- Home
- Categorie
- Coding e Sistemistica
- Hosting, Server e Domini
- Sicurezza Server Web
-
Sicurezza Server Web
Ciao a tutti,
stavo studiando alcune regole iptables per la prevenzione degli attacchi sulle porte 80 e/o 443 che necessariamente devono rimanere aperte
Mi chiedevo, visto che il mio server non è dietro ad un firewall, esistono sistemi di filtraggio con già delle regole impostate....
Oppure devo per forza di cose impostare tutte le regole, con tutte le implicazioni che implicano...
Ciauu
-
Considera che iptables sulle porte 80 e 443 (aperte di default) serve normalmente a ben poco. Quel che si usa a livello applicativo sono WAF (Web application Firewall) come mod_security o naxsi se li vuoi "in locale" o servizi esterni in reverse proxy come Incpsula, Sucuri o Cloudflare.
Data la domanda molto newbie, sei sicuro che hai conoscenze adeguate per lavorare con un FW e gestire un sistema ?
-
Grazie per il chiarimento
-
@ManagedServer.it
La sicurezza informatica non è un prodotto ma una serie di processi e di buone pratiche.
Chi scrive sul forum per dei chiarimenti non deve essere per forza un sistemista.
-
@ManagedServer.it said:
Considera che iptables sulle porte 80 e 443 (aperte di default) serve normalmente a ben poco. Quel che si usa a livello applicativo sono WAF (Web application Firewall) come mod_security o naxsi se li vuoi "in locale" o servizi esterni in reverse proxy come Incpsula, Sucuri o Cloudflare.
A distanza di 3 mesi e tante ore notturne sono riuscito a far partire il mio server dedicato
Volevo un chiarimento se possibile:
Questi sistemi come Incapsula,Sucuri e/o Cloudflare offrono delle già dei bundle pre-impostati, oppure si deve operare a livello di personalizzazione per ogni server ?
Grazie
-
Congratulazioni, si parte sempre con uno e si finisce almeno con un centinaio.
Detto questo, Incapsula, Sucuri, Cloudflare lavorano a livello di Vhost (singolo sito) lavorando principalmente in reverse proxy tra Internet e il server Web. In base al piano puoi impostare diversi parametri come ad esempio l'utilizzo di protocolli di crittografia piuttosto che altri, l'utilizzo di filtering a livello GeoIP, rules WAF (Web application firewall) e molto altro. Personalmente li trovo utili solo in caso di attacco o in caso di attacco preventivato. Sono prodotti commerciali, per cui eccetto le versioni pro, preparati ad essere "scaricato" nel momento in cui arriverai a impegnarli più di un 10 mila connessioni al minuto per intenderci.Non capisco se la tua sia più un'esigenza di imparare che di mettere in produzione un servizio Web con tutte le accortezze e garanzia.
A presto.
-
Grazie per la chiara risposta
Ho dovuto aiutare un amico, che era stato scaricato in mezzo alla strada dal suo hosting...senza troppo preavviso.Data la mole, anche se inattiva del suo forum, ha bisogno di un dedicato.
Arrivato fin quì, mi è salita la voglia, la curiosità di imparare oltre
Quindi vorrei ottimizzare questo dedicato (vps cloud) in termini di prestazione e sicurezza, ma solo come soddisfazione personale per abbassare il più possibile i test
Per tornare in OT
Quindi Tu per i tuoi server mi sembra di capire che adotti una politica interna a livello di sicurezza. utilizzi un qualche prodotto specifico ?
Grazie per il tuo prezioso supporto
-
Considerando che al 99% lavoriamo su server web con le solite porte http / https esposte, la nostra sicurezza "si limita" ad una buona separazione privilegi tra i vari vhost (usiamo 750 e 640 come permessi a differenza di molti 755 e 644), utilizziamo versioni sempre aggiornate di NGINX (raramente usiamo Apache) e abbiamo firewall hardware e software a monte. In caso di DDOS utilizziamo strumenti della Arbor Network per il filtering delle connessioni in ingresso, in caso di attacchi applicativi che comportano DDOS andiamo dietro Cloudflare.
Per ciò che concerne invece la sicurezza applicativa, deleghiamo al cliente e al suo staff di far si che non ci siano sviste lato applicativo (rfi, sql injection, xss e via dicendo).
Per il resto andiamo di triplo backup su 3 SAN differenti.
-
Grazie per le preziosissime informazioni e buona giornata