Мурманск
Санкт-Петербург


Общие рекомендации по защите web-серверов

30.07.2024

Web-серверы играют ключевую роль в работе современных компаний, обеспечивая доступность информации и услуг для пользователей. Однако, как и любая другая IT-инфраструктура, они подвержены различным угрозам и рискам, таким как хакерские атаки, DDoS-атаки, SQL-инъекции и межсайтовый скриптинг. В этой статье мы рассмотрим основные рекомендации по защите web-серверов.

  • Удалите ненужные сервисы.

    По умолчанию операционные системы содержат множество сетевых служб, которые не используются. Удаление лишних сервисов снижает количество открытых портов и уменьшает вероятность проникновения злоумышленников в сеть.

  • Создайте отдельные среды для разработки и тестирования.

    Разработчики часто используют рабочие серверы для тестирования новых версий приложений. Однако это может привести к появлению уязвимостей и проблем безопасности. Создание отдельных сред для разработки и тестирования помогает минимизировать риски.

  • Актуализируйте используемые криптографические алгоритмы и секреты, исключите использование:
    1. алгоритмов SSL (все) и TLS ниже версии 1.2, на сегодняшний день они считаются устаревшими и ненадежными;
    2. ненадежных комплектов шифров;
    3. ненадежных алгоритмов согласования ключа;
    4. ключей длиной менее 2048 бит;
    5. сертификатов с истекшим сроком действия.

  • Установите разрешения и привилегии.

    Правильная настройка разрешений и привилегий для пользователей и сетевых служб снижает вероятность несанкционированного доступа к данным и системам.

  • Устанавливайте патчи и обновления.

    Регулярное обновление программного обеспечения и установка исправлений помогают закрыть обнаруженные уязвимости и предотвратить новые атаки.

  • Внедрите средства межсетевого экранирования с последующей настройкой, ограничивающей доступ к ресурсам посредством белых списков IP-адресов.

  • По возможности используйте средства межсетевого экранирования уровня приложений (WAF).

  • Не используйте доступ по FTP и SAMBA на сервер с прикладными сервисами.

  • Реализуйте ограничение на загрузку исполняемых файлов, как минимум: ASP.NET: (aspx|asp|cshtml); PHP: (sh|cgi|php*|ph4|ph5|phtm|phtml); OS: (ps1|bash|sh|bin|out|x86_64|x86-64|perl|appimage|jar|run|cmd| bat|x86|elf|vbs|pyc|py|beam|vbscript|vbe|jse|sca|exe|) JS: (js).

  • Реализуйте ограничение на исполнение файлов в каталогах TEMP, APP_DATA и аналогичных (UPLOAD, UPDATE).

  • Храните логи сервера отдельно и регулярно проверяйте их.

    Анализ логов сервера позволяет выявить подозрительную активность и предпринятые атаки. Регулярная проверка логов помогает своевременно реагировать на угрозы.

  • Откажитесь от использования анонимного доступа к предоставляемым ресурсам.

  • Работа с приложениями должна быть возможна только после авторизации пользователя. Исключите возможность работы с приложением без прохождения авторизации. Рекомендуется использовать двухфакторную аутентификацию.

  • Установите брандмауэр.

    Программные брандмауэры защищают web-серверы от несанкционированного доступа и вторжений, обеспечивая дополнительный уровень безопасности.

  • Выполняйте чистку файлов.

    Периодически удаляйте устаревшие и ненужные файлы, такие как архивы с исходным кодом и файлы резервных копий, чтобы снизить риск компрометации серверов.

  • Блокируйте доступ к резервным копиям.

    Защитите папки с резервными копиями от несанкционированного доступа, блокируя доступ к ним для всех доступных веб-серверов.

  • Ограничьте доступ на запись ко всем каталогам кроме значащихся в техническом описании продукта.

  • Настройте аудит.

    Регулярный анализ системы и инфраструктуры поможет выявить уязвимости и слабые места, которые могут быть использованы злоумышленниками.

Соблюдение этих рекомендаций поможет существенно повысить уровень безопасности web-серверов и снизить риски, связанные с возможными атаками и вмешательствами.


Возврат к списку