Бібліотека користувача. Добірка матеріалів, інструкції, питання відповіді та навчання | covid-19

Захист сервера від злому

Сервера будь-якої компанії рано чи пізно можуть стати мішенню для злому або вірусної атаки. Зазвичай результатом такої атаки стає втрата даних, репутаційний або фінансовий збиток, тому питанням забезпечення безпеки серверів варто приділити увагу в першу чергу.

Слід розуміти, що захист від злому серверів — це комплекс заходів, в тому числі на увазі постійний моніторинг роботи сервера і роботу по вдосконаленню захисту. Неможливо захистити сервер від зовнішнього доступу раз і назавжди, адже кожен день виявляються нові уразливості і з'являються нові способи злому сервера.

Про захист серверів від несанкціонованого доступу ми і розповімо в цій статті.

Способи та методи захисту серверів від несанкціонованого доступу

Фізичний захист сервера

Фізичний захист. Бажано, щоб сервер знаходився в захищеному ЦОДі, закритому і приміщенні, що охороняється, у сторонніх не повинно бути доступу до сервера.

Встановіть аутентифікацію по SSH

Під час налаштування доступу до сервера використовуйте аутентифікацію по ключам SSH замість пароля, оскільки такі ключі набагато складніше, а іноді і просто неможливо зламати за допомогою перебору варіантів.

Якщо ж вважаєте, що вам все-таки необхідно отримати пароль, обов'язково обмежте кількість спроб його введення.

Зверніть увагу, якщо при вході ви бачите подібне повідомлення:

Last failed login: Tue Sep 28 12:42:35 MSK 2017 from 52.15.194.10 on ssh: notty
There were 8243 failed login attempts since the last successful login.

Воно може свідчити, що ваш сервер намагалися зламати. У такому випадку для налаштування безпеки сервера змініть порт SSH, обмежте список IP, з яких можливий доступ до сервера або встановіть, автоматично блокуючу надмірно часту і підозрілу активність.

Регулярно встановлюйте останні оновлення

Для забезпечення захисту сервера вчасно встановлюйте останні патчі і оновлення серверного програмного забезпечення, яке використовуєте — операційної системи, гипервизора, сервера баз даних.

Бажано перевіряти наявність нових патчів, оновлень і повідомлення про виявлені помилки / вразливості кожен день, щоб запобігти атакам, що використовують уразливості нульового дня. Для цього підпишіться на новини від компанії-розробника ПЗ, стежте за її сторінками в соцмережах.

Захищайте паролі

До сих пір одним з найбільш поширених способів отримати доступ до сервера є злом пароля сервера. Тому дотримуйтеся загальновідомих, але тим не менш актуальних рекомендацій, щоб не залишити сервер без захисту:

  • не використовуйте паролі, які легко підібрати, такі як назва компанії;
  • якщо ви до сих пір використовуєте дефолтний пароль для консолі адміністратора — негайно змініть його;
  • паролі на різні сервіси повинні бути різними;
  • якщо вам необхідно передати пароль кому-небудь, ніколи не відправляйте IP-адреса, логін і пароль в одному і тому ж листі або повідомленні в месенджері;
  • для входу в обліковий запис адміністратора можна встановити двоетапну перевірку.

Файрвол

  • Переконайтеся, що на сервері є файрвол, він налаштований і він працює весь час.
  • Захищайте і вхідний, і вихідний трафік.
  • Слідкуйте за тим, які порти відкриті і для яких цілей, не відкривайте нічого зайвого, щоб знизити число ймовірних вразливих місць для злому сервера.

Зокрема, файрвол дуже допомагає в захисті сервера від ddos атак, тому що можна швидко створювати забороняють правила файрвола і вносити в них IP-адреси, з яких йде атака, або блокувати доступ до певних додатків, за певними протоколами.

Моніторинг та виявлення вторгнень

  • Обмежте ПО і служби, що працюють у вас на сервері. Періодично перевіряйте всі, що у вас запущено, і якщо виявляться якісь незнайомі вам процеси, видаляйте їх негайно і починайте перевірку на віруси.
  • Періодично перевіряйте наявність слідів злому. Про злом можуть свідчити нові облікові записи користувачів, які ви не створювали, переміщення або видалення файлу /etc/syslog.conf, видалені файли /etc/shadow і /etc/passwrd.
  • Моніторьте роботу вашого сервера, стежте за його звичайною швидкістю і пропускною спроможністю, так ви зможете помітити відхилення, наприклад, коли навантаження на сервер стала значно більше звичайного.

Рекомендуємо використовувати спеціалізовані системи виявлення та запобігання вторгнень (IDS / IPS). Наприклад, міжмережеві екрани Cisco ASA Firepower оснащені відповідним модулем, потрібно тільки його правильно налаштувати.

Використання VPN і шифрування SSL/TLS

Якщо необхідний віддалений доступ до сервера, він повинен бути дозволений тільки з певних IP-адрес і відбуватися по VPN.

Наступним етапом забезпечення безпеки може бути настройка SSL, яка дозволить не тільки шифрувати дані, але і перевіряти ідентичність інших учасників мережевої інфраструктури, видаючи їм відповідні сертифікати.

Перевірка безпеки сервера

Доброю ідеєю буде самостійна перевірка безпеки сервера методом пентеста, тобто моделювання атаки, щоб знайти потенційні уразливості і вчасно їх ліквідувати.

305
RSS
Немає коментарів. Ваш буде першим!