Защита сервера от взлома: 5 шагов к безопасности аппаратного обеспечения

12.04.2020

У сервера ключевая роль в сетевой инфраструктуре, а значит, он по праву заслуживает особого внимания. Аппаратное обеспечение не терпит экономии на «железе», ПО, обслуживании и, конечно же, на безопасности. Чтобы защитить сервер от основных угроз, придётся взять на вооружение как минимум 5 инструментов.

№ 1. SSH-ключи

Secure Shell (именно так расшифровывается SSH) относится к сетевым протоколам прикладного уровня. Он даёт возможность удалённо управлять ОС или устроить туннелирование TCP-соединений. А ещё с его помощью можно безопасно передавать другие протоколы даже в не защищённой среде. SSH предполагает несколько алгоритмов шифрования и совместим с большинством операционных систем.

Аутентификация может происходить 3 способами:

  1. Через ip-адрес – сопряжён с рисками, а потому используется редко.
  2. По паролю – заключается в следующем: по аналогии с HTTPS во время каждого подключения создаётся общий секретный ключ, который впоследствии обеспечивает шифрование данных.
  3. По ключевой паре – для каждого пользователя генерируются открытый и закрытый ключи. Первый можно раздавать с любого сервера SHH, а второй должен храниться в секрете. Открытый ключ следует разместить в особой директории. Запрос соединения будет замечен SSH при подключении. Именно открытый ключ нужен для создания и отправки вызова. А принять его и правильно ответить можно, только располагая закрытым ключом. Система лишь проверяет соответствие пары, сами же файлы не передаются.

№ 2. SSL-шифрование и PKI

SSL – это протокол, в котором за конфиденциальность отвечает симметричное шифрование, за аутентификацию ключей обмена – асимметричная криптография, а за целостность сообщений – аутентификационные коды.

Центр сертификации и управления сертификатами даёт возможность не только шифровать собственный трафик, но и проверять идентичность прочих пользователей. А PKI предоставляет защиту аппаратного обеспечения от так называемых атак посредника, когда хакеру удаётся имитировать поведение сервера и перехватывать трафик.

Желательно, чтобы аутентификация каждого участника могла состояться только через удостоверяющий центр. Здесь снова понадобятся закрытый и открытый ключи. В ситуации, когда у пользователей уровень доверия к центру высокий, но между собой низкий, следует выдать им открытые ключи. Ведь только УЦ способен определить, принадлежит ли ключ тому или иному участнику.

Правда, настройка центра потребует немало времени и усилий. То же можно сказать об управлении сертификатами. Воплощение этой концепции актуально для активно разрастающейся инфраструктуры. В противном случае можно довольствоваться связью через VPN.

№ 3. VPN

Суть этой технологии в том, чтобы наладить такую связь, безопасность которой сопоставима с защищённой локальной сетью. Собственно, поэтому VPN и расшифровывается как виртуальная частная сеть.

Вы обеспечиваете общественный доступ только клиентам, тогда как внутренние процессы скрыты с помощью VPN. Эта имитация частной сети видима только для ваших серверов. Внедрить VPN можно и на уровне конкретных служб и приложений. В этом случае их потоки данных будут проходить через виртуальный интерфейс.

Сложность воплощения VPN зависит от целого ряда факторов: интерфейса и параметров сервера, настроек файервола, а также используемых приложений. Придётся установить и отладить каждый сервер, рассчитав оптимальные конфигурации. А уже по факту запуска частной виртуальной сети нацелить ПО на использование VPN-туннеля.

№ 4. Файервол

Он же брандмауэр, он же сетевой экран. Это может быть как программное, так и программно-аппаратное средство фильтрации трафика. Файервол помогает защитить отдельные хосты и фрагменты сети от несанкционированных проникновений.

В зависимости от сетевой модели OSI файерволы могут быть реализованы в виде управляемых коммутаторов, инспекторов состояния, посредников прикладного уровня, пакетных фильтров и шлюзов сеансового уровня. А основными составляющими брандмауэра выступают службы, которые делятся на 3 типа:

  1. Открытые. Подключение к ним позволено любому пользователю, в том числе анонимному. К этой группе относится веб-сервер, разрешающий доступ к онлайн-ресурсу.
  2. Закрытые. К ним доступ возможен либо из определённых мест, либо для ограниченного круга пользователей. Как, например, к панели управления ресурсом.
  3. Внутренние. Для них недоступны внешние источники. К таким службам относятся базы данных, принимающие лишь соединения по локальной сети.

Ключевое преимущество файервола – гибкость. Для каждого компонента сети вы можете задать отдельные настройки блокировки или ограничения. Кроме того, правильно настроенный, брандмауэр не будет вступать в конфликты с защитными функциями самого ПО. Наоборот, вы создаёте дополнительный рубеж обороны для защиты сервера.

№ 5. Аудит

Это шаг, позволяющий увязать воедино и оптимизировать перечисленное выше, а также все прочие аспекты безопасности. Ведь сам по себе файервол или шифрование – лишь полумера, если остаются «лазейки» в других аспектах. Поэтому уверенность в системе защиты сервера может гарантировать только комплексная проверка.

Ничто не испытает систему безопасности сервера на взломоустойчивость лучше, чем сам взлом, проведённый сторонними экспертами по информационной безопасности с соблюдением всех предосторожностей. По сути, вам помогают хакеры, исповедующие «светлую сторону силы».

Тщательно изучив структуру и получив всю необходимую информацию от вашего сисадмина, аудиторы проводят всестороннюю атаку, чтобы выявить:

  • типичные уязвимости ПО;
  • факты вмешательства в файловую систему;
  • неверные настройки программ;
  • ошибки конфигурации VPN;
  • некорректности шифрования.

Аудит безопасности сервера преследует простую, но амбициозную цель – обнаружить все возможные «лазейки». Лишь тогда можно построить действительно надёжную систему защиты.

В заключение

Разумеется, всё это требует и времени, и усилий, и финансовых вложений. Но экономия на безопасности сервера может обернуться существенными убытками. Так что это не затраты, а инвестиции в стабильную работу аппаратного обеспечения, которое отвечает за функционирование бизнес-проекта в интернете.

Это интересно:

The Codeby

МоскваРоссия
Офис компании расположен в Москве. Работаем по всему миру.
Где нас найтиМы здесь:
https://pentest.codeby.net/wp-content/uploads/2020/04/img-footer-map12-1.png
Мы в сетиКодебай в Соцсетях
Подпишитесь на нас, чтобы быть в курсе последних событий.
МоскваРоссия
Офис компании расположен в Москве. Работаем по всему миру.
Где нас найтиМы здесь
https://pentest.codeby.net/wp-content/uploads/2020/04/img-footer-map12-1.png
Мы в сетиКодебай в Соцсетях
Подпишитесь на нас, чтобы быть в курсе последних событий.