Podobnie jak to pytanie dotyczące przepełnienia stosu, co powinien wiedzieć administrator systemu, który jest przyzwyczajony do prywatnych sytuacji w intranecie, zanim będzie administratorem witryny publicznej?
Mogą to być kwestie związane z bezpieczeństwem, takie jak „nie zostawiaj urlopu telnet
otwartego”, lub praktyczne rzeczy, takie jak równoważenie obciążenia dla witryny o dużym natężeniu ruchu.
Jednym z narzędzi, które uznałem za przydatne do hartowania sieci, jest nessus
Zasadniczo konfigurujesz go na zewnętrznym serwerze i próbuje on zaatakować twoją sieć z całą masą znanych exploitów. Możesz ustawić go w tryb awaryjny (w którym żaden z ataków nie powinien spowodować awarii serwera), lub jeśli masz pewność, że wszystko załatałeś, lub możesz sobie pozwolić na ponowne uruchomienie serwerów, jeśli to konieczne, w trybie niebezpiecznym .
Następnie dostarczy bardzo kompletny, stopniowany raport dla każdego komputera, na którym zobaczy, jakie słabości / słabości wykryje, i oceni je pod względem dotkliwości - a nawet zaleci działania, które należy podjąć, aby rozwiązać problemy.
źródło
Powinni wiedzieć, jak działa ich system tworzenia kopii zapasowych i odzyskiwania danych po awarii oraz w jaki sposób odzyskają system, kiedy / jeśli zostanie zagrożony.
źródło
Jest to trochę sprzeczne, ale ze względów bezpieczeństwa nie rozróżniam serwera wewnętrznego od zewnętrznego. Wcześniej czy później ktoś popełni błąd w zaporze ogniowej, zarząd będzie nalegał na ujawnienie serwera z powodu ważnego klienta, Betty w księgowości w jakiś sposób uzyska klienta VPN na zainfekowanym komputerze domowym itp.
To powiedziawszy, warstwy są twoim przyjacielem i powinieneś domyślnie znaleźć się na czarnej liście.
Warstwy - powinieneś mieć wiele warstw zabezpieczeń. Na przykład zapora sprzętowa i zapora programowa. Teoretycznie służą temu samemu celowi, ale posiadanie wielu warstw chroni przed błędami i łagodzi skutki wykorzystania jednej warstwy.
Kolejnym aspektem nakładania warstw jest „homeycombing”, czyli zasadniczo wiele stref DMZ. W pewnym momencie musisz mieć pewien poziom zaufania między swoimi komputerami a osobami uzyskującymi dostęp do twoich kont. Jeśli możesz zawęzić te punkty interakcji, możesz ściśle kontrolować rodzaj ruchu, któremu ufasz w dowolnym momencie. Na przykład, jeśli oddzielisz serwery interfejsu / aplikacji od serwerów bazy danych, zmniejszysz poziom zaufania. Jeśli Twoje serwery aplikacji zostaną naruszone, osoby atakujące uzyskują minimalny dostęp do infrastruktury (to znaczy, aby kontynuować atak i próbować wykorzystać inne serwery, mają tylko ustalone punkty zaufania).
Jeśli chodzi o domyślnie czarną listę, powinieneś zasadniczo zamknąć wszystko i zażądać (nawet jeśli to tylko od ciebie) uzasadnienia dla każdego otwieranego portu, nazwy użytkownika, na który zezwalasz na dostęp, zainstalowanej aplikacji itp.
źródło
W systemach z DOWOLNYMI interfejsami publicznymi upewnij się, że użytkownicy mają bezpieczne hasła , wdrażając zasady bezpiecznych haseł i testując plik haseł za pomocą narzędzia do łamania haseł, takiego jak John Ripper
Możesz dodatkowo zabezpieczyć się przed atakami polegającymi na odgadywaniu hasła, blokując adresy IP po kilku nieudanych próbach. Dobrym narzędziem do tego (na Linuksie) jest fail2ban
źródło
Twój przełącznik może zostać zhakowany, a ktoś może manipulować danymi. Jeśli nie jesteś właścicielem przełącznika, skonfiguruj VPN, ponieważ ograniczenie dostępu do zapory ogniowej może nie być wystarczające.
Nie pozostawiaj portów otwartych, ale tych, do których chcesz uzyskać dostęp do użytkowników i hakerów. Co miesiąc skanuj własne serwery z innej strony.
Nie zostawiaj domyślnego portu ssh otwartego dla hakerów.
źródło