استخدام iptables كفيرول (جميل) ولكن كيف نستخدم نفس القوانين على 100 سيرفر؟

يعلم المختصين انه في نظام التشغيل لينكس فان هناك اداة iptables والتي تعمل كجدول لصلاحيات الوصول الى الخدمات على السيرفر فهي تعمل كبرنامج جدار ناري او فيرول ان صح التعبير (software firewall) وهناك العديد من البرمجيات التي يمكن استخدامها كبرنامج جدار ناري مثل apf .. وغيرها. وهذا لا مشكلة فيه.
اليوم خطر في بالي امر معين. ولنفترض ان لدينا 100 خادم لينكس يعمل فعليا وكل خادم يحتوي على iptables وapf وكل خادم لديه صلاحياته الخاصة وقوائم الحظر الخاصة به.
ماذا لو تعرضت لهجوم على شبكتي كاملة من اي بي معين مثلا تعرضت للهجوم من الاي بي 127.0.0.1 ، وكنت ارغب بان اقوم بحظر هذا الاي بي على جميع سيرفراتي بنقرة زر واحدة، كيف الحل؟
انا اعلم انه يمكنني بواسطة iptables القيام على حظر الاي بي وكذلك بواسطة apf ، واعلم ان apf يحتوي على قوائم معدة مسبقا للحظر. ولكن ماذا لو كنت ارغب بالحصول على قائمة من الايبيهات التي ارغب بحظرها على كامل شبكتي. بحيث اقوم بين الحين والاخر بمعاينتها وتحريرها واضافة اي عناوين ارغب بحظرها اليها... هل واجهت احدكم مثل هذه المشكلة او فكر في حل لمثل هذا الامر؟
الفكرة التي وردت لدي هو ان انشئ مثلا موقع انترنت يكون خاص بي فقط. وان انشئ ملف معين ولنفرض انه blacklist.txt بحيث يتم تغذية هذا الملف عن طريق برمجيات معينة بارقام الاي بي التي ارغب بحظرها على كامل الشبكة وليس على سيرفر واحد بشكل منفصل. وبعدها استخدم التقنية المتوفرة في apf والتي تتيح استيراد قوائم حظر خارجية في استيراد ارقام الاي بي من الملف blacklist.txt بحيث يتم حظرها.
اذا ما راعينا انه:

لدي 100 سيرفر لينكس كل سيرفر يحتوي على iptables و apf وهي قابلة للزيادة او النقصان باي لحظة.

عندما ارغب بحظر اي بي كل ما علي هو حظر الاي بي على سيرفر واحد باستخدام اداة مناسبة وهذة الاداة بدورها سوف تمرر هذا الاي بي ليتم حضرة في ال 99 سيرفر الباقية.

لا ارغب بشراء اي برمجيات. انا اميل لمفتوح المصدر والمجاني.

لا ارغب بتركيب اي عتاد اضافي على الشبكة.

اريد ان اقوم بعملية الحظر وفك الحظر بسرعه وعدم فتح شاشات كثيرة ، فالعملية يجب ان تتم بسرعه.

هل برايكم الحلول والافكار التي طرحتها هذا الحل الأمثل؟ ام ان هناك حلول او افكار افضل؟
وشكرا

التعليقات

mustafa albazy - Mustafa Albazy

حسناً، الجدير بالذكر هنا انك لن تتعرض لهجوم من 127.0.0.1 ابداً :)
اما iptables فهو kernel module لنسخة الايبيات 4 فقط، يوجد عدة موديلات اخرى مثل ip6tables الخاصة بنسخة الايبيات 6.
iptables يعتبر low-level program وهو للاستخدام الداخلي، وهناك برامج تستخدم كـ Front-end مثل APF, CSF وهي تعتمد بالاصل على موديولات الكرنل مثل iptables و ip6tables ، لتوفير User-Friendly CLI للمستخدم.
حبيت اوضح هذه النقطة لان الكثير يفصل بين iptables و البرامج المبسطة مثل csf ويعتبرهم ان كل واحد منهم قائم على نفسه، وهذا الامر غير صحيح.
اما بخصوص ما ذكرت بالتحكم ب iptables لعدد معين من السيرفرات، فهذا الامر لا يمكن بالاعتماد على iptables فقط، لانه للاستخدام الداخلي فقط، ولا بد من استخدام اداة اضافية ان كانت جاهزة او تقوم انت ببرمجتها وان كانت معقدة وفيها الكثيرة من الخصائص والمزايا او مجرد وسيلة لتمرير امر قابل للتنفيذ لمجموعة من السيرفرات.
يمكن تنفيذ ماذكرت بكتابة اداة جداً بسيطة مستخدم bash او python ، وكتابة اداة مثل هذه لن ياخذ اكثر من 30 دقيقة عمل!
بل ويمكن الذهاب لابعد من ذلك وجعل الاداة هذه من مجرد وسيلة لتمرير اوامر لل iptables إلى وحدة تحكم كاملة بالسيرفرات من واجهة CLI واحدة، بحيث تقوم بتنفيذ اي امر كان لاي سيرفر كان او مجموعة السيرفرات كلها، ومن ثم تاتيك المخرجات من كل سيرفر لتعرف ماتم في كل سيرفر وهل العملية نجحت في جميع السيرفرات ام لا، وهي وسيلة جيدة لادارة مجموعة من السيرفرات بدل من الدخول إلى جميع السيرفرات واحد واحد بالطريقة المتعارف عليها.
اما اذا كنت تبحث عن حل جاهز وفوري فيمكنك الاطلاع على csf حيث يوفر خاصية Centralized Firewall Management Unit.
iptables ليس للمهام الخطيرة
بمعنى ان iptables يعتمد على موارد النظام، واي فلود قوي اقوى من قدرة تحمل السيرفر لن يكون iptables قادر على التعامل معه، سوف يتوقف السيرفر عن الاستجابة سريعاً. يفضل في المهام الخطرة استخدام Network HW Equipments لقدرتها وتخصصها في التعامل مع الحالات الخطرة.

uid0 - محمد الشناق

اشكرك اخي لذكر ip6tables
سوف احاول تطبيق ما قاله الاخ cenrak وسوف اضيف بعض مما ذكرته ايضا وسوف اقوم على اضافة اي تفاصيل كرد هنا
نعم كلامك سليم بخصوص استخدام هارد وير للفلود القوي. ولكن كما ذكرت فانني ابحث عن جل برمجي للتعامل مع المشاكل الخفيفية :) التي في الغالب لا تتعدي محاولة الدخول للشل من خلال ايبيهات غريبة كالصين وغيرها . والتي لا تشكل خطورة فلود او DDoS.

uid0 - محمد الشناق

ردا على الاخ مصطفى :) بكل تاكيد لن تتعرض لهجوم من 127.0.0.1 :) ولكنه فقط للتوضيح

cenrak - رائد الخربوش

لا أعلم مدى خبرتك بمجال ادارة مجموعة خوادم، لكن ما تطلبه سهل و لا يتطلب أي برمجية و لا عتاد. يلزم معرفة بـ ssh. لم أستخدم apf لأني شخص أفضل الأدوات الموجودة في النظام أو ببرمجة شئ خاص بيدي

انشئ ملف باسم ips.list، كل سطر فيه IP لخادم

احفظ [iptables-blockall](https://gist.github.com/cenrak/6406143) و [iptables-unblockall](https://gist.github.com/cenrak/6406159) في نفس المجلد مع قائمة الخوادم (اختياري) و أعطهم تصريح x لك

اختياري لو أحببت، أضف رابط السكربتات في PATH

لا تنسى restart للخدمة

في هذه الحالة، سيكون لديك سكربتين لإضافة و حذف IP في ضغطة زي. ما عليك إلا كتابة اسم الأمر و تمرير IP المراد حجبه أو فك حجبه
لو مثلا خوادمك في ازدياد مستمر، تستطيع مثلا إضافة جميع الـ IPs الحوادم في ملف اسمه ips.list و ملف اسمه blocked_ips.list يحوي جميع الـ IPs المراد حجبها، بنسخ [هذا السكريبت](https://gist.github.com/cenrak/6406247) على جميع الخوادم و بتنفيذ [هذا السكريبت](https://gist.github.com/cenrak/6406224) بيكون لديك برمجية صغيرة لإضافة و حذف مجموعة IPs بسرعة و لأي عدد من الخوادم
أعتذر لعدم اجابتي لسؤالك عن apf بسبب جهلي به :). لكن الطرق كثيرة و لا حصر لها.

uid0 - محمد الشناق

كلام منطقي وردك واضح وسوف احاول تطبيقة واضافة اي تفاصيل لدي كرد هنا

smartcard - Smart Card

أظن أن خبرتي الأمنية سيئة جداً لكن لي إقتراح وإستحملني لو كان غبياً ولكن ألا يمكنك تعريف مزود واحد كمنفذ رئيسي (gateway) لبقية المزودات وتقوم بتطبيق قوانين الـ iptables عليه فقط؟

uid0 - محمد الشناق

الاخ الكريم كلامك ممكن يكون صحيح لو كانت السيرفرات كلها على شبكة واحدة، لكن عشان نعقد الامور خلنا نفترض ان ال 100 سيرفر هي على شبكات منفصة
10 في اميركا
20 في فرنسا
50 في السعودية
20 في الهند
السيرفرات يمكن التواصل فيما بينها عن طريق شبكة الانترنت
السيرفرات غير متصلة ببعضها عن طريق VPN

ahmed issa - Ahmed Issa

انا ايضا لست بخبير في ادارة الخوادم ..
اعتقد عندما تمتلك 100 سرفير موزعين حول العالم .. يجب على الشركة ان تعد سرفير مركزي للمراقبة كافة الخوادم الاخري وتطبيق الاوامر عليهم مرة واحدة.
طبعا التطبيق يفضل ان لا يكون بشكل مباشر عن طريق الطرفية .. سافترض ان لديك سرفير ubuntu و الاخر centos يوجد اختلافات في تطبيق الاوامر .. ساقوم بتعريف interface على كل سرفير والسرفير المركزي يتواصل مع الخوادم الاخرى عن طريق هذا interface. هذا الحل يحل اكثر من مشكلة iptables :)
اعتذرا - اللغة العربية الفصحى لدي ضعفية :

uid0 - محمد الشناق

نعم اخي قد يكون كلامك سليم
ولكن وجود عدد 2 انترفيس على السيرفر يعني اننا سوف نضيف عتاد على الخادم ، الهدف هنا من طرح الفكرة هو تطبيق ما تم ذكره دون الحاجة الى عتاد جديد
ونحن هنا لا نتحدث عن مراقبة فالمراقبة يمكن استخدام nagios معها. ولكننا ننتحدث عن تنفيذ اوامر عن بعد اما بصورة مباشرة او بصورة ملتويه.

shel3over

لدي اضافة فيما يخص مشاركة القائمة السوداء من الافضل ان تستخدم git لمشاركتها و في كل commit يقوم بها احد الخوادم تضع في الرسالة الخادم + السبب
بهذه الطريقة سوف تربح الكثير من الامور و المعلومات التي تفيدك في معرفت ماحصل + تقلل من المعلومات التي تنقل في الشبكة لانك سوف تشارك فقط التحديثات و ليس الملف الكامل
و لهذه النقطة اذا لم تعجبك فكرة استخدام git من الممكن استخدام rsync

uid0 - محمد الشناق

فكرة جميلة استخدام git لتحديث القائمة السوداء

	الموضوع و التعليقات و باقي البيانات في هذه الصفحة منقولة و معدلة من المصدر على الرابط التالي : https://io.hsoub.com/culture/371
	هذا الموضوع مرخص تحت : رخصة المشاع الإبداعي BY-SA

المشاركة :