Метка: InfSecurity

Защита веб приложений с nginx

NGINX

Частенько в процессе работы в IT возникает задача организовать защищенное быстрое функционирование того или иного веб приложения. У кого-то используются свои самописные приложения. У кого-то это сторонние готовые приложения. Но при этом приложения могут работать без аутентификации, либо при запуске использовать большой объем ОЗУ. Это, как правило, приложения на JAVA, Python и т.д., которые запускаются напрямую без использования веб сервера. В принципе, они конечно могут работать и таким образом. Но, в реальных продакшн условиях, это неэффективно с точки зрения компьютерных ресурсов. А также не секьюрно с точки зрения информационной безопасности. Во всех подобных случаях настоятельно советую использовать Nginx веб сервер как реверс прокси для Вашего приложения.

Основные преимущества такой конфигурации просты и очевидны. Во-первых, основная нагрузка по взаимодействию с клиентами перкладывается на профессиональный веб сервер. Nginx с этим делом справляется просто на УРА с минимальными затратами процессора и памяти. Во-вторых, возможность с легкостью устанавливать пароль для доступа к данному приложению. В организационной рабочей среде, приложение без пароля просто находка для хакера. Ну и в-третьих, быстрая настройка доступа через HTTPS протокол, что обеспечивает безопасность передачи данных по сети. Если у Вас публичный сервис, то Вы также можете настроить сертификат с помощью LetsEncrypt, о чем ранее писал в статье на этом блоге. Если сервис непубличный, то придется использовать свои самоподписанные сертификаты.

Читать далее «Защита веб приложений с nginx»

Защищаем свой сайт с LetsEncrypt

https

В Интернете часто приходится видеть много веб сайтов, которые работают только по протоколу http. Также можно наблюдать использование протокола https с самоподписанными сертификатами в глобальной паутине. Для больших организаций это выглядит, как минимум, не серьезно. А как максимум, это и настоящая угроза безопасности при передаче данных между сайтом и клиентами. Если Вы используете пароли, какие-то админки управления на сайте, то без шифрования с помощью https, весь Ваш трафик может быть легко перехвачен и просмотрен. Поэтому, использование шифрования для передачи веб трафика в современном мире это не каприз, а важная необходимость. Для корректного использования протокола https на веб сайте в Интернете необходим цифровой сертификат, который будет выпущен общепризнанным мировым Центром Сертификации. Как правило, такие сертификаты стоят денег, и зачастую хороших денег. Но, сервис letsencrypt позволяет free of charge получить нужные сертификаты на свой веб сайт. Для блогера или особенно человека, который не получает монетизации от своего веб ресурса, это особенно важно и полезно.

В этой небольшой статье хотелось бы поделиться тем, как каждый владелец веб сайта, может настроить шифрование и протокол HTTPS на своем сервере. С моей точки зрения, сервис letsencrypt – просто огромная находка для любого сайтодержателя. Для автоматизации всего процесса получения и обновления цифровых сертификатов используется certbot. При этом поддерживаются популярные веб платформы и методы использования https сертификатов.

Читать далее «Защищаем свой сайт с LetsEncrypt»

Сложный NAT на pfsense

pfsense image

Есть прекрасные коммерческие межсетевые экраны, такие как CheckPoint или Cisco ASA. Однако, среди Open Source решений есть такой отличный продукт, как pfSense, который составляет им серьезную конкуренцию. Он решает большинство аналогичных задач в области информационной безопасности по защите периметра сети. Для pfsense заявлена поддержка пропускной способности до 10 Гб/с. Для получения еще больших скоростей вендором предлагается приобретать платную версию данного фаервола. Но не в этом суть, и не об этом хотелось написать заметку. Упомяну для общей информации, что pfsense работает на базе FreeBSD. В последние годы, большинство разработчиков выбирает для своих продуктов Linux. Девелоперы pfsense тут являются одним из редких исключений. Данный опен сорсный фаервол по сути включает в себя ряд других общедоступных разработок. Но скомпилировано это очень грамотно и элегантно. И все вместе позволяет защищать свою сеть на высоком уровне без лишних платежей производителям.

Читать далее «Сложный NAT на pfsense»

Защита сайта на CMS WordPress

Очень часто встречается в жизни два практически диаметрально противоположных подхода к обеспечению безопасности сайтов или блогов на WordPress. Это либо практически полное игнорирование вопросов информационной безопасности при работе с сайтом. Либо избегание этой CMS, так как в Интернете в открытом доступе постоянно появляется информация о все новых уязвимостях и эксплойтах в WordPress. Соответственно даже начинающий хакер может с легкостью взломать такие сайты. Однако, при продуманном подходе к вопросам Security можно, не впадая в эти две крайности, безопасно использовать платформу WordPress для своих целей в современной сети Интернет. Возможности CMS WordPress по созданию сайтов, блогов, интернет магазинов впечатляют. Знание и использование в работе принципов обеспечения информационной безопасности этой CMS, позволяют задействовать ее комфортно и не испытывать постоянной боязни быть взломанным.

В данной статье сосредоточимся на том, как защититься от сетевых атак из Интернета, а также превентивно предотвратить большинство соответствюущих угроз. Ранее писал об организации резервного копирования и восстановления сайта на WordPress в статье “Бэкап в WordPress”. Совместно используя с методами, которые описываются в этой статье, мы можем обеспечить полноценную защиту нашего сайта от потенциальных угроз в Интернете.

Читать далее «Защита сайта на CMS WordPress»

Защищаем почту с SPF, DKIM, DMARC

mail security

Вы заказали домен для своей организации. Решили использовать сервис электронной почтовой службы для взаимодействия с внешним миром. Есть несколько настроек почтовой системы и DNS сервера, которые позволят в будущем избежать попадания ваших почтовых отправлений в спам. А также защитить Вашу электронную почту от поддельных сообщений. Для этого нам нужно соответствующим образом настроить почтовый сервер и DNS зону, в которой этот почтовый сервер работает. Это стандартные записи в DNS – SPF, DKIM, DMARC. Каждая из них представляет собой отдельную технологию и специфичный способ защиты для электронной почты. Как правило, такая настройка делается при инсталяции нового почтового сервиса. После чего это просто будет работать годами, без необходимости постоянного вмешательства.

Эта заметка является логическим дополнением к моей статье на Хабре – “Советы по организации IT в малом бизнесе”. Там поднималась речь о необходимых знаниях и технических средствах, которые позволят новой организации эффективно с минимальными затратами задействовать современные информационные технологии. В этом же направлении была статься на этом блоге – “Реклама в Интернете”. В целом, мне бы самому хотелось обобщить реальный практический опыт и теоретические знания для формализации материалов, которые критически необходимы любому человеку, для организации IT нфраструктуры своей компании с нуля.

Читать далее «Защищаем почту с SPF, DKIM, DMARC»

Бытовая безопасность с Интернет сервисами

Статья из серии о том, как обычному человеку в современном мире защититься от большинства угроз, которые несет для него кибер пространство, и спать спокойно. Информационные технологии настолько глубоко проникли во все части жизни, что можно забыть о полной приватности и независимости от цифровых технологий. Хотите Вы или нет, но общие правила по информационной безопасности необходимо соблюдать также, как и правила гигиены.

Желание написать эту статью возникло у меня, когда несколько дней назад по SMS на телефон к моей супруге пришел код от mail.ru с уведомлением о том, что кто-то ввел ее логин и пароль и для дальнейшего входа в почтовую систему нужно указать правильный SMS код. Так как она в это время сама не пыталась воспользоваться сервисами электронной почты mail.ru – стало очевидно, что какой-то злоумышленник знает ее логин и пароль и пытается, используя их, получить доступ к ее почтовому ящику. В этой ситуации, было очевидно, что кто-то посторонний узнал ее пароль, с одной стороны. Но с другой стороны была настроена двухфакторная аутентификация для доступа к электронной почте, в результате чего злоумышленник не смог воспользоваться паролем.

Читать далее «Бытовая безопасность с Интернет сервисами»

Тонкости использования SSH

Наверное, каждый системный администратор и программист в процессе своей работы пользуются ssh для подключения к удаленным серверам. Сложно себе представить современный IT мир без SSH. Если раньше это был стандартный протокол для удаленного управления NIX систем, то теперь практически все IT и телекоммуникационное оборудование использует его в своей работе. Протокол SSH использует современные алгоритмы шифрования для передачи трафика между сервером и клиентом. Что передается внутри зашифрованного SSH канала узнать для внешнего наблюдателя невозможно.

В этой статье мы рассмотрим способы туннелирования практически любого типа трафика через SSH. Эти механизмы постоянно используются исследователями информационной безопасности, но мало знакомы для большинства сетевых и системных администраторов. Туннелирование трафика через SSH с одной стороны дает множество возможностей для тех, кто им пользуется. С другой стороны это огромная потенциальная брешь в компьютерной сети любой организации, которая может привести к полной компрометации всех IT систем предприятия.

Читать далее «Тонкости использования SSH»

Базовая защита Linux сервера (часть 2)

В первой части статьи о безопасности сервера Linux я расписал то, как мы защищаем пользователей в системе, их пароли, а также сервис SSH. В этой части остановимся на фаерволе и защите сетевых сервисов от атак типа брут форса. Объединив все это вместе, мы получим общую картину защиты операционной системы от попыток взлома из вне. Для себя уже давно усвоил, что этими настройками нужно обеспечивать любой свой Linux сервер в Интернете, если хочется спать спокойно. Про настройки безопасности отдельных приложений, я думаю, мы поговорим отдельно в дальнейшем.

Персональный фаервол каждого сервера Linux, да и не только сервера, обеспечивается с помощью пакета iptables. В ряде дистрибутивов уже есть определенные готовые настройки для фаервола. Но, к сожалению, далеко не во всех, и, как правило, системному администратору приходится самому настраивать правила iptables. Я думаю, эти знания нужны любому квалифицированному инженеру IT. Функционал iptables очень широк и позволяет создавать из бокса с линуксом очень неплохой маршрутизатор с возможностями NAT и фильтрации пакетов. В контексте данной статьи iptables будет использоваться для фильтрации входящих и исходящих сетевых пакетов.

Читать далее «Базовая защита Linux сервера (часть 2)»

Базовая защита Linux сервера (часть 1)

defence

В процессе работы часто задается вопрос – что нужно делать, чтобы защитить работу серверов под управлением Linux. Многие организации для работы серверных приложений выбирают операционную систему Linux. Кто-то предпрочитает CentOS/RedHat, кто-то Ubuntu/Debian. Принципиальной разницы при работе с ними я не вижу. Есть и другие экзотические дистрибутивы Linux, но в реальном продакшене по опыту они встречаются крайне редко. Время для выполнения работ по администрированию на других дистрибутивах заметно увеличивается. Все что пишу в этой статье применимо ко всем вышеуказанным дистрибутивам с возможными небольшими отклонениями.

Различных приложений, которые работают под управлением Linux не счесть – веб сервера, почтовые сервера, контейнеры, системы управления, ftp и прочие, прочие. Описывать в одной статье способы защиты для каждого из них не представляется возможным, да и нужным. Я сосредоточусь на основных вещах – как работать с пользователями на сервере, как организовывать правильно удаленный доступ через ssh, а так же на базовой фильтрафии сетевых пакетов, поступающих на сервер.

Читать далее «Базовая защита Linux сервера (часть 1)»

Подготовка специалиста по Информационной Безопасности

specialist

Специалисты по информационной безопасности по специфике работы конечно же близки к инженерам IT. Но в целом, у них больше исследовательской части, чем у IT спецов. Они должны постоянно изучать и находить возможные проблемы и угрозы в программном обеспечении и IT инфраструктуре. Навыки и знания в области программирования становятся одними из наиболее важных и востребованных. Проработав в области информационной безопасности более 9 лет, я бы сказал, что они просто критично необходимы.

Раньше в своем блоге писал о том, что нужно, чтобы подготовить практикующего ITшника высокого уровня, готового решать задачи любой сложности. Очень многое из того, что писал в той статье, считаю абсолютно релевантно и при подготовки кибер безопасников. В целом базовая подготовка безопасника должна позволять ему не только настраивать софт и оборудование по информационной безопасности, но и заниматься тестированием на проникновение, а также понимать теоретические основы информационной безопасности.

Читать далее «Подготовка специалиста по Информационной Безопасности»