Я должен был заблокировать один несколько лет назад ...
Как системный администратор, принимайте участие в разработке на ранних этапах проекта. Тестирование, развертывание, эксплуатация и обслуживание веб-приложений являются частью SDLC.
Эти рекомендации в целом применимы к любому хосту DMZ, независимо от того, какая ОС Linux или Windows.
есть несколько книг, посвященных администрированию IIS7 и укрепляющихся, но сводится к
- определитесь с архитектурой и конфигурацией вашего брандмауэра и просмотрите его на предмет соответствия. Не забудьте защитить ваш сервер от внутреннего сканирования с зараженных хостов.
в зависимости от уровня риска рассмотрите прозрачный шлюз уровня приложений для очистки трафика и облегчения мониторинга веб-сервера.
1, вы рассматриваете систему как бастионный хост. блокировка ОС, уменьшение поверхности атаки (сервисы, порты, установленные приложения, т.е. никаких интерактивных пользователей или смешанных рабочих нагрузок, настройка RPC брандмауэров так, чтобы они реагировали только на указанную DMZ управления или внутренние хосты).
рассмотрите ssh, OOB и / или управляющий доступ к LAN и верификаторы IDS хоста, такие как AIDE tripwire или osiris.
если веб-сервер чувствителен, рассмотрите возможность использования argus для мониторинга и записи шаблонов трафика в дополнение к журналам IIS / FW.
определяют базовую конфигурацию системы, а затем регулярно проводят аудит базовой линии, сводя к минимуму или контролируя изменения для обеспечения точности. автоматизировать это. powershell твой друг здесь.
US NIST поддерживает национальный репозиторий программы контрольных списков. NIST, NSA и CIS имеют контрольные списки ОС и веб-серверов, которые стоит изучить, даже если они предназначены для более ранних версий. посмотрите на контрольные списки apache также для предложений по конфигурации. просмотрите книги по безопасности addison wesley и OReilly apache, чтобы понять проблемы.
http://checklists.nist.gov/ncp.cfm?prod_category://checklists.nist.gov/ncp.cfm?prod_category
http://www.nsa.gov/ia/guidance/security_configuration_guides/web_server_and_browser_guides.shtml
www.cisecurity.org предлагает подписчикам контрольные списки и инструменты для сравнительного анализа. цель как минимум 7 или 8
- Учитесь на чужих ошибках (и делитесь своими, если вы их совершаете):
Инвентаризируйте ваши общедоступные прикладные продукты и отслеживайте их в NVD NIST (база данных уязвимостей ...) (они также объединяют CERT и OVAL)
подписывайтесь и читайте предупреждения microsoft.public.iinetserver.iis.security и microsoft. (NIST NVD уже смотрит CERT)
Майкл Ховард, гуру безопасности кода MS, прочитайте его блог (и убедитесь, что ваш разработчик тоже его прочитал) по адресу: http://blogs.msdn.com/michael_howard/default.aspx
http://blogs.iis.net/ - это блог команд IIS. В качестве примечания, если вы работаете в Windows, всегда читайте блог команды для групп продуктов MS, с которыми вы работаете.
Дэвид Литчфилд написал несколько книг по укреплению БД и веб-приложений. он человек для прослушивания. прочитайте его блог
Если ваш разработчик нуждается в подробном ознакомлении (или напоминании) о веб-безопасности и системных администраторах! Я рекомендую "Невинный код" Сверре Хьюзби ... не пользовался такой книгой безопасности, как яйцо повара. Он устанавливает полезные правила и принципы и объясняет вещи с нуля. Это большое сильное доступное чтение
Вы еще раз прошли проверку и проверку? (вы вносите изменения, вы делаете новую базовую линию).
Помните, IIS - это мета-сервис (под ним работают FTP.SMTP и другие сервисы). сделать вашу жизнь проще и запустить услугу за раз на одной коробке. резервное копирование вашей метабазы IIS.
Если вы устанавливаете серверы приложений, такие как tomcat или jboss, в одном окне, убедитесь, что они также защищены и заблокированы.
Безопасные веб-консоли управления для этих приложений, в том числе IIS.
Если вам нужно иметь DB на коробке тоже. этот пост может быть использован аналогичным образом
logging.anwatted публичный сервер (будь то http, imap smtp) - профессиональная ошибка. проверь свои логи, закачай их в RDMS и поищи быстрые медленные и надоедливые. Почти всегда ваши угрозы будут автоматизированы и обезглавлены. остановить их на уровне брандмауэра, где вы можете.
с разрешения, отсканируйте и дактилоскопируйте ваш ящик, используя P0f и nikto. Протестируйте приложение с селеном.
Убедитесь, что ошибки веб-сервера обрабатываются IIS И любыми приложениями конфиденциально и контролируемым образом. , документы об ошибках установки для кодов ответов 3xx, 4xx и 5xx.
теперь вы сделали все это, покрыли задницу и можете посмотреть на уязвимости приложений / веб-сайтов.
Будьте осторожны с разработчиками, большинство беспокоится об этом только после того, как будет нанесен ущерб и нанесен ущерб репутации / доверия. лошадь сбежала и давно ушла. обратитесь к этому сейчас. это дешевле. Поговорите с вашим разработчиком о деревьях угроз.
Рассмотрите ваш ответ на Dos и DDoS-атаки.
с положительной стороны рассмотрим ХОРОШИЙ трафик / косые черты и проблемы с пропускной способностью.
Поддерживайте связь с разработчиками и специалистами по маркетингу для решения проблем с пропускной способностью и предоставления серверов / полосы пропускания в ответ на кампании / продажи новых услуг. Спросите их, какой ответ кампании они ожидают (или напоминают.
Планируйте заранее с достаточным временем выполнения заказа, чтобы обеспечить подготовку. подружитесь с ребятами из вашей сети, чтобы обсудить вопрос о пропускной способности в короткие сроки.
Недоступность из-за неверной конфигурации, плохой производительности или недостаточной подготовки также является проблемой. Мониторинг системы для запросов производительности, диска, оперативной памяти http и db. знать показатели нормальной и ожидаемой производительности .. (пожалуйста, Боже, есть ли apachetop для IIS?;)) план для соответствующей емкости.
Во время всего этого вы можете спросить себя: «Я слишком параноик?». Неправильный вопрос .. это "я достаточно параноик?" Помните и принимайте, что вы всегда будете за кривой безопасности, и этот список может показаться исчерпывающим, но это только начало. все вышеперечисленное разумно и усердно и ни в коем случае не должно рассматриваться как чрезмерное.
Взлом веб-серверов немного напоминает лесные пожары (или лесные пожары здесь), которые вы можете подготовить, и они позаботятся почти обо всем, кроме события голубой луны. планировать, как вы будете отслеживать и реагировать на порчу и т. д.
Избегайте быть обманщиком безопасности или далеким / куриным охранником. работайте спокойно и работайте с заинтересованными сторонами и коллегами по проекту. Безопасность - это процесс, а не событие, и держать их в курсе, а осторожное обучение людей - лучший способ получить дополнительные выгоды в плане улучшения безопасности и принятия того, что вам нужно сделать. Избегайте снисходительности, но помните, что если вам НУЖНО провести черту на песке, выбирайте битвы, вы можете сделать это только несколько раз.
- выгода!