Bir çoğumuz sunucuların kurulum ve konfigürasyon aşamasında çok geçmeden IPTABLES servisini aktif eder ve gerekli kuralları yazarak en iyi korunmayı sağlamaya çalışır. Çünkü internette hedefli/hedefsiz randomize olarak birçok saldırı ve brute-force ataklarını görev edinmiş kitlecikler bulunur. Yani, bir düşmanınızın sizinle uğraşması muhtemel olduğu gibi, IP adreslerinizin internet ağına dahil olmasıyla şifrelerinizin kırılması için işlemler başlatan kişilerde vardır.
Gerek 22 (default) SSH portunuza yapılan brute-force atakları, gerek servis ve yayın yaptığınız portlar üzerine yapılan flood ve diğer saldırılar olsun, bu ve benzeri atakları büyük ölçüde engelleyebilen IPTABLES genellikle bu süprizlerde yanımızda gördüğümüz tek unsur olur.
Bende geçtiğimiz günlerde serverlarımda yayın yapan bir porta sürekli atak yapıldığını farkettim. IP lerimizin up olduğu tarihlerde başlayan brute force ataklarını saymıyorum bile. Fakat canıma tak etti ve ve sonunda bunları bir şekilde bloklamanın zamanı geldi diye düşündüm.
IPTABLES ile;
- belirleyeceğiniz herhangi bir port
- belirleyeceğiniz source-ip (saldırgan ip),
- belirleyeceğiniz destination-ip (saldırılan ip),
- belirleyeceğiniz TCP/UDP protokolü,
- belirleyeceğiniz saniyelik zaman içerisinde,
- belirleyeceğiniz paket (hit) sayısı
kriterlerine dayanarak güzel limitlemeler yapabilirsiniz.
Örneğin web sitenizi yayınladığınız 80 nolu porta kaynağını bilmediğiniz veya değişken kaynaklardan sürekli bağlantı açılıyor olabilir. Bu halde siteniz donanım ve hat kapasitesi sınırlarına kadar dayanacak ve bir süre sonra erişilemez hale gelecektir. Bu saldırıyı önlemek için, olabildiğince az sürede aldığınız paket sayısını gözeterek limitleme yapabilirsiniz. Ben 2 saniyede bir kaynakdan 25 üzeri paket gelmesini istemiyorum. Öyleyse bu kurallar 80 nolu portta bu korumayı gerçekleştirecektir.
iptables -I INPUT -p tcp -s 0/0 –sport 513:65535 –dport 80 -m state –state NEW,ESTABLISHED -m recent –set -j ACCEPT
iptables -I INPUT -p tcp –dport 80 -m state –state NEW -m recent –update –seconds 2 –hitcount 25 -j DROP
iptables -A OUTPUT -p tcp -s 0/0 -d 0/0 –sport 22 –dport 513:65535 -m state –state ESTABLISHED -j ACCEPT
Eğer tek bir IP adresi üzerinden saldırı geldiğini farkettiyseniz, bu bloklamayı sadece bu IP üzerine yapmak daha iyi bir seçim olacaktır. Bunun için birinci ve üçüncü kurallarımızdaki -s 0/0 yerine -s 88.x.y.z (ip adresi) yazmanız gerekir.
