Podobnie jak to pytanie dotyczące przepełnienia stosu, co powinien wiedzieć administrator systemu, który jest przyzwyczajony do prywatnych sytuacji w intranecie, zanim będzie administratorem witryny publicznej?
Mogą to być kwestie związane z bezpieczeństwem, takie jak „nie zostawiaj urlopu telnetotwartego”, lub praktyczne rzeczy, takie jak równoważenie obciążenia dla witryny o dużym natężeniu ruchu.
Odpowiedzi:
Każda aplikacja, każdy plik binarny, każdy pakiet, który istnieje na serwerze, jest obowiązkiem. Subskrybuj zasadę „najmniej bitów”; jeśli nie jest zainstalowany, nie można go złamać.
Wdróż wykrywanie włamań, takie jak Tripwire lub podobne, i często skanuj.
Zainwestuj w sprzętową zaporę ogniową i otwórz tylko porty potrzebne do aplikacji. Nie pozwól, aby twoje porty administracyjne (ssh, rdp itp.) Były publicznie widoczne; ogranicz je do zatwierdzonych adresów IP zarządzania.
Miej kopie zapasowe konfiguracji zapory / przełącznika / routera w momencie rozpoczęcia produkcji. Jeśli jedno z tych urządzeń zostanie naruszone, znacznie szybciej jest odzyskać dane po wyczyszczeniu mózgu urządzenia i ponownym załadowaniu konfiguracji, niż przeprowadzanie kontroli konfiguracji linia po linii, gdy zegar tyka.
nmap często swoje środowisko z zewnątrz, aby upewnić się, że żadne nowe porty nie zostały otwarte.
Nigdy nie ufaj internetowi; upewnij się, że wszystko, co serwujesz do sieci, jest bezpieczne, jak to tylko możliwe (wykonaj weryfikację danych wejściowych po stronie serwera i dezynfekcję, aby zatrzymać na przykład ataki typu SQL injection).
Bądź na bieżąco z łataniem.
Jeśli jesteś narażony na szwank, przebuduj od nowa, używając świeżo pobranych multimediów. Nie możesz już dłużej ufać, że twoje kopie zapasowe są bezpieczne i nie zostały również narażone na szwank (chociaż tripwire może w tym pomóc) w przypadku innych niż obojętne, niewykonywalne dane.
Jednym z narzędzi, które uznałem za przydatne do hartowania sieci, jest nessus
Zasadniczo konfigurujesz go na zewnętrznym serwerze i próbuje on zaatakować twoją sieć z całą masą znanych exploitów. Możesz ustawić go w tryb awaryjny (w którym żaden z ataków nie powinien spowodować awarii serwera), lub jeśli masz pewność, że wszystko załatałeś, lub możesz sobie pozwolić na ponowne uruchomienie serwerów, jeśli to konieczne, w trybie niebezpiecznym .
Następnie dostarczy bardzo kompletny, stopniowany raport dla każdego komputera, na którym zobaczy, jakie słabości / słabości wykryje, i oceni je pod względem dotkliwości - a nawet zaleci działania, które należy podjąć, aby rozwiązać problemy.
Powinni wiedzieć, jak działa ich system tworzenia kopii zapasowych i odzyskiwania danych po awarii oraz w jaki sposób odzyskają system, kiedy / jeśli zostanie zagrożony.
Jest to trochę sprzeczne, ale ze względów bezpieczeństwa nie rozróżniam serwera wewnętrznego od zewnętrznego. Wcześniej czy później ktoś popełni błąd w zaporze ogniowej, zarząd będzie nalegał na ujawnienie serwera z powodu ważnego klienta, Betty w księgowości w jakiś sposób uzyska klienta VPN na zainfekowanym komputerze domowym itp.
To powiedziawszy, warstwy są twoim przyjacielem i powinieneś domyślnie znaleźć się na czarnej liście.
Warstwy - powinieneś mieć wiele warstw zabezpieczeń. Na przykład zapora sprzętowa i zapora programowa. Teoretycznie służą temu samemu celowi, ale posiadanie wielu warstw chroni przed błędami i łagodzi skutki wykorzystania jednej warstwy.
Kolejnym aspektem nakładania warstw jest „homeycombing”, czyli zasadniczo wiele stref DMZ. W pewnym momencie musisz mieć pewien poziom zaufania między swoimi komputerami a osobami uzyskującymi dostęp do twoich kont. Jeśli możesz zawęzić te punkty interakcji, możesz ściśle kontrolować rodzaj ruchu, któremu ufasz w dowolnym momencie. Na przykład, jeśli oddzielisz serwery interfejsu / aplikacji od serwerów bazy danych, zmniejszysz poziom zaufania. Jeśli Twoje serwery aplikacji zostaną naruszone, osoby atakujące uzyskują minimalny dostęp do infrastruktury (to znaczy, aby kontynuować atak i próbować wykorzystać inne serwery, mają tylko ustalone punkty zaufania).
Jeśli chodzi o domyślnie czarną listę, powinieneś zasadniczo zamknąć wszystko i zażądać (nawet jeśli to tylko od ciebie) uzasadnienia dla każdego otwieranego portu, nazwy użytkownika, na który zezwalasz na dostęp, zainstalowanej aplikacji itp.
W systemach z DOWOLNYMI interfejsami publicznymi upewnij się, że użytkownicy mają bezpieczne hasła , wdrażając zasady bezpiecznych haseł i testując plik haseł za pomocą narzędzia do łamania haseł, takiego jak John Ripper
Możesz dodatkowo zabezpieczyć się przed atakami polegającymi na odgadywaniu hasła, blokując adresy IP po kilku nieudanych próbach. Dobrym narzędziem do tego (na Linuksie) jest fail2ban
Twój przełącznik może zostać zhakowany, a ktoś może manipulować danymi. Jeśli nie jesteś właścicielem przełącznika, skonfiguruj VPN, ponieważ ograniczenie dostępu do zapory ogniowej może nie być wystarczające.
Nie pozostawiaj portów otwartych, ale tych, do których chcesz uzyskać dostęp do użytkowników i hakerów. Co miesiąc skanuj własne serwery z innej strony.
Nie zostawiaj domyślnego portu ssh otwartego dla hakerów.