web-dev-qa-db-fra.com

Quelles mesures de sécurité doivent être prises lors de l'exécution d'un serveur Web Linux hors de notre bureau?

Je suis intéressé à exécuter le serveur Web de notre société de notre bureau local. Le bureau utilise le partage de fichiers et NAS dispositifs entre autres protocoles de bureau communs. Les pires scénarios que j'ai envisagés seraient quelqu'un d'écoute sur les courriels de la société, de faire des traces de paquet, etc. Je veux .. je veux Pour prendre les précautions nécessaires qui vous aideront à s'assurer que c'est plus difficile Pour une personne ayant une intention malveillante d'avoir accès à notre réseau interne via le serveur Web ou d'écouter potentiellement l'écoute du trafic sortant si la propriété intellectuelle dédiée à la société est connue. Voici certaines des choses que je considère:

  • Désactivation de l'accès au port SSH/FTP de l'extérieur de notre réseau.
  • Modification des ports par défaut (par exemple modification des ports HTTP/HTTPS/SSH/SSH/FTP par défaut)
  • Mise en œuvre des règles de pare-feu sur le serveur Web lui-même
  • Restreindre le partage et l'accès au réseau interne sur ce serveur Linux afin qu'il soit plus difficile de communiquer avec d'autres ordinateurs sur le réseau.

Y a-t-il autre chose qui se démarque? Quelques pratiques de sécurité communes que je devrais adhérer à? Merci d'avance.

11
sparecycle

À moins que vous n'ayez une très bonne raison de le faire, vous constaterez probablement que cela introduit non seulement des risques potentiels pour votre site et votre infrastructure de bureau, mais fournit également une expérience préjudiciable aux utilisateurs de sites Web.

À tout le moins, vous devez utiliser un pare-feu pour laisser tomber tout le trafic à des ports inattendus (probablement 80 et 443, selon que vous utilisez HTTPS ou non) et assurez-vous que le système de serveur Web est isolé à partir d'autres ordinateurs de bureau et réseaux.

Modification des ports HTTP et HTTPS par défaut Vous entraînera des maux de tête concernant les utilisateurs qui devront spécifier un port afin de vous connecter à votre site Web et constitue une protection très limitée pour tout autre service (il faut une question de minutes pour numériser tous les ports possibles sur un Compte tenu de l'adresse IP - si quelqu'un consulte votre serveur, ils constateraient que SSH fonctionnait plutôt sur 2020 que 22).

Vous devez également envisager comment votre réseau pourrait être affecté par des attaques de déni de service, si vous partagez la connexion Internet avec votre serveur Web. Si vous n'avez pas d'isolement complet entre le serveur Web et le reste du réseau, il serait probablement possible d'un attaquant déterminé de pivot de votre serveur Web pour attaquer d'autres systèmes, qui ne sont probablement pas durci pour attaquer de cette façon.

Il serait également important de conserver le serveur Web corrigé avec les derniers correctifs de sécurité, car l'impact d'une attaque pourrait potentiellement aller au-delà du serveur unique.

D'autre part, si vous hébergez votre site via un fournisseur d'hébergement géré, ils auront une bande passante dédiée, des systèmes de pare-feu pour minimiser les connexions entre serveurs, peuvent installer des correctifs de sécurité tels qu'ils sont libérés et, en fonction du fournisseur, peut gérer la base sauvegardes et baisse des procédures.

Il y a très peu de raisons pour les petites et moyennes entreprises à auto-hôte, de sorte que toute décision de le faire ne devrait donc être faite que s'il existe des raisons spécifiques qui ne peuvent pas être surmontées d'une autre manière.

14
Matthew

Je suis surpris que les autres réponses ne soient pas traitées les plus fondamentales des concepts de sécurité concernant les sites Web et les réseaux de sociétés: DMZS

Le concept est que vous placez votre serveur Web sur son propre segment de réseau à l'écart du réseau local d'entreprise. Cela peut être fait via des vlans ou par routage câblé. Ces connexions entre votre LAN de bureau et le DMZ=== doivent également être du pare-feu. Le pare-feu ne doit autoriser que spécifiquement [~ # ~ # ~] Ports à Communiquez entre les systèmes. Cela ne devrait pas inclure bien d'avoir des choses comme être capables de SSH du serveur Web.

L'objectif est de penser que si vous avez accès au serveur Web, comment pourriez-vous atteindre votre bureau? Si vous pouvez penser à des moyens qui pourraient permettre un accès de bureau à partir du DMZ, vous devez les brancher à l'aide du pare-feu.

5
pr-

Dans l'ensemble, je suggérerais d'avoir des périphériques inférieurs à avoir une meilleure sécurité 1. IPS 2. Protection anti-virus 3. Pare-feu

Sample Security Model

IPS (système de prévention de l'intrusion) afin de détecter un trafic suspect basé sur des signatures de motif ...

Il existe certains produits open source à base de Linux disponibles dans IPS/IDS que vous pouvez envisager comme Suricata, Snort ... Jetez un coup d'œil à ce lien pour une meilleure compréhension

http://blog.securitymonks.com/2010/08/26/TRORE-LITTRE-IDSIPS-Engines-Build-their-open-source-solutions/

Certains pare-feu open source peuvent également construire comme PFSense qui permettront/bloquera les paquets entrant/sortant de votre réseau sur la base des règles configurées. Il existe de nombreuses fonctionnalités techniques si vous prenez un pare-feu que vous pouvez utiliser pour une meilleure sécurité ..

Si vous recherchez des dispositifs de sécurité qui vaut son coût, vous pouvez aller pour CheckPoint ou Palo-Alto UTM Security Products .. Vous pouvez aller pour les modèles de base en cas de petit bureau.

L'autre suggestion serait d'utiliser le trafic SSL (HTTPS au lieu de http) pour protéger le trafic par session. Utilisez SFTP au lieu de FTP .. Utilisez SSH au lieu de telnet. Utilisez VPN pour connecter votre serveur de bureau à la maison via Internet via Internet au lieu de l'Internet via Internet au lieu de Exposer le serveur directement sur Internet sur le port de bureau à distance 3389 ..

1
G K