Naponta akár 800-1500 támadási kÃsérlet is érkezik a szerver irányába. Az ügyfelek adatbiztonsága elsÅ‘dleges, Ãgy a tűzfal és különbözÅ‘ proaktÃv rendszerek megléte már nélkülözhetetlen a mai világban. A tűzfal bizonyos szabályok megsértése esetén automatikus IP korlátozást hajt végre, Ãgy a szerver elérhetetlenné válik a kliens IP számára. Ez természetesen nem azt jelenti, hogy az internetrÅ‘l érkezÅ‘ összes látogatók egyáltalán nem éri el a megtekintendÅ‘ weboldalt, csak azt, hogy egy adott IP cÃmrÅ‘l (a szabályok megsértésében érintett végpontról, vagyis a kliens IP-rÅ‘l) érkezÅ‘ kéréseket elutasÃtja a szerver. Más viszont megtudja tekinteni ettÅ‘l függetlenül a weboldalt.
Miért korlátoz a tűzfal szolgáltatás?
Az esetek többségében a korlátozás a kliens oldali problémákból és felhasználási tÃpusokból fakadnak, melyre a szolgáltatónak nincs ráhatása, valamint azok elhárÃtására sincs módja, nem tartozik a feladati közzé.Â
-
- Helytelen felhasználónév/jelszó párossal próbál a kliens IP belépni adott idÅ‘egység alatt valamelyik szolgáltatásba (leggyakrabban rosszul konfigurált email kliens), mint például az FTP, Email, Mysql, SSH vagy DirectAdmin. Ez lehet akár egy hibásan beállÃtott levelezÅ‘kliens alkalmazás is. (Outlook, Thunderbird, stb.)A korlátozást természetesen a fiókok védelme (BurtaForce elleni védelem) érdekében alkalmazzuk. A leggyakoribb korlátozást kiváltó ok, az esetek 99%-a.
-
- Túl sok – akár több száz – egyidejű, vagy adott idÅ‘egység alatt halmozott kapcsolatot hoz létre a kliens IP a szerver irányába. (Bármilyen alkalmazás kapcsolathÃvása: SSH, FTP, Email, FejlesztÅ‘alkalmazások, BöngészÅ‘k, stb)
-
- Túl sok – akár több száz – egyidejű alkalmazás-szálat futtat a kliens IP a szerveren. Bármily helytelenül megÃrt és futtatott alkalmazás okozhat ilyet. SSH gyorsan ellenÅ‘rizhetÅ‘:
top -U user
A user szót helyettesÃtsd be a DirectAdmin felhasználóneveddel. Ha már 20-30-nál több szálat látunk, az probléma.
- Túl sok – akár több száz – egyidejű alkalmazás-szálat futtat a kliens IP a szerveren. Bármily helytelenül megÃrt és futtatott alkalmazás okozhat ilyet. SSH gyorsan ellenÅ‘rizhetÅ‘:
-
- Olyan porton kapcsolódik a kliens IP a szerverhez, amely a tárhely szolgáltatás nyújtásához és a kiszolgáláshoz nem kapcsolódik közvetlenül, vagy nem standard port. Esetleg port szkennelés érkezik a kliens IP-ről.
-
- Relay szerverként akarja a kliens IP használni a szervert.
-
- Egyéb organikus vagy nem organikus támadást, vagy támadás jellegzetességeire utaló magatartást tanúsÃt a kliens IP. Ez esetben a Modsecurity is, mint proaktÃv védelem korlátozhatja a szolgáltatás elérését. Ilyen eset lehet a weboldal fejlesztése (például WordPress) közben egy káros vagy annak tűnÅ‘Â kód/szkript futtatása.
-
- JellemzÅ‘en olyan országból, tartományból kapcsolódik a kliens IP, amely fekete listán van, mivel a támadások 70%-a innen érkezik. Ilyen lehet KÃna, Oroszország, stb. Nagyon ritka eset!
- Port scannelés miatt korlátozza a szolgáltatást a tűzfal. Ez olyan alkalmazások esetén fordulhat elÅ‘, melyek hibásan vannak konfigurálva, vagy hibás működésükbÅ‘l fakadóan percenként vagy sűrűbben scannelik a szerveren elérhetÅ‘ és nyitott portokat. Bizonyos mennyiségű aktivitás után a szerver korlátozni fogja ezeket a kapcsolathÃvásokat!
- Alkalmazás sérülékenységet érintő kérés érkezik a szerver irányába.
Korlátozások időtartama
Időleges korlátozások (Temp Ban)
Az alábbi táblázat összefoglalja, hogy milyen idÅ‘tartamra történik az ideiglenes korlátozás a hibás belépési kÃsérletek száma szerint.
| Szolgáltatás | Hibák Száma | Korlátozás |
| FTP | 10 | 15 perc |
| SMTP | 10 | 15 perc |
| POP3 | 10 | 15 perc |
| IMAP | 10 | 15 perc |
| SSH | 5 | 60 perc, 3600 sec |
| MODSEC | 5 | 15 perc, 900 sec |
| DirectAdmin | 10 | 15 perc |
Permanens korlátozások (Perm Ban)
Amennyiben 24 órán belül 4 alkalommal megismétlődik az időleges korlátozás, a kliens IP permanens, azaz végleges korlátozást kap. A súlyos tűzfal és házirend megsértésének tekinthető esemény sorozatot követően (többszörösen ismétlődő, vagy akár a szerver üzemet vagy a nyújtott szolgáltatásra vonatkozó minőségi paramétereket is veszélyeztető) már nem kerül automatikusan feloldásra a kliens IP.
Korlátozás feloldásának menete
Az alábbiak szerint történik a szerveren az IP cÃm feloldás menete:
- IdÅ‘leges korlátozás esetén: a feltüntetett idÅ‘tartam lejáratát követÅ‘en a tűzfal automatikusan eltávolÃtja a kliens IP-cÃmét a szerver feketelistájáról, és a korlátozás megszűnik a következÅ‘ incidensig. A feloldás manuálisan nem igényelhetÅ‘, várd meg, amÃg letelik a fent megjelölt idÅ‘tartam, vagy kérj le új IP cÃmet a szolgáltatódtól, amennyiben lehetséges!
- Permanens Korlátozás:A szerveren kizárólag manuálisan oldható fel, vagy a teljes feketelista idÅ‘beni kifutása és ürÃtése esetén.Â
- Feloldás a Szolgáltató szerverén: Kérd le az IP cÃmed, majd küld el azt nekünk egy hibajegyben. Ezt követÅ‘en kikeressük a log naplókból a kliens IP cÃmét, és megszüntetjük a korlátozó bejegyzéseket. Az IP cÃm manuális feloldása dÃjhoz kötött, érdeklÅ‘dj a vonatkozó dÃjakról!
- Feloldás a Kliens IP oldalon: kérj le egy új IP cÃmet az internet szolgáltatódtól. (ez persze a kiváltó okokat nem fogja megszűntetni, Ãgy a korlátozás megismétlÅ‘dhet az új IP cÃmedre is!)
Korlátozás okának felderÃtése
A tűzfal által alkalmazott korlátozást kiváltó probléma felderÃtésére az alábbi lépéseket tudjuk javasolni:
- Ellenőrizd a log naplókat, hogy a korlátozás milyen okokra vezethetőek vissza.
- Ellenőrizd a Modsecurity naplót, hogy a korlátozás milyen okokra vezethetőek vissza.
- Ellenőrizd a fent felsorolt, leggyakoribb kiváltó okokat, hogy nem állnak-e fenn a kliens IP esetén.
- Prémium Támogatással: kérd le az IP cÃmed, majd küld el azt nekünk egy hibajegyben. Ezt követÅ‘en kikeressük a log naplókból a vonatkozó korlátozást és annak kiváltó okát, amelyet megküldünk a részedre.
A teljes, ömlesztett tűzfal naplókat adatvédelmi okokból nem áll módunkban kiadni, Ãgy azt ne is kérd. Megértésed köszönjük!
