Naponta akár 800-1500 támadási kísérlet is érkezik a szerver irányába. Az ügyfelek adatbiztonsága elsődleges, így a tűzfal és különböző proaktív rendszerek megléte már nélkülözhetetlen a mai világban. A tűzfal bizonyos szabályok megsértése esetén automatikus IP korlátozást hajt végre, így a szerver elérhetetlenné válik a kliens IP számára. Ez természetesen nem azt jelenti, hogy az internetről érkező összes látogatók egyáltalán nem éri el a megtekintendő weboldalt, csak azt, hogy egy adott IP címről (a szabályok megsértésében érintett végpontról, vagyis a kliens IP-ről) érkező kéréseket elutasítja a szerver. Más viszont megtudja tekinteni ettől függetlenül a weboldalt.
Miért korlátoz a tűzfal szolgáltatás?
Az esetek többségében a korlátozás a kliens oldali problémákból és felhasználási típusokból fakadnak, melyre a szolgáltatónak nincs ráhatása, valamint azok elhárítására sincs módja, nem tartozik a feladati közzé.
-
- Helytelen felhasználónév/jelszó párossal próbál a kliens IP belépni adott időegység alatt valamelyik szolgáltatásba, mint például az FTP, Email, Mysql, SSH vagy DirectAdmin. Ez lehet akár egy hibásan beállított levelezőkliens alkalmazás is. (Outlook, Thunderbird, stb.)A korlátozást természetesen a fiókok védelme (BurtaForce elleni védelem) érdekében alkalmazzuk. A leggyakoribb korlátozást kiváltó ok, az esetek 99%-a.
-
- Túl sok – akár több száz – egyidejű, vagy adott időegység alatt halmozott kapcsolatot hoz létre a kliens IP a szerver irányába. (Bármilyen alkalmazás kapcsolathívása: SSH, FTP, Email, Fejlesztőalkalmazások, Böngészők, stb)
-
- Túl sok – akár több száz – egyidejű alkalmazás-szálat futtat a kliens IP a szerveren. Bármily helytelenül megírt és futtatott alkalmazás okozhat ilyet. SSH gyorsan ellenőrizhető:
top -U user
A user szót helyettesítsd be a DirectAdmin felhasználóneveddel. Ha már 20-30-nál több szálat látunk, az probléma.
- Túl sok – akár több száz – egyidejű alkalmazás-szálat futtat a kliens IP a szerveren. Bármily helytelenül megírt és futtatott alkalmazás okozhat ilyet. SSH gyorsan ellenőrizhető:
-
- Olyan porton kapcsolódik a kliens IP a szerverhez, amely a tárhely szolgáltatás nyújtásához és a kiszolgáláshoz nem kapcsolódik közvetlenül, vagy nem standard port. Esetleg port szkennelés érkezik a kliens IP-ről.
-
- Relay szerverként akarja a kliens IP használni a szervert.
-
- Egyéb organikus vagy nem organikus támadást, vagy támadás jellegzetességeire utaló magatartást tanúsít a kliens IP. Ez esetben a Modsecurity is, mint proaktív védelem korlátozhatja a szolgáltatás elérését. Ilyen eset lehet a weboldal fejlesztése (például WordPress) közben egy káros vagy annak tűnő kód/szkript futtatása.
-
- Jellemzően olyan országból, tartományból kapcsolódik a kliens IP, amely fekete listán van, mivel a támadások 70%-a innen érkezik. Ilyen lehet Kína, Oroszország, stb. Nagyon ritka eset!
- Alkalmazás sérülékenységet érintő kérés érkezik a szerver irányába.
Korlátozások időtartama
Időleges korlátozások (Temp Ban)
Az alábbi táblázat összefoglalja, hogy milyen időtartamra történik az ideiglenes korlátozás a hibás belépési kísérletek száma szerint.
| Szolgáltatás | Hibák Száma | Korlátozás |
| FTP | 10 | 15 perc |
| SMTP | 10 | 15 perc |
| POP3 | 10 | 15 perc |
| IMAP | 10 | 15 perc |
| SSH | 5 | 60 perc, 3600 sec |
| MODSEC | 5 | 15 perc, 900 sec |
| DirectAdmin | 10 | 15 perc |
Permanens korlátozások (Perm Ban)
Amennyiben 24 órán belül 4 alkalommal megismétlődik az időleges korlátozás, a kliens IP permanens, azaz végleges korlátozást kap. A súlyos tűzfal és házirend megsértésének tekinthető esemény sorozatot követően (többszörösen ismétlődő, vagy akár a szerver üzemet vagy a nyújtott szolgáltatásra vonatkozó minőségi paramétereket is veszélyeztető) már nem kerül automatikusan feloldásra a kliens IP.
Korlátozás feloldásának menete
Az alábbiak szerint történik a szerveren az IP cím feloldás menete:
- Időleges korlátozás esetén: a feltüntetett időtartam lejáratát követően a tűzfal automatikusan eltávolítja a kliens IP-címét a szerver feketelistájáról, és a korlátozás megszűnik a következő incidensig. A feloldás manuálisan nem igényelhető, várd meg, amíg letelik a fent megjelölt időtartam, vagy kérj le új IP címet a szolgáltatódtól, amennyiben lehetséges!
- Permanens Korlátozás:A szerveren kizárólag manuálisan oldható fel, vagy a teljes feketelista időbeni kifutása és ürítése esetén.
- Feloldás a Szolgáltató szerverén: Amennyiben már rendelkezel Prémium támogatás szolgáltatással, úgy kérd le az IP címed, majd küld el azt nekünk egy hibajegyben. Ezt követően kikeressük a log naplókból a kliens IP címét, és megszüntetjük a korlátozó bejegyzéseket.
- Feloldás a Kliens IP oldalon: kérj le egy új IP címet az internet szolgáltatódtól. (ez persze a kiváltó okokat nem fogja megszűntetni, így a korlátozás megismétlődhet az új IP címedre is!)
Korlátozás okának felderítése
A tűzfal által alkalmazott korlátozást kiváltó probléma felderítésére az alábbi lépéseket tudjuk javasolni:
- Ellenőrizd a log naplókat, hogy a korlátozás milyen okokra vezethetőek vissza.
- Ellenőrizd a Modsecurity naplót, hogy a korlátozás milyen okokra vezethetőek vissza.
- Ellenőrizd a fent felsorolt, leggyakoribb kiváltó okokat, hogy nem állnak-e fenn a kliens IP esetén.
- Prémium Támogatással: kérd le az IP címed, majd küld el azt nekünk egy hibajegyben. Ezt követően kikeressük a log naplókból a vonatkozó korlátozást és annak kiváltó okát, amelyet megküldünk a részedre.
A teljes, ömlesztett tűzfal naplókat adatvédelmi okokból nem áll módunkban kiadni, így azt ne is kérd. Megértésed köszönjük!
