ولي اتصالات ايجاد شده توسط avserve و avserve2 را بلوك خواهد كرد.



1- از كنسول مديريت، منوي Microsoft Internet Security and Acceleration Sever 2004

را بازكنيد و روي نام سرور Expand كنيد و حالت Configuration را انتخاب كنيد.

2- روي General كليك كنيد.

3- روي Define Firewall Client Settings در قسمت Details paneكليك كنيد

4- در جعبه محاوره اي Firewall Client Setting روي Tab مربوط به Application Setting بزنيد.

5- روي Tab مربوط به Application Setting روي دكمه New كليك كنيد.

http://www.sgnec.net/admin/images/arts/ISA%20Server%206.JPG

6- در پنجره محاوره اي Application Entry Setting در جهبه متن Application وارد كنيد: avserve . در ليست Key وضعيت Disable انتخاب كنيد و از ليست Value عدد 1 را انتخاب كرده سپس Ok را بزنيد.

http://www.sgnec.net/admin/images/arts/ISA%20Server%207.JPG

7- مرحله 5 و 6 را تكراركرده اينبار در Application نام avserve2 را وارد كنيد.

8- در پنجره Firewall Client Setting با انتخاب Ok و سپس Apply مراحل را ثبت كنيد.

9- روي پنجره Apply new Configuration كليد Ok را بزنيد.



تنظيم فايروال مربوط به Client براي Avserve.exe و Avserve2.exe فقط از رفتار مشكوك روي كامپيوتر آلوده شده جلوگيري ميكند.اگر اين دستگاه به عنوان SecureNAT طراحي شده باشد اين تنظيمات ديگر موثر نخواهد بود. ( براي جلوگيري از دسترسي SecureNAT Client از طريق سرور ISA مطمئن شويد كه هيچ دسترسي ناشناخته اي در مسير خروجي وجود ندارد).



شما همچنين ميتوانيد قابليت روال Block Sasser Outbound را از طريق Telnet روي يك دستگاه كه در شبكه تحت محافظت ISA 2004 Firewall است ، كنترل كنيد.



1- كنسول Microsoft Internet Security and Acceleration را بازكنيد و سرور را Expand كنيد.و روي Monitoring كنسول كليك كنيد.

2- روي Tab مخصوص به Details گزينه Logging را انتخاب كنيد.

3- رويTab مربوط به Tasks روي لينك Start Query بزنيد.

4- روي يك ايستگاه در يك شبكه محافظت شده ابتدا Start و سپس Run را بزنيد. در پنجره متني Open دستور cmd را تايپ كنيد و Ok نماييد.

5- در Prompt تايپ كنيد: Telnet 131.107.1.1 5556 و Enter را بزنيد.

6- به كنسول Microsoft Internet Security and Acceleration Sever 2004 بازگرديدو گزارش مربوط به زمان (real time log) مونيتور كنيد. بايد متن زير را در پيغامها ببينيد:




Block Sasser Outbound
.




10.0.0.2 131.107.1.1 5556 Sasser Outbound Denied Connection Block Sasser

Outbound



10.0.0.2 131.107.1.1 5556 Sasser Outbound Denied Connection Block Sasser

Outbound.



نویسنده: فریبا اسودی
ناشر : مشورت
تاریخ نشر : ۹ مرداد 1383

( منبع (http://www.sgnec.net/) )

اميدوارم براي شما هم مفيد بوده باشه..... http://forum.persiannetworks.com/images/smilies2/smilingsmiley.gif

---------- Post added at 06:35 PM ---------- Previous post was at 05:56 PM ----------

دوستان ممنون میشم تو بهتر شدن پست به من کمک کنید...! >:d<;;)

---------- Post added at 06:35 PM ---------- Previous post was at 06:35 PM ----------

دوستان ممنون میشم تو بهتر شدن پست به من کمک کنید...! >:d<;;)

اینو تو فایل Word تو Pc داشتم برای همین عکس رو نتونستم بزارم : دی

---------- Post added at 10:49 PM ---------- Previous post was at 10:32 PM ----------





دستور 1



cd /etc/yum.repos.d

دستور 2


Enter دستور 3 - برای دانلود اینستالر آنتی ویروس دستور زیر را تایپ کنید



wget http://www.linux-mail.info/files/dag-clamav.repoدستور 4


Enter دستور 5 - برای نصب آنتی ویروس Clamav در بخش خط فرمان تایپ کنید



yum install clamav clamav-devel clamd- برای تائید دانلود کامل از شما تائیدیه دانلود سوال می شود که شما می بایست با Y پاسخ دهید .



Enter

دستور


freshclamو بعد

Enterدستور 1



cd /home
دستور 2







---------- Post added at 11:05 PM ---------- Previous post was at 10:49 PM ----------

اگه به یک کاربر شک دارید ...!

میتونید با دستور زیر فقط اون کاربر رو اسکن کنید...!

جای admin نام کاربری کاربر رو خود رو بنوسید ...!


user ~adminبعد دستور زیر رو بزنید ...!


clamscan -vr

روش پاک کردن این آنتی ویروس به چه صورت هستش ؟!

روش پاک کردن این آنتی ویروس به چه صورت هستش ؟!

اموزش حذف (http://www.webhostingtalk.ir/f14/1109/)

کتاب های آموزش امنیت لینوکس

دانلود ویدئو آموزش امنیت شبکه در ویندوز سرور ۲۰۰۸ Windows Server 2008 Technology Roadmap

http://dl2.alborzdownload.com/user2/01/picture/2/2-13/Windows-Server-2008.gif

Windows-Server-2008


آزمون ۷۰-۶۴۲ با نام Windows Server 2008, Network Infrastructure به منظور سنجش مهارت های شما در رابطه با نصب ، پیکربندی و مدیریت DHCP ، IP Routing ، DNS ، TCP/IP ، امنیت شبکه در سرور ۲۰۰۸ و مطالبی از این قبیل می باشد.

در این مجموعه آموزشی مطالبی از قبیل پیکربندی DNS و یا Configuring DNS در ویندوز سرور ۲۰۰۸ ، آموزش زیر ساخت های شبکه در ویندوز سرور ۲۰۰۸ ، امنیت شبکه در سرور ۲۰۰۸ ، Remote Access ، TCP/IP و اصول شبکه سازی و مطالب بسیار دیگری از این دست را خواهید آموخت.

عناوین کورس های آموزشی این مجموعه:




نصب ، پیکربندی و گسترش اطلاعات
تنظیم و عیب یابی

مدیریت و امنیت اطلاعات

مهاجرت به اینترنت

پیکربندی اف تی پی در خدمات اینترنت

مجتمع کردن SMTP و UDDI



حجم برنامه: ۵۲۴ مگابایت
دانلود :بخش اول (http://dl2.alborzdownload.com/user2/01/2/2-13/KAIIS.www.alborzdownload.com.part1.rar)-بخش دوم (http://dl2.alborzdownload.com/user2/01/2/2-13/KAIIS.www.alborzdownload.com.part2.rar)
پسورد فایل فشرده : البرز دانلود – دانلود رایگان نرم افزار (http://www.alborzdownload.com)
منبع :البرز دانلود – دانلود رایگان نرم افزار (http://www.AlborzDownload.com)

---------- Post added at 09:56 AM ---------- Previous post was at 09:54 AM ----------


روش های آنالیز کردن امنیت سرورها و کلاینت در این درس قصد داریم شما را با روش های آنالیز کردن امنیت سیستم ها آشنا کنیم و در کنار آن موثرترین پورت اسکنر را به شما معرفی کنیم. همانطور که می دانید و در مقالات گذشته گفته شد یکی از ابتدایی ترین کارهایی که یک هکر برای هک کردن یک سرور یا کلاینت انجام می دهد پیدا کردن IP آن کامپیوتر مورد نظر و سپس اسکن کردن آن IP برای پیدا کردن درگاه ها و پورت های باز روی آن کامپوتر است، برای پیدا کردن IP روشهای مختلفی وجود دارد، از ساده ترین راه که تایپ کردن آدرس یک سایت در Internet Explorer و دیدن آیپی در status bar در هنگام لود شدن سایت گرفته تا Whois گرفتن از یک Domain و گرفتن IP و اطلاعاتی در مورد سرور و شخص ثبت کننده Domain است، البته این روشها برای گرفتن IP سرور بکار می رود و برای بدست آوردن IP یک سیستم کلاینت از روشهای مختلفی از جمله استفاده از فرمان Netstat -NA & Netstat و استفاده از ابزارهای Monitoring مثل ProPort و… استفاده می شود که که در درس های گذشته این روش ها را توضیح دادیم و تصور من در این مقاله بر این است که شما تمامی این راه ها و روشها را می دانید و حالا می خواهید به مرحله بعدی که اسکن کردن این IP ها است بروید، برای این منظور هکرها از قابلیت Scaning استفاده می کنند که خود به ۳ بخش عمده IP و Port و Vulnerability اسکنینگ تقسیم می شود که هر کدام تعریف خاص خودش را دارد فقط برای آشنایی شما عرض کنم که IP Scaning برای مشخص شدن آیپی های فعال در تعداد زیادی IP که متعلق به یک ISP هستند استفاده می شود که این راه برای هک کردن کلاینت ها بکار برده می شود و پورت اسکنینگ زمانی استفاده می شود که ما آیپی هایی را مشخص کردیم و حالا می خواهیم پورتهای باز روی آن سیستم را پیدا کنیم و از طریق آن پورتهای باز با استفاده از حفره های آسیب پذیر سرویس های نصب شده بر روی کامپیوتر به سیستم قربانی و یا سرور وصل شویم. پورت ها درگاه های کامپیوتر هستند و بدون باز بودن آنها ارتباطی بین دو سیستم برقرار نمی شود.
با نصب سرویس ها و برنامه های مختلف پورت ها باز می شوند و باز بودن یک پورت بدون هیچ دلیلی در یک سیستم معنایی ندارد. برای انجام پویش از یک سیستم ابزارهای اسکنینگ زیادی وجود دارد ، چون هم هکرهای حرفه ای و هم هکرای آماتور برای رسیدن به اهدافشان از این برنامه ها استفاده می کنند و این مختص قشر خاصی از هکرها نیست ولی اکثر پورت اسکنرها بر پایه سیستم عامل های مبتنی بر یونیکس مثل لینوکس نوشته شده اند ولی بعضی از آنها نسخه ای هم برای ویندوز دارند. حتی مدیران شبکه ها نیز برا (http://www.farsinetwork.ir/)ی سرورهای خود از امکان اسکنینگ استفاده می کنند تا شبکه خود را از نظر امنیت مورد ارزیابی قرار دهند که برای این عزیزان در مقالات بعدی اسکنرهای آسیب پذیری متعددی را که به Vulnerability Scanner معروف هستند معرفی خواهیم کرد. در این مقاله به شما یکی از بهترین و قویترین ابزار پویش پورت را معرفی می کنیم Nmap بهترین پورت اسکنر رایگان است که امکانات زیادی را برای هکرها و یا مدیران امنیت سرورها فراهم کرده است Nmap توسط Fyoder نوشته شده و توسط هکرهایی که با لینوکس کار می کنند استفاده می شود. اگر شما نیز مثل تمام هکرهای حرفه ای از سیستم عامل های لینوکس استفاده می کنید می توانید Nmap را از اینجا (http://www.insecure.org/nmap/nmap_download.html) دریافت و استفاده کنید.
http://www.uploaded.ir/files/admin/admin/nmap.jpg (http://www.uploaded.ir/files/admin/admin/nmap.jpg) ولی اگر هنوز با ویندوز کار می کنید باز هم نگران چیزی نباشید چون تیم eEye یک نسخه از این برنامه را بصورت ویندوز در آورده و این نسخه نیز توسط افرادی که با ویندوز کار می کنند استفاده می شود که هم اکنون نسخه اصلی این برنامه با نام NmapWin v1.3.1 در اختیار علاقه مندانی که با ویندوز کار می کنند قرار داره شده که شما نیز می توانید این نسخه از Nmap را که حدود ۵ مگابایت حجم دارد را از اینجا (http://download.insecure.org/nmap/dist/nmapwin_1.3.1.exe) دریافت و استفاده کنید. البته این نکته را در نظر بگیرید که از NmapWin فقط در ویندوز NT,2000,XP می توان استفاده کرد و نسخه ای از این برنامه برای ویندوزهای دیگر نوشته نشده است. تصور می کنم اکثر دوستانی که این مقاله را مطالعه می کنند از ویندوز استفاده می کنند. به همین دلیل طرز کار با NmapWin را برای شما توضیح می دهیم، خود Nmap بیشتر از خط فرمان استفاده می کند ولی یک GUI خوب هم برای این برنامه ساخته شده است که به آن Nmap frontend می گویند. این رابط گرافیکی کار با Nmap ای که تحت لینوکس است را ساده تر کرده است که در عکس بالا مشخص است. البته NmapWin این دو را با هم ادغام کرده و یک نسخه گرافیکی برای ویندوز محسوب می شود Nmap نسبت به نسخه گرافیکی آن کاملتر و دارای دستورات بیشتری است که حتی با استفاده از آن ممکن است یک سیستم بوسیله بسته های زیادی که از طرف اسکنر به سمت آن برای مشخص شدن پورت های باز ارسال می شود Crash و Flood کند. NmapWin را از سایتی که داده ام دانلود و سپس install کنید و حالا آماده برای آشنا شدن با برنامه و گزینه های آن باشید. هنگامی که برنامه NmapWin را باز می کنید با گزینه های زیادی مواجه می شوید که من از همان قسمت بالا که به اصطلاح Network Section برنامه می گویند توضیح می دهم. وقتی برنامه را باز می کنید در قسمت بالای برنامه گزینه Host را می بینید که شما در این قسمت باید آیپی ماشین هدف را بدهید که هم می تواند یک آیپی متعلق به یک کلاینت و یا تعداد زیادی آیپی متعلق به یک ISP و یا چندین سرور باشد، اگر می خواهید تعدادی آیپی برای اسکن شدن به برنامه بدهید چندین راه وجود دارد، برای مثال می توانید یک Range آیپی را به این صورت بدهید *.*. ۲۱۷٫۲۱۸ که به این صورت تمام آیپی هایی که با ۲۱۷٫۲۱۸ شروع می شود توسط برنامه اسکن می شود و یا مثلاً اگر Range را به این صورت ۲۱۷٫۲۱۸٫۱۲٫۱۰۲-۱۲۵ بدهید تعداد آیپی هایی که بین ۲ عدد آخر وجود دارد اسکن می شود و در مورد هر آیپی در صورت فعال بودن و تنظیم صحیح برنامه اطلاعات زیادی در اختیار شما قرار داده می شود و اگر هم قصد دارید پورتهای یک سیستم کلاینت را اسکن کنید آیپی آن را در همان قسمت Host وارد می کنید. سمت راست برنامه در کنار گزینه ۴host گزینه دیگر وجود دارد که هر کدام کار خاصی انجام می دهند ( شماره ۱ ) گزینه Scan برای شروع کار برنامه بکار می رود البته بعد از دادن آیپی های هدف و تنظیم برنامه ، گزینه Stop همانطور که از اسم آن مشخص است برای متوقف کردن عملیات اسکنینگ بکار می رود. گزینه Help نیز برای کمک به کاربر و آشنا کردن کاربران با این اسکنر و Exit هم که برای خارج شدن از برنامه است.
http://www.uploaded.ir/files/admin/admin/nmap2.jpg (http://www.uploaded.ir/files/admin/admin/nmap2.jpg) بخش اصلی برنامه قسمت option folder می باشد و تمام تنظیمات برنامه در این قسمت انجام می گیرد که خود چند قسمت اصلی و فرعی دارد مثل win32 و scan و discover و… درباره تک تک این گزینه ها در ادامه مقاله توضیح می دهیم ( شماره ۲ ) قسمت دیگر برنامه Output است که در این صفحه خاکستری رنگ نتایج اسکن در مورد یک یا چند IP نشان داده می شود و اطلاعات ارزشمندی درباره آیپی هایی که در قسمت Host وارد کردید در این صفحه بدست می آورید ( شماره ۳ ) در پایین ترین قسمت برنامه Status Bar قرار گرفته است که در سمت چپ آن به شما فرمان هایی نشان داده می شود که شما در هنگام تنظیم برنامه در قسمت option Folder بکار می برید و این فرمان ها برای کسانی مفید است که با برنامه اصلی Nmap که تحت لینوکس است و ظاهر گرافیکی ندارد کار می کنند و باید به جای انتخاب گزینه ها،این فرمان ها را برای تنظیم بدهید ( شماره ۴ ) در سمت راست Status bar نیز دکمه سبز رنگی است که این دکمه وقتی کار برنامه متوقف باشد سبز است و وقتی برنامه فعال و در حال اسکن کردن باشد به رنگ قرمز در می آید که در این حالت شما نمی توانید برنامه را تنظیم کنید و باید منتظر باشید تا عملیات اسکنینگ به پایان برسد و دکمه سبز بشود و سپس دوباره برنامه را تنظیم کنید ( شماره ۵ ) با فهرست های اصلی NmapWin آشنا شدید و اکنون توضیح در مورد هر کدام از گزینه های Option Folder. بخش Scan: این قسمت مهمترین قسمت برنامه NmapWin است که خود به ۲ بخش Scan Option و Mode تقسیم شده است ، ما در قسمت Mode نوع پویش و حالت اسکنینگ را مشخص می کنیم چون همانطور که می دانید ما چند نوع پروتکل در TCP/IP داریم مثل پروتکل کنترل انتقال (TCP) و یا پروتکل UDP و یا پروتکل اینترنت یا همان پروتکل IP و همچنین پروتکل پیام کنترل اینترنت (ICMP) و دراین قسمت و قسمت Discover از برنامه نیز شما می توانید اسکن های مختلفی درهر کدام از این پروتکل ها داشته باشید. در Discover کل کاری که پورت اسکنرها انجام می دهند این است که بسته هایی به سمت سیستم هدف که همان IP داده شده به برنامه است و تمام پورت های آن می فرستند و امتحان می کنند تا مشخص شود چه پورت هایی بر روی آن سیستم باز هستند و اطلاعات بدست آمده را در اختیار کاربر برنامه پویشگر قرار می دهند. در پورت اسکنرهای قوی نوع بسته هایی که فرستاده می شوند را می شود انتخاب کرد که NmapWin در قسمت Option Folder و قسمت Scan و گزینه Mode این امکان را در اختیار شما قرار داده است. گزینه Connect: قبل از توضیح درباره این نوع اسکن باید ذکر کنم که در توضیحات ، من از اصطلاحات رایج TCP/IP استفاده کرده ام و این مطالب برای کسانی قابل درک است که آشنایی قبلی با TCP و پروتکل های آن داشته باشند که در مقالات گذشته در مورد شبکه ها و پروتکل های آن مطالبی را ارائه داده ایم. گزینه Connect یک نوع اسکن و پویش از نوع TCP است که سعی می کند تا handshake سه طرفه TCP را با هر پورت هدف روی سیستمی که اسکن می شود را کامل کند ، برای اینکه این موضوع را کامل درک کنید که پویش از نوع TCP Connect به چه صورت است handshake سه طرفه را بیشتر برای کسانی که این مسائل را نمی دانند توضیح می دهیم. برای انجام handshake سه طرفه در ابتدا کامپیوتر ما که یک کلاینت است به سمت سرور یک بسته SYN می فرستد که یک درخواست برای اتصال است. در مرحله بعد اگر سرور این درخواست را قبول کند برای سیستم ما یک بسته SYN/ACK ارسال می کند و سپس در مرحله ۳ کامپیوتر ما یک بسته ACK برای سرور می فرستد و ارتباط بین دو کامپیوتر و شبکه برقرار می شود. تمام اتصال های مجاز TCP مثل Telnet ,Http ,FTP و … بوسیله همین handshake سه طرفه و راهی که در بالا ذکر شد ارتباط برقرار کرده و به همدیگر وصل می شوند. ولی احتمال کمی وجود دارد که اسکن از طریقه گزینه Connect باعث Crash شدن سیستم قربانی بشود. این نکته قابل ذکر است که استفاده از این نوع پویش کمی برای هکر خطرناک است چون اگر پورت باز باشد سیستم هکر handshake سه طرفه را با یک ACK تمام می کند و بعد با استفاده از بسته های FIN اتصال را قطع می کند که این کار سرور برگردانده نمی شود و یا یک بسته RESET فرستاده می شود و این پاسخها به معنی این است که پورت بسته می باشد، در هر صورت اسکن از طریقه گزینه Connect اطلاعاتی از شما را در Log فایل ثبت می کند و هکرهای حرفه ای کمتر از این گزینه برای اسکن استفاده می کنند و اکثر آنها سعی می کنند از اسکنینگ مخفی تری استفاده کنند تا ردپایی از خود در سرور قربانی خود برجای نگذارند. گزینه SYN Stealth: این نوع اسکن که به آن پورت اسکن TCP SYN هم می گویند پیش فرض اسکنینگ ها در برنامه NmapWin می باشد که چند ویژگی نسبت به گزینه Connect دارد ، اول اینکه این نوع اسکن مخفی تر از پویش Connect است ، دلیل آن هم این است که اسکن TCP SYN فقط بسته SYN اولیه را به سمت پورت هدف می فرستد و منتظر جواب SYN-ACK می ماند تا بفهمد که پورت باز است یا خیر، اگر پورت باز باشد و سیستم قربانی بسته SYN-ACK را برای سیستم ما ارسال کند برنامه Nmap و این گزینه سریع یک بسته Reset برای سیستم قربانی می فرستد تا قبل از اینکه اتصال کامل شود آن را قطع کند پس در این صورت دیگر کامپیوتر ما برای سرور بسته ACK نمی فرستد ، بنابراین مرحله ۳ در این نوع اسکن بکار گرفته نمی شود، اگر از طرف سرور یک بسته SYN/ACK برای ما فرستاده شود به این معنی است که آن پورت باز است و اگر یک بسته Rest یا RST/ACK برسد یعنی آن پورت می باشد. (http://www.farsinetwork.ir/) بنابراین این نوع اسکن هویت هکر را پنهان می کند. البته اگر سرور برای ثبت وقایع از برنامه های خاص خود و برای کنترل بسته ها از روترها و فایروالها استفاده کند تا حدودی امکان اسکن کامل و دقیق سیستم از هکرها گرفته می شود. امکان دیگر پویش از طریقه SYN سرعت این نوع اسکنینگ است چون دو سوم Handshake را انجام می دهد و به همین دلیل از نوع اسکن Connect سریعتر به نتیجه می رسد زیرا دیگر بسته ACK را به سمت سیستم قربانی ارسال نمی کند و آخرین نکته این نوع اسکن در این است که اگر یک حمله هماهنگ به سمت سرور با این نوع پویش و فرستادن بسته های SYN بشود ممکن است ( بستگی به قدرت آن سرور و هماهنگ بودن هکرها ) سرور قربانی Down شود، پس با نصب IDs و فایروال های سخت افزاری و با بستن پورت های نامشخص و بی استفاده راه مقابله با هکرها را پیش بگیرید. گزینه های Fin Stealth ,Xmas Tree ,Null Scan: این نوع پویشها برای سیستمهای ویندوز مثل ۲۰۰۰ و ۹x نوشته نشده است و برای این سیستمها کار نمی کنند چون سیستمهای ویندوز از RFC ها در مورد اینکه اگر بسته های FIN ,Xmas Tree ,Null وارد شوند چه زمانی باید Reset فرستاد پیروی نمی کنند، برای مثال کاری که گزینه FIN Stealth انجام می دهد به این صورت است که یک بسته FIN به هر پورت می فرستد که اگر در پاسخ بسته Reset نشان داده شود به معنی بسته بودن پورت است و اگر پاسخی دریافت نشود این نتیجه گرفته می شود که ممکن است پورت باز باشد ولی در کل این ۳ گزینه برای اسکن کردن کلاینت ها و سرورهایی که ازسیسنم عامل هایی غیر از ویندوز استفاده می کنند بکار می رود و خیلی هم سودمند است. گزینه Ping Sweep: این نوع اسکن نیز آیپی های فعال در یک شبکه را پیدا می کند و می توان گفت که این گزینه همان کار IP اسکنینگ ها را انجام می دهد و برای این کار برنامه NmapWin یک بسته درخواست ICMP Echo را به تمام آن IP ها ارسال می کند تا مشخص شود که کدام سیستم ها در آن لحظه فعال هستند، در هر صورت از این گزینه نیز می توانید برای پیدا کردن آیپی های فعال در یک ISP استفاده کنید و سپس به وسیله توضیحاتی که داده شد هر کدام از آن IP ها را برای پیدا کردن پورتهای باز پویش کنید. گزینه UDP Scan: این گزینه برای اسکن کردن پورتهای UPD بکار می رود و برای اینکار یک بسته UPD به پورتهای سیستم هدف می فرستد تا متوجه شود که آیا پورت های UPD در آن سیستم باز است یا خیر. پروتکل UPD پروتکل قابل اطمینانی نیست و بر عکس TCP قابلیت Handshake سه طرفه را ندارد ولی برای سرویسهایی مثل Real Player و برنامه هایی که به تبادل آهنگ و فایل های تصویری و صوتی در شبکه می پردازند و به سرعت بیشتر از امنیت احتیاج دارند این پروتکل انتخاب اول است. برای کسانی که قصد دارند پورتهای UPD یک سیستم را برای امتحان امنیت سرویس های نصب شده بر روی کامپیوتر که از پورت های UPD استفاده می کنند، این گزینه مفید است. گزینه IP Protocol Scan & ACK Scan: این گزینه برای اسکنینگ آیپی ها و مشخص کردن آیپی های فعال و دادن اطلاعاتی در مورد هر IP بکار می رود که تقریباً این گزینه همان کار گزینه ping Sweep را انجام می دهد ولی گزینه Ack Scan بیشتر برای تشخیص فایروالها استفاده می شود و طرز کار آن به این صورت است که یک بسته با کد بیت ACK را به تمام پورتهای موجود در سیستم قربانی می فرستد و امکان ***** کردن بسته ها را در اتصالهای برقرار شده می دهد و نتایج بدست آمده اطلاعات ارزشمندی را در اختیار هکر قرار می دهد از جمله لیستی از پورتهایی که به اتصالهای برقرار شده اجازه ورود به شبکه را می دهند که در نهایت به آنها کمک می کند تا روترها و فایروالهای یک سرور را پیدا کنند. گزینه Window Scan: این نوع اسکن تقریباً مثل اسکن ACK است ولی برای فهمیدن باز یا بسته بودن پورت روی چندین سیستم عامل ، روی اندازه TCP ویندوز تمرکز می کند و کلاً این نوع اسکن کاملتر از پویش ACK است. گزینه RCP Scan & List Scan: اسکن از نوع لیست اسکن تقریباً همان کار اسکن ping Sweep را انجام می دهد ولی بصورت مخفیانه تر و شما می توانید با استفاده از این قابلیت یک اسکن Nmap TCP را از یک سرور FTP که خود نیز خبر ندارد عبور بدهید تا مبدأ حمله را مخفی کنید ولی اسکن از طریقه RCP یکی از کاملترین نوع اسکنینگ است و سرویسهای RPC را اسکن می کند و برای فرستادن دستورهایش از تمام پورتهای TCP و UPD باز در سیستم قربانی استفاده کرده و در نهایت می فهمد که آیا یک برنامه RCP در حال گوش دادن به پورت است یا خیر. در هر صورت این نوع اسکن برای هکرهای حرفه ای خیلی مفید است، برای کسانی که کاملاً با برنامه های RPC آشنایی دارند و با این نوع اسکن می شود از نقطه ضعفهای امنیتی این برنامه ها اطلاع پیدا کرد و سپس از طریقه این حفره های امنیتی به یک سرور نفوذ کرد. این تمام گزینه ها و انواع اسکن ها در برنامه NmapWin و در قسمت Mode در قسمت اسکن بود ولی در بخش اسکن یک گزینه دیگر به اسم Scan Option هم وجود دارد که ۶ گزینه دارد که فقط اولین گزینه آن برای ما کارایی دارد و مورد استفاده قرار می گیرد. بخش اسکن Option و گزینه Port Range: شما با انتخاب کردن این گزینه و فعال کردن آن می توانید Range پورتهایی که مایل هستید در آن سیستم اسکن بشود را بدهید تا پورتهای باز در آن سیستم و در آن Range پورت را به شما نشان بدهد و اگر این قسمت را شما خالی بگذارید در آن سیستم هایی که در Host آیپی های آنها را نوشتید تمام پورتها اسکن می شود و اگر فقط یک شماره پورت در این قسمت بدهید فقط آن پورت در آن سیستم اسکن خواهد شد و اگر هم یک Range مثل ۸۰۰-۲۰۰۰ بدهید تمام پورتهایی که بین این ۲ رنج هستند اسکن خواهد شد. پورتهای مبدأ ۲۵ یا ۸۰ انتخاب خوبی برای شماره پورت ابتدایی بشمار می روند زیرا پورتهای وب سرور و سرویس SMTP میل سرور هستند و ترافیک حاصل از اسکن ، سرور را گمراه می کنند و سرور گمان می کند که این ترافیک از یک وب سرور که از HTTP استفاده می کند می آید. بخش Discover: این بخش نیز یکی دیگر از قسمتهای Option Folder برنامه NmapWin است که خود ۴ گزینه دارد و در مورد هر کدام توضیح می دهیم. گزینه TCP Ping: این گزینه از برنامه برای پینگ در TCP بکار می رود و با فرستادن پینگ که به آن پیام ICMP Echo هم می گویند برای آیپی ها و سیستمهای مشخص شده در برنامه می فهمد که کدام یک از آن سیستمها فعال هستند و بعد از این کار شما می توانید پورتهای آن سیستمهای فعال را اسکن کنید. گزینه TCP+ICMP: این گزینه که پیش فرض قسمت Discover هم است برای پینگ کردن سیستمها در هر ۲ پروتکل ICMP و TCP بکار می رود و در بخش Discover از همه بهتر و مفیدتر است و برای بررسی فایروال های سرورها نیز می شود از این گزینه استفاده کرد . گزینه ICMP Ping: برای پینگ کردن سیستمها در پروتکل کنترل پیام اینترنت (ICMP) می توان از این گزینه استفاده کرد و فقط مخصوص ابن پروتکل است. گزینه Don’t Ping: با فعال کردن این گزینه برنامه هیچ نوع پینگی انجام نمی دهد و بخش Discover از اسکن برنامه حذف و غیر فعال می شود. بخش Options: گزینه Fragmentation: این گزینه زمانی برای ما مفید است که مخفی اسکن کردن ما از نتیجه اسکن برای هکر اهمیت بیشتری داشته باشد ، این گزینه از آیپی های مبدأ برای اسکن استفاده می کند و به وسیله روشهایی آیپی هکر و هر اطلاعاتی راجع به شخص اسکن کننده را پنهان می کند و بیشتر این گزینه زمانی مفید است که اسکنی از نوع FIN-Xmas SYN و یا Null صورت بگیرد ولی در هر صورت با انتخاب این گزینه کمی از کارایی برنامه و نتیجه پایانی اسکن کم می شود. گزینه Get Identd Info: این گزینه نیز برای زمانی مفید است که بخواهیم سیستمی را از نوع پویش Connect اسکن کنیم و می توان گفت این گزینه مکمل اسکن Connect بشمار می رود و با انتخاب این گزینه بهمراه پویش اسکن اطلاعات ارزشمندی می شود از یک سرور بدست آورد. گزینه Resolve All: از این گزینه نیز شما می توانید برای پیدا کردن DNS(domain name server) ها در سیستم ها و آیپی های داده شده به برنامه استفاده کنید ، البته این گزینه بر روی تمام آیپی های داده شده به برنامه عمل Reverse Whois را انجام می دهد و برای آن فرقی نمی کند آن IP فعال است یا Down زیرا از همه آنها Whois می گیرد. این گزینه نیز برای پیدا کردن سرورها و DNS ها خیلی مفید است. گزینه Don’t Resolve: این گزینه عمل Reverse Whois را روی هیچ سیستمی انجام نمی دهد و بیشتر برای زمانی مفید است که شما برای اسکنی که می خواهید انجام دهید احتیاج به سرعت دارید که در این صورت می توانید از این گزینه استفاده کنید. گزینه Fast Scan: این گزینه نیز احتیاج به توضیح ندارد و مشخص است که با انتخاب این گزینه سرعت اسکن بیشتر می شود ولی وقتی که سرعت بیشتر باشد نتیجه اسکن ضعیف تر از حالت عادی اسکن می شود ولی اگر شما به سرعت احتیاج دارید می توانید از این گزینه استفاده کنید. گزینه OS Detection: این گزینه که گزینه پیش فرض قسمت Option هم است یکی از مهمترین گزینه های برنامه می باشد که کار آن حدس زدن و فهمیدن سیستم عامل سیستم در حال اسکن است ولی شاید برای شما جالب باشد که چطوری برنامه NmapWin و این گزینه می تواند نوع سیستم عامل را فقط با دانستن آدرس IP آن حدس بزند برای این کار Nmap از یک تکنیک به نام کپی برداری از پشته TCP/IP استفاده می کند و با کمک گرفتن از RFC ها بسته هایی را به پورتهای مختلفی روی سیستم هدف می فرستد و چگونگی تغییر شماره سریال در بسته SYN-ACK را بررسی می کند و در نهایت نوع سیستم عامل را حدس می زند. گزینه Random Host: این گزینه نیز به آیپی های داده شده در قسمت Host برنامه توجه نمی کند و آیپی هایی را بصورت اتفاقی انتخاب می کند و سپس اسکن می کند. قسمت Debug و گزینه Debug: این گزینه اولین گزینه قسمت Debug است که در قسمت Option قرار دارد که برای دیباگ کردن بکار می رود و با انتخاب این گزینه نتایج دیباگ را شما می توانید در قسمت Output برنامه ببینید. گزینه Very verbose & Verbose: این دو گزینه نیز جزئیات و مراحل اسکن و دیباگ را نشان می دهند که من پیشنهاد می کنم اگر قصد استفاده از گزینه دیباگ را دارید به عنوان مکمل این اسکن از گزینه Very Verbose استفاده کنید چون این گزینه نسبت به گزینه verbose کارایی بیشتری دارد و مراحل اسکن و دیباگ را دقیقتر نشان می دهد. بخش Timing: این بخش خود دارای ۲ قسمت است که در ابتدا قسمت Throttle توضیح می دهیم:
هکرها با توجه به نوع اسکن و زمانی که دارند سرعت های اسکن مختلفی را انتخاب می کنند که بستگی به سرعت و قدرت سیستم فربانی هم دارد، برای مثال اگر سرعت سیستم قربانی کند باشد و ما یک نوع اسکن سریع را انتخاب کنیم ممکن است بعضی از پورتهای باز را از دست بدهیم و یا ممکن است آن سیستم به خاطر بسته های زیادی که به سمت آن فرستاده می شود هنگ و Crash کند. این قسمت از برنامه Nmap برای تنظیم سرعت اسکن بکار می رود که گزینه Normal بهترین انتخاب برای این کار است و اگر سیستم شما ضعیف بود و در حال اسکن با این سرعت هنگ کرد از گزینه Polite استفاده کنید که سرعت کمتری دارد و هر بسته را تقریباً در ۰/۴ ثانیه برای سیستمهای قربانی می فرستد و ۲ گزینه آخر سرعت اسکن را خیلی زیاد می کند و بیشتر برای زمانی مفید هستند که شما وقت کمی برای اسکن دارید و احتیاج به سرعت دارید ولی این نکته را در نظر بگیرید که با سرعت بالا اسکن کردن ضریب اشتباه را بالا می برد و ممکن است بعضی از پورتهای باز مشخص نشود پس بهترین انتخاب گزینه نرمال است که پیش فرض برنامه نیز همین گزینه است. قسمت Timeouts: این قسمت نیز بیشتر برای زمان بندی هر اسکن و پویش بکار می رود و قابلیت سفارشی کردن زمان اسکن را به شما می دهد ، برای مثال با انتخاب گزینه Host Timeout (ms) و فعال کردن آن شما می توانید زمانی را تعیین کنید که برای هر اسکن صرف بشود و گزینه های دیگر نیز تقریباً به همین منظور هستند و برای زمانبندی انواع اسکن بکار می روند. بخش Files: این بخش نیز خود ۲ قسمت دارد که بیشتر برای ذخیره کردن نتایج اسکن بکار می رود. قسمت Input File: این قسمت تقریباً کاره یک passlist در برنامه های کراکر و brute force را انجام می دهد و برای سریعتر کردن کار اسکن می شود از این قسمت استفاده کرد که در این حالت ورودی از یک فایلی که ما انتخاب کرده ایم خوانده می شود. قسمت Output: با انتخاب این گزینه و فعال کردن این قسمت شما می توانید نتایج بدست آمده از اسکن را که در Output نشان داده می شود را در یک فایل با فرمتهای مختلف ذخیره کنید تا بتوانید از روی فرصت پورتها و حفره های باز روی آن سیستم را مورد بررسی قرار دهید، با انتخاب گزینه نرمال نتایج بدست آمده بصورت Log فایل و txt. ذخیره می شود و شما می توانید فرمتهای دیگری مثل XML و یا Grep را انتخاب کنید. بخش Service: این قسمت هم برای سفارشی کردن زمان و روز اسکن آیپی های مشخص بکار می رود و برای مثال می شود یک آیپی را در این قسمت ثبت کرد و یک روز را مشخص کرد و برنامه در صورت انتخاب گزینه AutoStart در آن روز مشخص خود به خود آن IP و سیستم را اسکن می کند و حتی شما می توانید دقیقه و ثانیه شروع عملیات اسکن را در این قسمت مشخص کنید. برای سفارشی کردن زمان و روز اسکن از این قسمت استفاده می شود. بخش Win32: این بخش نیز که قسمت آخر برنامه NmapWin است برای تنظیم بهتر برنامه در ویندوزهای Xp و ۲۰۰۰ می باشد که خود ۲ قسمت دارد که ما گزینه های قسمت اول را توضیح می دهیم ، چون قسمت Commands برای کسانی مفید است که با Nmap تحت لینوکس کار کردند و با خط فرمان آن آشنایی دارند، پس بحث ما روی قسمت اول است. گزینه No Pcap: وقتی که شما برنامه NmapWin را بر روی سیستم خود نصب می کنید، اگر دقت کرده باشید متوجه شده اید که همراه آن pcap هم نصب می شود که برای ویندوزهای ۲۰۰۰ و Xp نوشته شده است و در این ویندوزها می توانید به عنوان مکمل Nmap کارهای پویش را انجام دهید، با انتخاب این گزینه، برنامه دیگر از pcap استفاده نمی کند و pcap غیر فعال می شود و اگر این گزینه را انتخاب کنیم برنامه بجای pcap از Raw Socket به صورت پیش فرض استفاده می کند و از آن کمک می گیرد. گزینه No Raw Socket: اگر این گزینه انتخاب شود Raw Socket غیر فعال می شود و توسط برنامه، دیگر استفاده نمی شود و اگر گزینه No Pcap انتخاب نشده باشد برنامه از pcap به عنوان مکمل و البته در ویندوزهای ۲۰۰۰ و Xp استفاده می کند. گزینه Force Raw Socket: اگر این گزینه را شما انتخاب کنید دیگر pcap غیر فعال می شود و فقط Raw Socket توسط برنامه استفاده می شود. گزینه NT4Route: این قسمت نیز برای کاربران سیستم NT 4.0 است که از این نسخه NmapWin در ویندوز خود استفاده می کنند و با انتخاب این گزینه در صورت استفاده از ویندوز NT می توان اطلاعات ارزشمندی در مورد انواع فایروالهای روی سرورها و کلاینت ها بدست آورد. گزینه Win Trace: این گزینه نیز یکی از بهترین گزینه های برنامه NmapWin است که کار آن استفاده از تکنیک Trace Route برای پیدا کردن روترها و gateway های یک سرور است. با انتخاب این گزینه برنامه برای هر آیپی عمل Trace را انجام می دهد و اطلاعات ارزشمندی درباره هر سیستم در اختیار شما قرار می دهد و البته این گزینه کمی از سرعت اسکن را می گیرد ولی به نظر من ارزش این را دارد و شما نیز سعی کنید از این گزینه به عنوان مکمل برنامه و اسکن خود استفاده کنید. دوستان این تمام گزینه های اسکنر NmapWin بود که برای شما آنها را شرح دادیم، شما با فهمیدن کار هر یک از این گزینه ها و استفاده درست از آنها می توانید بهترین پویش را از یک سرور انجام دهید و اطلاعات زیادی از یک سرور بدست آورید و سپس راه های مختلف نفوذ به یک سرور را با استفاده از پورت های باز آن امتحان کنید تا از میزان امنیت سرور خود و یا کامپیوترهای دیگر مطلع شوید و توسط راه هایی که در مقالات بعدی تیم آشیانه ارائه می شود این حفره های آسیب پذیر را از بین ببرید تا سیستمی همیشه ایمن داشته باشید. امیدواریم از خواندن این مقاله لذت برده باشید و از این اطلاعات در راه های درست و ایمن کردن سرورها استفاده کنید. + منبع: سایت آشیانه + نویسنده مقاله: بهروز کمالیان از تیم آشیانه

اقا دستت درد نکنه
شما که به امنیت اشنایی
من یه سرور 2003 دارم بهش حمله ddos کردن چطوری جلو حمله رو بگیرم؟
یه برنامه مطمین سبک و تست شده میخوام
میشه لطفا بگید کدوم بهتره؟
مرسی

جلوگیری از حملات DDOS (http://www.behsazanhost.com/%D8%A7%D8%AE%D8%A8%D8%A7%D8%B1-%D9%88-%D9%85%D9%82%D8%A7%D9%84%D8%A7%D8%AA/%D8%A2%D9%85%D9%88%D8%B2%D8%B4-%D9%85%DB%8C%D8%B2%D8%A8%D8%A7%D9%86%DB%8C-%D9%88%D8%A8/16-%D8%A7%D9%85%D9%86%DB%8C%D8%AA-%D8%B3%D8%B1%D9%88%D8%B1-%D8%A7%D9%86%D8%AA%DB%8C-%D9%88%DB%8C%D8%B1%D9%88%D8%B3-%D9%87%D8%A7/585-%D8%AC%D9%84%D9%88%DA%AF%DB%8C%D8%B1%DB%8C-%D8%A7%D8%B2-%D8%AD%D9%85%D9%84%D8%A7%D8%AA-DDOS.html)

How To Prevent DDos Attack in windows 2003 Server - Web Hosting Talk (http://www.webhostingtalk.com/showthread.php?t=705910)

---

حمله DDoS چیست؟ (http://www.mypersianforum.com/showthread.php?t=75753)

ممنون دوست عزیز
ولی اولی که مال لینوکس بود دومی هم قبلا انجام دادم یه سری عدد 2 رقمی میده هرسری هم که دستور رو میزنم یه عدد جدید میده میشه بگی با این اعداد باید چه کار کرد؟
من یه سری تنظیمات داخل رجیستری انجام دادم اما فایده نداشت

در مورد مقاله که اشاره کرده بودی فکر میکنم طرف از سرور من spam داده که حالت ddos برای من داشته چون ip ام داخل لیست ای پی های spam شده بود

لطفا بیشتر کمک کنید
ممنون

ممنون دوست عزیز
ولی اولی که مال لینوکس بود دومی هم قبلا انجام دادم یه سری عدد 2 رقمی میده هرسری هم که دستور رو میزنم یه عدد جدید میده میشه بگی با این اعداد باید چه کار کرد؟
من یه سری تنظیمات داخل رجیستری انجام دادم اما فایده نداشت

در مورد مقاله که اشاره کرده بودی فکر میکنم طرف از سرور من spam داده که حالت ddos برای من داشته چون ip ام داخل لیست ای پی های spam شده بود

لطفا بیشتر کمک کنید
ممنون
من برای سرور ویندوز اشنایی چندانی ندارم.!
فقط میتونم توصیه کنم.!
از فایروال سخت افزاری استفاده کنید. به این سایت سر بزنید بد نیست فایروال سخت افزاری ارزان قیمت alphashield (http://www.alphashield.ir/)
و از ابزاری برای بلاک کردن ای پی.!

ویندوز
http://www.webhostingtalk.ir/f55/9063/


لینوکس
http://www.webhostingtalk.ir/f10/624/
http://www.webhostingtalk.ir/f72/5298/
http://www.webhostingtalk.ir/f120/9207/
http://www.webhostingtalk.ir/f10/213/
http://www.webhostingtalk.ir/f10/18260/
http://www.webhostingtalk.ir/f55/1614/

دوست خوب من اینا رو انجام دادم تاثیر نداد
فایر وال سخت افزاری رو هم باید به دیتاسنتر بگم نه؟

دوست خوب من اینا رو انجام دادم تاثیر نداد
فایر وال سخت افزاری رو هم باید به دیتاسنتر بگم نه؟

بله

-------

تفاوت فايروال هاي نرم افزاري با فايروال هاي سخت افزاري

الف: سرعت فایروال های سخت افزاری به مراتب بیشتر از نوع نرم افزاری آن میباشد. فایروال سخت افزاری یک عنصر مجزا در شبکه است و لذا از CPU داخلی خودش استفاده میکند در صورتی که فایروال نرم افزاری CPU کامپیوتر را به کار میگیرد و سرعت عملکرد را کاهش میدهد.
ب: مديريت امنيت و مدیریت ترافیک شبکه توسط فايروال هاي سخت افزاري مطمئن تر و جامع تر است و استفاده از فايروال هاي سخت افزاري Flexablety شبكه را افزايش ميدهد.
ح: امنيت نوع سخت افزاري به مراتب بيشتر از نوع نرم افزاري آن است.
ج: فايروال هاي سخت افزاري از خدمات پس از فروش و پشتيباني برخوردار بوده و قابليت آپديت را دارا ميباشند در صورتی که فایروال های نرم افزاری اکثرا کرک شده و بدون Licene میباشند.
د: یکی از مزایای فایروال سخت افزاری مدیریت پهنای باند است .
و: فایروال نرم افزاری شاید برای شبکه های بسیار کوچک مناسب باشد، ولی برای شبکه های بزرگ و مهم به هیچ عنوان توصیه نمی شود.
ه: پورت های 100 و 1000 روی فایروال های سخت افزاری تعبیه شده است و 8 کارت شبکه به صورت موازی کار میکنند در صورتی که برای نوع نرم افزاری فقط یک کارت شبکه وجود دارد.
ی: وجود قابلیت DMZ در نوع سخت افزاری. در واقع فایروال های سخت افزاری هم داخل شبکه و هم ورودی های خارج شبکه را تحت کنترل دارند به عبارتی هم نفوذ هایی که از خارج انجام میگیرد و هم خرابکاری های داخل شبکه را تشخیص میدهد. در صورتی که فایروال های نرم افزاری بین شبکه و اینترنت واقع شده اند و فقط تهدیدات خارجی را تشخیص میدهند و پورت ها را مسدود میکنند.

حدود قیمت چند است ماهی میدونید؟

نرم افزاری
websense حدود 12هزاردلار http://www.websense.com/global/en (http://www.websense.com/global/en/)

سخت افزاری
PIX Firewall - از 500 تومن شروع میشه تا 10 میلیون ... Cisco Firewalls, Cisco PIX Firewalls Price Buy (http://www.networkliquidators.com/base-units-category-1090.asp)