افزایش امنیت فایروال ویندوز برای جلوگیری از سوء استفاده شبکه ناشی از Netscan

مقدمه: این آموزش برای کمک به شما در تقویت امنیت فایروال ویندوز برای کاهش سوء استفاده شبکه طراحی شده است. این آموزش به دو جنبه حیاتی می‌پردازد:

1. مسدود کردن پورت‌های Teredo برای جلوگیری از اتصالات خروجی به سرورهای خارجی.
2. مسدود کردن ترافیک به محدوده‌های آدرس IP خصوصی که معمولاً با شبکه‌های داخلی مرتبط هستند.

سوء استفاده شبکه می‌تواند منجر به نقض شرایط خدمات (ToS) ارائه‌دهندگان هاستینگ یا خطرات امنیتی شود. با دنبال کردن این راهنما، یاد خواهید گرفت که چگونه فایروال ویندوز را به طور مؤثر پیکربندی کنید.

پیش نیازها:

• دسترسی مدیریتی به یک سرور ویندوز.
• آشنایی با عملیات پایه فایروال ویندوز.

مرحله 0: دسترسی به تنظیمات فایروال ویندوز ابتدا تنظیمات Windows Defender Firewall را با استفاده از یکی از این روش‌ها باز کنید:

روش 1: کلید Windows + R را فشار دهید تا کادر محاوره‌ای "Run" باز شود. wf.msc را تایپ کرده و Enter را فشار دهید. روش 2: از منوی Start، "Windows Defender Firewall with Advanced Security" را جستجو کرده و آن را انتخاب کنید.

برای مراحل بعدی (مرحله 1 و مرحله 2)، قوانین خروجی جدید را با دنبال کردن این رویه‌ها ایجاد خواهید کرد:

• در پنجره "Windows Defender Firewall with Advanced Security":
  • روش 1: روی "Outbound Rules" در سمت چپ کلیک کنید و در قسمت Actions سمت راست، "New Rule..." را برای ایجاد یک قانون خروجی جدید انتخاب کنید.
  • روش 2: روی "Outbound Rules" راست کلیک کرده و "New Rule..." را انتخاب کنید.

مرحله 1 - مسدود کردن پورت‌های Teredo (پورت 3544): هدف در اینجا جلوگیری از اتصالات خروجی به سرورهای خارجی در پورت 3544 است که معمولاً توسط Teredo استفاده می‌شود.

یادداشت‌ها:

• اگر اسکن‌های شبکه به نرم‌افزار دیگری نسبت داده می‌شود، می‌توانید این قانون را برای مسدود کردن پورت مربوطه تنظیم کنید.
• در نظر بگیرید که نرم‌افزار یا سرویس مشکل‌ساز را غیرفعال کنید به جای مسدود کردن پورت‌های فایروال آن، به ویژه اگر پورت برای اهداف قانونی استفاده می‌شود.

برای مسدود کردن پورت 3544، پس از تکمیل "مرحله 0" مراحل زیر را دنبال کنید:

1. در "New Outbound Rule" wizard، دکمه رادیویی "Port" را انتخاب کرده و "Next." را کلیک کنید.
2. در لاگ ارائه شده، نوع اتصال UDP است. در همان مرحله، تحت "Does this rule apply to TCP or UDP"، دکمه رادیویی UDP را انتخاب کنید. در همان مرحله، تحت "Does this rule apply to all remote ports or specific remote ports"، "Specific remote ports" را انتخاب کرده و "3544" را در فیلد مشخص شده وارد کنید. "Next." را کلیک کنید.
3. مطمئن شوید که دکمه رادیویی "Block the connection" انتخاب شده است و "Next." را کلیک کنید.
4. تنظیمات پیش‌فرض برای "When does this rule apply?" را نگه دارید و "Next." را کلیک کنید.
5. یک نام (اجباری) و توضیحات اختیاری برای قانون خود ارائه دهید. "Finish" را کلیک کنید تا قانون ایجاد شود.

اکنون، فایروال شما هرگونه اتصالی را که سعی در دسترسی به مقاصد خارجی در پورت 3544 دارد، قبل از خروج از سرور شما، مسدود و قطع می‌کند.

مرحله 2 - مسدود کردن ترافیک به شبکه‌های خصوصی: در این بخش، قوانین فایروال را برای مسدود کردن ترافیک خروجی به محدوده‌های خاص آدرس IP خصوصی ایجاد خواهید کرد:

• 10.0.0.0/8
• 172.16.0.0/12
• 192.168.0.0/16
• 100.64.0.0/10

این محدوده‌های IP برای استفاده داخلی/خصوصی رزرو شده‌اند و نباید از یک سرور عمومی به آنها دسترسی داشت تا از مشکلات ناشی از برنامه‌های نادرست پیکربندی شده جلوگیری شود.

برای مسدود کردن این محدوده‌های IP خصوصی، پس از تکمیل "مرحله 0" مراحل زیر را دنبال کنید:

1. در "New Outbound Rule" wizard، دکمه رادیویی "Custom" را انتخاب کرده و "Next." را کلیک کنید.

2. انتخاب برنامه را به "All programs" بگذارید و "Next." را کلیک کنید. تنظیمات پیش‌فرض پروتکل و پورت را نگه دارید و "Next." را کلیک کنید.

3. تحت "Which remote IP addresses does this rule apply to?" دکمه رادیویی "These IP addresses" را انتخاب کنید.

4. "Add..." را کلیک کنید تا محدوده‌های آدرس IP برای مسدود کردن مشخص شود.

5. در فیلد "This IP address or subnet"، اولین محدوده آدرس IP برای مسدود کردن را وارد کنید (مثلاً "10.0.0.0/8") و "OK." را کلیک کنید.

6. مرحله 5 را برای محدوده‌های باقی‌مانده آدرس IP تکرار کنید:

   • 172.16.0.0/12
   • 192.168.0.0/16
   • 100.64.0.0/10

7. پس از اضافه کردن همه چهار محدوده، تنظیمات شما باید شبیه به این پیکربندی باشد.

8. "Next." را کلیک کنید.

9. مطمئن شوید که دکمه رادیویی "Block the connection" انتخاب شده است و "Next." را کلیک کنید.

10. تنظیمات پیش‌فرض برای "When does this rule apply?" را نگه دارید و "Next." را کلیک کنید.

11. یک نام (اجباری) و توضیحات اختیاری برای قانون خود ارائه دهید. "Finish" را کلیک کنید تا قانون ایجاد شود.

قانون خروجی اکنون فعال است و هرگونه ترافیک خروجی به محدوده‌های آدرس IP مشخص شده را مسدود می‌کند، که به جلوگیری از سوء استفاده و مشکلات احتمالی کمک می‌کند.

مرحله 3 - فعال‌سازی IPv6 (اختیاری): اگر به اتصال IPv6 نیاز دارید، می‌توانید آن را فعال کنید در حالی که اطمینان حاصل کنید که Teredo غیرفعال است. سرورهای Hetzner معمولاً از پشتیبانی بومی IPv6 برخوردار هستند.

مرحله 4 - شناسایی مقصران (اختیاری): اگر لاگ سرور شما با نمونه‌های نشان داده شده متفاوت است و مشکوک هستید که پورت‌ها یا سرویس‌های دیگر باعث سوء استفاده شبکه شده‌اند، می‌توانید مقصر را با روش‌های مختلف شناسایی کنید.

نکته 1: از PowerShell برای شناسایی فرآیند مسئول یک پورت خاص (مثلاً 59244) استفاده کنید:

1. PowerShell را به عنوان مدیر باز کنید.

2. دستور زیر را وارد کنید، 59244 را با شماره پورت از لاگ خود جایگزین کنید:

   Get-Process -Id (Get-NetUDPEndpoint -LocalPort 59244).OwningProcess

نکته 2: از CMD برای یافتن شناسه فرآیند برای یک پورت خاص استفاده کنید:

1. CMD را باز کنید.

2. دستور زیر را وارد کنید، XXXX را با شماره پورت جایگزین کنید:

   netstat -ano | findStr "XXXX"

این دستور شناسه فرآیند را در ستون آخر نمایش می‌دهد. می‌توانید فرآیند را با ابزارهایی مانند Process Explorer شناسایی کنید.

نتیجه‌گیری: این آموزش به شما بینشی در مورد پیکربندی فایروال ویندوز برای افزایش امنیت در برابر سوء استفاده شبکه ارائه کرده است. با مسدود کردن پورت‌های Teredo و جلوگیری از دسترسی به محدوده‌های آدرس IP خصوصی، می‌توانید اطمینان حاصل کنید که با سیاست‌های ارائه‌دهنده هاستینگ مطابقت دارید و سرور خود را از مشکلات احتمالی محافظت می‌کنید. علاوه بر این، شما تکنیک‌هایی برای شناسایی و رسیدگی به مقصران سوء استفاده شبکه آموخته‌اید اگر لاگ سرور شما سناریوهای متفاوتی را نشان دهد.